前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >谈谈安全服务“外包”运营之殇

谈谈安全服务“外包”运营之殇

作者头像
FB客服
发布2018-07-30 11:20:58
1.3K0
发布2018-07-30 11:20:58
举报
文章被收录于专栏:FreeBuf

服务外包在IT行业是很普遍的现象,通常会把自身不愿意组建团队来做的事情,外包出去。随着时代的发展,IT行业的体量在不断扩展,从一开始只有门户网站、办公、协同系统等单一的业务应用,到现在的移动办公、虚拟化、云计算等越来越复杂的IT环境,需要外包的服务类型也越来越多。

业务单一时,只有设备运维需要长期驻场,业务扩展后,原有的定期渗透测试、代码审计等攻防技术类工作,也需要加在日常工作流程中,通过长期驻场的方式进行。当业务扩展到需要一个团队来对接安全部门与开发部门,资产、漏洞等信息需要平台来管理时,运营工作也需要外包驻场了。

运营团队类似于安全部门的行政,运营人员的工作性质与秘书、助理等差不多。相比较于渗透测试工程师对技术的要求,咨询顾问的行业工作经验,项目经理对项目的把控,运营人员需要的技能体现在沟通协调能力、文档整理能力等方面。

驻场在甲方的运营人员,需要帮甲方处理的事情包括:

一、工作对接

任务发起:甲方接口人发起一个任务,如系统渗透测试,风险评估等。

计划制定:运营团队与安全团队沟通,完成该任务,需要的材料(如:资产清单,管理员联系方式等),需要配合的部门,计划时间等。然后拟定工作计划,向甲方接口人汇报,征求甲方同意后,配合安全团队开始任务。

任务进行:在安全团队开展工作后,协调安全团队所需要的资源,跟进任务完成进度,定期向甲方汇报。将安全团队的工作结果反馈给各团队整改,如应用安全问题反馈给开发组,网络安全问题反馈给网络组等。维护安全问题列表,如等保整改计划表、漏洞表等。

任务结束:安排安全团队向甲方汇报检测情况,开发、运维团队汇报整改情况,记录检测结果及整改进度。

二、信息维护

运营团队需要记录、维护安全工作结果,包括资产表、漏洞追踪表、管理制度落实记录等,定期做成台账汇报给甲方。还需要维护甲方单位各种信息,各运维组、开发团队对接人联系方式,熟悉甲方组织架构,在甲方需要开展安全工作时,随时能够协调其他部门配合。

三、工作推进

在甲方想要推进安全工作时,获取甲方需求后,制定方案,与甲方沟通,确认后,协助甲方开始推进。如:甲方想让所有开发团队在SDL流程中加入代码安全检测,经过代码审计后的系统才允许上线。运营团队需要输出代码安全工作推进方案,首先安排安全团队与甲方沟通代码审计需要的技术支撑,然后了解开发团队SDL流程,确定代码审计加在流程哪个部分合适,接着制定考核方案,针对开发团队配合程度及检测出来的代码质量进行评分。最后制定推进流程,需要甲方接口人向哪些领导汇报,编写好汇报材料,向哪些配合部门发送通知,编写好通知内容。方案输出后与甲方沟通,确认后开始推进。

相比较安全行业的其他工作,运营工作在技术和经验积累上不是很明显,运营人员也给人一种打杂的印象,运营团队经常出现人员更换频繁,一直缺人的状态。运营人员的发展和出路,具体可以在以下方面:

1)运营工作工具化,运营人员每天的文档整理,人员沟通等,可以使用工具代替,首先需要熟练使用Excel,使用宏、函数等提升工作效率,然后再开发一些工具,自动处理文档,如:将扫描器报告自动导出到Excel和word中,漏洞类别、威胁程度按照格式归类好,调用SMTP协议自动发送邮件等。最后可以将各个工具汇总到平台上,通过平台来完成运营工作。 2)运营工作咨询化,运营人员需要了解安全咨询标准,如:27001、20984、等保等标准,在日常运营中,依据咨询条款向甲方建议安全工作的开展和推进方式,如等保检查项中,就有恶意代码防范的检查要求,让甲方知道,自己身边就有个咨询专家,安全工作是参考行业最佳实践开展的。

运营之殇,安全行业中的行政,既是安全,又是行政。

PS:本文是在甲方驻场时,整理的经验,感谢甲方领导,你们既是甲方,又是良师,感谢良总,感谢何老师。

*本文原创作者:雨水,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-22,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、工作对接
  • 二、信息维护
  • 三、工作推进
相关产品与服务
代码审计
代码审计(Code Audit,CA)提供通过自动化分析工具和人工审查的组合审计方式,对程序源代码逐条进行检查、分析,发现其中的错误信息、安全隐患和规范性缺陷问题,以及由这些问题引发的安全漏洞,提供代码修订措施和建议。支持脚本类语言源码以及有内存控制类源码。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档