某天和同行交流,聊到了安全的经典话题,来自业务和老板的经典挑战。比如:
当对方提出这些挑战的时候,说明他内心并不理解或认可安全的工作,这个时候纯粹靠一两句话术,大概率是没办法说服对方的。但是,如果陷入到对方的思维中去,尝试去更精细的量化安全价值(如通过POC验证、红蓝对抗等)。对安全团队来说成本将很高,毕竟漏洞这么多,也不太可能一个一个去验证。
那这个时候应该怎么办呢?我偶然间想到一个职业也面临着类似的场景:保险销售员。
同样的问题,我们换成保险来看看,显得非常的接近。
有句话说,“几乎所有职业的尽头都是销售”,对于安全工程师也是一样。
显然,人们对保险的接受程度相对是比较高的,哪怕舍不得买,也不太会认为买保险是个纯粹浪费钱的事情。因此,本篇尝试通过保险的几个场景,来谈谈该怎么跟“销售”安全。
对于大部分人来说,买保险一定是亏钱的,不然保险公司就成公益了。既然如此,那为什么大家还都是愿意买保险,给保险公司送钱呢?显然,大家是希望在关键时刻(如重大疾病、财产损失等),得到保险公司的补偿,避免“因病致贫”等极端情况发生。换句话说,保险能够为风险兜底,它提供的是一种财富托底的功能,提升了一个人财富变动的下限。
因此,即使一个人一辈子平平安安,根本没获得任何保险理赔,也不能否认花大价钱买保险的价值。他至少得到了相应的“安全感”,买的是一个“确定性”。
对安全来说也是如此。一个公司遭到来自黑产、竞对或国家级的安全入侵,是一个非常小概率的事件。但是对于任何一家公司的老板来说,当公司达到一定规模的时候,如果缺乏相应的安全投入和保障,必然会感到不安。安全团队的价值,本质上就是为老板提供“安全感”。
因此,作为一个安全工程师,不应当去刻意计算安全防护在过去一年中实际阻断了多少攻击,这么算大概率是划不来的。而是应该“兜售焦虑”,通过零星的案例、行业风向等,向老板们灌输风险意识,创造价值缺口。只要老板们的安全兜底诉求存在,安全团队的价值就是正向的。
既然保险的价值客观存在,那我们是不是可以无脑买入各种保险呢?显然不是。最简单的,当一个人连温饱都成问题的时候,必然不会考虑购买额外的保险。但即使是这样,国家也会强制大家买入最基础的社会保险。
保险大致会分为两类:“强制保险”和“自愿保险”。强制保险是国家层面设定的风险保障底线,而自愿保险则是根据个人财富和风险意识提供的不同层级的保障。通常来说,社会保险被认为是一种福利,因为国家补贴了其中很大一部分的成本,也是国家保障社会稳定的一种重要手段。
同理,作为安全工程师在设计安全解决方案时,也应当区分其应用场景。参照社会保险制度,应该圈定一小部分风险类型(如严重漏洞)是业务必须进行修复的,并且在老板层面达成一致,强制执行。同时需要设计如何从公司基础设施层面投入,从而降低业务的投入成本,将漏洞修复变成一种“福利”:业务仅需要支付少量的研发成本即可获得显著的安全能力提升。有了这项机制,安全工程师在应对log4j等突发漏洞时就会更加从容。
在此基础之上,随着业务的不断发展,安全工程师应当对风险进行持续的监控和评估,适时的提出增值服务。在保障公司安全基本盘的情况下,能够提供更深度的安全服务,提升安全团队的价值。
很长一段时间,国内保险的口碑十分恶劣,人们普遍不信任保险。这其实是由于保险的销售策略导致的:改革开放初期,保险行业野蛮发展,保险公司为了扩大销量,雇佣了大量的低端销售。而他们的销售策略,说白了就是“忽悠”。去银行存个钱,都很容易一不小心被买了保险,而且到头来发现对自己用处不大,理赔难度很高。
这其实就是利用认知差异牟取短期利益的典型表现。从发达国家经验来看,保险销售其实靠的是专业能力:能够准确判断投保人的保障诉求,结合收入水平,推荐相应的保险方案,给他们介绍不同保险的差异,需要额外关注的决策点,等等。这个时候,投保人对保险的ROI有深刻的认知,对保险的信任程度自然也大幅提高。
安全行业大体也经历了这样一段发展历程,从早期靠“忽悠”得到了快速发展,但很快被打脸,然后逐步建立信任,靠着模版化的PPT去推广安全方案已然成为过去式。作为合格的安全工程师,必须要站在业务视角去审视安全风险,设计针对性的安全方案。消除风险不仅仅是只有修复漏洞这一个选项,增加认证、进行网络隔离等,都是可选的路径。优秀的安全工程师,会向业务阐述其中不同方案的利弊,并给出合乎情理的建议,让业务自愿决策和付出安全改造成本。
为了盈利,保险的赔付规则和赔付比例都是经过精心设计和计算的。这会带来两个特征:
1)保险会有精细且明确的保障责任条款,比如重疾险会将37种重大疾病明确定义,每种疾病还会进一步描述免责范围。只有尽可能降低模糊边界,才能准确预判风险发生概率,精准计算赔付比例。
2)保险是以整体方案的形式提供,投保人只能选择不同的套餐,无法自定义设计保险方案。因为计算赔付比例是个复杂的工作,让投保人自定义会使得保险公司没办法保障每一种方案都是保本的。
这种特征使得保险看起来是一种“霸王条款”,你必须接受保险公司的方案,而且你通常没办法吃透方案的所有细节。但为什么大家还是会愿意买保险呢?本质上是一种信任关系:投保人根据对保险政策的研究、和销售的沟通、保险公司的口碑等,选择信任保险公司所设计的方案。
类比一下,安全工程师想要做好自己的工作,在提供服务时也需要符合这两个特征。
1)明确安全的责任边界,不为业务的低端错误背锅。比如业务开放了一个未授权接口吐所有个人信息,主责一定在业务,安全只承担监管不力的责任。但需要注意的是,这种责任边界应该提前定义清楚,并且不能刻意规避责任。
2)安全提供的方案讲究通用性,不会为每一个业务每一个漏洞去定制解决方案。所有公司的安全团队都是人少事多的,不可能保姆式的服务每一个业务。所以当业务尝试去索要一些非常细碎的能力时(比如验证log4j漏洞在业务特定使用场景下的触发方式),安全侧是可以拒绝的。
同样的,虽然安全可以给出这种“霸王条款”式的服务态度,也必须要讲究专业性,做到有理有据,平衡好各方的利益,才能赢得业务信任。
张雪峰老师近期在直播中发表过这么一个观点:文科都是服务业。要我说,不仅文科是服务业,大部分理科干的也是服务业,不过服务的对象是老板们罢了。
对于安全工程师来说,也需要摆正自己的心态,明白安全是业务发展起来之后的一种兜底保障。正如保险一样,既不能看低自身的价值,也不能喧宾夺主阻碍客户的发展。
活的最好的安全工程师,一定是最懂业务的安全工程师。