对于大多数人而言,职场的起点都是“迷惑式”开局。很多时候人们不知道自己热爱什么、擅长什么、适合什么,以及不清楚所处行业、岗位所需的能力及发展路径......几乎都是“赶鸭子上架”一般,迷迷糊糊的就成为了社会人。那些能从一开始就明晰自己的优势点和职业规划道路的人寥寥无几。但他,却是其中之一。
“虽然这些年我前前后后辗转了九份工作,但是每一段经历,我都是有所收获的。从最开始的IT Helpdesk到今天成为一名外企DPO,我走的每一步都稳扎稳打。我从来都不怕试错,因为最重要的就是能够在这个过程中学到真本事。”
通过这次和樊正懿对话,我能够从他这些年的经历中感受到他对于成为一名网安人的执着和坚毅。从信息安全专业的大学生,到IT运维管理,再到外企DPO,他的每一步都走的沉稳、走的扎实。
从高中起,樊正懿就关注到了“白帽子”这个圈子,并深深为他们的操作技术所折服。从那时起,他的心里就埋下了一颗名为“网安”的种子。于是大学选专业时,他毅然选择了信息安全专业,经过这几年的学习,他正式成为一名网安“萌新”。但樊正懿认为,在校学习的几年,积累的经验更多仍然偏重理论,毕竟校园内的实战经验实在很有限。
于是,大学毕业后,他并没有像很多同学那样选择进入国企或事业单位,而是选择进入了一家小公司的IT Helpdesk,从最基础的工作做起。他说,要想做好安全,基础技术是必要条件,比如能自主搭建网络、域、邮件系统等等。在做IT运维那几年,他熟练掌握了IT领域的各项技能,这为他日后的职业生涯奠定了坚实的基础。
在IT领域摸爬滚打多年后,樊正懿敏锐地察觉到网络安全的重要性,于是在2019年左右,他毅然决定转型,投身网络安全领域。但要想成为一名信息安全专家,仅靠前期积攒的IT技术仍不足以应对如今复杂多变的网络威胁,了解最新的安全技术和趋势也是必要条件。虽然对樊正懿而言,转型网安又是一次从“0”开始的过程。但和之前一样,他再一次选择重新出发。他开始从信息安全专员做起,一步步掌握网络安全应用安全、系统安全、数据安全等多方面的知识和技术,并通过参与一个个项目积累实践经验,加深对于实际问题的理解和解决能力。
随后的几年时间里,他先后从Helpdesk跳槽去IBM、奥托立夫,巩固了自己的IT技术和网络的基础知识,再跳槽去利欧数字,欧普照明, 以及负责吉利全球设计中心基地IT运营管理。
在这个过程中,他不仅积累了制造业工厂和办公室的双重经验,还锻炼了自己的团队管理和项目管理能力。同时,还为企业度身打造了开源节流的网络安全控制体系。
而今,他进入了一家外企咨询公司担任DPO,主要负责公司安全策略制定与执行、安全事件监控与响应、安全合规性检查、安全培训和宣传、以及客户的信息安全咨询等。
虽然这一路走来并非一帆风顺,中间也曾遇到过比较困难的时刻,但凭借对网安行业的热爱,樊正懿还是一步步达成了自己的心中所想。在我看来,他的职业发展之路更像是一个有计划、有目标的逐步探索过程,能够找到自己热爱并擅长的领域,“十年如一日”地坚定做下去并非易事,但他用这些年的经历证明,他做的还不错。
相比刚入行时做网安“小白”更多将精力专注在日常工作任务和技术提升上,如今的樊正懿作为一名DPO,除了要与时俱进提升自身技术水平外,还需要从人、技术、管理等多个维度去考量,制定一系列管理措施和技术手段以确保企业的网络和信息系统的安全稳定运行。与此同时,还要应对企业内部安全工作推进的阻碍,同时还要兼顾外部可能产生的安全威胁。
聊到这个话题时,他说:“做安全时想推进工作进度却遇到阻碍是太正常不过的事情了,如何找到解决方案十分重要。”比如,在跨部门协同和合作实际操作过程中就时常遇到一些问题,这主要是由于协作部门之间信息交流不畅、权责不清、协同难度大等导致。特别是一旦涉及到“安全”很可能会触及到某些部门的敏感利益点,这也是导致工作进度推进缓慢的关键原因之一。
樊正懿表示,由于企业内外部网络安全建设所涵盖的范围很广大,并非是凭借一己之力就能完成的,大多时候单一部门难以独立解决,所以协同合作已成为有效解决网络安全问题的一种方式,这是身为DPO必须去面对和解决的问题。
比如之前他曾经供职的某公司需要将企业信息安全纳入员工个人绩效考评中,推进此项工作不仅需要HR部门的大力配合,更需要其他各部门员工的配合,毕竟部分人的安全意识本身不是特别强,觉得和自己关系也不大,所以并不想在原本冗杂的工作中再增加一部分这方面的工作,觉得浪费精力。在遇到到这种情况时,他会设身处地站在其他部门和同事的角度去思考,看提供给对方的方案对方是否能接受,后续再通过与各部门负责人不断沟通交流,加强员工的安全意识培训等,重新制定方案,最终顺利完成落地实施。
可见在处理企业内部信息安全相关工作时,提升员工的安全意识仍然是重中之重。他在对话中不止一次提到,“人”是网络安全事件中最关键的一环。当然,不同部门间进行信息共享也很有必要,这能有效提高跨部门工作的协同效率,避免重复劳动。明确任务责任。网络安全事件的响应和处置,也需要各部门间明确任务责任,这能更大程度避免工作交叉和推诿扯皮。
相比这些企业“内忧”,“外患”更加棘手。DDoS攻击,病毒、木马、蠕虫等网络入侵,网络扫描,垃圾邮件,钓鱼邮件,针对Web服务器的攻击等都是目前企业所面临的网络安全威胁来源。
比如,此前疫情期间,樊正懿所在的公司就曾遭遇过一次危急的勒索病毒事件,当时几乎所有的服务器都被黑客加密。由于当时正处于居家远程办公的状态,条件也比较有限,他协同IT团队花了三天三夜的时间才从备份服务器上恢复。虽然及时做了补救措施,但是此次事件仍然导致生产短暂停滞,也给企业造成了一定的经济损失。不过经过此次事件后,他们立即将公司全部设备进行了逐一排查,同时对攻击事件进行了详细复盘。他总结到,员工安全意识薄弱,系统漏洞多未及时修补,应急响应机制不健全等是导致此次事件的主要原因。此次事件对他们而言,是教训也是一次经验。他表示,95%的信息安全事件是由企业内部管理不善等人为原因引起。他始终认为,企业内部信息安全还是要靠人来维护。
他也表示,完善企业相关信息安全制度至关重要。如果安全组织、技术、制度、运行等各项工作没有成体系化,或者安全措施不能有效执行落地,那该企业基本还处于“遇事救急”的防御与处理阶段,任何高深的执行技术也都不过是空谈罢了。
完善企业相关信息安全制度固然重要,但将其转化为实际执行力并维持其有效运行同样不可忽视。有时即便制度完善,缺乏体系化的支撑和切实的执行,企业信息安全仍显脆弱。
近年来,随着市场环境的变化,企业面临更大的经济压力。在安全预算中“平地抠饼”以及“降本增效”成为了企业DPO不得不面对的难题。
樊正懿此前在某制造业分公司任职时,就曾因公司“降本增效”的重大决策,险些遭遇职业生涯“滑铁卢”。
当时是他在该公司任职IT和安全负责人的第三年,集团总部突然宣布了一项降本增效的决策,原本70万的年度信息安全预算突然缩减至30万。超过50%的降幅对樊正懿所在的部门而言无疑是一记重击。这意味着曾经规划好的甚至很多已经在执行的设备更新计划、安全防护软件升级计划等等都面临被搁置甚至被舍弃。在预算大幅锐减的情况下,他和他的团队感受到了前所未有的压力。
但是很快他冷静下来开始思考,必须重新审视此前制定的信息安全策略,确保在有限的资源下,尽可能保障公司的信息安全。
于是,他组织团队对现有的信息安全资源进行了全面的梳理,对预算进行了优先级排序。首先保障基础的安全防护措施,例如杀毒软件的年续费,因为这是最基本的安全防线,绝不能有丝毫松懈。
其次,他们将原本计划更换的防火墙设备预算被暂时搁置。但为了确保网络边界的安全,他带领团队对防火墙进行了深度优化,刷新了固件,并加强了监控,确保能够及时发现并应对潜在的安全威胁。
同时,在面对DLP系统预算削减的情况下,他和团队采取了更为经济实惠的替代方案。他们还加强了公司的文件访问控制,通过技术手段和管理措施,限制了敏感信息的传播,降低了数据泄露的风险。也为企业员工组织了一系列的安全意识培训,提高了员工对信息安全的认识,让他们成为公司信息安全的共同守护者。
这次事件也让他深刻认识到,作为DPO,不仅要具备扎实的技术能力,还要具备应对突发情况的能力。在资源有限的情况下,如何合理分配、优化现有资源,发挥团队的最大潜能是DPO所要面临的重要课题。
的确,在如今降本增效的大环境下,即便DPO有幸获得一定的网络安全预算,也常常面临被收紧或削减的困境,这无疑进一步限制了安全策略的实施,让风险盲点悄然滋生。
在聊到企业该如何打造低成本的安全方案时,樊正懿进一步分享了自己的经验,他提到:在当下降本增效的大环境下,部署硬件防火墙、上网行为管理器、服务器操作系统、杀毒软件等企业常用的必要的安全产品和安全方案的确是一笔不小的资金成本,如果想要有一套既能保证安全,又能控制成本的,可以使用开源解决方案替代。
一般情况下,企业会购置硬件防火墙进行安全防护,价格从两千至两万元不等。樊正懿表示,中小企业可以使用硬件防火墙开源免费解决方案,例如PfSense和IPFire。
PfSense是一个基于类Unix FreeBSD操作系统和pf数据包过滤器的开源防火墙,也是最著名的开源防火墙之一。它可用于各种用途,如防火墙、VPN服务器、路由器、DHCP或DNS服务器、代理服务器等;可以在物理机、嵌入式系统和虚拟机上进行安装。
IPFire是另一个建立在Netfilter之上的最佳开源状态包检测(SPI)防火墙。除了防火墙之外,它还可以用作网络中的路由器,可以使用各种设置来缓解和阻止拒绝服务攻击。 IPFire具有专业的 Web GUI 界面,并提供添加扩展,也可以直接从Web浏览器管理所有功能和配置,无需输入SSH。
对于上网行为管理器,想要“零成本”的企业可以使用软路由管理方案替代,OpenWRT和iKuai都是不错的选择。
OpenWRT支持各种处理器架构,无论是对ARM,X86,PowerPC或者MIPS都有很好的支持。 其多达3000多种软件包,囊括从工具链到内核、软件包再到根文件系统整个体系,用户只需简单的一个make命令即可方便快速地定制一个具有特定功能的嵌入式系统来制作固件。
服务器操作系统的开源替代方案则可以选择AlmaLinux。它是从红帽企业Linux(RHEL)的源码编译而来,完全开放源码的社区驱动项目。AlmaLinux 与RHEL 8完全在二进制上兼容,由 CloudLinux OS的创建者打造。AlmaLinux OS Foundation是一个非营利组织,旨在为 AlmaLinux OS社区的利益而创建。
杀毒软件的开源替代方案,Linux内核的系统可以选择CalmAV;Windows系统可以使用Windows Defender配合CalmWin、Microsoft safey scanner的组合解决方案。IT服务管理平台的开源替代方案则是OTRS社区版,它可以实现工单管理和资产管理。系统漏洞检测的开源方案有OpenVAS和Nikito。代码安全检测开源方案则可以使用SonarQube社区版。
樊正懿表示,大多数安全软件都有开源版本,比如DLP系统的OpenDLP和WAF平台的NAXSI;企业安全人员只需学会举一反三便可手动打造“零成本”的企业安全方案。
无论如何,在当下这个大环境下,对于企业安全人员而言,不管手上安全预算富裕还是有限,节省资金,避免不必要的隐藏成本终究是一个更好的选择。
在采访接近尾声的时候,我们聊到了“试错成本”这个话题。曾经跳槽过九次的樊正懿,看似并不符合职场上对于“稳定”的传统定义。但对此他表示:“试错并不可怕,每一次尝试都是一次学习和成长的机会,即使失败了,也能从中吸取经验教训,为未来的发展积累宝贵的经验。但一定要定期记录和反思尝试的过程和结果,总结经验教训,不断改进和完善自己的职业规划。试错成本这个说法其实只是听起来玄乎,但实际上很简单,就是选择一件正确率高的事情,并且尽可能把它做成功。”
虽然这些年,他辗转了多家公司,但是从始至终他都清晰自己的目标和大方向,跳槽并不意味着脱离主线。
他认为,对于那些处于迷茫期的网安“小白”而言,在换岗位的过程中找到真正适合自己的固然是件好事,但最好不要轻易换行业。大家应以旁观者的姿态综合审视个人当下情况,可以试错但不要盲目试错,要将试错的成本变成你下一份工作的“滤芯”,毕竟究其根本,提升职业竞争力才是网安人的底气所在。