前老板给我上的一课,「坚持正义最困难,但也要坚持到底」:有多少企业安全团队黑过自家员工电脑
2025-1-6 06:24:0 Author: mp.weixin.qq.com(查看原文) 阅读量:1 收藏

在我为数不多的几段工作经历里,我的每一位直接上级,也就是我的老板,都让我印象深刻且充满感恩,因为我个人从他们身上都学习到了很多做人做事的道理,让我受益深远。这也造就了我对团队管理的一条准则,我时常告诫我们公司的各个管理者如果你们的下属成员,不能在你们身上学习到什么,那你们就是极其失败的管理者,我必定在适宜的时机,让你们离开管理岗位

我个人写公众号,都没有事前什么准备,全凭当下个人的感受,作为 2025 年的第一篇内容,今天讲讲我上一任老板对我的启发。为什么想写这个,可能是因为最近重新开始看《毛选》,精神层面变得又红又亮,对于在坚持原则和正义上的感受又得到了强化,有感而发。当然了,为了坚持这个公众号的调性,凡事都和数据安全沾边,因此也就结合自身的过往经验,展开聊聊了。

在上一家企业工作时(了解我的人都知道我上一家企业是谁,这里就不额外提及,避免蹭人家热点的嫌疑),我最后 2 年的老板在公司是一个极具传奇和名声在外的牛人,在公司内部素有“小马云”之称。巧合的是我从上大学到工作,到现在,也时常被人戏称为“小马云”。我只是因为长得像马云(这可真不是什么值得骄傲的事),他更多是因为能力强悍,充满人格魅力,如今他在企业内的级别也早已是高到离谱,当然了实至名归。

今天要讲的就是他给我上的正义的一课!

01

起源:macOS 加强对安全软件的限制

MacOS 操作系统从 10.15 Catalina 版本开始引入了更严格的安全授权机制, 正式版发布时间是在 2019 年 10 月 8 日。具体来说,Apple 引入了 Endpoint Security (ES) 框架,这是一个新的用户空间框架,它允许安全产品订阅和接收来自内核的授权请求。这意味着从 MacOS 10.15 开始,安全软件需要主动请求用户的授权才能执行某些敏感操作。看到下面这样的安全弹窗,相信大家就有直观印象了。
苹果向来以重视用户隐私和安全为标榜,也是实打实的在系统设计层面做了很多工作,从苹果拒绝 FBI 要求解锁用户手机的事件上就能有深切感受了。苹果操作系统的此次更新,意味着任意应用程序想要访问用户设备里的数据,都需要用户主动授权。而这,对于企业安装在员工电脑里的安全软件来讲,无疑是灭顶之灾
安全软件需要相对自由地检查员工电脑里的文件,应用程序,网络,来发现潜在的电脑病毒、钓鱼网站、外部网络攻击等等安全风险。苹果系统的新要求,意味着需要员工配合重新给电脑里安全的安全软件主动授权,且更可怕的是也可以随时主动取消授权(总有心怀不轨的员工)。而且授权的过程还极其繁琐,操作复杂,一般员工还很难找到授权的地方。企业安全团队真的急得团团转,因为新系统一旦升级上去,就意味着过往的安全防线几乎直接就坍塌了。安全何去何从?
02

黑客思维:用魔法打败魔法

黑与白很多时候仅仅隔了一层纱,安全软件和病毒软件只是站位不同,采用的其实几乎都是同样的技术和思路。团队里的一众安全专家第一反应是用魔法打败魔法,在技术面前没有逾越不了的规则,于是不止一个系统提权和安全机制绕过的漏洞被摆到了汇报桌上,演示效果极佳,即使在新的操作系统版本上,也可以悄无声息的自动让安全软件自己给自己授权,终端用户毫无感知,仿佛一切都没有发生过一样。
安全专家们胜券在握,等着领功,谁知等来的是我老板的一口否决。专家们还是不气馁,多番游说后,依然难以改变老板的决定,只允许正向引导员工主动授权的路线,即使有再多阻碍和责骂也无所谓,要公开透明的去做,这样方可长远。
事后来看,随着我自己接触到的各行各业企业越来越多,尤其是那些有条件供养专职安全团队的企业,选择这种魔法手段的企业并不少见,一来能够满足安全人员炫技的目的(总有用不完的系统漏洞),二来可以明面上极大节省安全团队的员工运营工作量,因此这样的方法总是深得喜欢走捷径的人的睐。
03

正义的代价:正确,但,永不被理解

正义的代价要远高于非正义:
1、 运营成本:为了引导员工主动为企业内的安全软件授权,我们专门成立了运营小组,负责制作宣传海报、邮件,内网提前做宣导。当然了还要充当客服的工作,随时指导员工去电脑里操作。
2、研发成本:电脑隐私授权的主动权在员工手里,公司变得被动了,我们需要在终端增加授权检查的能力,随时检测授权是否已经失效,这是额外的终端开发成本。终端授权失效后,还得主动发邮件、IM 通知给员工,提醒重新授权,员工长期不授权继而升级通知到主管协助授权,这又增加了额外的运营系统开发成本。
3、员工的责骂:员工会有很多责骂和投诉,骂安全团队额外增加工作量、骂安全人员是不是在恶意监视自己。安全团队永远不会告诉员工,我们也可以不这么做,也可以让你没有任何感知。
4、安全团队的责骂:极客不光在技术上极客,在性格是也极客。他们容易觉得是老板的决策让安全干了价值低,又受气的工作,明明有更好的手段而不用。因此背地里也吐槽老板“迂腐”。
这就是正义的代价,老板面对的是内外不讨喜局面,但他依然不为所动,同样的策略一直坚持到现在不曾动摇,这于我是一大震撼和深刻的一课。有了这样的正义支撑,我也才有勇气不停地拒绝其他团队要做员工上网行为分析和工作效率感知的诉求。
04

我还在坚持:不侵犯员工个人隐私的数据安全之路

坚持正义难吗,真的很难,因为非正义的诱惑实在太大了。尤其是网络安全的创业,多少“客户”愿意花大钱请你去爬数据、请你去“查人”、请你去破除软件 License。这些立即就能收到钱的业务,对于一个创业团队来说不可不畏诱惑极大,尤其是现在创业企业普遍发育不良环境下。所幸我和前任老板有一样的坚持:唯有正义,方可长远!非常感恩的是,越来越多的客户认可了我们的价值观。

文章来源: https://mp.weixin.qq.com/s?__biz=Mzg2MTk4MDM1Mg==&mid=2247484925&idx=1&sn=cc0935eadd7d1bda79a99382c8aa2757&chksm=ce0f9652f9781f44f76c9ffb002e93ef099d632b4ddfeaa0a36e833567bef12f14487c2e9dd0&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh