张嵩：东西方安全理念“左右互搏”｜人物

和张嵩并没有“前缘”，只有过一面之交，但在微信里有过互动。不多的交流里，感觉到一种不同而又亲切的意思，所谓不同，是和安全圈其他“老江湖”相比，少了乙方技术产品从业的“江湖气”和“苦逼相”，而所谓亲切，概因为都有咨询从业背景，对事物看法，思维方式，点滴见真章，于我，每每感同身受。谈到为什么是“左右互搏”，张嵩解释说，最初是左手打右手，是冲突；到后来，是左右手同时出招，也就是东西方安全理念的协同应用。

惠普，BMO金融集团，摩根士丹利，再到国内金融企业，张嵩走了一条“洋为中用”之路。

一、咨询方和企业方更好地协作才能提升“咨询收益转化率”?

张耀疆：能否介绍下你的工作经历？

张嵩：我的户口在深圳，人在南京，父母在大连，小时候在辽宁长大，属于High Mover。在澳洲读硕士毕业后，在HP做IT咨询，然后去了加拿大的BMO金融集团做亚洲的安全与科技风险管理，接着去了美国公司摩根士丹利做治理、风险与合规(GRC)工作。2015年9月来到一家本土金融公司做CISO的角色。

张耀疆：不同的公司都给你带来怎样的收获？

张嵩：在HP，Business Development的性质可以有很多有趣的玩法，在一个区域内没有太多的限制，但几乎要同时做产品销售、售前、项目经理、实施、渠道和生态管理等截然不同的工作。这段奇特的经历对人的历练是独特的，但几年中，也见证了本土咨询行当的快速兴起，和快速冷却。

张耀疆：说到咨询，我曾经也做咨询，那你能不能重点说说对国内咨询行当的观察？

张嵩：我觉得，安全咨询行业过去没有大规模发展大概有两方面原因，咨询从业者素质和甲方的组织准备度都不成熟。

一、根上的原因是咨询者的内因。国内传统安全咨询的定位在管理咨询，但是当时的安全咨询从业人员往往对甲方组织是没有太多的感知的，很多咨询人员不知道甲方、更不要说国际先进企业是怎么管理和运营的，所以只能按照标准解读，生硬地符合标准条款，理论地说教“应该这样、那样”，但这种套路的硬伤在于落不了地，转不起来，套路有余但实操不足，无法帮客户真正提升。

可以说，那代从业者干了些苦活，给了些文档的鱼，但距离传授适合的“渔”的差距很大。

从方法论上讲，“宏观”的方面，国外的同行更善于总结和灵活运用方法论，安全治理框架，不会单纯依赖某个标准，咨询交付的框架可以是映射多个安全标准、同时兼容多个国家的监管要求，也就是说，外部的监管要求、建议性标准、实践等是起到充分为自身的安全建设服务的目的。

企业自身的聚焦点是管理这套框架的同时，解决监管合规和自身需求，并推动持续的改进。反观国内安全管理咨询的业态，大多做27000标准实施，但27000标准实施并不等于企业有个合理的、可扩展的安全治理和管理框架。

“微观”方面，国内的安全咨询又往往不会细化到可落地运营流程，出于成本和交付难易度的角度，更多的输出一些制度，也就是“控制要求”，少有形成某个细分领域细致的控制措施的。安全管理咨询方面，宏观和微观两不靠，必然处在一个比较尴尬的境地。

老外的安全咨询服务中，不仅包括管理咨询，而且包括技术咨询，细分领域的可落地技术咨询偏多，建立体系的很少。本土安全管理咨询行当对定位、交付结果、价值呈现考虑的不够完善，观察下来短期内难有实质的改变；避开传统安全管理咨询落地的老大难问题，我觉得技术咨询在国内有着不错的市场--面对持续变化的外部威胁环境，甲方需要在如何做安全运营上，快速提升、积累内功；面对自主开发的不断增多，结合产品的安全“内嵌”开发的需求就越来越多，DevSecOps也是大的趋势。

我现在尝试引导技术合作伙伴以技术咨询的形式交付传统的“安服”。挑战也是不少的，比如，目前国内的安全服务人员内向、技术导向、不善言语和沟通，具备指导、教练和影响技能的人员就更少，更不要说有实际上手经验、能把本来就欠缺技术技能的甲方教明白的好教练。相反，传统做27000体系的安全咨询人员又大多不具备技术能力和安全运营实际经验。

二、甲方组织成熟度的因素也妨碍着企业快速转化咨询的高价值部分。在客户侧，往往客户的组织的准备度不到，客户立项安全管理咨询的初衷好多是安全人员希望借助咨询的结果改变人员在组织中的地位和影响力；或者更急功近利地通过一个标准，拿到些可以说事儿的“成果”，企业的IT和安全管理人员对组织当下真正需要什么、如何演进，没想清楚。更没想清楚的是，要想体现咨询交付物中高价值的部分，起到实效，80%要靠企业管理人员自身充分想明白的，也承诺(commit)重点推、而且推得动的。否则，即使咨询方提供企业再多的内容，企业也难转化为对自己有收益的结果，更不要说价值。这里，可以提出个“咨询收益转化率”的概念，是需要双方合作一起努力的，Responsibility在咨询方，Accountability在企业方。

张耀疆：那么，一个大问题是国内的咨询服务行当可以做些什么以更好地适应市场呢？谈谈你的观点。

张嵩：放下“大”体系，专注“小”实践。比如，我在合作伙伴交付服务的过程中，有意引导合作伙伴，做好技术服务的同时，以技术咨询的方式提供方法，“教”企业的安全运营人员如何更好运营，提升自身能力和内功。一个例子就是我发明并称之为“红蓝军对抗演习”的技术咨询服务交付模式。

二、架构师是咨询顾问新的表象？

张耀疆：从安言到现在也才10年左右，有积淀的咨询公司成长至少需要二三十年

张嵩：是的，比如专注于软件安全Cigital公司，从创立到现在也有25年了，更不要说其它的综合的咨询公司。国内的IT、安全咨询公司往往做的大而全方案，交付质量可想而知。

张耀疆：其实各家也差不多，行业的问题都很类似。

张嵩：行业没有解决当年安言遇到的问题，所以沿着安言以前的路径在前进。

张耀疆：从这点看，你对咨询是悲观的。除了公司积累的问题，还有人员经历的问题。我们以前只有单纯某个点的积累，缺少拓展，也没有在甲方多年的积累，做不到这个程度。

张嵩：咨询人员需要知道先进的企业方组织如何Day-to-day运转。老外的高端管理咨询交付就是一组PPT，关键是他们能将思维方式和理念讲明白；涉及到技术的咨询往往可以基于咨询方的理解，给出切合实际的成熟度和项目、任务演进路径。输出一堆的制度、规范文档和表单，对企业应用没有什么实质的帮助，因为双方都不知道如何做好的应用。

张耀疆：所以在国内做咨询最需要的是像你这样的人，在甲方工作多年且愿意分享。

张嵩：我不认为中国咨询业态会有实质性改观，人员的甲乙方流动往往是单向的。

张耀疆：那么咨询业态如何发展呢?

张嵩：知识转移是必要的，但是未必是以咨询的形式去交付。比如，最领先的云服务提供商AWS是销售和解决方案架构师(SA)搭配，SA负责告诉企业在公有云上搭建数据中心应该如何做，帮助企业一起设计最好的迁移路径。实际上，SA就在提供咨询服务，同时又精通技术和解决方案。

张耀疆：传统管理咨询有不落地的短板，但是有逻辑梳理、问题分析的能力。技术公司还是卖产品导向的，他们能否建立起来咨询能力，我还是打问号的。

张嵩：企业真正需要的是建立能力(capability)，运营好能力，而技术产品只是能力的一个纬度，能力还包括人、流程、实践等。技术公司不是要提供传统咨询服务，而是要使用咨询的技能，帮助企业想明白总体上目标架构，更有效、高效的建立能力，借助技术公司自身和行业已有的产品和服务。就像AWS的解决方案架构师模式，虽然常被当作售前，但是我认为他们的价值是远高于传统产品售前的。这也对传统安全公司的售前能力提出来更高的期望和要求，或许售前团队中可以产生一支精干的架构师小队。

张耀疆：技术公司有大量的售前人员，转型为架构师，挑战还是很大的。

张嵩：这种方法不适用于所有行业，重点行业或者对安全需求比较高的行业，比如金融可能这么做，但是政府、公安就没必要这么做。传统安全公司进金融都是很困难，尤其是更多的产品线，因为金融是真正在用产品。

张耀疆：是的，我们也带一些传统安全公司进金融机构，但是要获得好评还是不容易的。

张嵩：传统公司产品经理、售前或许对某个产品很熟悉，但是他们往往不具备讲明白企业安全如何做，自己的产品在企业整体安全架构中的位置，如何解决具体问题的同时有机地融入整体。企业方希望看到更多的架构师。

张耀疆：传统咨询的价值很难计量，体量相对又很小，往往到后来就变成情怀了。

张嵩：我觉得，国内传统咨询行当的合理模式，就是固定几个客户，关系认可、深度定制合作，很难形成广泛的市场效应。考虑到上面我们说的积累和资源因素限制，就算客户多了，做不精致也落不了地，反而市场反馈更不好。让大多数传统咨询人员掌握企业级安全架构，具体解决方案如何良性嵌入，如何运营，挑战更大。张耀疆：国内乙方很少有架构师角色，这是通病。我们也会看到乙方有很多模型和框架，但是这些未必像你一样系统全面、有针对性，他们更多是想体现产品，而不是体现问题的解决思路。

张嵩：这是个立场问题，能理解，但不认同。乙方更多是考虑如何增大销售数字，真正在乎的基本都是“签单”，尤其是签大而全的单，而不是企业如何搭配最好。

三、中国会产生世界级的安全产品吗？

张耀疆：安全行业的一个现象，常年来习惯大而全而不是专注。

张嵩：这已经不是安全圈的问题，根本上还是民族的文化属性问题。中国市面上小而美做的专注的公司并不多，大而全而每个产品都不精的厂商充斥着市场，很多创业公司也往往走的是凭借一款勉强的产品，靠资源和关系驱动市场，这个西方创业公司业态很不同。国内创业公司的套路往往是搞出一个东西，利用原来攒资源的方式做大，再将公司资本层面做大，然后就是资本退出的问题，而不是真正专注一件事儿。

张耀疆：有些创业企业切入的点还是不错的，但是产品模式还是要调整，如果等不到打磨到理想状态，要么就是完蛋，要么就是调整。

张嵩：很多体量大些的公司，都在为转型而挣扎。中国安全市场并不大，然后那么多公司分，每家还能分多少？安全对于资本没什么大的想象空间，既不可能将东西买到国外，也不可能被国外公司收购，囚徒困境。

张耀疆：我们这两年观察，一开始看到希望，后来也越来越失望。

张嵩：作为生意还是有的做的，但是产业的良性发展确实有难度。一次，投资人跟我了解某个创业公司的情况，我发现投资人对产品、细分产业的了解非常少，更多的是看现金流和生意模式和规模。生意模式一旦起来了，无非就是以什么样的名目，什么样的说法，把某个产品，在原来的渠道刷一遍。

张耀疆：不光网络安全，很多行业也是如此，万达还说自己就是地产公司，关键是生意做到哪去。

张嵩：同质化产品、资源驱动的销售，中国的生意模式，想产生国际级的安全产品和解决方案，对厂商的要求是很高的。

四、中国企业的局部高效和整体低效

张耀疆：你在两家外资银行又什么收获？

张嵩：学习成熟企业的IT和安全运营模式，感受和理解在大“组织”里如何去完成一件事，完成一件件事儿的过程，也是个人能力立体积累的过程。在外资行，一大收获是自己证实了曾经作为咨询顾问交付的东西，在西方的顶级金融机构里，根本就是不同的玩法。外资金融机构的经历让自己参与“实战”，咨询顾问的经历，现在看起来更多是“沙盘演练”。

张耀疆：你提到了“组织”，那你又是如何理解组织，组织又是如何改变你的呢？

张嵩：一次，摩根亚洲的CIO亲口跟我说，组织是个非常强大的机器。不同地区的“组织”，也就是企业，有其很特色的行为学和运营规律。理论上如何做一件事，跟在一个具体的组织里做一件事，是截然不同，而且需要相当的“组织感”和政治智慧的。安全，又是一个在治理、管理、运营和技术层面都需要发力的职业，需要考察N多公司内外、大小部门、不同级别干系人的立场，引导一致的目标，自然对人的技能集要求又有新的高度。

张耀疆：那你感觉外企和国内企业有啥不同？

张嵩：国内企业工作局部效率高，而且高好很多。北美企业是虽然做一件事局部效率低，但从时间轴上来看，整体效率是高的。中国企业的局部效率尽管高，但方向未必对。老外可以对一件小事反复论证是否合理，比如给监管回复的一件事，哪怕是只有几行字，也会层层去审核，所有条线必须要签字，这个流程显然是不快的。但是企业在监管合规层面是稳步前进的，不存在什么实质性风险。而国内企业，往一件重要的事可能某一个人就说了算，评审、回顾等职能机制少，责任制不显性。从局部看这是高效的，但是有时候一个人代替一个组织做了一个决定，可能会带来很严重的后果。

张耀疆：在那么现在在新公司感觉有什么不一样？有什么变化？

张嵩：外资银行的体制决定你只需要专注做执行，在组织的规则下交付结果。往往总部负责顶层设计，然后全球一致化执行；总部在设计时，必然优先考虑总部所在区域的情况，在亚洲区域就会产生诸多的执行和沟通的开销。角色转变后，我需要从曾经的安全官（Information Security Officer）的视角向首席安全官(CISO)转变。在工作的理念上，我需要充分考虑北美企业和中国企业模式，在“道”和“术”的层面各自优势的部分，搭配发力，就像武侠小说中的“左右手互博”。

张耀疆：所以体制差别不明显，不会水服不服？

张嵩：都是金融服务企业，在终极目标上是一致的，为了达到经营目标，在国际化的大环境下，管理理念都会不断的演进。而且很多“道”的层面的要素，是通的，比如向高级管理层沟通安全价值，如何高效地管理项目群(program)都是西方企业的经验丰富且国内企业需要的。不同的，往往是“术”层面的执行方法，这个层面的事情，西方的每个组织也大多会不同，中西方也没有什么本质区别。

五、等保是机遇还是合规负担？

张耀疆：你如何看待等级保护？ISO27000的意义又怎么看？

张嵩：新版的等级保护在理念、思维和方法层面已经和国际做法更贴近。本质上，等级保护中的“要求”就是一套“控制要求”框架，与ISO27001一样，只解决“要求”层面的问题，“控制措施”依旧需要企业自身定义和实施，无非ISO27002、其他的标准或者实践，贡献了一些具体的考量点，但仍没有到具体“控制措施”和具备可实施性的良好实践层面。

考虑到新等保在法律层面的强制性保证，框架层面完整，专门通过ISO27001认证，并按照认证要求维系体系的现实意义就不大了，当然，作为乙方企业展示自身保障能力的意义另说。新等保在集中监控、威胁防御、漏洞管理等方面的加强，也体现了国家级制度充分考虑了实际威胁的发展。

从落地上，一个务实的做法是以等级保护制度为企业安全治理框架的重要设计依据，并适度扩展，然后将等保中的“控制要求”转化为企业自身的制度，如政策、管理办法，之后借鉴其他安全最佳实践、行业标准将企业的制度细化为适合企业自身需求的一系列控制措施规程(procedure)、企业安全标准(standard)、流程(process)和最佳操作实践文档(best practice)，并相应地运营起来。持续地安全运营非常关键。这样，新等保变成了安全驱动力和抓手，而不是合规负担。

六、以务实的方式建立影响力

张耀疆：作为金融机构的安全主管，你是怎么将安全落地的呢？

张嵩：国内企业传统安全实践往往是，重设备运维，制度的形式意义大于使用意义，轻安全技术架构的顶层设计和持续演进，欠缺持续地安全运营。我的思路是反其道行之：新增投入前充分对安全技术架构顶层设计，最聚焦的是安全要素嵌入开发和建设，和持续的安全运营，这几方面也是北美的企业做的非常精致的。

张耀疆：那么制度和维护管理体系不重要吗？

张嵩：不是不重要，而是开销太大，当资源有限时，首先关注的是直接的安全价值，比如应对外部威胁，这些都不是写制度可以直接解决的。安全架构、安全嵌入和运营持续开展时，“控制要求”已经通过在实践中有机地运转了，这时，制度的现实意义并不大。

张耀疆：传统的做法是先建立制度，安全人员借助制度行使“管理”职能，你不需要制度赋予安全人员的“管理权威”吗?

张嵩：我更看重的是安全人员的影响力，而不是制度赋予要求别人的“权力”的表象，要让企业的领导、员工认为安全人员说的是对的，愿意按照去做，比制度里如何写更重要。现实中，制度很容易写，但是，国内的企业往往欠缺保障制度执行的治理机制，这不是安全的问题，而是公司治理层面的问题，涉及各个领域的各种制度。民族的文化属性决定了国人不喜欢by rules。

张耀疆：那么，安全落地的标志拿什么来衡量？

张嵩：我关注的是持续地、一致地运营的实践（在资源受限的条件下，未必要建立严谨制度流程那么教条），实践持续改变人员的积极安全行为，安全实践的改善可以以成熟度、量化风险的方式展现。

张耀疆：按照你说的，岂不是传统咨询倡导的管理体系不适用？

张嵩：更恰当地说，是组织的准备度（readiness）不足。当你开始做一件事，需要组织以及组织内部人员、资源能够准备好，率先解决各种前提，然后一套东西才可以更好的推行。北美的金融机构会在甚至一个项目立项阶段进行组织的准备度评估。对于国内的企业而言，安全的整体资源投入有限，IT的成熟度低于北美同行，组织的准备自然不足，在这样的条件下，推行所谓的信息安全管理体系可想而知。

张耀疆：管理体系中有哪些可取之处？

张嵩：管理体系中的PDCA经典理念是好的，但需要适宜。PDCA不应该只是管理体系里建立的刻板的定期、例行机制，比如按照27001体系规定，每年做一次内审管理评审，这种仪式感大于实效。真正的PDCA，应该融入到日常事务，小到一项任务，大到一个项目群，都是要PDCA的，要根据组织自身的特点，建立PDCA机制和周期，表象和形式上差异可以很大。传统的体系，P的周期很长，可能一年为一个周期。在当前的安全威胁快速演进的形势下，这个周期实在太长了，P要快速适应威胁发展。

张耀疆：既然推行安全体系的组织准备度不足，那在金融机构里，你的安全管理理念是什么？

张嵩：心中有框架的概念，不纠结于制度大而全；集中优势资源，基于风险的方法，针对性地建立安全技术架构；根据威胁的态势，调整架构实施的优先级；安全技术架构的指导下，持续安全运营驱动人员行为变化是核心。这种理念对CISO的视野和学习能力要求非常高，能够快速适应威胁变化，同时影响组织的改变。

七、架构引领、威胁聚焦、情报驱动

张耀疆：你反复提到安全架构，你推崇和使用的安全架构是什么？

张嵩：从完整的安全架构蓝图上，我借鉴北美企业的实践建立了十个架构领域的架构蓝图。那个架构蓝图虽然完整，但对于当下，显得太大，重点不突出。为应对当前主要的网络安全威胁，我们采用的是Gartner的适用性安全架构(ASA)在总体蓝图十分之一的安全基础设施架构领域进行落地。Gartner ASA关注预测、防护、检测、响应和持续监控与分析，我们安全投入的重点也是这个架构领域。

张耀疆：你怎么看威胁情报？

张嵩：威胁情报的已经不是新概念，RSA2017也不再把TI作为关键字式宣传，从实践效果看，TI的收益是明显的，但貌似国内的行业还在纠结TI如何落地，或者TI要不要上。

张耀疆：那你认为金融企业如何落地威胁情报？

张嵩：我们建立了安全情报中心，不同于传统SOC的是，我们时刻聚焦的是威胁。我将该中心的定位是为安全人员提供高效率发现和应对威胁的情报，而不是大而全的收集数据的平台和在上面进行运营操作，如工单，的平台。安全情报中心，我们已经迭代到了5.0的版本。从威胁情报的应用上，可以优先使用出站的IOC情报，及时检测网络中的被攻陷主机，效果明显，应用便利。

张耀疆：那你的情报中心是如何演进的？

张嵩：1.0首先关注的是资产情报AI和漏洞情报VI，持续运营，资产可视化；2.0引入以威胁为中心的漏洞运营，提高漏洞修复效率；3.0集成了网络IOC出站威胁情报、Webshell网络连接情报、高危Web攻击等，用于攻陷检测和高危的Web攻击；4.0集成了基于yara rule的主机层面的Webshell检测；5.0 应用了入站的威胁情报，进行远控协议攻击检测、撞库检测等。

张耀疆：态势感知概念很火，你又是如何建设态势感知的呢？

张嵩：这个概念源于美国，但美国已经不怎么提了。我的理念，态势感知不应是项目建设目标，也不应是一个特定的结果，而是一种随着基础安全工作的不断成熟、扎实，对安全态势的感知程度也不断提升。感知的对象包括资产、漏洞和威胁等几个纬度。在我们的实践中，随着情报中心的迭代和演进，感知的态势也就更广、更细。态势感知是个动态的过程，千万不要认为做了某个项目、买了某个产品，就完成了态势感知。

八、红蓝对抗提升威胁应对能力

张耀疆：为什么要做这个？

张嵩：我们很可能是金融行业第一家借助外部攻击源做红蓝军演习的企业。根本的原因是监管层要求应急演练计划中纳入黑客攻击的场景，企业管理层进一步有“黑箱演练”的预期。

张耀疆：我了解到有的企业内部也会做，你的模式有什么不同？

张嵩：企业内部自己组织需要企业大量的优质资源投入才会达到好的效果，这不是一般的机构可以奢望的，比如，微软很早就有自己的内部红蓝军，国内阿里也有。这个模式的核心在于，在资源受限的情况下，尽可能平衡测试的有效性、攻击流量多用途、优化成本、贴近真实等要素。同时，合作伙伴也充分认可这种模式，可以在演习的过程中，交付技术咨询服务，教企业更有效地检测和应对外部威胁。

张耀疆：演习有什么收益或结论？

张嵩：首先，验证了我们“假设攻陷”的安全理念转变，演习证实了最先进的网络安全设备是可以被打穿的，我们笑称之为是“没有不透风的墙”；其次，演习是可以不断验证企业安全技术架构的完备性和有效性的，调整建设的优先级；之后，演习可以不断指导运营人员调优安全设备的策略，调整运营重点；我们把演习中发现的漏洞和问题，脱密后编纂成手册，在更广泛的IT群体中进行事件驱动式教育和宣传，效果更直接。

张耀疆：你的玩法创造了一个新的商业模式啊。

张嵩：在国内，是的。在国外，RSA2017大会上，我看到国外的企业已经在提供红蓝军、Threat Hunting，事件响应等技术咨询服务了，国内的安全公司需要快速跟上。

张耀疆：下一步你打算怎么做？

张嵩：提高演习的频率，灵活调整演习的规模。既可以定期组织大规模演习，也可以利用新系统上线测试的机会进行演习。演习也要逐步从互联侧发展到公司网络内部。