当企业安全治理到一定程度之后,企业安全负责人开始会面临来自企业管理层的灵魂拷问:安全建设了这么多年,最近好像也没出啥问题,我们是不是已经很安全了?
那么作为企业的安全负责人,应该怎么回答这个问题呢?
实际上你怎么说好像都不对,你说已经很安全了,可能实际是很多安全问题你并没有发现。
如果你说还是不够安全,但是管理者说你现在并没有发现什么新的问题,看起来也没有出什么新的安全问题。如果你硬要说还不够安全,管理者会认为你就是在忽悠他,继续投入更多资源,来搞你自己的技术研究工作,并没有解决企业的实际问题。
这里面还有一个巨大的陷阱是,当你用你自己当下对于安全问题的认知,去建设企业的安全时,你做的再好,其实也只是解决了你认知范围之内的东西,可能很多你(这里更多指的是企业安全建设团队)认知之外的风险,是没有办法去暴露和治理的。
而实际情况就是,所有人的认知都是有局限性的。
所以,这个时候企业开始发现,通过企业蓝军攻防这个角色,来模拟对企业进行“真实”(这里其实大多数时候也只能做到相对真实,因为你没办法真正去搞破坏性的事情)的攻击演练,从而能够充分的暴露问题。
同时通过不同的攻击者视角,来解决自身认知的局限性,以及自己很难评估自己到底做的好或者不好的问题。
进而在这个过程中,充分暴露问题的同时,能够更加高效的指导企业安全下一步的建设方向。
这看起来是一项非常有意义且必要的工作,尤其是在企业把一些显而易见的安全问题解决之后。