业务安全：不只是跑赢最慢的那个人

[1] 引子：后有群狼

有人讲安全是一场残酷的追逐赛 —— 我们只要跑赢最慢的那个人，身后的老虎就不会扑向我们。

殊不知，这个年代的信息安全，追逐我们的并非一只猛虎，而是一队群狼。

在这个年代的信息安全环境中，没有人能够幸存，我们已经不再争议谁还没有被黑，只是在考虑，谁才有被黑的价值。

黑客们所操心的也不再只是黑掉谁，而是如何能从硬盘堆叠的数据里洗出他们想要的目标。

所以，仅仅是跑赢最慢的那个人，我们就能得以幸免么？

[2] 业务安全，性价比为王

在MD5还没有碰撞的年代里，每每提及加密，总是在谈其成本。

一个加密算法强悍到要用当前最先进的计算机跑上一百年，这样的成本是黑客所不能接受的，因此，眼前这种消耗一百年的算法就成为了安全加密的最佳选择。

安全其实就是这样，垒砌砖墙的目的不是在于其设计工艺的高端和完美，只要能够提高黑客的攻击成本，就是成功。

在“银行卡四要素”价格直逼400块的那个时间里，我看到了一款新上线的个人小微贷款平台。四要素一旦验真成功，直接放贷300块 —— 这样的设计，不需要跑赢谁，他们只是跑赢了市场成本。不会有人花近400块的四要素来薅300块的羊毛。如此看似简单粗暴的解决方案，实际上却透露着难得的精致。

其实在信息安全建设过程中无处不透露着这样的性价比计算方式，而业务安全，更为甚之。

毕竟，在这里，每撸一把都是真金白银。黑客眼中的目标也都是以纯粹的性价比来观测，只是跑赢了其他竞品，并不代表跑赢成本，只要有利可图，就会成为目标。

[3] 海恩法则变身海恩陷阱

海恩法则(Heinrich's Law)，是德国飞机涡轮机的发明者德国人帕布斯·海恩提出的一个在航空界关于安全飞行的法则，海恩法则指出： 每一起严重事故的背后，必然有29次轻微事故和300起未遂先兆以及1000起事故隐患。

—— 摘自百度百科

类似的方法论我听过很多。归结其原理，无非就是在一连串的业务动作中追踪每个可疑的动作，当可疑的动作叠加过多时，便可能由可疑变为非法。

可是设计者们是否考虑过，在海恩法则背后，还有幸存者偏差一说。我们在每次数据采集时，如果并不完整或选择性忽略，一点遗漏就可能谬之千里。于是，海恩法则也就变成了海恩陷阱。

幸存者偏差（Survivorship bias），另译为“生存者偏差”或“存活者偏差”，是一种常见的逻辑谬误（“谬误”而不是“偏差”）。指的是只能看到经过某种筛选而产生的结果，而没有意识到筛选的过程，因此忽略了被筛选掉的关键信息。在“沉默的数据”、“死人不会说话”等等日常表达中，涉及幸存者偏差。

—— 摘自百度百科

因此，贯彻海恩法则的前提是：业务逻辑的完整性、业务流程的完整性、原始数据、完整数据、线下能力。

• 业务逻辑的完整性，不只是业务应该如何运转，而是业务实际如何运转。有些事情不能用耳朵听，而是需要用眼睛看。

• 业务流程的完整性，相对业务逻辑来说更强调参与者，有些意想不到的参与者可能就是让海恩变身陷阱的关键。例如，客服。

• 原始数据，对于非原始数据，其加工逻辑一般多是写出来便会常年不变，在岁月的积累和代码的迭代中不断被深藏。当出现问题想要回溯时，这个环节往往就成了被遗忘的角落。所以，规则处理的不应该是已经处理过的数据，而应该是原始数据。

• 完整数据，完整数据并不是强调完整，毕竟一条业务流的数据既要原始又要完整，在实际操作中是不现实的，所以数据的完整性在于对业务逻辑和业务流程的选择性覆盖。

• 线下能力，很多能力并不一定需要在线上完成，而是可以线下完成，减轻线上压力的同时，也能更好的保证几个环节的完整性和原始性。

[4] 长逻辑规则的衰减

海恩法则的应用，多是在业务流动过程中设置多处埋点、等待多个埋点触发异常，进而形成“多个偶然等于一个必然”的效果。

但是，如同信息在传递过程中的衰减一样，这种“长逻辑”的规则，在传递的过程中衰减也是相当严重的。

而且，这种衰减多是隐藏在业务侧和用户侧，再外加一些偶然因素，最终导致难以发现问题根源。

所以，复杂的串行规则必须在每个埋点上精益求精力图每个埋点覆盖所有可预期场景，并且以100%的覆盖与准确性为目标。即便如此，最终获得的结果也必然是一个折扣值。

[5] 让情报团队走出去

业务安全伴随着情报团队的出现，带来了很多更靠前的能力。

然而在实际操作中，却少有业务安全团队利用好情报团队的情况。

我看到更多的情报团队都是在买数据、洗数据、建平台。说起来，这也没毛病 —— 不过这样做的再多都只是锦上添花。

业务安全团队原始积累多在业务侧，情报团队的积累多在攻防。

这是一个看起来就很完美的结合。如果情报团队能够再向外延伸一下，看看外面谁在搞我们、用什么搞、怎么搞、多少钱搞、搞到什么程度、搞了赚多少、搞竞对赚多少 ……

如果说市场研究是从正向去梳理一个行业的框架，进而比对行业内不同企业的生存现状与关系的话。

那么，情报团队完全可以做到，从一个黑暗面去梳理这个行业的框架，用黑色的视角来比对、梳理这个行业内各家企业的现状与关系。

[6] 把战场拉回到眼前

情报团队走出去的目的并不是把战场放到外面。

在业务安全对抗中，战场必须在我们的眼前。因为眼前有我们的主场优势，借此优势才可能更快、更准的发现和响应。

而做法，因人而异。很多人喜欢以进不来为目标。我更喜欢出不去。

这并非来自某种与众不同的批号，而是，对手留下的脚印越多，对我们的定位、追踪和打击才会越精确。

这就好像很多人都一定遇到过的场景 —— 爬虫背后的秒拨IP，量大、有效时间短、缺少黑特征。

所以，在第三方厂商的情报团队视角去看，尝试对全网的IP去识别哪些IP是秒拨，难度极大，而且因为时效性等问题，导致这种高难度的标记工作最终准确性很低。

然而在业务侧，利用业务场景做准实时的识别，就会容易的多，而且也更为有效，轻轻松松做到90%的准确率。

[7] 运营大盘：告警、趋势与分析

运营的观测指标，从分类上来看有三类：

• 告警类：准时的展示、拦截；

• 趋势类：饼图、柱图、折线等等。一般以天或小时级别，观测整体的趋势，不适合细粒度分析但可从宏观侧面观测并找到可疑的方向；

• 观测分析类：也以各种饼图、柱图、折线为主，但会比趋势类的展示在某些维度的粒度更细，例如，5-10分钟级别，甚至按地域和用户细分，等等。一方面，用于在可疑方向上进一步确定问题，给分析人员指向原始数据内的分析方向；另一方面，也可在不那么微观、但也不那么宏观的层面上，通过流动性的走势发现一些在原始数据和宏观数据里都无法发现的问题。

观测分析类的盘面，往往是几分钟甚至一两分钟就刷新一次，因此很热容易审美疲劳，导致其价值容易被忽略。

[8] 标准化才能不折腾

有人觉得安全运营很折腾。

有这种感觉的话可以评估一下，日常标准化（是标准化，不是自动化）工作内容所耗费时长（人*小时）占据整个团队的工作时长（人*小时）。

这个指标并没有什么黄金比例数据可以参考。但在我看起来，标准化工作应该占据到60% 以上，甚至更多。简言之，好的运营应该偶尔有些刺激但多数略显无聊才对。

什么是标准化。

标准化不等于自动化，就好像设备装配流水线一样，每个环节装什么、装到什么程度、如果出现什么意外则应该如何处置，这是标准化。

很多人觉得团队已经做了很多标准化的工作，但实际上，标准化的很多工作会细致到无法想象。

单说一个事件触发后的响应动作中，确认事件是否需要启动响应的一个环节：

• 要查什么；

• 要去哪里查；

• 查询工具是什么；

• 工具的输入是什么；

• 不同情况的输出分别代表什么；

• 每种输出所代表的内容，又对应了什么样的后续动作；

• 结果通过什么形式反馈；

• 结果都需要反馈给谁；

• 事件该如何记录；

• 事件是否需要复盘；

• 是否有可改进的指标；

很多所谓的标准化，大概就是一个动作外加一个“是”或“否”。对于有经验的团队来说，这样两步走的标准化确实足够了。

但如果想组建一个长期保持高效率、高性价比的运营团队的话，就必须采取更详尽的形式了。

至于为什么。

这其中的原因很多，不单只是技术的考量，更多的是从打造团队的更大视角去考虑。

接下来再说60%的问题。 

标准化的制定过程，如果围绕的是非常具体的事件，就会发现，事件的数量是无穷无尽的。

而标准化若是围绕着一个合理的分类去进行的话，那就能够确保有足够好的覆盖度。

所以本质上来说，我觉得运营的根基工作在于识别与分类能力。

运营团队的leader 应该花极大的精力关注在这个问题上。

如果你觉得运营团队在标准化方面不好，或是效率低下，或是每天都在无序的变化。

那么，可以考察一下这个团队leader在归纳总结方面的能力，必有收获。

【9】结尾

反正，就是个结尾。

-[ END ]-