2.2 如何建立一支安全团队
如果要去一家公司领衔安全建设,第一个问题就是如何建立安全团队。上面提到不同的公司状况对应的安全建设需求是不一样的,需要的安全团队也是不一样的,所以我按不同的场景来深入分析这个问题。
在目前国内的市场中,BAT这种公司基本是不需要组团队的,对安全负责人有需求的公司大约是从准生态级互联网公司、平台级互联网公司、大型集团的互联网+,到千千万万的互联网创业型公司。
1. 极客团队
如果你在一个小型极客型团队,例如Youtube被Google收购前只有17个人,在这样的公司里你自己就是安全团队,俗称“one man army”。此时一切头衔皆浮云,需要的只是一个全栈工程师。
2. 创业型企业
对于绝大多数创业型企业而言,就像之前所说的,CSO不一定需要,你拉两个小伙伴一起去干活就行了,今天BAT的安全总监们,当年也都是干活的工程师小伙伴,10多年过去了,工程师熬成了“CSO大叔”。当你的公司变成BAT时,只要你成长得够快,也许下一个“CSO大叔”就是你自己。
3. 不同的能力类型
搞安全的人现在其实不好招,很多企业都招不到安全负责人,所以会有一堆没有甲方安全实操经验或者没有整体安全经验的人被推上安全团队领导的岗位。对绝大多数公司而言,安全建设的需求都是聚焦于应用的,所以安全团队必然也是需要偏网络和应用的人。大牛显然是没必要的,而懂渗透,有一定网络系统应用攻防理论基础的人是最具培养价值的。除此之外乙方的咨询顾问、搞安全标准的、售前售后等在这个场景下的培养成本都很高,不具有短期ROI,所以都不会是潜在的候选者。在安全技术领域里,其实只有两类人会有长期发展潜力:第一类是酷爱攻防的人,对绕过与阻断有着天生的兴趣;第二类就是可能不是很热爱安全,但是CS基础极好的程序员,这一类人放哪里都是牛人,第一类则跟行业相关。粗俗一点儿的说法找几个小黑客就能做企业安全了?这种观点是不是有人会觉得偏科的厉害了。确实我也认为会渗透跟做企业安全的系统性建设之间还是有比较大的鸿沟的。仅仅是说在有限选择的情况下,假如你不像某些土豪公司一样随便就能招到高手,那么可选的替代方案中最具可行性和性价比的是什么,之所以选会渗透懂攻防的人,那是因为这类人具备了在实践层面而不是理论层面真正理解安全工作的基础,在此基础上去培养是非常快的,策略、流程、标准、方法论可以慢慢学,因为这些都不是救火时最需要的技能,而是在和平年代且规模较大的公司才需要的东西。看有些公司的招聘工程师的要求里还写着要证书什么的,不禁感慨一下,很多能做事的“少年”其实根本没有证书,有证书的人通常适合去做乙方的售前而不是甲方的安全工程师。甲方招聘要求证书的,基本上都是传统企业,互联网企业这么写的应该怀疑一下那里的整体水平。当然,这个说法对安全负责人的招聘不成立,因为国内的CTO很少有懂安全的,招聘者其实也不知道安全总监到底需要哪些技能,随便拷贝了一个也很正常,高端职位的JD(职位描述)很多时候都是模糊的,除了一个头衔之外,其他都要聊了才知道,这时候你就不要去嫌弃JD怎么写的这么差,毕竟老板也不懂这事该怎么做,找你就是为了解决这个问题。
单纯攻防型的人在前期培养比较快,但当安全团队随着公司规模和业务快速成长时,思维过于单点的人可能会出现“瓶颈”。后面会提到安全建设实际上是分阶段的,而且是系统性的,视野和思路开阔的人会从工程师中脱颖出来,成为安全团队的领导。
4. 大型企业
对于比较大型的平台级公司而言,安全团队会有些规模,不只是需要工程师,还需要有经验的Leader,必须要有在运维安全,PC端Web应用安全以及移动端App安全能独当一面的人,如果业务安全尚有空白地带的话,还需要筹建业务安全团队。
5. 超大型企业
准生态级公司建安全团队这种需求比较少,但因为笔者曾被问及这样的问题,所以就把思考的结果写出来。对于这种级别的公司,由于其业务线比较长,研发团队规模通常也比较庞大,整个基础架构也构建于类似云计算的底层架构之上(姑且称之为私有云吧),光有应用安全的人是不够的,安全的领头人必须自己对企业安全理解够深,Leader这一级必须对系统性的方法论有足够的了解。随便举些例子,1)在出安全事件时如果Leader的第一反应是直接让人上机器去查后门的;2)对运维系统变更风险不了解的;3)对在哪一层做防御性价比最高不熟悉的;4)不明白救火和治病的区别的(这种思路会一度体现在提的安全整改建议上),诸如此类的状态去担任Leader就会比较吃力(Leader上面的安全老大自然也会很吃力)。另外Leader的跨组织沟通能力应该比较高,在这种规模的公司,不是你的安全策略提的正确就一定会被人接受的。团队里还应该有1~2个大牛级人物,所以带队人自己应该是在圈内有影响力的人,否则这些事情实践起来都很难。
实际上当你进入一个平台级公司开始,安全建设早已不是一项纯技术的工作,而技术管理上的系统性思路会影响整个安全团队的投入产出比。