视野和方法论——单点技术代表局部的执行力,但在影响整个安全团队的产出因素上仍然受制于团队的整体视野和所使用的方法论。甲方的安全团队并不是一个纯安全研究性质的职能,所以只强调攻防和漏洞是不足以产生高 ROI 的,因为安全建设中有很大一部分跟具体的漏洞不相关,跟漏洞缓解和免疫机制也不相关。如果只强调方法而不强调攻防就会陷入纸上谈兵,但反过来只强调攻防不强调方法就会陷入全员救火队的状态。综观业界,过于强调风险管理方法论的单位其解决实际问题的能力往往比较欠缺,而一味强调攻防排斥安全标准的团队往往顶层安全设计有问题
工程化能力——对于中大型互联网公司的安全建设,能否将单点的攻防知识转换为整个公司业务全线防御、纵深防御、自动化的能力就是工程化。举个例子:1)凭自己的经验上感染的机器查看进程,dump文件解决的是单个事件,2)把这种经验转换为文档和脚本能解决一部分自动化的问题,让更多的工程师具备响应的能力,3)更进一步,如果能将脚本转换为 HIDS 部署在所有的服务器上则相当于全线业务具备了一定的人侵感知能力,单点技术强往往代表1)到2)没有问题,但在衡量一个企业或平台整体安全能力的时候,看的其实是3),很多团队就是在这一步上迈不过去,进而导致攻防人才很多,但在整体安全建设上 ROI 不高