当前,专业的安全技术人才“供不应求”是个全球性的问题,它也给现有网络安全队伍带来不少压力。网络安全从业人员怎样才能跟上业务和IT风险的步伐?这不仅仅需要安全技术、战术的提升,他们更需要聆听来自“前辈”们在一线的实战经验分享。
InfoQ与长亭科技信息安全研究院共同发起“网络安全从业人员现状调查”的同时,也采访了在网络安全方面有着多年实战经验的专家,一起分享这些年在网络安全方面的探索路。
实践产生实用价值
美丽联合集团安全专家、安全项目总监止介(吴飞飞),统管着集团全线安全产品。之前的软件开发、产品研发和项目管理经历,让他对网络安全有着更全面认识和实用价值。
和大多数网络安全从业人员相似的是,止介的安全路也正是从“人肉挖掘”和“修复漏洞”开始。随着公司业务扩张以及安全行业的起步,公司在安全方面的投入也越来越大。当时的止介,作为蘑菇街第一个全职安全人员,以客户安全为切入点,开发出了和安全关联较强的几个产品:数字证书、实名认证以及堡垒机,并同时人肉挖掘和修复显著的安全漏洞以及全局防护措施。经验的积累、专业安全团队的壮大,让止介在软件开发和信息安全方面的特长得到了充分发挥,从而肩负起集团整体安全项目架构及各类安全项目的设计和研发之重任。
美丽联合集团所处的电商行业是国内各个行业中对于安全最重视的行业之一。在止介看来,目前攻防不对等导致防御方投入过大是这个行业面临的最大挑战。试想,几百个攻击者只需要在几千个系统中找到最薄弱的那一个,而几十个防御者需要保护好几千个系统容不得一个薄弱点。
因此,美丽联合集团也将安全团队分为信息安全和网络安全两个二级部门。顾名思义,网络安全主要负责网络层面的安全,比如DDoS、CC、劫持、非法爬取调用等常规网络攻击的防御和分析,以及移动端(iOS/Android)安全。信息安全团队则负责除网络安全范围外的事情,比如应用安全、主机安全、数据安全、终端安全、内控、威胁情报、应急响应、安全规范制定与落地、安全运营等。
止介的团队还为美丽联合集团制定了诸多防范计划和应对预案。在应用安全方面,用Eagle(黑盒漏洞扫描器)挖掘各类漏洞;Cobra(白盒源代码安全审计)扫描各类安全风险和漏洞;Begis(安全修复组件)帮助开发人员快速修复漏洞;Aone(安全工单)承接所有安全相关需求;在威胁情报方面,设置了Dylan(情报系统)收取各类威胁情报;在应急响应方面,用SRC(安全应急响应中心)搭建与白帽子沟通交流的平台,让白帽子发现的安全问题有地方可交并能得到反馈和奖励;在主机安全方面,用Turtle(堡垒机)管住所有服务器的登陆入口;Wolverine(金刚狼)做好服务器自身安全;蜜罐捕获和欺骗恶意攻击;在内控方面,用GuGu(入网管控)控制人员入网入口,推动全网免密,并且制定和落实各类安全规范,对新入职员工进行安全培训;在网络安全方面,采用Gaea(WAF)& WAF2.0 抵御0day和常规网络攻击;流量清洗抵御DDoS;IDS(入侵检测系统)分析和报告入侵信息;CSP(内容安全策略)防御广告劫持、常规XSS等等。
在移动终端如此发达的今天,美丽联合集团也专门针对移动安全制订了相应的安全风险检测加固及防御体系。
除此之外,美丽联合集团也在营造一个安全生态,比如运营公众号、SRC(安全应急响应中心)、厂商与白帽子的关系、厂商与厂商间的信息互通等等。
顺应市场趋势,关注职业规划和发展走向
多年的一线实践,也让止介对安全产品甄别更趋向于应用层面。
在止介看来,安全产品存在的意义就是为了取代人肉解决安全问题,其整个生命流程应尽可能的自动化,因为每多一步人工参与所带来的效率损害都是巨大的。其次是高级灰度,现在的安全产品误杀率偏高,所以需要支持各维度的灰度功能来进行对比。同时,无法扩展的系统将无法适应这个变化莫测的环境。
误报率、漏报率对于各类极端环境、极端目标的处理,也都是现今安全产品设计最需要考虑的问题。
纵观当前的安全形势,相同的业务背景下,漏洞数量会下降,但是漏洞质量却会上升。所以安全从员除了在熟悉原有的前端、后端、客户端、运维、数据库、算法等基础技能之外,还需要对每一类的技能进行深入的研究才能跟上队伍。而知识的获取,除了从专业学科学习外,大部分都来自于实战经验中。
止介建议,安全人员应该关注职业规划和职业发展走向。未来几年绝大部分的漏洞都将被工具系统挖掘所替代,若还在人肉挖掘浅显漏洞势必将被淘汰,安全从业人员要练就不可替代性的真功夫。兴趣和努力是最好的老师,这也是行业能否可持续发展的动力。
结束语
InfoQ与长亭科技信息安全研究院共同发起的“网络安全从业人员现状调查”正在进行中,如果你是网络安全从业人员中的一份子,如果你愿意为网络安全人才建设贡献一份力量,如果你希望结识更多网络安全同行,那么快来参与这份“网络安全人才现状调查”,亮明你的态度吧,我们也将把最终调研结果与你分享。