freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

【君哥訪談】譚曉生:論CISO的個人修養(抖音直播整理)
2020-07-21 12:53:17

引言

目前甲方安全面臨的環境,形勢都在發生巨變。網絡安全法后,老板們普遍接受了網絡安全干不好,自己會進去的觀點。但回頭檢視公司安全團隊后,覺得安全團隊和負責人能力不夠,老板們首選是外招,這其實對很多安全負責人是巨大的信任危機。

企業安全的主要矛盾已經變成:老板們現在重視安全,但安全負責人拿不出老板滿意的方案,規劃和計劃。安全負責人普遍還在被動,吐槽,運維開發業務關系緊張,老板左右不定的信任中生存。而且安全從隱形變為顯性,低頻變高頻后,企業安全負責人的應對水位調整的還不夠,現狀就是出事是概率,老板進不進去依賴你的運氣,這肯定是不行的。但大家普遍還沒意識到這點,也沒找到應對方法。希望我和譚校長直播首秀,能或多或少對大家有一些幫助。

【直播主題】論CISO的修養

【直播嘉賓】譚曉生,清華大學網絡科學與網絡空間研究院工程博士生、北京賽博英杰科技有限公司董事長、網絡安全行業資深人士。

【活動時間】7月3日周五晚上19:00-20:00,60分鐘(直播+互動)。

【直播平臺】抖音

【參與方式】君哥和譚校長的抖音同步直播。

以下為訪談實錄,由于技術原因部分內容未記錄。

“市場的流動性”

【譚校長】:如果你是一個保障部門,就是不要出什么太大的事。保障部門在老板的優先級里面,他能不能記得安全部門的負責人的名字,這在過去好多年恐怕都是一個問題?,F在我覺得大家都應該要感謝現在這個時代,因為IT在業務中的比重越來越大,從Process IT進入到Produnct IT。最近某個保險機構,它的財險、人險和壽險都在招新的CIO,價碼也都開的很高,想解決什么問題呢?他是希望科技能夠在他的業務中扮演更大的角色,這個是一個很大的變化。

給大家講個段子:大概三四年前我去參加Gartner在奧蘭多的Supposing峰會,當時請了GE的CIO還有GE的CEO,IBM的CEO做主持人。主題挺好玩,叫CIO Rising。結果GE的CEO上去之后, IBM的CEO就問他說你們的CIO blabla……然后CEO馬上就問,CIO?他來這里干嘛?他不是應該回去讓我們的 ERP系統不要出問題,Oracle系統不要DOWN,他來參加這個會干什么?當時下面的CIO們一片嘩然,我們剛開始本來氣氛搞得挺煽情的,結果CEO來了之后直接就是一盆冷水,他就認為你就應該回去把費用控制好,把成本控制好,讓ERP系統不要DOWN機,這就是他對CIO的理解。

到現在這個時代,像剛才聶君說的,《數據安全法》、《網絡安全法》等等一系列的法規出臺,讓網絡安全成為一把手的一個考核指標。所以一把手如果搞不好,他就可能會被網絡安全的業績所拖累。這個給我們的網絡安全的主管們其實帶來了一個非常好的發展機會。但是同時也是因為咱們過去的角色更多的是在一個輔助角色,重要性不夠,所以我們不管是CISO還是網絡安全的負責人,是否真正具備戰略思考能力,以及是否深刻地理解了他組織的業務的根本是什么,我覺得這個會是一個比較大的問題。這個東西我覺得你不能怪別人,這個是在過去自己的能力確實還沒有達到這個水平,解決的方法就只能是提升自己的戰略思考能力。你要具備站在CEO的角度去考慮組織的業務,然后再想你自己在這個業務中怎么樣能夠更好地提供支撐。我相信對于很多人來說可能會差了1~2個段位這種能力,唯一的辦法就是快速把它補起來。?

在一個成熟的組織里面,當遇到問題的時候,老大想去挖一個能人過來把這一攤事撐起來,這是非常正常的。其實他們挖回來的大多數人可能到最后也會被去掉,也照樣會出事,但是對他們來講,你想想 CEO的邏輯,不換,我就是把自己的腦袋別到他的褲腰帶上,哪天他給我搞出問題來,我不是死菜了。如果我不換,是一定會出事。我換了還可能會出事,但是假如我運氣好,我真的去請了業內一個牛人了。你想想咱們這業內有多少很牛逼的企業家,最后遇到了很多騙子,為啥,因為其實他是要求變,他不會那么保守,他要激進,他要變。而安全的行業里面其實騙子也不少,有各種各樣的善于炒作的人去炒作自己的名聲,他會能吃到紅利,他就會能夠騙到一些人,其實任何一個行業都是這個樣子的。這種過程之中,如果你自己不能很好地提升自己,不能去表現自己的團隊,你讓自己的團隊和自己在老大面前沒有存在感,被換這個事也挺正常,這事本身沒啥。?

【君哥】:對,這是老板市場化選擇的角度在考慮。

?【譚校長】:但是你反過來想,這說明了這個產業它有流動,有流動的好處就是你要再找份工作也沒那么難,因為有另外一個組織的老大也在考慮換掉他的CISO,可能大家互相換一換,弄不好工資還漲了百分之二三十。

?【君哥】:對。有道理,鼓勵大家跳槽。

?【譚校長】:有市場的流動,有流動性就是好事。?

【君哥】:我覺得譚校長談的很重要一點就是,這個現象,它是一個符合市場規律的一個正常的現象,而且是一個正向的,好的現象。因為畢竟有新的需求,有人員的需求和流動,對于我們網絡安全從業者來講,它未必是一個壞事情。

?【譚校長】:總比一潭死水好。你看其實我在360做CISO的過程中,也打交道過不少CISO,我感覺性格比較悶的人比較多。他可能有一種來自骨子里的自信,但是我覺得他其實是缺乏追求。?

【君哥】:佛系。?

【譚校長】:對。首先CISO對安全確實是懂的,但是懂了之后容易出現一個過度悲觀。因為他發現我做再多的事情,我依然可能會被高手拿下。?我當年在360做安全的時候,我就給別人開玩笑,假如說一旦出事被拉去斃,我能活多久完全就是個概率事件,因為見的高手太多了。

為啥在做360CISO的時候,我從來不敢出去吹牛逼。你看我什么時候出去對別人說,說我們安全做得多好多好,我一次都沒有。因為我知道一旦吹牛逼一定會被雷劈,就一定會被人搞,所以從來不敢吹牛。但就算在這種情況下,你也不能佛系地生存,因為安全發展的這些年,防御技術進步也是很大的,而且是從被動防御到主動對抗。?大概是在2016-2017年那個時候,當時我也是用了好多方法做防御,但是有一次突然想明白了,與其是帶著團隊人為刀俎我為魚肉,是不是能換個思想,我能不能開始主動給攻擊者挖坑?然后我們主動地搞好和公安的關系,你是要搞了我,我回頭咱們也可以試著把他搞死對吧,把他搞進監獄,追根溯源之類的。這兩年威脅狩獵這個概念火起來了,其實就是一念之差,你的生活質量就完全不一樣了。你過去等著事來找你,現在變成了我們也開始挖坑埋雷,也開始要算計別人,生活就有意思多了。

?做CISO不能太佛系了,要了解新的技術有什么樣的進展,要給自己挑戰去嘗試,同時把自己的被動工作變成主動。我過去給CTO班講課的時候,說我十多年前的一幫互聯網圈的CTO的朋友們,今天絕大多數都當了CEO。不管是去了別的公司做CEO,還是說自己做一個創業公司在做CEO,我覺得人就是不進則退,你是不斷地要給自己挑戰的,你要是就想著我做好我的CEO或者做好了CIO,你會發現你的發展確實會遇到問題,就逼著只能是往上走。?那么作為CISO來講,我覺得你要了解公司的業務,就哪一天如果讓你去做業務線的時候,你是不是能了解業務的策略,能不能去擔起來更大的職責。?因為今天咱們的一個目標是我們安全在在一個組織里面要能起到更大的作用,而不僅僅是說我就是一個守門員,我是最后一堵墻,不要被別人拿下。你要再往前一步,你能夠對業務做出什么貢獻,如果說你能有這個能力,你就不太擔心老板找一個更能干的人。他找來一個更能干的人,那個人來做CISO,然后你被安排到了一個更高的位置,何樂而不為。?

“做安全業務的價值是什么”

【君哥】:我現在在乙方公司做甲方安全,其實一直也有一個不大不小的困惑,就是作為安全負責人,其實很難講清楚自己的價值。沒出事的時候,安全追求的是沒有存在感。出事的時候人家會覺得你也沒有防住。安全的價值不像業務,我投入多少,然后我產出多少,所以這塊希望譚校長和大家分享一下。?

【譚校長】:我覺得其實你做一個組織或者做個人,你在你的組織里面是要刷存在感的,抓住一些機會去刷存在感。你比如說像GDPR,我不知道GDPR實施那一年,你們在自己的組織里做了哪些事。反正我當時是做了不少事,拉著我們的數據安全團隊對產品進行審核,包括5月28號那天我們停掉了在歐洲和美國的所有的攝像頭等等這些業務,把一些數據存儲等等這些問題清理完了之后才重新上線,而且給業務部門的通報,給公司的管理層通報,這都是你要做的事情。你要利用這些大事要去刷存在感,展現自己和團隊。

?GDPR當時在實施的時候,國內很多的業務部門是沒有意識到它的嚴重性的,我上課的時候問一個班上四五十個學生,只有1/4或更少的學生關注到了GDPR,其他人根本就沒這個意識。這些行業大事,國際新聞,都要利用起來。還有咱們的比如數據安全管理條例,網絡安全法、密碼法等等這些東西出來的時候,都是機會。你要去向業務部門、向老板講這個東西的要求,合規是一個很好的理由,你不合規的話,你的業務你就無法進行了,你的牌照有可能會受影響等等。?還有出安全事故的時候,比如你同行里面哪家被黑了,誰家被勒索了,比如你如果是生產制造型企業,富士康被勒索,臺積電被勒索,造成多大的損失等等這些事情,這是你天大的機會,你要向老板去講,如果我們也遇到這種情況我怎么辦。然后我該做什么樣的防御能夠減少這種損失,我需要什么樣的預算制度。?還有就是這個演習(護碗行動),雖然給大家帶來了壓力,但是你有沒有想過這其實是個機會,因為老板也不想這個成績不好,不想丟人,我們就要借助這個機會去做一些營銷。?還有就是日常的體現,我原來的團隊會干一件事——在辦公室的走廊貼網絡安全相關的宣傳畫,我們創造了一個人物叫杜懵懵,大家知道有杜拉拉,我們這個叫杜懵懵,是一個懵懵懂懂的小女孩,信息安全的知識比較差,然后進到公司里之后就犯了各種錯誤……

我們創造了這么一個形象,做成漫畫的形式,貼在公司的電梯間。這樣做了之后,老板、其他高管、其他同事們,日常就會知道信息安全部做了宣傳,他們在做事。?如果你學過廣告有關的理論,里面提到如果你要讓別人記住一個品牌,這個品牌要在人們眼前閃現至少40多次。你要看到這個東西那么多次,你才能對他有印象。在公司里你要讓其它人經常知道、看到、想到信息安全部,這些事就是有意義的工作,不停地刷更多存在感。?

【君哥】:有一個人說我們安全人員總是給別人帶來不好的消息,今天是你有漏洞了,明天是你數據泄露了,后天說監管來處罰我們了,后來這個哥們他就轉行去做精釀啤酒去了。因為做安全,搞得人心情不好,如果做啤酒,我給人家能帶來一些美好的東西。我感覺安全里面有一個其實是有個死結,事件營銷也好,刷存在感也好,其實更多的時候是利用一種相對不太正面的消息來推動工作,人就不快樂。譚校長您怎么看這個問題??

【譚校長】:這確實是個難題,這個問題也困擾我好久。我過去不僅僅管安全,我還管運維,我說實話我到最后也沒想到很好的辦法。我后來是想到我們做安全也有一些機會是能給公司去爭光的。你比如說某個運營商,有一次在演習當中就做到了比他另外兩家運營商成績好很多,這樣也行。雖然大家都是得負分,那個得了是-49分,我得了-9分,我就比他牛逼很多對吧。?

還有就是和業務部門打交道的時候,什么時候你能救了他們一命,比如說某個業務部門被別人入侵了,如果你能在對攻擊進行溯源,最后把罪犯抓了,業務部門也會感謝你。

【君哥】:現在企業都開始重視安全之后,我看到的一個現象,老板他更希望咱們的安全是一個體系化的打法,從整個的規劃開始,團隊的組織架構,3年至5年的計劃……實際上對于我們安全負責人來講,可能以前埋頭做具體技術的工作比較多,但是做整體的規劃需要的戰略眼光相對比較短一點,比較少一點。所以在這方面我也想請教一下譚總,如何做一個比較接地氣可落地,但是又能夠跟上老板的高度的網絡安全的規劃。?

【譚校長】:這個問題其實和剛才你問的第一個問題是有關聯的。我覺得這就是考驗CISO的戰略思考能力。很多人對戰略的理解其實是不太準確的,戰略是我們首先看競爭終局,就是到某個時候的時候它該是什么樣子,你就要想你的組織的定位是什么,未來3年、5年、10年之后它的業務是什么形態,在這個形態里面,IT相關的技術是怎么回事,網絡安全在里面是怎么回事,業務安全之間的關系是什么樣的。

?我們現在的產業正在進行非??斓臄底只D型,你認為它在數字化轉型到某一個階段相對穩定的時候,安全該是什么樣子,這個時候終態應該是你追求的目標,安全團隊和業務安全團隊是合一還是分離,應該是怎么樣的互動關系,你會有多少人,你在里面會有什么東西是你通過供應商來的,什么東西是買的服務,你要做好未來終態的預測。做好這個之后,再來看說我今天的狀態是什么樣,今天我的安全團隊是什么樣子的,然后我要到美好的將來,那么我應該怎么做。我第一步該怎么做,第二步該怎么做。注意,從今天這個狀態到未來的理想狀態,不一定是直著走的,直著走可能會死掉的。

?【君哥】:這個怎么理解?

?【譚校長】:是這樣,比如說你認為未來我的安全團隊,可能是和業務團隊合一的,那么這種狀態下,至少有一個問題——將來是誰吃掉誰?是不是有可能是業務風控團隊最終會整個把安全部門收編掉?你希望安全團隊未來占有更大的主動權,而不是現在我就繳械投降了。在這種情況的發展過程中,你可能就要想,我怎么樣一步一步去跟業務部門達成戰略同盟,怎么去獲得老板的信任,怎么樣一步一步把自己的團隊預算擴起來。這個過程業務團隊的和安全團隊之間的關系很微妙,看誰明先想明白,他先想明白,他先布局他就把你吃了。你先想明白如果你手段夠,那可能你最后就能把對方吃,在公司里這種競爭是很正常的。?但在這個發展過程中的陰謀詭計肯定也多的是,所以,該用手段你還是得用手段。

在這個過程中,不一定是直接去找老板說未來狀態就是那樣,然后我該要多少人,這可能是要不來的。還有一些時候比如說一些問題的發生,你到底應該在什么時機什么地方去解決,也需要思考。有的問題并不是在剛冒頭的時候就應該解決,而是你要等到它發展到一定的狀態的時候再去解決,可能會取得更好的結果。這些就是策略上的一些事情。?從今天走到美好明天,動機不是壞的,我們也是為了讓公司的業務發展的更好,但發展的更好的過程中,他可能有A方案、B方案、C方案、D方案?,F在若干個方案里面就是要你去尋找一個局部最優,對于你和你的安全團隊最優的一個方案,這件事情是合理的。

咱們過去要講什么風格講情操,這個東西就有全局最優和局部最優,資本主義社會它就是去追求讓每個人你要追求局部最優,然后通過追求局部最優,然后最后形成全局最優,就這個樣子。

“如何應對安全信息的快速更新”

【君哥】:好的。還有一個問題,現在的安全知識更新太快了。我甚至有一種感覺,就是說可能別說三個月,我感覺我一個月不怎么關注安全的一些知識,可能就已經是有很多的一些新的東西出來。隨著我們年齡的增加,接觸新東西,可能接受度相對會慢一些。所以在這方面,譚總您能不能談一些你所見到的一些比較好的方式。?

【譚校長】:這個問題也是一個特別現實也很難解決的問題。

我所用的方法,第一個是努力地去抽取這些事情背后的原因,去建模型。我和30歲小伙子,二十幾歲小伙子去比知識學習的速度肯定是比不上他們,這種情況怎么辦。你可以用的是你過去積累的經驗和歷史,因為新的知識和歷史的知識之間是有關聯性的,你要想辦法學的比他們更快,更要了解這個知識背后是為什么,這里面就需要抽象和提取的能力。

?第二個就是信息獲取的渠道,今天咱們的信息獲取源是過剩的,信息產生的速度比你閱讀的速度要快得多,這種情況下你還是要去篩選一些有效這些信息。比如說網絡安全領域,我覺得比較有效的信息源,一個就是三個海外的大會,我是努力去參加的:?

  • 排名第一的是Gartner安全風險管理的峰會,每年6月份在華盛頓舉辦。這個會我覺得是它的價值非常之高,是非常優質的信息源,這些分析師們來給你來講4天,能學到很多東西。
  • 排名第二的是RSA大會,不是說演講的嘉賓們怎么樣,而是說能看到600~700家廠商展示他們的產品,你會有三四天時間在非常繁忙的去看這些廠商展示的產品,然后還會有機會和朋友們聊一聊。
  • 排名第三的是DEFCON,這個會是比較偏技術細節的,各種各樣的搞破解等等,他是一個更偏技術的會。

這三個會對我來說是信息獲取的一個非常有效的方式,幾天之內給你灌海量的知識。?其他的比較好的信息獲取渠道,我覺得是和朋友們聊。我在360的時候,手下的安全團隊兄弟們很多,他們就會經常聊各種各樣的故事。不管是一個APP入侵的排查,還是說他做了一個什么樣的研究,日常和這幫兄弟們聊天就能學到很多東西。其實作為甲方,你有這個優勢,你能不能標定,比如說7個朋友,然后1個季度一定要跟他們吃頓飯,因為你做甲方大家要做你生意,基本上還是很多人會愿意和你交往的,你要能夠說給他們一頓飯,他們都很樂意來。?吃飯過程中你就和他們聊聊天,你主動聊,除了風花雪月之外,能不能談談最近你們這兒出了什么產品,誰競爭你,競爭對手怎么樣,行業里面發生了什么有趣的事,能夠講講這些,你主動把話題往這個方面去聊,這樣的話你得到的是一個篩選過的信息源。當然你可以不斷地再去篩,誰的信息質量高,今后就和他多碰一下,有哪些不行的我后面再換。這樣通過人來篩選,當然朋友圈,微信朋友圈,包括現在像聶君搞的直播,都是優質的信息源。有空的時候掃一掃,如果內容不好,也不一定非要仔細地讀完。

?【君哥】:所以對于我們安全負責人來講,要關注真正對自己這個崗位角色最有價值的的信息源。我們做任何的事情資源都是有限的,在這些制約下面,如果想最大化地讓我們的安全團隊產出,主要的精力應該放在哪些的方面??

【譚校長】:我覺得這個和業務是密切相關的,沒有一個統一的答案。資源有限,怎么樣定義有限?一個億的預算是有限,還是1000萬的預算有限,還是100萬的預算有限,不同的客戶,他們對錢的感覺是不一樣的。窮有窮的做法,有錢有有錢的做法,但不代表有錢一定就能做得更好。我覺得做安全團隊還是要跳出安全來看安全,還是要站在你的業務角度看業務最關心的是什么,這個是實的。第二個再考慮到這個里面有哪些東西是有倍增系數的,這是做虛的,虛實結合,但是最終要的是用戶的體驗。

?比如說我做360的CISO,大家會覺得說我的資源就是無限的,其實不是的,我在接手的時候不到10個安全人員,然后到最頂峰的時候80來個安全人員,我們在安全上的預算雖然多,但也不是無限制的花。而且這個不僅僅是錢的問題,最后是你精力不夠。咱們業內有廠商發表了一個巨大的圖,是整個政企安全防御的叫做全景圖,我就是問誰有本事把它全做了?實際上我沒見過,美國政府也沒把它全做了,那玩意是當做一個全景圖的理解,誰要那么做,不說別的我給他足夠多的錢,他能活活把自己累死他也做不好,根本就來不及。等全做了,黃花菜都涼了,這個時代你已經被淘汰掉了,所以這個里面最后怎么去拉防線,怎么有針對性的拉防線,需要思考。?

【君哥】:是不是很重要一點,就是要排優先級次序,而且是要與你當時企業的實際情況相結合。?

【譚校長】:這個方法首先是安全建模,別人會怎么搞你,按照風險是多大,然后你現在有多少錢,有多少人多少時間把這個東西排一排,只需要做減法。?我不知道咱們有多少人做過流程,我在2000年的時候帶團隊做軟件開發的一個流程,一看所有說的都有道理,這個軟件開發的5個主要的活動,然后這個東西若干的就是這幾個活動,然后若干的5個級別,然后你要怎么樣做……你剛開始覺得哪個都舍不了都要搞,后來干了幾年之后,我理解到了其實不是那樣的,是根據你是做什么領域的業務,它的迭代的速度怎么樣,然后對過程去進行裁剪,對過程的裁剪才是最應該關注的東西,安全這邊也是一樣的。?你說360本身做終端安全,然后我們終端安全上真的就把今天咱們說的MDR的東西都實現了嗎?沒有。我把準入做了,把終端管控基礎的東西上了,防病毒上了,然后其實你到最后去看補丁是不是100%都打了,他不是這樣的,10萬臺服務器,服務器上所有補丁都打?沒有。

但如果你按照兵法來說告訴你這個補丁就是要打,但是你這個系統有里面有很多這種遺傳下來的系統,老系統,它的里面的可能維護文檔的不全,然后哪臺機器在哪,你要哪個先啟動哪個后啟動,這都是個問題。而且你必須得考慮到有的機器它一=down之后就再也起不來了,你打算怎么收拾?把這些問題都考慮到了之后,生活不是一個完美狀態,最后你是把防御這條壩,這條線拉到高到什么程度,然后再通過什么方法去彌補,讓他不要再出現那么壞的事情,我覺得就可以了。這個東西去裁剪的時候,就有很多活都是給干掉的。?就選做的20%,甚至20%都不到。安全是怎么回事,我覺得他有點像看病,中醫他搭脈,看看你面相,看看舌苔。他是怎么來判斷一個人的身體狀況,一個人是個系統,當你消化不好的時候,反映在舌頭上面,反映了你的脈搏波動等等。如果說我給這個人做核磁共振,cd的全切片,驗血、驗尿驗啥啥都給驗了,然后去做一個診斷,當然可以,咱們現在很多醫院就給你這么干了,對吧,他的責任小,他出錯的概率小,但是如果說是在一個比較緊急的情況下,沒有這些條件,你讓一個醫生還要看病的時候,他怎么辦?他就是根據有限的信息,然后去做一個最大可能性猜測,在安全上其實也是這樣。如果說你的資源有限,你沒有那些手段的時候,你又要解決這個問題,你就要想在什么地方去做,其實概率是最大的。從ROI來說,不見得是差的。?我覺得其實我們就要學會做取舍,咱們干的活是無論如何他都是要冒險的,你別指望說給你無限的錢,無限的資源你就不冒險,碰到高手搞你照樣搞死。

在這種情況下,其實如果說你真的運氣就那么糟糕,我覺得也認了,換份工作也沒所謂。然后你在有限的資源投在上面能實現這個會是一個很好的鍛煉。?不是所有的工作你都要干下去。我們有時候有一種說法叫早死早超生,如果說你真碰到這個老板就是特別的不合適,他也不理解你,你為啥非要那么忍著?以前我的手下有在我這干不下去了,然后去別的公司就干的挺好的,我覺得對他來說,他離開我是一種解脫。沒有人能保證自己不犯錯誤的,看人也不會不犯錯誤,你看人也不會不犯錯誤,你別要求你老板看人不會犯錯誤。

?【君哥】:現在安全我覺得更多像一個生態,這里面有國家有監管,有我們的企業的主體甲方,還有我們的安全公司乙方做服務做產品,可能還有一些大學的機構,在這個生態里面,我覺得很重要的是甲乙雙方的這樣的角色。過去我純做甲方的時候,也不太能理解,我覺得這個事情不是很難,為什么乙方公司它總是不能做,或者他做的質量總是讓我覺得有些難以接受?我現在來到了乙方,發現要做好一個產品,還是需要挺大的投入,很長時間來打磨。所以我就想問譚校長,在網絡安全這個生態里,甲乙雙方如何更好的相處,理解、共贏,你有沒有一些可以分享的??

【譚校長】:首先我自己是程序員出身,你知道寫代碼的平均產出率是啥樣子?我剛出道的時候,c語言寫代碼,一天的有效產出,把這個軟件的維護生命周期都算上,一天是三十幾行。你想想你買的安全產品,它里面是多少行代碼,那得多少人,寫多少個月?所以你別覺得加個班一天能寫300行代碼,沒用的,你寫300行代碼,最后在整個維護周期里面,你后面還得花好多天去維護它,所以這種產出率沒有那么高。你們過去打交道下來有多少不靠譜的程序員,優秀的程序員是非常之少的,大量的程序員會給你產生出來一堆代碼,然后里面加了一堆bug,你后面得花很長時間去調他的bug,而且甚至到這個產品甚至可能退役的時候, bug都不能完全的解除。所以說甲方對乙方的產品的質量的預期不能放的太高。他的產出效率也沒有那么高,你要算算他的員工一年就是多少錢,說你給他那點錢,你別覺得你給了錢你就是爺,不是這樣的,給了錢之后,簽了合同,大家就是互相綁架的關系,最后能不能做好,要一起努力。?

【君哥】:大家都上賊船了。?

【譚校長】:上了賊船,大家在一條船上怎么能夠活下去,這是第一件事。第二個事情,大客戶他肯定喜歡要定制開發,但是定制開發風險是很大的。你知道真正做一個安全公司,它如果不能實現它的產品標準化,一個版本就能賣好多家客戶,如果不能做這個,你看他一個項目簽了幾百萬上千萬,其實基本上很難養活自己,今天的人多貴。?剛才前面說的人的生產效率,這些東西我原來跟奇安信和馬江波那塊打交道的時候,當時有一個客戶的項目,我就逼著他一定要做定制,其實我當時心里很清楚,做定制的話就看起來錢多,但那個單子他肯定掙不了錢,而且會危及他做的標準版本。但是我知道那個客戶用標準版本就肯定解決不了,我最后只能是咬著牙逼著馬江波去做的定制版。

當時就是因為客戶關系好,我無論如何都得保這個客戶,但是如果我是馬江波,我當時做這個東西的時候,我一定是要做標準版的。這個標準版本挑戰很大,對客戶需求的滿足度可能是百分之七八十,但我能一下弄幾百個客戶。如果說我抽了這些人做一個定制版,定制版看起來收錢多,但是經濟上是不合算的。所以有時候甲方你覺得你自己花那么多錢,我要定制,乙方還不是特別待見,你要明白,跟你做的這個生意對他來說是個不合算的事。?還有,能人都是少的,在乙方公司里面最終不管是安服還是開發,能干的人都是很少的,最后一定會有優先級,你別覺得你掏了錢,你的優先級就是最高的,不一定。就是有別的客戶,可能因為各種各樣的原因,它的優先級就是會排到你上面,最強的人就是沒有用到你頭上。你要做的就是想辦法去爭取更優秀的人為你服務就完了。

?還有一個感覺,咱們甲方可能有些大的單位的 CISO,覺得自己真的很懂安全,說實話我都不敢吹。你自己如果是離開一線時間長了,你從邏輯上能推理推得通的事,但實際干的時候可能未必能干得出來。?

【君哥】:地圖上畫一把尺子,戰士們得跑死。?

【譚校長】:對的,各種理論推上去都管用,但實際上就是他遇到的情況會比這個復雜得多。你的平臺可能會給你帶來了一個錯覺,就覺得你很牛逼,因為從來都是說一群猴子爬樹,從上往下看全是笑臉,從下往上看全是紅屁股。這事很正常,你是甲方你手里拿的錢,所有人都說你好話,這個里面他就是有意無意的最后都會吹捧你,但被人吹捧的時候千萬別覺得自己是誰,然后就像你看其他的時候你能看到好多問題,別人看見的時候也是這個樣子。有時候尤其是大平臺,最后它容易給平臺上的一些主管形成一種錯覺,覺得自己特別牛逼,但其實實際上每個人的力量都是比較小,是坐在不同層級上的不同的人,最后能形成一種配合,這種情況還能出來好一點的結果。否則對最后的結果預期確實是不能太高的。?

還是給大家說治病,醫生說有30%的疾病,不用任何治療都會好,喝涼水他都會好,因為身體有自愈性,對網絡安全里面有些安全做得很差,但其實因為就運氣好沒人搞,然后或者是被人搞的時候事沒報出來,然后這事他就過了,他就好了。還有30%他倒霉蛋是給他吃啥藥他都不好,你真的被高手盯上了,或者說你有什么特別高的價值被一個黑產組織盯上了,他一定搞你,或者說被情報組織跟上,你一定會搞你,那這30%是倒霉蛋,水平再高的人防御都沒戲。所以真正的差別是剩下的那40%,我們能影響的其實就是40%的結果,有30+30的結果都不是你能影響的。?要有一個冷靜的認知,就是你的個人貢獻在里面到底有多大。?還有和乙方的互動里面,因為我干過IT,搞過互聯網,做過網絡安全,其中做網絡安全公司,我覺得日子是最難過的,它是最不好做的。所以希望咱們甲方的客戶能夠善待我們的這種乙方公司。?

【譚校長】:咱們現在的安全從業者有多少人,10~15萬,還不都是搞技術的,而真正的行業中堅人才缺口70萬140萬,根本不可能產生這么多人,不是什么人拉來培訓幾天就能成為安全人員,他是要有一定的悟性,然后再經過一個合適的成長路徑才能成就。這個行業里面會非常長久的存在人力資源不足的情況,這種情況要解決他的問題,就只能是說我們要去想辦法能夠把資源復用。就像這次的新冠疫情核酸檢測,中國人不是有個發明,把5個人的樣本放在一塊測,如果一個一個測他生產能力確實跟不上,很多人根本就測不了。

諸位甲方客戶,在信息安全信息泄露能夠得到一定程度的控制的時候,是不是能夠用復用資源,用網絡安全服務來去解決更多人的問題,這個是值得嘗試的。因為其實如果說是有這么一批人,他能做資源復用,去解決多個機構的安全的運維,其實它會多一個資源情報共享。其實得益的不僅僅是別人,得益的也可能是自己。?但是中國就在這個模式上特別保守,大家不愿意冒風險,都想把自己的風險弄得干干凈凈,導致中國的資源共享比較差,效率相對比較低。

我覺得是要用一種開放的心態去想想我們這個產業的未來。剛才說戰略思考,一個是你組織的未來的戰略是一個什么樣的情況,第二個我們可以把它轉化到未來我們的安全產業該是什么樣子,我們要讓這個產業能夠走的更健康,這里面的甲方乙方該是一種什么樣的互動關系。這樣的往前走,在這里我也呼吁一下,就體諒一下乙方。?

但是作為乙方,你得考慮到你收人錢財與人消災,您不能做到最后說讓甲方安全處處長被撤了,然后他領導背鍋受處分等等這些東西,這是不應該干的,就是我們收了別人錢就要把事情要做到不要去害人。

“做網安的優秀企業有哪些”

?【君哥】:這個分享我們不知不覺都快一個小時,譚總您正奇學院我了解也有三十幾家公司,您覺得哪些產品是還不錯的??

【譚校長】:我覺得有很多很優秀的公司,你比如說上海寧盾做身份管理的,大家都不知道,他其實做了11年,然后他的產品很多,國外像思科其實都是他的合作伙伴。而且大家如果打交道會知道他們創始人是一個很好玩的伙計。

還有,金睛云華做高級威脅的檢測,他們它的創始人是一個博士,按照團隊不斷的去改進算法,我覺得都是屬于很有追求的。然后還有做云的,張斌他們叫云溪,做微隔離的,這里面這也是一個廠商聯合。還有做很小眾的。你比如說李科做的觀數,他是做大數據的安全平臺,讓大數據的平臺內嵌更多的安全特性。還有做網絡安全保險,這個就是上海嘉韋思等等。我也非常榮幸能夠有這么一批朋友,大家一起經過了快一年的過程。中國網絡安全的創業者,他們非常不容易,他們非常的努力。我覺得他們面臨的環境其實比歐美和以色列更加惡劣。?

【君哥】:那有沒有不好的??

【譚校長】:別說了。因為已經有人之前的半夜給我打電話,找我投訴,對我有意見。

?【君哥】:好,我們都以鼓勵為主!展望未來三五年,對于企業安全負責人來講,他們應該在哪些方面早做準備,以應萬變?

?【譚校長】:其實我們所處的行業算是很運氣很好的。上個禮拜中國計算機學會有人提出,計算機技術紅利我們還可以再吃30年,我是贊同的。因為咱們整個的世界它是依然在做數字化轉型,他的這種智能化,雖然說這兩年特別熱,但實際你看產業里智能化用到的程度還是很低的,他基本上還是在信息化和網絡化這一部分在轉。

在轉的過程中,其實安全會是一個伴生而來的越來越大的問題。而我們就正好從事安全,我覺得我們至少有30年的時間還會是一個比較好的增長。各行各業隨著傳統產業做數字化轉型,他們中間的安全問題會存在,對CISO這個職位的需求會是非常之大,從就業環境來說是個大好事。?但是我們現在的CISO,是要迫切提升自己的戰略思考能力,站在如何更好的支撐你所在的產業它的數字化轉型這個角度去思考問題。

只有跳出安全看安全,才能把安全做好,跳出安全跳出IT,反過頭站在業務角度來看安全問題,怎么樣去解決你在安全的這些手段,比如說怎么樣能夠去幫助企業去實現更好的業務風控,或者說你怎么樣能夠通過安全提升你的組織給別人的產品或者服務,提升用戶感受,站在這個角度你才會有更好的發展。進攻是最好的防守。

?【君哥】:我剛才看了一下直播的留言,大家對零信任比較關注,所以譚總您看看零信任未來的一些趨勢會是什么樣?

?【譚校長】:零信任肯定是個很好的東西,因為你從攻擊的角度來講,攻擊他偽造身份,可能不管是拿下一個終端還是冒充一個人的身份,這都是一種非常有效的手段。零信任其實是去解決這個問題。過去咱們要做個程序開發,你就會知道控制權限之類的,那是很煩的。那么這個問題的解決,零信任用永不信任永遠驗證這套思路,肯定是沒錯的。?但是零信任我覺得是很不好做的。

我是也在從16年到18年,在360的團隊是做了,用sdp做的,然后上了一些零信任,不能說是完整上的零信任,上了其中一部分,這個過程做起來其實是挺難的。所以零信任這個概念我覺得第一是個好概念,第二個是在現在這個階段,恐怕只有一些比較大的企業機構才能弄得起,它的成本相對來說比較高。因為不僅僅是你上了一套零信任的系統就完了,你要和現有的業務系統去做各種各樣的結合,應用要做適配改造,這個成本是很高的。?但是這個問題可能會隨著我們將來企業數字化轉型之后,越來越多的東西服務會融化,這個情況可能會給零信任帶來另外一個機會。

對于做零信任的人們,我覺得你要有一個充分的思想準備,零信任是對于你現有的業務系統的改造的要求是比較高的?,F階段我覺得你如果是個大組織,你可以往這方向去試,如果說是自己的IT能力安全的實施能力還不是足夠強的時候,錢也不是足夠多的時候,我覺得可以再稍微等一等,他可能會有更成熟,接受程度更高,自動化程度更高的產品也會出來。

?【君哥】:現在還可能處于炒作期,還沒有到一個成熟期。

?【譚校長】:他現在我覺得肯定還沒到頂峰,但是處于是在怎么上去急劇爬坡的階段。?

【君哥】:剛剛也有觀眾朋友們問,譚總您心目中的態勢感知應該是什么樣子的?

?【譚校長】:我覺得態勢感知是已經過了最頂峰那個點,開始再往谷底滑的過程,態勢感知這個詞是中國這邊特有的,可能因為領導人講了要做態勢感知,于是大家都把態勢感覺這東西做了。

從剛開始做出來的態勢感知,其實更多的是給領導們看,他來參觀的時候是5分鐘時間,你能不能給他一個很好的轉換。?這個東西絕對有價值,很有價值,因為他只有那幾分鐘時間能看這東西,你必須要打動他,這時候你才能申請到資源,你申請到人頭,申請到錢之類的,這是非常有價值的,但是不能止步于信息展現的這種角度。展現很重要,絕對不是把活干了,沒展現好,你活既要干了又要展現的好,這樣你這兩個是個相乘的關系。

?【君哥】:對,既要有實力也得有顏值。有朋友也問一下,對于工控安全和云安全的未來走勢,譚總怎么看??

【譚校長】:工控安全這個領域我真的不知道哪家公司能跑出來,現在兩三百家公司都在做工控安全。工控安全其實并沒有那么多,它的市場的天花板并沒有那么高。這兩三百家公司里面,可能80%以上的公司最后都是要死掉。

?第一屆ISC,我和某一個大國企的 CEO在聊,當時就說說工控安全,大家都在等著出大事,出了大事,然后有一個合規性的規定出來,大家按照規定,上一些產品一些東西。要不然你想想,別的競爭對手什么都沒上的時候,他費了半天勁,花那么多錢上了一個東西,又不能100%的攔住攻擊,從ROI來說是很不合算的,他是找死。?這么多創業公司,你也得一把汗,最終大的市場確實是存在的,但是什么時候會有個爆發性增長,最后誰能活到那一天。如果說他運氣正好,在資金鏈斷之前有了這樣的大事,他可能就起來了。

?第二個云安全,中國的生態和西方有很大區別,中國的這種云的產量本身的壟斷性很強,第三方的在公有云上的云安全它的生存機會就要小很多。而如果說是私有云,我們依然會有一些機會,但是它也會有大的經營商或者是云的提供商壟斷市場。?像SAAS之類的應用,在國內沒有像老美那樣大規?;鸨饋?,而且如果有了之后會不會重演大廠商壟斷,或者他們生態的壟斷,我覺得都還是個問號。這其實是IT生態,中國的IT生態和西方的IT生態的不同所帶來的這種問題。中國的客戶的就在這方面的成熟度比西方也要差,因為西方的客戶他逼著這個平臺本身做了開發,中國的客戶這方面稍微要差一點,這個云就肯定是個大方向,但云安全在中國比西方難做。

“數據安全方面的未來趨勢”

?【君哥】:下一個問題可能是跟數據安全法有關,咱們也知道最新的數據安全法草案也半公開了,數據安全其實也是和業務結合相對比較緊密,老板也能看得到的一個點。所以在數據安全這塊,譚總你談談未來的一些趨勢。?

【譚校長】:數據安全我覺得對安全從業者是一個大機會,對于各個企業的需求也是一個大機會。因為這件事情就像GDPR這種合規性的出現,它對一個機構的業務它會形成一下搞死的局面,你在這里面犯了錯,就會喪命。他甚至會讓你的業務停掉,所以這個我覺得這是CISO向老板講明白這件事,然后獲得相應的權限的一個好機會。?

數據的基礎也首先是數據治理,它這里面確實就會是7分管理3分技術。別把技術這個事在里面看得那么重。首先是管理上的事情,一些制度流程的建立,然后技術手段作為輔助,這里面就是涉及到好多東西,有數據的分級分類,數據的加密,數據的檢測,數據的脫敏等等。像這些具體的東西,我覺得找相應的供應商去幫你解決。

?【君哥】:再問一個,剛才有觀眾提到,就是說現在甲方普遍都很難招人,大家都在搶人,不管是應屆的還是社招的,哪怕出很高的價錢都很難找到一個滿意的人。這塊咱們有沒有一些比較好的方法渠道,還有識人用人這方面,人還是挺重要的。?

【譚校長】:看你招人是招什么樣的人,你如果是招滲透相關人員,你肯定要面臨和黑產、和網絡安全公司這種土豪們去搶人。但是這些人你真的一定要自己養嗎?其實這些我覺得是可以通過服務的,不管是和專業的做滲透測試的公司,還是眾測平臺,你就用共享資源解決這個問題。

?作為甲方,你就想想,如果你只有幾個人,你會把這幾個人拿去干什么。我覺得要找懂得安全治理以及具備很強項目管理能力的人。就是活讓別人干,但是你要能控盤,因為其實你手里拿著錢,你是能夠去指揮別人的,但是問題是你得懂治理,還有項目管理,你能不能管得住那么多。?你比你的供應商肯定更懂企業,懂企業的業務,然后搞好規劃,把治理做好,把項目管好,把審計這些事弄好。其他的我覺得很多東西都可以花錢解決。?

【君哥】:行。還有最后一個問題,剛剛有人問到咱們賽博英杰主要做哪些方面的事情,另外他們對正奇學院也感興趣,怎么樣才能加入?

?【譚校長】:賽博英杰主要有三塊業務:?

一個是正奇學院,是一個面向網絡安全創業公司的學習班,招生對象是網絡安全公司的創業者,要求認知有一定段位的。大家在這里學習的是怎么樣去做一家安全創業公司,然后在這個過程之中,學員們能夠互相合作,互相幫襯,共同發展。

一個是正奇俱樂部,是一個中國網絡安全公司的小圈子。這個圈子會給大家提供一些產業研究的結果,一些培訓課程,他面對的范圍可能是各個公司里面的,比如中層總監,比如市場部,產品管理部的人等等,這些不是老板的從業者,這就是正奇俱樂部。

第三個就叫數說安全,數說安全其實是個研究機構。去年12月份的時候,我和數說安全的創始人余江,我們倆商量好了,把兩個機構合并,其實它是一個專業的產業研究機構,比如我給你出今年的網絡安全的產業報告,50強的排名,比如我們正在做的網絡安全產業的投資報告,還有安全上市公司的財年報的解讀等等。數說安全告訴你產業里面都在發展什么事,這個是誰是更強,誰的業務該怎么看,該從角度怎么看,哪個領域內都有哪些玩家等等,要解決什么問題呢?

網絡安全領域內大多數公司它其實養不起一個產業研究機構。一個產業研究部門,你哪怕兩三個人,最后其實也要花不少錢的,一個創業公司根本養不起。我有這么一個產業研究機構,它可以給大家在知識過剩的時代,從一大堆公司的財報里萃取出這公司他到底想做什么,大多數人不具備這個能力,他也沒有這個時間。那么我這種產業研究機構會把這些東西萃取出來,讓大家非??焖俚厝ミM行學習。

?以上就是我們賽博英杰的三個主要業務,你可以看到,它的核心其實都是網絡安全的產業生態的一個這種服務,是面向全產業鏈的,不管是上市公司還是初創公司。?

【君哥】:如果想加入正奇學院和正奇俱樂部,可以關注譚總的抖音,給他發私信,當然也可以加我的抖音,我會轉給正奇學院的對接人。

【譚校長】:咱們正奇學院的二期還要請你來做講師,一定要來。?

【君哥】:好好,感謝譚總給這樣的機會,我覺得特別有趣,你看我的公眾號也叫體歷,體驗和經歷,我特別喜歡從事一些不一樣的東西,所以今天也是腆著臉開抖音,跟大家做這樣的手機直播。其實沒什么特別的,就是想跟大家新朋友老朋友坐在一起聊一聊網絡安全。?

【譚校長】:這也是我第一次做直播,看很多直播平臺里都是帥哥美女,我們老男人基本上就來丟人現眼了。但是這個時代真的是不一樣,今天的直播它已經變成了大家日常使用的獲取信息和優質內容的渠道和方式,我們還是得跟上潮流。前面來的早的朋友應該知道我們前面調試參數,在里面折騰半天。

?【君哥】:對,確實玩法我們搞了半天,社群直播管理員什么的整了半天。我覺得后續咱們可能更有趣一些,還會請譚總來上我們的直播。講講我們網絡安全的一些歷史典故和趣事,回顧一下過去的10年20年,我們是經歷者,也是創造者。

?【譚校長】:說網絡安全這個領域我就再多說一句,我覺得將來我要是退休了,十有八九會寫書的。中國的網絡安全行業,它真的是一個最像武俠小說里面江湖的地方。很有意思。?

【君哥】:對,我們譚總是一代盟主,真的很期待你這本書,我覺得現在寫這本書的幾乎沒有。?【譚校長】:盟主不敢當,我如果能夠像百曉生寫出個兵器譜也挺好。?

【君哥】:期待。謝謝大家,今天的直播就到這里。

?

附注:聶君,信息安全從業人員,十余年金融行業信息安全從業經歷,默默無聞。好讀書,不求甚解。性格開朗,愛好足球。

本文作者:, 轉載請注明來自FreeBuf.COM

# 網絡安全法 # 君哥 # 譚校長
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按熱度排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
四月天小说网