东阳如何制作安全收款网站(作为个体如何做安全运营)

0x00 写在前面

年末休假,去北极圈吹了冷空气。 同时,希望自己运气好能看到高端版的“光污染”。 虽然我在休假,但是不能停止对安全的思考。

不知道是什么原因,去年安全圈最热门的词除了att CK (也不知道是不是att Calvin Klein,运营商和稍微高级一点的品牌可能会接触到什么) )之外,都是安全运营的。 至于火到什么程度,在2019年的各安全大会上分别开设了论坛和专业议题。 个人是安全服务商) (这里尽量不提及乙方的说法,姑且称之为安全需求者和安全服务提供者吧。 这样听起来有点贵。 (虽然谈论安全运营有“开拓市场”的意思,但各种迹象表明,安全运营确实到了必须提及的时期。 理由主要是目前的安全行业在政府监管机构、安全服务提供者以及各种法律法规制度的要求下,建设期实际上大家都一样,都是中小企业在购买。 大型企业自行研究,超大企业做标杆,安全市场需要新的增长点。 对安全服务提供者来说,盒子设备等每个家庭都有,服务成为收益的重点,好的安全服务提供者从安全服务端获取足够丰富的case,转化为产品或某种功能。 but现在的国情是,在没有得到的装备之前,只能依赖别人。 而且,由于首要目的是满足国家监管要求,如果满足监管需求,很多客户可能会认为成本方面好而接受,但安全服务提供商不会这么认为啊。 觉得客户好,在哪里赚钱? 因此,安全服务提供商有可能结合国外的几个安全方向,“筛选”客户的“需求”,以换取新的增长点。 对客户来说,安全建设已经差不多了。 如果在写下一年的工作计划时,写着需要建设并向TC和技术老板们的大会报告时,最好的技术head听了,几乎没有像你说明的那样建设。 为什么要建设? 建设完成后,实际上安全也基本完成,只要在国家一级满足支持互联网接入的安全合规标准,就可以对外提供互联网服务,所以安全团队不是会“滴答”掉下去吗? 既可以节约预算,又可以减少HC,两者都有好处。 于是,各公司的安全人员开始拼命收集新的工作地点,以证明安全对业务的价值。 在这个阶段,基础的安全性常常像驱动器一样,证明我们的安全性是可以做到的。 关于其他部门,大家都知道。 这个时候,一个需要谈运营,另一个需要谈运营。 既然是这样,我们一起来谈谈运营吧。 以上都是本人的推测。 如有雷同,不胜感激。

今天我不想在这里从宏观上谈论安全运营如何进行。 说到这点我老板就更专业了,我的水平不够高,所以作为一个普通安全需求侧的安全运营工程师,只能谈谈如何搞好本职工作。 以下内容可能是本人的主观,但未必正确。

0x01 安全服务和安全运营

回归正题,如果把这个subtitle换成人,很多初出茅庐的安全工作者都会问的问题。 甲方的安全工程师和乙方的安全工程师有什么区别? 在此通过个人短暂的实际工作经验,甲方的安全运营工程师和乙方的安全服务工程师实际上有以下两个不同。

考核方式不同:甲方安全运营工程师考核多以生产为主,生产不同岗位不同岗位实际生产不同。 具体情况将在后面详细叙述; 另一方面,乙方的工程师,审查的核心指标之一是顾客满意度,顾客满意后什么都说。 转换为硬性指标后,将变为顾客满意率(正数指标)和投诉率)负数指标),但大部分乙方的安全服务工程师只有在实际发生事故后才能考虑,因此使用这种长期审查的指标往往不太适用。

价值实现差异:无论是安全服务提供商还是安全需求者,工程师感受到的一切都是一种变体。 (这话不是我说的,但我非常同意。 因为正确的价值是雇佣关系的先决条件。 换句话说,如果不能实现雇主需要的价值,你们之间就不会发生雇佣关系。 甲方安全运营技术人员的价值在于解决企业业务运行中的所有安全问题,但乙方安全服务技术人员变现的途径会很多。 例如提高企业知名度、为客户解决某些问题、开通客户渠道等,具体需求与具体岗位有关。

在这里,我有时会不由得想起一些段子,比如甲方安全不懂技术,乙方都是来工作的,是人肉扫描仪等等。 这些确实也有很多键盘侠的评论,但我们作为同行者,首先谈谈是不是说的对。

技术对安全这个行业来说,如果不是足够强大的话,不是就做不好吗? 从周围的人和自己的实际工作情况来看,未必技术强就安全。 虽然有人会反驳说,不管人的xxxx有多厉害,利用链式干法用VMWare进行虚拟化能打那么6个洞吗? 但是,站在甲方安全的角度考虑的结果是,无视我们,我们穷得不能使用vmware。 使用链接的是vmware的私人协议,因为是我们使用的开源,所以不影响。 这个时候,我们分解为上述两个要点。 安全服务提供公司可能真的觉得利用这条链条很牛逼。 当然很牛逼,但从甲方安全运营的角度来看,我们连资产都没有。 不能说强。 虽然说很牛逼,但实际上和我们没关系。 最多朋友收集赞扬转发一下就完了。 在甲方看来,大部分工作可能是修复低级别的漏洞。 而且是迭代修复,修复方案也确实是xx漏洞通知中的升级或禁用组件。 但是,实际上,并不是所有的东西都可以简单地升级和禁用。 与上述评价方式相对应,这种脆弱性趋势收敛,新增加的风险可控,这一点很有成就感,对于挖掘出利用链,可能有8个实现价值。

安全服务是人肉扫描仪。 不,首先,安全服务的价值基于中小企业在比较资金预算和服务SLA的基础上,认为购买安全服务是比较便宜和有效的方法。 因此,安全服务本质上是为了解决企业的实际安全问题而去的,有价值,价值就是企业能够解决实际的安全问题,所以单纯说“人肉扫描仪”是有点不公正和不客观的。

0x02 如何做一个好的安全运营工程师

以下所述的事情现在自己可能还没有做好,但也许可以作为参考。 也许不一定正确。

a .标记意识:标记顾名思义,就是找到基准,学习他们是怎么做的。 其难点是寻找正确的基准,分解其实现方法。 例如,在考虑如何进行开源组件的漏洞管理时,我们要做的第一件事不是说打头炮就能马上打通的计划,而是说同事们怎么了,公司在同一个卷里怎么了,AT怎么了。

(1)我们现在这个街区的安全能力在同格公司中大致是什么水平

(2)我们距离国内同行的水平有多远,他们怎么了?

(3)我们距离世界一流的同行有多远,他们做的事情我们能重用吗?

第一个问题有助于正确理解我们的现状和我们想实现的目标。 第二个、第三个问题有助于我们正确理解行业的工程最佳实践模式和运营模式。 可以把握今后一段时间的建设方向。 随着企业量的增加而逐渐得到,但不要照本宣科。 例如,谷歌安全地定制了操作系统和芯片。 这个学习成本太高了。 而且,也可以不用这么高的安全级别。

B. OKR思维:我们已经知道该做什么了,所以这个时候,我们需要根据上面的调查结果把大目标分解成几个可以量化的小目标。 说实话真的有点难。 很大的原因是现在很多安全运营工程师都是由安全服务工程师转换而来的。 case by case的工作模式消除了对长期评价的理解。 说白了,前顾客的问题解决了就完了。 下一个继续,下一个继续。 但现在,你要为解决而负责,只能以一个case结束。 长期运用需要比较。分解目标时,经常会从老板那里收到各种各样的挑战。 比如,为什么要用这个指标来衡量你做的好坏,如果这个指标做得不好说明了什么问题,别人给你做这个工作的指标是不是和你一样,这里又回到前面的问题,价值就会实现。 在boss看来,他可能不理解这方面的具体实现。 当然,他也不需要理解。 因为你是这一块的专家,所以他只需要在符合公司安全计划的前提下,判断你说的指标是否真的能证明你的工作好坏。 这条路不仅在日常的工作计划中,在晋升答辩时也会遇到。 例如,晋升答辩领导的专业是数据库,你的日常工作是安全运营。 因为此时他不知道你的技术(这是个很辛苦的过程() )。

c .数据驱动:

最让老板生气的是为什么没有数据? 受以前case by case工作的影响,数据积累这一部分最痛苦。 痛苦的不是把数据放在哪里,而是重要指标的选择和趋势的输出。 选择指标,实际上可以说简单也可以说难,但要说积累量化,要说简单就更难了,并不是简单地将数据可视化罗列就完了。 必须能够解释所有的变动。 在大趋势的背后,只有你做那些工作,才会发生这样的变动。 这样,老板才能承认你罗列的指标,判断你的工作是否出色。

d .链接头:

其实这部分相当于猜中上司的心。 举个例子,例如boss让你收集pypi源下的所有恶意包信息进行入侵检测。 只是用鼠标在平台上点击几次或者写一次性脚本就可以解决,但boss的意图并非如此。 我们只有pypi酱吗? 其他来源没有问题吗? 一共有多少个调味汁? 这些来源的上游数据是怎么来的? 上游数据是否有安全鉴定机制? 鉴定机制能发现恶意包投毒的问题吗? 等等。 实际上,通过一系列方案的假设和设问,我们可以看到,boss并不是简单地一次性跑完方案,而是希望真正解决供应链投毒的问题。 即使这些都结束了,增量怎么控制? 怎么运营? 可以判断威胁收敛的指标是什么? 通过重复提问和常见问题,我们可以知道事情的本质并不像想象的那么简单,但是我们可以发现新的风险点。

e .产品思想:

国内的安全公司有非常大的特点。 不与安全服务合作的话,几乎谁都不能使用。 另一方面,国内确实有很多专业的安全产品经理缺乏解决相互作用和风险可视化问题的能力,因此“地图炮”无法准确地指示风险。 另一方面,很难直接说出口。 从眼睛应该可以看到,毕竟老年人的产品在易用性和功能性上大大领先于国内,老年人的安全服务实际上不是直接销售者,而是以SOC产品分析师的方式落地的。 但是,从甲方的角度来看,甲方为了安全做最忌讳的事情其实是能力断层,也就是你辞职后,公司在这个领域黄了。 因此,能力落地的最佳途径是产品和运营,产品的易用性直接决定了运营难度的高低,而安全产品的质量才是实际衡量安全能力的有效指标。

0x03 最后说的

报道的内容不面向任何人或公司,仅限于娱乐。 虽然也有想作为参考的情况,但是请慎重。 例如,如果由安全服务提供商向安全服务区提供产品,一些人可能会认为你疯了。 另外,也可能是直接领导。 如果在顾客面前承认产品有缺陷,并答应修复它,可能会被大boss打小报告,说产品的坏话。

事实上,目前国内安全行业与中国国家足球队的情况相差无几,中国国家足球队最大的问题就是教练不是大佬,最大的问题之一就是青训接不上啊。 年轻人不会踢足球或者不想踢足球。 信息安全专业的应届毕业生受一些安全圈的大黑客的影响,果断从事漏洞挖掘、安全研究领域,但一些自我认识很强的人认为自己成不了大佬,早早转行或投身安全服务行业安全运营吗? 如果各位,请给我一点安全运营的机会。 不要那么小看安全运营。 用一句话总结一下国内安全行业的现状吧。 (仅表示个人观点。 大学生被挖洞和渗透的大佬们的猛者操作所羡慕,毅然投身于安全行业。 结果发现和自己大佬的差距不是后天能赶上的,进入安全服务行业,工作几年后,意识到待遇和之前看到的不一样,想转战甲方。 结果,面试的时候很无知。 数据是量化的吗? OKR? 马克? 对不起,我没听说过。 甲呢? 我们也想召集人啊。

可能是在芬兰喝了假酒,但我不知道这篇文章什么时候会被删除。 也许吧?

说到招聘,我们现在真诚地招募大家。 如果是能力强的人,不管是蓝军还是红军都可以试试。

Focus on the strength of the pithy专注极简的力量

PITHY CONTACT

一家没有销售的东阳网站建设公司
我们特立独行

img/mail.png联系我们

PITHY CALL

如果您对我们的服务有什么疑问
欢迎来电咨询

电话
18868949445
img/top.svg
网站声明 | 隐私政策 | 网站地图 © 2018 MFweb. All rights reserved. Designed by东阳网站制作东阳网站设计公司东阳网站建设公司