互联网企业安全高级指南读书笔记之安全管理体系

外部评价指标

• 攻防能力——如果安全团队没几个懂攻防的骨干，那像样的安全团队这件事就无从谈起、对攻防的理解是做安全的基础，业界普遍的状况是整体实力强的安全团队攻防能力必然不弱，而攻防能力弱的团队其安全建设必然强不到哪里去。一般能养得起一堆攻防人才的安全团队预算都比较充足，说明公司相对重视。攻防技术在安全建设中属于”单点”技术，决定的是单点的驾驭和深入程度
• 视野和方法论——单点技术代表局部的执行力，但在影响整个安全团队的产出因素上仍然受制于团队的整体视野和所使用的方法论。甲方的安全团队并不是一个纯安全研究性质的职能，所以只强调攻防和漏洞是不足以产生高 ROI 的，因为安全建设中有很大一部分跟具体的漏洞不相关，跟漏洞缓解和免疫机制也不相关。如果只强调方法而不强调攻防就会陷入纸上谈兵，但反过来只强调攻防不强调方法就会陷入全员救火队的状态。综观业界，过于强调风险管理方法论的单位其解决实际问题的能力往往比较欠缺，而一味强调攻防排斥安全标准的团队往往顶层安全设计有问题
• 工程化能力——对于中大型互联网公司的安全建设，能否将单点的攻防知识转换为整个公司业务全线防御、纵深防御、自动化的能力就是工程化。举个例子：1）凭自己的经验上感染的机器查看进程，dump文件解决的是单个事件，2）把这种经验转换为文档和脚本能解决一部分自动化的问题，让更多的工程师具备响应的能力，3）更进一步，如果能将脚本转换为 HIDS 部署在所有的服务器上则相当于全线业务具备了一定的人侵感知能力，单点技术强往往代表1）到2）没有问题，但在衡量一个企业或平台整体安全能力的时候，看的其实是3），很多团队就是在这一步上迈不过去，进而导致攻防人才很多，但在整体安全建设上 ROI 不高
• 对业务的影响力——这一点跟内部的影响力，跨组织的沟通能力，推动能力，团队视野有很大的关系。最明显的特征就是安全团队是在做微观、狭义的安全还是做覆盖面较大、广义的安全。安全做得最好的企业一定是将安全和风险意识根植于企业文化中