来源:安全牛
IT安全是个团队工作,我们该怎样组建自己的队伍呢?
上一篇《网络安全工作中最可怕的14种自己人》是不是把你吓到了?没事,事物总有两面性,有你最不想遇到的人,就有你最希望遇到的人。面对最艰难的安全挑战,以下几个重要角色是必须要填充的。不单单指职位,还包括了态度和能力。
1. 黑客
首先,你得有人具备黑客思维和技术,知己知彼百战不殆嘛。公司企业应招聘具完备渗透测试技术和将安全方法、规程、过程合理应用起来的安全人才。这位仁兄/侠女应有健康的好奇心,或许就是在DEFCON上首先尝试黑客挑战的人。
这些人是“白帽子奇迹”,是团队的密友,以一种模拟战的方式进行信息管理系统的安全评估。他们古怪的举动有助于构建安全团队的整体表现。
2. 赏金猎手
有些人就是有找寻漏洞的激情,你得找到他们并引导这种热情。赏金猎手就是那种,偶尔弄点漏洞赏金就能活得体面,但单纯因为拿得还不够多,且梦想某天能挖到个百万美元漏洞的人。他们掌握了组合运用漏洞利用的艺术,最重要的是,他们还发展出了描述快速有效的漏洞修复解决方案的能力。他们经常回馈开源社区,与顶级框架维护者们保有良好的关系。
3. 音乐家
这可不是什么比喻,是实实在在的音乐家,或者说,会玩音乐的人。音乐家能搞定混乱的信息——比如大量网络元数据,创建有序的过程来找出异常行为的模式。Level 3 Communications 的首席安全官戴尔·德鲁就说:“我从来不招安全人士,即便市场有很多此类资源也不招,我们倾向于专注在技术专长上,然后再给这些技术专家进行安全培训。”
Level 3 安全架构部门新团队成员之一的科特尼·特雷,是玩长笛的。她首次将伪代码理解等同于看一段乐谱听一段音乐:先扫一遍代码确保抓住了含义,然后沉浸进去找寻更多的细节。
4. 执行人
作为信息安全人士,大量的工作涉及到对人们说“不”:告诉同事他们想运行的App不能安装,他们想访问的网站是不安全的,他们的口令太弱,即便离开工作台位1秒钟都要锁屏……大多数人觉得这种前景真是黯淡无光,于是,你得找到对此接受良好的执行人。执行人在同事中地位尊崇。他们是有魅力的优秀沟通大师,能辨别出何时应灵活处置,以及怎样在规避风险的情况下应用这种灵活性。最重要的是,实施者理解并尊重赋予他们的权限,且不会被权力冲昏头脑。
5. 第三方安全大师
有时候敌人会通过友方侵入,比如你的商业合作伙伴——即便没有安全实践监管权也不得不对其开放网络的那拨人。第三方关系正成为网络攻击、系统宕机和数据泄露之源,对企业造成威胁。第三方安全大师能理解企业在这方面的困境,他们对待商业第三方的态度就是‘没有新朋友’。他们知道企业安全只取决于最弱的一环,不会让外来者对公司数据管理和安全策略造成真空带。
6. 统计员
越来越多的安全工具能提供企业系统健康的大量数据,你需要有人来解析和翻译这些数据,这些人‘生活在指标中’。他们从日志数据中标绘出趋势,从细枝末节中发现异常。统计员就像是人类机器,接受TB级杂乱无章的日志数据,然后产出让初级系统操作员都能及时发现潜在问题的简单视图。
7. 数据忧虑者
没错,是”忧虑者“,不是“斗士”。任何公司里,数据都是重要资源,如果没人全天候强调之,便有透过各种缝隙渗漏的风险。每个IT安全梦之队,都需要有个人总是关注备份之类的东西。缺了数据忧虑者,企业将会面临数据误删或应用崩溃的风险,会比他们意识到的还要危险。
8. 质检专家
安全梦之队最好包括从其他部门挖来的质检专家,起到质量检测工程师的作用。他们将了解怎样在放到生产系统之前先在过渡环境中部署修改。很多问题都能通过先花时间部署到过渡环境中来规避掉。
9. 猎手
主动出击搜寻威胁的人,是安全梦之队必需品。威胁狩猎是完全主动的思维,涉及到人类猎手和高级分析工具。与传统等待自动警报或事件来展开威胁调查不同,猎手比大多数普通工具要先发现威胁。他们的工作,就是搜索环境被入侵的证据,使用该证据来进行采用严格分析方法的鉴证调查,然后继续工作以识别并清除持续性威胁。
10. 精英小队
一切顺利的时候做点什么呢?从所有这些预选的不同角色和员工中,甄选集结出能代表公司内百里挑一的核心团队。该小队工作范围很广,但在发生数据泄露这种最不幸事件时,他们是公司防护基础设施和收集起诉攻击者所需鉴证证据的最后希望。
精英小队应拥有当公司网络被隐秘力量攻击或渗透时可供部署的特殊武器和战法储备,应能快速锁定敌人,缓解任何活跃网络威胁。
11. 务实派领袖
安全梦之队队长应该是什么样的人呢?领导团队的队长应该是既有远见卓识又务实的人。多年累积的智慧,让他们对创新和探索有着乐观而谨慎的态度,专注于驱动团队向前迈进。此类领袖会规避掉FUD(惧、惑、疑)因素,反对用恐惧和怀疑来让公司占据优势的做法。他们会很自信地基于自身多年智慧的价值,以及快速构建直观解决方案的天赋才能,来领导创新,将自己的团队带进充满希望的未来。
12. 机器人
最后,还需要个机器人来完善安全团队——这里就有部分是比喻了。团队中除了要有人类,还需要有自动化的安全工具,而若缺了背后开发和监管这些技术的专家团队,你是做不到人机完美融合的。为赶上攻击者和层出不穷的漏洞利用新方法,提供实时威胁情报以最小化风险和改善整体安全态势的自动化威胁情报服务,是不可或缺的。但你同时还需要全天候工作以利用来自全球的数据创建该威胁情报服务的研究人员和工程师团队。人类与机器一起,构建了“安全机器人”。在未来,我们的队友很可能就是我们要保护的那些系统。