上周帮一家做医疗器械的客户做安全策略复盘,发现他们刚花大价钱买的EDR系统,半年内只触发过两次告警——而且全是误报。运维小哥边喝咖啡边说:‘策略是写在PPT里的,不是跑在服务器上的。’这话糙理不糙。
人没到位,再好的策略也是废纸
某制造企业采购了全套零信任架构方案,但IT团队只有3个人,其中1个还在兼职管门禁系统。结果策略配置全靠网上抄模板,MFA强制登录被设成‘可选’,设备健康检查周期定成90天。策略文档写得像教科书,实际连登录页的证书都快过期了没人管。
业务部门当甩手掌柜,安全团队硬扛所有锅
曾见过一家电商公司在大促前上线新风控策略,安全组要求订单接口必须增加二次验证,业务方直接回邮件:‘影响下单转化率,砍掉。’最后妥协方案是‘仅对高风险IP启用’——而他们根本没部署IP信誉库。策略文档里写着‘实时动态评估’,监控后台显示的却是静态白名单。
工具堆得比山高,联动却像手摇电话
某银行部署了SIEM、SOAR、EDR、WAF、DLP共7套系统,但日志格式五花八门:防火墙用Syslog,数据库审计走JSON,终端数据还是CSV。自动化响应脚本里硬编码着23个IP段,去年机构合并后搬了三次机房,没人更新脚本里的地址。最典型的一次:WAF拦截恶意扫描,SOAR想自动封禁IP,结果调用API时传参把client_ip写成了src_ip,返回500错误,告警石沉大海。
策略文档锁在OA里,一线人员根本看不到
有家连锁超市的安全手册规定:收银终端禁止安装非授权软件。但门店员工不知道‘非授权’指哪些——因为PDF文档里只写了‘参照附件三’,而附件三是个已失效的内部链接。后来查日志发现,90%的POS机中招,是因为店长让收银员装了个‘扫码返现’插件,以为是总部下发的。
考核指标和策略目标根本不在一个频道
某政务云平台把‘漏洞修复率’当核心KPI,结果运维团队专挑CVSS 3.0以下的漏洞修,因为数量多、耗时短、好交差。而真正被利用的Log4j漏洞(CVSS 10.0)拖了47天才打补丁——因为‘不在当月修复清单里’。策略写着‘优先处置高危风险’,KPI表格里却按漏洞数量计分。
策略不是贴在墙上的流程图,是每天要跑通的指令流。下次看到新策略文档,不妨先问一句:谁来改配置?出问题找谁?监控看哪几个数字?这三个问题答不上来,策略大概率还在PPT里睡觉。