*本文原创作者:熊猫正正,本文属于FreeBuf原创奖励计划,未经许可禁止转载
这篇文章,我想谈谈,做安全有什么用,价值何在?怎么样才能让安全从业者体现自己的价值,这个话题也许是大多数安全从业者一直在思考的问题,不管是安全新手,还是安全老手,在做安全的这条道上,都一直逃不掉的话题,如何才能体现安全从业者的价值,因为只有让安全从业者的价值在企业中得到体现,才能赢得别人的认可,安全从业者才能获得相应的回报......
安全从业者,大部分是在专业的安全公司,也有一些是在非专业的安全公司,不管是在非安全公司,还是在专业的安全公司,我们都需要从不同的角度去体现我们的价值,我从自己从业多年对安全的一些理解,给大家简单剖析一下,如何在这些企业体现自己的价值。
非安全公司
在非安全公司,做安全有什么用?一般在非安全公司做安全的,主要是一些中大型互联网公司,这些公司的业务需要安全保障,公司的重要数据需要防护,帮助这些企业做好安全防范是安全从业者的价值体现,一般非安全公司安全问题:
1.黑客攻击业务,导致业务中断;
2.黑产“薅羊毛”,对公司的业务造成重大损失;
3.黑客盗取公司重要资产和数据。
2012年,我在朋友的介绍下加入腾讯,成为腾讯的反病毒工程师,在腾讯电脑管家病毒分析组(蓝光分析组),从事病毒等恶意样本的分析工作,当时腾讯QQ盗号非常严重,已经严重影响到了腾讯的相关业务和口碑,我们组重点负责反QQ盗号项目的研究与分析工作。
在一年多的时间里,我们联合腾讯其他部门一起成功打掉了国内十几个QQ盗号团伙,期间我们组作为安全分析团队,每天的任务就是研究追踪监控各种不同的QQ盗号木马,QQ刷砖等恶意软件,通过逆向分析这些恶意样本,给其他部门提供了多种相应的对抗手法,同时也从样本中提取到了很多有价值的信息,帮腾讯在反QQ盗号方向做出了很大的贡献,可以发现在2012年之后,国内的QQ盗号和刷砖类恶意软件有了明显的减少。
记得当年,整个联合团队是获得了腾讯安全运营奖,我们组做为安全分析团队,只是做了应当做的事,可能微不足道,却得到了公司和部门的认可,也许这就是做安全的价值,也是公司对安全从业者的一种肯定。
随着互联网时代的高速发展,有很多新型的互联网公司掘起,比方像:今日头条、美团、饿了么,拼多多,大疆,OPPO等公司,他们在高速发展的同时,也是离不开安全,这些新型的互联网公司,很多已经达到几百亿美元的规模,公司的业务发展需要安全做保障,可以看到近几年这些互联网新型公司也在大量招聘各类安全人才,从主机安全到移动安全,从WEB渗透测试到网络安全攻防,从威胁情报到AI大数据安全分析等,都在疯狂招人,招揽的这些安全人才,主要任务就是保障公司的业务正常运作,防止黑客攻击,业务出现中断,企业重要数据丢失或被盗等安全问题,这些安全问题都需要安全从业者去解决,根据不同的业务,企业不同的需求,运用我们专业的安全知识帮企业或客户解决相应的安全问题,才能体现价值。
一个公司发展壮大,如果没有安全做保障,业务就会受到攻击,上个月,易到用车服务器被勒索病毒加密,攻击者索要巨额比特币,如下所示:
黑产每次都在不断的对企业发起各种攻击,寻找各种突破口,企业如果不重视安全防护,就很容易被黑客攻击成功,在一些企业里,安全从业者最大的价值就是保障企业的业务正常运行,不被黑客进行攻击,防止重大安全事故的发生,减少企业因为各种安全问题而造成重大经济损失,事实上最近不断有各种企业被黑客攻击,造成巨额的经济损失,企业安全问题还有很多需要解决,要做的事还有很多。
2019年1月,拼多多平台被薅羊毛,传闻说一夜之间损失了200亿,如下所示:
防止公司业务被薅羊毛,在一些大型的互联网公司都是有专业的团队在做,也有一些安全公司专门从事这块,为一些大型的互联网公司提供解决方案,怎么防止像拼多多这样的薅羊毛事件的发生是安全从业者在这些企业要考虑的,同时这些企业业务层面存在的一些潜在漏洞风险也是需要安全从业者提前考虑,进行防护的,如何能有效的对一些安全风险进行控制和防范,就是安全从业者的价值体现。
随着虚拟货币的兴趣,也有一些黑产将目标瞄准了这些虚拟货币公司,通过各种黑客攻击手段,恶意软件盗取这些公司的虚拟货币,如下所示:
安全从业者在这些公司,可以采用各种安全加固手段,对企业的一些重点业务和数据进行保护,建立一套安全管控机制,同时提高公司重点相关人员的安全意识的培养,有效的保障这些公司的资产或数据不被黑客盗取也是安全从业者的价值所在。
由于这几年2C安全的没落,赚不到钱,一些安全从业者也转向了非专业安全互联网公司,在这些新型的互联网公司,从事业务安全工作,给这些公司提供安全保障,安全从业者主要的收入也就是靠公司业务的提成。
以前我在腾讯电脑管家部门,也会和腾讯其他业务部门合作成立一些联合安全团队,去保障腾讯其它业务的正常运转,然后进行分成。
比方与游戏部门进行合作,帮他们分析处理各种游戏盗号木马以及外挂,记得当时DNF很火,有很多DNF盗号木马和外挂,当时听说一个十几人左右的DNF外挂团伙,一年可以赚上亿的灰色收入,同时也给DNF业务部门造成了一些损失,很多DNF盗号木马,能过盗取游戏玩家的帐号和密码,然后对虚拟装备进行买卖套现,我们做为安全分析人员主要的任务就是帮游戏部门研究分析各种盗号木马以及外挂软件,从中获得黑客使用的盗号和外挂技术,从而提出针对性的防御措施,防止DNF游戏玩家被盗号以及检测外挂等,这些都是我们做为安全从业者价值的体现。
有部分一些安全从业者在会帮公司做一些WEB/APP源代码审计和加固等安全工作,未审计或加固的应用,黑产们会通过逆向分析这些应用程序,找到应用程序的一些漏洞或数据,再把这些获取到的漏洞和数据拿去做黑产,谋取暴利,后面也出现了一些安全公司专门做安全加固的,主机加固、APP加固等。
安全从业者在这些非安全公司从事安全工作,主要就是防止企业被黑客攻击,获取企业重要数据资产,攻击企业的重要业务,保障企业可能遇到的各种安全问题,做黑产的人每天都在不断的在对这些企业进行攻击,安全从业者必须时刻保持警惕,才能防止各种安全事件的发生,同时在这些企业从业者,必须时刻关注外界的一些安全动态以及安全事件,对曝光的一些重大的安全事件,进行跟踪分析,及时对企业的业务进行相应的加固,防止未来被黑客利用攻击。
安全公司
专业的安全公司主要是为了给其他企业提供安全产品与服务,我之前在金山毒霸呆过,像之前瑞星,金山毒霸,江民,360等等都是属于专业的安全公司,这些公司的业务就是做安全,依靠安全来赚钱,之前主要的业务主要是2C,也有一些企业的业务,比方金山毒霸之前就有企业版和海外版两个版本,不过后面也没做起来......
还有一些安全公司,比如:启明、绿盟、深信服,这三家公司也算是国内最早的一批安全企业,不过他们的主要业务就是2B,客户基本都是企业客户,企业收入有一部分都是来自安全,主要保障其他非安全企业的业务正常运作,以及安全防护,加固等。
针对这些专业的安全公司,我就不说做安全有什么用了?我主要说说在这些企业安全从业者的价值在哪?
我是做终端安全的,先讲讲安全企业终端安全,如何体现安全从业者的价值?
之前我就说过,安全的本质是对抗黑产,不研究攻,如何能防?知已知彼,百战不殆,安全攻击与安全防护是相辅相成的,没有攻,哪来的防?研究各种黑产攻击方法以及技术手段,是安全从业者的必备技能。
我在做恶意样本研究与分析,主要需要从样本中寻找有价值信息,以及黑客使用的一些安全技术手段,提取相应的威胁特征,加入到企业安全产品中,提高企业安全产品的安全能力,在逆向分析一些最新的样本之后,从样本中提取的威胁情报,可以为企业的安全产品提供及时有效的安全能力,帮助企业客户防范这种类型的恶意样本攻击。
专业的安全公司的安全产品是由开发人员开发的,但往往大部分的开发人员,事实上并不具备专业的安全知识,导致开发的产品安全能力上不去,或不能及时有效的解决最新的安全问题,导致客户不满意,任何一个安全产品都需要长期的安全运营,不断的更新里面安全特征,才能保证企业的安全产品能及时有效的解决遇到的最新的安全问题。安全永远是对抗的,不可能一劳永逸,安全产品需要持续不断的改进才有用,不然任何一个安全产品,只要不更新,不运营,基本都没啥用。
其实有时候我理解的做安全研究就是不断填坑,做黑产就是不断挖坑,黑产挖了多少坑,就需要安全从业者去填补多少坑,能填多少坑,安全从业者的价值就有多大。
其产国内企业安全市场还是很大的,未来也还有很大的发展空间,现在做企业安全的各种安全产品还有很大的发展空间,未来的竞争也会越来越大,企业的安全产品,我接触和了解的企业安全,目前主要有三大产品:
1.边界防御AF(NGAF);
2.态势感知SIP;
3.终端安全EDR。
现在有些媒体和安全厂商也在这些产品的基础上推出了各种新的概念,发明了一些新的名词,就不多说了,就目前国内各大安全厂商的企业安全产品现状来看,确实还有很大的改进和发展空间,这些安全产品的安全能力要不断持续跟进,以应对新的安全威胁,安全从业者需要利用自己的专业知识,为这些产品赋能,持续不断的运营改进,从而提高这些安全产品的安全能力。
边界防御AF
边界防御的防火墙拦截流量靠什么,靠威胁情报(相应的规则),没有规则,又怎么知道云拦截什么流量呢?而且一些流量还是经过加密处理的,怎么解决识别加密的恶意流量,也需要解决的问题,防火墙的规则需要不断更新才有用。
态势感知SIP
态势感知其实就是威胁情报报警器,它的作用就是给企业用户提供安全报警功能,既然是威胁情报报警器,那没有威胁情报,又如何报警。
终端安全EDR
以前就叫杀毒软件,现在多了一些功能,有了一个后台管理系统,可以统一管理终端,也就成了现在的云管端EDR,事实上不管EDR怎么演变,最重要的功能还是:安全检测与处置、安全防御,安全检测靠的是威胁情报,没有威胁情报也检测不出什么东西,终端安全比AF和SIP多了一个安全处置的功能。
怎么提高这些企业安全产品的安全能力,就需要持续不断的给这些产品提供更多最新有效的威胁情报,这样才能不断提高这些企业的安全产品能力。
上面我都用了一个词叫:威胁情报,这也是最近几年各大安全会议和安全厂商都提到的话题。各大会议和安全厂商都在宣传自己的威胁情报中心,威胁情报确实很重要,是安全产品的核心,可以说没有威胁情报,安全厂商的安全产品基本没啥用,也防不住新的黑产攻击。
每个厂商都有自己的威胁情报库,也都在积极建立自己的威胁情报库,还有一些专门提供威胁情报的安全公司,这些公司以卖威胁情报为主,可以说未来大多数安全公司都会有自己的威胁情报库,威胁情报做的好与坏,决定了一个安全企业的价值,谁能给客户提从更多有效有价值的威胁情报,才能赢得客户更多的认可。
大家都在谈威胁情报,都是谈态势感知,都在谈AI,大数据,威胁情报+大数据+AI,好像企业安全里有了这些就可以阻档各种安全威胁了,其实大家都忽略了一个重要的问题,那就是:安全的本质永远是人与人对抗,人才是最大的安全风险!做黑产的人不断提高自己的攻击手法,就会不断有新的安全威胁出现,这就要求咱们安全从业者能持续不断做好自己的本职工作,不断提高自己的安全技能,通过自己的专业技能,获取最新的威胁情报,加入到企业的安全产品中。
准确有效,高质量最新的威胁情报从哪儿来?这也就我说的安全从业者的价值所在了。任何安全研究与分析,最后的产出都是为企业安全产品提供各种有用的威胁情报信息,产品开发人员再根据安全从业者的研究成果,不断改进提高企业安全产品的安全能力。
一些国外的专业安全公司,都有自己专业的威胁情报团队,比方最近几年发展很快的两大国外安全公司,palo alto和fortinet,相应的安全博客地址,我也经常翻看他们的博客:
经常也会发布一些最新的安全事件报告,如下所示:
为什么这些企业的安全产品能做好,国内企业安全市场其实很大,但国内的一些企业安全产品却没有产生更多的收益,给企业创造更多的价值,需要国内一些安全企业领导,重视安全研究,吸取国外一些优秀安全公司的经验,让安全从业者在产品开发运营过程中有更多的发言权,大家相互合作提高企业的安全产品的能力,做好安全。
在一些专业的威胁情报公司,也都是有自己的威胁分析团队。主要是从样本中去寻找威胁情报,这些威胁情报是最新且最有效的,当然这部分威胁情报也是这些威胁情报公司收费最高的,而且只面向收费的高端客户,一般普通客户使用的情报大多数是通过使用一些自动化工具进行提取。能过自动化工具提取的,不保证威胁情报的准确性和高效性,需要企业或安全从业者进行二次筛选鉴别,这些都是安全从业者的价值体现,如何创造更多有效高价值的威胁情报。
有一些公司还有红蓝军对抗团队,红蓝军通过各种安全研究, 黑客攻防演练提升企业的安全能力。安全公司大部分都有自己的蓝军,蓝军就是给企业的安全产品找问题,从而提高企业安全产品的能力,这也是安全从业者的价值,主要为企业的各个安全产品提供安全能力的输出以及支撑作用,不断帮助企业安全产品提高自身的安全能力,能过好的安全产品帮企业客户解决安全问题,从而体现自己的价值。
不管安全从业者从事哪一项安全研究:漏洞挖掘、安全分析,渗透测试、安全开发、代码审计、安全加固,都需要在工作中不断的研究,踏踏实实做好自己的本职工作,不管你是在非安全公司,还是安全公司,都是为了给企业提供更多的安全能力,防止企业或客户被黑客攻击,赢得企业领导和客户的认可。
企业安全问题,还有太多需要解决的,也还有很多事可以做,最近几年针对企业的黑客攻击事件太多了,安全从业者需要踏实做好安全研究,努力提高自己的安全业务能力,对抗黑产,充分体现自己的价值。
希望每一个安全从业者都能体现自己的价值,让领导和客户都能真心的感受到做安全带来的好处,赢得他们的认可,这样自己才能得到好的回报,而不是让领导和客户反问你:做安全有什么用,价值在哪?
好了,就聊到这里了,虽然还有很多没有聊到,安全包含的东西太多了,我仅仅是抛砖引玉,谈了自己的一些看法。我们做安全能给企业和客户带来什么价值,这是每个安全从业者必须思考的问题,每个人在自己所在的企业,可能价值的体现都不相同。也欢迎各位安全从业者留言,不管是在非安全公司,还是在安全公司,都来谈谈自己所理解的安全价值在哪,谈谈你所在的企业,你是如何做安全的,如何得到领导和客户的认可,为他们创造了什么价值,欢迎大家一起交流安全从业心得与感受!
最后感谢各位支持我的朋友,感谢你们,多谢你们的关注。
*本文原创作者:熊猫正正,本文属于FreeBuf原创奖励计划,未经许可禁止转载