渗透测试投入的合理性。在合理认知的前提下，首先要考虑的是你所负责领域的风险全景

，以及合理的应对节奏。其实用对标的方法输出并不难。困难在于很多人会抱怨自己现在的资源

，覆盖不了那么多东西。因为缺乏资源，即使知道很多风险没有解决，也暂时不会去碰。这个不

能怪自己，要怪领导不重视，不投入。

 

 

这种观点其实是有问题的。对于公司高层来说，很多时候都是公认公司的资源不足以支撑你舒舒

服服的做事。但是，这绝对不代表公司坚持不把资源给必须做的事情。不给资源的原因只有一个

，你没有有效解释这件事，这不是管理者的错。比如老板手里有100万。现在他在沙漠里渴了。

旁边有一个人用农夫山泉卖100块。你觉得贵不划算。老板默认不给钱，所以没有告诉老板有水

卖。但是你怎么知道老板不愿意付那100块钱呢？

 

 

 

 

当然，确实有很多从业者夸大其词，因为他们的YY安全风险非常高，其后果可能远远大于该公

司的市值和营业额。然后老板拒绝评论，不支持，觉得委屈。其实大部分都不是从同理心的角

度去思考，假设自己是老板的合伙人。在众多的商业风险中，公司应该分配多少资源来处理这

些事情？说白了，如果你能处理的风险巨大，公司还没有到相应的阶段，我觉得最好的策略可

能是跳槽到更注重安全的大公司，而不是忽悠老板在目前公司的安全领域投入过多的资源，否

则公司主营业务能否发展就不得而知了，资源可能会先被消耗掉。

 

 

 

 

假设资源的问题放在一边，已经确定只有有限的资源。面对风险市场，如何看到蔬菜和饭菜的

合理分配，其实是考验安全责任人的认知。实用，但不高明，应该付诸实践，但对于有前瞻性

的团队或者知识结构比较保留的地方，也是值得付诸实践的。特别是当安全主管视野有限的时

候，耗费大量资源，却用低效的方法解决单一问题，以至于其他风险投入不够，反而误以为高

层不支持，不投入，这是很常见的。

 

 

 

 

 

例如，大多数公司都有一个问题，即权限控制，这在大多数情况下不符合“最低”安全最佳实践

。因为权限分散在太多的系统中，比如运维权限、DB权限、应用系统权限(知识库、代码仓库

、报表平台、HR系统...)，公司越大，这些系统越多。但是这些权限问题往往很容易暴露给高

层官员，总会有意外发生，安全团队必须正视困难。有的同学会很努力的承担起权限管理的责

任，试图帮公司的每个系统设计一个权限管理的列表，谁能访问，谁不能。因为这是一件大事

，所以我们会投入大量的人力，在这个项目上工作很长时间。最后，我们将进行各种采访、调

查和数据分析，以判断谁应该访问哪个机构。(这里不算开发全球IAM权限管理系统的工作量

。)。公司越大，完成这些任务需要的时间就越长，而且不一定能完成。

 

 

 

 

 

时间久了，内部红蓝对峙还是能轻易暴露问题，权威还是没有收敛到预期目标。但是本来就

供不应求的安全团队，真的在这个项目上投入了大量的精力，以至于出现了很多其他同样重要

的风险，治理工作也无从开展。这时候与其怪公司给的HC不够，不如考虑工作方法上是否有

优化空间。如果把权限管理下放给每个系统的负责人，他们自己完成相应的工作，就会发动群

众战争，把大量的工作分配到每个人的头上。你只需要集中精力抽查，答疑解惑，制定标准，

可能很快就能取得更好的效果，节省很多安全工程师。所以在资源有限的前提下，争取合理的

资源，合理安排风险管理的投入，也是一个很大的问题。希望你不要坐等安全案发生，等案子

恢复了才知道。这是业内人士都知道的事情，早就在视野之内，可以通过投入资源来解决，但

是迟迟没有解决。