目錄
- 安全行業(yè)的錯誤認知
- 錯誤概念
- 后果
- 做什么
- 按被保護目標
- 基礎安全
- 云安全(云運營商,企業(yè)生產環(huán)境)
- 終端安全
- 業(yè)務安全(業(yè)務風控)
- 基礎安全
- 按被保護目標所有者
- 企業(yè)安全
- 辦公環(huán)境安全
- 生產環(huán)境安全
- 消費者安全
- 企業(yè)安全
- 按被保護目標
- 怎么做
- 安全產品
- 安全運營
- 安全架構
- 安全行業(yè)的困境
- 困境
- 解法
安全行業(yè)的錯誤認知
錯誤概念
安全行業(yè)各種專業(yè)以及別處心裁自造的詞:信息安全,數(shù)據(jù)安全裁奇,風控安全俏蛮,經營安全撑蚌,業(yè)務安全,云安全搏屑,辦公安全争涌,終端安全,企業(yè)安全辣恋,金融安全亮垫,游戲安全模软,內網安全,電腦安全等等包警,這都是對安全錯誤理解的表現(xiàn)撵摆。
- 認為挖漏洞、攻防對抗害晦、風控等就是安全特铝。
- 認為做各種防御系統(tǒng)就是搞安全。
- 認為云安是特定于“云”的安全壹瘟,與現(xiàn)有企業(yè)安全沒關系鲫剿。
后果
這幾種說法都不不完整,導致的結果:
- 用人肉堆安全:效率低稻轨,效果差灵莲。
- 用系統(tǒng)和設備堆安全:成本高,見效慢殴俱,效果差政冻。
- 把企業(yè)安全隔離于現(xiàn)有的安全體系之外,手段與方式落后线欲,安全效果不好明场。
基于這些錯誤認知,所以我想從頭說一下安全這個事應該怎么做李丰。
做什么
- 按被保護目標
- 基礎安全
- 云安全(云運營商苦锨,企業(yè)生產環(huán)境)
- 終端安全
- 業(yè)務安全(業(yè)務風控)
- 按被保護目標的所有者
- 企業(yè)安全
- 消費者安全
按被保護目標
基礎安全
- 云安全∨棵冢基于對云計算的理解偏差舟舒,云安全是容易被人誤解的:多數(shù)人認為的云安全就僅僅是各種云平臺的安全,這是不準確的嗜憔。事實上來說秃励,云安全包含三類:公有云安全、私有云安全痹筛、企業(yè)生產環(huán)境安全莺治。
- 終端安全。終端安全這是我們個人平常接觸最多的帚稠,比如個人電腦安全谣旁,辦公設備安全,手機安全風都屬于終端安全滋早。
業(yè)務安全
- 業(yè)務安全榄审,包含了盜號、欺詐杆麸、法律政策合規(guī)搁进、業(yè)務風險等內容浪感。
按被保護目標的所有者
企業(yè)安全
- 辦公環(huán)境安全
- 生產環(huán)境安全
消費者安全
消費者安全主要指在消費活動中消費者一側的安全問題。
之所以說以上這些聽起來很枯燥很理論的東西饼问,是因為在實踐過程中我看到很多因為對這些內容不清楚而導致的問題影兽。對安全體系的內容不清楚,后果就是:
- 有的業(yè)務可能重復去做莱革,有的業(yè)務可能又投入不足峻堰,甚至沒人做。
- 哪些業(yè)務內容在哪些場景下應該與其它業(yè)務如何協(xié)作盅视,側重點在哪捐名。
- 對安全體系不清楚,就會導致整天忙忙碌碌卻沒有結果闹击,把手段當結果镶蹋。
怎么做
- 安全產品
- 安全運營
- 安全架構
其中架構是大腦,產品是骨架赏半,運營是血肉贺归。
安全產品
只要安全結果的輸出端是程序或者以程序為主的服務,我們都把它稱為安全產品断箫,比如各種殺毒軟件牧氮,防火墻等。
安全運營
所有以運營團隊的人為最終目標輸出端的安全手段都是安全運營瑰枫,比如應急響應、日常巡檢丹莲、攻防對抗光坝、漏洞挖掘、威脅情報甥材、合規(guī)管理盯另、代碼審計等,都屬于安全運營范疇洲赵。
當然這里面有部分內容在不同場景下可能屬于安全產品鸳惯,也可能屬于安全運營:比如威脅情報它既可能是運營,也可能是產品叠萍,具體細節(jié)這里不再說了芝发,清楚這個情況就行了。
安全架構
這是被人誤解最多的一個安全手段苛谷,多數(shù)人理解安全架構就是字面理解的搭架子辅鲸。這個理解太過淺顯,要準確理解什么是架構腹殿,我需要舉個例子:
通常技術高端崗位有兩類:
- 專家
- 架構師
它們的區(qū)別独悴,以做飯吃飯為例:
專家需要考慮的是如何炒出最好的土豆絲例书,至于土豆絲最好了,是不是這頓飯就吃得好了刻炒,這不是專家需要考慮的决采。
架構師需要考慮的是這頓飯我如何才能讓所有人吃得最好,比如要哪些菜坟奥,要什么菜系树瞭,什么口味等,架構師考慮問題的著眼點是最終的業(yè)務目標筏勒,是目標導向的移迫。
從這里就能看得出,作為安全架構要做的是哪些事管行。優(yōu)秀的架構師都是要有擔當CTO的能力的厨埋。
但是我們日常見到的多數(shù)情況,實際是把專家當架構師在用捐顷,或者架構師當專家用荡陷。這兩個角色他們的KPI以及能力要求是完全不一樣的,極少有人能同時具備這兩個方面比較強的能力迅涮。
比如我在某大廠見過的废赞,本來是招架構師職位,結果整個面試下來都在問人家WAF的實現(xiàn)細節(jié)叮姑、DDOS防護的實現(xiàn)細節(jié)唉地。至于架構師需要有的能力,比如安全業(yè)務的基本分類传透,安全產品與安全運營如何協(xié)作耘沼,公有云環(huán)境與企業(yè)生產環(huán)境安全問題的區(qū)別在哪、這些區(qū)別體現(xiàn)在安全運營和安全產品上是什么表現(xiàn)朱盐,整個過程都沒人問群嗤,這樣最終招到的人肯定是不能勝任業(yè)務需要的。
上面我把安全手段就說完了兵琳。接下來就是安全手段如何配比協(xié)作才能最終搞定安全問題狂秘,以及公有云,私有云躯肌,企業(yè)生產環(huán)境下者春,這些手段和做法的差異,這一部分是一個非常龐雜的內容清女,我在另一篇文章《架構角度看安全》有比較詳細的說明碧查,這里為免重復不再贅述了,感興趣的可以去看我這篇文章。
安全行業(yè)的困境
困境
- 沒有任何手段或者手段的綜合能確保安全忠售,只能是雞尾酒療法传惠,所有手段一起上,這也是基于攻擊與防御的不對等這個現(xiàn)實導致的:攻擊是單點突破稻扬,防御需要系統(tǒng)管控卦方,但沒有任何一個防御手段是絕對有效的。
- 理論和方式都日漸老化陳舊泰佳,但是尚未有任何更先進有效的手段盼砍,所有做法都不過是一遍遍重復老掉牙的做法,而攻擊者卻在不斷升級攻擊手法和技術手段逝她,防御者疲于應付浇坐,非常被動。
解法
- 現(xiàn)有手段不能丟:出于確保業(yè)務穩(wěn)定連續(xù)的需要黔宛。
- 以最低代價解決絕大部分問題近刘,允許所有點都有缺陷和漏掉的,不允許漏掉的這部分沒有協(xié)作點來補臀晃。
- 新技術的應用:以區(qū)塊鏈觉渴、ipfs為代表的去中心技術形成可信計算、可信網絡等為產品矩陣徽惋,大力發(fā)展泛安全產品案淋。
