Appearance
结束语谈谈我的安全观
《Web 安全攻防之道》自 2020 年 11 月开始写,至现在,已历经 3 个多月,在这里正式地向你说一声"再见 ",同时也感谢你一路的陪伴,希望这个专栏的内容能让你有所收获。
这是我第一次写专栏课程,之前编辑联系我时,我一开始也不知道写什么,毕竟与平时写公众号文章不一样。之前想写啥就写啥,而课程需要系统化地设计,相对比较连贯、完整。写作期间,编辑们也经常帮助我修改文辞、设计图表,在此一并感谢。
庆幸的是,结局不算差。最后,聊聊我的安全观,以作本次课程的结束语。
武德与技艺
俗话说"学艺先做人",一颗善良的心比技术本身更重要。
早几年,年轻时春节回乡,见过一些搞黑产的同学,每年几百万收入。而自己寒窗苦读十余年,工作奋斗多年,却不如一个初中毕业的。
但是后来自己释怀了,"君子爱财,取之有道",自己正道获取的才有成就感,才真正拿得住,而对方所拥有的一切并不长久。
曾见过一些人入行几个月后,就去搞黑产,在网上晒豪车,晒比基尼派对;而再过个一年,人进去了,一切如梦幻一般;还有的人躲在国外,春节都回不了家,虽然很有钱,但老婆孩子都几年没见面了,过着有钱而不幸福的日子。
所以,对于想进入安全行业的人,奉劝一句:不要搞黑产!
个人与行业
以前在 QQ 或者安全论坛上经常会看到"拜师贴",现在知乎上又常见到有人问如何进入安全行业,或者认识到很厉害的黑客。
如果你足够优秀,行业会自动接纳你。
无论是学习还是工作,总期冀有人手把手教,有人一路带着飞,那几乎是不可能的,没有谁有这个义务和责任,更没这个时间。
当然,如果你不做技术,也可以进入安全行业,比如 HR、猎头等等,他们也常混迹于安全圈,对行业非常了解,人脉也很广。
局部与整体
有次在外面开会,一会新闻记者问我"微信到底安不安全?"当时我回答:微信安全与否,不仅仅是由自身 App决定,还受手机系统环境影响。比如利用系统漏洞窃取微信聊天内容,以及其他人为疏忽的原因,如密码泄露给他人,手机掉了且未锁屏等。
而看待安全问题,需要从整体考虑出发。
这就如下图所示的抽屉,单纯锁一个抽屉,对它而言看似安全,但从另一个未锁的抽屉进去,也同样可以拿到有锁抽屉内的东西。
锁抽屉
安全与业务
多年前,曾有阿里员工在匿名社区上吐槽阿里安全部是"阉党",称其总拿安全说事,阻碍业务发展。
阿里内部员工对安全部的吐槽
这种安全与业务的冲突在企业内部经常上演着,个人认为有以下几方面原因。
安全知识匮乏:很多业务不懂安全,也就无法理解安全问题所带来的危害,自然就不愿意配合。以前就曾遇到过业务不配合去修复漏洞,然后服务器被入侵了,导致业务方在公司内被通报批评,此事之后的安全事件处理,大家也就都变成非常积极。
优先级认知不对等:多数情况下,安全人员认为安全高于一切,业务人员认为产品体验、性能等业务功能高于安全。另外,安全工作很多不属于业务同学的 KPI,修复漏洞或者安全加固等工作对他的绩效帮助不大,大多是"附加工作",优先级没有业务开发工作高,也就不太愿意配合安全工作。
安全价值可见度低:安全人员做了很多工作,但也无法保证绝对的安全性,有时可能还是会被入侵,这时候由于业务未看到安全价值,导致会有抱怨。这正如大雨下的雨伞,已经帮你挡住了大部分的雨水,而你却只看到了零星洒落到你身上的雨滴。
针对以上这些问题,企业应该经常对业务同事进行安全培训,提升安全意识和技能,尽早地让安全成为业务的一部分。让大家意识到安全工作是大家协同完成的,而不应该全由安全人员来背锅。
而安全人员也应该尽可能地让安全价值可视化,多宣传下安全系统的价值。比如通过 WAF 年底总结报告,让大家了解安全部帮助公司拦截了多少次攻击,以及进行全局实时攻击态势展示,统计漏洞扫描系统全年发现多少个漏洞等等。
其实安全与业务的冲突问题,本质上就是互相理解与信任的问题。
因为安全与业务的冲突本就是长期存在的,难以避免,这时就应该互相站在对方的立场思考问题。比如,有些低危漏洞的修复与架构整改成本过高,甚至影响了用户体验和性能,这里就可以考虑其他安全妥协方案,来兼顾、倾向业务的发展。
技术与运营
一切有利于提升产品安全能力与影响力的方法都可称为安全运营。例如,接收外部反馈去优化产品体验、通过复盘漏报的漏洞去优化检测规则、宣传产品能力和价值等等。
有些纯技术人员,一心沉迷于技术本身,使用了很多非常厉害的技术,系统检测能力也很强,但由于没有业务使用,最后还是黄了,这就是运营不善导致的;
很多安全系统开发完成后,剩下的难点不在于系统开发本身,而是在于规则的不断优化,这就需要你长期进行积累;
刚刚我提到安全价值的可见度低,所以这就更需要通过运营手段去展示和宣传了,让业务人员看到安全的价值。
所以,你可以看出很多时候安全运营不是技术问题,而是运营问题。
可以这么说:技术是基石,运营是必要的,但炒作是可耻的。
一些公关炒作也可以看作是运营的部分,因为团队或产品需要对外发声,以提高影响力。个人并不排斥,只是反感一些违反道德的不实炒作。
比如,有些安全公司发现漏洞后,给漏洞命名,然后通过购买多方的媒体宣传渠道,故意炒作,夸大漏洞危害,企图提升公司知名度,这种恶意炒作行为就应该受到抵制。
综上可见,安全行业并不只是一个技术工作。它还需要你具备君子般的武德、持之以恒向优秀进发的毅力,以及能够顾全整体的广阔视野。最重要的是,你还需要是个懂业务、擅运营的安全人员,能在技术之外,与其他伙伴协调、配合,为团队贡献更多力量。
以上便是我结合自己多年来在安全行业的所见所闻,总结了一些安全观点,供君参考,也欢迎你在留言区分享更多你的安全观点。
青山不改,绿水长流,祝各位在牛年工作顺利,在事业做出更牛的成绩!
再见!