事实上并不存在我说的这种分类,即生态级公司和平台级公司之间没有必然需要这么做,必然需要那么做的条条框框,但是两者的安全建设需求之间确实不仅仅是量的差别而是质的差别。
创业型公司一定需要CSO吗?
主要差别表现在是否大量的进入自己发明轮子的时代,即安全建设需要依托于自研,而非采用商业解决方案或依赖于开源工具的实现。上一篇提到金融行业的高成本安全整体方案几乎全都依赖于商业方案,这是跟大型互联网安全建设有很大的区别,假设金融行业的CSO去互联网公司可能会比较吃力,反之在适应金融行业的BCM后则能轻松驾驭,这个观点因为有明显的倾向性,所以肯定是会受到挑战的,不过我写这些的本意也并不是为了讨好所有人,时代的浪潮总归是有所指,不会所有的人都是受益者。
那么平台级公司和生态级公司的区别又在哪里,从表象上看,生态级公司的大型基础架构如果用传统的安全方案几乎都无法满足,所以会大量的进入自研,而平台级公司则会依赖开源工具更多一些,不会全线安全工具进人自研。如果有预算的话也会优先投在“业务安全”侧,比如反欺诈平台等等,而不会自己去搞入侵检测,当然这有可能是个伪命题,有可能当我的企业安全系列全篇写完时,乙方公司也开始提供具有可扩展性,能应对分布式架构的方案,或者当时间尺度拉的长一点,平台级公司每年在自研上投入一点点,多年之后也具备了BAT级别的安全能力也并非完全不可能,不过这些都是理想状况,现实总是受到多方面因素制约的。
现实制约
首先影响的第一因素是技术驱动的层次,在底层还是在应用层驱动业务。
表象上平台级公司和生态级公司都是以pc端web服务为入口的平台应用和以移动端APP入口的移动应用,有的依赖于一些PC客户端或移动端偏底层的APP,但在技术实现方式上,平台级公司更多的直接使用或少量修改开源软件,而生态级公司的IT基础设施则会类似于Google的三篇论文一样,不仅仅停留在使用和少量修改,而是会进入自己造轮子的阶段,其中所造的轮子是否对业界有意义这种问题暂时不去评价,但对应的安全建设则反映出平台级公司的安全主要围绕应用层面,而生态级公司的安全会覆盖基础架构和应用层面两块。直接使用开源工具的部分交给社区去处理,自己跟进打补丁就行了,但如果是自己开发的,那么就需要自己去解决一揽子的安全问题,比如Google造了Android这个轮子,那Android一系列的安全问题Google需要自己解决,比如阿里自己去搞了一个ODPS,那阿里的牛人也需要解决这个,再比如我所在公司在物联网领域造了LiteOS这个轮子,自然也要去处理对应的问题,而这些偏底层的问题显然早已超出应用安全的范畴,也不是一般的甲方安全团队有能力应对的。其实有些平台级公司也是发明了一些轮子的,比如自动化运维工具,比如一些NOSQL,不过IDC规模两者之间仍然差的比较远,上层的业务复杂度也有差距,支持的研发团队的规模也有差距,对安全工具的自动化能力和数据处理规模仍然存在阶梯级的差别,这一点也决定了为什么要自研。安全其实只是IT整体技术建设的一个子集,当整体技术架构和实现方式进入自产自销阶段时,安全建设也必然进入这个范畴。对于很多实际上依靠业务和线下资源驱动而非技术驱动的互联网公司而言,安全建设去做太多高大上的事情显然是没有必要的。
第二因素是钱,钱也分为两个方面(1)成本(2)ROI。
假设安全投入按IT总投入的固定10%算,又假设生态级公司的安全建设成本是平台级公司的5-10倍,这个成本除了带宽、IDC服务器软硬件,还有技术团队,加起来才是总拥有成本TCO。10个人的安全团队和100个人的安全团队能做的事情相差太大,具体可以参考我在知乎上的帖子《为什么从事信息安全行业一定要去大公司?》。还有一方面则类似于“去IOE”,上面提到目前对于大型互联网没有合适的安全解决方案,即使有,这个成本可能也会无法接受,所以假如乙方公司能推出既能支撑业务规模,又具有性价比的方案的话,我认为甲方安全团队真的没有必要再去造轮子了。
第三个因素是人。
安全团队的人员数量也只是一个很表面的数字,安全团队的构成才是真实反映,能囤到大牛的安全团队和由初级工程师组成的安全团队显然是不一样的,一方面前者的成本不是所有的公司都能接受。其次,平台不够大即使大牛来了也未必有用武之地。大多数平台级公司的安全团队其知识和经验集中在web/app,应用层协议,web容器,中间件和数据库,生态级公司则扩展至系统底层,二进制,运行时环境和kernel级别,能力积累也存在差别。这里并无褒贬之意,仅在说明业务对技术的需求不一样。
平台级公司的“花样”
那平台级公司是不是就没有乐趣呢,其实他们也玩一些小花样,比如修改sshd、LVS,加入一些安全特性。可能也会自己定制一个WAF,或者搞搞日志的大数据分析。但比如涉及DPI、全流量入侵检测、SDN、kernel level的安全机制基本上都不会介入。这些对一个规模不是特别大的平台级公司的甲方安全团队而言门槛还是有点高。
自己发明轮子是不是全领域进军呢?也不是,主要还是在入侵检测、WAF、扫描器、anti-DDOS、日志分析等领域。在SDL环节上可能也会自己研发些工具,但未必有直接使用商业工具来的短平快。阿里钱盾、腾讯管家、百度杀毒这些都跟360客户端一样跟生产网络没什么关系,就不去讲了。另外自研有一个原则:都限定在民用领域,不会自己去发明一个RSA算法这样的东西。
国内的平台级公司里也有一个例外–数字公司,因为其主营业务是安全,所以就不会受到安全投资固定占比理论的影响。
*作者:ayaz3ro,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)
该文章由WP-AutoPost插件自动采集发布