做安全有什么用,價值何在?

2019-06-12 618848人圍觀 ,發現 27 個不明物體 企業安全數據安全

*本文原創作者:熊貓正正,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

這篇文章,我想談談,做安全有什么用,價值何在?怎么樣才能讓安全從業者體現自己的價值,這個話題也許是大多數安全從業者一直在思考的問題,不管是安全新手,還是安全老手,在做安全的這條道上,都一直逃不掉的話題,如何才能體現安全從業者的價值,因為只有讓安全從業者的價值在企業中得到體現,才能贏得別人的認可,安全從業者才能獲得相應的回報……

安全從業者,大部分是在專業的安全公司,也有一些是在非專業的安全公司,不管是在非安全公司,還是在專業的安全公司,我們都需要從不同的角度去體現我們的價值,我從自己從業多年對安全的一些理解,給大家簡單剖析一下,如何在這些企業體現自己的價值。

非安全公司

在非安全公司,做安全有什么用?一般在非安全公司做安全的,主要是一些中大型互聯網公司,這些公司的業務需要安全保障,公司的重要數據需要防護,幫助這些企業做好安全防范是安全從業者的價值體現,一般非安全公司安全問題:

1.黑客攻擊業務,導致業務中斷;

2.黑產“薅羊毛”,對公司的業務造成重大損失;

3.黑客盜取公司重要資產和數據。

2012年,我在朋友的介紹下加入騰訊,成為騰訊的反病毒工程師,在騰訊電腦管家病毒分析組(藍光分析組),從事病毒等惡意樣本的分析工作,當時騰訊QQ盜號非常嚴重,已經嚴重影響到了騰訊的相關業務和口碑,我們組重點負責反QQ盜號項目的研究與分析工作。

在一年多的時間里,我們聯合騰訊其他部門一起成功打掉了國內十幾個QQ盜號團伙,期間我們組作為安全分析團隊,每天的任務就是研究追蹤監控各種不同的QQ盜號木馬,QQ刷磚等惡意軟件,通過逆向分析這些惡意樣本,給其他部門提供了多種相應的對抗手法,同時也從樣本中提取到了很多有價值的信息,幫騰訊在反QQ盜號方向做出了很大的貢獻,可以發現在2012年之后,國內的QQ盜號和刷磚類惡意軟件有了明顯的減少。

記得當年,整個聯合團隊是獲得了騰訊安全運營獎,我們組做為安全分析團隊,只是做了應當做的事,可能微不足道,卻得到了公司和部門的認可,也許這就是做安全的價值,也是公司對安全從業者的一種肯定。

隨著互聯網時代的高速發展,有很多新型的互聯網公司掘起,比方像:今日頭條、美團、餓了么,拼多多,大疆,OPPO等公司,他們在高速發展的同時,也是離不開安全,這些新型的互聯網公司,很多已經達到幾百億美元的規模,公司的業務發展需要安全做保障,可以看到近幾年這些互聯網新型公司也在大量招聘各類安全人才,從主機安全到移動安全,從WEB滲透測試到網絡安全攻防,從威脅情報到AI大數據安全分析等,都在瘋狂招人,招攬的這些安全人才,主要任務就是保障公司的業務正常運作,防止黑客攻擊,業務出現中斷,企業重要數據丟失或被盜等安全問題,這些安全問題都需要安全從業者去解決,根據不同的業務,企業不同的需求,運用我們專業的安全知識幫企業或客戶解決相應的安全問題,才能體現價值。

一個公司發展壯大,如果沒有安全做保障,業務就會受到攻擊,上個月,易到用車服務器被勒索病毒加密,攻擊者索要巨額比特幣,如下所示:

圖片1.png

黑產每次都在不斷的對企業發起各種攻擊,尋找各種突破口,企業如果不重視安全防護,就很容易被黑客攻擊成功,在一些企業里,安全從業者最大的價值就是保障企業的業務正常運行,不被黑客進行攻擊,防止重大安全事故的發生,減少企業因為各種安全問題而造成重大經濟損失,事實上最近不斷有各種企業被黑客攻擊,造成巨額的經濟損失,企業安全問題還有很多需要解決,要做的事還有很多。

2019年1月,拼多多平臺被薅羊毛,傳聞說一夜之間損失了200億,如下所示:

圖片2.png

防止公司業務被薅羊毛,在一些大型的互聯網公司都是有專業的團隊在做,也有一些安全公司專門從事這塊,為一些大型的互聯網公司提供解決方案,怎么防止像拼多多這樣的薅羊毛事件的發生是安全從業者在這些企業要考慮的,同時這些企業業務層面存在的一些潛在漏洞風險也是需要安全從業者提前考慮,進行防護的,如何能有效的對一些安全風險進行控制和防范,就是安全從業者的價值體現。

隨著虛擬貨幣的興趣,也有一些黑產將目標瞄準了這些虛擬貨幣公司,通過各種黑客攻擊手段,惡意軟件盜取這些公司的虛擬貨幣,如下所示:

圖片6.png

安全從業者在這些公司,可以采用各種安全加固手段,對企業的一些重點業務和數據進行保護,建立一套安全管控機制,同時提高公司重點相關人員的安全意識的培養,有效的保障這些公司的資產或數據不被黑客盜取也是安全從業者的價值所在。

由于這幾年2C安全的沒落,賺不到錢,一些安全從業者也轉向了非專業安全互聯網公司,在這些新型的互聯網公司,從事業務安全工作,給這些公司提供安全保障,安全從業者主要的收入也就是靠公司業務的提成。

以前我在騰訊電腦管家部門,也會和騰訊其他業務部門合作成立一些聯合安全團隊,去保障騰訊其它業務的正常運轉,然后進行分成。

比方與游戲部門進行合作,幫他們分析處理各種游戲盜號木馬以及外掛,記得當時DNF很火,有很多DNF盜號木馬和外掛,當時聽說一個十幾人左右的DNF外掛團伙,一年可以賺上億的灰色收入,同時也給DNF業務部門造成了一些損失,很多DNF盜號木馬,能過盜取游戲玩家的帳號和密碼,然后對虛擬裝備進行買賣套現,我們做為安全分析人員主要的任務就是幫游戲部門研究分析各種盜號木馬以及外掛軟件,從中獲得黑客使用的盜號和外掛技術,從而提出針對性的防御措施,防止DNF游戲玩家被盜號以及檢測外掛等,這些都是我們做為安全從業者價值的體現。

有部分一些安全從業者在會幫公司做一些WEB/APP源代碼審計和加固等安全工作,未審計或加固的應用,黑產們會通過逆向分析這些應用程序,找到應用程序的一些漏洞或數據,再把這些獲取到的漏洞和數據拿去做黑產,謀取暴利,后面也出現了一些安全公司專門做安全加固的,主機加固、APP加固等。

安全從業者在這些非安全公司從事安全工作,主要就是防止企業被黑客攻擊,獲取企業重要數據資產,攻擊企業的重要業務,保障企業可能遇到的各種安全問題,做黑產的人每天都在不斷的在對這些企業進行攻擊,安全從業者必須時刻保持警惕,才能防止各種安全事件的發生,同時在這些企業從業者,必須時刻關注外界的一些安全動態以及安全事件,對曝光的一些重大的安全事件,進行跟蹤分析,及時對企業的業務進行相應的加固,防止未來被黑客利用攻擊。

安全公司

專業的安全公司主要是為了給其他企業提供安全產品與服務,我之前在金山毒霸呆過,像之前瑞星,金山毒霸,江民,360等等都是屬于專業的安全公司,這些公司的業務就是做安全,依靠安全來賺錢,之前主要的業務主要是2C,也有一些企業的業務,比方金山毒霸之前就有企業版和海外版兩個版本,不過后面也沒做起來……

還有一些安全公司,比如:啟明、綠盟、深信服,這三家公司也算是國內最早的一批安全企業,不過他們的主要業務就是2B,客戶基本都是企業客戶,企業收入有一部分都是來自安全,主要保障其他非安全企業的業務正常運作,以及安全防護,加固等。

針對這些專業的安全公司,我就不說做安全有什么用了?我主要說說在這些企業安全從業者的價值在哪?

我是做終端安全的,先講講安全企業終端安全,如何體現安全從業者的價值?

之前我就說過,安全的本質是對抗黑產,不研究攻,如何能防?知已知彼,百戰不殆,安全攻擊與安全防護是相輔相成的,沒有攻,哪來的防?研究各種黑產攻擊方法以及技術手段,是安全從業者的必備技能。

我在做惡意樣本研究與分析,主要需要從樣本中尋找有價值信息,以及黑客使用的一些安全技術手段,提取相應的威脅特征,加入到企業安全產品中,提高企業安全產品的安全能力,在逆向分析一些最新的樣本之后,從樣本中提取的威脅情報,可以為企業的安全產品提供及時有效的安全能力,幫助企業客戶防范這種類型的惡意樣本攻擊。

專業的安全公司的安全產品是由開發人員開發的,但往往大部分的開發人員,事實上并不具備專業的安全知識,導致開發的產品安全能力上不去,或不能及時有效的解決最新的安全問題,導致客戶不滿意,任何一個安全產品都需要長期的安全運營,不斷的更新里面安全特征,才能保證企業的安全產品能及時有效的解決遇到的最新的安全問題。安全永遠是對抗的,不可能一勞永逸,安全產品需要持續不斷的改進才有用,不然任何一個安全產品,只要不更新,不運營,基本都沒啥用。 

其實有時候我理解的做安全研究就是不斷填坑,做黑產就是不斷挖坑,黑產挖了多少坑,就需要安全從業者去填補多少坑,能填多少坑,安全從業者的價值就有多大。 

其產國內企業安全市場還是很大的,未來也還有很大的發展空間,現在做企業安全的各種安全產品還有很大的發展空間,未來的競爭也會越來越大,企業的安全產品,我接觸和了解的企業安全,目前主要有三大產品:

1.邊界防御AF(NGAF);

2.態勢感知SIP;

3.終端安全EDR。

現在有些媒體和安全廠商也在這些產品的基礎上推出了各種新的概念,發明了一些新的名詞,就不多說了,就目前國內各大安全廠商的企業安全產品現狀來看,確實還有很大的改進和發展空間,這些安全產品的安全能力要不斷持續跟進,以應對新的安全威脅,安全從業者需要利用自己的專業知識,為這些產品賦能,持續不斷的運營改進,從而提高這些安全產品的安全能力。 

邊界防御AF

邊界防御的防火墻攔截流量靠什么,靠威脅情報(相應的規則),沒有規則,又怎么知道云攔截什么流量呢?而且一些流量還是經過加密處理的,怎么解決識別加密的惡意流量,也需要解決的問題,防火墻的規則需要不斷更新才有用。

態勢感知SIP

態勢感知其實就是威脅情報報警器,它的作用就是給企業用戶提供安全報警功能,既然是威脅情報報警器,那沒有威脅情報,又如何報警。

終端安全EDR

以前就叫殺毒軟件,現在多了一些功能,有了一個后臺管理系統,可以統一管理終端,也就成了現在的云管端EDR,事實上不管EDR怎么演變,最重要的功能還是:安全檢測與處置、安全防御,安全檢測靠的是威脅情報,沒有威脅情報也檢測不出什么東西,終端安全比AF和SIP多了一個安全處置的功能。

怎么提高這些企業安全產品的安全能力,就需要持續不斷的給這些產品提供更多最新有效的威脅情報,這樣才能不斷提高這些企業的安全產品能力。

上面我都用了一個詞叫:威脅情報,這也是最近幾年各大安全會議和安全廠商都提到的話題。各大會議和安全廠商都在宣傳自己的威脅情報中心,威脅情報確實很重要,是安全產品的核心,可以說沒有威脅情報,安全廠商的安全產品基本沒啥用,也防不住新的黑產攻擊。

每個廠商都有自己的威脅情報庫,也都在積極建立自己的威脅情報庫,還有一些專門提供威脅情報的安全公司,這些公司以賣威脅情報為主,可以說未來大多數安全公司都會有自己的威脅情報庫,威脅情報做的好與壞,決定了一個安全企業的價值,誰能給客戶提從更多有效有價值的威脅情報,才能贏得客戶更多的認可。

大家都在談威脅情報,都是談態勢感知,都在談AI,大數據,威脅情報+大數據+AI,好像企業安全里有了這些就可以阻檔各種安全威脅了,其實大家都忽略了一個重要的問題,那就是:安全的本質永遠是人與人對抗,人才是最大的安全風險!做黑產的人不斷提高自己的攻擊手法,就會不斷有新的安全威脅出現,這就要求咱們安全從業者能持續不斷做好自己的本職工作,不斷提高自己的安全技能,通過自己的專業技能,獲取最新的威脅情報,加入到企業的安全產品中。

準確有效,高質量最新的威脅情報從哪兒來?這也就我說的安全從業者的價值所在了。任何安全研究與分析,最后的產出都是為企業安全產品提供各種有用的威脅情報信息,產品開發人員再根據安全從業者的研究成果,不斷改進提高企業安全產品的安全能力。

一些國外的專業安全公司,都有自己專業的威脅情報團隊,比方最近幾年發展很快的兩大國外安全公司,palo alto和fortinet,相應的安全博客地址,我也經常翻看他們的博客:

https://unit42.paloaltonetworks.com  

https://www.fortinet.com/blog/threat-research/

經常也會發布一些最新的安全事件報告,如下所示:

圖片3.png

為什么這些企業的安全產品能做好,國內企業安全市場其實很大,但國內的一些企業安全產品卻沒有產生更多的收益,給企業創造更多的價值,需要國內一些安全企業領導,重視安全研究,吸取國外一些優秀安全公司的經驗,讓安全從業者在產品開發運營過程中有更多的發言權,大家相互合作提高企業的安全產品的能力,做好安全。

在一些專業的威脅情報公司,也都是有自己的威脅分析團隊。主要是從樣本中去尋找威脅情報,這些威脅情報是最新且最有效的,當然這部分威脅情報也是這些威脅情報公司收費最高的,而且只面向收費的高端客戶,一般普通客戶使用的情報大多數是通過使用一些自動化工具進行提取。能過自動化工具提取的,不保證威脅情報的準確性和高效性,需要企業或安全從業者進行二次篩選鑒別,這些都是安全從業者的價值體現,如何創造更多有效高價值的威脅情報。 

有一些公司還有紅藍軍對抗團隊,紅藍軍通過各種安全研究, 黑客攻防演練提升企業的安全能力。安全公司大部分都有自己的藍軍,藍軍就是給企業的安全產品找問題,從而提高企業安全產品的能力,這也是安全從業者的價值,主要為企業的各個安全產品提供安全能力的輸出以及支撐作用,不斷幫助企業安全產品提高自身的安全能力,能過好的安全產品幫企業客戶解決安全問題,從而體現自己的價值。

不管安全從業者從事哪一項安全研究:漏洞挖掘、安全分析,滲透測試、安全開發、代碼審計、安全加固,都需要在工作中不斷的研究,踏踏實實做好自己的本職工作,不管你是在非安全公司,還是安全公司,都是為了給企業提供更多的安全能力,防止企業或客戶被黑客攻擊,贏得企業領導和客戶的認可。 

企業安全問題,還有太多需要解決的,也還有很多事可以做,最近幾年針對企業的黑客攻擊事件太多了,安全從業者需要踏實做好安全研究,努力提高自己的安全業務能力,對抗黑產,充分體現自己的價值。

希望每一個安全從業者都能體現自己的價值,讓領導和客戶都能真心的感受到做安全帶來的好處,贏得他們的認可,這樣自己才能得到好的回報,而不是讓領導和客戶反問你:做安全有什么用,價值在哪?

好了,就聊到這里了,雖然還有很多沒有聊到,安全包含的東西太多了,我僅僅是拋磚引玉,談了自己的一些看法。我們做安全能給企業和客戶帶來什么價值,這是每個安全從業者必須思考的問題,每個人在自己所在的企業,可能價值的體現都不相同。也歡迎各位安全從業者留言,不管是在非安全公司,還是在安全公司,都來談談自己所理解的安全價值在哪,談談你所在的企業,你是如何做安全的,如何得到領導和客戶的認可,為他們創造了什么價值,歡迎大家一起交流安全從業心得與感受!

圖片5.png

最后感謝各位支持我的朋友,感謝你們,多謝你們的關注。

*本文原創作者:熊貓正正,本文屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

這些評論亮了

  • SeahlWD (1級) 回復
    沒出問題,你們安全有什么用?
    出了問題,你們安全有什么用?
    )64( 亮了
  • 價值:背鍋俠
    )36( 亮了
  • 認可騰訊的安全技術,自從幾大門派高手加入后,安全能力增加了不少。 但覆蓋窗口類的盜號木馬還是挺多的。 我鉤子解密不了,窗口直接給你蓋住,一樣拿到權限。不允許蓋就提權。 一樣沒轍。 但如果你要拿整個騰訊安全部來背書說企業安全這個行業正當中年的話,就錯了。 他已經是老年了。 不能騰訊1949年加入國軍。(2019年加入TO B安全) 你就說1949年入國軍就是正路。 不管是CDN防御還是態勢感知。 捫心自問,真的防的了大黑客嗎? 你能把MX TXT WEB APP OA等等全CDN嗎? 態勢感知是近幾年才有的嗎? 企業大安全的概念是近幾年才有的嗎? 很明顯不是。 很久很久以前就有態勢感知,只是那時候的態勢感知不叫這個名而已。再捫心自問一下,還記得陳進教授嗎? 當年陳進教授拿著美國CPU造的漢芯, 現在眾多安全公司拿著國外的各種文本引擎和開源組件造的各種安全防護產品。 又跟陳進有什么區別? 你不申請經費罷了,申請經費這個性質就完全變了。 還有很多,這個說完估計這個站也要關了。 還是算了。 個人認為, 要想讓自己體現到價值,只有在自己的路線上有深的耕耘,其余的別無他法。 老哥哥也好好搞病毒分析吧。 TO B你可能真的不了解。 它在國內至少已經發展了十年了。
    )11( 亮了
  • 呵呵 回復
    背鍋俠+1,作者初衷是好的,但這套說辭可能對還在校的大學生有激勵作用,但對已經在安全行業待了三年以上的人來說就沒用了。 安全真的沒什么特別的,和碼農一樣,和以前的紡織女工一樣,只是個需要不斷鋪人上去的基礎工作而已。
    國內安全公司做得真正好的,可以說是沒有,真的沒有,因為大環境就是這樣,你技術牛逼成本高你就貴,貴就沒人用,就像作者說的啟明、綠盟、深信服這三家公司哪家不是靠著大量的鋪人,每年招N多的應屆生簡單培訓下就去駐場。 技術真的牛逼么? 不牛逼,就是靠鋪人,說好聽點叫服務好,說難聽點就是忽悠。 真能解決問題么? 不一定。
    安全人員真正的價值,在非安全公司就是為公司省了多少錢,提供了多少方便(就是保證不出事,如果有相關問題罩得住。公司在乎安全只有錢這一個因素,國外為什么在乎安全? 因為實打實的罰款和影響收入,國內就不一定了,酒店數據泄露了怎么樣?還不是依然天天爆滿。)。 在安全公司就是為公司賺了多少錢。
    )9( 亮了
  • 陳乾 回復
    企業只有被日過才知道價值
    )7( 亮了
發表評論

已有 27 條評論

取消
Loading...

特別推薦

推薦關注

活動預告

填寫個人信息

姓名
電話
郵箱
公司
行業
職位
css.php 重庆百变王牌走势图