freeBuf
专访赵军利 | 困难级开局,如何从0到1建设安全体系
2024-04-29 09:24:11
所属地 上海

「始于危难之际,止于四海安定。」这是我国早期红客们奉行的理念,赵军利的安全之路也和这句话密不可分。回忆起20年前的红客联盟「大战」经历,他的语气里依旧有着淡淡的自豪感:「当时日本外务省被国内红客联盟攻击,我也曾参与其中的一环」。也许就是从那时起,埋在他心里的那颗名为「网络安全」的种子开始悄悄萌芽。

从一名通讯工程专业的学生,到如今蜕变成为一名企业安全负责人,赵军利用了十余年时间。支撑他一步步走来的,是真正始于内心的、对网络安全行业的热忱。果然,兴趣才是支撑我们向更高处攀登的源动力。

1715224531_663c3fd3488ce1b669a58.png!small?1715224533001

这些年,赵军利辗转于金融、互联网、制造业等多个行业,他做过销售、搞过技术、带过团队,一路「摸爬滚打」,其中的酸甜苦辣滋味没有类似的经历的人难以体会。从基层到管理,从甲方到乙方,从技术骨干到安全负责人,他就像是在不断攀登一座座山,每到顶峰后立刻又向下一个顶峰攀登。也许他自己也未曾意识到,如此丰富的从业经历让他具备了安全负责人三大核心素质:懂技术、知管理、会沟通,从多个角度了解安全,更懂安全的价值。从工作到人生,他更贴合大家对于网络安全人士的固有认知,即是网络虚拟世界的「侠客」,又有着一股「此间事了,江湖再见」的洒脱。

第一次做安全负责人,选择“困难级”开局

玩过游戏的都知道,游戏早期开局一般是「简单级」,为的是让玩家能够有足够的时间、空间和容错率来了解游戏规则和玩法,避免打击玩家的积极性,但是赵军利第一次做企业安全负责人却选择了「困难级」开局。

2020年下半年,经过了四五轮面试的赵军利一路过关斩将杀到最后,成为某科技制造企业的安全负责人,负责公司整体信息安全建设工作。但是摆在他面前的是业界人士常说的「三无」安全基础:无人员、无体系、无设备,真正的「从零开始做安全」。

所以这样的「地狱」开局究竟哪里吸引了他?从而留住了他?他坦言,高层对于公司安全建设的重视度和大力支持是其一,这些信任,给了他放手一搏的底气;其二,因为性格使然,他本就是个勇于迎接挑战的人,能够独立操盘这样一个从0到1的、完整的安全建设项目,对于多年来在安全行业「摸爬滚打」的他来说,既是挑战,也是「检验」,他迫切地想要知道自己究竟能否交出一份令人满意的答卷,所以他没理由不去试试。他认为挑战一个项目就如同打游戏一样,付出和收获是成正比的,付出越多,收获越大,最后必定能够得到自己想要的结果。正所谓于危难之际显英雄本色,于尺寸处见大马金刀。

所以,他决定正面「迎战」。

但面对这场没有硝烟的「安全保卫战」,到底该怎么做?赵军利并没有慌神。「团队尚未搭建,又需要尽快出成果......那没人就先借人应急吧!」

他定了定神,捋了捋思路,在接下来的3、4个月时间里,带着从其他部门借来的人以及后期陆续加入团队的伙伴们,一起做规划、做调研、规避紧急风险,并基于当下可利用的手段一步步搭建安全体系。那段时间,做项目熬到深夜对他们来说也已经不再是一件稀奇事。据他回忆,刨去一部分小项目不计数,曾经近两年的时间里,他们团队一度完成了18个百万级的项目。从建设到采购,从救火到体系落地;从起初一个人的孤军奋战,到最多时候十四个人的团队......赵军利就这样带领团队一路「披荆斩棘」,一步步为企业建立起了安全防护,让满目疮痍的企业系统得到了有效的保障。

从个人层面来说,他完成了真正意义上的企业安全负责人的蜕变与成长。他表示,过去自己一直是专注于做技术管理无心顾暇其他。但近几年有所不同,他开始思考其他两个层面的事,一个是在想安全该如何支撑业务,即对企业来说,该如何提升安全的价值;还有一方面就是思考如何更好地管理团队,将他们更好地凝聚起来。

归根结底,企业安全只靠一个人是肯定做不好的,而是要发挥团队的能力,为团队定下目标和口号,让彼此之间达成共识,这样才能拧成一股力,克服重重障碍。

路,是自己蹚出来的

「你说这些年最大的收获吗?我觉得可能是我越来越了解‘安全’了,不再是仅仅局限于技术层面,而是彻底感悟到了如何去做好安全这件事。」在我们聊到十余年的安全从业经验带给了他什么的时候,赵军利这样回答道。

从前和人们聊安全,大家更多的是着眼于使用什么样的技术手段去做。但现在,特别是当他从头到尾独立「操盘」过一次后,他开始感悟到一家企业要想做安全,必须先做组织、做管理体系,技术可以同步做,甚至可以晚一步做都是可行的。

因为很多时候企业内部存在的安全风险并不是单纯一个防火墙或者单单做一个加密就能搞定的,这其中还涉及到很多。以科技型企业为例,在做安全建设的过程中,要注意商品保护、内部研发机密的保护等等。但同时又需要考虑保护重点是什么,以及如何管理安全人员、如何做好跨部门协作、如何让别人理解安全的重要性,让他们愿意配合执行,这些才是最终安全能不能做好的根本原因。技术只是个工具,它的重要性自然不言而喻,但能否利用好它,将它用在哪里,如何衡量使用的度,这些都和技术本身一样重要。安全规划必须得是自上而下,要找到对应的运维总监、业务领导,让他们从上而下重视起业务风险。

1714353890_662ef6e2e7afc3acc9617.jpg!small?1714353891559

聊到这里的时候,赵军利提到了一个非常有意思的观点,他认为相比安全部门来说,业务部门才是真正的安全第一责任人。因为出现安全问题后,业务部门的风险损失是真正显而易见的。因此,让管理层理解到这个点非常重要。只有真正地理解了安全工作的核心,才能积极地推动各项安全工作落地,以最大程度的规避损失。安全实践才不会碰壁,任务也就能事半功倍了。

赵军利还和我们分享了一个小故事。曾经有次公司需要大规模更换桌面云办公终端,因为涉及到的量高达上千个,无论是资金还是人力、时间上都不是一个小数目。但他们最终只用了三个月时间就完成了项目落地及运行。这其中,虽然出现了不少关于性能、使用限制、审批策略流程、员工不满和质疑等等诸多麻烦事,但是在领导的大力支持下,多方通力配合,执行团队也建立了有效的沟通反馈机制群,这使得项目得以顺利推进。

所以赵军利始终认为,在安全实践的过程中,技术不是最大问题,更主要的还是让全员都有意识的参与到安全工作中来,无论是管理层也好、员工也罢,大家都必须深知安全的重要性,那么任何事都会迎刃而解。

安全不是刀光剑影、枪林弹雨,安全是一整套体系,需要从顶层一步步向下建设。安全建设并非聚焦于一点,不是「打进去」或「防住了」就算完事了。安全就好比修建只属于企业的城墙,要眷顾到方方面面。

他认为企业安全建设应该从「要我安全」转变到「我们要安全」的概念之上。这是历经了几年的沉淀后,他得到最宝贵的经验之一。

在一次次的项目实践中,赵军利虽然也曾多次碰壁,经历过无数被质疑的彷徨时刻,但好在他终于是蹚出了一条属于自己的,凝结着无数经验的「安全」之路。

逆水行舟,不进则退

如果一定要提炼一个网安人必须具备的特质,我想「自驱力」或许能够准确的对他们加以概括。

从坐在计算机前满腔热血自研脚本的大学生到如今能够带领团队独当一面的安全负责人,赵军利在用自己多年的学习、从业经历,切身向我们展示着自驱力给一个人带来的改变。

他说:「作为一名网安人,要想跟上安全行业的步调不掉队,必须不间断地学习新知识、掌握新技能,同时需要具备在短时间内快速响应和处理各种安全问题的能力。」这些年他除了严于律己之外,也常常鼓励团队里的后辈们要不断学习,培养自己成为现今企业需要的成长型的复合人才。

1714353922_662ef702e7f7e33a07a1e.jpg!small?1714353924218

在他看来,网安人要学的不单单是技术、知识面的增长,更要学沟通技巧、学为人处世。

这些年他历经了金融、互联网、高科技等多家企业,也分别「混迹」过甲方乙方等不同类型的企业。他遇过了形形色色的人,学会了如何和他们沟通、合作。

除了个人的成长外,作为一名安全团队的负责人,如何组建一支「能打仗」的安全团队至关重要。「在组建初期,做好团队的架构非常重要。」赵军利以自己的团队为例作了说明。一般情况下,他会将团队分为体系管理组、事件审计组、以及安全技术组三个组别。责任到人、各司其职,最终将成果统一汇总。在2021年、2022年两年的时间里,他的这支队伍完成了大量的安全建设项目,这也证实了这个团队管理方法是行之有效的,并且是一支真正能「打仗」的队伍。赵军利也强调说:「安全团队一定要在综合能力上有所积累,这样才能在接下去日益复杂的环境中,成功抵御我们所无法预估的风险和威胁,企业才能基于这层层安全保障得到长足的发展。」

正视变化,拥抱变化

这些年,网安行业在不断发展,安全事件也在不断升级,攻击手段越来越先进,影响范围越来越大,对经济和社会造成的破坏也越发严峻。

网络攻击已经不再是互联网初期的黑客炫技或者偶发事件,而是针对重要高价值目标的有组织、成规模的持续性威胁,这类威胁既包括勒索软件、软件供应链攻击和数据窃取等黑客组织常用的手段,也包括国家与国家之间的网络对抗,乃至网络战。

赵军利表示:「面对网安行业的新变化,我们必须正视随之而来的新机遇和新威胁。」比如时下最火的AI,一时间好像我们身边的人都在讨论AI安全,各种观点不绝于耳。不可否认的是,生成式AI的出现与普及,的确为网安行业提供了诸多便利,比如更快速更准确地识别异常情况,提供行为分析并进行实时的威胁检测;AI能够根据以前的训练和多点数据收集实现动作和日常任务的自动化,提供更快的响应速度并减少检测差距;还可以实现报告的自动化,通过自然语言查询来提供深入解析,简化安全系统,并提供建议以增强未来的网络安全策略。

但与此同时,风险也是显而易见的。比如,网络犯罪分子可以利用生成式AI来创建复杂的恶意软件,调整其代码或行为以避免检测。这些「智能」恶意软件更加难以预测和控制,增加了大范围系统中断和大规模数据泄露的风险。

不得不说,AI的出现,确实让网络安全的形势变得更加复杂。AI的迅猛发展让人有种「AI在前面飞,人在后面追」的感觉。再加上AI的监管与发展存在一定的「时差」,这才让我们从中产生了一系列的AI焦虑。但是在和赵军利的对话中,他频繁提到了「拥抱变化」这个词。是的,正视变化才能更好的应对变化,这适用于网安发展的每个阶段。任何科学技术都是把「双刃剑」,AI技术也不例外。面对AI焦虑,我们不可因噎废食;锚定AI机遇,才能让AI真正服务于发展。

在接下去数字化转型,智能制造转型的阶段里,赵军利指出,我们没有任何参照,只能探索性地发展,也只能探索性地去保护,其难度不言而喻,但这也是对安全团队能力的考验。赵军利并不惧怕这样的变化和挑战,他坚信「打铁还需自身硬,无须扬鞭自奋蹄。」

1715224472_663c3f984635520f1f273.png!small?1715224473261

“事了”拂衣去,奔赴新旅程

在采访的尾声,赵军利告诉我们,目前他所在公司的安全体系已经步入正轨,各项工作都在稳步推进中。所以他本人也会在今年重新出发,奔赴一段全新的「旅程」,寻找新的挑战和机遇。我们调侃这颇有一种「事了拂衣去,深藏身与名」的英雄既视感,他哈哈一笑说:「想趁着还有精力,再拼一把,以后没准就彻底回归家庭,养老去了!」

不难看出,对技术的热爱和稳健的处事风格是赵军利最鲜明的特质,把安全技术和产品发展到极致是刻在他骨子里的「基因」。这些年,他对于安全技术的布局和理解从低阶向高阶不断进化,从技术到制度,从单枪匹马到团队作战,变的是对于安全的理解与建设,不变的是一次次向着更高的山峰攀登。

此间事了,江湖再见,期待他的下一段旅程。


PS:赵军利正式入驻FreeBuf知识大陆「播客」频道啦,将基于个人这些年的网安行业深度思考和实战经验进行分享,和大家一起探讨企业安全建设的技巧与痛点,一起聊聊网络安全行业的「风花雪月」。

1715223548_663c3bfcd4858fb6e190a.png!small?1715223549680

扫描二维码,听听赵军利分享「数据安全的道法术」

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
文章目录