在 QCon2015 北京站上,黑哥以《阉党、流氓、傻X:业务与安全》为题,痛陈了业务与安全存在的诸多矛盾,并吐槽了诸多无视安全问题强行上马业务带来的巨大风险。企业终于开始在一次次血泪教训中重视起安全建设,因此,“实践第一、案例为主”也正是本次 ArchSummit 北京站的宗旨。我们邀请到了安全焦点创始人张迅迪来倾力打造“信息安全保障最佳实践”专题论坛,以下是 InfoQ 对张迅迪的一次访谈。
InfoQ:在安全焦点的网站上有这么一句话,“为什么中国的黑客几近于无,有的只是浮躁、虚荣、作做……或许是缺乏 Free 与 Open 的环境。”在您看来,造成这种环境缺失的根源是什么?您觉得现在的环境如何?
张迅迪:首先要知道什么是黑客,或者说什么是黑客精神。黑客精神的特性是善于独立思考、喜欢自由探索;热衷解决问题、克服种种限制,黑客精神从来就是一种崇尚自由、分享的精神,是一种具有灵匠钻研的精神,还有就是一种坚守基本道德底线的精神。而为什么黑客越来越少呢,我觉得是这种精神的坚持难度。在一个只要把道德底线放低点,进入一些灰色或黑色的产业就可以收获名声 (中性的)、金钱、美女、衣食无忧、拿着坚守道德底线远不能企及的收入的时代,正统黑客当然就会越来越少了,也间接导致整个安全行业的浮躁,包括大量黑色产业的爆发。但是,幸好有一些坚持的人——坚持技术的钻研、道德的约束,坚持知识的传播与技术的分享。
随着信息安全行业近两年来的快速发展,信息安全企业最终得到了国家的重视,也让坚守黑客精神的技术人员迎来了春天,迎来了站着也能赚钱的好光景。现在的环境是企业、国家对安全重视了,各种众测、*SRC 能赚点给女友买礼物的钱了,终极的是 Defender 技术也能赚大钱 (TK 教主两次为微软提供缓解防护方法获取的奖金)。恩,环境变好了,技术人员待遇好了,可以安心的醉心于技术研究了。
InfoQ:从 2002 年到现在 XCon 作为老牌黑客技术大会已经连续召开了 14 届。江湖人称您为安焦教父,能谈谈您对黑客大会的理解吗?作为 ArchSummit 大会安全专题出品人,您怎么看待业务安全在企业发展中的作用?
张迅迪:黑客大会,或者技术大会最开始就是一次技术爱好者场下交流、必须认识分享的聚会。后来随着信息安全行业的发展、会议的增多和扩大,又成为挖掘人才、生态建设、品牌传播的渠道。不可否认的是安全技术大会推动了安全行业的发展,包括国内组织的 XCon、 Kcon 、乌云、阿里安全峰会、 360ISC ,国外的 BlackHat 、 DEFCon ,无一例外不是技术爱好者学习、分享,互通有无、结识好友的集聚地。
就互联网等公司而言,攻防趋势和互联网业务发展是对应的,安全一直是随着核心业务一起发展的。因为安全自身不创造价值,安全的价值必须和公司业务挂钩,来间接体现。但通过建立为业务服务的安全体系,保障业务自身的安全漏洞,大大减少了资损率和企业负面的曝光率,使得信息安全技术和业务风险管理会走向并驾齐驱的方向。也就是说,在卓越绩效企业的理念中,没有终止信息安全技术或是启动业务风险管理的“节点”,它们是二者完全融合在一起的。
InfoQ:我们看到最近两年,除了 XCon 这样的老牌安全会议,乌云峰会、KCon 黑客大会、阿里安全峰会等安全会议也不断涌现。这对推动企业信息安全建设以及推动安全行业的发展有哪些意义?
张迅迪:正如刚才提到的那样,总结起来就是起到技术的交流、分享,推动人才的发现、发掘、交互,品牌的曝光、宣传、传播及生态的建设。对安全行业有积极的意义。
InfoQ:这几年安全人才的流动比较频繁,也呈现出一些特点,比如从传统安全厂商流向 BAT、或者出国、或者创业。大牛蛙说 3Q 大战和斯诺登事件给安全行业带来了新的机会。在您看来,未来几年安全人才的流动会有哪些趋势?安全行业又会产生什么变化?
张迅迪:随着信息安全的快速发展,企业加大了业务、产品、服务等安全上的投入,而离钱最近的企业,如金融、电商、游戏,云厂商将会更关注安全,所以这些行业对安全技术人员的需求相信会更大。另外就是 BAT3 公司有着互联网公司典型的众多全新的业务模式和强大的执行力将会持续吸引安全人才加入。而纷纷投入创业大潮的今天,也有少部分安全人士加入到创业公司中去一展所长。至于传统安全行业,随着甲方市场对人才的吸引、对企业安全的冲击,包括互联网云化对传统安全产品的影响,及以关系型销售为导向的业务模式,势必需要一段艰难的转型期,来面对激烈的变革,如果不能拥抱变革,很可能会淘汰。
InfoQ:呆神在今年启动了一个“神话”安全人才颠覆计划,希望“通过这个活动,让对信息安全技术有兴趣的人提振信心,也让更多地人关注信息安全,关注信息安全人才培养,建立一个人才需求与人才输出方之间相互了解的桥梁。”但是长期以来,国内安全人才一方面是不断地向外流出、一方面供需极不平衡,您怎么看待这个问题?您对安全人才的培养有哪些认识?
张迅迪:多年从事安全技术的人不外乎有做黑产的、被国外的环境薪资条件 (薪资现在不一定是重点了) 等吸引到国外安全公司服务、被互联网公司大量招聘及传统安全公司坚持的路子。这使得老的人才不断流失,而国内高校、培训机构又不能培养出新的适合企业使用的人才,造成了供需的不平衡。而随着新兴行业云的崛起,云安全领域的不断投入,会导致专业性实用性的人才更缺失。
根据估计,每年高校培养的信息安全专业毕业生不足一万人。由于培养以概念、理论为主,缺乏实践的操作,及对信息安全领域技术迭代快速更新的特性追随和把握,使得与企业急需的实用性人才落差较大。通过信息安全上升为国家一级学科,企业与高校参与合作度的提升,各种攻防平台的培养和各种 CTF 的人才选拔,应该能在将来看到一大批安全人才填补现在的空缺。
另外对于安全人才的培养,别忘了培养独立、自我的思考,交流和分享的精神以及道德底线的约束。
InfoQ:谈过安全会议、安全人才培养,接下里我想请您谈谈安全理论建设。国内高质量的安全书籍除了早年安焦的《网络渗透技术》,新书貌似只有《白帽子讲 Web 安全》和《Web 前端黑客技术揭秘》了。您本人在著书立说方面有没有什么计划?
张迅迪:积累不够,没有著书计划:)。
给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群
)。
暂无签名
分布式云行业实践指南(2023)
业内首个分布式云行业实践方法论、工具箱。
评论