互联网企业安全高级指南3.4 安全需要向业务妥协吗

3.4 安全需要向业务妥协吗


1. 业界百态

在安全行业5年以下的新人得到的灌输基本都是“安全不可或缺”,老兵们可能也有点“看破红尘”的味道,觉得高层重不重视安全也就那么回事。对乙方来说高声呼吁安全的重要性哪怕是强调的有点过头也可以理解,因为是赖以生存的利益相关者,靠它吃饭,影响股价。而对于甲方,实际上要分几种,第一类认为安全压倒一切,且心口一致。持有这类想法的实际又可以细分为两种人,第一种对安全行业涉猎不深,还停留在原始的执念阶段,第二种人的思想可以表达为“业务怎么样与我无关,只要不出安全问题,业务死了都无所谓”,这两种从表象上看都属于第一类,但本质上不同;而第二类人口头唱安全重要,但心里还是会妥协。可见甲方安全团队是形形色色的。

2. 安全的本质

撇开上述业界百态,先看安全管理的本质是什么?安全的本质其实是风险管理,绝对的安全可能吗,说绝对安全本身就是个笑话。就像知名黑客袁哥说的,哪怕是Fireeye这样的公司也一样会被APT,原因是攻防不对等,防御者要防御所有的面,而攻击者只要攻破其中一个面的一个点就可以了,公司几千人的客户端行为不是安全管理员能决定和预测的。在所有的面上重兵布防可不可以,理论上可以,但实际绝对做不到。接近于绝对安全的系统是什么样的?尽可能的不提供服务,提供服务也只提供最单调的数据交互模型,尽可能少的表现元素,那样的话还是互联网吗,还有用户体验可言吗?而且安全和成本永远要追求一个平衡。假设一个大中型互联网公司的安全建设成本从0~60分需要1000万,60~80分需要2000万,80~90分需要5000万,90~95分需要2亿,这种边际成本递增是很多公司无法承受的,只能追求最佳ROI,虽然最佳ROI难以衡量,但绝大多数人不会拿出收入的50%去投安全建设。

3. 妥协的原则

既然安全建设的本质是以一定的成本追求最大的安全防护效果,那一定是会有所妥协的。于是反过来揣摩一下那些说宁可业务死也要做安全的观点的初衷是什么呢,也许你猜到了,怕担责任!因为业务死了安全团队不担责任,他们可以说“你看安全不是没出问题嘛!”这固然是一种保护自己的方法,但是从公司的角度看这就有待商榷了。我认为安全本质还是为业务服务,如果业务死了,即使安全做得再好也没价值,更准确一点说,安全需要为业务量身定制,如果业务要轻装上阵,你给他重甲也不行,只能穿防弹背心。安全做得过于重度都是不合适的。相对而言第二类人拥有更加积极的心态,坚持原则又懂得给业务让路,只是要把握好分寸,避免自己的好心被人利用,成为安全问题不整改的免责窗口,那样就事与愿违了。

安全做得不称职的表现,除了“无视业务死活”,还包括:用户体验大打折扣,产品竞争力下降;公司内部流程大幅增加,严重影响工作效率;限制太多员工满意度严重下降,人员流失;规章制度太多,以至于公司文化显得不近人情……这些都属于安全做过头的表现。

有的人出发得太久,以至于忘了初衷是什么。

那么哪些可以妥协,哪些必须坚守呢?高危漏洞,有明显的利用场景,不能妥协。重要的安全特性,比如公有云中的VPC,底层缺少一个安全特性,直接会导致安全建设的上层建筑失去了“地基”,整个都不牢靠了,这种还是要坚持,可以不精致,但必须有。

对于不痛不痒的漏洞,以及待开发的安全功能,如果开发周期很长,受众群体很少,使用该功能的用户比例极少,边缘性产品,只影响某个中间版本到下个版本被其他机制完全取代了,诸如此类的情况可以考虑酌情妥协。当然这还会涉及另一个话题在不同的维度解决问题,这个之后再展开。

妥协并非退让,而是大局观,试想公司业务没有竞争力时,做安全的一样面临窘境,无论如何都要看主营业务的脸色,与其被动跟随不如快出半个身位。

最后补充一点:妥协不应该发生在工程师层面,而是应该在Leader和安全负责人这个层面。如果在安全工程师自己提的整改方案这个层面上,自己主动开始妥协了,那后面很多事情就没法做了。

时间: 2024-10-23 15:08:39

互联网企业安全高级指南3.4 安全需要向业务妥协吗的相关文章

互联网企业安全高级指南导读

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南

信息安全技术丛书 互联网企业安全高级指南 赵彦 江虎 胡乾威 编著 图书在版编目(CIP)数据 互联网企业安全高级指南/赵彦,江虎,胡乾威编著. -北京:机械工业出版社,2016.8 (信息安全技术丛书) ISBN 978-7-111-54301-5 I. 互- II.① 赵- ② 江- ③ 胡- III. 网络公司–企业安全–指南 IV. F276.6-62 中国版本图书馆CIP数据核字(2016)第166015号 本书由业内多位顶级安全专家亲力打造,分享了他们十多年的安全行业经验,特别是对大

互联网企业安全高级指南1.1切入“企业安全”的视角

第1章 安全大环境与背景 如果从一个很微观的角度切入企业安全这个话题,那么大多数人会像一叶孤舟跌进大海茫茫然找不到方向,所以本章从安全领域整体环境入手,以便于读者找到系统性的那种感觉.尽管笔者没有致力于提供关于企业安全的一个非常完整的"上帝视角",但也尽可能地兼顾了这方面的需求. 1.1 切入"企业安全"的视角 目前安全行业中"二进制"和"脚本"流派广为人知,虽然他们是安全行业的主力军,但除了微观对抗之外,安全是一个很大的工程

互联网企业安全高级指南2.2 如何建立一支安全团队

2.2 如何建立一支安全团队 如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队.上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题. 在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司.平台级互联网公司.大型集团的互联网+,到千千万万的互联网创业型公司. 1. 极客团队 如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里

互联网企业安全高级指南1.2 企业安全包括哪些事情

1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平台和业务安全:跟所在行业和主营业务相关的安全管理,例如反欺诈,不是纯技术层面的内容,是对基础安全的拓展,目的性比较强,属于特定领域的安全,不算广义安全. 3)广义的信息安全:以IT为核心,包括广义上的"Information"载体:除了计算机数据库以外,还有包括纸质文档.机要,市场战略规划

互联网企业安全高级指南1.3 互联网企业和传统企业在安全建设中的区别

1.3 互联网企业和传统企业在安全建设中的区别 总体来看,传统企业偏重管理,有人说是"三分技术,七分管理":而互联网企业偏重技术,我认为前面那个三七开可以倒过来.其实这种说法也是不准确的,到底什么算技术,什么算管理,这些都没有明确的定义.安全领域大部分所谓管理不过是组织技术性的活动而已,充其量叫技术管理. 先说一下传统企业和互联网企业在安全建设需求上的差异. 传统企业安全问题的特征如下: 1)IT资产相对固定. 2)业务变更不频繁. 3)网络边界比较固定. 4)IDC规模不会很大,甚至

互联网企业安全高级指南1.4 不同规模企业的安全管理

1.4 不同规模企业的安全管理 1. 创业型公司 对于创业型公司而言,安全不是第一位的,我在唱反调吗?应该只是大实话而已.安全建设的需求应该是:保障最基本的部分,追求最高性价比,不求大而全,映射到技术实现应该是做如下事情: 基本的补丁管理要做. 漏洞管理要做. L3-L7的基本的访问控制. 没有弱密码,管好密码. 账号认证鉴权不求各种基于条件的高大上的实时风控,但求基本功能到位. 办公网络做到统一集中管理(100人以上规模)和企业防病毒,几个人的话,就完全不用考虑了,APT什么的就听一听拉倒了.

互联网企业安全高级指南3.7.4 SDL在互联网企业的发展

3.7.4 SDL在互联网企业的发展 目前SDL在大部分不太差钱的互联网企业属于形式上都有,但落地的部分会比较粗糙.通常只有一两个环节.最主要的瓶颈还是人和工具的缺失.以前互联网企业只生产Web,攻防驱动修改得以应付,但是现在大型的互联网企业不再只生产Web,而是会自己生产诸如分布式数据库.浏览器.手机操作系统这样的大型软件,单纯的攻防驱动修改已经日渐乏力,没有足够的安全设计能力将无法应对未来的威胁.因此推测以后的安全行业中,设计方面的人才会严重缺失,大部分甲方安全团队仍然游离在设计的大门之外,

互联网企业安全高级指南1.5 生态级企业vs平台级企业安全建设的需求

1.5 生态级企业vs平台级企业安全建设的需求 生态级企业和平台级企业之间的安全建设需求不仅仅是量的差别而是质的差别. 1. 差别的表象 主要差别表现在是否大量地进入自己造轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现. 那么平台级公司和生态级公司的区别又在哪里?从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研.而平台级公司则会依赖开源工具更多一些,不会对所有解决方案场景下的安全工具进行自研.如果有预算也会优先投在"业