人才市场每年的三月四月份被称为金三银四,为传统意义上的人才招聘高峰期。对于企业安全市场来说,人才稀缺,每年基本也就是圈子里那么几个人跳来跳去,对业务安全的中层管理来讲,人才更少,同时被几十个猎头盯着随时手上都有 offer 的情况也是非常常见的。那么对于业务安全人员,在正式进入一家新公司前,不太可能了解到真实的坑有多大,大部分工作都是在正式入职以后才开展的.

跳到一家新公司,初来乍到,到底该如何摸清底细,烧好上任三把火呢?笔者总结自身经验,提供以下几个措施供参考。

bigsec

寻找当前头部问题

招聘业务安全负责任的契机,一般都是由于当前业务中出现了某些风险问题,急需专人来解决。往往有些负责人进到一家新公司拜完码头后就急于构建业务风控架构,然后借此扩大团队稳住脚跟,这个方式不是不好,但不熟悉内部情况下急于动手很容易导致方案飘在空中难以落地。

根据笔者经验,首先第一件事应当是寻找头部问题。企业业务头部问题往往和其核心资产息息相关,比如电商型企业的物流被滥用和账户资金安全、航旅行业的资源占用和爬虫问题、互联网金融企业的贷款风控等,根据自家企业的业务形态,长期关注的核心安全问题可能略有不同。

另外可以通过私下沟通方式确认当前正在严重困扰当前企业的问题。建议可以寻求一线处理投诉的客服部门,或者运维同事去了解下当前正在严重影响他们工作的业务安全问题主要在哪些方面,往往大部分的资金帐户安全问题都会体现在客服投诉部门里,而导致服务不稳定的爬虫攻击等问题都会体现在运维或类似的技术运营部门工作中。

因为一定程度的影响了他们的工作,所以在初期推行业务安全治理的时候由具体问题以“帮忙”的角色切入,很容易得到他们的支持,避免出现业务安全得不到执行层面支持的尴尬情况出现。

业务安全体系梳理

bigsec

确认好头部问题后,就具体问题来梳理业务安全体系,为了解决头部问题,要拿什么数据?用什么方式来存储和分析?如何阻断?怎么反馈优化?(具体请参考“一个CPO的心得分享系列”).如果已有风控系统的话,现有的风控体系如何改造?这里可以借助自身的经验来开始设计架构、招人、明确项目收益了。

由于风控系统无论大小,其都存在一定的研发周期,还要考虑新团队磨合的成本,这中间一段时间几乎都是零产出的,那么我们还可以做什么?

业务安全评审:

由于头部问题的梳理后,应当已经体现出区别于业务方对于业务安全知识的专业差距了,至少业务部门应该知道你能发现他们无法发现的安全问题,那么在需求评审中加入一个安全评审的过程就比较顺理成章,旨在业务流程设计、活动上线前就能发现业务逻辑漏洞,避免在风控服务未成形前出现过多的新业务风险点。

业务安全案例培训:

借助以往经验,结合当下企业业务场景,做面向产品、运营、运维的业务安全案例培训,帮助他们了解你是做什么的,另外也是属于提前打好预防针,告诉他们如果不注意可能发生的恶劣后果,以及你正在做的解决方案,争取更多的支持。

填坑拆炸弹

不论所在企业大小,业务永远是动态的,人也是流动的,这种情况下就会产生很多没人理的清管的了的历史问题。

很多人认为业务安全也应该往企业主力业务上贴,因为更容易出成绩,但实际这个想法不完全正确。鉴于业务安全的特殊性,必须补齐短板,否则主力业务就要遭殃。举个实际例子:

某网站,主站业务帐号安全梳理的比较清晰,虽然短期存在大量的帐号撞库问题,但帐号内没有资金,唯一的身份证信息也加密脱敏了,以为暂时不重要。但通过客服反馈,一直有用户反映被撞库后窃取身份证信息的问题:诈骗电话说得出准确的身份证号码。最后发现其英文版本的网站没有做身份证脱敏。

业务安全攻守不平衡的主要原因在于:防守必须全面无死角,攻击方找到一个点就行了。所以虽然目前移动互联网趋势严重,笔者认为传统PC WEB端的问题也不能丢,攻击者不管流量有多小,有缺陷就行。这就像一个网站你人脸识别、动态口令上的再全,只要不敢把密码登录干掉,你就永远要考虑密码暴力猜测问题,和使用比例没有关系。

写在最后

业务安全负责人越来越多的成为互联网企业的标配,主要在于其职能所解决的与传统安全问题有根本的不同,面向帐号安全、反欺诈、反爬虫等类型的业务逻辑缺陷。并且,由于这些问题贴近业务本身,也能够量化出非常直观的收益。

但由于业务安全所需的人才需要了解的知识面非常广泛且难以通过常规方式获取,导致人才非常稀缺,也是该领域失业率为负的一大原因,所以如果发现个好苗子,请各位HR一定抱住不要松手,比心。

bigsec

marvin 岂安科技联合创始人,首席产品技术官 超过6年风控和产品相关经验,曾就职网易,负责《魔兽世界》中国区账户体系安全。现带领岂安互联网业务风控团队为客户提供包括了明星产品Warden和RED.Q的风控服务。


岂安科技
866 声望119 粉丝