浅谈安全运营
很喜欢职业欠钱师傅的一句话,企业大多数是为产出付费,即你解决了哪些问题,而不是知识付费。
最开始听到工作内容是安全运营的时候,还以为是发一发公众号这类的纯运营工作。在实际接触之后发现与自己想的大不相同。
这个岗位和蓝队有一点像,但又有很多区别。
- 首先是目标不同。蓝队的任务一般是保证在攻防演练期间系统不被红队攻破,而安全运营的任务目标是保证业务在正常运行的时候不被入侵。二者从时间维度上来讲就相差甚大,安全运营面临的挑战更大
- 其次是面临的对手不同。蓝队的对手只有红队,安全运营需要面对所有对系统安全构成威胁的主体,包括但不限于红队,APT组织,黑产,蠕虫(最多),以及内部的员工安全意识淡薄造成的风险,错误配置,内鬼等
- 最后是岗位要求。相比于蓝队,安全运营除了基本的技术要求外,还需要沟通表达能力去推进一个事件的完成。
安全运营需要的基本能力要求:
- 溯源取证
- 应急响应
- 数据分析
- 逆向分析
- 应用安全
- 威胁情报
- 团队协作
- 写作绘图
除了基本的技术能力外,安全运营工作还经常需要去跨部门沟通,基本的沟通能力与表达能力必不可少。此外,在完成一次攻击链路溯源后,一般都需要开会复盘,这时候还需要将攻击链路图画出来,并且输出一篇溯源文档,包括攻击手法,攻击链路,IOC,黑客画像等,由此可以看出,写作绘图能力必不可少。
在做安全运营的工作之前,我一直以为搞技术的写文档干什么,不都是瞎吹么… 实际接触之后发现并没有我想的那么简单,这也是一门技术活,文档和图标可以帮助别人更加容易的get到自己想表达的点,省去了很多沟通成本。
安全运营需要养成的习惯:
记录数据。数据是自己产出的一种表现形式,也是给老板汇报工作的一种手段,而且是很直观的一种手段。同时,衡量自己一段时间的工作变化,选择一个合适的指标用数据的形式展现出来,在绩效总结的时候,也能更清楚的阐释清楚自己的工作价值。
职责划分。不要把所有活都往自己身上揽。哪些工作是业务的,哪些工作是SDL的,哪些工作是运营团队。需要提前划定责任,每个人为自己的结果负责。免的出事再扯皮,各个团队互相推锅,同时也能避免做一些没必要的工作。
暂时想到这里,后续再补充吧