SDL:中國網絡安全人才之“怪現狀”——安全圈兒里全是攻？

小咖見大咖：阿里巴巴資深安全專家杭特，跟我們一起扒一扒為什么安全圈兒里全是攻？

根據《第十一屆網絡空間安全學科專業建設與人才培養研討會》的數據顯示，“我國網絡空間安全人才年培養規模在3萬人左右，已培養的信息安全專業人才總量不足10萬，離目前需要的70萬差距巨大。”缺口不小，但目前安全人才的歷史存量和每年的增量，其結構是不是合理，是否反映了產業的需求呢？

阿里安全資深專家杭特在安全行業從業十余年，甲方和乙方公司都有經歷。他認為，相對于歐美等發達國家，國內人才培養在結構和技能方面，有幾個“怪現狀”。

杭特這個名字，來自于Hunter重視“攻”，輕視“防”

攻防就如同硬幣的兩面，哪一方面都不可或缺，因此才出現了“以攻促防”，“未知攻，焉知防”之類的金句。但現實往往不盡如人意，這些金句實際上也只做到了前面一半，后一半則明顯薄弱，最終成了“虎頭蛇尾”，“強弩之末”。現在安全人才在總數不夠的前提下，防守人才更是極其匱乏，比例嚴重失調。表現形式很多：

情形1：對于搞Web漏洞和滲透的人，八成以上不知道怎么搞SDL；

情形2：技術類的文章，大部分都是攻擊挖洞類的文章，至于防護方案，通常只有短短幾句，“已將問題提交廠商”、“不要使用弱口令”、“及時更新系統”等等；

中國網信網發布關于開展2023年區塊鏈創新應用案例征集活動的通知:金色財經報道，?中國網信網發布關于開展2023年區塊鏈創新應用案例征集活動的通知，為推進國家區塊鏈創新應用試點工作，總結推廣我國區塊鏈技術與產業融合創新的優秀經驗做法，促進區塊鏈技術和經濟社會發展的深度融合，在中央網信辦信息化發展局的指導下，中央網信辦數據與技術保障中心（以下簡稱中央網信辦數據中心）開展區塊鏈創新應用案例征集工作。

有關事項通知如下：一、征集內容以區塊鏈技術與產業融合發展為主題，圍繞創新產品、創新應用、創新服務模式等方向，分為實體經濟、社會治理、民生服務、金融科技等主題。二、征集對象為在中華人民共和國境內注冊登記、具有獨立主體資格的黨政部門、企事業單位、社會組織等。三、征集時間2023年8月21日至9月10日。[2023/8/28 13:00:44]

情形3:一個個基礎系統被攻破，2G有偽基站、4G也能被降級劫持、Wi-Fi不可靠、藍牙不安全，操作系統天天打補丁還能被控制。安全Geek們無所不能的同時，也得保護好自己，把自己武裝到了牙齒，“我小心故我安全”，但想做到獨善其身很難，你的爹媽和親戚朋友可咋辦？別說那些高大上的，密碼太多記不住，這么現實的問題，讓歲數大的人怎么解？

中國網信辦發布第六批境內區塊鏈信息服務備案清單:據官方公告，根據《區塊鏈信息服務管理規定》（以下簡稱《管理規定》），國家互聯網信息辦公室依法依規組織開展備案審核工作，現發布第六批共202個境內區塊鏈信息服務名稱及備案編號。根據《管理規定》要求，區塊鏈信息服務提供者應當在其對外提供服務的互聯網站、應用程序等顯著位置標明其備案編號。備案僅是對主體區塊鏈信息服務相關情況的登記，不代表對其機構、產品和服務的認可，任何機構和個人不得用于任何商業目的。網信部門后續將會同各有關部門，依據《管理規定》對備案主體進行監督檢查，并督促未備案主體盡快履行備案義務。請尚未履行備案手續的相關機構和個人盡快申請備案。[2021/11/9 6:41:45]

依大咖杭特之見：攻擊技術很重要，相關人才也要占領高地，高價值漏洞這樣的戰略武器一定要有，但這絕不是網絡安全的全部。打個比方，相對于目前多方都有“NUKE”的現狀，造十枚還是百枚核彈并沒有區別，反而是類似于美國的TMD更顯重要。我們有如此多的系統需要建長城來守衛，期待更多防守人才的出現和貢獻。

重視“攻防”，輕視“數據”

大部分業界從業者認為，安全就是Security，但實際上對應的英文單詞有兩個，我們先來區別一下。

衛士通：控股股東中國網安參與制定貴州省區塊鏈標準:衛士通公司（002268.SZ）近日透露，貴州省近日正式發布4項地方區塊鏈標準，其中公司控股股東中國網安直接參與制定了《DB52/T 1466-2019 區塊鏈應用指南》和《DB52/T 1468-2019 基于區塊鏈的數據資產交易實施指南》兩項標準，間接參與制定了《DB52/T 1467-2019 區塊鏈系統測評和選型規范》和《DB52/T 1469-2019 基于區塊鏈的精準扶貧實施指南》兩項標準。[2020/3/12]

Safety：確保生命、健康、財產、權益人數據及物理環境等方面不存在災難性后果；

Security：內外部的保護，以避免無意或者未授權的訪問、改變、破壞或使用。

之前網絡安全大部分都屬于Security的范疇，但隨著IoT和ICS的出現，動動鼠標也能物理危害人身安全，從而擴展到了Safety的領域。由于Safety更注重能影響物理世界的安全，因此作為爭奪“EIP”控制權的“攻防”是最為重要的；而Security要重點保護的，其實是“數據”的控制權。

可惜的是，絕大多數的安全人才都把精力放在“攻防”上，認為只要拿到控制權，就能拿到數據，但事實真的如此？舉個反例，不考慮物理攻擊，現在iOS的指紋數據貌似還沒有人能拿到，即使能完美越獄又如何呢？在這里筆者再引申兩個問題，供大家可以思考：

動態 | 《中國網絡社會治理研究報告》：防患人工智能、區塊鏈、全媒體等前沿技術帶來的風險:12月5日，暨南大學新聞與傳播學院、人民網輿情數據中心、社會科學文獻出版社聯合發布2019年《中國網絡社會治理研究報告》藍皮書。藍皮書指出，隨著５G網絡基礎設施不斷發展，5G時代人工智能、區塊鏈、全媒體的治理應關注以下幾點：第一，要著眼于推進國家治理體系和治理能力現代化，改變以往“先發展后治理”的方式，要一手抓發展，一手抓治理，防患人工智能、區塊鏈、全媒體等前沿技術帶來的倫理、隱私、安全、信息地緣等風險。第二，要把握人工智能、區塊鏈、全媒體的技術屬性和社會屬性雙重特點，正確處理好創新發展應用與確保安全有序的辯證關系，建立一整套圍繞這些新信息技術發展與應用的倫理、規范、政策、制度和法律等治理規則體系。第三，要統籌國內國際兩個大局，在人工智能、區塊鏈、全媒體的治理規則上既有中國特色又有全球視野，提升中國參與全球互聯網治理的制度性話語權。（中國經濟網）[2019/12/6]

問題1：不借助硬件，有哪些領域的數據安全需求是和漏洞一點關系都沒有的？

問題2：不考慮可用性問題，一個系統給你root/admin就真的非常可怕？

動態 | 中國網安、騰訊、北明聯合發布“至信鏈”，助力社會信用和智慧司法建設:7月10日，中國電子科技網絡信息安全有限公司（以下簡稱：中國網安）、騰訊公司以及北明軟件有限公司（以下簡稱：北明公司）聯合發布司法區塊鏈應用生態服務平臺——“至信鏈”，并將于8月正式對外提供服務。“至信鏈”旨在向社會提供安全、權威、客觀、公正的司法區塊鏈應用服務。在“至信鏈”的建設中，中國網安負責“至信鏈”的技術合作、安全能力建設及后續運營，騰訊公司負責提供“至信鏈”底層技術支持與開放生態等能力，北明公司負責“至信鏈”生態的組織管理和商務運營等工作。[2019/7/10]

依大咖杭特之見：安全要搞清楚保護的對象是什么，而這些對象也隨著產業發展不斷變化。“EIP”控制權的爭奪應該更多的面向與物理世界相連的設備，而其它的場景，則應該重點關注“數據”的控制權。數據已經成為DT時代的石油，是產生價值的新能源，如果還是用傳統的漏洞思維來談數據安全，是肯定做不好的，密碼學久違的春天已經到了。

重視“單點、破壞”，輕視“體系、建設”

安全有一個著名的木桶理論，“系統安全性的整體水位與最脆弱的組件水位相同”，絕大多數的人都在“集中優勢兵力，從系統最薄弱的地方突破”，可是破壞容易建設難。當要保護的對象足夠多、足夠復雜，如何能成體系地進行安全建設，如何能將安全威脅收斂到可控的程度，是一件非常有挑戰的事情，下面列舉幾個：

反入侵：對于所有的企業，這都是個令人頭疼的挑戰。有句笑話，“世界上只有兩種企業，一種是知道自己被入侵的，一種是不知道自己被入侵的”。反入侵需要非常體系化的架構來控制風險。很多企業借助眾籌或藍軍模擬滲透找到某些脆弱點并完成修復，認為這樣就能高枕無憂，這種做法只是暴漏了很小的風險，連標都沒治，更別說本了。實際上SDL只是標配，WAF、RASP、各種監控、各種數據、各種算法，安全建設的任務艱巨……

供應鏈安全：前幾年APT熱火朝天，各種0day滿天飛，門檻也快速提升，攻防雙方的日子都不好過。東邊不亮西邊亮，隨著XCodeGhost的爆發，xshell、CCleaner、pip、nodejs接連中招，原來還可以這么玩？目前發現的例子都是事后，還有多少掩藏在冰山之下？目前還沒有特別有效的防護方案，要么太重型，要么太晚，面對連規則都沒有的目標，希望渺茫。試問有哪個企業和組織可以置身事外？別以為有源碼就安全了，pip和nodejs都是源碼，更別說還有算法級后門了。

防止釣魚：安全培訓天天講，可是社工這一關很多人就是過不了。別看對手low，效果還異常的好，畢竟明槍易躲，暗箭難防。

依大咖杭特之見：安全本不是平等的對抗，打開惡魔的盒子不那么難，但災后重建卻異常艱難。相對于“千里之堤，潰于蟻穴”的螞蟻，業界更需要的是為生態授粉、創造自然奇跡的蜜蜂。

重視“技術”，輕視“業務”

安全是個技術對抗非常激烈的領域，但這并不代表技術高超就能把基本問題解決的很好，黑灰產對抗就是個非常好的例子。作為一個產業，現在的黑灰產已經形成了一個完整的鏈條，每個環節都有大量的從業者各司其職。相比較那些神奇的0day，除了極個別情況，黑灰產使用的技術都是相對基礎的。即使如此仍然有大量網站被簡單的注入或者弱口令攻破，無數個人信息都在地下黑市被販賣，如果沒有徐玉玉案件引起國家重拳，現在的情況可能更為糟糕。商業上的薅羊毛也讓眾多電商網站承受資損并攪亂了市場公平，但行業里相關的人才卻很稀缺。

依大咖杭特之見：有數據表明，黑灰產的市場規模已經和網絡安全市場的規模相當，都是千億規模。整個業界的技術支持配比是否應該向1：1努力？

重視“反向能力”，輕視“正向能力”

很多人都是從滲透、逆向、分析漏洞入門的，其實這些都是反向能力，如果要達到相反的目標，也就是防止滲透、防止逆向、設計沒有漏洞的系統，一種是“反反向能力”，一種是“正向能力”，兩者并不相同。其實這個和汽車工業有些類似，早期自主品牌造車都是逆向起家，買輛樣車大卸八塊，試圖造出差不多的產品，吃夾生飯的結果就是動力、油耗、安全性都與原型相去甚遠。下面再舉幾個例子。

逆向與混淆：逆向是二進制安全的基礎，但對于很多公司來說，防止產品被逆向進而保護知識產權，是個硬需求。業界目前采用的常見手段就是花指令、防調試、執行流混淆、普通殼、虛擬機殼、白盒密碼。除了白盒密碼，其它的都屬于“反反向能力”，雖然在現實場景中大量應用，但首次分析和二次分析的強度及有效度無法用數字來度量，虛擬機殼效果好一些，但通俗點講就是對小白很難，但對專家不難。白盒密碼屬于“正向能力”的初級階段，強度至少可以通過數量級來衡量，但不幸的是，目前最好的白盒密碼也撐不過28天！美國已經開始高級階段，至少10萬美金的挑戰賽還沒人成功，東西方差距明顯。

可靠軟件：如果要開發一個功能，并確保安全可靠，很多人意識里就那么幾招，功能測試、覆蓋率測試、黑盒fuzz、白盒代碼掃描，技術高級點的再加上個符號執行，這些也都偏“反反向能力”，因為這些測試全通過了，也不代表是安全的。有些人可能會說“本來就沒有絕對的安全”，但這些測試本質上并沒有說明哪些是應該的、哪些是不應該的。而“正向能力”就是要解決這些問題，這也就是為什么別人有信心造出“無法劫持的無人機”、“功能實現正常的加解密算法和協議”。

Chrome與NaCl：如果要在瀏覽器上運行第三方插件，對性能要求高，必須得跑x86機器碼，但如何保護安全性呢？“反方向能力”基本就是inlinehook、調試器監控異常、DBI、虛擬機執行，屬于哪里有問題就去堵哪里的策略；“正向能力”就如同NaCl這種，確保生成的代碼必須符合規范，并利用x86的體系架構，在加載的時候，只要通過驗證就能確保安全性，其強度遠超虛擬機。

依大咖杭特之見：精通反向能力，未必能做好正向能力。國內的反向能力與世界水平相當，但正向能力卻實打實的低下，我們也應該開始重視正規軍的建設了。

重視“人肉”，輕視“自動化”

雖說安全的本質是人性的斗爭，人的因素不可或缺，但目前大量的工作都是低級重復性的。比如漏洞分析和逆向，除了少數特別復雜和高深的對象，大部分就是純體力勞動，以下的場景很普遍。

依大咖杭特之見：對于企業，如何才能讓安全從業者從繁重的分析中解脫出來，更多的聚焦更有價值和挑戰性的工作？如何能將部分能力沉淀到平臺而不強烈依賴個體，進而更好的規模化、易用化？

最后，大咖杭特有話說：

網絡安全產業就像一個江湖，各色人等聚集。相對于歐美國家基礎扎實的眾多名門正派，我國的人才更多的屬于旁門左道，因此在未來的人才培養和建設上，需要調整結構，鼓勵更多的人去做“正向”的、結合“業務”與“數據”、“自動化”的“體系、建設”，才能解人才之渴，真正的為社會全面互聯網化提供安全保障。

Tags：SDLAPTNUKESDL幣SDL價格APT價格APT幣NUKE價格NUKE幣

SOL