诸子笔会 | 肖文棣：安全团队组成与思考

自2021年6月起，安在征文全新“改版”——“诸子笔会，打卡征文”。简单来说，我们在诸子云社群招募“志愿者”，组成“笔友群”，自拟每月主题，互相督促彼此激励，完成每月一篇原创，在诸子云知识星球做主题相关每日打卡，同时邀请专业作者群内分享，互通交流。我们的目标，不仅是在持续8个月时间里，赢取累计8.8万的高额奖金，更是要探索一种脑力激荡、知识分享的新思路和新玩法。本期发文，即诸子笔会月度主题来稿之一。

安全团队组成与思考

文 | 肖文棣

肖文棣

晨星资讯（深圳）有限公司

安全架构师

OWASP中国广东分会负责人，获得华中科技大学软件工程专业工程硕士学位，持有CISSP、AWS助理解决方案架构师和AWS安全专家等认证。现任晨星资讯（深圳）有限公司安全架构师职务，负责应用安全设计、管理和评审等工作。

最近看了不少安全团队的组成的文章，观点纷呈，很难一一说明。这里笔者结合自己的实践给大家分析一下。

安全团队分成四大模块：应用安全（Application Security）、安全运营（Security Operation）、IT合规（IT Compliant）以及业务连续性团队（BC）。安全的总负责人是首席信息安全官（CISO），直接向公司的首席技术官（CTO）汇报。通过这样的架构，保证安全措施可以至上而下推行。

应用安全

应用安全团队的主要职责是负责公司内部开发的系统的安全，包括制定开发安全的相关策略，购置和维护相关工具保证开发安全策略的实施，指导开发团队正确实施开发安全策略以及评审开发团队的开发安全策略的实施情况。更加具体的说，就是推动公司的S-SDLC流程和DevSecOps流程的落地。

应用开发团队的成员分成两种角色：安全架构师和安全分析师。安全架构师主要负责制定开发安全的相关策略，指导开发团队正确实施开发安全策略以及评审开发团队的开发安全策略的实施。安全分析师主要是负责产品的内部渗透测试以及DAST的测试工作。可以认为安全架构师偏向于蓝军视角，重视防守；而安全分析师偏向于红方视角，重视进攻。同时安全分析师会承担相关工具的维护工作。安全架构师同时也会开发一些特定的工具，包括红方工具用于内部使用。

安全架构师会重视CISSP、云安全等偏防守认证，而安全分析师会重视OSCP等偏攻击的认证。

应用安全团队还会和开发团队紧密合作，共同推进S- SDLC和DevSecOps落地，应用安全团队会遵照OWASP的Security Champion项目的指引，引入Security Champion的角色。Security Champion的角色在Security Champion项目中有详细定义，Security Champion来自于开发团队，是开发团队与应用安全团队的桥梁与纽带，在实际工作中发挥重要作用。

Security Champion一定要得到开发团队领导的授权，并且能够代表开发团队去实施一些安全策略，包括风险识别与处置。Security Champion是兼职而不是全职的，他们接受应用安全团队的培训，同时将安全知识和实践带回项目组和产品实施中，作为应用安全团队的代表嵌入到DevSecOps的流程中。

应用安全团队管理着开发安全相关工具，应用安全团队的一个职责就是维护好这些工具并且培训开发团队，特别是Security Champion正确使用这些工具。开发团队需要将这些工具作为能力继承到DevSecOps的流程中。

应用安全团队一定要有正确认识，他们只是维护工具，建立标准，最终是开发团队自己自助式地使用这些工具。同时应用安全团队要做好把关，保证这些工具被正确执行，工具发现的安全问题能够及时被分析和处理。

应用安全团队千万不能闭帚自珍，限制开发团队自助地使用这些工具，而要求将一切权利集中到自己手里，这样应用安全团队就会成为瓶颈，并且工作得不到开发团的支持。

安全运营

安全运营团队主要负责公司内部的安全，包括公司的防火墙、AD、威胁情报，SOC等，也会包括公司产品的安全运营，包括第三方报送的漏洞处理、外部攻击的应急响应等。安全运营团队是纯粹的蓝军的角色。

安全运营团队是一个非常重要而且任务繁重的部门，他们需要处理公司日常安全运营工作，包括防火墙的审核，AD的审核，安全补丁的跟踪已经实施。

安全运营团队同样也会运营很多工具和平台，这里就不一一列举。安全运营团队会分出专人组成SOC小组，负责公司产品的安全运营工作。这个工作需要和应用安全团队对接。

TOC的处理流程一般是外部人员给SOC小组报送漏洞信息，TOC小组将漏洞信息发给应用安全团队成员进行验证，应用安全团队人员进行验证并且提交给相关的开发团队进行深入分析和处理，同时应用安全团队和检查现有的流程和工具，找到当前工具流程没有及时发现问题的原因呢，并且进行改进。

IT合规

IT合规人员的工作职责包括公司的安全政策、文档的维护，公司的安全合规工作的实施和评审，公司安全对外的接口。

IT合规人员会负责公司内部的日常安全培训，包括引入第三方培训机构对公司成员进行安全意识教育。也会经常在公司内部进行安全演练和测试，包括进行模拟钓鱼邮件攻击。通过不断的钓鱼邮件攻击，已经让大部分公司成员认识到，来自外部的邮件的连接和附件不要点击，如果有疑问请找安全部门的良好意识。

IT合规人员会根据各地法规的要求，配合开发团队进行合规验证，比如SOC2认证，IT合规人员会联合第三方认证机构，联合开发团队对产品进行合规认证。

IT合规人员还是公司安全的对外唯一接口，一切外部客户对于公司安全政策，安全合规的所有咨询，统一由IT合规人员作出标准回答。

IT合规人员会联合安全部门其他人员一切对安全政策进行定期检视和更新，并且要求人力资源部门进行全员宣讲，并且要求全员签名确认。通过这样的工作保证安全政策必须被所有员工知晓，并且签字确认，从而降低内部人员的安全事故。

业务连续性团队

业务连续性团队是保证业务连续性的部门，根据安全三要素的要求，可用性就是由业务连续性团队负责保障。业务连续性部门的工作是制定业务连续性策略，并且由开发团队负责实施并且由业务连续性部门进行检查。

开发团队需要根据业务的需要确定自己的RTO和RPO，从而确定自己的灾备策略。如果RTO和RPO要求非常严格的产品，必须要求双活策略。而RTO和RPO要求并不严格的产品，比如RTO为24小时，RPO也是24小时的产品，可以要求数据只是做每日备份，灾备发生的时候，利用最新备份数据进行业务恢复。

开发团队需要将灾备工作文档化，脚本化，让一切工作变得标准而且可以检查，同时制定策略定期进行灾备演练，比如每个季度，每年，具体需要根据业务的要求进行制定。然后业务连续性团队会检查灾备的演练成果。

思考

笔者的安全团队是遵从CISSP推荐的，采用自上而下的方式去推进安全措施的落地。同时基于笔者的企业文化，已经建立了安全是公司每个人的事情的意识。所以笔者公司的安全团队只是公司的一个普通团队，不是背锅侠也不是超人，一切都是按照尽职尽责的要求完成自己的岗位要求的事情，就好像流水一样，润万物而不争，能够很好地与公司其他团队合作。

安全融入其他团队，融入流程，融入每个人，这也是笔者认可的和追求的安全。

安全，大道无形。

诸子笔会 |9月征文合集《安全团队》

不同阶段的安全团队建设演进之路

诸子笔会 |8月征文合集《数据安全》

诸子笔会 | 7月征文合集《安全自动化》

诸子笔会 | 6月征文合集《安全数字化》

戳原文阅读查看往期征文合集

齐心抗疫 与你同在

你怎么这么好看