认识的正确性,安全性是没有绝对100%的,这句老话成了许多“明明能做好,却做不好”的
差事的挡箭牌。SINESAFE有一句经典名言,在安全圈老一辈的从业者中很受欢迎,叫做“你真
的尽了全力吗?”努力不努力,并不完全取决于个人是否努力。以前有个鸡汤段子,是说小男孩
被要求处理一块明显超出他能力范围的石头,但是大人们说他还没有尽力,因为小男孩至少没
有向大人求助。 比如,在处理公司安全漏洞时,经常有人说我一打开扫描器,商务部就闹起来了,弄出事故了
,不让我扫,所以我不敢扫。可是公司有漏洞,明明扫描器可以发现,他们不让我扫,却怪我
没用。因此,我抱怨安全工作不够好。那是经典的一句话:“明明能做好,却做不好”。 当我刚刚加入现在的团队时,扫描器安全运营的同学都是这样跟我反馈的,所以扫描器研发成
功后,我才在入职前2个月,做了一次临时安全扫描。实际上,如果对“变更管理”有一些了解,
上面的工作就可以遵循变更流程,进行风险提示,了解变更,然后灰度进行,牵扯到业务变更
监控逻辑,事情就可以进行下去了。 最后,我们很快完成了“黑盒子扫描器”的日常启动操作,就像许多做得好的同行一样。最后,
当SRC反馈新的漏洞时,公司才能拥有相应的漏洞检测能力,而复盘的基础就是——如果不
能按常规操作,我们甚至不能复盘。其他情况也有许多相似之处:例如,MS17-010补丁发
布时,微软对其严重性的评价是清晰的,但立即部署到全公司最快应用补丁的团队并不多,
他们在Wannacry风波后,更喜欢宣传自己如何紧急加班。现在现在急着加班一个周末可以
完成的工作,四个多月的时间,前几天做了什么? 又如,agent主机在部署时,很容易造成资源占用过多、bug导致主机崩溃,所以很多安全
工程师都写了agent,但agent在公司却没有100%的普及。由于不能安装太多,一次事故就
会让业务排斥拒绝部署,导致企业根本没有主机入侵检测能力。但是,既然知道这件事是
必然的结果,是否就有了熔断降级设计,能让公司95%以上的机器首先具备相应的能力?
缓慢地反复重复拾长尾难题?又如,白盒审计工具清除了一大堆错误报告,以致无法运行
,这是否想过只让错误报告较低的规则运行,逐个增加和优化规则,在错误报告较低的情
况下,提升白盒的能力? 所有这些,都是没有经验的同学一上来就会“畏难”,你说这件事做得好,只是当时他做的
方法不对,他还是会觉得委屈。迫不及待要“妥协”的做一些费力可能还是没有什么效果的
事情,至少是不能正常运转下去的事情,暂时应付表现出自己的顺从和尽责。
所以我认为,评估安全工作好坏,其实是对当事人“认知”能力要求最高的,起码知道这件
事,是可以做好的,要有客观的认识。
而且这种“认识”能力除了自己探索学习,其实还有很多捷径可走。这是行业标准啊。对于
同一问题,把国际、国内、同规模的企业的现状摸一遍,多多少少会有一个合理的判断,
当然,由于安全行业的成熟度一般,有许多“实际上可以做好”的事情,国内同行不做好,
造成误判,也是很常见的。
还没有评论,来说两句吧...