之前我曾经做过一段时间信息安全工作,也因此更加清楚,信息安全,瞬息万变,绝不能自以为曾经了解安全,反而忽视了。
趁着 Coolc 有点时间,跟他请教了,针对我们这样的创业团队,应该怎么做安全(多谢 Coolc 啦)。我们的基本情况是:
- 小团队,部分成员曾有过安全背景,大多数人不懂安全;
- 工作流程适合远程办公,使用诸如企业微信、Tower、企业邮箱、Github 等在线 SaaS 服务,能不自己搭建的业务就不自己搭;
- 研发人员有一定安全意识,未经专业安全培训。
我请教的几个问题是:
- 有没有可能性价比较高地实现较高安全性。将产品和业务安全、办公环境安全、内容安全工作都做到业界较高水平(跑得比对手快,熊就吃对手去了……),如果有,怎么做最好?
Coolc 的判断是:
传统安全说到底,还是一个风险的投入产出比的管理问题。
我很认同这个观点:找一个最适应你自身情况的安全做法,而不是选个最好的。因为最好的也意味着成本最高,这显然是不适宜创业团队的。
我建议:
首先,最高领导要参与安全决策。特别是关于两点,第一:你承最不能承受的安全损失场景是什么,你愿意花多少代价去规避这些问题,代价不仅仅指金钱,更包括组织代价,比如,人力的投入和架构的调整。第二:你要亲自挑选你所倚重的,帮你实施安全战略的负责人。据我所知,不管是 BAT 还是新贵头条、滴滴、美图,他们聘用安全领军人物时,企业的第一负责人都是亲自面谈 1-2 个小时的,有的还会安排一次午餐会深聊,同是忙碌的企业家,大家可以自己感受一下。其实你所花的精力和时间,不仅花在物色专家身上,还花在了对自己公司资产的安全保障上。
第二,充分利用云时代的红利,大型云企业因为竞争,拿出了看家本领,这些技术和产品性价比普遍很高,自己组建一个同样的系统,会有大量的试错的时间成本,组建团队也需要几年磨合,这些隐性成本很高,所以购买成熟企业的云服务是很划算的。
第三,云产品五花八门如何做好决策?首先要做到第一:专业的人办专业的事,要么是招聘,要么寻找一个外部资深专家(工作精力要经历过从 0 到 1 的安全体系组建,才适合创业企业)。第二,选择合适的云产品,一个小诀窍是要去供应商看看,他们本身企业使用的安全产品和体系,选择这种上过战场的“武器装备”。
- 前段时间微盟事件给了不小的震撼,在生产环境备份、演习方面,行业内有什么最佳实践?
Coolc 的判断是:
这个安全问题其实涵盖了技术和管理两个部分。
技术相对好解决,比如:系统要原子操作、备份和操作员角色不可重叠、日常要对核心资产有冷备和恢复演习、核心系统对高危操作有“急刹车”机制。
管理上相对复杂,企业负责人需要思考:
- 企业中是否有具备发现这些隐患,未雨绸缪的人?
- 你是否给予了足够的授权和顺畅的信息通报机制?
安全问题在管理上很大程度是成本的考量,资产越贵重,投入的成本越高(不仅仅是金钱,更包括人才、精力和时间),一旦投入不足,就会用事故教训你。
- 新闻里 Soul 对同行举报的例子后,我们也考虑红蓝军机制,内容安全方面,由风控人员对目前机器/人工审核机制做攻击尝试。网络安全方面,建设安全应急响应中心、找专业公司做渗透测试。以这些攻击方为蓝军,不断查缺补漏。但即便如此,也仍然觉得不完美,是否还有更好的办法?
Coolc 的判断:
红蓝军我觉得中小企业来说成本太高了,我建议分场景处理。
传统安全领域,尽量聘请专业公司或者大平台的众测(比如腾讯安全平台部的 xSRC,已经积累 15 年的专家团队和成熟机制,对创业企业来说,就是时间,就是金钱)。
业务安全领域,比如,内容安全是否合规,金融风控是否有崩盘风险?这种只能自建,吸引人才,因为业务安全是高业务特性的,大多数场景需要非常熟悉特性才能发起攻击。如果时间周期不允许,建议聘请临时的外部专家做咨询,至少同业专家的一些安全事件场景,很多时候可以举一反三,能帮你节省大量精力和时间。
- 站在你这么多年的产品、业务、行业安全实践来看,对我们还有什么建议吗?
Coolc 的判断:
只能说一些感受,干了很多年,我觉得一个企业就像一个人,一个家庭,一个人最大的人权是生存权,一个家庭最大的幸福是家和万事兴。
安全就是如何保障好这些权利,所以我觉得企业家,也许可以跳出“技术”或者“成本”这些短期效应来看安全,从长期看安全更像是持续供给“发展机遇”,让你获得比同行更多生存机会或者保持企业发展的“发动机”不熄火,所以他更像是一种投资。
安全是一个快速发展,主要矛盾和风险快速转移的行业,人才也非常稀缺甚至昂贵,所以我觉得经营企业的管理者、CEO,需要有意识的积累自己的安全人脉,特别是有你这个领域行业经验的专业人才,为自己做企业重大决策,做好知识和智力资源储备。