張嵩：東西方安全理念「左右互搏」｜人物

和張嵩並沒有「前緣」，只有過一面之交，但在微信里有過互動。不多的交流里，感覺到一種不同而又親切的意思，所謂不同，是和安全圈其他「老江湖」相比，少了乙方技術產品從業的「江湖氣」和「苦逼相」，而所謂親切，概因為都有諮詢從業背景，對事物看法，思維方式，點滴見真章，於我，每每感同身受。談到為什麼是「左右互搏」，張嵩解釋說，最初是左手打右手，是衝突；到後來，是左右手同時出招，也就是東西方安全理念的協同應用。

惠普，BMO金融集團，摩根士丹利，再到國內金融企業，張嵩走了一條「洋為中用」之路。

張耀疆：能否介紹下你的工作經歷？

張嵩：我的戶口在深圳，人在南京，父母在大連，小時候在遼寧長大，屬於High Mover。在澳洲讀碩士畢業後，在HP做IT諮詢，然後去了加拿大的BMO金融集團做亞洲的安全與科技風險管理，接著去了美國公司摩根士丹利做治理、風險與合規(GRC)工作。2015年9月來到一家本土金融公司做CISO的角色。

張耀疆：不同的公司都給你帶來怎樣的收穫？

張嵩：在HP，Business Development的性質可以有很多有趣的玩法，在一個區域內沒有太多的限制，但幾乎要同時做產品銷售、售前、項目經理、實施、渠道和生態管理等截然不同的工作。這段奇特的經歷對人的歷練是獨特的，但幾年中，也見證了本土諮詢行當的快速興起，和快速冷卻。

張耀疆：說到諮詢，我曾經也做諮詢，那你能不能重點說說對國內諮詢行當的觀察？

張嵩：我覺得，安全諮詢行業過去沒有大規模發展大概有兩方面原因，諮詢從業者素質和甲方的組織準備度都不成熟。

一、根上的原因是諮詢者的內因。國內傳統安全諮詢的定位在管理諮詢，但是當時的安全諮詢從業人員往往對甲方組織是沒有太多的感知的，很多諮詢人員不知道甲方、更不要說國際先進企業是怎麼管理和運營的，所以只能按照標準解讀，生硬地符合標準條款，理論地說教「應該這樣、那樣」，但這種套路的硬傷在於落不了地，轉不起來，套路有餘但實操不足，無法幫客戶真正提升。

可以說，那代從業者幹了些苦活，給了些文檔的魚，但距離傳授適合的「漁」的差距很大。

從方法論上講，「宏觀」的方面，國外的同行更善於總結和靈活運用方法論，安全治理框架，不會單純依賴某個標準，諮詢交付的框架可以是映射多個安全標準、同時兼容多個國家的監管要求，也就是說，外部的監管要求、建議性標準、實踐等是起到充分為自身的安全建設服務的目的。

企業自身的聚焦點是管理這套框架的同時，解決監管合規和自身需求，並推動持續的改進。反觀國內安全管理諮詢的業態，大多做27000標準實施，但27000標準實施並不等於企業有個合理的、可擴展的安全治理和管理框架。

「微觀」方面，國內的安全諮詢又往往不會細化到可落地運營流程，出於成本和交付難易度的角度，更多的輸出一些制度，也就是「控制要求」，少有形成某個細分領域細緻的控制措施的。安全管理諮詢方面，宏觀和微觀兩不靠，必然處在一個比較尷尬的境地。

老外的安全諮詢服務中，不僅包括管理諮詢，而且包括技術諮詢，細分領域的可落地技術諮詢偏多，建立體系的很少。本土安全管理諮詢行當對定位、交付結果、價值呈現考慮的不夠完善，觀察下來短期內難有實質的改變；避開傳統安全管理諮詢落地的老大難問題，我覺得技術諮詢在國內有著不錯的市場--面對持續變化的外部威脅環境，甲方需要在如何做安全運營上，快速提升、積累內功；面對自主開發的不斷增多，結合產品的安全「內嵌」開發的需求就越來越多，DevSecOps也是大的趨勢。

我現在嘗試引導技術合作夥伴以技術諮詢的形式交付傳統的「安服」。挑戰也是不少的，比如，目前國內的安全服務人員內向、技術導向、不善言語和溝通，具備指導、教練和影響技能的人員就更少，更不要說有實際上手經驗、能把本來就欠缺技術技能的甲方教明白的好教練。相反，傳統做27000體系的安全諮詢人員又大多不具備技術能力和安全運營實際經驗。

二、甲方組織成熟度的因素也妨礙著企業快速轉化諮詢的高價值部分。在客戶側，往往客戶的組織的準備度不到，客戶立項安全管理諮詢的初衷好多是安全人員希望藉助諮詢的結果改變人員在組織中的地位和影響力；或者更急功近利地通過一個標準，拿到些可以說事兒的「成果」，企業的IT和安全管理人員對組織當下真正需要什麼、如何演進，沒想清楚。更沒想清楚的是，要想體現諮詢交付物中高價值的部分，起到實效，80%要靠企業管理人員自身充分想明白的，也承諾(commit)重點推、而且推得動的。否則，即使諮詢方提供企業再多的內容，企業也難轉化為對自己有收益的結果，更不要說價值。這裡，可以提出個「諮詢收益轉化率」的概念，是需要雙方合作一起努力的，Responsibility在諮詢方，Accountability在企業方。

張耀疆：那麼，一個大問題是國內的諮詢服務行當可以做些什麼以更好地適應市場呢？談談你的觀點。

張嵩：放下「大」體系，專註「小」實踐。比如，我在合作夥伴交付服務的過程中，有意引導合作夥伴，做好技術服務的同時，以技術諮詢的方式提供方法，「教」企業的安全運營人員如何更好運營，提升自身能力和內功。一個例子就是我發明並稱之為「紅藍軍對抗演習」的技術諮詢服務交付模式。

二、架構師是諮詢顧問新的表象？

【耀疆手記：生意 vs產業】對中國信息安全產業，整體悲觀，市場空間太小，每家都拚命做全產品系，回頭每樣都不精，最終拼的還是資源整合能力而不是技術創新。到了，安全只是個生意，甚至外行都可以憑藉資源優勢而大撈一把，反倒是產業內人很苦逼。

張耀疆：從安言到現在也才10年左右，有積澱的諮詢公司成長至少需要二三十年

張嵩：是的，比如專註於軟體安全Cigital公司，從創立到現在也有25年了，更不要說其它的綜合的諮詢公司。國內的IT、安全諮詢公司往往做的大而全方案，交付質量可想而知。

張耀疆：其實各家也差不多，行業的問題都很類似。

張嵩：行業沒有解決當年安言遇到的問題，所以沿著安言以前的路徑在前進。

張耀疆：從這點看，你對諮詢是悲觀的。除了公司積累的問題，還有人員經歷的問題。我們以前只有單純某個點的積累，缺少拓展，也沒有在甲方多年的積累，做不到這個程度。

張嵩：諮詢人員需要知道先進的企業方組織如何Day-to-day運轉。老外的高端管理諮詢交付就是一組PPT，關鍵是他們能將思維方式和理念講明白；涉及到技術的諮詢往往可以基於諮詢方的理解，給出切合實際的成熟度和項目、任務演進路徑。輸出一堆的制度、規範文檔和表單，對企業應用沒有什麼實質的幫助，因為雙方都不知道如何做好的應用。

張耀疆：所以在國內做諮詢最需要的是像你這樣的人，在甲方工作多年且願意分享。

張嵩：我不認為中國諮詢業態會有實質性改觀，人員的甲乙方流動往往是單向的。

張耀疆：那麼諮詢業態如何發展呢?

張嵩：知識轉移是必要的，但是未必是以諮詢的形式去交付。比如，最領先的雲服務提供商AWS是銷售和解決方案架構師(SA)搭配，SA負責告訴企業在公有雲上搭建數據中心應該如何做，幫助企業一起設計最好的遷移路徑。實際上，SA就在提供諮詢服務，同時又精通技術和解決方案。

張耀疆：傳統管理諮詢有不落地的短板，但是有邏輯梳理、問題分析的能力。技術公司還是賣產品導向的，他們能否建立起來諮詢能力，我還是打問號的。

張嵩：企業真正需要的是建立能力(capability)，運營好能力，而技術產品只是能力的一個緯度，能力還包括人、流程、實踐等。技術公司不是要提供傳統諮詢服務，而是要使用諮詢的技能，幫助企業想明白總體上目標架構，更有效、高效的建立能力，藉助技術公司自身和行業已有的產品和服務。就像AWS的解決方案架構師模式，雖然常被當作售前，但是我認為他們的價值是遠高於傳統產品售前的。這也對傳統安全公司的售前能力提出來更高的期望和要求，或許售前團隊中可以產生一支精幹的架構師小隊。

張耀疆：技術公司有大量的售前人員，轉型為架構師，挑戰還是很大的。

張嵩：這種方法不適用於所有行業，重點行業或者對安全需求比較高的行業，比如金融可能這麼做，但是政府、公安就沒必要這麼做。傳統安全公司進金融都是很困難，尤其是更多的產品線，因為金融是真正在用產品。

張耀疆：是的，我們也帶一些傳統安全公司進金融機構，但是要獲得好評還是不容易的。

張嵩：傳統公司產品經理、售前或許對某個產品很熟悉，但是他們往往不具備講明白企業安全如何做，自己的產品在企業整體安全架構中的位置，如何解決具體問題的同時有機地融入整體。企業方希望看到更多的架構師。

張耀疆：傳統諮詢的價值很難計量，體量相對又很小，往往到後來就變成情懷了。

張嵩：我覺得，國內傳統諮詢行當的合理模式，就是固定幾個客戶，關係認可、深度定製合作，很難形成廣泛的市場效應。考慮到上面我們說的積累和資源因素限制，就算客戶多了，做不精緻也落不了地，反而市場反饋更不好。讓大多數傳統諮詢人員掌握企業級安全架構，具體解決方案如何良性嵌入，如何運營，挑戰更大。張耀疆：國內乙方很少有架構師角色，這是通病。我們也會看到乙方有很多模型和框架，但是這些未必像你一樣系統全面、有針對性，他們更多是想體現產品，而不是體現問題的解決思路。

張嵩：這是個立場問題，能理解，但不認同。乙方更多是考慮如何增大銷售數字，真正在乎的基本都是「簽單」，尤其是簽大而全的單，而不是企業如何搭配最好。

三、中國會產生世界級的安全產品嗎？

張耀疆：安全行業的一個現象，常年來習慣大而全而不是專註。

張嵩：這已經不是安全圈的問題，根本上還是民族的文化屬性問題。中國市面上小而美做的專註的公司並不多，大而全而每個產品都不精的廠商充斥著市場，很多創業公司也往往走的是憑藉一款勉強的產品，靠資源和關係驅動市場，這個西方創業公司業態很不同。國內創業公司的套路往往是搞出一個東西，利用原來攢資源的方式做大，再將公司資本層面做大，然後就是資本退出的問題，而不是真正專註一件事兒。

張耀疆：有些創業企業切入的點還是不錯的，但是產品模式還是要調整，如果等不到打磨到理想狀態，要麼就是完蛋，要麼就是調整。

張嵩：很多體量大些的公司，都在為轉型而掙扎。中國安全市場並不大，然後那麼多公司分，每家還能分多少？安全對於資本沒什麼大的想像空間，既不可能將東西買到國外，也不可能被國外公司收購，囚徒困境。

張耀疆：我們這兩年觀察，一開始看到希望，後來也越來越失望。

張嵩：作為生意還是有的做的，但是產業的良性發展確實有難度。一次，投資人跟我了解某個創業公司的情況，我發現投資人對產品、細分產業的了解非常少，更多的是看現金流和生意模式和規模。生意模式一旦起來了，無非就是以什麼樣的名目，什麼樣的說法，把某個產品，在原來的渠道刷一遍。

張耀疆：不光網路安全，很多行業也是如此，萬達還說自己就是地產公司，關鍵是生意做到哪去。

張嵩：同質化產品、資源驅動的銷售，中國的生意模式，想產生國際級的安全產品和解決方案，對廠商的要求是很高的。

四、中國企業的局部高效和整體低效

【耀疆手記：局部效率 VS整體效果】談到外企和國企的區別，有一點很有意思，外企是局部低效整體高效，國企則是局部高效整體低效。怎麼講？在外企（特指成熟的大外企），一件再小的事情，牽涉到多個環節，每個環節都會很認真負責，導致局部效率低，但串在一起，整體上卻會極大地降低風險，確保最終效果。而國內企業，往往一件事情一個人就說了算，單點效率挺高，但潛藏的不確定因素也大，最終效果很難講。

張耀疆：你在兩家外資銀行又什麼收穫？

張嵩：學習成熟企業的IT和安全運營模式，感受和理解在大「組織」里如何去完成一件事，完成一件件事兒的過程，也是個人能力立體積累的過程。在外資行，一大收穫是自己證實了曾經作為諮詢顧問交付的東西，在西方的頂級金融機構里，根本就是不同的玩法。外資金融機構的經歷讓自己參與「實戰」，諮詢顧問的經歷，現在看起來更多是「沙盤演練」。

張耀疆：你提到了「組織」，那你又是如何理解組織，組織又是如何改變你的呢？

張嵩：一次，摩根亞洲的CIO親口跟我說，組織是個非常強大的機器。不同地區的「組織」，也就是企業，有其很特色的行為學和運營規律。理論上如何做一件事，跟在一個具體的組織里做一件事，是截然不同，而且需要相當的「組織感」和政治智慧的。安全，又是一個在治理、管理、運營和技術層面都需要發力的職業，需要考察N多公司內外、大小部門、不同級別干係人的立場，引導一致的目標，自然對人的技能集要求又有新的高度。

張耀疆：那你感覺外企和國內企業有啥不同？

張嵩：國內企業工作局部效率高，而且高好很多。北美企業是雖然做一件事局部效率低，但從時間軸上來看，整體效率是高的。中國企業的局部效率儘管高，但方向未必對。老外可以對一件小事反覆論證是否合理，比如給監管回復的一件事，哪怕是只有幾行字，也會層層去審核，所有條線必須要簽字，這個流程顯然是不快的。但是企業在監管合規層面是穩步前進的，不存在什麼實質性風險。而國內企業，往一件重要的事可能某一個人就說了算，評審、回顧等職能機制少，責任制不顯性。從局部看這是高效的，但是有時候一個人代替一個組織做了一個決定，可能會帶來很嚴重的後果。

張耀疆：那麼現在在新公司感覺有什麼不一樣？有什麼變化？

張嵩：外資銀行的體制決定你只需要專註做執行，在組織的規則下交付結果。往往總部負責頂層設計，然後全球一致化執行；總部在設計時，必然優先考慮總部所在區域的情況，在亞洲區域就會產生諸多的執行和溝通的開銷。角色轉變後，我需要從曾經的安全官（Information Security Officer）的視角向首席安全官(CISO)轉變。在工作的理念上，我需要充分考慮北美企業和中國企業模式，在「道」和「術」的層面各自優勢的部分，搭配發力，就像武俠小說中的「左右手互博」。

張耀疆：所以體制差別不明顯，不會水服不服？

張嵩：都是金融服務企業，在終極目標上是一致的，為了達到經營目標，在國際化的大環境下，管理理念都會不斷的演進。而且很多「道」的層面的要素，是通的，比如向高級管理層溝通安全價值，如何高效地管理項目群(program)都是西方企業的經驗豐富且國內企業需要的。不同的，往往是「術」層面的執行方法，這個層面的事情，西方的每個組織也大多會不同，中西方也沒有什麼本質區別。

五、等保是機遇還是合規負擔？

【耀疆手記：等保 vsISO27001】隨著網路安全法出台，等保凸顯出前所未有的地位——變成法律層面的強制要求了。加上等保隨之改版，從過去太底層的東西，逐漸提升擴展成類似ISO27001框架和控制集的形態。這樣一來，企業無論是合規上，還是本身的接受度上，都要高了許多。

張耀疆：你如何看待等級保護？ISO27000的意義又怎麼看？

張嵩：新版的等級保護在理念、思維和方法層面已經和國際做法更貼近。本質上，等級保護中的「要求」就是一套「控制要求」框架，與ISO27001一樣，只解決「要求」層面的問題，「控制措施」依舊需要企業自身定義和實施，無非ISO27002、其他的標準或者實踐，貢獻了一些具體的考量點，但仍沒有到具體「控制措施」和具備可實施性的良好實踐層面。

考慮到新等保在法律層面的強制性保證，框架層面完整，專門通過ISO27001認證，並按照認證要求維繫體系的現實意義就不大了，當然，作為乙方企業展示自身保障能力的意義另說。新等保在集中監控、威脅防禦、漏洞管理等方面的加強，也體現了國家級制度充分考慮了實際威脅的發展。

從落地上，一個務實的做法是以等級保護制度為企業安全治理框架的重要設計依據，並適度擴展，然後將等保中的「控制要求」轉化為企業自身的制度，如政策、管理辦法，之後借鑒其他安全最佳實踐、行業標準將企業的制度細化為適合企業自身需求的一系列控制措施規程(procedure)、企業安全標準(standard)、流程(process)和最佳操作實踐文檔(best practice)，並相應地運營起來。持續地安全運營非常關鍵。這樣，新等保變成了安全驅動力和抓手，而不是合規負擔。

六、以務實的方式建立影響力

【耀疆手記：制度 vs影響力】制度不重要，重要的是你工作的影響力，影響力到位，沒有制度都可以，影響力不夠，可能你才不得不靠制度去推動別人，但往往事與願違。

張耀疆：作為金融機構的安全主管，你是怎麼將安全落地的呢？

張嵩：國內企業傳統安全實踐往往是，重設備運維，制度的形式意義大於使用意義，輕安全技術架構的頂層設計和持續演進，欠缺持續地安全運營。我的思路是反其道行之：新增投入前充分對安全技術架構頂層設計，最聚焦的是安全要素嵌入開發和建設，和持續的安全運營，這幾方面也是北美的企業做的非常精緻的。

張耀疆：那麼制度和維護管理體系不重要嗎？

張嵩：不是不重要，而是開銷太大，當資源有限時，首先關注的是直接的安全價值，比如應對外部威脅，這些都不是寫制度可以直接解決的。安全架構、安全嵌入和運營持續開展時，「控制要求」已經通過在實踐中有機地運轉了，這時，制度的現實意義並不大。

張耀疆：傳統的做法是先建立制度，安全人員藉助制度行使「管理」職能，你不需要制度賦予安全人員的「管理權威」嗎?

張嵩：我更看重的是安全人員的影響力，而不是制度賦予要求別人的「權力」的表象，要讓企業的領導、員工認為安全人員說的是對的，願意按照去做，比制度里如何寫更重要。現實中，制度很容易寫，但是，國內的企業往往欠缺保障制度執行的治理機制，這不是安全的問題，而是公司治理層面的問題，涉及各個領域的各種制度。民族的文化屬性決定了國人不喜歡by rules。

張耀疆：那麼，安全落地的標誌拿什麼來衡量？

張嵩：我關注的是持續地、一致地運營的實踐（在資源受限的條件下，未必要建立嚴謹制度流程那麼教條），實踐持續改變人員的積極安全行為，安全實踐的改善可以以成熟度、量化風險的方式展現。

張耀疆：按照你說的，豈不是傳統諮詢倡導的管理體系不適用？

張嵩：更恰當地說，是組織的準備度（readiness）不足。當你開始做一件事，需要組織以及組織內部人員、資源能夠準備好，率先解決各種前提，然後一套東西才可以更好的推行。北美的金融機構會在甚至一個項目立項階段進行組織的準備度評估。對於國內的企業而言，安全的整體資源投入有限，IT的成熟度低於北美同行，組織的準備自然不足，在這樣的條件下，推行所謂的信息安全管理體系可想而知。

張耀疆：管理體系中有哪些可取之處？

張嵩：管理體系中的PDCA經典理念是好的，但需要適宜。PDCA不應該只是管理體系里建立的刻板的定期、例行機制，比如按照27001體系規定，每年做一次內審管理評審，這種儀式感大於實效。真正的PDCA，應該融入到日常事務，小到一項任務，大到一個項目群，都是要PDCA的，要根據組織自身的特點，建立PDCA機制和周期，表象和形式上差異可以很大。傳統的體系，P的周期很長，可能一年為一個周期。在當前的安全威脅快速演進的形勢下，這個周期實在太長了，P要快速適應威脅發展。

張耀疆：既然推行安全體系的組織準備度不足，那在金融機構里，你的安全管理理念是什麼？

張嵩：心中有框架的概念，不糾結於制度大而全；集中優勢資源，基於風險的方法，針對性地建立安全技術架構；根據威脅的態勢，調整架構實施的優先順序；安全技術架構的指導下，持續安全運營驅動人員行為變化是核心。這種理念對CISO的視野和學習能力要求非常高，能夠快速適應威脅變化，同時影響組織的改變。

七、架構引領、威脅聚焦、情報驅動

【耀疆手記：概念 vs實質】威脅情報和態勢感知很熱，但大多數人其實都不理解真正的原理，特別是後者。過去的SIEM、SOC等概念在「改頭換面」，可如果基礎性工作都沒到位，概念再變也沒用。

張耀疆：你反覆提到安全架構，你推崇和使用的安全架構是什麼？

張嵩：從完整的安全架構藍圖上，我借鑒北美企業的實踐建立了十個架構領域的架構藍圖。那個架構藍圖雖然完整，但對於當下，顯得太大，重點不突出。為應對當前主要的網路安全威脅，我們採用的是Gartner的適用性安全架構(ASA)在總體藍圖十分之一的安全基礎設施架構領域進行落地。Gartner ASA關注預測、防護、檢測、響應和持續監控與分析，我們安全投入的重點也是這個架構領域。

張耀疆：你怎麼看威脅情報？

張嵩：威脅情報的已經不是新概念，RSA2017也不再把TI作為關鍵字式宣傳，從實踐效果看，TI的收益是明顯的，但貌似國內的行業還在糾結TI如何落地，或者TI要不要上。

張耀疆：那你認為金融企業如何落地威脅情報？

張嵩：我們建立了安全情報中心，不同於傳統SOC的是，我們時刻聚焦的是威脅。我將該中心的定位是為安全人員提供高效率發現和應對威脅的情報，而不是大而全的收集數據的平台和在上面進行運營操作，如工單，的平台。安全情報中心，我們已經迭代到了5.0的版本。從威脅情報的應用上，可以優先使用出站的IOC情報，及時檢測網路中的被攻陷主機，效果明顯，應用便利。

張耀疆：那你的情報中心是如何演進的？

張嵩：1.0首先關注的是資產情報AI和漏洞情報VI，持續運營，資產可視化；2.0引入以威脅為中心的漏洞運營，提高漏洞修復效率；3.0集成了網路IOC出站威脅情報、Webshell網路連接情報、高危Web攻擊等，用於攻陷檢測和高危的Web攻擊；4.0集成了基於yara rule的主機層面的Webshell檢測；5.0 應用了入站的威脅情報，進行遠控協議攻擊檢測、撞庫檢測等。

張耀疆：態勢感知概念很火，你又是如何建設態勢感知的呢？

張嵩：這個概念源於美國，但美國已經不怎麼提了。我的理念，態勢感知不應是項目建設目標，也不應是一個特定的結果，而是一種隨著基礎安全工作的不斷成熟、紮實，對安全態勢的感知程度也不斷提升。感知的對象包括資產、漏洞和威脅等幾個緯度。在我們的實踐中，隨著情報中心的迭代和演進，感知的態勢也就更廣、更細。態勢感知是個動態的過程，千萬不要認為做了某個項目、買了某個產品，就完成了態勢感知。

八、紅藍對抗提升威脅應對能力

【耀疆手記：紅軍 vs藍軍】張嵩眼下在做的一件事情，就是建立了「紅藍軍對抗」機制，實際上是個三方合作：360補天的眾測做為「藍軍」攻方，360企業安全服務團隊+甲方自己安全團隊作為「紅軍」守方，在持續的「對抗」中，一方面找系統問題，更重要的是「學習」攻擊模式，提升其「感知」威脅的能力，提升應對的內功。這是一種共贏模式，甲方能力在持續提升，乙方也能在擁有實戰環境的條件下形成真正的技術諮詢能力。對眾測平台來說，其實也是一種創新，因為其目標不再只是幫客戶發現漏洞，更重要是通過攻擊流量來「打磨」客戶檢測和應對的能力。

張耀疆：為什麼要做這個？

張嵩：我們很可能是金融行業第一家藉助外部攻擊源做紅藍軍演習的企業。根本的原因是監管層要求應急演練計劃中納入黑客攻擊的場景，企業管理層進一步有「黑箱演練」的預期。

張耀疆：我了解到有的企業內部也會做，你的模式有什麼不同？

張嵩：企業內部自己組織需要企業大量的優質資源投入才會達到好的效果，這不是一般的機構可以奢望的，比如，微軟很早就有自己的內部紅藍軍，國內阿里也有。這個模式的核心在於，在資源受限的情況下，儘可能平衡測試的有效性、攻擊流量多用途、優化成本、貼近真實等要素。同時，合作夥伴也充分認可這種模式，可以在演習的過程中，交付技術諮詢服務，教企業更有效地檢測和應對外部威脅。

張耀疆：演習有什麼收益或結論？

張嵩：首先，驗證了我們「假設攻陷」的安全理念轉變，演習證實了最先進的網路安全設備是可以被打穿的，我們笑稱之為是「沒有不透風的牆」；其次，演習是可以不斷驗證企業安全技術架構的完備性和有效性的，調整建設的優先順序；之後，演習可以不斷指導運營人員調優安全設備的策略，調整運營重點；我們把演習中發現的漏洞和問題，脫密後編纂成手冊，在更廣泛的IT群體中進行事件驅動式教育和宣傳，效果更直接。

張耀疆：你的玩法創造了一個新的商業模式啊。

張嵩：在國內，是的。在國外，RSA2017大會上，我看到國外的企業已經在提供紅藍軍、Threat Hunting，事件響應等技術諮詢服務了，國內的安全公司需要快速跟上。

張耀疆：下一步你打算怎麼做？

張嵩：提高演習的頻率，靈活調整演習的規模。既可以定期組織大規模演習，也可以利用新系統上線測試的機會進行演習。演習也要逐步從互聯側發展到公司網路內部。

【後記：交流與分享】

耀疆和張嵩覺得可以在行業建立一個廠商中立的交流和分享機制，談安全行業發展趨勢，威脅形勢，更重要的是談安全在行業企業中的實踐應用，增進企業間協同。