互联网企业安全现状
CSO:安全管理者
(1)现在安全行业里除了显得有些务虚的安全理论之外,就是一边倒的功防,要么就是过于超前,浮在表面没有落地方案的新概念,这些声音对企业安全实操都缺乏积极的意义
(2)很多概念过去就有,但是没能得到重视,或者缺少实践(纵深防御类的概念在ISS没被IBM收购之前就有了)
(3)很多安全公司的顾问或工程师都没有企业安全管理的真正经验
(4)很多安全企业不会自己去造轮子,或者去造一个比如WAF这样的工具,但你可能很少会像微软那样要自己去搞一个EMET这种涉及安全机制层面的东西
(5)互联网安全不应只关注入侵检测,漏洞扫描等,更应该从建设者/金字塔视角看待以及分析安全问题
(6)互联网企业的生产网络中,安全解决方案基本都是以攻防为驱动的,怕被黑,怕拖库,怕被劫持是安全建设最基本的动力
(7)小企业对于安全不够重视(就像你有100万的时候,让你花2万买个保险箱装它你觉得值;当你有2万的时候,让你买一个8000元的保险箱,大部分人都不会愿意)
(8)创业型公司不会把安全放在第一位,而是务实和简单
(9)安全的工程化以及体系化的安全架构设计能力是业内的普遍软肋
互联网企业安全发展
(1)云服务器的使用和普及
(2)IT建设开始进入自己造轮子的时代,安全解决方案开始局部进入自研的阶段
(3)企业安全不是发现漏洞后修补漏洞,再设置下防火墙之类的工作。
整体解决方案: 组织 + 管理 + 技术
企业安全问题影响因素
(1)成本:硬件IDS/IPS --> 服务器+Netfilter的方式自建
(2)办公网络与生产网络
(3)宿主性能:安全架构拓展性,高可用性
对于团队
组成: 对于较大型平台级公司而言,需要有 经验丰富的Leader,必须要有在 运维安全,Web应用安全,PC端安全,移动端App安全能独当一面的人才,如果业务安全仍有空白,还需要筹建业务安全团队
对于安全人员
(1)成为领导者/带队者:视野和思路开阔,沟通力,社会影响力
(2)积极学习:以后不再需要堆硬件盒子式的解决方案了,就算堆也不是原来的堆法了
我的一些思考
集成化,自动化,智能化
全局化,统筹化,