<b>2.2 如何建立一支安全團隊</b>
如果要去一家公司領銜安全建設,第一個問題就是如何建立安全團隊。上面提到不同的公司狀況對應的安全建設需求是不一樣的,需要的安全團隊也是不一樣的,是以我按不同的場景來深入分析這個問題。
在目前國内的市場中,bat這種公司基本是不需要組團隊的,對安全負責人有需求的公司大約是從準生态級網際網路公司、平台級網際網路公司、大型集團的網際網路+,到千千萬萬的網際網路創業型公司。
<b>1. 極客團隊</b>
如果你在一個小型極客型團隊,例如youtube被google收購前隻有17個人,在這樣的公司裡你自己就是安全團隊,俗稱“one man army”。此時一切頭銜皆浮雲,需要的隻是一個全棧工程師。
<b>2. 創業型企業</b>
對于絕大多數創業型企業而言,就像之前所說的,cso不一定需要,你拉兩個小夥伴一起去幹活就行了,今天bat的安全總監們,當年也都是幹活的工程師小夥伴,10多年過去了,工程師熬成了“cso大叔”。當你的公司變成bat時,隻要你成長得夠快,也許下一個“cso大叔”就是你自己。
<b>3. 不同的能力類型</b>
搞安全的人現在其實不好招,很多企業都招不到安全負責人,是以會有一堆沒有甲方安全實操經驗或者沒有整體安全經驗的人被推上安全團隊上司的崗位。對絕大多數公司而言,安全建設的需求都是聚焦于應用的,是以安全團隊必然也是需要偏網絡和應用的人。大牛顯然是沒必要的,而懂滲透,有一定網絡系統應用攻防理論基礎的人是最具培養價值的。除此之外乙方的咨詢顧問、搞安全标準的、售前售後等在這個場景下的培養成本都很高,不具有短期roi,是以都不會是潛在的候選者。在安全技術領域裡,其實隻有兩類人會有長期發展潛力:第一類是酷愛攻防的人,對繞過與阻斷有着天生的興趣;第二類就是可能不是很熱愛安全,但是cs基礎極好的程式員,這一類人放哪裡都是牛人,第一類則跟行業相關。粗俗一點兒的說法找幾個小黑客就能做企業安全了?這種觀點是不是有人會覺得偏科的厲害了。确實我也認為會滲透跟做企業安全的系統性建設之間還是有比較大的鴻溝的。僅僅是說在有限選擇的情況下,假如你不像某些土豪公司一樣随便就能招到高手,那麼可選的替代方案中最具可行性和成本效益的是什麼,之是以選會滲透懂攻防的人,那是因為這類人具備了在實踐層面而不是理論層面真正了解安全工作的基礎,在此基礎上去培養是非常快的,政策、流程、标準、方法論可以慢慢學,因為這些都不是救火時最需要的技能,而是在和平年代且規模較大的公司才需要的東西。看有些公司的招聘工程師的要求裡還寫着要證書什麼的,不禁感慨一下,很多能做事的“少年”其實根本沒有證書,有證書的人通常适合去做乙方的售前而不是甲方的安全工程師。甲方招聘要求證書的,基本上都是傳統企業,網際網路企業這麼寫的應該懷疑一下那裡的整體水準。當然,這個說法對安全負責人的招聘不成立,因為國内的cto很少有懂安全的,招聘者其實也不知道安全總監到底需要哪些技能,随便拷貝了一個也很正常,高端職位的jd(職位描述)很多時候都是模糊的,除了一個頭銜之外,其他都要聊了才知道,這時候你就不要去嫌棄jd怎麼寫的這麼差,畢竟老闆也不懂這事該怎麼做,找你就是為了解決這個問題。
單純攻防型的人在前期培養比較快,但當安全團隊随着公司規模和業務快速成長時,思維過于單點的人可能會出現“瓶頸”。後面會提到安全建設實際上是分階段的,而且是系統性的,視野和思路開闊的人會從工程師中脫穎出來,成為安全團隊的上司。
4. 大型企業
對于比較大型的平台級公司而言,安全團隊會有些規模,不隻是需要工程師,還需要有經驗的leader,必須要有在運維安全,pc端web應用安全以及移動端app安全能獨當一面的人,如果業務安全尚有空白地帶的話,還需要籌建業務安全團隊。
5. 超大型企業
準生态級公司建安全團隊這種需求比較少,但因為筆者曾被問及這樣的問題,是以就把思考的結果寫出來。對于這種級别的公司,由于其業務線比較長,研發團隊規模通常也比較龐大,整個基礎架構也建構于類似雲計算的底層架構之上(姑且稱之為私有雲吧),光有應用安全的人是不夠的,安全的領頭人必須自己對企業安全了解夠深,leader這一級必須對系統性的方法論有足夠的了解。随便舉些例子,1)在出安全事件時如果leader的第一反應是直接讓人上機器去查後門的;2)對運維系統變更風險不了解的;3)對在哪一層做防禦成本效益最高不熟悉的;4)不明白救火和治病的差別的(這種思路會一度展現在提的安全整改建議上),諸如此類的狀态去擔任leader就會比較吃力(leader上面的安全老大自然也會很吃力)。另外leader的跨組織溝通能力應該比較高,在這種規模的公司,不是你的安全政策提的正确就一定會被人接受的。團隊裡還應該有1~2個大牛級人物,是以帶隊人自己應該是在圈内有影響力的人,否則這些事情實踐起來都很難。
實際上當你進入一個平台級公司開始,安全建設早已不是一項純技術的工作,而技術管理上的系統性思路會影響整個安全團隊的投入産出比。
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)