摘要:尋找當(dāng)前頭部問題招聘業(yè)務(wù)安全負(fù)責(zé)任的契機,一般都是由于當(dāng)前業(yè)務(wù)中出現(xiàn)了某些風(fēng)險問題,急需專人來解決。鑒于業(yè)務(wù)安全的特殊性,必須補齊短板,否則主力業(yè)務(wù)就要遭殃。業(yè)務(wù)安全攻守不平衡的主要原因在于防守必須全面無死角,攻擊方找到一個點就行了。
人才市場每年的三月四月份被稱為金三銀四,為傳統(tǒng)意義上的人才招聘高峰期。對于企業(yè)安全市場來說,人才稀缺,每年基本也就是圈子里那么幾個人跳來跳去,對業(yè)務(wù)安全的中層管理來講,人才更少,同時被幾十個獵頭盯著隨時手上都有 offer 的情況也是非常常見的。那么對于業(yè)務(wù)安全人員,在正式進(jìn)入一家新公司前,不太可能了解到真實的坑有多大,大部分工作都是在正式入職以后才開展的.
跳到一家新公司,初來乍到,到底該如何摸清底細(xì),燒好上任三把火呢?筆者總結(jié)自身經(jīng)驗,提供以下幾個措施供參考。
尋找當(dāng)前頭部問題招聘業(yè)務(wù)安全負(fù)責(zé)任的契機,一般都是由于當(dāng)前業(yè)務(wù)中出現(xiàn)了某些風(fēng)險問題,急需專人來解決。往往有些負(fù)責(zé)人進(jìn)到一家新公司拜完碼頭后就急于構(gòu)建業(yè)務(wù)風(fēng)控架構(gòu),然后借此擴(kuò)大團(tuán)隊穩(wěn)住腳跟,這個方式不是不好,但不熟悉內(nèi)部情況下急于動手很容易導(dǎo)致方案飄在空中難以落地。
根據(jù)筆者經(jīng)驗,首先第一件事應(yīng)當(dāng)是尋找頭部問題。企業(yè)業(yè)務(wù)頭部問題往往和其核心資產(chǎn)息息相關(guān),比如電商型企業(yè)的物流被濫用和賬戶資金安全、航旅行業(yè)的資源占用和爬蟲問題、互聯(lián)網(wǎng)金融企業(yè)的貸款風(fēng)控等,根據(jù)自家企業(yè)的業(yè)務(wù)形態(tài),長期關(guān)注的核心安全問題可能略有不同。
另外可以通過私下溝通方式確認(rèn)當(dāng)前正在嚴(yán)重困擾當(dāng)前企業(yè)的問題。建議可以尋求一線處理投訴的客服部門,或者運維同事去了解下當(dāng)前正在嚴(yán)重影響他們工作的業(yè)務(wù)安全問題主要在哪些方面,往往大部分的資金帳戶安全問題都會體現(xiàn)在客服投訴部門里,而導(dǎo)致服務(wù)不穩(wěn)定的爬蟲攻擊等問題都會體現(xiàn)在運維或類似的技術(shù)運營部門工作中。
因為一定程度的影響了他們的工作,所以在初期推行業(yè)務(wù)安全治理的時候由具體問題以“幫忙”的角色切入,很容易得到他們的支持,避免出現(xiàn)業(yè)務(wù)安全得不到執(zhí)行層面支持的尷尬情況出現(xiàn)。
業(yè)務(wù)安全體系梳理確認(rèn)好頭部問題后,就具體問題來梳理業(yè)務(wù)安全體系,為了解決頭部問題,要拿什么數(shù)據(jù)?用什么方式來存儲和分析?如何阻斷?怎么反饋優(yōu)化?(具體請參考“一個CPO的心得分享系列”).如果已有風(fēng)控系統(tǒng)的話,現(xiàn)有的風(fēng)控體系如何改造?這里可以借助自身的經(jīng)驗來開始設(shè)計架構(gòu)、招人、明確項目收益了。
由于風(fēng)控系統(tǒng)無論大小,其都存在一定的研發(fā)周期,還要考慮新團(tuán)隊磨合的成本,這中間一段時間幾乎都是零產(chǎn)出的,那么我們還可以做什么?
業(yè)務(wù)安全評審:由于頭部問題的梳理后,應(yīng)當(dāng)已經(jīng)體現(xiàn)出區(qū)別于業(yè)務(wù)方對于業(yè)務(wù)安全知識的專業(yè)差距了,至少業(yè)務(wù)部門應(yīng)該知道你能發(fā)現(xiàn)他們無法發(fā)現(xiàn)的安全問題,那么在需求評審中加入一個安全評審的過程就比較順理成章,旨在業(yè)務(wù)流程設(shè)計、活動上線前就能發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞,避免在風(fēng)控服務(wù)未成形前出現(xiàn)過多的新業(yè)務(wù)風(fēng)險點。
業(yè)務(wù)安全案例培訓(xùn):借助以往經(jīng)驗,結(jié)合當(dāng)下企業(yè)業(yè)務(wù)場景,做面向產(chǎn)品、運營、運維的業(yè)務(wù)安全案例培訓(xùn),幫助他們了解你是做什么的,另外也是屬于提前打好預(yù)防針,告訴他們?nèi)绻蛔⒁饪赡馨l(fā)生的惡劣后果,以及你正在做的解決方案,爭取更多的支持。
填坑拆炸彈不論所在企業(yè)大小,業(yè)務(wù)永遠(yuǎn)是動態(tài)的,人也是流動的,這種情況下就會產(chǎn)生很多沒人理的清管的了的歷史問題。
很多人認(rèn)為業(yè)務(wù)安全也應(yīng)該往企業(yè)主力業(yè)務(wù)上貼,因為更容易出成績,但實際這個想法不完全正確。鑒于業(yè)務(wù)安全的特殊性,必須補齊短板,否則主力業(yè)務(wù)就要遭殃。舉個實際例子:
某網(wǎng)站,主站業(yè)務(wù)帳號安全梳理的比較清晰,雖然短期存在大量的帳號撞庫問題,但帳號內(nèi)沒有資金,唯一的身份證信息也加密脫敏了,以為暫時不重要。但通過客服反饋,一直有用戶反映被撞庫后竊取身份證信息的問題:詐騙電話說得出準(zhǔn)確的身份證號碼。最后發(fā)現(xiàn)其英文版本的網(wǎng)站沒有做身份證脫敏。
業(yè)務(wù)安全攻守不平衡的主要原因在于:防守必須全面無死角,攻擊方找到一個點就行了。所以雖然目前移動互聯(lián)網(wǎng)趨勢嚴(yán)重,筆者認(rèn)為傳統(tǒng)PC WEB端的問題也不能丟,攻擊者不管流量有多小,有缺陷就行。這就像一個網(wǎng)站你人臉識別、動態(tài)口令上的再全,只要不敢把密碼登錄干掉,你就永遠(yuǎn)要考慮密碼暴力猜測問題,和使用比例沒有關(guān)系。
寫在最后業(yè)務(wù)安全負(fù)責(zé)人越來越多的成為互聯(lián)網(wǎng)企業(yè)的標(biāo)配,主要在于其職能所解決的與傳統(tǒng)安全問題有根本的不同,面向帳號安全、反欺詐、反爬蟲等類型的業(yè)務(wù)邏輯缺陷。并且,由于這些問題貼近業(yè)務(wù)本身,也能夠量化出非常直觀的收益。
但由于業(yè)務(wù)安全所需的人才需要了解的知識面非常廣泛且難以通過常規(guī)方式獲取,導(dǎo)致人才非常稀缺,也是該領(lǐng)域失業(yè)率為負(fù)的一大原因,所以如果發(fā)現(xiàn)個好苗子,請各位HR一定抱住不要松手,比心。
marvin 豈安科技聯(lián)合創(chuàng)始人,首席產(chǎn)品技術(shù)官 超過6年風(fēng)控和產(chǎn)品相關(guān)經(jīng)驗,曾就職網(wǎng)易,負(fù)責(zé)《魔獸世界》中國區(qū)賬戶體系安全。現(xiàn)帶領(lǐng)豈安互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)控團(tuán)隊為客戶提供包括了明星產(chǎn)品Warden和RED.Q的風(fēng)控服務(wù)。
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/44444.html
摘要:而庫里安上任后,除了擴(kuò)充銷售團(tuán)隊之外,據(jù)業(yè)內(nèi)人士透露,他還希望提高云存儲軟件的利潤率,讓其超過谷歌廣告業(yè)務(wù)的利潤率。在去年接二連三的人事震動后,谷歌云在2月初迎來了新一任CEO托馬斯·庫里安,近日據(jù)知情人透露,上任后的庫里安正在開發(fā)或者收購特定行業(yè)的企業(yè)應(yīng)用程序。同時,根據(jù)庫里安的設(shè)想,其提供的云存儲軟件服務(wù)的利潤要爭取超過60%,大于谷歌廣告業(yè)務(wù)的利潤率。這對于在云服務(wù)領(lǐng)域處在下風(fēng)來說的谷...
摘要:還以為我是一個失業(yè)青年,后來想想,后已經(jīng)是中年了。對于各路框架,還是根據(jù)業(yè)務(wù)需求去學(xué)習(xí)比較好,相信自己的學(xué)習(xí)能力。我還是先鞏固一下數(shù)據(jù)結(jié)構(gòu)和算法吧。數(shù)據(jù)結(jié)構(gòu)與算法的描述針對自己目前所處的環(huán)境,就用來描述常用的數(shù)據(jù)結(jié)構(gòu)跟常用的算法。 失業(yè)中年 前段時間,帶我出道的CTO要帶我去創(chuàng)業(yè),然后,之前談好的技術(shù)方案在我過去之后都沒能開始,怪可惜的,甚至,他自己都背鍋離職了。再后來,股東突然撤資了...
摘要:任職不到個月,谷歌云計算首席運營官黛安布萊恩特就離開了公司。在年月底加入谷歌之前,她曾在英特爾工作超過年。據(jù)業(yè)內(nèi)人士猜測,官黛安布萊恩特極有可能回老東家英特爾接任一職。任職不到7個月,谷歌云計算首席運營官黛安·布萊恩特就離開了公司。在2017年11月底加入谷歌之前,她曾在英特爾工作超過25年。據(jù)業(yè)內(nèi)人士猜測,官黛安·布萊恩特極有可能回老東家英特爾接任CEO一職。聘用布萊恩特對搜索巨頭谷歌的云...
閱讀 3043·2021-11-25 09:43
閱讀 1626·2021-11-24 11:15
閱讀 2359·2021-11-22 15:25
閱讀 3500·2021-11-11 16:55
閱讀 3240·2021-11-04 16:10
閱讀 2773·2021-09-14 18:02
閱讀 1685·2021-09-10 10:50
閱讀 1070·2019-08-29 15:39