谭晓生:论CISO的个人修养

目前甲方安全面临的环境,形势都在发生巨变。网络安全法后,老板们普遍接受了网络安全干不好,自己会进去的观点。但回头检视公司安全团队后,觉得安全团队和负责人能力不够,老板们首选是外招,这其实对很多安全负责人是巨大的信任危机。

君哥有话说

目前甲方安全面临的环境,形势都在发生巨变。网络安全法后,老板们普遍接受了网络安全干不好,自己会进去的观点。但回头检视公司安全团队后,觉得安全团队和负责人能力不够,老板们首选是外招,这其实对很多安全负责人是巨大的信任危机。企业安全的主要矛盾已经变成:老板们现在重视安全,但安全负责人拿不出老板满意的方案,规划和计划。安全负责人普遍还在被动,吐槽,运维开发业务关系紧张,老板左右不定的信任中生存。而且安全从隐形变为显性,低频变高频后,企业安全负责人的应对水位调整的还不够,现状就是出事是概率,老板进不进去依赖你的运气,这肯定是不行的。但大家普遍还没意识到这点,也没找到应对方法。希望我和谭校长直播首秀,能或多或少对大家有一些帮助。

【直播主题】论CISO的修养

【直播嘉宾】谭晓生,清华大学网络科学与网络空间研究院工程博士生、北京赛博英杰科技有限公司董事长、网络安全行业资深人士。

【活动时间】7月3日周五晚上19:00-20:00,60分钟(直播+互动)。

【直播平台】抖音

【参与方式】君哥和谭校长的抖音同步直播。打开抖音app,关注君哥“jungedetili”(“君哥的体历”全拼)、谭校长“tanturen”(“谭土人”全拼)。


以下是实录,由于技术原因部分内容未记录:

【谭校长】:如果你是一个保障部门,就是不要出什么太大的事。保障部门在老板的优先级里面,他能不能记得安全部门的负责人的名字,这在过去好多年恐怕都是一个问题。现在我觉得大家都应该要感谢现在这个时代,因为IT在业务中的比重越来越大,从Process IT进入到Produnct IT。

最近某个保险机构,它的财险、人险和寿险都在招新的CIO,价码也都开的很高,想解决什么问题呢?他是希望科技能够在他的业务中扮演更大的角色,这个是一个很大的变化。

给大家讲个段子:大概三四年前我去参加Gartner在奥兰多的Supposing峰会,当时请了GE的CIO还有GE的CEO,IBM的CEO做主持人。主题挺好玩,叫CIO Rising。结果GE的CEO上去之后, IBM的CEO就问他说你们的CIO blabla……然后CEO马上就问,CIO?他来这里干嘛?他不是应该回去让我们的 ERP系统不要出问题,Oracle系统不要DOWN,他来参加这个会干什么?当时下面的CIO们一片哗然,我们刚开始本来气氛搞得挺煽情的,结果CEO来了之后直接就是一盆冷水,他就认为你就应该回去把费用控制好,把成本控制好,让ERP系统不要DOWN机,这就是他对CIO的理解。

到现在这个时代,像刚才聂君说的,《数据安全法》、《网络安全法》等等一系列的法规出台,让网络安全成为一把手的一个考核指标。所以一把手如果搞不好,他就可能会被网络安全的业绩所拖累。这个给我们的网络安全的主管们其实带来了一个非常好的发展机会。但是同时也是因为咱们过去的角色更多的是在一个辅助角色,重要性不够,所以我们不管是CISO还是网络安全的负责人,是否真正具备战略思考能力,以及是否深刻地理解了他组织的业务的根本是什么,我觉得这个会是一个比较大的问题。这个东西我觉得你不能怪别人,这个是在过去自己的能力确实还没有达到这个水平,解决的方法就只能是提升自己的战略思考能力。你要具备站在CEO的角度去考虑组织的业务,然后再想你自己在这个业务中怎么样能够更好地提供支撑。我相信对于很多人来说可能会差了1~2个段位这种能力,唯一的办法就是快速把它补起来。

在一个成熟的组织里面,当遇到问题的时候,老大想去挖一个能人过来把这一摊事撑起来,这是非常正常的。其实他们挖回来的大多数人可能到最后也会被去掉,也照样会出事,但是对他们来讲,你想想 CEO的逻辑,不换,我就是把自己的脑袋别到他的裤腰带上,哪天他给我搞出问题来,我不是死菜了。如果我不换,是一定会出事。我换了还可能会出事,但是假如我运气好,我真的去请了业内一个牛人了。你想想咱们这业内有多少很牛逼的企业家,最后遇到了很多骗子,为啥,因为其实他是要求变,他不会那么保守,他要激进,他要变。而安全的行业里面其实骗子也不少,有各种各样的善于炒作的人去炒作自己的名声,他会能吃到红利,他就会能够骗到一些人,其实任何一个行业都是这个样子的。这种过程之中,如果你自己不能很好地提升自己,不能去表现自己的团队,你让自己的团队和自己在老大面前没有存在感,被换这个事也挺正常,这事本身没啥。

【君哥】:对,这是老板市场化选择的角度在考虑。

【谭校长】:但是你反过来想,这说明了这个产业它有流动,有流动的好处就是你要再找份工作也没那么难,因为有另外一个组织的老大也在考虑换掉他的CISO,可能大家互相换一换,弄不好工资还涨了百分之二三十。

【君哥】:对。有道理,鼓励大家跳槽。

【谭校长】:有市场的流动,有流动性就是好事。

【君哥】:我觉得谭校长谈的很重要一点就是,这个现象,它是一个符合市场规律的一个正常的现象,而且是一个正向的,好的现象。因为毕竟有新的需求,有人员的需求和流动,对于我们网络安全从业者来讲,它未必是一个坏事情。

【谭校长】:总比一潭死水好。你看其实我在360做CISO的过程中,也打交道过不少CISO,我感觉性格比较闷的人比较多。他可能有一种来自骨子里的自信,但是我觉得他其实是缺乏追求。

【君哥】:佛系。

【谭校长】:对。首先CISO对安全确实是懂的,但是懂了之后容易出现一个过度悲观。因为他发现我做再多的事情,我依然可能会被高手拿下。

我当年在360做安全的时候,我就给别人开玩笑,假如说一旦出事被拉去枪毙,我能活多久完全就是个概率事件,因为见的高手太多了。为啥在做360CISO的时候,我从来不敢出去吹牛逼。你看我什么时候出去对别人说,说我们安全做得多好多好,我一次都没有。因为我知道一旦吹牛逼一定会被雷劈,就一定会被人搞,所以从来不敢吹牛。但就算在这种情况下,你也不能佛系地生存,因为安全发展的这些年,防御技术进步也是很大的,而且是从被动防御到主动对抗。

大概是在2016-2017年那个时候,当时我也是用了好多方法做防御,但是有一次突然想明白了,与其是带着团队人为刀俎我为鱼肉,是不是能换个思想,我能不能开始主动给攻击者挖坑?然后我们主动地搞好和公安的关系,你是要搞了我,我回头咱们也可以试着把他搞死对吧,把他搞进监狱,追根溯源之类的。这两年威胁狩猎这个概念火起来了,其实就是一念之差,你的生活质量就完全不一样了。你过去等着事来找你,现在变成了我们也开始挖坑埋雷,也开始要算计别人,生活就有意思多了。

做CISO不能太佛系了,要了解新的技术有什么样的进展,要给自己挑战去尝试,同时把自己的被动工作变成主动。我过去给CTO班讲课的时候,说我十多年前的一帮互联网圈的CTO的朋友们,今天绝大多数都当了CEO。不管是去了别的公司做CEO,还是说自己做一个创业公司在做CEO,我觉得人就是不进则退,你是不断地要给自己挑战的,你要是就想着我做好我的CEO或者做好了CIO,你会发现你的发展确实会遇到问题,就逼着只能是往上走。

那么作为CISO来讲,我觉得你要了解公司的业务,就哪一天如果让你去做业务线的时候,你是不是能了解业务的策略,能不能去担起来更大的职责。

因为今天咱们的一个目标是我们安全在在一个组织里面要能起到更大的作用,而不仅仅是说我就是一个守门员,我是最后一堵墙,不要被别人拿下。你要再往前一步,你能够对业务做出什么贡献,如果说你能有这个能力,你就不太担心老板找一个更能干的人。他找来一个更能干的人,那个人来做CISO,然后你被安排到了一个更高的位置,何乐而不为。

【君哥】:我现在在乙方公司做甲方安全,其实一直也有一个不大不小的困惑,就是作为安全负责人,其实很难讲清楚自己的价值。没出事的时候,安全追求的是没有存在感。出事的时候人家会觉得你也没有防住。安全的价值不像业务,我投入多少,然后我产出多少,所以这块希望谭校长和大家分享一下。

【谭校长】:我觉得其实你做一个组织或者做个人,你在你的组织里面是要刷存在感的,抓住一些机会去刷存在感。你比如说像GDPR,我不知道GDPR实施那一年,你们在自己的组织里做了哪些事。反正我当时是做了不少事,拉着我们的数据安全团队对产品进行审核,包括5月28号那天我们停掉了在欧洲和美国的所有的摄像头等等这些业务,把一些数据存储等等这些问题清理完了之后才重新上线,而且给业务部门的通报,给公司的管理层通报,这都是你要做的事情。你要利用这些大事要去刷存在感,展现自己和团队。

GDPR当时在实施的时候,国内很多的业务部门是没有意识到它的严重性的,我上课的时候问一个班上四五十个学生,只有1/4或更少的学生关注到了GDPR,其他人根本就没这个意识。这些行业大事,国际新闻,都要利用起来。还有咱们的比如数据安全管理条例,网络安全法、密码法等等这些东西出来的时候,都是机会。你要去向业务部门、向老板讲这个东西的要求,合规是一个很好的理由,你不合规的话,你的业务你就无法进行了,你的牌照有可能会受影响等等。

还有出安全事故的时候,比如你同行里面哪家被黑了,谁家被勒索了,比如你如果是生产制造型企业,富士康被勒索,台积电被勒索,造成多大的损失等等这些事情,这是你天大的机会,你要向老板去讲,如果我们也遇到这种情况我怎么办。然后我该做什么样的防御能够减少这种损失,我需要什么样的预算制度。

还有就是这个演习(护碗行动),虽然给大家带来了压力,但是你有没有想过这其实是个机会,因为老板也不想这个成绩不好,不想丢人,我们就要借助这个机会去做一些营销。

还有就是日常的体现,我原来的团队会干一件事——在办公室的走廊贴网络安全相关的宣传画,我们创造了一个人物叫杜懵懵,大家知道有杜拉拉,我们这个叫杜懵懵,是一个懵懵懂懂的小女孩,信息安全的知识比较差,然后进到公司里之后就犯了各种错误……我们创造了这么一个形象,做成漫画的形式,贴在公司的电梯间。这样做了之后,老板、其他高管、其他同事们,日常就会知道信息安全部做了宣传,他们在做事。

如果你学过广告有关的理论,里面提到如果你要让别人记住一个品牌,这个品牌要在人们眼前闪现至少40多次。你要看到这个东西那么多次,你才能对他有印象。在公司里你要让其它人经常知道、看到、想到信息安全部,这些事就是有意义的工作,不停地刷更多存在感。

【君哥】:有一个人说我们安全人员总是给别人带来不好的消息,今天是你有漏洞了,明天是你数据泄露了,后天说监管来处罚我们了,后来这个哥们他就转行去做精酿啤酒去了。因为做安全,搞得人心情不好,如果做啤酒,我给人家能带来一些美好的东西。我感觉安全里面有一个其实是有个死结,事件营销也好,刷存在感也好,其实更多的时候是利用一种相对负面消息来推动工作,人就不快乐。谭校长您怎么看这个问题?

【谭校长】:这确实是个难题,这个问题也困扰我好久。我过去不仅仅管安全,我还管运维,我说实话我到最后也没想到很好的办法。我后来是想到我们做安全也有一些机会是能给公司去争光的。你比如说某个运营商,有一次在演习当中就做到了比他另外两家运营商成绩好很多,这样也行。虽然大家都是得负分,那个得了是-49分,我得了-9分,我就比他牛逼很多对吧。

【谭校长】:还有就是和业务部门打交道的时候,什么时候你能救了他们一命,比如说某个业务部门被别人入侵了,如果你能在对攻击进行溯源,最后把罪犯抓了,业务部门也会感谢你。

【君哥】:现在企业都开始重视安全之后,我看到的一个现象,老板他更希望咱们的安全是一个体系化的打法,从整个的规划开始,团队的组织架构,3年至5年的计划……实际上对于我们安全负责人来讲,可能以前埋头做具体技术的工作比较多,但是做整体的规划需要的战略眼光相对比较短一点,比较少一点。所以在这方面我也想请教一下谭总,如何做一个比较接地气可落地,但是又能够跟上老板的高度的网络安全的规划。

【谭校长】:这个问题其实和刚才你问的第一个问题是有关联的。我觉得这就是考验CISO的战略思考能力。很多人对战略的理解其实是不太准确的,战略是我们首先看竞争终局,就是到某个时候的时候它该是什么样子,你就要想你的组织的定位是什么,未来3年、5年、10年之后它的业务是什么形态,在这个形态里面,IT相关的技术是怎么回事,网络安全在里面是怎么回事,业务安全之间的关系是什么样的。

我们现在的产业正在进行非常快的数字化转型,你认为它在数字化转型到某一个阶段相对稳定的时候,安全该是什么样子,这个时候终态应该是你追求的目标,安全团队和业务安全团队是合一还是分离,应该是怎么样的互动关系,你会有多少人,你在里面会有什么东西是你通过供应商来的,什么东西是买的服务,你要做好未来终态的预测。做好这个之后,再来看说我今天的状态是什么样,今天我的安全团队是什么样子的,然后我要到美好的将来,那么我应该怎么做。我第一步该怎么做,第二步该怎么做。注意,从今天这个状态到未来的理想状态,不一定是直着走的,直着走可能会死掉的。

【君哥】:这个怎么理解?

【谭校长】:是这样,比如说你认为未来我的安全团队,可能是和业务团队合一的,那么这种状态下,至少有一个问题——将来是谁吃掉谁?是不是有可能是业务风控团队最终会整个把安全部门收编掉?你希望安全团队未来占有更大的主动权,而不是现在我就交枪投降了。在这种情况的发展过程中,你可能就要想,我怎么样一步一步去跟业务部门达成战略同盟,怎么去获得老板的信任,怎么样一步一步把自己的团队预算扩起来。这个过程业务团队的和安全团队之间的关系很微妙,看谁明先想明白,他先想明白,他先布局他就把你吃了。你先想明白如果你手段够,那可能你最后就能把对方吃,在公司里这种竞争是很正常的。

但在这个发展过程中的阴谋诡计肯定也多的是,所以,该用手段你还是得用手段。在这个过程中,不一定是直接去找老板说未来状态就是那样,然后我该要多少人,这可能是要不来的。还有一些时候比如说一些问题的发生,你到底应该在什么时机什么地方去解决,也需要思考。有的问题并不是在刚冒头的时候就应该解决,而是你要等到它发展到一定的状态的时候再去解决,可能会取得更好的结果。这些就是策略上的一些事情。

从今天走到美好明天,动机不是坏的,我们也是为了让公司的业务发展的更好,但发展的更好的过程中,他可能有A方案、B方案、C方案、D方案。现在若干个方案里面就是要你去寻找一个局部最优,对于你和你的安全团队最优的一个方案,这件事情是合理的。咱们过去要讲什么风格讲情操,这个东西就有全局最优和局部最优,资本主义社会它就是去追求让每个人你要追求局部最优,然后通过追求局部最优,然后最后形成全局最优,就这个样子。

【君哥】:好的。还有一个问题,现在的安全知识更新太快了。我甚至有一种感觉,就是说可能别说三个月,我感觉我一个月不怎么关注安全的一些知识,可能就已经是有很多的一些新的东西出来。随着我们年龄的增加,接触新东西,可能接受度相对会慢一些。所以在这方面,谭总您能不能谈一些你所见到的一些比较好的方式。

【谭校长】:这个问题也是一个特别现实也很难解决的问题。我所用的方法,第一个是努力地去抽取这些事情背后的原因,去建模型。我和30岁小伙子,二十几岁小伙子去比知识学习的速度肯定是比不上他们,这种情况怎么办。你可以用的是你过去积累的经验和历史,因为新的知识和历史的知识之间是有关联性的,你要想办法学的比他们更快,更要了解这个知识背后是为什么,这里面就需要抽象和提取的能力。

第二个就是信息获取的渠道,今天咱们的信息获取源是过剩的,信息产生的速度比你阅读的速度要快得多,这种情况下你还是要去筛选一些有效这些信息。比如说网络安全领域,我觉得比较有效的信息源,一个就是三个海外的大会,我是努力去参加的:

  • 排名第一的是Gartner安全风险管理的峰会,每年6月份在华盛顿举办。这个会我觉得是它的价值非常之高,是非常优质的信息源,这些分析师们来给你来讲4天,能学到很多东西。
  • 排名第二的是RSA大会,不是说演讲的嘉宾们怎么样,而是说能看到600~700家厂商展示他们的产品,你会有三四天时间在非常繁忙的去看这些厂商展示的产品,然后还会有机会和朋友们聊一聊。
  • 排名第三的是DEFCON,这个会是比较偏技术细节的,各种各样的搞破解等等,他是一个更偏技术的会。

这三个会对我来说是信息获取的一个非常有效的方式,几天之内给你灌海量的知识。

其他的比较好的信息获取渠道,我觉得是和朋友们聊。我在360的时候,手下的安全团队兄弟们很多,他们就会经常聊各种各样的故事。不管是一个APP入侵的排查,还是说他做了一个什么样的研究,日常和这帮兄弟们聊天就能学到很多东西。其实作为甲方,你有这个优势,你能不能标定,比如说7个朋友,然后1个季度一定要跟他们吃顿饭,因为你做甲方大家要做你生意,基本上还是很多人会愿意和你交往的,你要能够说给他们一顿饭,他们都很乐意来。

吃饭过程中你就和他们聊聊天,你主动聊,除了风花雪月之外,能不能谈谈最近你们这儿出了什么产品,谁竞争你,竞争对手怎么样,行业里面发生了什么有趣的事,能够讲讲这些,你主动把话题往这个方面去聊,这样的话你得到的是一个筛选过的信息源。当然你可以不断地再去筛,谁的信息质量高,今后就和他多碰一下,有哪些不行的我后面再换。这样通过人来筛选,当然朋友圈,微信朋友圈,包括现在像聂君搞的直播,都是优质的信息源。有空的时候扫一扫,如果内容不好,也不一定非要仔细地读完。

【君哥】:所以对于我们安全负责人来讲,要关注真正对自己这个岗位角色最有价值的的信息源。我们做任何的事情资源都是有限的,在这些制约下面,如果想最大化地让我们的安全团队产出,主要的精力应该放在哪些的方面?

【谭校长】:我觉得这个和业务是密切相关的,没有一个统一的答案。资源有限,怎么样定义有限?一个亿的预算是有限,还是1000万的预算有限,还是100万的预算有限,不同的客户,他们对钱的感觉是不一样的。穷有穷的做法,有钱有有钱的做法,但不代表有钱一定就能做得更好。我觉得做安全团队还是要跳出安全来看安全,还是要站在你的业务角度看业务最关心的是什么,这个是实的。第二个再考虑到这个里面有哪些东西是有倍增系数的,这是做虚的,虚实结合,但是最终要的是用户的体验。

比如说我做360的CISO,大家会觉得说我的资源就是无限的,其实不是的,我在接手的时候不到10个安全人员,然后到最顶峰的时候80来个安全人员,我们在安全上的预算虽然多,但也不是无限制的花。而且这个不仅仅是钱的问题,最后是你精力不够。咱们业内有厂商发表了一个巨大的图,是整个政企安全防御的叫做全景图,我就是问谁有本事把它全做了?实际上我没见过,美国政府也没把它全做了,那玩意是当做一个全景图的理解,谁要那么做,不说别的我给他足够多的钱,他能活活把自己累死他也做不好,根本就来不及。等全做了,黄花菜都凉了,这个时代你已经被淘汰掉了,所以这个里面最后怎么去拉防线,怎么有针对性的拉防线,需要思考。

【君哥】:是不是很重要一点,就是要排优先级次序,而且是要与你当时企业的实际情况相结合。

【谭校长】:这个方法首先是安全建模,别人会怎么搞你,按照风险是多大,然后你现在有多少钱,有多少人多少时间把这个东西排一排,只需要做减法。

我不知道咱们有多少人做过流程,我在2000年的时候带团队做软件开发的一个流程,一看所有说的都有道理,这个软件开发的5个主要的活动,然后这个东西若干的就是这几个活动,然后若干的5个级别,然后你要怎么样做……你刚开始觉得哪个都舍不了都要搞,后来干了几年之后,我理解到了其实不是那样的,是根据你是做什么领域的业务,它的迭代的速度怎么样,然后对过程去进行裁剪,对过程的裁剪才是最应该关注的东西,安全这边也是一样的。

你说360本身做终端安全,然后我们终端安全上真的就把今天咱们说的MDR的东西都实现了吗?没有。我把准入做了,把终端管控基础的东西上了,防病毒上了,然后其实你到最后去看补丁是不是100%都打了,他不是这样的,10万台服务器,服务器上所有补丁都打?没有。但如果你按照兵法来说告诉你这个补丁就是要打,但是你这个系统有里面有很多这种遗传下来的系统,老系统,它的里面的可能维护文档的不全,然后哪台机器在哪,你要哪个先启动哪个后启动,这都是个问题。而且你必须得考虑到有的机器它一=down之后就再也起不来了,你打算怎么收拾?把这些问题都考虑到了之后,生活不是一个完美状态,最后你是把防御这条坝,这条线拉到高到什么程度,然后再通过什么方法去弥补,让他不要再出现那么坏的事情,我觉得就可以了。这个东西去裁剪的时候,就有很多活都是给干掉的。

就选做的20%,甚至20%都不到。安全是怎么回事,我觉得他有点像看病,中医他搭脉,看看你面相,看看舌苔。他是怎么来判断一个人的身体状况,一个人是个系统,当你消化不好的时候,反映在舌头上面,反映了你的脉搏波动等等。如果说我给这个人做核磁共振,cd的全切片,验血、验尿验啥啥都给验了,然后去做一个诊断,当然可以,咱们现在很多医院就给你这么干了,对吧,他的责任小,他出错的概率小,但是如果说是在一个比较紧急的情况下,没有这些条件,你让一个医生还要看病的时候,他怎么办?他就是根据有限的信息,然后去做一个最大可能性猜测,在安全上其实也是这样。如果说你的资源有限,你没有那些手段的时候,你又要解决这个问题,你就要想在什么地方去做,其实概率是最大的。从ROI来说,不见得是差的。

我觉得其实我们就要学会做取舍,咱们干的活是无论如何他都是要冒险的,你别指望说给你无限的钱,无限的资源你就不冒险,碰到高手搞你照样搞死。在这种情况下,其实如果说你真的运气就那么糟糕,我觉得也认了,换份工作也没所谓。然后你在有限的资源投在上面能实现这个会是一个很好的锻炼。

不是所有的工作你都要干下去。我们有时候有一种说法叫早死早超生,如果说你真碰到这个老板就是特别的不合适,他也不理解你,你为啥非要那么忍着?以前我的手下有在我这干不下去了,然后去别的公司就干的挺好的,我觉得对他来说,他离开我是一种解脱。没有人能保证自己不犯错误的,看人也不会不犯错误,你看人也不会不犯错误,你别要求你老板看人不会犯错误。

【君哥】:现在安全我觉得更多像一个生态,这里面有国家有监管,有我们的企业的主体甲方,还有我们的安全公司乙方做服务做产品,可能还有一些大学的机构,在这个生态里面,我觉得很重要的是甲乙双方的这样的角色。过去我纯做甲方的时候,也不太能理解,我觉得这个事情不是很难,为什么乙方公司它总是不能做,或者他做的质量总是让我觉得有些难以接受?我现在来到了乙方,发现要做好一个产品,还是需要挺大的投入,很长时间来打磨。所以我就想问谭校长,在网络安全这个生态里,甲乙双方如何更好的相处,理解、共赢,你有没有一些可以分享的?

【谭校长】:首先我自己是程序员出身,你知道写代码的平均产出率是啥样子?我刚出道的时候,c语言写代码,一天的有效产出,把这个软件的维护生命周期都算上,一天是三十几行。你想想你买的安全产品,它里面是多少行代码,那得多少人,写多少个月?所以你别觉得加个班一天能写300行代码,没用的,你写300行代码,最后在整个维护周期里面,你后面还得花好多天去维护它,所以这种产出率没有那么高。你们过去打交道下来有多少不靠谱的程序员,优秀的程序员是非常之少的,大量的程序员会给你产生出来一堆代码,然后里面加了一堆bug,你后面得花很长时间去调他的bug,而且甚至到这个产品甚至可能退役的时候, bug都不能完全的解除。所以说甲方对乙方的产品的质量的预期不能放的太高。他的产出效率也没有那么高,你要算算他的员工一年就是多少钱,说你给他那点钱,你别觉得你给了钱你就是爷,不是这样的,给了钱之后,签了合同,大家就是互相绑架的关系,最后能不能做好,要一起努力。

【君哥】:大家都上贼船了。

【谭校长】:上了贼船,大家在一条船上怎么能够活下去,这是第一件事。第二个事情,大客户他肯定喜欢要定制开发,但是定制开发风险是很大的。你知道真正做一个安全公司,它如果不能实现它的产品标准化,一个版本就能卖好多家客户,如果不能做这个,你看他一个项目签了几百万上千万,其实基本上很难养活自己,今天的人多贵。

刚才前面说的人的生产效率,这些东西我原来跟奇安信和马江波那块打交道的时候,当时有一个客户的项目,我就逼着他一定要做定制,其实我当时心里很清楚,做定制的话就看起来钱多,但那个单子他肯定挣不了钱,而且会危及他做的标准版本。但是我知道那个客户用标准版本就肯定解决不了,我最后只能是咬着牙逼着马江波去做的定制版。当时就是因为客户关系好,我无论如何都得保这个客户,但是如果我是马江波,我当时做这个东西的时候,我一定是要做标准版的。这个标准版本挑战很大,对客户需求的满足度可能是百分之七八十,但我能一下弄几百个客户。如果说我抽了这些人做一个定制版,定制版看起来收钱多,但是经济上是不合算的。所以有时候甲方你觉得你自己花那么多钱,我要定制,乙方还不是特别待见,你要明白,跟你做的这个生意对他来说是个不合算的事。

还有,能人都是少的,在乙方公司里面最终不管是安服还是开发,能干的人都是很少的,最后一定会有优先级,你别觉得你掏了钱,你的优先级就是最高的,不一定。就是有别的客户,可能因为各种各样的原因,它的优先级就是会排到你上面,最强的人就是没有用到你头上。你要做的就是想办法去争取更优秀的人为你服务就完了。

还有一个感觉,咱们甲方可能有些大的单位的 CISO,觉得自己真的很懂安全,说实话我都不敢吹。你自己如果是离开一线时间长了,你从逻辑上能推理推得通的事,但实际干的时候可能未必能干得出来。

【君哥】:地图上画一把尺子,战士们得跑死。

【谭校长】:对的,各种理论推上去都管用,但实际上就是他遇到的情况会比这个复杂得多。你的平台可能会给你带来了一个错觉,就觉得你很牛逼,因为从来都是说一群猴子爬树,从上往下看全是笑脸,从下往上看全是红屁股。这事很正常,你是甲方你手里拿的钱,所有人都说你好话,这个里面他就是有意无意的最后都会吹捧你,但被人吹捧的时候千万别觉得自己是谁,然后就像你看其他的时候你能看到好多问题,别人看见的时候也是这个样子。有时候尤其是大平台,最后它容易给平台上的一些主管形成一种错觉,觉得自己特别牛逼,但其实实际上每个人的力量都是比较小,是坐在不同层级上的不同的人,最后能形成一种配合,这种情况还能出来好一点的结果。否则对最后的结果预期确实是不能太高的。

还是给大家说治病,医生说有30%的疾病,不用任何治疗都会好,喝凉水他都会好,因为身体有自愈性,对网络安全里面有些安全做得很差,但其实因为就运气好没人搞,然后或者是被人搞的时候事没报出来,然后这事他就过了,他就好了。还有30%他倒霉蛋是给他吃啥药他都不好,你真的被高手盯上了,或者说你有什么特别高的价值被一个黑产组织盯上了,他一定搞你,或者说被情报组织跟上,你一定会搞你,那这30%是倒霉蛋,水平再高的人防御都没戏。所以真正的差别是剩下的那40%,我们能影响的其实就是40%的结果,有30+30的结果都不是你能影响的。

要有一个冷静的认知,就是你的个人贡献在里面到底有多大。

还有和乙方的互动里面,因为我干过IT,搞过互联网,做过网络安全,其中做网络安全公司,我觉得日子是最难过的,它是最不好做的。所以希望咱们甲方的客户能够善待我们的这种乙方公司。

【谭校长】:咱们现在的安全从业者有多少人,10~15万,还不都是搞技术的,而真正的行业中坚人才缺口70万140万,根本不可能产生这么多人,不是什么人拉来培训几天就能成为安全人员,他是要有一定的悟性,然后再经过一个合适的成长路径才能成就。这个行业里面会非常长久的存在人力资源不足的情况,这种情况要解决他的问题,就只能是说我们要去想办法能够把资源复用。就像这次的新冠疫情核酸检测,中国人不是有个发明,把5个人的样本放在一块测,如果一个一个测他生产能力确实跟不上,很多人根本就测不了。诸位甲方客户,在信息安全信息泄露能够得到一定程度的控制的时候,是不是能够用复用资源,用网络安全服务来去解决更多人的问题,这个是值得尝试的。因为其实如果说是有这么一批人,他能做资源复用,去解决多个机构的安全的运维,其实它会多一个资源情报共享。其实得益的不仅仅是别人,得益的也可能是自己。

但是中国就在这个模式上特别保守,大家不愿意冒风险,都想把自己的风险弄得干干净净,导致中国的资源共享比较差,效率相对比较低。我觉得是要用一种开放的心态去想想我们这个产业的未来。刚才说战略思考,一个是你组织的未来的战略是一个什么样的情况,第二个我们可以把它转化到未来我们的安全产业该是什么样子,我们要让这个产业能够走的更健康,这里面的甲方乙方该是一种什么样的互动关系。这样的往前走,在这里我也呼吁一下,就体谅一下乙方。

但是作为乙方,你得考虑到你收人钱财与人消灾,您不能做到最后说让甲方安全处处长被撤了,然后他领导背锅受处分等等这些东西,这是不应该干的,就是我们收了别人钱就要把事情要做到不要去害人。

【君哥】:这个分享我们不知不觉都快一个小时,谭总您正奇学院我了解也有三十几家公司,您觉得哪些产品是还不错的?

【谭校长】:我觉得有很多很优秀的公司,你比如说上海宁盾做身份管理的,大家都不知道,他其实做了11年,然后他的产品很多,国外像思科其实都是他的合作伙伴。而且大家如果打交道会知道他们创始人是一个很好玩的伙计。还有,金睛云华做高级威胁的检测,他们它的创始人是一个博士,按照团队不断的去改进算法,我觉得都是属于很有追求的。然后还有做云的,张斌他们叫云溪,做微隔离的,这里面这也是一个厂商联合。还有做很小众的。你比如说李科做的观数,他是做大数据的安全平台,让大数据的平台内嵌更多的安全特性。还有做网络安全保险,这个就是上海嘉韦思等等。我也非常荣幸能够有这么一批朋友,大家一起经过了快一年的过程。中国网络安全的创业者,他们非常不容易,他们非常的努力。我觉得他们面临的环境其实比欧美和以色列更加恶劣。

【君哥】:那有没有不好的?

【谭校长】:别说了。因为已经有人之前的半夜给我打电话,找我投诉,对我有意见。

【君哥】:好,我们都以鼓励为主!展望未来三五年,对于企业安全负责人来讲,他们应该在哪些方面早做准备,以应万变?

【谭校长】:其实我们所处的行业算是很运气很好的。上个礼拜中国计算机学会有人提出,计算机技术红利我们还可以再吃30年,我是赞同的。因为咱们整个的世界它是依然在做数字化转型,他的这种智能化,虽然说这两年特别热,但实际你看产业里智能化用到的程度还是很低的,他基本上还是在信息化和网络化这一部分在转。在转的过程中,其实安全会是一个伴生而来的越来越大的问题。而我们就正好从事安全,我觉得我们至少有30年的时间还会是一个比较好的增长。各行各业随着传统产业做数字化转型,他们中间的安全问题会存在,对CISO这个职位的需求会是非常之大,从就业环境来说是个大好事。

但是我们现在的CISO,是要迫切提升自己的战略思考能力,站在如何更好的支撑你所在的产业它的数字化转型这个角度去思考问题。只有跳出安全看安全,才能把安全做好,跳出安全跳出IT,反过头站在业务角度来看安全问题,怎么样去解决你在安全的这些手段,比如说怎么样能够去帮助企业去实现更好的业务风控,或者说你怎么样能够通过安全提升你的组织给别人的产品或者服务,提升用户感受,站在这个角度你才会有更好的发展。进攻是最好的防守。

【君哥】:我刚才看了一下直播的留言,大家对零信任比较关注,所以谭总您看看零信任未来的一些趋势会是什么样?

【谭校长】:零信任肯定是个很好的东西,因为你从攻击的角度来讲,攻击他伪造身份,可能不管是拿下一个终端还是冒充一个人的身份,这都是一种非常有效的手段。零信任其实是去解决这个问题。过去咱们要做个程序开发,你就会知道控制权限之类的,那是很烦的。那么这个问题的解决,零信任用永不信任永远验证这套思路,肯定是没错的。

但是零信任我觉得是很不好做的。我是也在从16年到18年,在360的团队是做了,用sdp做的,然后上了一些零信任,不能说是完整上的零信任,上了其中一部分,这个过程做起来其实是挺难的。所以零信任这个概念我觉得第一是个好概念,第二个是在现在这个阶段,恐怕只有一些比较大的企业机构才能弄得起,它的成本相对来说比较高。因为不仅仅是你上了一套零信任的系统就完了,你要和现有的业务系统去做各种各样的结合,应用要做适配改造,这个成本是很高的。

但是这个问题可能会随着我们将来企业数字化转型之后,越来越多的东西服务会融化,这个情况可能会给零信任带来另外一个机会。对于做零信任的人们,我觉得你要有一个充分的思想准备,零信任是对于你现有的业务系统的改造的要求是比较高的。现阶段我觉得你如果是个大组织,你可以往这方向去试,如果说是自己的IT能力安全的实施能力还不是足够强的时候,钱也不是足够多的时候,我觉得可以再稍微等一等,他可能会有更成熟,接受程度更高,自动化程度更高的产品也会出来。

【君哥】:现在还可能处于炒作期,还没有到一个成熟期。

【谭校长】:他现在我觉得肯定还没到顶峰,但是处于是在怎么上去急剧爬坡的阶段。

【君哥】:刚刚也有观众朋友们问,谭总您心目中的态势感知应该是什么样子的?

【谭校长】:我觉得态势感知是已经过了最顶峰那个点,开始再往谷底滑的过程,态势感知这个词是中国这边特有的,可能因为领导人讲了要做态势感知,于是大家都把态势感觉这东西做了。从刚开始做出来的态势感知,其实更多的是给领导们看,他来参观的时候是5分钟时间,你能不能给他一个很好的转换。

这个东西绝对有价值,很有价值,因为他只有那几分钟时间能看这东西,你必须要打动他,这时候你才能申请到资源,你申请到人头,申请到钱之类的,这是非常有价值的,但是不能止步于信息展现的这种角度。展现很重要,绝对不是把活干了,没展现好,你活既要干了又要展现的好,这样你这两个是个相乘的关系。

【君哥】:对,既要有实力也得有颜值。有朋友也问一下,对于工控安全和云安全的未来走势,谭总怎么看?

【谭校长】:工控安全这个领域我真的不知道哪家公司能跑出来,现在两三百家公司都在做工控安全。工控安全其实并没有那么多,它的市场的天花板并没有那么高。这两三百家公司里面,可能80%以上的公司最后都是要死掉。

第一届ISC,我和某一个大国企的 CEO在聊,当时就说说工控安全,大家都在等着出大事,出了大事,然后有一个合规性的规定出来,大家按照规定,上一些产品一些东西。要不然你想想,别的竞争对手什么都没上的时候,他费了半天劲,花那么多钱上了一个东西,又不能100%的拦住攻击,从ROI来说是很不合算的,他是找死。

这么多创业公司,你也得一把汗,最终大的市场确实是存在的,但是什么时候会有个爆发性增长,最后谁能活到那一天。如果说他运气正好,在资金链断之前有了这样的大事,他可能就起来了。

第二个云安全,中国的生态和西方有很大区别,中国的这种云的产量本身的垄断性很强,第三方的在公有云上的云安全它的生存机会就要小很多。而如果说是私有云,我们依然会有一些机会,但是它也会有大的经营商或者是云的提供商垄断市场。

像SAAS之类的应用,在国内没有像老美那样大规模火爆起来,而且如果有了之后会不会重演大厂商垄断,或者他们生态的垄断,我觉得都还是个问号。这其实是IT生态,中国的IT生态和西方的IT生态的不同所带来的这种问题。中国的客户的就在这方面的成熟度比西方也要差,因为西方的客户他逼着这个平台本身做了开发,中国的客户这方面稍微要差一点,这个云就肯定是个大方向,但云安全在中国比西方难做。

【君哥】:下一个问题可能是跟数据安全法有关,咱们也知道最新的数据安全法草案也半公开了,数据安全其实也是和业务结合相对比较紧密,老板也能看得到的一个点。所以在数据安全这块,谭总你谈谈未来的一些趋势。

【谭校长】:数据安全我觉得对安全从业者是一个大机会,对于各个企业的需求也是一个大机会。因为这件事情就像GDPR这种合规性的出现,它对一个机构的业务它会形成一下搞死的局面,你在这里面犯了错,就会丧命。他甚至会让你的业务停掉,所以这个我觉得这是CISO向老板讲明白这件事,然后获得相应的权限的一个好机会。

数据的基础也首先是数据治理,它这里面确实就会是7分管理3分技术。别把技术这个事在里面看得那么重。首先是管理上的事情,一些制度流程的建立,然后技术手段作为辅助,这里面就是涉及到好多东西,有数据的分级分类,数据的加密,数据的检测,数据的脱敏等等。像这些具体的东西,我觉得找相应的供应商去帮你解决。

【君哥】:再问一个,刚才有观众提到,就是说现在甲方普遍都很难招人,大家都在抢人,不管是应届的还是社招的,哪怕出很高的价钱都很难找到一个满意的人。这块咱们有没有一些比较好的方法渠道,还有识人用人这方面,人还是挺重要的。

【谭校长】:看你招人是招什么样的人,你如果是招渗透相关人员,你肯定要面临和黑产、和网络安全公司这种土豪们去抢人。但是这些人你真的一定要自己养吗?其实这些我觉得是可以通过服务的,不管是和专业的做渗透测试的公司,还是众测平台,你就用共享资源解决这个问题。

作为甲方,你就想想,如果你只有几个人,你会把这几个人拿去干什么。我觉得要找懂得安全治理以及具备很强项目管理能力的人。就是活让别人干,但是你要能控盘,因为其实你手里拿着钱,你是能够去指挥别人的,但是问题是你得懂治理,还有项目管理,你能不能管得住那么多。

你比你的供应商肯定更懂企业,懂企业的业务,然后搞好规划,把治理做好,把项目管好,把审计这些事弄好。其他的我觉得很多东西都可以花钱解决。

【君哥】:行。还有最后一个问题,刚刚有人问到咱们赛博英杰主要做哪些方面的事情,另外他们对正奇学院也感兴趣,怎么样才能加入?

【谭校长】:赛博英杰主要有三块业务:

  • 一个是正奇学院,是一个面向网络安全创业公司的学习班,招生对象是网络安全公司的创业者,要求认知有一定段位的。大家在这里学习的是怎么样去做一家安全创业公司,然后在这个过程之中,学员们能够互相合作,互相帮衬,共同发展。
  • 一个是正奇俱乐部,是一个中国网络安全公司的小圈子。这个圈子会给大家提供一些产业研究的结果,一些培训课程,他面对的范围可能是各个公司里面的,比如中层总监,比如市场部,产品管理部的人等等,这些不是老板的从业者,这就是正奇俱乐部。
  • 第三个就叫数说安全,数说安全其实是个研究机构。去年12月份的时候,我和数说安全的创始人余江,我们俩商量好了,把两个机构合并,其实它是一个专业的产业研究机构,比如我给你出今年的网络安全的产业报告,50强的排名,比如我们正在做的网络安全产业的投资报告,还有安全上市公司的财年报的解读等等。数说安全告诉你产业里面都在发展什么事,这个是谁是更强,谁的业务该怎么看,该从角度怎么看,哪个领域内都有哪些玩家等等,要解决什么问题呢?

    网络安全领域内大多数公司它其实养不起一个产业研究机构。一个产业研究部门,你哪怕两三个人,最后其实也要花不少钱的,一个创业公司根本养不起。我有这么一个产业研究机构,它可以给大家在知识过剩的时代,从一大堆公司的财报里萃取出这公司他到底想做什么,大多数人不具备这个能力,他也没有这个时间。那么我这种产业研究机构会把这些东西萃取出来,让大家非常快速地去进行学习。

以上就是我们赛博英杰的三个主要业务,你可以看到,它的核心其实都是网络安全的产业生态的一个这种服务,是面向全产业链的,不管是上市公司还是初创公司。

【君哥】:如果想加入正奇学院和正奇俱乐部,可以关注谭总的抖音,给他发私信,当然也可以加我的抖音,我会转给正奇学院的对接人。

【谭校长】:咱们正奇学院的二期还要请你来做讲师,一定要来。

【君哥】:好好,感谢谭总给这样的机会,我觉得特别有趣,你看我的公众号也叫体历,体验和经历,我特别喜欢从事一些不一样的东西,所以今天也是腆着脸开抖音,跟大家做这样的手机直播。其实没什么特别的,就是想跟大家新朋友老朋友坐在一起聊一聊网络安全。

【谭校长】:这也是我第一次做直播,看很多直播平台里都是帅哥美女,我们老男人基本上就来丢人现眼了。但是这个时代真的是不一样,今天的直播它已经变成了大家日常使用的获取信息和优质内容的渠道和方式,我们还是得跟上潮流。前面来的早的朋友应该知道我们前面调试参数,在里面折腾半天。

【君哥】:对,确实玩法我们搞了半天,社群直播管理员什么的整了半天。我觉得后续咱们可能更有趣一些,还会请谭总来上我们的直播。讲讲我们网络安全的一些历史典故和趣事,回顾一下过去的10年20年,我们是经历者,也是创造者。

【谭校长】:说网络安全这个领域我就再多说一句,我觉得将来我要是退休了,十有八九会写书的。中国的网络安全行业,它真的是一个最像武侠小说里面江湖的地方。很有意思。

【君哥】:对,我们谭总是一代盟主,真的很期待你这本书,我觉得现在写这本书的几乎没有。

【谭校长】:盟主不敢当,我如果能够像百晓生写出个兵器谱也挺好。

【君哥】:期待。谢谢大家,今天的直播就到这里。

本文转载自君哥的体历。

(完)