安全运营工作体悟

一、安全运营目标是什么？
笼统来说运营是为了达到某一目标而进行人为干预的一个过程，而安全运营是对安全工作中流程、系统的不断优化，运营思路、策略不断改进的过程。安全运营的目标是将安全工作的质量维持在一个稳定的范围，提高安全工作的工程化能力。在日常的工作中有时候会因为很多原因需要部署各种设备，当安全产品的数量和总类都增加了但是人员没有增加的情况下，需要保证工作质量的稳定；当有安全人员离职更替时，不会因为某个人的原因影响安全工作的质量和进展，组织系统要拥有工程化能力。

二、具体来说
1、SRC漏洞运营
提起SRC，对外界来说可能第一印象是哪家的小姐姐最漂亮、谁家的奖金最丰厚，其实对于企业来说SRC的意义绝不仅仅于此。从技术角度或者漏洞角度来说，SRC是内部安全系统的映射、是漏洞复盘的维度之一，从第三方视角审视系统的安全性。为什么在内部安全人员投入如此之多的情况下外部仍然会发现漏洞，是平常工作中哪个环节出了问题？从PR公关的角度来说，SRC是企业对外的窗口，对外传递企业对安全的态度，给客户以安全感和责任感；也是安全影响力输出的渠道之一，安全工作的经验、开源工具等的分享；也是人才招聘的渠道之一，昔日的白帽子可能就是现在的甲方安全人员。

以上是SRC的意义，稍微说的有点多。在日常的工作中SRC更多的是漏洞审核、排查、复盘以及与业务沟通修复、与白帽子沟通漏洞细节。当白帽子把漏洞提交过来后，第一时间是要确认漏洞是否存在，若有，立刻给业务发告警修复。然后是对漏洞的排查，白帽子提交的问题大多都只涉及一个点/一台机器，企业的业务广、资产多，需要横行排查。比如别的机器上是否有这个问题，使用了这个系统/组件的机器有哪些？这个漏洞的功能点/利用点可能在哪些地方还会出现，这些都需要去review。从纵向来排查，一般就是深入漏洞分析白帽子的利用手法、攻击思路和路径、以及webshell等的排查。这个过程可以防止同一漏洞的二次利用、以及发现在整个防御体系中薄弱的环节。日常工作中接触更多的人除了自己身边的同事就是业务了，会遇到形形色色的问题。有时候告警发过去老半天业务那边没有响应，或者积极响应了也提交修复了，但是一验证漏洞根本就没有修。这个时候就要反思一下，问题有可能出在业务联系人找不准确、修复方案看不懂或者根本就不会修、还有的就是不重视这个问题，这就需要和业务耐心友好的沟通，内部通信工具或邮件来推动。事情结束还要总结反思，这个问题、某个环节有哪些是可以改进完善的，形成闭环。

2、安全产品
在甲方工作了大约三个月的时间，对安全产品的认识尚处在使用者的角度。比如当我们在复盘的时候发现某个漏洞原本是扫描器可以发现的，然而由于少了相关的poc或指纹而被遗漏，这时候就会联系研发的同学完善这部分。这是从产品本身来说，任何产品和系统都不应该是孤立的，还有产品与产品、产品与系统的联动、数据打通等方面的改进。
作为一个安全运营，个人觉得对于安全产品方面，还应该更多的去了解产品的设计细节、工作流程，分析产品的各项数据指标，如：安装率、发现率、误报率、漏报率等，结合实际的业务状况来改进产品。

3、数据分析与优化改进
其实这个过程是贯彻在日常工作的方方面面的。运营就是要对数据很敏感，学会分析数据。比如从每月的告警数据中可以得出：哪些漏洞是业务最常出现的、哪些业务线漏洞数量最多、哪些功能处最易出现何种漏洞，我们应该在工作流程/安全工具等方面如何改进。

三、心得体会
在甲方待的这段时间总的来说还是比较充实的，一方面是因为自身知识系统不够完善，这里可以边工作边学习新东西，很满足；另一方面是之前都是在各种文章中学习甲方安全体系是如何建设的，实际工作环境中还是依据自身情况有所差别。比如不是所有公司都会使用SDL和SIEM/SOC，安全产品多是结合业务需求服务的。内部安全需要和业务打交道，沟通能力真的很重要。自我驱动不断学习的能力也很重要，安全行业的发展是很快的，昨天还在流行卖盒子，现在都讲AI/机器学习、自动化了。希望大家都能保持初心，不断前行，共勉！