程序员人生 网站导航

IDF威慑防御实验室联合创始人万涛:全球监控与泛互联网时代的新安全人才观

栏目:互联网时间:2014-09-18 09:22:33

5月24日,首届中国网络安全提速论坛在中关村软件园召开。本活动议题为“如何建立安全人才快速培养机制?”来自百度、CSDN、卡饭论坛、IDF威慑防御实验室等多位专家围绕该议题展开深入探讨。


IDF威慑防御实验室联合创始人万涛

IDF威慑防御实验室联合创始人万涛在主题演讲中分享了他对网络安全的新认识。与传统狭义认识不同,现在的网络安全应包含更多维度,应覆盖有业务思维的基础安全、有态度的信息安全、有效益的社会安全、艺术和美的传播安全、无边界、有权责的数据安全、风险导向的金融安全。新安全观对新安全人才提出了新的挑战,新型安全人才应具有广阔的视野、平衡观,具有艺术之美,也需要跨界。

他表示作为安全行业人才,要有一颗黑客的心,自由平等分享和互助的心,辅以新安全人才观和宽广的视野,共同打造未来美好的安全生态。

以下为演讲实录:

万涛:安全这个话题其实可能回溯到去年在长沙大会上的一个沙龙,当时跟全国高校的老师一起来PK安全人才的教育培养问题,当时这个问题引起比较大的吐槽,用了这样一句话,究竟今天高校的安全老师是在给学生解决就业问题还是学生在给老师解决就业问题。其实这个话题可能不仅是在安全教育上,在信息教育以及很多应用学科上都出现了这样的问题。我觉得安全人才很难培养出来,因为基础学科延续数学、语言、哲学这些都有很多年的历史沉淀,信息安全体系是全新的,1998年我参加第一届中国信息安全大会的时候,中国的安全公司只有5家是信息安全,大部分做加密的。

其实我在高校也讲过很多课,我也能理解,在我们这种教育体系下很多课程,比如信息安全现在还是二级学科,可能很快有机会成为一级学科,但是无论它是一级还是二级,它的体系课件是死的。比如说像政治、外语等这些课程,学分很高,课时占的很长。我记得在很多高校就问信息安全专业的学生,你们有多少人是因为喜欢信息安全而选择这个专业的,100个人可能只有几个人会举手。所以今天你会看到,过十几年或者多年沉淀的,很少会有科班的,当然也有。下面我就跟大家分享一下关于安全人才观及安全观的看法。

泛互联网时代,传统安全边界被快速淹没

今天是一个泛互联网化的时代,对于安全需求有着不同需求。刚才我还在微博上跟小米吐槽,小米安全中心发了微博,说是漏洞悬赏,最低的是200块钱,高危漏洞给2000块钱,对比360的4万2,我就吐槽,我说2000块钱傻瓜才给你呢。今天的环境真的变了,安全的传统边界已经被淹没掉了,像卡饭论坛这些传播方式已经变了,很多传统安全的人对安全的影响是不在意的,这也是传统安全以往做不起体量的原因,因为用户投资安全但是不如投资别的来的实际。

互联网本身的变化,包括社交媒体,现在我们在微信里面还在聊,像Facebook、Twitter有很多攻击行为。老美对中国国情的理解跟《反恐24小时里面》,我们经常看到美剧里面反映中国的,好歹用个普通话说的好点的人,经常里面的普通话我们都听不懂,都不知道找的什么人。所以那里面很多层面上反映的问题是大家对传播性、专业性的认识不纯的问题,包括今天各种各样的数据库,种种都是为今天的泛安全化创造了客观的土壤和条件,包括做安全的、安全运维的人都不能去理解的。

下一个是关于媒体的,现在媒体的边界也在稀释,不再是传统说的报纸,比如我后面一张幻灯片是关于斯诺登的,大家都知道去年6月份的时候斯诺登到香港直接受到两家媒体的采访,一家是英国卫报,还有一家是南华早报,2012年年底的时候南华早报整个邮箱都被破获了。我们结合刚刚前面讲的,在今天的发言权下从移动互联网到今天的感知,包括对Twitter的攻击,还有斯诺登事件影射后面会看到今天的传播源、数据源已经离散化了。在这种情况下,整个安全的范畴才会去热炒APT,APT其实讲白了就是不择手段或者精心构建攻击。今天看到一个采访,谈了谷歌以前遭受的攻击事件,也可以看到这个发起点也是通过社交攻击进行的,是通过一个漏洞使谷歌的一个员工中招,包括一个中国员工。

在这样一个过程里,在这样一个全球监控大的环境背景之下,这是美国NSA,通过他的停车厂的规模可以判断他的人员整个投入规模,你要有机会将来可以参观NSA的数据机房,在德州数据机房会看到整体的规模,他每天处理的数据流量可能会比很多互联网公司都大。

在这种泛监化的情况下,无论从反思还是从整个管理来讲,所以我后来一直有观察,其实不止中国的黑客,印度、俄罗斯、中东,每个后面都有懂相应国家语言的情报分析员,有人会采集数据、有人会分析数据,你会看到在今天这种安全体系下,包括整个各个国家所面临的其实是一样的,都是处于脆弱的安全人才状态。如果那个东西是真的只能说明我们的攻击水平很差,说明我们这个水平跟你不在一个层次上,比如说振荡波、火焰病毒我们知道肯定是国家队的行为,但是我真的是拿不出证据来说把老美的某个人找出来谁干的,我没有这样的能力。

云计算、物联网等新技术迅速流行,而网络安全重视程度却不够

你可以假象一下,我们今天互联网还在快速的发展,包括可穿戴设备,包括互联网、车联网这些都很热,这些都比我们安全更赚钱、都比安全更吸引人。安全人才的出路在哪里,这些里面有多少在意安全的?

比如我现在在家里面做家庭改造,我去年已经建了电站、包括业余电站、微型电话,包括带WiFi的电路控制,其实所有这些穿戴设备拿来晚,这些穿戴设备真的只能做体验用的,要把很多度量放进去今天很多穿戴设备漏洞百出。比如某一个厂家,他带WiFi的插座卖的还不错,在京东上我看卖的量还行,但是他那个上面有一个APT,是可以被绕过去的,就意味着如果我要入侵他,可以远程关掉你家里的电脑,相当你用了那个插座,那边是连WiFi的,这边APT能上网就能摇动那个WiFi插座,那里面大概有3千多用户,管理后台是超简单,就是一个内部用的,因为他肯定不是给你用的,但是完全可以拿下,拿下以后我可以对三千户的家庭操作他们家的电网,所以我现在都把这种设备用在家庭非主流上面,可能主要是一些路由器或者辅助的电器上,不会说把主要电路接进去。

像这样的情况如果发展这么快,再加上大数据,如果结合APT,通过他的WIFI,如果我对这个用户进行定位,就会精确知道我万涛住在哪儿,对我家定点进行对一个个人数据的攻击,这样在你认为可靠的家庭里一样是不安全的,而且有可能由于一旦这些设备上来了有可能带来不是信息安全那么简单了,比如连你的门禁,电器。我们去年模拟过对电器进行攻击,今年做了一个实验,某一个产品核可以让他输出白屏。这种情况,如果说我们的安全人才还是局限在过去的传统安全,比如我们强调责任、专注、坚韧、价值,其实有很多安全交流会,但是我们过去安全人才通常是作为ABC,安全人才里面还是照这样的模式,工程类的、系统安全类的、管理类的,是这样来分的。好像在他不懂这个业务的基础上就可以培养出安全人才来,所谓这种职业安全教育出来的学生可用性不强,除非他们当中有自我学习能力比较强的,就像刚才前面说的很多是靠自学的。

所以在传统安全人才观里面,虽然我们出了一些人才,也涌现了很多的安全人才,中国是一个大国,有那么多愿意自愿去学的,但是也有很多人因为往上延伸不上去所以才转黑产上去了,我们带出来的很多孩子转到黑产上去了,但是黑产有时候不能一味的贬低,很多做黑产的业务思维特别好,而我们自己做业务设计让,比如程序员或者产品经理这块能力是比较弱的,你没有黑产就可以做这块,他有这种业务逻辑、找漏洞能力,所以构建或者注入的时候很多时候都是你想象不到的方式,你把漏洞给程序员,他知道可以补上。如果传统的安全人才观就像我们一味的讲我们中国工夫一样,我们有很多武侠片,大家都看过金庸小说,我们都把我们自己的功夫想象的出神入化,其实大家都知道真正实战的时候中国功夫是不管用的,到时候就像这种天山武林大会一样,包括我们其实在历史上,包括我军现在撤了,以前黑龙江大刀队,边防,现在我们的体工大队已经撤了,那些做表演行,实战不行,真正实战的时候是在PK里面,一定是通过战斗打,而不是按照套路来的。

据有关数据统计,2012年我们的安全人才在需求上大概是60万,每年的安全人才60万的需求,但是社会上所谓生产的大概在4万左右,而且这个还不一定说都算合格的安全人才或者满足需求的安全人才,所以看起来这个体量是有的。

新安全人才观:视野、跨界、平衡观、艺术之美

这是我去年在俄罗斯的黑客大会,蓝莲花去年没有打入俄罗斯的这个,在这个比赛里面是得第二,是荷兰的一个黑马杀出来的,俄罗斯队比较多,但是我会看到俄罗斯的年轻人,他们一边喝着伏特加一边去跟你打比赛的时候那种状态,我觉得国内还是比较拘谨。

台湾这个黑抗对比较有经验,他们差不多有十年的历史,他们带队打黑抗,他们第一天就决定了优势,大陆团队里面有搞渗透的,这些可能不一定差,但是二进制这块比较弱,所以在实际配比的时候,这实际上就是一个实战经验,实战经验一旦上来以后可以迅速上一个台面,但是再往上跟美国,在美国很多安全公司里面都有华人,有大量的安全人才是从大陆出去的。所以这样的一种局面,我们什么时候能够到这样一种状态,在俄罗斯的黑客大会上包括像开锁这些都可以现场学,现在可以开四级锁,开不了五级锁,现在中国的锁还是管制,网络上有视频,家里用的锁芯是什么样的,工具也可以做。所以安全的外延有很多。但是很多由于我们一些竞技或者一些束缚跟我们的安全文化体量也有关系,除了教育。

在讲新安全人才观的关键词前面我先会谈几点关于安全的认识,我大概总结了六条:

第一,有业务思想的基础安全。过去的安全是比较少谈业务的,我们主要是谈技术,从各个环节,防火墙、IDS、加密。以往看安全教程、课本,无论是高校的还是外面的,有几个谈业务的,没有。但是今天安全如果不跟业务去结合,安全是没有价值的,或者他的价值体量是不够的。所以第一个是有业务思想的基础安全,这个基础安全里面必须有业务思维,这样才有可能得到社会的认可。

第二,有态度的信息安全。所谓有态度其实讲是一个全责,安全关乎的是面,其实今天已经是延伸了,过去说网站被黑了怎么样了,传播那时候以前大家不要报就行了,一般也不好报,所以以往被黑客,包括政府网站黑那么多,不会报,因为我们通常都认为丑事不能报。

第三,有效益的社会安全。今天的信息安全的确不仅仅是一个技术层面的,它是有社会影响面的,不管是小米,还是其他各种各样的比如开房这种数据,会产生社会影响,这个数据库开放出来,可能多少夫妻还有男女朋友关系就要受到影响了,这种数据很难去评估他的风险,所以你要注重他的社会效应。

第四,艺术和美的传播安全。什么叫艺术和美的传播安全呢?今天在安全里面我觉得很多传播还是洗脑式的,一种是站在厂商的角度,我这样做就OK了,你把你的安全托付给我,这种我就称为洗脑式的。打个不恰当的比方,跟游泳一样,当然说我可以给你一个救生圈,你会游泳可以游的很开心,不会游泳也可以,但是不是所有人都拿救生圈游泳,真正洪水的时候还能拿救生圈吗?所以你还得要会,狗刨也要会点。

举个例子,虽然说小日本如何如何,但是有一点,他们做东西的精致和细致是你必须要敬佩的,比如像井盖一样的,我们经常说井盖被撬了,但是小日本的井盖上面都是精美的设计,像艺术品一样。有一句话说一个城市的下水道是一个城市的良心,我觉得安全也是这样一个程序员写的代码,他在安全的体现就是程序员的良心,你的功能实现了但安全没做好我认为你良心有问题,你是有心给用户准备留一个坑,大家都用的时候你就有责任在这儿承担问题。所以当你追求代码极致的时候,为一个菜单或者为某个调度的东西写很多,我会反反复复去写,就是为了他看起来酷一点,大家都是拿来主意。就像讲开源,虽然锤子给开源捐了一百万,尽管开源在炒作,因为马上就有人报锤子的漏洞。但是起码可以看到这么多用开源的,他对开源的回馈是不够的,心脏都出血了也没有人谁给他输点血,诺基亚捐了几百万。

第五,无边界、有权责的数据安全。法律里面现在对于虚拟资产我认为是有问题的,信息资产不能是虚拟资产,已经不是虚拟资产了,你过去说Q币被盗了属于虚拟资产被盗了,但是今天的余额宝、支付宝还是虚拟资产嘛,一张照片如果让你离婚什么的,能叫虚拟资产吗。

第六,风向导向的金融安全。在国外讲安全的时候有四个维度:

  • 第一,事件导向,出了事我来擦屁股。
  • 第二,技术导向,就是说业界流程说什么我就干什么,今天要防病毒我就防病毒、要防火墙我就防火墙。
  • 第三,流程安全,很多标准一旦到了中国以后,为了过标准的时候最后很快成为滥大街,流程控制安全不一定是有效的,他可能形成习惯,我流程有了,但是没有流程反复确认的过程,这部分是我们不重视的。
  • 最后一个安全角度是风险导向,安全是一个不断降低风险的过程,最后是残余的风险你可以接受是一个安全。

这里面有两个,第一,不断的降低风险,安全持续下降,所以需要持续改进,残余风险能不能接受,谁来定义残余风险。比如小米的库拿来分析的时候,可能37%的用户是可以匹配的,但是有人很有趣的分析小米的水平,从这里面反过来分析出小米的水平用户有多少。所以有很多东西延展的话,这种残余风险的定义,其实主要在于说今天可能我们还是在一个相信自己的PR的能力,而不相信整个安全最后体量的时代,这主要是因为法律上的维权成本太高,然后你要担责任这个相对来讲太低,比如国外300万用户被拖库和平这样的事件,可能职业律师就垮台了,一个维权公司可能上千万美金就出来了,所以这样一个漏洞2千块钱就可以解决了。

最后谈一下,所谓新安全人才观。其实我觉得安全人才的确跟好像学功夫一样,我们讲学武本来是应该修身养性,来防身的,不是让你去砍人、杀人的,安全也是这样,所以他怎么能够出淤泥而不染,就像莲花一样,安全人才必须要经历的一个过程,你在这个过程里面必然要经历各种漏洞,当一个安全漏洞才值2千块钱的时候,小米的安全库能卖多少,一个星级酒店的数据库在市场上大概能卖50万―150万人民币,谁会为了2千块钱去做。所以我刚刚讲说,如果我们对安全的价值估计不足的话,可能产生一种不好的现象。

谈到新的安全人才观的时候,今天下午还有一个论坛我们在聊天文学和《三体》,大家都知道是部科幻。《三体》里面有一个著名的“面壁者计划”,因为三体是外星人要直面地球,他在地球里面找到同盟者,就是对地名文明失望的人,而且都是一些科学家,认为地球人不可救,需要更高的文明。人类在那个时候还吵的不休,后来搞了“面壁者计划”。《三体》里面可以做这样的解读,他可以记录你的思想,可以监视你的一举一动。但是三体人跟地球人不一样,他不懂计谋,就是地球人的情感和计谋是不理解的,就好象说美国人不理解我们一样,美国的美军里面表现中国人都跟二逼一样最傻的形象。

为什么到最后不是一个技术的人而是一个哲学家做了这样的事情,可以延伸到视野,包括有一些人才能够成为国际性的人才,像TK这些,他的视野,他原来不是所谓的科班出身,钻研这种视野可能对他是很大的帮助,跟他们交流什么问题都能谈。

第二,跨界。今天因为讲安全是延伸了,你要玩沟通,要玩可穿戴设备,你没搞过带路搞什么所谓的信息安全,电路图都看不懂,这只是一个比方,比如工业设计的流程,原来卖的都是网域媒体,电站、电路公司、通信协议都不一样,所以要跨界,未来的延展是比较宽的,现在还比较窄。

这些跨界就会带来支持,今天可能有人觉得,看到这么多大牛之后我可能要崛起了,可能要涌现出比如Web安全等领域,你玩微星,起码在中国还没见过微星黑客,黑微星的,微星很难黑吗?我告诉你,不是很难。所以在这样跨界下面,下面就是平衡。安全有时候跟踩钢丝一样是平衡的艺术,安全人才的平衡观是很重要的,有很多安全可能十年磨一剑。

我前面讲的艺术,有一本书就叫《安全之美》,当然翻译的不太好。你会看到真正当你去理解安全,就好象我们要夸张一点,像《黑客帝国》,是把黑客的东西和哲学、故事演绎的很好,即使你不懂黑客,但是里面有一些场景是有一些界面去操作,你要懂的话看起来会更有味道,所以你要看到这里面演绎的时候就会看到安全之美,这样的人才观在这里面也是很重要的。

刚刚大家已经吐槽了很多,环境、政策种种因素,其实是我们大家今天所看到的问题,但是有一点,希望像百度这种还是支持好像CTF这种以赛代练这样的场合,大家其实是需要渠道的,每一个领域都需要渠道把它打开。其实像CTF这些方式,都是为了对安全有未来,又能钻研,又有兴趣去创造一个团队,打比赛功夫练了这么多不跟人打怎么行,肯定不爽的,如果有一个比赛给你打,打了比赛赢得了名次或者说增长了经验得到了声望,可能会找到更好的工作,他可以从事一个正经工作,为什么要做黑产,我不认为每个人都有天生做犯罪这样的,就好象有很多黑可后来转白了以后做顾问,专门告诉你公司有哪些风险,有的就善于干这个,比如说偷和入侵工作,也能找到事情,在军队,在其他的地方都能找到,所以一定要有比赛的这种环境。

当然教育对抗我们正在尝试这种突破,所以“请永远不要怀疑,一小拨有思想、不懈追求目标的公民,可以改变世界。事实上,改变从来就是这样发生的。”

所以在整个安全的过程里面有一句话,安全本来是需要未雨绸缪的,所以需要早一点风雨同舟,因为大家在一条船上,我们需要更多的人才才能改变我们整体的生态,所以一颗黑客的心,自由平等分享和互助的心,加上新安全人才观和宽广视野,才能打造出未来好的安全整体生态。

------分隔线----------------------------
------分隔线----------------------------

最新技术推荐