开发者社区> 华蒙> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

阿里安全资深专家杭特谈安全圈之“怪现状”

简介: 使“数据”自身变得“攻不可破,盗不可用”,才是安全的最终目的。
+关注继续查看

近年来,为了吸引更多的安全人才涌入,各企业和部门也为此做出了各种努力和尝试。比如举办各类的攻防比赛,破解表演……例如:XCTF、GEEKPWN、WCTF、XPWN等;比如开设挖掘漏洞的高额奖赏机制;比如提高安全人员的就业薪资待遇等。

在国家和企业的重视和关注下,我们看到越来越多优秀的技术人才涌出,信息安全已成为各高校中炙手可热的专业, 安全人才就业率也在逐年增加,各行各业的信息安全爱好者也投入其中,“挖掘漏洞”成了一件很“极客”,很有挑战并且很有成就感的事情。但渐渐的,我们也发现了安全圈的一个怪现象,那就是:“攻多防少”、“野战军远远大于正规军”、“安全人才结构不合理”。

在本次的采访中,阿里安全资深专家杭特就此问题阐述了自己的一些独特想法。
_

杭特在安全行业从业十余年,本科数学专业出身的他,因纯粹的兴趣爱好,硕士攻读了计算机信息安全专业。毕业后曾在绿盟担任高级技术研究员,他说在刚入行的八年中,每天的主要工作就是深挖各种漏洞,漏洞越挖越多,但是被挖出漏洞后的软件安全性却没有得到提升,在这样的环境下感觉自己力量特别渺小,转身到了甲方公司-阿里巴巴。

杭特算是圈内对“攻、防角色”最有发言权的安全从业人员代表了,甲方和乙方公司的工作经历让他积攒了很多工作经验,也得到了很多切身的感受和想法。他认为,相较于欧美等发达国家,国内人才培养在结构和技能方面,有几个不吐不快的“怪现状”。

1. 重视“攻”, 轻视“防”

攻防作为一个硬币的两面,哪一方面都不可或缺,因此才出现了“以攻促防”,“未知攻,焉知防”之类的金句。但现实往往不尽如人意。现在安全人才在总数不够的前提下,防守人才更是极其匮乏,比例严重失调。

杭特认为,在安全从业者中,“攻”与“防”的人员比例应该维持在1:2的比例,整个企业安全才算是健康的组成结构,这和企业是否重视安全有着密不可分的关联。互联网企业的快速发展,使大量的企业还是停留在”先活下去,再考虑安全“的意识形态中。使拥有高技术的安全人才把大部分精力都放在了攻击,寻找漏洞的成就感中,而忽视后期的“安防”再建设,违背了“以功促防”的初衷,忽略了网络安全的核心本质问题,那就是:如何使安全大门牢固,而不是漏洞百出,一身补丁。

2. 重视“攻防”, 轻视“数据”

网络安全大部分都属于Security的范畴,但随着IoT和ICS 的出现,动动鼠标也能物理危害人身安全,从而扩展到了Safety的领域。由于Safety更注重能影响物理世界的安全,因此作为争夺“EIP”控制权的“攻防”是最为重要的;而Security要重点保护的,其实是“数据”的控制权。

企业把大部分攻防精力全部放在了“数据”周围的保护中,而忽略了“数据”本身的安全。从外围防御到核心保护,是企业应该转变的防护思维方式。如何能使“数据”自身变得“攻不可破,盗不可用”,才是安全的最终目的。

3. 重视“单点、破坏”, 轻视“体系、建设”

安全本不是平等的对抗,打开恶魔的盒子不那么难,但灾后重建却异常艰难。相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。国内的大部分企业还是偏向于单点攻防,哪里出现了漏洞补哪里,而无法做到全方位的安全防御,而没有形成一个整体的安全战略规划。就好像企业把安全的大门修补的催不可坚,而忽视了大门内部和隐形威胁的安全防御。杭特认为企业的安全体系建设,与企业对安全的重视、成本投入、安全人员的整体技术提升密不可分。

在安全圈人才紧缺的情况下,发展机器学习已成为行业趋势。目前在国内除了各类的CTF的比赛,也举办过类似机器人的攻防比赛,但对比国外的机器攻防比赛来看,我们也看到了国内比赛很多不足。比如,成本投入较低,参赛团队的专业技术的有限,比赛噱头大于技术PK。

安全圈内的“破解大赛”层出不穷,却没有一场纯粹的“防御比赛”。杭特向小编透露,阿里将会在本月底打响国内首届防御比赛的第一枪——“阿里安全软件供应链大赛”。希望通过这样的比赛,把中国企业真普遍存在安全痛点和威胁找出来,让企业知道安全应当怎么样做,如何使自身的防护能力得到提升,而不是被动的修补漏洞,最终可以使安全圈有所收益,更是欢迎各方的团队,安全厂商来参与。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里oss跨域相关的解决
设置跨域访问 登录OSS管理控制台。 在左侧存储空间列表中,单击目标存储空间名称,打开该存储空间概览页面。 单击基础设置页签,找到跨域设置区域,然后单击设置。 单击创建规则,打开设定跨域规则对话框。
140 0
图文详解:内存总是不够,我靠HBase说服了Leader为新项目保驾护航
大家好,我是小羽最近在工作中用到了 Hbase 这个数据库,也顺便做了关于 Hbase 的知识记录来分享给大家。其实 Hbase的内容体系真的很多很多,这里介绍的是小羽认为在工作中会用到...
56 0
阿里字节技术大佬都在用的List集合去重方案!
常规去重 碰到List去重的问题,除了遍历去重,我们常常想到利用Set集合不允许重复元素的特点,通过List和Set互转,来去掉重复元素。
39 0
北京、杭州随你选!阿里安全实验室招聘各种技术人才
阿里安全实验室招聘各类技术人才!杭州、北京任选!
6417 0
阿里安全技术平台资深专家玄泰解密:“如何防止信息泄露”
近年来,大规模的个人信息泄漏事件不断发生,由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身,这背后有什么独门秘籍呢?
4115 0
阿里Atlas开源?提升团队移动开发效率
本文讲的是阿里Atlas开源?提升团队移动开发效率【IT168 资讯】继Weex之后,阿里在移动技术领域又有开源大动作。
1663 0
+关注
华蒙
这个人很懒,什么也煤油留下。
158
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载