freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

谈谈安全服务“外包”运营之殇
2018-05-21 20:09:33

*本文原创作者:雨水,本文属FreeBuf原创奖励计划,未经许可禁止转载

服务外包在IT行业是很普遍的现象,通常会把自身不愿意组建团队来做的事情,外包出去。随着时代的发展,IT行业的体量在不断扩展,从一开始只有门户网站、办公、协同系统等单一的业务应用,到现在的移动办公、虚拟化、云计算等越来越复杂的IT环境,需要外包的服务类型也越来越多。

业务单一时,只有设备运维需要长期驻场,业务扩展后,原有的定期渗透测试、代码审计等攻防技术类工作,也需要加在日常工作流程中,通过长期驻场的方式进行。当业务扩展到需要一个团队来对接安全部门与开发部门,资产、漏洞等信息需要平台来管理时,运营工作也需要外包驻场了。

运营团队类似于安全部门的行政,运营人员的工作性质与秘书、助理等差不多。相比较于渗透测试工程师对技术的要求,咨询顾问的行业工作经验,项目经理对项目的把控,运营人员需要的技能体现在沟通协调能力、文档整理能力等方面。

驻场在甲方的运营人员,需要帮甲方处理的事情包括:

一、工作对接

任务发起:甲方接口人发起一个任务,如系统渗透测试,风险评估等。

计划制定:运营团队与安全团队沟通,完成该任务,需要的材料(如:资产清单,管理员联系方式等),需要配合的部门,计划时间等。然后拟定工作计划,向甲方接口人汇报,征求甲方同意后,配合安全团队开始任务。

任务进行:在安全团队开展工作后,协调安全团队所需要的资源,跟进任务完成进度,定期向甲方汇报。将安全团队的工作结果反馈给各团队整改,如应用安全问题反馈给开发组,网络安全问题反馈给网络组等。维护安全问题列表,如等保整改计划表、漏洞表等。

任务结束:安排安全团队向甲方汇报检测情况,开发、运维团队汇报整改情况,记录检测结果及整改进度。

二、信息维护

运营团队需要记录、维护安全工作结果,包括资产表、漏洞追踪表、管理制度落实记录等,定期做成台账汇报给甲方。还需要维护甲方单位各种信息,各运维组、开发团队对接人联系方式,熟悉甲方组织架构,在甲方需要开展安全工作时,随时能够协调其他部门配合。

三、工作推进

在甲方想要推进安全工作时,获取甲方需求后,制定方案,与甲方沟通,确认后,协助甲方开始推进。如:甲方想让所有开发团队在SDL流程中加入代码安全检测,经过代码审计后的系统才允许上线。运营团队需要输出代码安全工作推进方案,首先安排安全团队与甲方沟通代码审计需要的技术支撑,然后了解开发团队SDL流程,确定代码审计加在流程哪个部分合适,接着制定考核方案,针对开发团队配合程度及检测出来的代码质量进行评分。最后制定推进流程,需要甲方接口人向哪些领导汇报,编写好汇报材料,向哪些配合部门发送通知,编写好通知内容。方案输出后与甲方沟通,确认后开始推进。

   

相比较安全行业的其他工作,运营工作在技术和经验积累上不是很明显,运营人员也给人一种打杂的印象,运营团队经常出现人员更换频繁,一直缺人的状态。运营人员的发展和出路,具体可以在以下方面:

1)运营工作工具化,运营人员每天的文档整理,人员沟通等,可以使用工具代替,首先需要熟练使用Excel,使用宏、函数等提升工作效率,然后再开发一些工具,自动处理文档,如:将扫描器报告自动导出到Excel和word中,漏洞类别、威胁程度按照格式归类好,调用SMTP协议自动发送邮件等。最后可以将各个工具汇总到平台上,通过平台来完成运营工作。

2)运营工作咨询化,运营人员需要了解安全咨询标准,如:27001、20984、等保等标准,在日常运营中,依据咨询条款向甲方建议安全工作的开展和推进方式,如等保检查项中,就有恶意代码防范的检查要求,让甲方知道,自己身边就有个咨询专家,安全工作是参考行业最佳实践开展的。

运营之殇,安全行业中的行政,既是安全,又是行政。

PS:本文是在甲方驻场时,整理的经验,感谢甲方领导,你们既是甲方,又是良师,感谢良总,感谢何老师。

*本文原创作者:雨水,本文属FreeBuf原创奖励计划,未经许可禁止转载

# 企业安全 # 安全服务
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者