CSO進擊之路:初來乍到,業務安全新官上任做點啥

bigsec

人才市場每年的三月四月份被稱為金三銀四,為傳統意義上的人才招聘高峰期。對于企業安全市場來說,人才稀缺,每年基本也就是圈子里那么幾個人跳來跳去,對業務安全的中層管理來講,人才更少,同時被幾十個獵頭盯著隨時手上都有 offer 的情況也是非常常見的。那么對于業務安全人員,在正式進入一家新公司前,不太可能了解到真實的坑有多大,大部分工作都是在正式入職以后才開展的.

跳到一家新公司,初來乍到,到底該如何摸清底細,燒好上任三把火呢?筆者總結自身經驗,提供以下幾個措施供參考。

尋找當前頭部問題

招聘業務安全負責任的契機,一般都是由于當前業務中出現了某些風險問題,急需專人來解決。往往有些負責人進到一家新公司拜完碼頭后就急于構建業務風控架構,然后借此擴大團隊穩住腳跟,這個方式不是不好,但不熟悉內部情況下急于動手很容易導致方案飄在空中難以落地。

根據筆者經驗,首先第一件事應當是尋找頭部問題。企業業務頭部問題往往和其核心資產息息相關,比如電商型企業的物流被濫用和賬戶資金安全、航旅行業的資源占用和爬蟲問題、互聯網金融企業的貸款風控等,根據自家企業的業務形態,長期關注的核心安全問題可能略有不同。

另外可以通過私下溝通方式確認當前正在嚴重困擾當前企業的問題。建議可以尋求一線處理投訴的客服部門,或者運維同事去了解下當前正在嚴重影響他們工作的業務安全問題主要在哪些方面,往往大部分的資金帳戶安全問題都會體現在客服投訴部門里,而導致服務不穩定的爬蟲攻擊等問題都會體現在運維或類似的技術運營部門工作中。

因為一定程度的影響了他們的工作,所以在初期推行業務安全治理的時候由具體問題以“幫忙”的角色切入,很容易得到他們的支持,避免出現業務安全得不到執行層面支持的尷尬情況出現。

業務安全體系梳理

bigsec

確認好頭部問題后,就具體問題來梳理業務安全體系,為了解決頭部問題,要拿什么數據?用什么方式來存儲和分析?如何阻斷?怎么反饋優化?(具體請參考“一個CPO的心得分享系列”).如果已有風控系統的話,現有的風控體系如何改造?這里可以借助自身的經驗來開始設計架構、招人、明確項目收益了。

由于風控系統無論大小,其都存在一定的研發周期,還要考慮新團隊磨合的成本,這中間一段時間幾乎都是零產出的,那么我們還可以做什么?

業務安全評審:

由于頭部問題的梳理后,應當已經體現出區別于業務方對于業務安全知識的專業差距了,至少業務部門應該知道你能發現他們無法發現的安全問題,那么在需求評審中加入一個安全評審的過程就比較順理成章,旨在業務流程設計、活動上線前就能發現業務邏輯漏洞,避免在風控服務未成形前出現過多的新業務風險點。

業務安全案例培訓:

借助以往經驗,結合當下企業業務場景,做面向產品、運營、運維的業務安全案例培訓,幫助他們了解你是做什么的,另外也是屬于提前打好預防針,告訴他們如果不注意可能發生的惡劣后果,以及你正在做的解決方案,爭取更多的支持。

填坑拆炸彈

不論所在企業大小,業務永遠是動態的,人也是流動的,這種情況下就會產生很多沒人理的清管的了的歷史問題。

很多人認為業務安全也應該往企業主力業務上貼,因為更容易出成績,但實際這個想法不完全正確。鑒于業務安全的特殊性,必須補齊短板,否則主力業務就要遭殃。舉個實際例子:

某網站,主站業務帳號安全梳理的比較清晰,雖然短期存在大量的帳號撞庫問題,但帳號內沒有資金,唯一的身份證信息也加密脫敏了,以為暫時不重要。但通過客服反饋,一直有用戶反映被撞庫后竊取身份證信息的問題:詐騙電話說得出準確的身份證號碼。最后發現其英文版本的網站沒有做身份證脫敏。

業務安全攻守不平衡的主要原因在于:防守必須全面無死角,攻擊方找到一個點就行了。所以雖然目前移動互聯網趨勢嚴重,筆者認為傳統PC WEB端的問題也不能丟,攻擊者不管流量有多小,有缺陷就行。這就像一個網站你人臉識別、動態口令上的再全,只要不敢把密碼登錄干掉,你就永遠要考慮密碼暴力猜測問題,和使用比例沒有關系。

寫在最后

業務安全負責人越來越多的成為互聯網企業的標配,主要在于其職能所解決的與傳統安全問題有根本的不同,面向帳號安全、反欺詐、反爬蟲等類型的業務邏輯缺陷。并且,由于這些問題貼近業務本身,也能夠量化出非常直觀的收益。

但由于業務安全所需的人才需要了解的知識面非常廣泛且難以通過常規方式獲取,導致人才非常稀缺,也是該領域失業率為負的一大原因,所以如果發現個好苗子,請各位HR一定抱住不要松手,比心。

marvin 豈安科技聯合創始人,首席產品技術官 超過6年風控和產品相關經驗,曾就職網易,負責《魔獸世界》中國區賬戶體系安全?,F帶領豈安互聯網業務風控團隊為客戶提供包括了明星產品Warden和RED.Q的風控服務。

大发快3