【A9】工作组织架构变更引发的思考

文摘   科技   2023-06-30 10:18   广东  

“A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”


01

起因


“今天9点在2101会议室,我们部门开个会,全部人都要参加。”

某天,领导在开会时聊到了这个事情。领导说:“今年我们的组织架构会发生一些变动,大家的工作内容也会有些变更,下面是新的部门分组,大家看一下。”

“我们两个组合一起了,嗯?工作量也没变,好像还多了呢..”

“啥,我咋调到这个组了?我的兴趣是...”

“......”



这几年受疫情的影响,大多行业都受影响,特别是安全部门,很多企业裁掉大量网络安全人员,或更换架构将安全人员融合到其他部门等。我们这还好,也许是部门大领导努力为我们争取,我们部门倒没有裁员,但是推动了之前领导们沟通的架构变更工作,于是在今年开始实行了。

我看着新的组织架构,发现其实大家的工作内容大体没有改变,只是侧重点发生了变化,工作内容也就有些不同了,这不禁让我发起一些反思,并结合之前的项目经历进行思考------现在的安全从业人员只学习安全知识是否足够?网络知识、运维知识是否要适当的接触呢?以下我就自己的项目经历写下一些看法,希望对网络安全从业人员有些帮助,行业老大哥们就当是看个纪录片,如果有其他看法可以共同探讨下。

初时网络、安全、运维在我看来其实是三个部门,可能工作内容有些许相似,但总归是不同部门吧,网络负责保障内外网通信、各系统数据交互正常;安全保障各系统、数据安全;运维负责保障设备稳定。
后来在接触各个项目,以及和项目上各位老师的交流学习发现,网络、安全、运维哪有分的啊,还记得初次项目上负责的是安全工作,可是工作还是涉及到设备运维,日常工作也会多和网络部门交流,且当时的网络也需要做运维工作,只是我们运维自己的设备,他们运维他们的设备罢了;而后第二个项目直接负责网络工作、安全工作、运维工作,和之前比只是日常工作多了网络和运维吧;再后来的第三、第四个项目等,那时的自己多是做事,却没有深思。现在回想下其实都是一体的,区别只是各个项目上工作架构的不同。


安全工作、运维工作和网络工作之间有着紧密的联系。安全是确保网络设备及其数据受到保护的实践,而运维则涉及管理和维护网络设备和系统以确保它们在正常工作状态下运行。网络是这两个领域的基础,因为所有的网络设备和数据都通过网络进行传输。

在网络安全领域,不一定说要掌握路由交换怎么通的、网络优化等等。相反,了解一些网络方面的知识可以帮助我们更好地处理安全事件。例如,ACK机制、数据包分析、静态/动态路由基本工作原理等等,在处理安全告警时,我们可以根据告警类型对流量包进行分析,从而确定威胁级别。举个例子,如果告警流量包是TCP协议,我们可以确认是否存在TCP三次握手来判断是否建立连接,并根据数据包进行分析。如果流量包是UDP协议,我们同样可以根据数据包进行分析判断。此外,在网络拓扑和架构角度考虑,了解整体网络情况、流量走向和各区划分可以指导我们在哪些位置部署何种安全设备,以保障整体网络数据安全。如果我们要对一个公司建设一套完善的安全系统,可以根据网络拓扑图了解整体网络情况,然后依靠这些考虑在哪些位置部署什么安全设备,需要部署多少套等,以保障整体网络数据安全。

再比如有些单位用防火墙做代理模式部署,控制内网与外网之间的通信,并对数据流进行过滤和管理,流量进到内网过一道waf,再过一些加密设备,然后再被nginx做反向代理,提高系统的性能和可靠性,这样就会经过两次代理,那么在流量检测设备看到的告警经常会是内网攻击内网,如果不熟悉内部网络、业务交互,估计处置过程也会相对困难,但是如果我们理解单位的内部网络,知道流量经过那些设备做了什么操作,那么在处置分析过程会更加得心应手。


当然在这些领域中,安全是最重要的方面之一。网络安全人员通过使用各种技术和工具来保护网络免受黑客攻击、病毒、恶意软件和其他威胁。

在我的理解中,安全人员可以适当了解当前主流、前沿的攻击手法,并不是说不了解就没法进行分析处置,只是说懂得攻击手法在分析处置过程能节省部分时间、降低设备误报。比如,我们都明白设备检测告警多数都是通过匹配规则字段,当然有少部分高级设备会对攻击IP、攻击面进行整合分析,如果我们的流量检测设备检测到告警,看到告警我们习惯看下数据包来判断真实性,然后根据发出的告警并结合我们理解的攻击手法可能从哪些方面发起攻击,结合告警前后该IP 的操作进行分析判断,这能让我们很快分析告警的真实性,为后续的响应处置提供更多的时间,另外如果安全体系建设完善的话,流量检测设备会存在多套,我们也可以在不同的流量检测设备上进行排查分析,因为每一家产品的规则都是不同的,相同的流量可能在不同设备发出的告警是不同的,而我们和设备的区别在于,需要根据内部的网络架构来分析设备告警,还需对设备无法识别的新攻击手法进行分析。

运维人员负责监视和维护网络设备和系统,以确保它们在高效率、可靠性和安全性的情况下运行,还负责升级软件和硬件以保持与技术发展的步伐,并确保网络足够稳定以满足用户需求。总体来说,安全和运维是相互依存的。如果网络安全,则可能会出现故障或遭受攻击,从而影响网络的可靠性和可用性。如果网络不受良好的运维,那么也可能存在漏洞,使得网络容易被攻击。因此,网络安全和运维需要密切合作,以确保网络设备和数据在安全、可靠、高效的状态下运行。

前段时间,曾和一位老师进行交流学习,当时那位老师询问我关于设备运维的看法,当时我的回复是在之前没主要接触过设备运维,但是在认知中设备运维可能只是保证设备有效、正常使用,现在接触后感觉是设备运营,重点在与用脚本解放人力,于是近期都在编写脚本来取代自己的日常工作等,听我说完后,老师说出了他的看法,这也让我有个更直观的理解,老师让我从岗位出发,我们是搞网络安全的,需要熟悉设备,这里说的熟悉不单单指使用,还在于这些设备最重要的地方,也就是规则的编写。你只有了解了这些设备的告警是怎么产生的,告警规则是怎么编写的,整体架构是什么等,和其他厂商的设备优势是什么,从底层出发才能更好的理解这些产品。


网络、安全和运维是公司系统运行的核心。网络方面主要关注网络架构、通信协议和数据传输等技术,以确保网络的稳定性和可靠性。安全方面主要关注数据隐私、身份认证和访问控制等问题,以确保各系统的安全。运维方面主要关注系统监控、故障排除等方面,以确保设备的正常运行。










A9 Team
A9 Team 甲方攻防团队,成员来自某证券、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践,期望和朋友们共同进步,守望相助,合作共赢。
 最新文章