在阿里云的时候,就觉得安全部是一个很“清奇”的部门,似乎一整套体系都是独立的,有自己的小圈子。
出来后加入安全圈子,为各厂商提供业务安全服务,也在第一次接触到各厂商的SRC(应急响应中心)后,看到一群不同的人因为一样的责任感团结在一起,越发感受到安全er的活力。
然而,在活力的背后,隐藏着安全er长久的克制。
不止一次听起安全从业者感慨,做安全最大的阻力并不是在外部,而恰恰是公司内部。这究竟是为什么呢?
安全与业务,总是一对无解的冤家
叱咤风云的黑客和低调支撑业务的甲方安全er,拥有两种截然相反的职业轨迹,后者很显然承受了更多。
我们每天可以看见这个场景在不断上演:业务部门要上线一个活动,有明显的被攻击风险,事先没知会过安全部门(好一点的同步一下,不过也没太大用),安全部门赶来要求增加一些防控措施,业务部门置若罔闻,再去追问,就用“KPI”、“业绩”给打发了。
业务人员因为持有业绩KPI而强势,而相关的安全需求则被视为无用功。除非发生大型的损失(如拼多多优惠券事件),业务人员才会对安全部门有所敬畏。这让安全部的防控策略成了“大病医疗险”,平时勾选一下的意愿都没有,真出事了,也找不到索赔点。
为什么安全会像一个保险产品一样?无法量化是其中一个最大的问题。填补多少的漏洞、上线多少新的防护方案、避免了多少的风险,这些都是对未发生的事情做防控,而究竟这些问题真的发生了,会带来多少的损失,往往是很难量化的,与业务部门真金白银的业绩比起来,更是如此。
也就不难怪为何业务部门的话语权更重,对安全部门的影响如此之大了。
主导和服务,全然不同的两条路
不过,上述的苦逼安全部门更多来自互联网的甲方公司。在和钱离得近的金融行业,风控部门则拥有较高的话语权。特别是在银行、持牌消金机构,风控可以有效降低逾期率、坏账率,直观地减少业务损失。甚至于,机构的运营情况如何,主要是看风控做的如何。
不难看出,当离钱更近的时候,风险损失更容易量化,那么安全做的工作就更容易体现价值,话语权也更大一些。
笔者和业内的几家安全负责人做了简单的交流,发现在这样的大背景下,安全部门走出了两种形态:
一种是做好守护者的安全部。主要关注公司全局的安全生态建设,会给业务提出相关的风险建议,但是最终是否采纳的决定权在业务。如果在已经提示过风险的业务上出现问题,唯一的底线就是不背锅。
另一种则是与业务部门平起平坐的风控部。公司的业务计划需要与风控部门同步,将风险控制在事前,风控部门的绩效考核与业务直接挂钩,话语权与压力并存。
安全er未来的可能性
那么话说回来,在离钱还有点远的安全部,难道没有推动部门话语权的可能性吗?
不全然是,笔者在这提出两个必要的场景做讨论:
1、意识转变
安全部从过往的传统网络安全范畴过度到业务安全,成为一门显学的时候,大众对于业务与安全的融合性或许会有更好的认识,也更能理解做好安全建设的必要性。
2、价值挖掘
安全部门能将工作成果与业务成果挂钩,量化业务价值,进而推动安全部向价值中心转变。这点颇受争议,但是路都是人走出来的,况且行业每天都在发生变化,未尝不是一个值得努力的方向。
