写点什么

与专家面对面:听实战派谈网络安全的实用价值

  • 2017-09-20
  • 本文字数:1822 字

    阅读完需:约 6 分钟

当前,专业的安全技术人才“供不应求”是个全球性的问题,它也给现有网络安全队伍带来不少压力。网络安全从业人员怎样才能跟上业务和 IT 风险的步伐?这不仅仅需要安全技术、战术的提升,他们更需要聆听来自“前辈”们在一线的实战经验分享。

InfoQ 与长亭科技信息安全研究院共同发起“网络安全从业人员现状调查”的同时,也采访了在网络安全方面有着多年实战经验的专家,一起分享这些年在网络安全方面的探索路。

实践产生实用价值

美丽联合集团安全专家、安全项目总监止介(吴飞飞),统管着集团全线安全产品。之前的软件开发、产品研发和项目管理经历,让他对网络安全有着更全面认识和实用价值。

和大多数网络安全从业人员相似的是,止介的安全路也正是从“人肉挖掘”和“修复漏洞”开始。随着公司业务扩张以及安全行业的起步,公司在安全方面的投入也越来越大。当时的止介,作为蘑菇街第一个全职安全人员,以客户安全为切入点,开发出了和安全关联较强的几个产品:数字证书、实名认证以及堡垒机,并同时人肉挖掘和修复显著的安全漏洞以及全局防护措施。经验的积累、专业安全团队的壮大,让止介在软件开发和信息安全方面的特长得到了充分发挥,从而肩负起集团整体安全项目架构及各类安全项目的设计和研发之重任。

美丽联合集团所处的电商行业是国内各个行业中对于安全最重视的行业之一。在止介看来,目前攻防不对等导致防御方投入过大是这个行业面临的最大挑战。试想,几百个攻击者只需要在几千个系统中找到最薄弱的那一个,而几十个防御者需要保护好几千个系统容不得一个薄弱点。

因此,美丽联合集团也将安全团队分为信息安全和网络安全两个二级部门。顾名思义,网络安全主要负责网络层面的安全,比如 DDoS、CC、劫持、非法爬取调用等常规网络攻击的防御和分析,以及移动端(iOS/Android)安全。信息安全团队则负责除网络安全范围外的事情,比如应用安全、主机安全、数据安全、终端安全、内控、威胁情报、应急响应、安全规范制定与落地、安全运营等。

止介的团队还为美丽联合集团制定了诸多防范计划和应对预案。在应用安全方面,用 Eagle(黑盒漏洞扫描器)挖掘各类漏洞;Cobra(白盒源代码安全审计)扫描各类安全风险和漏洞;Begis(安全修复组件)帮助开发人员快速修复漏洞;Aone(安全工单)承接所有安全相关需求;在威胁情报方面,设置了 Dylan(情报系统)收取各类威胁情报;在应急响应方面,用 SRC(安全应急响应中心)搭建与白帽子沟通交流的平台,让白帽子发现的安全问题有地方可交并能得到反馈和奖励;在主机安全方面,用 Turtle(堡垒机)管住所有服务器的登陆入口;Wolverine(金刚狼)做好服务器自身安全;蜜罐捕获和欺骗恶意攻击;在内控方面,用 GuGu(入网管控)控制人员入网入口,推动全网免密,并且制定和落实各类安全规范,对新入职员工进行安全培训;在网络安全方面,采用 Gaea(WAF)& WAF2.0 抵御 0day 和常规网络攻击;流量清洗抵御 DDoS;IDS(入侵检测系统)分析和报告入侵信息;CSP(内容安全策略)防御广告劫持、常规 XSS 等等。

在移动终端如此发达的今天,美丽联合集团也专门针对移动安全制订了相应的安全风险检测加固及防御体系。

除此之外,美丽联合集团也在营造一个安全生态,比如运营公众号、SRC(安全应急响应中心)、厂商与白帽子的关系、厂商与厂商间的信息互通等等。

顺应市场趋势,关注职业规划和发展走向

多年的一线实践,也让止介对安全产品甄别更趋向于应用层面。

在止介看来,安全产品存在的意义就是为了取代人肉解决安全问题,其整个生命流程应尽可能的自动化,因为每多一步人工参与所带来的效率损害都是巨大的。其次是高级灰度,现在的安全产品误杀率偏高,所以需要支持各维度的灰度功能来进行对比。同时,无法扩展的系统将无法适应这个变化莫测的环境。

误报率、漏报率对于各类极端环境、极端目标的处理,也都是现今安全产品设计最需要考虑的问题。

纵观当前的安全形势,相同的业务背景下,漏洞数量会下降,但是漏洞质量却会上升。所以安全从员除了在熟悉原有的前端、后端、客户端、运维、数据库、算法等基础技能之外,还需要对每一类的技能进行深入的研究才能跟上队伍。而知识的获取,除了从专业学科学习外,大部分都来自于实战经验中。

止介建议,安全人员应该关注职业规划和职业发展走向。未来几年绝大部分的漏洞都将被工具系统挖掘所替代,若还在人肉挖掘浅显漏洞势必将被淘汰,安全从业人员要练就不可替代性的真功夫。兴趣和努力是最好的老师,这也是行业能否可持续发展的动力。

2017-09-20 09:215554

评论

发布
暂无评论
发现更多内容

达观助手AI写作下载安装教程及特色功能详解,速速收藏体验!

NLP资深玩家

一文掌握 Go 文件的读取操作

陈明勇

Go golang 文件读取 三周年连更

程序员如何保住自己的饭碗?| 社区征文

liuzhen007

程序员 三周年征文

ContentProvider介绍

芯动大师

ContextClassLoader 三周年连更

云原生时代全链路观测体系构建

嘉为蓝鲸

vue3 +ts 如何安装封装axios

肥晨

Vue3 三周年连更

一文读懂Annotation

老周聊架构

三周年连更

HuggingGPT 强势来袭,LLM+ 专家模型,迈向更通用的AI

Zilliz

Zilliz Towhee ChatGPT LLM huggingface

zookeeper的节点加密方式及分布式锁实现过程

浅羽技术

三周年连更

全球首个完全开源的指令跟随大模型;T5到GPT-4最全盘点

OneFlow

一文读懂封装

断墨寻径

#java 三周年征文

Unity 之 转微信小游戏本地数据存储

陈言必行

Unity 三周年连更

DevOps系列之 —— 持续规划与设计(三)敏捷项目管理的方法【Kanban 与 Scrum】

若尘

DevOps #DevOps 三周年连更

车企外卷:一个关于智能手机的“围城故事”

脑极体

手机 车企

危中蕴机:Oi! Network展现出的勇气和决心

股市老人

kubernetes delta_fifo源码解析

欢乐的阿苏

golang DevOps 后端 源码阅读 #Kubernetes#

盘点 8 款好用的 API 接口文档管理工具

Liam

程序员 接口文档 API 接口规范 接口编写

RabbitMQ组件介绍

穿过生命散发芬芳

RabbitMQ 三周年连更

kubernetes fifo源码解析

欢乐的阿苏

golang DevOps 后端 源码阅读 #Kubernetes#

devops|中小公司不要做研发效能度量

laofo

DevOps 研发效能 效能度量 DevOps工具链 研发效能度量

5 分钟带你小程序入门 [实战总结分享]

程序员海军

小程序 微信小程序 前端 三周年连更

不要过于吹捧ChatGPT:人工智能生成文字还有很大提升空间

石头IT视角

论程序员的为码之“道”

酱紫的小白兔

Go语言开发小技巧&易错点100例(三)

闫同学

Go 三周年连更

C生万物 | 反汇编深挖【函数栈帧】的创建和销毁

Fire_Shield

C语言 汇编 三周年连更 函数栈帧

Golang并发编程实战:使用ring buffer实现高效的阻塞队列

Jack

一文读懂域名注册

火山引擎边缘云

证书 域名 域名服务器

对话ChatGPT:Prompt是普通人“魔法”吗?

Alter

影驰 GeForce RTX 4070显卡正式开售!星曜 OC系列首发评测抢先看

Geek_2d6073

【坚果派-坚果】获取OpenHarmony 3.2 Release源码的两种方式

坚果

HarmonyOS OpenHarmony OpenHarmony3.2 三周年连更

kubernetes indexer源码解析

欢乐的阿苏

golang DevOps cache 源码阅读 #Kubernetes#

与专家面对面:听实战派谈网络安全的实用价值_语言 & 开发_黔运_InfoQ精选文章