安全路透社
当前位置:安全路透社 > 网络转载 > 正文

麻袋理财首席安全官王耀:安全建设靠积累 | 国家网络安全宣传周FreeBuf专访

最近几年互联网金融发展高速发展,一些传统金融机构也期望借由数字化热潮来推进业务发展,于此同时不少新的互联网金融公司也不断涌现。金融服务企业们将全数字化转型视为获得业务价值、颠覆市场和领先竞争对手的一种方式。但是,随全数字化能力而来的还有复杂性。互联网金融本身数字化属性,以及传统金融机构数字化转型带来的是数据、系统和网络各方面的风险。

微信图片_20170927173630.jpg 

截至今年4月,据不完全统计,全国通过信息系统安全等级保护三级测评的网贷平台只有78家,仅占全国正常运营网贷平台总量的3.42%。而麻袋理财,作为一家安全团队成立只有两年的公司,早在去年就通过了等保三级的测评。为此我们特意专访了麻袋理财首席安全官王耀先生,分享下他对甲方企业安全建设的一些理念。

个人经历

王耀从2005年开始接触信息安全,至今已经有12个年头,他在大学的主修专业是计算机,对于信息安全技术的研究则完全是出于个人兴趣。在那个时期,除了搞好学业,他大部分的时间都花在了钻研各类安全技术上,他不仅是各类安全网站和论坛的常客,也自行购买了大量的技术书籍如饥似渴的学习。他表示,在那个年代,黑客技术在国内非常流行,各类黑客杂志,黑客网站蓬勃发展,有着丰富的资源可供学习,宝贵的学生年代,为他今后从事的安全事业播下了种子。

有趣的是,王耀大学毕业后的第一份工作,却和信息安全无关,王耀觉得人生只有一次,应该过得丰富多彩,多一些不同行业的经历,也是一件很有意思的事情。大学毕业后,王耀加入了AC尼尔森公司(AC Nielsen),这是一家全球顶级市场调研公司,王耀在那里从事了一年的数据分析程序员的工作,接触了大量针对全球500强公司的调研数据和分析报告,因此深刻的感受到了数据价值的重要性。在工作之余,王耀一直在关注着不同行业的数据安全,当发现伴随互联网高速发展的同时,各类网络犯罪也越来越多的时候,他觉得,作为一个从小有着“警察梦”的男生,他应该为社会做一些事情。在尼尔森工作满一年后,王耀考取了上海公务员,成为上海市公安局的一名网警,日常工作就是负责打击各类网络犯罪,主要涉及对各类黑产、黑客攻击事件的打击、电子数据取证、各类网站的执法管理等等。在从事网警工作的几年里,让王耀从执法者的角度,对地下黑色产业、国内信息安全的现状有了更加深刻透彻的理解,能够面对面的和网络犯罪分子正面交锋,这样独特的经历,并不是每一个人都能够拥有的。

王耀说,他是一个喜欢“折腾”的人,是一个喜欢不断追求更高目标的人,尤其是喜欢挑战有难度的事情,也正是因为这样,促成了他后来加入麻袋理财。2015年年底,麻袋理财邀请王耀加入,负责建立安全团队,打造麻袋理财整个安全体系。麻袋理财对于人才的重视,以及在人才培养方面舍得投入的诚意让他感动,经过充分考虑后,王耀离开了网安队伍,加入了麻袋理财。王耀觉得,互联网金融的蓬勃发展,让他觉得这个行业存在着更大的挑战,能够在一个全新的领域里展现自己的才华,证明自己的价值,组建、带领团队去帮助组织实现一个又一个目标,对自己来说又是一个挑战,他很喜欢这种感觉。入职麻袋理财后,王耀负责了整个麻袋理财的信息安全工作,包括安全技术、安全管理、安全合规、人才梯度培养等,一手搭建了麻袋理财的安全团队。

两年建团队过等保

事实上,采访王耀先生的过程中,最令小编印象深刻的是他对于安全建设以及安全知识提升的理解。

加入麻袋理财后,王耀组建了一流的互金安全团队,去年麻袋理财通过了等级保护,这在互联网金融企业中为数不多,尤其是麻袋的安全团队成立才刚刚两年。可以看到,在企业安全建设思路上,作为集团CSO,王耀先生确实有其独特的安全想法。

他认为要把甲方安全做好,离不开两点:首先是公司高层的重视,高层的重视意味着公司舍得投入,愿意给予相应的资源,这一点提供了做好安全的空间。其次是要有一个具有前瞻性眼光的安全负责人,安全负责人一定要具有全局的视野。好的安全负责人在搭建安全团队的初始阶段就要考虑一些为安全合规和预防各类风险而准备的工作。无论是国内的等保还是国际上的ISO 27001认证,如果有前瞻性的眼光,在团队建设初期时的人才招聘和安全建设时就会提前考虑好各种问题,比如哪些是核心业务,哪些是核心资产,哪些是主要风险,数据在保存、传输、展示、销毁的过程中该如何进行加密解密、脱敏、分类分级、访问权限划分等,在有限的预算里,如何做到投入和产出达到一个平衡,既不影响业务,又能够帮助组织很好的完成信息安全目标,这就需要安全负责人有一个全局性的视野。甲方企业需要从技术、管理、合规三个方面建设安全,如果安全负责人能够超前规划,从一开始就定下正确的方向和短期长期的目标,有预见性地做安全,通过等保就是水到渠成的过程,而不是真的到打算做等保了,再“火烧眉毛”的大规模整改。又影响业务,又消耗企业资源,又浪费时间。

公安工作是怎样的一番体验?

微信图片_20170922182839.jpg

公安工作的经历对王耀的影响非常大,在公安的五年,王耀的主要工作是打击黑产,对黑客入侵行为进行电子取证。当时王耀的角色是执法者,从盈利方式、交易渠道、作案动机深入地了解黑客,而转到甲方企业后,王耀经历了角色转换,从开始的执法者变成了防御者,但有了之前的经验,应对攻击变得信手拈来,这不仅包括防御攻击,还包括取证和法务流程。王耀坦言,如果是纯粹安全技术出身的人才很难做到这样一条龙地处理威胁,这也是网安工作给他本人带来的优势。

互联网金融的风险

互联网金融行业依托于互联网,又有传统金融机构的一些属性,使得这个行业所面对的风险更加复杂。

王耀表示,在日趋复杂的网络环境下,黑客的攻击手段越来越高明。与过去通过单一手段攻击网站不同,现在的黑客往往会使用组合技攻击对手,一个典型的例子是APT攻击,以及现在比较流行的鱼叉式攻击或水坑攻击,这些攻击考验的是企业员工的安全意识,而安全的意识的培养并非易事,这就给黑客营造了可乘之机。

另一点容易被忽视的风险则是对人员的监管。目前许多公司对于员工在公司日常工作以及离职后的行为缺乏必要监管,或者流于形式。很多公司只能做到的是入职审核,而对员工离职后损害企业的行为没有做到事先防范和管理,比如离职员工把工作中的机密内容与黑产甚至是竞争对手进行交易。

以上这两点是互联网企业都会遇到的威胁,但互联网金融行业的“金融”属性又进一步放大了这些风险。

除此之外,互联网金融公司的特殊性在于,缺乏像传统金融公司那样的监管机构(银监会、证监会)。传统的金融公司有银监会、证监会出台的法律法规进行指引。

2016年6月上海市互联网金融协会出台了互联网金融指导手册,整个行业参考的是信息安全等保三级,以及网络安全法,但缺乏更高标准的要求,互联网金融公司作为处理金融交易的机构,理应达到更高的安全要求标准。

银行业由于行业的监督,企业必须投入相应的安全建设成本,比如银行强制使用的堡垒机、网络隔离等技术,这大大提高了银行业的安全建设水平。而反观目前的互联网金融行业,安全建设水平参差不齐,甚至有些互联网金融公司没有健全的安全团队,安全建设依赖运维部门兼任。

要克服这些风险,需要立法者出台更加精细的规则,提高对互联网金融行业安全建设的要求,强迫企业增大对安全的投资,这不仅是对企业安全的推动,也是完善金融市场稳定性的必要措施。

中小企业的生存法则

然而真正想要克服前面的这些风险,离不开资金的投入,互联网金融企业中,不乏一些中小企业。他们的公司刚刚起步,业务都无法维持,何谈安全建设?这不仅是互联网金融企业面临的困境,放眼整个互联网领域,创业公司和小型公司面临的困难与束缚是最多的。

第一个束缚是预算,对于小型公司来说最高优先级是生存,也就是发展业务,这样安全建设方面的预算投入势必不会太多。

第二是人才的短缺,由于预算少,导致这些小公司很难招募到资深的安全人才。

解决思路首先是在现有的条件下抓主要矛盾,把核心业务必须做到风险百分百可控。对于边缘性的非核心的业务可以选择适当外包,借助第三方的力量,或者在条件改善后进一步完善。但要特别注意的是对于核心业务与非核心业务的识别和划分。

在安全团队规模不断扩大之后,再考虑拓展业务安全,自研安全工具,甚至将安全做成乙方公司的服务化等。

业务与安全的冲突

在安全建设中,也有一些企业投入了误区,甚至业务与安全的经常起冲突。

王耀认为,业务与安全确实是存在一定的矛盾,想要打造高度安全的企业环境,必然会不同程度上的影响业务。但作为企业而言,盈利是主要目的,因此业务必须被放在第一位,安全是业务的保障,这也是王耀的观点——安全不能站在业务前面。他也观察到,有一些公司的安全部门非常强势,因为安全部门的否决导致业务无法上线,这在王耀看来并不妥当,安全部门存在的意义是保障支持业务发展,而并不是要影响企业的业务发展。王耀觉得,一个优秀的安全负责人必须要深入了解业务,做到对每一个项目可能存在的风险都了熟于心,甲方企业做安全的本质,不是光谈安全技术,不是光谈安全合规,本质应该是控制风险。甲方安全负责人必须要有权衡项目安全风险的能力,评估哪些业务确实存在高度的风险,哪些业务可以边上线边整改。安全部门的职责是保障业务,而非阻拦业务。当遇到业务和安全发生冲突的时候,需要和业务部门做好充分的沟通,达到一个风险大家都可以接受的平衡点,沟通能力,这也是甲方安全负责人必须具备的能力。

安全靠积累

微信图片_20170922182827.jpg

王耀认为,信息安全在未来10年一定是一个黄金行业,无论是国家层面还是社会层面,对信息安全的重视程度都达到了空前的高度,因此选择信息安全行业,无疑是一个正确的决定。对于有志于加入信息安全行业的初学者来说,首先应该注意的是思想上的正确性,从事信息安全工作,需要高度的责任心和良好的职业道德。从职业规划上讲,王耀建议在涉猎的前两年广泛接触各类安全技术基础知识,包括编程语言、数据结构、密码学,还有那些漏洞挖掘技术等,为将来打下基础。在学习两年之后可以根据自己的兴趣,开始选择一些安全方向进行重点发展,比如选择Web安全、移动安全、逆向工程等作为研究方向,如果领悟力比较高,也可以选择将安全管理作为方向,可以研究一些风险管理的框架,包括国内的等保三级、ISO 27001、NIST 800。在进一步学习三年后,达到5年的阶段,可以去考一些认证进一步提升自己,比如CISSP((ISC)²注册信息系统安全专家)或者偏向技术型的CEH(道德黑客认证)。

作为早期CISSP和CEH证书的获得者,王耀还身兼美国(ISC)²信息安全协会会员,美国EC-Council安全委员会会员,以及CEH认证考试的考题教练。对于如何备考,他很有发言权,他认为证书不能应试。就拿CEH证书来讲,CEH界定了道德黑客的定义和合法测试的规范,以及渗透测试的方法,如果在工作中善于思考,切切实实的做过很多项目,这些问题在实战中都会遇到,这些证书实际上是对原本就掌握的知识技能的强化提升,为不是为了考证而考证的本本族。把基础打好之后,通过CEH就是水到渠成的过程。而CISSP考试测试的范围更偏管理,将原来的10个知识域的内容压缩至于8个不同的知识域,考察点未减反增,需要掌握的知识点繁多,这也就要求学员对安全知识体系有更加深厚的了解,在做项目中靠实战来获取经验。

但是王耀强烈反对那些从业少于5年的学习者去考证,如果没有对安全的深刻理解,考这些证书是毫无意义的,即便通过了这些证书,在遇到突发情况时还是无从下手。

因此在他看来,做安全需要的是长时间的积累,做安全的人也应该拒绝浮躁,以治学的严谨态度做安全。

* 本文作者:Sphinx

未经允许不得转载:安全路透社 » 麻袋理财首席安全官王耀:安全建设靠积累 | 国家网络安全宣传周FreeBuf专访

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册