不久前雷锋网编辑加进一个群,群里集合了天南海北的小哥哥,他们在群里开车,吐槽,撩妹(没有妹,假装撩),搅基,斗图,求助,分享干货,讨论技术啊……
别误会,都是正经银。他们身上有着相似之处:都在做或曾经做过一个人的安全部。
几天前某阿里面试官的一条微博把这群低调之人推向了大众,不明真相的群众们开始发射关切目光:一个人的安全部到底是什么样的?听起来很惨的样子,期间有什么美好(狗血)经历?
(目前此条微博已删除)
这就来听他们聊一聊。
黑暗哥——如果人生还有选择,我一定做个码农!
黑暗哥一个人干安全部一年多了,从事的主要是安全产品运维、开源安全产品的测试和搭建、安全应急响应、应用安全测试、安全培训以及兼任运维工程师。(他在这个岗位后面添加了N个感叹号表示不满)
期间出现过种种奇葩事件,比如同事找你修电脑、装系统、修打印机、拉网线,还有人真诚地请教为什么电脑会卡。
“说多了都是泪,孤独啊,我和同事没什么共同话题,更多时间都在自己学习。”
黑暗哥考虑过跳槽吗?
如果是有团队的甲方或者重视安全的甲方,他肯定愿意去的。但跳槽后待遇如何,要看对方是怎样的公司了,很难说得清楚。据黑暗哥透露,之前有家甲方公司叫他去应聘,对方十分满意黑暗哥,表示公司很重视安全,不仅要大力购买安全产品还要做等保,要做体系建设,承诺绝不让黑暗哥做非安全相关之事,但薪资……
“呵呵,我从薪资预算里面就知道,他们口中所谓的安全预算根本不存在,跳槽过去也是从一个坑跳到另一个坑而已,果断放弃了!”
如何点评这一行?
黑暗哥借用了某大佬的一句话,架构师的知识量,实习生的工资!虽说里面有夸张成分,但安全行业工资偏低也是不争的事实。“如果人生还有选择,我一定做个码农!”
认识BUG哥几经周转,听说我要问“一个人的安全部”这事儿,他撸起袖子说要分享一波朋友经历,原话是这样的:
一个人负责整个企业或者单位的内网和外网安全,每天都要担心系统被黑客日,连看到扫描都心里一颤(但是做的时间长了,基本就麻木了)。系统被日了,顶上去,杀马,删后门,打补丁……
同事电脑中毒了,给他杀毒重装系统去(有时候真不是病毒的原因,就是因为电脑太老了,卡了……)。
上级单位要检查了,做个自己都看不懂的但是领导喜欢看的安全报告交上去。
有时候还要去做运维的活,要是单位的系统是廉价的开发公司做的,估计还得负责系统的功能微调。
时不时会有公司里你喜欢的妹子添加微信好友,上来寒暄几句,然后问你能不能破解QQ密码或者盗号,她怀疑她男朋友出轨了,顺便再让你给她看看她手机和电脑里有没有她男朋友给她发的病毒,手机桌面是她和她男朋友亲亲的照片,从此你就不喜欢她了……
我:你知道这么清楚?(疑惑脸)
BUG哥:别这么看我,真是的听说,听说。
我:好的继续。
由于是一个人的安全部,这个部门情况好的话是一个边缘部门中的边缘部门,情况不好的属于信息中心下属的网络部的运维部的安全部。
所以综上,一年给你部门的投入也就一台华为的防火墙了(华为表示不关华为的事,华为不知道),运气好的话还能给采购一个IDS或者IPS。
要是问出了问题怎么办?肯定你背锅啊,你一个搞安全的,系统被日了,难道要去找研发么?(正确答案:是的)
要是没出问题呢?领导会觉得你在这也没啥用,工资就不涨了,年终奖也算了,要是明年有应届生来上班,就把你开了得了,能省则省嘛。
好了,故事说完了,BUG哥收起小桌板,意味深长地总结,有这样的经历也未必不好,如果你一个人搞定了企业内外网安全,渗透、运维、工具或者设备使用熟练,条理清晰,有自己的见解,那在下家还是很受欢迎的。但如果只是去混日子,看天吃饭,靠运气躲开攻击的话,可能连受到下家diss的机会都没有……
风哥最近心情不错,原因是招了一个小伙伴,终结了他一年多“光杆司令”的时光。
我:为什么之前一直没招人啊?是不好招吗?
风哥:(捂脸)安全没投入,领导不给人啊。
我:那为什么现在给人了,是因为前段时间Facebook数据泄露给老板们敲了警钟吗?
风哥:……并不是,因为我提了离职啊。
(整段垮掉没关系,我们重新来过。)
据风哥说他干的事有这么几块:安全管理、网络安全、系统安全、应用安全、业务安全、数据安全、内部安全(含办公网)……当然这是从安全角度,在运维、研发同事眼里他就是扫地僧,专扫漏洞。有人觉得他管的宽,有的人觉得他管的窄。
“这也是一个人安全部的弊端吧,没有一个高级别的人比如CSO给你说话,给你划分职责范围,反正一句话:我觉得跟安全相关的就是你的事,我觉得无关的就跟你没半毛钱关系。”
更扯的是领导。公司不被黑,领导觉得安全没事做,公司被黑了亏了一大笔,又说安全没做好,天知道他们给领导讲过多少次facebook亏了几个亿的例子,但领导不为所动。总结起来就是:没出安全事件——要安全有什么用?出了安全事件——要安全有什么用?
风哥写过文章,只不过写完文章后有人留言说“兄弟以后不许写一个人的什么什么了,上次有一篇文章叫一个人的安全部,我单位有位XXO就认为他啥都知道了,自那以后买两本书看看目录就开始和我们讲安全了,当你和他讲技术的时候,他给你讲管理,当你和他讲管理的时候,他给你讲情怀,完了,估计下周开会又要墨迹了!”。
回到风哥提离职这事,他其实没怎么纠结,“说白了,每个人在拿薪资的同时都想提升个人价值,如果大公司有专业团队我可以考虑降薪过去,但如果小公司让我抗事背锅从头开始,薪资就得给高点。当然还有一种情怀在里面,干的爽了多干会,干的不爽早点撤。”
嚯,侠客即视感。
“一个人的安全部啊,”基哥点了根烟,说起了行话:
日常要做的就是日站:挖漏洞,修漏洞;当安全运维狗:配置维护防火墙、入侵检测、日志审计等等各类安全产品。做等级保护合规建设和测评等;没预算时客串码农:公司没钱采购安全产品,要自己搭建开源或者自己开发;薅羊毛:先(测试)薅自己公司的羊毛,再防止羊毛党薅羊毛;吵架:与产品经理吵架、与开发吵架、与运维吵架,给我排期需求,修复漏洞;背锅和甩锅:锅是必须有人背的,不是自己的锅,要甩出去。
基哥现在不是一个人了,他背后站着三、四个男人,是一支小规模的安全团队。不过说起之前单打独斗的经历他依然吐槽满满,“最大的困难是没人 and 没钱 (有一样儿也行啊)。要是仔细说,那就多了去。”
比如什么呢?
每次迭代时产品经理不给安全的需求排高优先级开发,安全需求推不动;
开发不按时修复漏洞,或者认为某些漏洞没必要修,漏洞需求推不动;
运维不及时修改安全配置,运维安全推不动;
业务、开发、运维部门认为:安全怎么那么多事儿,总提影响进度要求,或者给他们找活干。
财务做预算时:没钱。HR做Headcount时:没招聘指标(没人)。
领导:要出业绩,出看得见的KPI。
普通同事:你们不是黑客大神,复仇者联盟灭霸级别的吗?怎么还能被XXX?
此处基哥举个栗子:某次运营和抽奖活动后,运营和产品经理妹子找我们哭诉:又(划重点:又字)被薅羊毛了,这个月的活动预算都被薅没了。前端见到我们一脸诡笑:听说你们被薅羊毛了……后端见到:又被薅羊毛了?厂家一脸鄙视(被一个制造业鄙视了互联网公司……)
当然,这都过去了,现在有了小团队的基哥舒心多了。在他看来大多企业的安全工作与企业核心业务的距离比较远,除了业务风控岗位和业务距离近一些,业务安全直接影响收益和利润,其他安全岗位被认为是后台保障工作,所以,没有业务风控的安全团队,通常人比较少(4人以下),有业务风控的团队(业务需要才有),通常人在4人以上,投入的预算高一些,这时能做的事情就比较多了,也容易出安全业绩。
“互联网大厂的安全团队少说都30+人、50+人了,很多安全系统也都是自己开发,人多钱多的时候,安全工作相对会顺畅很多。”
77——你之所以看不见黑暗,是因为有人拼命把它挡在你看不见的地方。
一年前77师傅干的还是一个人的安全部,一年后他换了公司身边出现了不少并肩作战的伙伴。
77师傅写过不少文章,写文章后也认识了不少一个人做安全工作的小伙伴,其中更多的是在金融公司工作,涉及到等保等需求公司会招聘安全相关岗位。在互联网中小型公司中,有安全岗位的真的不多,更多的业务都往云上进行迁移通过云厂商的安全服务进行安全防护,在业务没有碰到大规模黑产/黑客攻击导致损失钱的情况下,很少会有公司对安全开始重视。
而根据他以前的经验,很多初创公司因为代码的不严谨存在越权、跨站、注入等高危漏洞被攻击者利用造成了无法挽回的损失导致公司无法继续运营。
另外在发现漏洞后的修复流程中,公司业务快速迭代新功能的紧急发布总会存在一些安全隐患,中小公司很少会有PMO这样的岗位对项目进度进行跟进排期,一般都是个人和对方业务沟通告知漏洞详情和修复建议,碰到关系好的开发可以让他排期尽快修复,当然也会碰到比较耿直的开发。
比如77师傅之前就遇到过一个开发,写了一个公网访问的一个网站,在做数据库交互的时候没有用框架自带的过滤用的是SQL拼接的方式导致了SQL注入的存在,当时判定优先级为最高需要马上修复,但是这哥们对这个并不在意给出的修复时间是一个星期以后,经过一顿操作将修复日期调整成了当日。(具体怎么操作的可以问问77师傅。)
77师傅把安全工程师们收到一个通用漏洞的心情比做产房外等待的丈夫,要尽快确认公司是否在使用这个服务,这个服务是否可以对外访问,如何修复漏洞,补丁是否支持热更新,灰度发布方案是怎么样的,如何做到回滚等等,晚一秒被攻击的可能性就会增加,每次修复都是在于时间赛跑。
同样的,发现漏洞会尽快联系对应开发组织修复,提供修复建议在修复完成后进行再次测试等等。
说到最后,77师傅真诚说道,“如果公司有安全从业者请善待他们。你之所以看不见黑暗,是因为有人拼命把它挡在你看不见的地方,向所有做安全的好同志致敬。”
前几天微博有一个女生投稿,内容是求助网友怎样说服肌肉猛男(友)不用熊猫头像,反差太大了。不少网友对这位投稿博主进行了diss,用熊猫头像怎么了,谁还不能买个萌。
熊猫哥在群里是萌宝,顶着熊猫头像公然撩汉是他,有理有据给群友出谋划策也是他。
在我问出问题后,熊猫哥一脸坏笑,“是不是收到很多群友们的疯狂吐槽?”
我:是是是,你有什么要吐槽的吗?
熊猫哥:不,我是来和你说为什么大家这么吐槽的。
以下是熊猫哥一本正经的回答:
IT治理的目的是使IT与组织业务有效融合,其出发点首先是组织的发展战略,以组织发展战略为起点,遵循组织的风险与内控体系,制定相应的IT建设运行的管理机制。IT治理的关键要素涵盖IT组织、IT战略、IT架构、IT基础设施、业务需求、IT投资、信息安全等。说白了一套强壮的IT管理制度和完全对应的制度落地才是一个IT部门的核心竞争力。
现在很多公司招聘的管理层完全不懂IT治理,很多都是经验多一点,简历好看的程序员,一旦从控制代码到控制一整个IT部门,他们的能力就捉襟见肘。信息安全十分依赖一套健康的IT体系,才能稳步的推进工作,不管是运维安全,代码审计安全,以及内部安全控制等等。
正因为如此,群里的甲方工程师各种吐槽的本质原因是因为IT部门的基础没有扎实。
所以为了开展工作,甲方安全工程师在权力结构不对等的情况下,在建设IT部门的基础性架构,在完成技术建设后再开展安全工作。
这就是为什么甲方安全工程师往往要多得罪人,被人嫌弃多管闲事。
领导层不懂IT治理(我怀疑他们连IT治理是啥都不知道),就会觉得安全工程师不务正业,为什么做这么多和安全无关的事情。
现在甲方信息安全工程师面临的本质矛盾是IT建设基础不扎实甚至没有,甲方安全工程师为了完成职业目标,必须越权额外完成工作,导致职场人际关系和职业发展目标双输。
在熊猫哥把这段话同样发到群里后,群友纷纷开始了“商业吹捧”……
群友甲:熊猫大哥的立场很有高度啊;
群友乙:我把这话转发给我们IT总经理,他一脸尴尬又不失礼貌地微笑;
群友丙:猫哥这是站在信息化角度诠释;
群友丁:(想不出夸你的话,那就发几个表情包吧)
……
P神——其实没什么特别之处
和P神聊天之前我先询问了群友为什么送他这么一个称呼,他表示没什么特殊含义,不过是自己昵称首字母是P而已,但据我观察很可能和他热衷于P图有关,毕竟我亲眼见证了他晒戒指也用美图秀秀P了一波手毛……
P神曾在一家电商从事过将近半年的甲方安全工作。按照他的经验,有安全需求的公司,要么自己被黑过,要么是企业发展到一定规模需要这样一个角色。而一个人的安全部这一角色,通常依附在运维部门下面或者是QA质量测试下面,你的领导可能是质量测试的老大、运维部门的某个小leader或者是运维总监,少数会直接将工作汇报到CTO那里,从这点就可以看出安全在公司中的位置。
而安全工作要顺利推进是需要话语权的,需要一定的安全预算,因为安全工作常常是在发现别人的问题,从点(一个漏洞)到面(系统网络架构业务风险)的风险发现和治理多数情况下是与人打交道,大家往往因为各种原因会有不同的抵触情绪,职场的沟通协调能力是一方面,而有制度和权利的保证会让工作有理有据的顺利开展。否则这些工作定义了一个人的安全部是自顾自嗨,慢慢就会缺乏认同,没有成就感,失去积极性,变成一条咸鱼。
你在的部门和领导决定了安全的角色可以做什么,什么可以做的更好,什么事情想做而做不了,什么事情让你感到压抑。
但这些都是因人而异,一个人能够在甲方经历安全广度上的磨练,如果自己也懂得思考,并在公司有价值和声音的体现,以及在安全的某一方面有深度能力,完全可以跳到合适的甲方组建自己的安全团队或跳到已有安全团队的互联网明星企业。但当自己的想法和行动力被不懂安全的人束缚时就会回忆乙方的团队氛围……
实际上在P神看来,一个人的安全部的经历没什么特别之处,闪光的地方更多在于你做出的成绩和积累或对圈子的贡献。
夜深了,吐槽星人们都开始潜水搬砖,明天起来又是一个人的安全部,谁也不知道会出现什么鸡飞狗跳的事情……
文章为雷锋网宅客频道原创,欢迎关注雷锋网宅客频道(微信公众号:letshome)