1
本文作者: 李勤 | 2018-01-12 09:34 |
最近听了个段子,一个男生用约炮神器约了另一个男生,一见面都熟练地拿出一个安全套。
两人恍然大悟:“蛤?你也是攻!”
在阿里安全资深专家“杭特”吐槽“安全圈‘攻’太多了!”那一瞬间,雷锋网宅客频道(微信公众号:letshome)很想把这个段子讲给他听。
“哦,我知道你想多了,‘攻’的人比‘防’的人多太多了,所以这个行业才发展不好。”杭特一边笑。
杭特,是一个热爱动漫的“中二”中年安全研究员——他的花名音译自“hunter”,来源于他最爱的动漫《全职猎人》,他负责的两个实验室,一个命名为“猎户座”,一个命名为“双子座”。
杭特本科毕业于山东大学数学专业,在中科院软件所读了网络安全相关的硕士专业,随后在绿盟从业 8年,再到阿里干了 4 年。当然,雷锋网可以告诉你他的真名叫“曲某某”(安全圈花名不便透露,提示一下“冷酷曲”)——自从他领教到美国签证处对安全人员的出国审批十分严苛后,再也不想把自己的真名和安全行业联系起来。
但这样一个安全行业的老司机,依然保有他所说的热爱动漫的“中二”中年的单纯,和雷锋网宅客频道约聊的主题是“愤慨地吐槽下安全圈的怪现象”。
口述:杭特|文:李勤
2006年,从中科院软件所网络安全专业毕业时,我有三个选择。
第一,读研时我和日本研究小组做了个研究项目,谷歌当时校招只接受现场宣讲投简历渠道,来我校宣讲时我去日本进行项目答辩,完美错过。
第二,IBM 是该日本研究小组的参与方,因为这个项目获奖了,如果找人推荐,应该可以走通 IBM 这条路。
当然,这些都只是可能通往向互联网产业的康庄大道,第三条路是我给自己选的——到绿盟做安全。
我当时想了想,前面两条路都挺好的,但架不住我是真心喜欢安全的。
我还记得,当年还是一个小菜鸡的时候,在数学系机房兼任网管。有一次机房被IP位于德国的黑客入侵,但我却不知道怎么把对方赶出去。
知耻而后勇,自此我投入了网络安全研究的星辰大海。
大家都知道,绿盟的研究范围是很浓的,也有安全圈的黄埔军校之称,一开始我干得很开心,在针对某些软件的漏洞挖掘上产出了一些成绩。挖着挖着,我觉得不对劲了——怎么这个软件的漏洞是挖不尽的?挖洞、补洞、再挖洞、再补洞……这是个死循环,这种安全思路对行业发展真的起到了促进作用吗?
2014年,带着这种困惑,我跳到了甲方——阿里巴巴,希冀转变角色能解答我的疑问,此时我也正从一名“攻击者”向“防守者”转变。
这种转变让我看清了上述问题的症结:现在冒出来的安全企业这么多,我们搞得这么猛,为什么出现的信息泄露事件依然这么多?我觉得安全没有经历真正的发展,攻击者太多,防守者太少。
你要说了,很多人不是提倡“不知攻,焉知防”吗?
但我感受到的是,“攻”的人挖漏洞很厉害,在一条马路上发现了很多的坑,但是往往大喊一句“这里有坑”,差不多就完事了,剩下“坑”还是“坑”,而且让“坑”暴露在外,却无更有效的解决办法。
另外,我们不需要这么多的攻击者。
正常来看,攻与防的人员对比应该是1:2,但十个安全研究者中,可能有 9 个是做“攻”的。
这产生了一个问题:“攻击”意味着你能挖到很多漏洞,在“军备竞赛”中,大家都攒了“核弹”在手里,不可能随时互相扔着玩。对国家和企业而言,是不是应该锻造更强的防守能力?
现实是,我是从攻击者慢慢转变成了防守者,很想却很难地招到现成的“守”。
“攻”远远多于“防”,我认为有三个原因。
第一,人才培养手段单一,培养的是单点人才。
想必不是我一个人吐槽过,现在很多企业收到的安全人员的简历是——我打过什么 CTF 和 PWN 类型的比赛。
第一种比赛,培养做题和漏洞挖掘的能力;第二种比赛,也是主打挖掘相关软硬件的漏洞,然后上场比赛。针对后一种,想必大家有所体会,近两年国外著名 PWN 比赛的选手,很多是中国的安全研究员,有些赛场主要是中国队互相PK。
最近我听说了一个消息,上层内部发文称,不鼓励中国的安全企业派人参加国外的 PWN 等比赛,个中意味,大家自己体会。
另外,很多白帽子属于野路子出来的,也就是半路出家,精通的是某一个垂直领域,没有经历系统的学习,是“单点型”人才,比如,他对反序列化漏洞特别了解,擅长抓这个漏洞。再让他搞别的,他搞不了,而我们需要的是系统结构型人才——具有攻与防的技术素养,并且有密码学等知识背景,能够快速适应企业真正安全工作的需求。
第二,虽然冒出了很多安全企业,但是可能还是“什么热,研究什么”,但很多很重要的漏洞却不是我们发现的——比如开源框架的“心脏滴血”和最近曝光的英特尔 CPU 漏洞。
现在,整个安全产业是“一块块补丁”,大家都在努力“贴膏药”,这不好。
第三,我想举个例子,大家自己体会+1。美国对国家级安全项目是这样抓的:验收指标不是由直接承担项目的专家定,而是由另外参与项目的团队制定,从项目申请开始到项目结束,对样本和结果有效性的 PK 贯穿项目始终,这样做出来的东西会越来越好。
我总结的中心思想是:攻防比例要均衡,要以防护为主,研究方向要平滑,不要光追热点。
不追热点,追什么?追大势。
老马在 2015 年说过,我们正从 IT 时代转向 DT(数据技术) 时代。
数据在每个企业的地位是什么,大家心领神会。但对于数据安全,我有不同的想法。
我认为,数据安全的范围远不止守护一台服务器,我们要做到的是,即使数据被泄露,攻击者也无法解密数据,达到“可用而不可见”。
如果你关注业界进展,就会发现某主流芯片厂商正在研发一项与此相关的数据加密技术,目前该技术还处在前沿研究阶段,但中国的互联网大厂基本都在跟进该技术,当然,也包括我们。
如果真的把这项技术应用于改造业务,这意味着以后大家只需要着重管理数据采集阶段的安全以及守护密钥的安全。
当然,这并不意味着挑战减少了。
在数据搜集阶段,哪些数据该搜集,是否符合国家隐私政策,以何种手段能保证采集的信息就是加密的,在搜索和使用等流通环节,在数据加密的条件下,依然能够顺利、高效地使用数据,如何证明数据的原始所有权归属,源头数据就意味着这是真实数据吗?如何在加密数据丢失后却能反向跟踪窃取者……
除了数据安全,我还认为,自动化工具可以是研究方向之一。在安全对抗中,不要想着以肉身一敌百,要善于利用自动化工具以一敌千。
不久后,我会做一个以防守为主的竞赛,如果你不信,可以试试看,人类智慧凝聚的自动化工具与肉身同场对敌,箭矢铺天而来,我相信,这样的环境能让你明白,我所说的防守与以一敌千是何等重要。
想聊下安全圈里的事儿,欢迎关注微信公众号“宅客频道”。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。