摘要：尋找當(dāng)前頭部問題招聘業(yè)務(wù)安全負(fù)責(zé)任的契機(jī)，一般都是由于當(dāng)前業(yè)務(wù)中出現(xiàn)了某些風(fēng)險(xiǎn)問題，急需專人來解決。鑒于業(yè)務(wù)安全的特殊性，必須補(bǔ)齊短板，否則主力業(yè)務(wù)就要遭殃。業(yè)務(wù)安全攻守不平衡的主要原因在于防守必須全面無死角，攻擊方找到一個(gè)點(diǎn)就行了。

人才市場(chǎng)每年的三月四月份被稱為金三銀四，為傳統(tǒng)意義上的人才招聘高峰期。對(duì)于企業(yè)安全市場(chǎng)來說，人才稀缺，每年基本也就是圈子里那么幾個(gè)人跳來跳去，對(duì)業(yè)務(wù)安全的中層管理來講，人才更少，同時(shí)被幾十個(gè)獵頭盯著隨時(shí)手上都有 offer 的情況也是非常常見的。那么對(duì)于業(yè)務(wù)安全人員，在正式進(jìn)入一家新公司前，不太可能了解到真實(shí)的坑有多大，大部分工作都是在正式入職以后才開展的.

跳到一家新公司，初來乍到，到底該如何摸清底細(xì)，燒好上任三把火呢？筆者總結(jié)自身經(jīng)驗(yàn)，提供以下幾個(gè)措施供參考。

招聘業(yè)務(wù)安全負(fù)責(zé)任的契機(jī)，一般都是由于當(dāng)前業(yè)務(wù)中出現(xiàn)了某些風(fēng)險(xiǎn)問題，急需專人來解決。往往有些負(fù)責(zé)人進(jìn)到一家新公司拜完碼頭后就急于構(gòu)建業(yè)務(wù)風(fēng)控架構(gòu)，然后借此擴(kuò)大團(tuán)隊(duì)穩(wěn)住腳跟，這個(gè)方式不是不好，但不熟悉內(nèi)部情況下急于動(dòng)手很容易導(dǎo)致方案飄在空中難以落地。

根據(jù)筆者經(jīng)驗(yàn)，首先第一件事應(yīng)當(dāng)是尋找頭部問題。企業(yè)業(yè)務(wù)頭部問題往往和其核心資產(chǎn)息息相關(guān)，比如電商型企業(yè)的物流被濫用和賬戶資金安全、航旅行業(yè)的資源占用和爬蟲問題、互聯(lián)網(wǎng)金融企業(yè)的貸款風(fēng)控等，根據(jù)自家企業(yè)的業(yè)務(wù)形態(tài)，長(zhǎng)期關(guān)注的核心安全問題可能略有不同。

另外可以通過私下溝通方式確認(rèn)當(dāng)前正在嚴(yán)重困擾當(dāng)前企業(yè)的問題。建議可以尋求一線處理投訴的客服部門，或者運(yùn)維同事去了解下當(dāng)前正在嚴(yán)重影響他們工作的業(yè)務(wù)安全問題主要在哪些方面，往往大部分的資金帳戶安全問題都會(huì)體現(xiàn)在客服投訴部門里，而導(dǎo)致服務(wù)不穩(wěn)定的爬蟲攻擊等問題都會(huì)體現(xiàn)在運(yùn)維或類似的技術(shù)運(yùn)營部門工作中。

因?yàn)橐欢ǔ潭鹊挠绊懥怂麄兊墓ぷ?，所以在初期推行業(yè)務(wù)安全治理的時(shí)候由具體問題以“幫忙”的角色切入，很容易得到他們的支持，避免出現(xiàn)業(yè)務(wù)安全得不到執(zhí)行層面支持的尷尬情況出現(xiàn)。

確認(rèn)好頭部問題后，就具體問題來梳理業(yè)務(wù)安全體系，為了解決頭部問題，要拿什么數(shù)據(jù)？用什么方式來存儲(chǔ)和分析？如何阻斷？怎么反饋優(yōu)化？（具體請(qǐng)參考“一個(gè)CPO的心得分享系列”）.如果已有風(fēng)控系統(tǒng)的話，現(xiàn)有的風(fēng)控體系如何改造？這里可以借助自身的經(jīng)驗(yàn)來開始設(shè)計(jì)架構(gòu)、招人、明確項(xiàng)目收益了。

由于風(fēng)控系統(tǒng)無論大小，其都存在一定的研發(fā)周期，還要考慮新團(tuán)隊(duì)磨合的成本，這中間一段時(shí)間幾乎都是零產(chǎn)出的，那么我們還可以做什么？

由于頭部問題的梳理后，應(yīng)當(dāng)已經(jīng)體現(xiàn)出區(qū)別于業(yè)務(wù)方對(duì)于業(yè)務(wù)安全知識(shí)的專業(yè)差距了，至少業(yè)務(wù)部門應(yīng)該知道你能發(fā)現(xiàn)他們無法發(fā)現(xiàn)的安全問題，那么在需求評(píng)審中加入一個(gè)安全評(píng)審的過程就比較順理成章，旨在業(yè)務(wù)流程設(shè)計(jì)、活動(dòng)上線前就能發(fā)現(xiàn)業(yè)務(wù)邏輯漏洞，避免在風(fēng)控服務(wù)未成形前出現(xiàn)過多的新業(yè)務(wù)風(fēng)險(xiǎn)點(diǎn)。

借助以往經(jīng)驗(yàn)，結(jié)合當(dāng)下企業(yè)業(yè)務(wù)場(chǎng)景，做面向產(chǎn)品、運(yùn)營、運(yùn)維的業(yè)務(wù)安全案例培訓(xùn)，幫助他們了解你是做什么的，另外也是屬于提前打好預(yù)防針，告訴他們?nèi)绻蛔⒁饪赡馨l(fā)生的惡劣后果，以及你正在做的解決方案，爭(zhēng)取更多的支持。

不論所在企業(yè)大小，業(yè)務(wù)永遠(yuǎn)是動(dòng)態(tài)的，人也是流動(dòng)的，這種情況下就會(huì)產(chǎn)生很多沒人理的清管的了的歷史問題。

很多人認(rèn)為業(yè)務(wù)安全也應(yīng)該往企業(yè)主力業(yè)務(wù)上貼，因?yàn)楦菀壮龀煽?jī)，但實(shí)際這個(gè)想法不完全正確。鑒于業(yè)務(wù)安全的特殊性，必須補(bǔ)齊短板，否則主力業(yè)務(wù)就要遭殃。舉個(gè)實(shí)際例子：

某網(wǎng)站，主站業(yè)務(wù)帳號(hào)安全梳理的比較清晰，雖然短期存在大量的帳號(hào)撞庫問題，但帳號(hào)內(nèi)沒有資金，唯一的身份證信息也加密脫敏了，以為暫時(shí)不重要。但通過客服反饋，一直有用戶反映被撞庫后竊取身份證信息的問題：詐騙電話說得出準(zhǔn)確的身份證號(hào)碼。最后發(fā)現(xiàn)其英文版本的網(wǎng)站沒有做身份證脫敏。

業(yè)務(wù)安全攻守不平衡的主要原因在于：防守必須全面無死角，攻擊方找到一個(gè)點(diǎn)就行了。所以雖然目前移動(dòng)互聯(lián)網(wǎng)趨勢(shì)嚴(yán)重，筆者認(rèn)為傳統(tǒng)PC WEB端的問題也不能丟，攻擊者不管流量有多小，有缺陷就行。這就像一個(gè)網(wǎng)站你人臉識(shí)別、動(dòng)態(tài)口令上的再全，只要不敢把密碼登錄干掉，你就永遠(yuǎn)要考慮密碼暴力猜測(cè)問題，和使用比例沒有關(guān)系。

業(yè)務(wù)安全負(fù)責(zé)人越來越多的成為互聯(lián)網(wǎng)企業(yè)的標(biāo)配，主要在于其職能所解決的與傳統(tǒng)安全問題有根本的不同，面向帳號(hào)安全、反欺詐、反爬蟲等類型的業(yè)務(wù)邏輯缺陷。并且，由于這些問題貼近業(yè)務(wù)本身，也能夠量化出非常直觀的收益。

但由于業(yè)務(wù)安全所需的人才需要了解的知識(shí)面非常廣泛且難以通過常規(guī)方式獲取，導(dǎo)致人才非常稀缺，也是該領(lǐng)域失業(yè)率為負(fù)的一大原因，所以如果發(fā)現(xiàn)個(gè)好苗子，請(qǐng)各位HR一定抱住不要松手，比心。

marvin   豈安科技聯(lián)合創(chuàng)始人，首席產(chǎn)品技術(shù)官 超過6年風(fēng)控和產(chǎn)品相關(guān)經(jīng)驗(yàn)，曾就職網(wǎng)易，負(fù)責(zé)《魔獸世界》中國區(qū)賬戶體系安全?，F(xiàn)帶領(lǐng)豈安互聯(lián)網(wǎng)業(yè)務(wù)風(fēng)控團(tuán)隊(duì)為客戶提供包括了明星產(chǎn)品Warden和RED.Q的風(fēng)控服務(wù)。