选自公众号：A9 Team

原文链接：

1、原则进阶。

在近5年工作实践中发现安全运营存在几个不可能：同步规划不可能，主要原因是安全是铠甲（属性），只有IT规划完才能基于IT规划做；同步建设不可能，主要原因是安全供应商滞后，根本没有好的方案和设备；同步运营也不可能，主要原因是安全人才滞后。作为理想还行，但不切实际。

2、工作进阶，从随机，到全面，到重点。

安全运营第一阶段，工作逻辑是来什么就做什么，虽无规划但这种自适应的工作方式效果还是比较好的，至少干的事之中大部分是重点工作。

安全运营第二阶段，工作逻辑是全面开攻，这种工作方式的效果是最差的，导致全员疲惫、工作进展慢，且无法保证做的是重点工作。

安全运营第三个阶段，工作中只处理重点工作，问题中只处理要命的问题，其它的后面排队，有时间就处理。个人认为安全运营工作中真正重要的事不多，最小的自恰循环，管好入侵响应、漏洞修复、攻防验证即可。有时间有资源再做情报收集、资产管理，其它的再向后排。

3、组织进阶，从专业，到成长，到梯队。

第一阶段，无团队管理经验，无团队人难招，对于人员的要求是专业即可，成长、表达、沟通、协作等均可让位。

第二阶段，有1-2年团队管理经验，团队3-7人规模，对于人员的要求是专业+成长意愿，无成长意愿的人不要招，用起来是非常痛苦的。

第三阶段，有3-5年团队管理经验，团队规模7人以上，对于人员的要求是专业+成长+梯队，人员分组形成梯队是第一要务，招一线成长为二三线，尽力不招二三线。

4、流程进阶，从无流程、到SOP，到SOAR。

第一阶段，无任何安全流程，工作质量依赖人员能力、责任心、抽查，一般情况下做好抽查工作即可。

第二阶段，编写标准作业流程（SOP），安全工作由于范围大（事多）且专业（精深），做SOP的难度和工作量都很大，导致收益很低；此外SOP从写到用之间经历转换层过多，且安全人员一般个性很强，看不看、遵从度、理解度、执行度都是大问题；结论是不建议。

第三阶段，上安全运营自动化系统（SOAR）之后，安全工作让安全人员直接写成剧本，只要控制好剧本质量，可以规避第二阶段大部分的问题，非常推荐；无法在SOAR上实现的安全流程，建议做到协作流程级别，不要搞操作流程。

5、工具进阶，从合规，到专业，到专长。

第一阶段，受限于监管要求、公司文化、采购合规、商业环境、领导风格、商务关系等等各种因素影响，最终使用实效最好的工具（安全产品或设备）的概率很低，只能说合规就好。

第二阶段，以安全运营目标倒推安全产品的要求，对于防御体系中对抗类的重要系统必须技术主导，否则安全运营工作根本无法保证效果；功能实现类可以其它因素主导。

第三阶段，攻防对抗类工具要求进阶，专业的同时还要考察供应商对工具的长久运营能力，工具背后如果没有一个攻防研究+攻防验证+产品研发的组合团队，那这个产品是没有未来的。