=Start=
缘由:
这篇文章应该会是个大杂烩,是我在看某篇文章的评论时想到了之前看到的一些文章,并结合自己的一些观察和体验进行的整理,方便后面回顾和参考。
正文:
参考解答:
因为原始的摘抄和记录比较散乱,不是本人很难看清楚这其中的关系以及个人的想法究竟在哪,后面有时间再简单梳理一下,不知道会不会好一点?
先求生存,再谋发展
- 求生存
- 先能兜底,不出大事,出了大事尽量能定位溯源,有人有规范有基础
- 然后稳住,出事能及时检测定位溯源,有工具
- 再提高,提高检测精度、时效,有平台有运营
- 谋发展
- 能力足够,当业务有需求找过来的时候,可以支撑业务
- 能力有溢出,主动思考业务潜在需求,可以助力业务
- 提供价值
有人的捧个人场,有钱的捧个钱场,反正就是要能产生价值(比如情绪价值在很多时候会更有用)
区分手段和目标,为结果负责
由【网安创业的核心竞争力是成本控制】一文评论中的「贴身服务」说法有感:
企业招聘/维护安全团队的初衷或者说目标是不出或少出安全事件,以及出了安全事件之后能有专业的人来解决这类问题。
所以安全人员的价值也就在于此——为企业解决/处理安全问题,但并不意味着你可以为了安全或者说打着安全的旗号对业务各种说no,这个也不能弄那个也不能弄,弄了就不安全了。
老板请你来是为了解决问题的——为业务保驾护航,为了业务发展的安全。这里的重点或者说核心在于业务的发展,如果安全对于业务的发展没有助力或者发生安全事件对于业务的发展并没有阻力,那安全不要也罢。安全做的好,能对业务产生正面影响,助力业务发展;安全做的称职,在不过多影响正常业务的情况下保证不出大的安全问题,控制小的安全问题的影响,解决安全问题于无形,支撑业务发展;安全做的不及格,可能会影响业务的发展,不管是因为出了安全问题处理不当导致影响业务,还是因为有些安全红线问题没有坚守导致业务越界被处罚,反正就是出了问题没有解决,基本的结果指标没有达到。
先有发展,再有安全,其次才有可能有安全的发展。
职业欠钱谈安全运营
自研或者采购一些安全产品,引入一些安全解决方案,只是手段,真正的诉求是解决我们的安全风险。
参考游戏运营的角色,我将安全运营定义为:“为了实现安全目标,提出安全解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并持续迭代优化的过程”。
这里最重要的是解决问题,那么一切影响目标达成的因素,都是运营的职责。
==
企业多数情况下是为产出付费,而不是为知识付费。
花钱雇佣一个安全工程师,而工程师仅仅沉浸在自己做出东西的愉悦感里,并不能为公司减少安全风险,这是一个很尴尬的局面。
就好像有人雇佣了一个保镖,武艺高强,但是小混混上来欺负主人的时候,保镖无动于衷,主人天天被欺负,主人应该为这个保镖付费么?
因此,企业花钱雇佣安全工程师的目标是要解决问题,而解决问题绝不仅仅是把一个安全产品买回来、把一个东西做出来就结束的事情。
在大的公司,解决问题的需求很强烈,安全技术、安全管理、安全开发等角色都具备的前提下,老板发现某一些安全问题总是无法收敛,最终,引入一类新的角色,对问题进行分析、诊断,发现症结后,协调资源,终于实现了目标。自此,安全运营工程师就出现在了世人的面前。
甲方不是为技术买单,而是为解决问题付费
我也是投资人,我当年初看网络安全行业,觉得这是一个高科技行业,技术驱动,需求明确政策支持,一片大好,但理解不了为什么整个行业都是增收不增利,怪圈。后面逐步理解,我其实被技术的高级感给迷惑了,网络安全公司本质都在做咨询公司的活,应该按照咨询公司的运营方式,才能玩下去。重新定义产品,重新定义项目。
说网安是高科技是有点唬人,本质只是计算机相关应用技术的衍生行业。从业多年越来越觉得网安和安保非常像,客户真正需要的应该是贴身服务,而不是产品(客户真正需要的是效果,而不是产品)。
确实如此,甲方不是为技术买单,而是为解决问题付费
国外咨询公司的做法就是用别人的产品来做定制化服务,安全是建一堵墙,安全产品就像一块块大小不一的石头,不可能买一堆产品来堆上就严丝合缝,需要服务作为混凝土来粘合和填补缝隙让墙更坚实。
在中国不说严丝合缝了,很可能拼不到一起去,买一堆石头就是一堆石头
与其把钱给网安不如把钱给公关
抛开国产化不谈,目前堆人的局面破不了,还不如买国外品牌产品降低研发成本,自己做贴身增值服务,反正用户是不懂怎么用好产品的。
在一个整体市场规模不大,且预算进一步萎缩的网络安全市场的今天,真实的市场收入是可预见的。故而推演过来,如果抢不了别人的蛋糕,那成本控制就是核心竞争力。
很多大肉,都是运营商/云厂商/数通厂商在上游就直接消化了,剩下的才流入网安这个红的不能再红的红海市场
软件产品和服务本来就是大量服务沉淀形成的模式和工具,这也是为什么网安产品散碎的原因。要解决的问题本身就在细碎的场景中;点上的问题,需要深刻的专业能力;想实现整体更优,需要对点状能力的架构能力。导致网安行业的格局一定是大量基于点状能力的散碎团队,支撑起少数几家有生态架构能力的公司。
安全公司把自己定位成合规市场还是技术市场,如果是合规市场就没必要吹泡沫吹概念,如果是技术市场就不要从成本出发。我觉得做好自己的定位最重要。
网安创业的核心竞争力是成本控制
网络安全行业在国内目前的环境是一个国家高度重视但是收入比较低的市场,总结下来可以说是:“需求旺盛,技术原始,要求顶天,预算很低”。
网络安全行业在国内是一个看上去很重要、理论上高科技、实际上没有钱、且很原始、企业间还互相不对付的状态。
- 网络安全很重要——没有网络安全就没有国家安全。在万物互联的时代,安全应该是基础——网络安全不仅关乎国家、社会、城市、基础设施,更与个人的生活密切相关。
- 理论上高科技——漏洞挖掘、工具开发、渗透测试等其实还是有很高的技术含量的,尤其是漏洞挖掘需要对系统底层相关原理非常了解才能挖到好的漏洞,想要开发出好用的工具也需要极强的工程能力,有效的渗透测试对人员/团队的各方面要求也都是极高的。
- 实际上没有钱——随着常态化hw带来的冲击感紧迫性降低、大环境的降本增效、以及投资市场输血能力断崖式地萎缩,绝大部分的网络安全企业都感受遭遇了滑铁卢。
- 很原始——靠关系靠销售靠堆人,能力不够人数来凑
- 企业间还互相不对付——国外公司的安全产品可以通过较为完善的API进行互联互通,形成1+1>2的效果,但国内的安全产品不说严丝合缝了,很可能拼不到一起去,大小不一形状各异
……
市场环境有周期性,网络安全技术是一项满足国家安全的基础能力要求,未来不可能没有,但是要等。今年FOFA的订阅付费情况还是让我有了一些底气的,另外监管的一些项目也让我们找到了方向。用产品说话,用高性价比的产品来保障我们的网络安全,养活自己,养好奋斗者贡献者。
在一个整体市场规模不大,且预算进一步萎缩的网络安全市场的今天,真实的市场收入是可预见的,推演过来,成本控制才是核心竞争力。只有活过今天才能有未来,剩者为王。
一个人只应为商品的使用体验付费
位置决定想法,屁股决定脑袋;人教人不会,事教人一遍就会;听说百遍,不如亲历一遍。
在加拿大这段时间,我对自己之前的消费习惯有了些反省,具体而言,就是我越发觉得,一个人只应为商品的使用体验付费,而不必为自己的消费观念付费。
温哥华的消费相当高,路边店里一份平平无奇的黄焖鸡饭,加上配料和小费,总价能到150元人民币左右,我在这边随便逛个超市,买点日用品,结账刷卡时就直咂牙花子,仿佛被人从大腿根上拧下了一把肉,这种高消费的环境孕育出当地一种二手货文化,花低价买别人用过的旧物是稀松平常的一件事,只要能过心理上那关,就能省下一大笔钱。
比如,我表哥家地下室有套沙发,宽敞柔软,无论坐卧都相当舒适,一次,我无意中问这套沙发多少钱,我表哥说1加元,还没一瓶矿泉水贵,我问怎么可能,我表哥说,当时他在网上看见有户人家要换新沙发,正愁旧沙发没地方搁,于是就在网上发了篇文章问谁能帮忙把这套旧沙发拉走,转手费给1加元就行,我表哥住的不远,正好缺台沙发,就直接拉回家了。
说实话,这套沙发打理一番后,干净舒适,甚至都看不出有多旧,如果说它当初是从家具城买来的新货,只怕也没人怀疑,坐在那沙发上我就想,自己要是在北京,若遇上同样的情况,会花一块钱去别人家里收一台旧沙发吗?只怕不会,原因出在观念层面,我不喜欢别人剩下的东西,但若是不影响使用,买别人剩下的东西又怎么了?
一个人在没有经济压力时,不会去主动思考这个问题。
说到买别人剩下的东西,我想起之前在国内认识的一位老板,是做尾货生意的,所谓的尾货就是商家在经营过程中,因为尺码、颜色和流行趋势等原因没卖出去而剩下的商品,怎么处理这些商品是个难题,挂出去没人买,放仓库里占地又费钱,还得雇人管理,成本受不了,于是就有人专门做这种尾货生意,他们以回收价买下商家仓库里剩下的货品,再加一点钱卖出去,售价极低,有时甚至能低到原价的三折甚至两折。
我之前对尾货生意很不屑,说这都是别人挑剩下的货,谁要?那位老板就笑,说这些年尾货生意好的很,而且越来越好,首先就在于这些尾货在质量品质上和店面出售的现货没有任何差别,只是因为一些随机因素没卖出去而已,第二就在于价格极低,原价上千的羽绒服在他的店里才300多,这些尾货由于价格太低,只能在微店里低调着卖,否则会给原商家添麻烦,我说这羽绒服都是旧款,老板又笑,说现在挣钱多难啊,大家买杯咖啡都选那不到10块钱的,谁还在意一件2折买来的羽绒服是不是新款?
后来我想了想也是,现货和尾货在物理层面上其实没有差别,人们在现货上多花出的那笔钱其实是在为自己的观念买单,然而,钱越来越难挣,原来的观念已然支付不起了,我盘算着若是以后衣食日用都选择尾货,生活成本能压缩到原先的三分之一。
虽然我哥的二手沙发和老板的尾货羽绒服都是别人剩下的东西,但随着收入的下降,这些东西将愈发契合人们生活的实际,甚至成为一种新的理所当然。
正所谓屁股决定脑袋,被高消费的生活教训一顿后,我越看手里血淋淋的账单,就越觉得屁股下这1块钱的沙发坐着舒服,尾货店里的羽绒服暖心。
参考链接:
凯哥:不要把手段当目标(大厂故事举例)
https://mp.weixin.qq.com/s/oLUEIIC63SsxhwC9Sjm_nQ
混迹职场,区分“目标”与“手段”,才能够行稳致远
https://mp.weixin.qq.com/s/RYVGCpwYxwuzmn342ybiJA
揭秘美团:如何兼顾业务的快速增长和长期价值
https://mp.weixin.qq.com/s/4ehSjaupxl_HuynXVOyldQ
网安创业的核心竞争力是成本控制
https://mp.weixin.qq.com/s/Er6J3tJ4L6QyyT2wFBWtdA
我理解的安全运营
https://zhuanlan.zhihu.com/p/39467201
关于默认安全的讨论 | 总第228周
https://mp.weixin.qq.com/s/VEIACkcPcWBJz2awNig0lQ
=END=
《 “区分手段和目标,解决问题,为结果负责” 》 有 5 条评论
公司内的职能团队如何证明自己对于业务团队的价值?
`
公司内的职能团队可以通过以下方式证明自己对于业务团队的价值:
1. 提供专业知识和支持:职能团队应该具备专业知识和技能,能够为业务团队提供专业的支持和咨询。他们应该展示出对于相关领域的深入了解,并**能够解决**业务团队面临的问题和挑战。
2. 提供高质量的服务:职能团队应该以高质量的服务为业务团队提供支持。他们应该及时响应请求、提供准确的信息和解决方案,并以高效的方式完成工作。通过**提供优质的服务**,职能团队可以赢得业务团队的信任和尊重。
3. 与业务团队紧密合作:职能团队应该与业务团队建立紧密的合作关系。他们应该**积极倾听和理解业务团队的需求**,与其**合作制定解决方案**,并在实施过程中与其**保持沟通和协调**。通过与业务团队的紧密合作,职能团队可以更好地理解业务需求并提供有针对性的支持。
4. 提供数据和分析支持:职能团队可以通过**提供数据和分析支持**来证明自己的价值。他们可以收集、分析和解释相关数据,为业务团队提供洞察和决策支持。通过数据驱动的方法,职能团队可以帮助业务团队做出更明智的决策并优化业务流程。
5. 持续改进和创新:职能团队应该积**极寻求改进和创新**的机会,以提高自身的效能和价值。他们可以通过引入新的工具、流程和方法来优化工作流程,并与业务团队分享最佳实践和创新想法。持续改进和创新可以帮助职能团队不断提升自身的能力和价值。
6. 定期沟通和评估:职能团队**应该与业务团队进行定期的沟通和评估,了解他们的需求和反馈**。他们可以定期召开会议、进行回顾和评估,以确保他们的工作与业务团队的期望和目标保持一致,并及时调整和改进工作方式。
通过以上方式,职能团队可以证明自己对于业务团队的价值,并建立起良好的合作关系和信任基础。
`
RVA5ec 2016: Ben Smith – Measuring Security: How Do I Know What a Valid Metric Looks Like?
https://www.youtube.com/watch?v=9lvu_6weGQU
上面也提到过,安全团队在大部分公司都属于职能团队,而非业务团队,也就意味着不直接和公司业绩挂钩,而是通过为公司/业务团队提供专业能力支持和服务来证明自己对于公司对于业务的价值。
如果安全团队只是埋头搞安全漏洞,那在公司里面就很难活得久、活得好,必须要紧密贴合业务团队、为业务创造价值才行。在这种大背景下,安全团队的指标设定也需要有针对性的设计和调整(和传统的那些阻挡垃圾邮件数量、病毒感染尝试等不好的指标有所不同),需要在了解你的受众(业务部门/领导)的基础上对衡量指标进行抽象,以尽可能的满足:
* 衡量指标能够提供洞察力
* 采集成本低,能持续采集
* 数据可量化(能够进行比较和呈现趋势变化)
* 可操作性强(当指标发生变化时,可以影响对应的决策和行为)
1. 获得洞察力
2. 用业务自己的语言与业务交流——安全项目具有可衡量的业务价值
3. 客观地证明安全目标正在得到实现
4. 证明新投资的合理性
5. 提供改进方向
国内安全厂商分类
太卷了!国内网安厂商分类大全,真刺激
https://mp.weixin.qq.com/s/WgEeKP9AJG0ckVPWGSaf-Q
`
近日,FreeBuf发布了
《中国网络安全行业全景图册》
对国内网安行业进行了史上最全梳理
这份图册详尽、清晰、客观
7大类、20子类、108细分场景
实为甲方选型、乙方死磕、居家旅行、抢单摸底必备“良册”
1. 网络基础安全
2. 防护
3. 检测
4. 响应
5. 持续改进
6. 业务场景
7. 前沿技术
网络基础安全
* 计算环境安全
* 办公设施安全
* 主机防病毒
* 供应链安全(网络关键设备和安全专用产品)
* 通信网络安全
* 上网行为管理
* 抗DDoS
* VPN
* 无线安全
* 域名安全
* 负载均衡
* SD-WAN
* SASE
防护
* 云安全
* 云网络架构安全
* 云主机安全
* 云访问安全
* 云应用安全
* 云WAF
* 云抗DDoS
* 云原生安全(容器安全)
* 安全开发
* 动态应用程序安全测试(DAST)
* 交互式应用程序安全测试(IAST)
* 静态应用程序安全测试(SAST)
* DevSecOps(安全开发运维)
* 软件成分分析(SCA)
* 模糊测试
* 应用防护
* RASP
* WAF
* 网页防篡改
* Web应用扫描与监控
* 邮件安全
* 应用加固
* 身份识别与访问管理
* OTP
* SSO
* 数字证书
* IDaaS
* PIM/PAM
* 零信任
* 身份威胁检测(ITDR)
* MFA
* 边界访问控制
* SWG
* 堡垒机
* 网络准入
* 网络隔离/网闸
* 防火墙/NGFW
* 内容安全
* 舆情检测
* 恶意内容检测
* 钓鱼监测
* 业务风控
* 业务反欺诈
* 账户安全
* 验证码安全
* 数据安全
* 加密机
* 数据防泄漏(DLP)
* 分类分级
* 容灾备份
* 数据库安全
* 隐私计算
* 数据脱敏
* 勒索软件防护
* 数据安全治理(解决方案)
* 数据安全管控(平台型)
* API安全
* 商用密码
检测
* 威胁检测与捕获
* NTA/NDR
* 威胁狩猎
* APT高级威胁检测/恶意软件检测沙箱
* 主机安全/EDR
* IDPS(IDS/IPS)
* 欺骗诱捕/蜜罐
* XDR
* 漏洞检测与管理
* 基线核查
* 漏洞检测
* 漏洞管理
* 安全情报
* 漏洞情报
* 威胁情报
* 网络空间资产测绘
响应
* 事件管理&响应
* SOC
* SIEM
* SOAR
* UEBA
* 风险及脆弱性管理
* 应急响应与重保服务
* 取证
* 安全取证
持续改进
* 安全服务
* 安全咨询与培训教育
* 渗透测试
* 攻防演练
* 安全众测
* 等保评测/咨询
* 风险评估
* 安全靶场
* 安全托管运营(MSS)
* 攻击面管理
业务场景
* 工控安全
* 工业防火墙
* 工业网络隔离系统/网闸
* 工控安全管理
* 工控安全检测
* 工控安全培训
* 工控靶场
* 物联网安全
* 车联网
* 视频专网
* 其它物联网
* 移动安全
* 移动业务安全
* 移动应用安全
* 移动终端管理
* 手机防病毒
* 企业移动管理EMM
前沿技术
* 前沿技术
* 可信计算
* 区块链安全
* 动态防御(包括移动目标防御,MTD;拟态防御,CMD;网络欺骗,CD等)
* 量子技术(量子密码)
`
阿里员工自爆,超过80%的leader说:技术不重要,业务重要,向上管理更重要
https://mp.weixin.qq.com/s/CE36cy6zx8PydEX1q0RIww
`
超过80%的leader跟我说:技术不重要,重要性是业务理解,沟通,向上管理。后来chatgpt出来了,我感觉他们太浅薄或保守,其实不是技术不重要,是重要的技术太难,周期太长,他们不敢也不愿搞,重要的技术都是抄别人,宁可去卷其它的,因为这些非技术因素见效快啊。如果说为了短期目标要卷非技术也可以理解,但长期规划也没有啊,能干多久还不知道,谁有心思管长期啊。技术就是脸面,反正效果做出来,说用什么做的都可以。说看重技术的,都是叶公好龙罢了。他自己都不相信自己的技术好,宁可相信外人来人。
==
大多数人学了很多技术,都是为了面试进企业,实际真进了企业做的工作,很多技术都用不到,不学很难进企业。面试造航母,去企业拧螺丝,这才是真实的样子。去了企业学习能力很重要,涉及不到的技术,需要现学现会,掌握学习的方法,学习效率才会高。
不是企业不搞技术创新,研究需要海量的投入,一直没回报,没有公司能支撑起大的投入,利润是一切。搞出来的技术商业化不行,钱就打水漂了。公司跟个人是一样的,你有钱了,就会去在能力范围内提升自己,公司有钱了同样会如此,阿里对开源社区贡献还是很大的,也在做技术投入和创新,只是在不影响业务的前途下。
真实比例要比这个还大,大多数领导看问题还是很透彻的,见的东西越多,掌握的信息越多,看到的就更远。技术的创新是要基于业务,公司都不赢利了,是没钱做其他的。看下市场上业务好的公司,在做什么,都在想办法占有更大的市场份额。
拼多多和阿里,谁的技术更厉害,现在拼多多的市场份额越来越大了,谁会更紧张?基本盘都出问题了,研究技术意义在哪里。没人能保证公司一直活着,公司首先要做的是活着,别看国内大厂现在还很不错,往前看很多当年很牛的公司,今天已经销声匿迹了。

一般人创业是为了什么,让自己活得更好,首先是满足物质需求,经济基础好了,才可能考虑去做一些基建的工作,因为做任何事情都是需要投入的,看这几年阿里做的事情,对业务促进不大的,是不是都在弱化。业务发展都岌岌可危的时候,谁会投入过多的资金去搞基建,技术产品能商业化才行,不然企业是不会花巨资去做这些事情的。
==
很少有人愿意花钱砸到不容易出成绩的基建上,我们都缺钱呀,大部分人还没到衣食无忧的阶段,普遍刚有成绩就想着商业化了,ai刚有起色就弄智能音响啥的,不过也很正常,很少有人选择你们的产品是真的因为你们公司产品是技术断层式的牛逼吧?业务和产品才是真正给公司赚到钱的东西,而不是背后的技术,如果你是用户,你会在乎某个产品好不好用还是在乎某个产品背后用的技术好不好?贴近业务,服务业务,才能给公司带来更多利润,也才能给你发更多钱。
==
产品做出来都不难,难的是怎么商业化,东西做出来,有人用才行。搜索引擎,你会用谁的,各家都能做出来,谁的市场份额大就用谁的。一直投入,一直不盈利,企业肯定就不会坚持了。创造不是从0到1,而是从1到2,站在巨人肩膀,成功的概率更大,前提是能商业化。
到底什么重要,对于企业利润最重要,对于个人能力最重要,向上管理决定自己能在企业获得什么位置,做好自己擅长的事情就行,有些东西再重要,人也是无法做到的。
==
技术再学就那点,老板让你来是挣钱的,还是回归商业本质搞业务
==
企业做事情,是以盈利为目标,研究技术也是为了解决难题,而不只是单纯为了创新。要相信比我们段位高的人,他们知道的看到的比我们多。
多想着怎么去促进业务发展,而不是想着技术的深度,还有创新,什么级别操心什么事情,中年危机都解决不了,想其他的意义并不大。
`
Performance Measurement Guide for Information Security
信息安全绩效衡量指南
https://csrc.nist.gov/pubs/sp/800/55/r1/final
`
出版日期:2008 年 7 月
Abstract 摘要
This document provides guidance on how an organization, through the use of metrics, identifies the adequacy of in-place security controls, policies, and procedures. It provides an approach to help management decide where to invest in additional security protection resources or identify and evaluate nonproductive controls. It explains the metric development and implementation process and how it can also be used to adequately justify security control investments. The results of an effective metric program can provide useful data for directing the allocation of information security resources and should simplify the preparation of performance-related reports.
本文件就组织如何通过使用度量标准来确定现有安全控制、政策和程序的适当性提供指导。它提供了一种方法,帮助管理层决定在哪些方面投入额外的安全保护资源,或识别和评估非生产性控制措施。它解释了度量开发和实施过程,以及如何使用它来充分证明安全控制投资的合理性。有效度量计划的结果可为指导信息安全资源分配提供有用数据,并可简化绩效相关报告的编制。
`