What 安全感是啥?
在信息安全领域谈安全感乍一看像是扯淡,因为安全要的是实实在在看得见、防得住、应得急和管得好,你一句飘在半空的安全感能解决啥问题?
安全感不是神奇的咒语,既不能拦截CTB-Locker敲诈邮件,也不能识别出自己公司还有多少个Apache Struts 2远程命令执行漏洞,那它凭什么成为直抵人心的隐形卖点,在甲方完成产品选型测试发现不相伯仲后,变成CSO买单的决定性因素。
20多年前,南方的小伙伴冬夜里大多是围着火炉看小人书度过的,而我却有一段很有意思的经历,小时候有几个寒假,在北风肆虐的冬夜里,我都睡在鱼塘边临时搭的草棚里。
那时候爷爷承包着一个大鱼塘,冬天临近过年是鱼儿养得最肥的时候,也是快到渔获的时候,我便跟着爷爷入住那个靠着几颗松树搭建的棚子,里边一张木床,床上铺满新换的干稻秆,稻秆上面是厚厚的棉被,夜里我套着爷爷的羊毛大衣,带着帽子,一手举着手电筒一手拿着钢叉,在肆虐的北风里跟在爷爷身后巡视鱼塘,只可惜那时候还没有《大王叫我来巡山》这首歌。
其实爷爷在开春养鱼之前已经在鱼塘里钉了很多长长的木桩,并且放了好些大的树枝树杈,用来防止偷鱼贼使用渔网捕鱼,但邻近年关时还是睡不着觉,担心有人来偷鱼,不想辛苦一年的果实平白损失一些,这就是安全感缺失。我睡在草棚里,惊觉且紧张地听着身下稻秆的挤压声、棚外的风声和树枝摇晃声,这也是安全感缺失。有没有贼不重要,睡在鱼塘边,夜里起来几趟转转心里才踏实,这就是安全感。
安全是客观存在的,并且可以度量。而安全感是主观臆断的,因人而异,并且随时都可能变化。
Why 为什么需要安全感?
看完上面的故事大家应该都明白了,鱼塘是IT基础设施,鱼是有价值的资产,而木桩和树枝树杈便是安全防护措施或安全产品,有些公司花大钱买来安全产品和服务,他们的隐形诉求其实还包括安全感,所以厂商交付的不应该只是冷冰冰的设备和过于范式化的服务,科技之外,人性的部分会有很多加分。
就跟信息安全从保安模式开始发展,进入到保镖模式,最后毫无意外地来到了保险模式,这实际上也体现了大多数企业对信息安全的安全感诉求逐步增强。那些花钱买全险的车主甚至一年到头都报不了一次险,但是他们图的是心安。
在PC大行其道的时候,对广大电脑小白来说,杀毒软件算是标配,他们从来都不去碰一下桌面右下角的那个小图标,对他们来说杀毒软件唯一作用就是提升安全感。
安全和安全感的关系,其实也比较微妙,好多人认为安全是恐惧和事故推动的,也就是安全感缺失推动的,于是便发出了下面的声音。
“病毒其实是杀毒厂商制作并散播的,只有这样杀毒软件才有生存的空间。”
“某电脑卫士经常制造恐惧和黑客事件,然后英雄救美,最后你会发现英雄和流氓在一起喝酒。”
“他们经常拿0Day漏洞和APT说事,到处吓唬人,还不就是想卖点APT检测产品嘛。“
”我们的在线业务被打了2个小时DDoS,抗D厂商的销售电话就进来了,这也太赤裸裸了吧。“
再后来有人提出说如果天下无贼了,警察是不是就可以下岗了。如果没有漏洞了,安全从业者是不是可以回家卖红薯了。天下无贼意味着可以夜不闭户,我爷爷也不用在冬夜里带着我看护鱼塘了,但警察还需要么,答案是肯定的,比如隔壁老王喝醉酒睡到了别人家媳妇的床上。当然没有漏洞也同样需要安全人员,比如某员工误操作导致在线订票业务中断数小时,某机房起火后的数据恢复等等。
我们的确需要安全感,安全感也是安全厂商交付给用户的黄金卖点,但满满的安全感并不代表真正的安全,这句话并不矛盾。
How 如何适度增加安全感?
魏文侯问扁鹊曰:“子昆弟三人,其孰为善?”
扁鹊曰:“长兄最善,中兄次之,扁鹊最为下。”
魏文侯曰:“可得闻耶?”
扁鹊曰:“长兄于病视神,未有形而除之,故名不出于家。中兄治病,其在毫毛,故名不出于闾。若扁鹊者,血脉、投毒药、副肌肤间,而名出闻于诸侯。”
安全保障工作其实和扁鹊三兄弟的境遇是一样的。
你工作做得好,把威胁和攻击扼杀在摇篮之中,老板和客户认为是理所当然的,但同样你也没存在感,他们可能认为没有攻击发生,从而觉得你的本领不过如此。而在另一极,安全问题频发,生产事故不断。你疲于奔命,充当着救火队长的角色,多次力挽狂澜,转危为安,老板和客户会觉得你至关重要,技术过硬,是不可多得的人才。
一边是名不出于家,一边是名出闻于诸侯。安全厂商和从业人员如何来拿捏好,这是门大学问。
话说回来,好的产品和服务,一定会交付更好的安全感,给客户技术之外更好的体验和更佳的收益。那么如何适度地增加安全感,篇幅有限,就提几点建议,仅供参考。
一是多刷脸
卖盒子不是一锤子买卖,记得定期提醒或帮助客户进行规则库升级,多拜访客户。高危漏洞爆发时或重大活动保障期间及时给客户整改建议和密切关注,不要让客户觉得你只是一个设备厂商。
另外陪伴也能增加安全感,这是本地化服务团队的优势,在客户可能需要的时候你主动去客户单位,哪怕是喝个茶聊个天,也能让他们获得更多的安全感,客户遭受攻击的时候就更不用说了。陪伴的下一个阶段就是分担,类似晚上巡视鱼塘的这类活你们替客户干了,让客户在家里围着火炉等你的安全确认通知就好。
二是换位思考
个人觉得要有效地提升安全感,首先要换位思考,多试着从甲方角度来找找提升的途径,多请甲方的朋友吃几顿小龙虾和烧烤,问问他们担心什么、不满意什么、最看重什么,然后再来找解决方法。
安全服务既要标准化也不能落入窠臼一成不变,每月都是同样的报告,仅仅几个数字的变化你觉得客户会不会厌烦。你面对着不太懂安全的客户高层,张口闭口都是SQLi/XXS/远程命令执行这些术语,你觉得汇报效果会如何面。做完测试直接把扫描器的结果导出甩给客户,几百页的扫描报告,你确定不是在找骂?
三是和客户恋爱
其实好的服务还真应该像情侣一样来维系感情,保持好一个新鲜感,双方交流时有较好的舒适感,给对方需要的安全感,两个人有着相近的价值观,然后赢得对方的信任,最重要的是你有颜值,人家姑娘喜欢你,你的产品从众多竞争对手中脱颖而出,至少不会输给其他厂商。
四是适当秀肌肉
当然另外一些市场推广活动也能增加安全感,厂商参加国内外各种安全会议和比赛,晒证书,晒提交CVE漏洞数量等等,先不管这些活动与厂商交付的服务质量有没有关系,客户一看到这些新闻,第一念头肯定是不错,看来这个厂商我挑对了。但凡事物极必反,如果你天天沉迷于秀肌肉,而服务和售后跟不上的话,肯定会引起一些老司机客户的反感。