正文
第二:像消费金融行业需要个人数据和信用、征信的评估和评价,所以它的数据链条会比较长,涉及到的合作伙伴和产业链也比较多。单纯从企业内部看数据安全,内部做得再好,也解决不了安全问题。你需要保证生态体系里面所有企业的数据安全都到了一个统一的水准,才能处理这件事。统一水准的建立,需要有对合作伙伴的评估评价机制,事前就要评价合作伙伴安全能力。其次需要服务条款的制约,对双方的权利和责任做界定和要求;再者要有安全的检测和监控机制,如果出现相关风险,能够及时发现,及时预警,及时处理。所以这些是一整套的生态体系的数据安全比较重要的工作。就要求我们从团队建设上,除了重视传统的业务安全、网络安全、系统安全、攻防这些基础设施的建设之外,还要重视生态数据安全的问题;还有黑灰产也比较猖獗,涉及到业务安全的问题;
第三:技术的演进,像大数据、人工智能、云原生、云计算这些领域,更多的是新技术带来安全风险的治理,也是关键的因子。
也就是说,当时的内外安全环境,迫使Pansin必须要打造一个全新的安全团队,各就各位,各司其职,有序运转,才能让乐信的安全水位得以快速提升,并保持在一个比较稳定的水位。另外,除了安全内外因素之外,他对安全团队的构成也有特定的要求。
“我心目中的安全团队,除了掌握传统安全能力之外,更看重云原生安全、数据安全、业务安全能力的建设。团队从专业性上来讲,要超越传统安全的领域和范围。团队的信任感、文化氛围、互相协作、补位意识、文化软性等也很重要。”
接下来,Pansin便着手打造团队建设工作。在他看来,目前乐信安全团队取得的成绩,并非他一人之功,而是在九位小伙伴的共同协作下,方才取得如今的成绩。
在乐信的工作,也让Pansin更深刻地感受到了甲乙方工作的差异。
Pansin认为,做乙方的时候,往往需要考虑通用性和针对性,针对一个信息安全风险,往往需要考察不同应用场景中共性问题是什么,对风险的治理讲究策略的有效性,不希望需求的蔓延把产品变成项目。做乙方负面作用就是,当你有个锤子,看什么都是钉子。
而甲方往往是关心自己碰到的问题如何解决,考虑的是问题解决的效果和效率,虽然从问题分解的角度来说,也是从点入手,但一个问题往往涉及一个方面。例如数据安全问题,仅从数据库审计一个点切入,显然距离甲方的视角相距甚远。
在身份转换为甲方之后,经常碰到乙方技术交流过程中,乙方针对甲方提出的一个需求,拿出风马牛不相及或牵强的产品和方案,这样的乙方就缺少了创新和灵活性。以乙方的视角来看甲方的问题,单纯的深度对问题解决的细节大有裨益,但如果需要从面上解决问题,这就要求你具有宏观的视野和足够深厚的各领域产品的功底。
“我在卓望10年,做产品带团队之余,基本拿齐了国内外信息安全的相关资质认证,CISSP、CISA、CISM、ISO27001、CISP、CISAW,这也是能够进入甲方的一个原因吧,现在很多乙方的咨询顾问很难和甲方对上话,根源往往在于知识面过窄。”
所以,Pansin认为,
乙方的经验会给甲方解决问题带来产品化的思路和思维,逻辑边界更清晰,问题解决方案的耦合会更合理。现在国内有些乙方的产品也希望在面上进行突破,但如果缺少甲方的经验,会造成产品耦合带来的副作用,往往一个点比较强,却带着一个薄弱的面,不同的产品之间的功能冲突给甲方带来困扰。
“其实,你会发现,在甲乙方深入转换过身份的人,无论做甲方还是乙方,天然都会具有思维优势。”
在实操阶段,Pansin先是和负责数据安全的Velion一起对数据流进行分解分析,并把重点锁定在数据供应链上。
因为,互联网业务模式的开放性,注定第三方数据交互的复杂性,而业务合作伙伴的数据安全保障能力是比较关键的外部风险,建立合作伙伴的风险测评准入机制,建立数据驱动的合作伙伴风险监控机制,动态实时跟踪合作伙伴数据泄漏风险,通过补充数据安全责任协议和排查协调机制,做到及时跟踪和响应,在制度上推动数据泄漏风险治理的规范化和标准化。
最终取得的成果也达到了Pansin的预期。不到半年时间,乐信便和相关高风险合作伙伴停止了合作,数据泄漏风险的度量指数直线下降。
救火只是解决问题的第一步,Pansin看到的问题是,如何避免事件驱动的安全,这就需要从练内功的角度出发。而外部数据泄漏风险的解决,需要对内部风险进行排查和处置。
乐信对信息安全也是高度重视,由总裁吴毅亲自挂帅,与法务、合规、信息安全等部门双周召开会议,推动信息安全风险评估和安全策略的决策和推动工作。信息安全中心牵头季度评估关键信息风险,并建立信息安全能力策略路线图,推动信息安全保障工作体系化发展。
从左到右分别为:Grace Hiller Tomoya Pansin Jayvin Zebo Anson Solin Taozou Yoyo
对于金融科技企业而言,研发安全是预防安全风险的第一道防线,而乐信研发安全的担当是90后女孩Yoyo。Yoyo年龄不大,却是乐信信息安全中心司龄最长的员工,也是pansin到任安全中心后原团队唯一的一名成员。
Yoyo毕业不久,就来到乐信的测试团队,但她对安全却更为兴趣浓厚,在做了两年业务测试后,就转型了安全测试。接下来如鱼得水的挖洞生活中,她不断拓展自己在安全领域的宽度与厚度。此外,在pansin的激励下,Yoyo成长迅速,两年升了两级,并全面推动了乐信研发安全体系的建设,从SSDLC到devsecops。
磨刀不误砍柴功,Yoyo在把好业务安全检测关的同时,也关注到了软件供应链的风险,推动了SCA(软件成分分析)工具体系的建设和公司开源与商业组件的治理,还推动了14条产品线、600+名员工的2000多个工程的梳理和整改工作。在提升研发安全的黑盒、白盒检测能力的同时,启动交互式安全检测(IAST)的灰盒测试能力以及动态运行时防护(RASP)的建设,全面推动研发安全自动化赋能体系的建设。
在Yoyo看来,原本她对安全职业方向存在许多迷茫之处,总觉得自身能力不足,每当面临晋升之时,心里都会打退堂鼓。得益于Pansin的点拨与鼓励,帮她分析自身优势,找准了研发安全作为发展方向,教她如何从工作的大局观看问题,帮她审阅晋升PPT,才让她逐渐在安全工作中找到自信。对此,Yoyo不无感慨地说:
“在工作中,Pansin会让团队成员在自己擅长的领域发光发热,发挥自己最大的潜力,还会帮我们发现自身的优点和不足。他独特的眼光和学识,一直是我学习的榜样。在以后的工作中和学习中,我还需要不断拓宽自身安全领域的宽度与厚度,希望能在研发安全方向有所建树,但又不能止步于研发安全。”