新科技讯 近年来,为了吸引更多的安全人才涌入,各企业和部门也为此做出了各种努力和尝试。比如举办各类的攻防比赛,破解表演……例如:XCTF、GEEKPWN、WCTF、XPWN等;比如开设挖掘漏洞的高额奖赏机制;比如提高安全人员的就业薪资待遇等。
在国家和企业的重视和关注下,我们看到越来越多优秀的技术人才涌出,信息安全已成为各高校中炙手可热的专业, 安全人才就业率也在逐年增加,各行各业的信息安全爱好者也投入其中,“挖掘漏洞”成了一件很“极客”,很有挑战并且很有成就感的事情。但渐渐的,我们也发现了安全圈的一个怪现象,那就是:“攻多防少”、“野战军远远大于正规军”、“安全人才结构不合理”。
在本次的采访中,阿里安全资深专家杭特就此问题阐述了自己的一些独特想法。
杭特在安全行业从业十余年,本科数学专业出身的他,因纯粹的兴趣爱好,硕士攻读了计算机信息安全专业。毕业后曾在绿盟担任高级技术研究员,他说在刚入行的八年中,每天的主要工作就是深挖各种漏洞,漏洞越挖越多,但是被挖出漏洞后的软件安全性却没有得到提升,在这样的环境下感觉自己力量特别渺小,转身到了甲方公司-阿里巴巴。
杭特算是圈内对“攻、防角色”最有发言权的安全从业人员代表了,甲方和乙方公司的工作经历让他积攒了很多工作经验,也得到了很多切身的感受和想法。他认为,相较于欧美等发达国家,国内人才培养在结构和技能方面,有几个不吐不快的“怪现状”。
1. 重视“攻”, 轻视“防”
攻防作为一个硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。但现实往往不尽如人意。现在安全人才在总数不够的前提下,防守人才更是极其匮乏,比例严重失调。
杭特认为,在安全从业者中,“攻”与“防”的人员比例应该维持在1:2的比例,整个企业安全才算是健康的组成结构,这和企业是否重视安全有着密不可分的关联。互联网企业的快速发展,使大量的企业还是停留在”先活下去,再考虑安全“的意识形态中。使拥有高技术的安全人才把大部分精力都放在了攻击,寻找漏洞的成就感中,而忽视后期的“安防”再建设,违背了“以功促防”的初衷,忽略了网络安全的核心本质问题,那就是:如何使安全大门牢固,而不是漏洞百出,一身补丁。
2. 重视“攻防”, 轻视“数据”
网络安全大部分都属于Security的范畴,但随着IoT和ICS 的出现,动动鼠标也能物理危害人身安全,从而扩展到了Safety的领域。由于Safety更注重能影响物理世界的安全,因此作为争夺“EIP”控制权的“攻防”是最为重要的;而Security要重点保护的,其实是“数据”的控制权。
企业把大部分攻防精力全部放在了“数据”周围的保护中,而忽略了“数据”本身的安全。从外围防御到核心保护,是企业应该转变的防护思维方式。如何能使“数据”自身变得“攻不可破,盗不可用”,才是安全的最终目的。
3. 重视“单点、破坏”, 轻视“体系、建设”
安全本不是平等的对抗,打开恶魔的盒子不那么难,但灾后重建却异常艰难。相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。国内的大部分企业还是偏向于单点攻防,哪里出现了漏洞补哪里,而无法做到全方位的安全防御,而没有形成一个整体的安全战略规划。就好像企业把安全的大门修补的催不可坚,而忽视了大门内部和隐形威胁的安全防御。杭特认为企业的安全体系建设,与企业对安全的重视、成本投入、安全人员的整体技术提升密不可分。
在安全圈人才紧缺的情况下,发展机器学习已成为行业趋势。目前在国内除了各类的CTF的比赛,也举办过类似机器人的攻防比赛,但对比国外的机器攻防比赛来看,我们也看到了国内比赛很多不足。比如,成本投入较低,参赛团队的专业技术的有限,比赛噱头大于技术PK。
安全圈内的“破解大赛”层出不穷,却没有一场纯粹的“防御比赛”。杭特透露,阿里将会在本月底打响国内首届防御比赛的第一枪——“阿里安全软件供应链大赛”。希望通过这样的比赛,把中国企业真普遍存在安全痛点和威胁找出来,让企业知道安全应当怎么样做,如何使自身的防护能力得到提升,而不是被动的修补漏洞,最终可以使安全圈有所收益,更是欢迎各方的团队,安全厂商来参与。