你是否遇到过，你发现一个安全问题，在让研发或者运维修复的时候，他们会告诉你，如果你拿到权限或者造成危害之后再来找我修复，比如你们公司有一台网络设备暴露在公网上，该设备未被防火墙保护，没有访问控制，虽然设置了强密码，但是所有开放的端口均可以被访问，这个时候，你发现了这个威胁，告诉运维，你这个设备可能被黑客攻击，不只是暴力破解密码，比如溢出、协议漏洞等方式，然而运维会告诉你，你要是能打下来，我再来整改，这个时候，你一万句草泥马从心中掠过。

类似场景我身边的朋友或多或少都遇到过，因为在甲方做安全建设、渗透测试的时候，经常会遇到存在安全威胁但是又无法复现的情况，这里的无法复现不是不存在安全问题，而是由于自己实力的问题，无法一一复现，但是对于专业黑客而言是可以攻击成功的，所以这个就被我们叫做威胁，针对这个威胁是不是要我们可以复现之后，你才要去修复呢？

假设一个企业做安全建设，修复安全问题是基于甲方安全小伙伴的复现漏洞的能力来做，那么可以想象的到，这个企业的安全成熟度就会跟安全小伙伴的能力成正比，只要安全小伙伴无法复现，就觉得是安全的，不用修复，可想而知，这个企业的安全性如何，企业的安全对手是外面的黑客，而不是我们自己的安全小伙伴，你能防住自家人，你防得住外面的黑客吗？所以出发点就不对，对于企业的安全建设，一定是只要存在安全威胁或者安全风险就应该整改，因为你不知道外面的黑客能力有多强，他们手里有多少 0day，掌握多少资源，这就是企业所面临的问题。

我刚入甲方的时候，问过很多大佬，做企业安全建设从什么角度去做？大家的回复都是从风险的角度做企业安全建设，做到风险可控，当时的我经验非常少，完全不能理解是为什么，我当时的考虑还是从攻防的角度去做，基本上是以我自身的能力做参照，我能成功利用的就提出来做整改，后来，慢慢发现企业有非常多的风险是无法复现，自己无法利用成功，但是知道一定有大神可以搞定，这时就明白了大佬们做安全建设从风险的角度做安全建设的经验不是空穴来风，只要存在风险，我们就应该整改。

安全风险是什么？安全风险就是对外暴露了入口，全世界只要有一个未授权的人能进去，那么这个入口就存在风险，我们就应该整改，或者关闭对外的入口，或者严格访问控制，最小权限原则，然后再加上审计，审计每一个进入的人以及他在里面做了什么事等等。

甲方做安全主要做防御，做防御考虑问题要很全面，只要有一个地方没考虑到，那么你的防御工事就会失效。作为甲方安全人员，需要能力更多的是建设能力，攻防能力要求没有那么高，如果你在甲方不搞建设只搞攻防，很多领导会觉得你啥都没干，你不建设几个系统，无法体现你的工作量和你的价值，所以甲方的小伙伴不懂开发是不行的，既然已经要求开发能力多于攻防能力了，领导还要你将提出的安全风险进行复现，谁能告诉我，我该怎么办？

综上所述，我们作为甲方安全的一份子，要做到上能开发系统，下能 PK 所有黑客，无所不能才能推动研发、运维对于安全问题的整改，才能实现领导心中的期待，企业的安全才能做好，你是一个合格的甲方安全从业人员吗？你有过这样的经历吗？欢迎吐槽！