标签:建设 自动化 自动 靶场 包括 统一 漏洞修复 致自己 培训
2018年1月1日,以被白帽子提交了一个严重的安全漏洞开年,预示着18年在安全漏洞方面势必不会那样的顺利。
回顾2018的工作和个人成长,并没有让自己太满意,回过头来会想对自己说,本可以做的更好!
大致浏览了下全年的工作邮件,18年主要工作包括SRC漏洞处理、SDL评审启动、数据安全、蜜罐、监控审计、以及包括零售等各项业务日常的安全评审和整改。
个人方面,继续以外部提交过来的漏洞和一些靶场来补充自己web安全的知识,同时,在开发方面入门了Python和Java。
年底,又正好赶上正在办理离职交接,前期对当前的这份工作做了一些思考,现整理反思如下:
1、企业融入不够
当前所在的企业在文化、人事、制度等企业管理的各个方面还存在很多的不足,这是客观事实。所以日常自己总是对企业或者其他部门进行抱怨、吐槽,导致自己从来没有真正的去融入这家企业,没融入自然就不会天天想着如何为企业、为所在部门付出,这也是导致工作没太多产出的一个原因。
2、站位不够
刚入职当前这份工作的时候,技术能力还很Low,对互联网企业安全建设的认知基本为0,所以想的是跟集团各位同事学习,从基础事情做起。
虽然在起初也从整体上规划了信息安全实施举措,但是在具体做的时候,站位低,只是想着要做某件事情,而没有在每天的工作中实时的去思考,整体的安全要怎么发展、团队怎么建设、如何输出价值、如何把安全做到运营层面。所以一直停留在工程师的思维,而不是CSO的思维。
3、汇报路线选择偏激
一直以来安全工作向集团安全部汇报,但新技术总监入职后,自己仍然认为拿集团的要求强制推当前公司的安全工作即可。在自己心里也没有认可技术部领导的风格和能力,这样就造成了以下问题:
4、没有快速组建团队、没有把安全往运营上做
一直在招聘,但是因为要求比较高,一直没找到合适的。当前人数较少,只能应急救火,比如当前做的事情都是一些零散的漏洞修复之类的事情。没有找到技术部领导的需求点、没有找到整个技术部的需求点,除做了很多安全本身的事情(漏洞修复),没有输出业务部门(技术部)认为对他们有价值的东西,所以安全没有为业务赋能,没有得到业务部门的信任。
安全要强势和处罚能力,这些我们是有的,因此业务对安全也很重视,发出来的漏洞不敢不改,但是一味要求业务改漏洞,不改就处罚,这并不能增加业务对安全的信任,除了强势,其实还要找到一些需求点,让安全帮助他们解决、避免一些安全问题,这样才能成为一个战线的兄弟。
对技术部的Leader也是,如果一味处罚他的研发,而不是输出一些东西在技术部的层面上解决问题,他们对安全自然不会有太多的信任。信任你,自然就会依赖你,依赖你才能重视你,你才能对他提要求、要资源!
因此,安全一定要输出自己的产品,通过产品把安全的价值融入到企业价值,把安全融入到企业运营上面,比如统一登录、统一授权、安全运营平台(漏洞管理、自动化扫描、漏洞演练、知识库等)应由安全开发和运维。当然做这些的前提是需要人力资源。
5、安全工作的覆盖范围仍停留在技术部,没有推广到整个公司,安全的影响力小。
对业务部门宣传培训少,对终端管控不足所以对业务部门的管控力度弱(存在感低)。没有非常好的了解公司业务,没有发现安全的切入点,未能给业务部门提供价值。安全要做好,一定要非常深入的了解业务,比如公司财务数据、业务分布、新增业务、业务属性、业务变动等等。只有非常了解后,才能去挖掘一些切入点,在这些切入点上增加安全的措施,才能够得到业务部门和公司的认可,这样安全才能更好的开展。
了解公司业务的同时,也要了解行业,了解竞争对手,不仅要分析竞争对手的业务开展,也要分析竞争对手在安全方面的管理水平,不是为了进行安全对抗,为的是学习、借鉴!
6、太重视个人能力提升,没有全身心投入工作
企业没考核,做好好坏一个样。没有融入企业,心里有早晚要离职的想法。等等这些因素就让自己在工作中太重视个人能力的提升,如选择一些自己感兴趣、没做过的事情去做,工作时间会自己研究或者学习一些新的知识,所以投入工作的时间和精力就有限,这也是导致工作输出没能达到自己满意的一个因素。
2019对自己的期望:
标签:建设 自动化 自动 靶场 包括 统一 漏洞修复 致自己 培训
原文地址:https://www.cnblogs.com/Eleven-Liu/p/10207382.html
