(故事接着上篇说)小和尚苦练16年,下山又历练了20年,期间遍访名山大川的各大门派,在“见天地”的阶段有了许多新的感悟,同时自创了新的功夫和武学心得,一身功夫自是深不可测,传说小和尚从东海之滨回来之后,武学切磋再无一败局,自此在江湖中留下了鹿鸣寺首席行走的名头。
20年后,小和尚再次来到了清风镇,桃李春风一杯酒,江湖夜雨十年灯。大牛一口喝完坛底的烈酒,咧着嘴对小和尚说,你现在也是一代宗师,不想着开宗立派,收徒授艺,将你那一身的功夫传播天下。小和尚记得一灯师傅曾经说过,功夫是天下人的功夫,你什么时候明白这句话,什么时候就算是修成正果了。
小和尚在大牛和李二二的诧异中站了起来,双手合十,朝着南方鹿鸣寺方向行了一个大礼,自此之后不到十年,清风镇便成了天下闻名的功夫圣地。
我们一部分机构和企业,经过数十年的信息安全建设工作积累,从见自己到见天地,历经艰难坎坷,终于有了自己的一套成熟的解决方案和安全体系,并且正逐步将自己的技术积累进行产品化,对外进行成果输出,这正是一个自然不过见众生的历程。
还有一些像小和尚这般大师级的安全届大牛,在甲方或乙方工作数年之后,出来创业,将自己的想法拿到市场上来实践,并最终获得了市场和同行的认可。
当然要做到实实在在的看得见,还有很多工作要做,那么问题来了,到底怎么看?
我总结了4点,欢迎大家来喷:
1.身上有艺
俗话说得好,艺多不压身。对一个机构的安全工作来说,同样也是如此,不仅要有各类技术手段和工具,而且还得用的上、用得好。
武林中都有兵器排行榜,咱们国家远在冷兵器时代就有各种名兵神器,像鱼肠剑就是十大名剑之一,《史记.刺客列传》中就有提及,“酒既酣,公子光详为足疾,入窟室中,使专诸置匕首鱼炙之腹中而进之。既至王前,专诸擘鱼,因以匕首刺王僚,王僚立死。“
现在业界鱼叉攻击这个词很火,我看了上面这段故事才知道,早在2000多年以前,古人就已经把鱼叉攻击玩得很溜了。
关于各种安全技术手段和工具,说白了其实分两大类。
一类是资产本身具备安全功能和属性,这属于先天性的安全优势,像应用系统对敏感数据进行加密存储和脱敏显示,这个就是系统本身的先天安全优势。当然大多数的应用系统本来是不会加上这些安全功能的,大家还记得国内好多社工库被拖下来后,大家伙一看,用户名口令居然是明文存储的!明文存储!明文!还记得当年大明湖畔csdn最复杂密码排名么?
ppnn13%dkstFeb.1st(提示:娉娉袅袅十三余,豆蔻梢头二月初)
这么复杂的密码,因为明文存储结果就悲剧了。
另一类就是安全产品和服务了,这块的话全球市场规模有700多亿美刀,而国内就小多了,刨开所有的国家队,民营企业这块的市场估计也就剩200亿人民币了。
不扯远了,还是聊聊安全产品和服务,产品种类繁多,有基础型、增强型、刚需型、定制型。
-
按安全域来分有物理安全、网络安全、主机安全、应用安全、数据库安全、安全管理等类型。
-
按安全功能来分有防护类、检测类、管理类、应急取证类等。
-
按交付模式来分有传统架构类、IaaS类、PaaS类、SaaS类。
-
按客户需求来分有雪中送炭的刚需类、锦上添花的增强类、填补预算的对付类。
-
按实际效果来分有睡安稳觉类、忐忑不安类、啪啪啪打脸类(请务必对号入座)。
至于买怎么样的产品,国内情况基本大家都心知肚明,我也不展开说了,各家在采购时别被集成商、厂商的销售和售前给忽悠了,货比三家,看品牌知名度、市场占有率和本地售后支撑情况。总而言之,不该买的别买,比如那“啪啪啪打脸类”的产品、比如那些OEM贴牌销售的产品、比如自家卖web防护类产品但门户网站经常被黑的企业,坚决不能买,别给自己挖坑。
喜欢花心思的朋友可以参考一下Gartner的各种安全产品的魔方图,或者留意一下国内安全会议的一些赞助商和主题演讲厂家。
产品买回家之后,一定要用起来。为什么要强调这个,因为我碰到过一个客户设备买回来2年了都没拆封的事情。还有好些客户dmz边界串了web应用防火墙,但是防护规则一条没启用。还有几个高大上的客户,花了大价钱上了siem系统,结果系统里边只监测了十多台服务器,规则从来没人碰过。
至于如何用好,我觉得制掣的因素太多,一部分机构内部安全专岗技术能力不足的时候,然后又缺少预算的话,可以用机构的名义来邀请一名专家为独立安全顾问,花更少的专家顾问费来为自己机构的安全工作把脉把关把方向,不过前提是你得分辨清楚你聘的是专家还是砖家。
大家来看看下面这辆车的配置参数,参数很牛逼,看上去很美,感觉不行不行的,不信你看:
-
中置引擎
-
CVT无级变速
-
后行李架
-
超大前备厢
-
24寸超大轮毂
-
前后盘刹
-
铝合金轮毂
-
真皮座椅
-
1:1转向比方向盘
-
高位刹车灯
-
全景天窗
-
新车零甲醛排放
-
新能源
看到这里,你是不是感觉这车比特斯拉牛逼,你一脸贼笑地砍价,愣是把一台特斯拉的车价砍到了一辆会断轴的大众速腾,然后一脸傲娇掏钱买单,结果提车的时候一看傻眼了,为啥?因为这是一辆自行车。
其实现在你买安全产品和安全服务的处境和上边这个段子差不多。
国内的市场占比感觉同国外情况是反过来的,国内市场份额不大,客户认可度和接受度不算高,坑多事多争议也多,安全服务的报价被客户砍到膝盖甚至脚踝了,你只给小米手机的钱我凭什么给你iphone6s,客户给不起钱,然后说活没干好,安全服务的兄弟们被客户百般刁难,怨声载道,这个现象目前来看还会持续一段时间。
安全服务在国内主要分这么两类:
第一类是一锤子买卖。
这跟你相亲是一样的道理。隔壁张大妈跟你妈念叨,说她的外甥女跟你比较般配,要不两个人见见,怎么样,你见还是不见?人家张大妈一片好意,确实你那么大还单着,不好向父母交代不是,于是便应允了。
可能性分三种:
双方一见如故,恨不能早认识5年,郎有情妾有意,便勾搭在一起,过了一阵子就结婚了。这就是将一锤子买卖做成长期生意的,这个活你们干得好,要不我们签个战略合作协议,以后5年我们的活都由你们来干。
双方的第一印象都还不错,谈到订亲送彩礼的阶段了,女方说要一套三环内的三房再加礼金500万,男方觉得太多了,双方家长见过几次后互不让步,后来男孩找到了一个不要彩礼的姑娘,男方立马跟女方撇清了关系,再见还是朋友。这算是两锤子买卖,甲乙双方签了第一单之后,做的还不错,接着又签了第二单。但是后来由于乙方报价过高,甲方找到了更合适的厂商,于是就选了另外的伙伴。
双方都瞧不上对方,碍于情面和礼貌还是好吃好喝把饭吃完,然后男孩子买单,再见还是陌生人。这就是典型的一锤子买卖,干完一票后,业主不是特别满意,但还是付了款,只是再也没有下次了。
这一锤子买卖里边有很多不同的服务内容,最典型的莫过于风险评估类服务(像风险评估、渗透测试、等保测评),然后就是咨询服务了(像安全规划、合规体系建设)。
第二类是长期合作。
像mss这类安全外包服务可以算是长期合作的一种模式,啥活都干,从评估、加固、监测、应急、咨询到培训,基本上是有求必应,虽然合同上面写的清清楚楚该做什么不做什么,但是媳妇已经娶进门,你丫不听话试试看,快把大爷伺候好了,不然休了你再找个去。这个时候,甭管白天还是晚上、工作日还是周末、份内事还是份外活,你都得做了。相信很多兄弟都遇到过一些奇葩事,大家伙有空可以在评论区留言,比比谁最奇葩。
业界俗称保姆式服务,我觉得叫小媳妇式服务都不为过。保姆做烦了可以拍屁股走人,小媳妇不一样,得忍声吞气。好多时候安全外包服务项目没利润,而且一个萝卜一个坑,填了不少人,但乙方还是不愿意丢掉这个单,干得不开心也要干,至于理由就不用再讲那么清楚了吧,呵呵。
买了产品和服务,剩下的事情就是如何把这些技术手段带来的安全效益最大化了。
关于身上有艺这个环节,就到这里吧,预告一下,下篇讲手中有料。(个人公众号:sunw3i)
先雇人套个麻袋,再挺身而出,大喊“不要打我老板!”。把艺可视化一下。