浅谈安全运营

很喜欢职业欠钱师傅的一句话，企业大多数是为产出付费，即你解决了哪些问题，而不是知识付费。

最开始听到工作内容是安全运营的时候，还以为是发一发公众号这类的纯运营工作。在实际接触之后发现与自己想的大不相同。

这个岗位和蓝队有一点像，但又有很多区别。

1. 首先是目标不同。蓝队的任务一般是保证在攻防演练期间系统不被红队攻破，而安全运营的任务目标是保证业务在正常运行的时候不被入侵。二者从时间维度上来讲就相差甚大，安全运营面临的挑战更大
2. 其次是面临的对手不同。蓝队的对手只有红队，安全运营需要面对所有对系统安全构成威胁的主体，包括但不限于红队，APT组织，黑产，蠕虫（最多），以及内部的员工安全意识淡薄造成的风险，错误配置，内鬼等
3. 最后是岗位要求。相比于蓝队，安全运营除了基本的技术要求外，还需要沟通表达能力去推进一个事件的完成。

安全运营需要的基本能力要求：

1. 溯源取证
2. 应急响应
3. 数据分析
4. 逆向分析
5. 应用安全
6. 威胁情报
7. 团队协作
8. 写作绘图

除了基本的技术能力外，安全运营工作还经常需要去跨部门沟通，基本的沟通能力与表达能力必不可少。此外，在完成一次攻击链路溯源后，一般都需要开会复盘，这时候还需要将攻击链路图画出来，并且输出一篇溯源文档，包括攻击手法，攻击链路，IOC，黑客画像等，由此可以看出，写作绘图能力必不可少。
在做安全运营的工作之前，我一直以为搞技术的写文档干什么，不都是瞎吹么… 实际接触之后发现并没有我想的那么简单，这也是一门技术活，文档和图标可以帮助别人更加容易的get到自己想表达的点，省去了很多沟通成本。

安全运营需要养成的习惯：

1. 记录数据。数据是自己产出的一种表现形式，也是给老板汇报工作的一种手段，而且是很直观的一种手段。同时，衡量自己一段时间的工作变化，选择一个合适的指标用数据的形式展现出来，在绩效总结的时候，也能更清楚的阐释清楚自己的工作价值。

2. 职责划分。不要把所有活都往自己身上揽。哪些工作是业务的，哪些工作是SDL的，哪些工作是运营团队。需要提前划定责任，每个人为自己的结果负责。免的出事再扯皮，各个团队互相推锅，同时也能避免做一些没必要的工作。

暂时想到这里，后续再补充吧