不是第一次想在一个特殊的时间写点什么,但是每次都是刚写了几个字就又停下来,有什么好说的呢?既然整个行业都是说的多,做的少,我们不如更多的踏实做点事情比较好,所以又把编辑器关掉。
但这次还是希望能和大家分享,过去经历了什么、读到看到了什么、想到了什么,和大家一起来讨论对安全的思考。
在一个月前,教育部发了个报告,说到2027年,我国网络安全人员缺口将达327万。再譬如我们了解到安全行业人才已经供不应求,薪酬也远远高于其他岗位,年薪百万并不是一个很稀奇的事情了,努力的人都可以得到。
很高兴看到企业都开始愿意为安全建设做出投入,大家也有了更好的安全意识。没有企业愿意自己被黑客攻击,愿意数据流出,安全环境在变得越来越好。
信息安全行业的生生不息,大家薪酬的水涨船高,好多人并不清楚安全行业薪酬会这么高的根本原因。
这在十二年前,2010年的今天,情况不是这样的,过去发生了非常多的事情,这要从乌云时代开始说起。
前六年:2010年,乌云时代开启
网络安全的问题,在于其封闭性,黑客本身是个很神秘的圈子。而公众这边每个人都担心出安全问题,但几乎每个人又都不知道安全问题到底是什么。
信息的严重不对称,导致这个行业很难得到改善,掌握信息和系统机制缺陷的人会利用信息和缺陷进行牟利。
而如果最终的用户都不关心安全问题,那么产品制造商和基础设施提供商就不会在安全方面进行投入,如果企业本身都不在乎安全问题,那么程序员写起代码来也就会随意。
同时大多数公司的运维和安全人员,几乎没有来自行业和内部的竞争压力、强监管压力,日久天长就会变得工作效率低下、不负责任,慢慢地躺下。
这样安全问题(漏洞)也就越来越多,最终的结果是社会要为这些安全问题付出代价,大量的敏感数据、隐私泄露、电信诈骗漫天飞。
而只有当用户把安全性作为选择企业产品的考量之一时,企业就会重视和加大在信息安全上的投入,研发人员就会有更多的资源和动力去处理安全问题,从而营造出越来越好的安全生态。
促使这个生态形成的前提,需要安全问题被看见,需要行业具备更高的「透明度」,这就是乌云存在的那六年时间一直在做的事情。
2016年,乌云关闭了。但无可否认,乌云和那「9245名白帽子」为业界所起到的积极正面作用,他们让更多人深刻地了解到安全问题是什么,从而更加关注安全。也让企业变得更加安全,乌云帮助行业完成了一个正向的循环。
乌云社区将一切对安全极为感兴趣,对事物运行的原理有着天生的好奇心,愿意将技术回归技术,愿意为其他朋友做出贡献的人定义为白帽子。
乌云社区作为桥梁将「我」和「其他白帽子」联系起来。每个白帽子都拥有对别人有价值的知识或才华,每个白帽子都拥有自己的特质,每个「我」都站在社区的中心,个体的差异之和是一种无限强大的力量。
我个人的驱动力是,我已经有一份稳定的工作,爱好安全而又没有任何压力驱使我使用技术去谋取黑色利益,我能够以正确的渠道展示自己。
乌云的存在,让我认识到大量优秀的人,和他们交流我获得了非常快速的能力提升和成长,我成为了那堆火的一颗小火星。
当然,乌云的暂停不意味着安全问题(漏洞)就会消失。我依然希望它有一天能回来,我要成为那一堆火,渴望着风。
风,能吹灭蜡烛,也能使火越烧越旺。
随后,非常庆幸整个安全行业平滑地过渡到由顶层牵头的慜感のProject时代,步入下一个六年。
后六年:慜感 の PROJECT 篇章
在2016年前后,互联网曝光了大量黑客事件和攻击武器,我们第一次清晰地感受到了黑客的攻击能力和破坏力,并逐步开始敬畏黑客和重视安全建设。
斯洛登事件,大家看见了由鹰酱试图操控全球的棱镜计划(PRISM),爱因斯坦计划(NCPS),鹰酱网络空间安全行动计划(CNCI)。这时我们知道了国与国之间的技术差距有着霄壤之别。
2016年,比特币不足5000人民币一枚,随后几年,比特币的价格飙升到顶峰40万人民币一枚,匿名货币是网络犯罪的温床,促使勒索病毒、网络攻击越发的猖獗。
2017年,阿桑奇创建的维基解密组织 WikiLeaks 披露了一批情报部门(C/I/A)下属黑客部门的机密文件,代号:Vault 7,通过这些文件,大家看见了鹰酱在全球部署的黑客武装力量。同一时期Hacking Team事件,方程式组织 (Equation Group)浮出水面,大洋彼岸的敌人非常的强悍。
2017年,黑客组织 Shadow Brokers 把鹰酱安全部门(N/S/A)下属特定HACK行动办公室 TAO 给入侵了,并且在互联网披露了他们的专用黑客军火库(其中包含永恒之蓝EternalBlue),直接导致勒索软件在全球爆发,国内多个高校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金才能解密恢复。
2018年,GandCrab 勒索病毒以胜利者的姿态宣布隐退,赚了20亿美金后,金盆洗手把所有安全从业者戏弄了一番。2018年10月16日,一位叙琍亚的父亲发推特求助,称自己的孩子都在战乱中死去了,唯一留下的念想就是保存在电脑里的视频和照片,而GandCrab病毒加密了他的电脑。
看到这位叙琍亚父亲推特后,GandCrab开发者很快就在论坛上道歉,称没有将叙利亚列入免攻击名单是一个错误。随后,将叙琍亚在内的其他战乱地区都列入勒索病毒白名单,并且全部解锁恢复。
更有勒索软件Ziggy宣布金盆洗手,作者仅仅只是对自己的所作所为感到悲伤,就为受害者退还了赎金。亦正亦邪,我行我素。
2013年开始,被鹰酱主流媒体和安全厂商神话的National黑客组织「龙组」,对线被我方神话的鹰酱机密进攻性National黑客部门(特定HACK行动办公室 TAO)。对手被描绘得越强大,安全机构和组织部门依靠「假想敌」获得的社会支持和资源也就越多。
在这些密集的安全事件和强大对手的洗礼下,我们的决策层开始非常重视安全,壹号也在2018年提出「没有Cyber安全就没有National安全」的基调,倒逼我们的网络安全建设全面提速。
为了积极主动地应对来自敌对势力国的网络攻击威胁,有效防范关键基础设施的网络安全风险。启动了慜感のProject,高端玩家正式进入实战对抗阶段。
每一年的攻防实战对抗,都切实有效地帮助我们的祖国大幅提升了整体的防御水平,这是一件非常伟大且意义非凡的事情。所有具备实战能力的安全工程师都得到了前所未有的尊重和重视,特别是红队(Red Team)。
每年的某月,非常的欣喜,依旧还能看到一些白帽子和工程师仍旧保持着一贯的认真,默默的奉献着自己的能力,认真这个品质在互联网时代显得是那么的稀缺。
大前年,我和剑心谈论到安全行业的变化,但是大家也知道,这当然并不是一个最好的时代,薪资的上涨,顶层的重视,环境的变化导致很多人变得更为浮躁,产生的实际价值远远低于他所创造的,行业成为风口也同样导致行业更加浮躁,创新和踏实是艰难的,相比起来表面的浮夸却变得更为容易。
因敏感の行动驱动,以漏洞交易为核心的封闭进一步促进了这种浮躁,越来越多的年轻人关注短期的物质回报,越来越少的人愿意参与技术的分享和成长,在过去几年的时间里也许很多人的机会增加了很多,但是有多少人关注自己真正成长了多少呢?
包括我自己也是这样,过去六年我在技术上的进步几乎没有。在法律法规越来越严格的趋势下,我担心我们对技术越来越缺乏敬畏之心。在下一个六年,我希望自己还可以做点事情,能为关注分享的人创造一些机会,能为愿意成长的人创造更好的环境,真正以技术和产品创新给行业创造更多的价值。
你好!下一个六年
过去十二年,我们所有人、所有企业,对待安全问题和对待健康的态度很像,只有当我生病了或是体检报告通知我有问题,我才会去看医生。所有人都关注健康,但是没有一个人说,今天晚上我就去锻炼,就去运动。
大量企业的安全问题只有在被外部人员发现,被社会公众、监管机构、企业的决策人看见时,才会被定义为真正的安全问题,才会引发重视和得到高效的解决。整个行业的发展,驱动力多数情况下是由「安全事件驱动」,大量企业开始安全建设的时机,往往也是在发生了一个重要的安全事件。
当没有外部声音提出安全问题时(可能黑客早已在内网无数次的漫游),大多数企业的安全团队都会当做没事发生(且问题能掩则掩),绩效考核结果:0起安全事件,我们今年的安全做得真好。
企业的决策人在很长一段时间内,如果没能感知到安全事件的发生,会导致他们对安全风险发生的概率产生误判。安全团队作为成本部门,慢慢会成为开源节流被砍的对象。
安全最基本、最基础的工作是在「事前防范」,在风险未成形前,看出征兆及时化解,防患于未然。基础工作自然需要足够多的投入才能真正做好,有的时候前面走的太急,是要折回去重新把路踩实的。企业不重视基础建设,就会容易陷入连续救火的状态。
在这种环境下,如果遇上些不太了解安全的高管,看不到那些踏实做事的安全工程师,看不到一些本该提前解决的安全问题。总结会上还频繁表扬救火英雄的事迹,安全就更加难做了。
企业对待安全的态度,解释了今天为什么我们就算拥有强大的人工智能、算法天才、超算集群,却依然解决不了弱口令的问题,解决不了大量反复出现的低级安全问题。企业的员工、研发、运维人员还在不断地犯错。
如果说未来六年,安全事件依然还是安全发展的核心驱动力。
黑客相信必要的时候,
唯有亮出真实的威胁,
人们才会开始重视安全,
才会开始寻求解决方案。
在合理合法的情况下证明系统或程序存在漏洞,发现问题的能力在未来变得至关重要。
只要安全问题(漏洞)被源源不断的发现,只要安全问题还没有从根源侧得到解决,安全需求就会源源不断产生,安全行业就会生生不息,当有一天黑客没法再自由地发现问题,这个行业大概也就陷入停滞了。
就在去年一年的时间,整个中国的智能手机出货量3.1亿部,智能网联汽车出货量1370万辆。这么多的端和设备在源源不断接入网络,企业的业务持续互联网化,间接导致了攻击面爆炸的问题。
人的时间和精力越发的宝贵,人工发现问题(漏洞)的效率太低了。如何发现更多的问题,更高效的发现问题,这个问题困扰了我很长一段时间,十几年前我就在想,一定得有那么一个系统来半自动化地辅助我们解题。
如果某个人不愿意放下他们自己手上正在做的事情,并且全身心地投入到感兴趣的事情之中,没有执行力的想法最后也只能是空想。
就在一个月前,我正式到了长亭科技,非常幸运这里也有一群人一直在做着同样的事情。我们花了一些时间进行交流,在北京中关村768园区,洞鉴、无锋、云图三大主力完成了最终会师。
小伙子们的目标是成为「宇宙第一扫描器」,听起来有点壮志凌云的意思了,而我们现在还只是学院路第一,还有很长的路要走,还需要脚踏实地的加把劲,在最快的时间达成「中关村第一」的小目标,北京市第一、华北地区第一、全国第一,这些个阶段性里程碑都在等着我们。
我很兴奋,已经开动在做自己感兴趣的事情了呀,做自己想用的东西。热爱的感觉真好,每天可以折腾到凌晨2点而不觉得疲倦。
《发明:詹姆斯·戴森创造之旅》戴森写了他本人的亲身经历,说自己有很多次打扫房间时,发现袋式真空吸尘器总是失灵,没啥吸力,灰尘总把袋子里的气孔堵塞,阻断气流。作为一个消费者,他感到自己受骗了,甚至很愤怒,这种愤怒持续了好几个月。作为工程师的Dyson为了解决自己的问题,世界上第一个免纸袋真空吸尘器诞生了。
《鞋狗:耐克创始人菲尔·奈特自传》作为运动员的菲尔·奈特,他的田径教练比尔·鲍尔曼认为他的队员需要更好、更轻的跑鞋。于是教练走出训练场,在工作室里尝试着往家用蛋奶烘饼模具里注入橡胶,耐克最著名的铁模鞋底便应运而生了。
做你自己想用的东西,解决自己实际问题的方法最大的优势在于能让你喜欢上自己的产品。你十分了解其中存在的各种问题以及价值所在,也能很快发现它到底好不好用。除此之外也没有其他办法了,毕竟你(很有可能)会为这件事战斗很多年,甚至竭尽所能。所以,最好还是做自己真正关心的东西啊。
很多事情表面上是一夜告成,其实背后都有很长时间的积累。我们一辈子,想做成点什么事,都需要经过长期的酝酿和积累,不可能仓促草就。对吧?
这已经不是一个拿出一朵花来吓人一跳的时代了,这是一个让大家看着一朵花慢慢长出来的时代,看着一项技术一点点成熟,一个项目一点点长大。
如果你也对发现问题这件事有着相同的兴趣,想要做点什么,欢迎大家积极参与:)
我是乌云核心白帽子,#0 猪猪侠
向白帽黑客致敬!