如何評估一個***團隊的技術能力
Jack zhai
正確評估***服務團隊的能力,是選擇***服務團隊合作的基礎,是獲取***服務效果的最佳保障。有兩種方法是常用的:
1、選擇案例多的:做過的肯定有經驗,人們也習慣於用事實說話,何況作爲案例的都是結果都不錯的。當然,這種“馬太效應”並非總有效。因爲業務繁重而疏於管理,服務質量就會下降;因爲項目衆多,無暇在技術上進一步研究,逐漸落後於後起之秀;更重要的是:***是逆向思維的漏洞***技術,突破傳統的思維框架,才更有價值,所以,沒有經驗的新人,並非不能創造新的***奇蹟。
2、考而優擇仕:“是騾子是馬拉出來溜溜”,人們還是喜歡相信親眼見到的。通過實驗環境的***模擬比賽,誰贏了就選誰。這樣做需要用戶投入大量的精力,要有時間組織,要考題出得適度。考題容易了,結果無差異;考題難了,沒有及格的;都無法判斷誰的能力強,考題要出得很符合用戶的實際需求,就不是很容易了。更爲重要的是,很多用戶根本不清楚如何組織這種***模擬。
有一個問題值得關注:選擇適合自己安全需求的***團隊很重要。不同用戶的信息安全建設程度是不同的,若用戶本身的安全防禦體系很完善,選擇的***團隊很初級,基本上就是隔靴搔癢;若安全管理鬆懈,找來非常專業的***團隊,那好比大炮打蚊子。
隨着用戶信息安全保障體系的不斷完善,選擇團隊的***能力也應該逐漸增強,能力對等,纔能有效發現自己的弱點,“大刀對坦克”式地表演,是在耽誤雙方的時間。
如何綜合評價一個***服務團隊的技術能力呢?我們藉助能力成熟度模型(Capability Maturity Model:CMM)的思路,將***服務分爲兩個維度,一個維度是***服務的過程,是***各個環節的分解;另一個維度是組織保證能力,由管理和制度組成,通過項目管理與文檔檢驗。
簡單地說:就是劃分出***服務過程中所需要的各種方面的技術領域,並區分出每個領域保證最終***效果所應具備的管理與技術能力。
***服務能力成熟度:
衡量一個團隊的***服務能力,涉及多個方面,我們從團隊規模、組織能力、技術保證能力、******能力、漏洞挖掘能力幾個方面進行綜合衡量,把團隊***服務能力成熟度分爲五個級別:
第一級:個人級。一般是指單個人的***,完全依賴***者的個人技術與經驗,***的結果不確定性很強。由於沒有組織,目標不明確,所以常常被防護者所輕視。
第二級:小組級。通常是臨時組合在一起的小團隊,共享相互的資源。個人單兵的***能力都很強,但缺乏相互之間的協調。制定相對明確的***計劃,可以模擬小型有組織團體的***。
第三級:團隊級。專業的***團隊,分工明確,手法專業,配合默契。***時具有周密的計劃與緊急應對策略,可以模擬專業組織的******,可以模擬有針對性的APT***。
第四級:組織級。不僅有職業的***團隊,而且爲了***還建立了相應配套的各種組織部門,擁有自己的專業漏洞研究機構,掌握“0Day”與相應的利用工具。可以模擬大規模專業組織的******。
第五級:集團級。掌握豐富的資源,具有足夠的***人才,掌握最新的***技術與工具。
說明:
Ø 技術保證能力是指***團隊的技術組織管理能力,參考安全工程能力成熟度的五級定義,***能力成熟度的五級分別對應爲非正式使用級、計劃與跟蹤級、充分定義級、量化控制級、連續改進級。詳細每個級別保證能力的要求可以參考《系統安全工程能力成熟度模型SSE-CMM》。
Ø ******能力是指可以對抗的被***目標的自我防禦能力,參考國家等級保護對應信息系統的安全等級,******能力對應爲該等級防禦能力所應該防禦的***能力。具體每個等級的具體要求與描述可以參考國家有關信息系統等級保護的有關標準。
表:團隊***能力成熟度級別定義:
|
|
1級(個人) |
2級(小組) |
3級(團隊) |
4級(組織) |
5級(集團) |
|
團隊規模 |
單兵作戰 |
小組協作 |
專業團隊,***人員梯隊培養、隊員組合協作*** |
具有專業後臺支撐團隊,分工細化,具有長遠團隊規劃 |
大型專業團隊 |
|
組織能力 |
無組織 |
鬆散合作,自由分工 |
職業團隊,責任明確 |
企業級,專門人員組織管理 |
大型集團,後備人才基地 |
|
技術保證能力 |
非正式使用,無正式文檔管理 |
計劃與跟蹤,過程化、文檔化管理 |
充分定義,過程標準化定義 |
量化控制,建立可測量的質量目標 |
連續改進,改進組織能力與過程標準化 |
|
******能力 |
抵禦資源較少的單個***者的*** |
抵禦擁有一定資源的小型團隊有計劃的*** |
抵禦擁有豐富資源、有組織的、有針對性的***(如APT) |
抵禦大型***組織的組合式*** |
無限制 |
|
漏洞挖掘能力 |
收集最新漏洞信息,收集漏洞利用工具 |
具有一定漏洞挖掘能力,掌握最新漏洞利用工具,工作中可集成、組合***工具 |
可獨立研究挖掘系統漏洞的能力,具有開發利用工具的能力 |
具有獨立的漏洞研究團隊,掌握“0DAY”漏洞及其利用工具 |
無限制 |
評估***服務團隊的能力:
用戶在選擇***服務團隊時,除了案例與考試外,可以根據團隊***服務能力成熟度定義的五個方面,對團隊的服務能力進行評估,或者請第三方的專業機構進行評估,選擇適合自己安全實際需求的團隊。