作者:陈鑫杰

随着国内外大规模安全事件的愈发升级,例如大批量CIA/NSA等核武器级网络攻击工具持续曝光、WannaCry病毒席卷全球、Apache Struts2高危漏洞刷爆安全圈,影响数千万在线服务,并且伴随国内的《网络安全法》正式成为法律法规,《信息安全等保安全》系列政策更新,[安全]对于大部分企业来说,已经从[可选项]变成了[必选项]甚至是[强制项]。举个例子,越来越多的互联网企业、金融或电商企业、国企或政府单位,不断组建SRC(Security Response Center,安全应急中心)和安全研究团队,拉拢各方安全人才,为自己的产品、应用、数据保卫护航。


很多公司的IT技术岗位划分上面,以往大体分为开发族和运维族,现在突然多了一个独立的安全族。(可以到百度或者Google搜索“SRC安全响应中心”),安全团队也不再是大厂或者互联网公司专有,只要是“触网”的企业,都需要安全人才加入。


这跟几年前的安全行业相比,已经发生了极大的变化,最大的变化便是:[ 安全从“被动”变为“主动”,从“意识”变为“行动” ]。以前的安全行业基本是这样来运转的:甲方单位根据自身的业务和应用,向乙方公司提出安全需求,乙方向甲方提供安全解决方案、安全产品、安全加固、渗透测试等服务。这里甲方一般是国企政府、银行金融、电商游戏等任何有安全服务需求的机构,而乙方单位则可能是启明星辰、绿盟科技、天融信、安恒、深信服、华为、知道创宇等网络&安全企业,说的更简单一点,以前安全的需求就是,甲方出钱向乙方购买安全服务,是的,[安全]直接买过来不就可以了?缺安全产品?买! 被人攻击了,买攻击回溯和安全加固 ! 缺人?买安全驻场人员!总之,[安全]在以往企业和政企运转中,以类似“插件”的方式来实现。

但是现在的情况可有所不同,越来越多公司的的业务、应用、数据直接基于云端来开展,核心数据直接连接在互联网上,而中间仅仅隔着一堵”墙”,稍有不慎,就引来杀身之祸,例如核心用户数据被黑客“脱裤”并公布。用以往做安全的角度来防御,我们可以设计一个安全网络架构、购买一堆安全硬件产品,并且堆砌上来,就可以后顾无忧了。而现在企业的业务场景完全不同,服务器上面跑的业务可能是电商业务、可能是视听业务、可能是游戏业务…… 这样的话,不同业务产生的安全问题(攻击面)也随着变化,甚至很多安全问题不是来源于技术层面的,而是业务和逻辑层面的,这些已经很难用单维度的安全产品来解决。

正因如此,甲方单位的安全需求尤其以互联网公司为例,已经没法再由乙方单方面的安全服务来[完整满足]了。简单来说,安全从单维度的以购买安全产品和服务的传统的 [ 被动防御 ],需要加入另外一个维度即 [ 主动防御 ],例如成立安全小组,主动了解黑客入侵方式,对攻击事件零延迟响应,对攻击路径进行回溯分析,对自家产品进行安全审计、安全测试等。那么,这些安全审计、渗透测试等,不也是可以直接从乙方企业购买? 当然可以购买,没有核心技术团队的,暂时就是这种方式来实现。而有强烈安全意识的、有核心技术团队的,而且业务系统和应用非常多又杂的、核心数据非常重要的、对安全响应要求零延迟的,类似这些企业,会全盘交付给乙方单位?所以,这两年,我们可以看到越来越多的SRC(安全响应中心)出现,各种各样的在线漏洞提交平台和众测安全服务出现,以一种全新的[主动防御]的方式,更加开放的、更加多维度的姿态来应对安全,例如邀请白帽子来为自己的业务系统挖洞并且给出奖励,组办高大上的安全会议和安全大赛拉拢各方大神。

从这个层面来讲,这对我们安全人员其实是大大好处,因为从职业发展规划上来看,我们的选择权变得更加多了,可以从甲方跳到乙方,更可以从乙方跳到甲方,行业的需求和人才流动性变得更加大了,例如这两年周边做安全的小伙伴,从绿盟科技、天融信、华为这种网络&安全大厂,跳到互联网公司、政企国企单位、或者新兴的安全创业团队等,圈子和技术力量不再集中在乙方安全企业,当安全无处不在的时候,也正说明这个市场是更加的活跃和成熟了。

而站在[纯技术]人员的角度来出发,最好的了解和把握这个行业趋势,就是做渗透攻击出身的学习安全防御知识框架,做安全防御出身的更好的学习渗透攻击知识框架。举个栗子,但凡在IT系统集成商、服务商、网络或安全厂商待过的,有给过政府、银行、税务、社保、运营商等等做过系统集成&安全集成服务的伙伴,都会有一种错觉,以为自己能写的了各种安全等保/分保方案(什么三级、金税、金土、金X …)、选的了安全设备、能刷各种配置调通各种产品、能做各种安全加固,然后就会以为自己上了天,而当回过神来看的时候,各种[云安全解决方案]、[软件定义安全]、[机器学习/自动化/主动防御技术]、[机器学习+大数据+安全]等概念已经满天飞了,这个时候才意识到,手艺活又该抓紧更新了。

恩,上面这段话,其实也是说给自己听的……

题外话
安全行业的岗位和需求层出不穷,可以站在甲乙双方来分类,可以站在攻防两端来分类、可以站在技术链来分类,也可以根据岗位具体业务来分类。经常听到的,例如安全服务、渗透测试、安全加固、安全运维、安全审计、安全架构、安全集成、攻防研究、安全研发、云安全、Web安全、移动安全、工控安全 ……
当然,技术鄙视链存在于各行各业,尤以IT互联网为甚,例如“程序猿”、“攻城狮”、“产品汪”等等;即便是同一安全行业,也有所谓的安全研发鄙视做安全渗透的,做安全渗透的鄙视做安全运维的…… 对于这个,个人观点如下:
大家都是出来做“鸡”(技术)卖艺的,也就别相互嘲讽啦,事儿能否做成,取决于于团队的通力合作;另外,在新技术和未来面前,大家都是孩子,保持学习、保持敬畏才是真道理。



相关课程:

《Web安全工程师》:http://edu.51cto.com/topic/1181.html

《高级Web安全工程师》:http://edu.51cto.com/topic/1183.html

《CCIE魔鬼训练营》:http://edu.51cto.com/topic/255.html