Posts for: #Startup

创业笔记 347:向腾讯安平 Coolc 请教安全

之前我曾经做过一段时间信息安全工作,也因此更加清楚,信息安全,瞬息万变,绝不能自以为曾经了解安全,反而忽视了。

趁着 Coolc 有点时间,跟他请教了,针对我们这样的创业团队,应该怎么做安全(多谢 Coolc 啦)。我们的基本情况是:

  • 小团队,部分成员曾有过安全背景,大多数人不懂安全;
  • 工作流程适合远程办公,使用诸如企业微信、Tower、企业邮箱、Github 等在线 SaaS 服务,能不自己搭建的业务就不自己搭;
  • 研发人员有一定安全意识,未经专业安全培训。

我请教的几个问题是:

  1. 有没有可能性价比较高地实现较高安全性。将产品和业务安全、办公环境安全、内容安全工作都做到业界较高水平(跑得比对手快,熊就吃对手去了……),如果有,怎么做最好?

Coolc 的判断是:

传统安全说到底,还是一个风险的投入产出比的管理问题。

我很认同这个观点:找一个最适应你自身情况的安全做法,而不是选个最好的。因为最好的也意味着成本最高,这显然是不适宜创业团队的。

我建议:

首先,最高领导要参与安全决策。特别是关于两点,第一:你承最不能承受的安全损失场景是什么,你愿意花多少代价去规避这些问题,代价不仅仅指金钱,更包括组织代价,比如,人力的投入和架构的调整。第二:你要亲自挑选你所倚重的,帮你实施安全战略的负责人。据我所知,不管是 BAT 还是新贵头条、滴滴、美图,他们聘用安全领军人物时,企业的第一负责人都是亲自面谈 1-2 个小时的,有的还会安排一次午餐会深聊,同是忙碌的企业家,大家可以自己感受一下。其实你所花的精力和时间,不仅花在物色专家身上,还花在了对自己公司资产的安全保障上。

第二,充分利用云时代的红利,大型云企业因为竞争,拿出了看家本领,这些技术和产品性价比普遍很高,自己组建一个同样的系统,会有大量的试错的时间成本,组建团队也需要几年磨合,这些隐性成本很高,所以购买成熟企业的云服务是很划算的。

第三,云产品五花八门如何做好决策?首先要做到第一:专业的人办专业的事,要么是招聘,要么寻找一个外部资深专家(工作精力要经历过从 0 到 1 的安全体系组建,才适合创业企业)。第二,选择合适的云产品,一个小诀窍是要去供应商看看,他们本身企业使用的安全产品和体系,选择这种上过战场的“武器装备”。

  1. 前段时间微盟事件给了不小的震撼,在生产环境备份、演习方面,行业内有什么最佳实践?

Coolc 的判断是:

这个安全问题其实涵盖了技术和管理两个部分。

技术相对好解决,比如:系统要原子操作、备份和操作员角色不可重叠、日常要对核心资产有冷备和恢复演习、核心系统对高危操作有“急刹车”机制。

管理上相对复杂,企业负责人需要思考:

  • 企业中是否有具备发现这些隐患,未雨绸缪的人?
  • 你是否给予了足够的授权和顺畅的信息通报机制?

安全问题在管理上很大程度是成本的考量,资产越贵重,投入的成本越高(不仅仅是金钱,更包括人才、精力和时间),一旦投入不足,就会用事故教训你。

  1. 新闻里 Soul 对同行举报的例子后,我们也考虑红蓝军机制,内容安全方面,由风控人员对目前机器/人工审核机制做攻击尝试。网络安全方面,建设安全应急响应中心、找专业公司做渗透测试。以这些攻击方为蓝军,不断查缺补漏。但即便如此,也仍然觉得不完美,是否还有更好的办法?

Coolc 的判断:

红蓝军我觉得中小企业来说成本太高了,我建议分场景处理。

传统安全领域,尽量聘请专业公司或者大平台的众测(比如腾讯安全平台部的 xSRC,已经积累 15 年的专家团队和成熟机制,对创业企业来说,就是时间,就是金钱)。

业务安全领域,比如,内容安全是否合规,金融风控是否有崩盘风险?这种只能自建,吸引人才,因为业务安全是高业务特性的,大多数场景需要非常熟悉特性才能发起攻击。如果时间周期不允许,建议聘请临时的外部专家做咨询,至少同业专家的一些安全事件场景,很多时候可以举一反三,能帮你节省大量精力和时间。

  1. 站在你这么多年的产品、业务、行业安全实践来看,对我们还有什么建议吗?

Coolc 的判断:

只能说一些感受,干了很多年,我觉得一个企业就像一个人,一个家庭,一个人最大的人权是生存权,一个家庭最大的幸福是家和万事兴。

安全就是如何保障好这些权利,所以我觉得企业家,也许可以跳出“技术”或者“成本”这些短期效应来看安全,从长期看安全更像是持续供给“发展机遇”,让你获得比同行更多生存机会或者保持企业发展的“发动机”不熄火,所以他更像是一种投资。

安全是一个快速发展,主要矛盾和风险快速转移的行业,人才也非常稀缺甚至昂贵,所以我觉得经营企业的管理者、CEO,需要有意识的积累自己的安全人脉,特别是有你这个领域行业经验的专业人才,为自己做企业重大决策,做好知识和智力资源储备。

创业笔记 345:一段入门信息安全的回忆

星球“腾讯安平密友圈”在做一个“大神”的活动,回忆自己入行时的大神。我仔细想了想,老实说,之所以会进入信息安全行业,并不是因为正义感爆棚,而是觉得“能通过电话线就看到别人电脑里面的照片、文件,真的太酷了”。只是,接触得越多,越生起敬畏之心罢了。

还没入行前,不知道从哪里看到了一篇《布谷鸟的蛋》(也被译为《杜鹃蛋》)的简介,介绍了一起黑客攻击事件——一起因为 75 美分对账失败(嗯,对账就是这么重要,所以我们现在做知识星球,我请研发同事尽可能从多几个维度做对账,一旦对账出错,就表示财务上出问题,是第一优先级)——说回故事本身——作者开始了他的追查。

  • 1986 年 8 月,因为 75 美分的误差,Cliff Stoll 开始了他的追查;
  • 1987 年 6 月 21 日,骇客最后一次入侵。

前后十个月,Cliff Stoll 记录了探索过程中的一些事,比如他用打印机记录了攻击者的每一步操作——这样骇客就无法篡改日志了……

这个故事特别动人(虽然中文翻译有点蹩脚,但还是感谢译者),从这个故事里,我知道了什么是漏洞,什么是黑客,什么是系统管理员,什么是服务器……当时我的心中,黑客,约等于侠客。

创业笔记 344:关于隐私

先贴两个链接:

提醒一下在做 App 的朋友们,隐私这件事,不是小事。不要以为“我没有超权限采集信息”、“我们又没有大数据杀熟”……然后就把这件事高高挂起,仔细看看《App违法违规收集使用个人信息行为认定方法》里的细则吧,当下应该大多数 App 都是有问题的,而一旦被抽到,结果基本就是下架——目前据说有很多家公司在做“检查 App 隐私问题”的工作——他们的工作目标是抓出尽量多存在瑕疵的 App——他们的 KPI 跟你可能不一样。

以为自己没问题的,我这里随便列几个:

  • 你的隐私协议是不是默认勾选“同意”了?
  • 在用户点击“同意”之前,你是否申请了任何权限(哪怕是存储、IMEI)?
  • 嵌入第三方代码(比如 SDK),是否在隐私协议里完整列出,并且说明你以及所有第三方收集使用个人信息的目的、方式、范围等?
  • 是否明确在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,告知用户其目的?
  • 是否利用用户个人信息和算法定向推送信息,未提供非定向推送信息的选项?
  • 是否未向用户提供撤回同意收集个人信息的途径、方式?
  • 是否因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能?
  • 是否提供有效的更正、删除个人信息及注销用户账号功能?

抓紧改吧,祝你好运。

全文我还是列出来吧:

App违法违规收集使用个人信息行为认定方法

根据《关于开展App违法违规收集使用个人信息专项治理的公告》,为监督管理部门认定App违法违规收集使用个人信息行为提供参考,为App运营者自查自纠和网民社会监督提供指引,落实《网络安全法》等法律法规,制定本方法。

一、以下行为可被认定为“未公开收集使用规则”

  1. 在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;
  2. 在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;
  3. 隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;
  4. 隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

二、以下行为可被认定为“未明示收集使用个人信息的目的、方式和范围”

  1. 未逐一列出App(包括委托的第三方或嵌入的第三方代码、插件)收集使用个人信息的目的、方式、范围等;
  2. 收集使用个人信息的目的、方式、范围发生变化时,未以适当方式通知用户,适当方式包括更新隐私政策等收集使用规则并提醒用户阅读等;
  3. 在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解;
  4. 有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。

创业笔记 343:用 Apple ID 登录知识星球

最近产品团队有点挠头,苹果在《App Store 审核指南》(中文版可以访问:https://developer.apple.com/cn/app-store/review/guidelines/)里明确提出了:

通过 Apple 登录

如果 app 使用第三方或社交登录服务 (例如,Facebook 登录、Google 登录、通过 Twitter 登录、通过 LinkedIn 登录、通过 Amazon 登录或微信登录) 来对其进行设置或验证这个 app 的用户主帐户,则该 app 必须同时提供“通过 Apple 登录”作为同等选项。用户的主帐户是指在 app 中建立的、用于标识身份、登录和访问功能和相关服务的帐户。

在以下情况下,不要求提供“通过 Apple 登录”选项:

您的 app 仅使用公司自有的帐户设置和登录系统。 您的 app 是一款教育、企业或商务 app,要求用户使用现有的教育或企业帐户登录。 您的 app 使用政府或行业支持的公民身份系统或电子身份证来鉴定用户身份。 您的 app 是特定第三方服务的客户端,用户需要使用他们的邮件、社交媒体或其他第三方帐户直接登录才能访问内容。

这个条目是 2019 年 9 月加入的,我们考虑到 Apple ID 对一个社区产品来说,几乎是零价值(甚至可能是负面价值——因为会给用户带来许多额外的困扰——比如,为什么登录了还是没办法付款之类的,因为我们此前付款只支持微信支付)。

但是……苹果现在强硬地要求,在 2020 年 4 月 30 日开始,所有想上架 App Store 的应用,以及后续想要更新的 App 都需要遵循这些准则。

对知识星球来说,因为此前甚至“没有自己的用户体系”(我的考虑是越简单越好,没有账户体系,就算遇到拖库,拖走的都只是用户的一堆微信 OpenID 不是吗),所以这下得做:

创业笔记 341:朋友问过的几个小问题

分享有赏是不是一个好的增长策略?

本质上是将钱分给渠道,是 KOL 自己的触达能力,以及用户分享后带来的新渠道增长。。所以要判断的是:

  • 渠道是不是有足够的效率和能力拉新;
  • 渠道拉来的新付费,是不是原来星主没办法触达的。

还要注意:

  • 分享出去的内容,是不是足够优秀,是不是有足够好的加入引导;
  • 通过分销带来用户,会不会降低老用户的感受?会不会带来大量的退款、差评(裂变的常见问题);
  • 会不会实际上降低了星主的收入(因为是星主自己能触达的)?

因此我们对分销很谨慎,默认不开。

怎么看微信圈子?

微信里已经有群和朋友圈了。微信 + 微信群 + 朋友圈,这种粒度下,试图在微信里面生长的社交产品,都抢不到足够的注意力。

有些抄袭和跟进的产品,为什么起不来?与他们不同的关键点是什么?

  1. 先复制,不妄加改进其实很难

对一个成功产品,你敢不敢原样照搬,不做任何调整。因为任何调整都有可能是画蛇添足。 人人都是产品经理,比如我们会对微信提出各种改进建议,但那么改真的好吗? 就拿知识星球来说,我看到一些仿品对我们的「改进」,其实可能是不恰当的(可能破坏了某些场景)。而对我们的一些「模仿」,也是不恰当的(因为时机可能不对)。