以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > 波場 > Info

中國網絡安全人才之“怪現狀”——安全圈兒里全是攻?_SDL:APT

Author:

Time:1900/1/1 0:00:00

小咖見大咖:阿里巴巴資深安全專家杭特,跟我們一起扒一扒為什么安全圈兒里全是攻?

根據《第十一屆網絡空間安全學科專業建設與人才培養研討會》的數據顯示,“我國網絡空間安全人才年培養規模在3萬人左右,已培養的信息安全專業人才總量不足10萬,離目前需要的70萬差距巨大。”缺口不小,但目前安全人才的歷史存量和每年的增量,其結構是不是合理,是否反映了產業的需求呢?

阿里安全資深專家杭特在安全行業從業十余年,甲方和乙方公司都有經歷。他認為,相對于歐美等發達國家,國內人才培養在結構和技能方面,有幾個“怪現狀”。

杭特這個名字,來自于Hunter重視“攻”,輕視“防”

攻防就如同硬幣的兩面,哪一方面都不可或缺,因此才出現了“以攻促防”,“未知攻,焉知防”之類的金句。但現實往往不盡如人意,這些金句實際上也只做到了前面一半,后一半則明顯薄弱,最終成了“虎頭蛇尾”,“強弩之末”。現在安全人才在總數不夠的前提下,防守人才更是極其匱乏,比例嚴重失調。表現形式很多:

情形1:對于搞Web漏洞和滲透的人,八成以上不知道怎么搞SDL;

情形2:技術類的文章,大部分都是攻擊挖洞類的文章,至于防護方案,通常只有短短幾句,“已將問題提交廠商”、“不要使用弱口令”、“及時更新系統”等等;

報告:中國網民對虛擬生態興趣濃厚,Soul、B站等成為元宇宙領先企業:金色財經報道,日前,艾媒咨詢發布了《2021-2022年中國元宇宙行業用戶行為分析熱點報告(簡版)》。該報告梳理了2021元宇宙的行業發展概況、技術與產業生態鏈,對元宇宙行業用戶進行了調研分析,并深度剖析了元宇宙的發展趨勢。

報告顯示,在元宇宙的細分領域中,中國網民期待值較高的大多為泛娛樂領域,如VR游戲、虛擬社交等。Roblox、Bilibili、Soul App等在相應領域布局的應用,在此過程中獲得先發優勢。

該報告也對2021年中國元宇宙行業用戶進行了調研分析,調研數據顯示,“元宇宙”概念在中國網民中的普及程度較高,受訪網民都有聽說過元宇宙,其中近五成“比較了解”,15.9%非常了解。[2022/3/8 13:44:48]

情形3:一個個基礎系統被攻破,2G有偽基站、4G也能被降級劫持、Wi-Fi不可靠、藍牙不安全,操作系統天天打補丁還能被控制。安全Geek們無所不能的同時,也得保護好自己,把自己武裝到了牙齒,“我小心故我安全”,但想做到獨善其身很難,你的爹媽和親戚朋友可咋辦?別說那些高大上的,密碼太多記不住,這么現實的問題,讓歲數大的人怎么解?

中國網信辦發布第六批境內區塊鏈信息服務備案清單:據官方公告,根據《區塊鏈信息服務管理規定》(以下簡稱《管理規定》),國家互聯網信息辦公室依法依規組織開展備案審核工作,現發布第六批共202個境內區塊鏈信息服務名稱及備案編號。根據《管理規定》要求,區塊鏈信息服務提供者應當在其對外提供服務的互聯網站、應用程序等顯著位置標明其備案編號。備案僅是對主體區塊鏈信息服務相關情況的登記,不代表對其機構、產品和服務的認可,任何機構和個人不得用于任何商業目的。網信部門后續將會同各有關部門,依據《管理規定》對備案主體進行監督檢查,并督促未備案主體盡快履行備案義務。請尚未履行備案手續的相關機構和個人盡快申請備案。[2021/11/9 6:41:45]

依大咖杭特之見:攻擊技術很重要,相關人才也要占領高地,高價值漏洞這樣的戰略武器一定要有,但這絕不是網絡安全的全部。打個比方,相對于目前多方都有“NUKE”的現狀,造十枚還是百枚核彈并沒有區別,反而是類似于美國的TMD更顯重要。我們有如此多的系統需要建長城來守衛,期待更多防守人才的出現和貢獻。

重視“攻防”,輕視“數據”

大部分業界從業者認為,安全就是Security,但實際上對應的英文單詞有兩個,我們先來區別一下。

動態 | 《中國網絡社會治理研究報告》:防患人工智能、區塊鏈、全媒體等前沿技術帶來的風險:12月5日,暨南大學新聞與傳播學院、人民網輿情數據中心、社會科學文獻出版社聯合發布2019年《中國網絡社會治理研究報告》藍皮書。藍皮書指出,隨著5G網絡基礎設施不斷發展,5G時代人工智能、區塊鏈、全媒體的治理應關注以下幾點:第一,要著眼于推進國家治理體系和治理能力現代化,改變以往“先發展后治理”的方式,要一手抓發展,一手抓治理,防患人工智能、區塊鏈、全媒體等前沿技術帶來的倫理、隱私、安全、信息地緣等風險。第二,要把握人工智能、區塊鏈、全媒體的技術屬性和社會屬性雙重特點,正確處理好創新發展應用與確保安全有序的辯證關系,建立一整套圍繞這些新信息技術發展與應用的倫理、規范、政策、制度和法律等治理規則體系。第三,要統籌國內國際兩個大局,在人工智能、區塊鏈、全媒體的治理規則上既有中國特色又有全球視野,提升中國參與全球互聯網治理的制度性話語權。(中國經濟網)[2019/12/6]

Safety:確保生命、健康、財產、權益人數據及物理環境等方面不存在災難性后果;

Security:內外部的保護,以避免無意或者未授權的訪問、改變、破壞或使用。

動態 | 中國網基于區塊鏈的“一帶一路”可追溯商品數據庫正式啟動:據中國網消息,近日由中國網“一帶一路”網與中追溯源科技股份有限公司聯合發起的“一帶一路”可追溯商品數據庫正式啟動,數據庫將采用三維3D碼+區塊鏈技術+RFID三位一體的產品追溯系統網絡平臺,為每一件商品附上唯一的“身份證”,確保每一件商品都能實現來源可查,去向可追,有力杜絕假冒偽劣產品。[2019/1/19]

之前網絡安全大部分都屬于Security的范疇,但隨著IoT和ICS的出現,動動鼠標也能物理危害人身安全,從而擴展到了Safety的領域。由于Safety更注重能影響物理世界的安全,因此作為爭奪“EIP”控制權的“攻防”是最為重要的;而Security要重點保護的,其實是“數據”的控制權。

可惜的是,絕大多數的安全人才都把精力放在“攻防”上,認為只要拿到控制權,就能拿到數據,但事實真的如此?舉個反例,不考慮物理攻擊,現在iOS的指紋數據貌似還沒有人能拿到,即使能完美越獄又如何呢?在這里筆者再引申兩個問題,供大家可以思考:

問題1:不借助硬件,有哪些領域的數據安全需求是和漏洞一點關系都沒有的?

問題2:不考慮可用性問題,一個系統給你root/admin就真的非常可怕?

聲音 | 中國網絡節目服務協會何薇:區塊鏈等電子存證比傳統方式更加便捷:據人民網消息,中國網絡視聽節目服務協會知識產權顧問何薇認為,相較于通過公證書取證的傳統方式,新興的時間戳和區塊鏈等電子存證、取證方式更加便捷、高效,不但能大大縮短當事人準備訴訟的時間,也能極大程度降低當事人舉證、質證等訴訟成本;同時,也更加順應我國新一輪司法改革的方向,即采取更加便民、高效的互聯網審判方式。[2018/12/4]

依大咖杭特之見:安全要搞清楚保護的對象是什么,而這些對象也隨著產業發展不斷變化。“EIP”控制權的爭奪應該更多的面向與物理世界相連的設備,而其它的場景,則應該重點關注“數據”的控制權。數據已經成為DT時代的石油,是產生價值的新能源,如果還是用傳統的漏洞思維來談數據安全,是肯定做不好的,密碼學久違的春天已經到了。

重視“單點、破壞”,輕視“體系、建設”

安全有一個著名的木桶理論,“系統安全性的整體水位與最脆弱的組件水位相同”,絕大多數的人都在“集中優勢兵力,從系統最薄弱的地方突破”,可是破壞容易建設難。當要保護的對象足夠多、足夠復雜,如何能成體系地進行安全建設,如何能將安全威脅收斂到可控的程度,是一件非常有挑戰的事情,下面列舉幾個:

反入侵:對于所有的企業,這都是個令人頭疼的挑戰。有句笑話,“世界上只有兩種企業,一種是知道自己被入侵的,一種是不知道自己被入侵的”。反入侵需要非常體系化的架構來控制風險。很多企業借助眾籌或藍軍模擬滲透找到某些脆弱點并完成修復,認為這樣就能高枕無憂,這種做法只是暴漏了很小的風險,連標都沒治,更別說本了。實際上SDL只是標配,WAF、RASP、各種監控、各種數據、各種算法,安全建設的任務艱巨……

供應鏈安全:前幾年APT熱火朝天,各種0day滿天飛,門檻也快速提升,攻防雙方的日子都不好過。東邊不亮西邊亮,隨著XCodeGhost的爆發,xshell、CCleaner、pip、nodejs接連中招,原來還可以這么玩?目前發現的例子都是事后,還有多少掩藏在冰山之下?目前還沒有特別有效的防護方案,要么太重型,要么太晚,面對連規則都沒有的目標,希望渺茫。試問有哪個企業和組織可以置身事外?別以為有源碼就安全了,pip和nodejs都是源碼,更別說還有算法級后門了。

防止釣魚:安全培訓天天講,可是社工這一關很多人就是過不了。別看對手low,效果還異常的好,畢竟明槍易躲,暗箭難防。

依大咖杭特之見:安全本不是平等的對抗,打開惡魔的盒子不那么難,但災后重建卻異常艱難。相對于“千里之堤,潰于蟻穴”的螞蟻,業界更需要的是為生態授粉、創造自然奇跡的蜜蜂。

重視“技術”,輕視“業務”

安全是個技術對抗非常激烈的領域,但這并不代表技術高超就能把基本問題解決的很好,黑灰產對抗就是個非常好的例子。作為一個產業,現在的黑灰產已經形成了一個完整的鏈條,每個環節都有大量的從業者各司其職。相比較那些神奇的0day,除了極個別情況,黑灰產使用的技術都是相對基礎的。即使如此仍然有大量網站被簡單的注入或者弱口令攻破,無數個人信息都在地下黑市被販賣,如果沒有徐玉玉案件引起國家重拳,現在的情況可能更為糟糕。商業上的薅羊毛也讓眾多電商網站承受資損并攪亂了市場公平,但行業里相關的人才卻很稀缺。

依大咖杭特之見:有數據表明,黑灰產的市場規模已經和網絡安全市場的規模相當,都是千億規模。整個業界的技術支持配比是否應該向1:1努力?

重視“反向能力”,輕視“正向能力”

很多人都是從滲透、逆向、分析漏洞入門的,其實這些都是反向能力,如果要達到相反的目標,也就是防止滲透、防止逆向、設計沒有漏洞的系統,一種是“反反向能力”,一種是“正向能力”,兩者并不相同。其實這個和汽車工業有些類似,早期自主品牌造車都是逆向起家,買輛樣車大卸八塊,試圖造出差不多的產品,吃夾生飯的結果就是動力、油耗、安全性都與原型相去甚遠。下面再舉幾個例子。

逆向與混淆:逆向是二進制安全的基礎,但對于很多公司來說,防止產品被逆向進而保護知識產權,是個硬需求。業界目前采用的常見手段就是花指令、防調試、執行流混淆、普通殼、虛擬機殼、白盒密碼。除了白盒密碼,其它的都屬于“反反向能力”,雖然在現實場景中大量應用,但首次分析和二次分析的強度及有效度無法用數字來度量,虛擬機殼效果好一些,但通俗點講就是對小白很難,但對專家不難。白盒密碼屬于“正向能力”的初級階段,強度至少可以通過數量級來衡量,但不幸的是,目前最好的白盒密碼也撐不過28天!美國已經開始高級階段,至少10萬美金的挑戰賽還沒人成功,東西方差距明顯。

可靠軟件:如果要開發一個功能,并確保安全可靠,很多人意識里就那么幾招,功能測試、覆蓋率測試、黑盒fuzz、白盒代碼掃描,技術高級點的再加上個符號執行,這些也都偏“反反向能力”,因為這些測試全通過了,也不代表是安全的。有些人可能會說“本來就沒有絕對的安全”,但這些測試本質上并沒有說明哪些是應該的、哪些是不應該的。而“正向能力”就是要解決這些問題,這也就是為什么別人有信心造出“無法劫持的無人機”、“功能實現正常的加解密算法和協議”。

Chrome與NaCl:如果要在瀏覽器上運行第三方插件,對性能要求高,必須得跑x86機器碼,但如何保護安全性呢?“反方向能力”基本就是inlinehook、調試器監控異常、DBI、虛擬機執行,屬于哪里有問題就去堵哪里的策略;“正向能力”就如同NaCl這種,確保生成的代碼必須符合規范,并利用x86的體系架構,在加載的時候,只要通過驗證就能確保安全性,其強度遠超虛擬機。

依大咖杭特之見:精通反向能力,未必能做好正向能力。國內的反向能力與世界水平相當,但正向能力卻實打實的低下,我們也應該開始重視正規軍的建設了。

重視“人肉”,輕視“自動化”

雖說安全的本質是人性的斗爭,人的因素不可或缺,但目前大量的工作都是低級重復性的。比如漏洞分析和逆向,除了少數特別復雜和高深的對象,大部分就是純體力勞動,以下的場景很普遍。

依大咖杭特之見:對于企業,如何才能讓安全從業者從繁重的分析中解脫出來,更多的聚焦更有價值和挑戰性的工作?如何能將部分能力沉淀到平臺而不強烈依賴個體,進而更好的規模化、易用化?

最后,大咖杭特有話說:

網絡安全產業就像一個江湖,各色人等聚集。相對于歐美國家基礎扎實的眾多名門正派,我國的人才更多的屬于旁門左道,因此在未來的人才培養和建設上,需要調整結構,鼓勵更多的人去做“正向”的、結合“業務”與“數據”、“自動化”的“體系、建設”,才能解人才之渴,真正的為社會全面互聯網化提供安全保障。

Tags:SDLAPTNUKESDL幣SDL價格APT價格APT幣NUKE價格NUKE幣

波場
【慘!】比特幣遭腰斬,“接盤俠”損失慘重;瘋狂比特幣:如果你不懂 最好遠離;信用卡購買渠道恐遭關閉

1.比特幣遭腰斬,“接盤俠”損失慘重;2.不只美股慘!比特幣又狂崩7周大屠殺70%;3.比特幣3小時下跌900美元拖累數字資產集體雪崩;4.隨全球股市下跌.

1900/1/1 0:00:00
價值 5.3億美元高額加密貨幣遭竊 虛擬貨幣不再安全?_Coincheck:新經幣xem

當地時間2018年1月27日,日本虛擬貨幣交易所的運營巨頭Coincheck在東京召開新聞發布會稱,價值約580億日元(約合34億元人民幣.

1900/1/1 0:00:00
他被稱為“幣圈”梭哈之王,10萬梭哈“山寨幣”豪賺30多個億_比特幣:IOTA幣是什么幣IOT幣

文|浮生 來源|財鏈社 你為什么會喜歡上足球? 對于很多從小熱愛足球的孩子來說,這個問題的答案一定是日本著名動漫《足球小將》.

1900/1/1 0:00:00
傳統游戲進軍鏈游 GameFi 的探索之路_NFT:NFT幣區塊鏈工程專業學什么

一,什么游戲類型最適合改為鏈游?除了鏈游特有的質押挖礦型和純NFT型,其余的類型都和傳統游戲類型高度重合。所以不存在絕對的什么類型可以鏈改而什么類型不能鏈改的結論.

1900/1/1 0:00:00
「區塊鏈入門」什么是PoS挖礦?與比特幣的PoW挖礦有什么不同?_POS:POW幣

前段時間,幣價上漲的時候,寫「區塊鏈入門」這樣的學習知識,看的人很少,所以區塊鏈傳奇就沒有繼續寫這方面的內容。然而,最近一陣的下跌告訴我們一個事實:胡亂買幣就可以賺錢的時代結束了.

1900/1/1 0:00:00
幣圈年度大戲:不怕黑客有技術,就怕黑客懂金融?_VIA:btc錢包官網

3月7日深夜,有不少用戶發現自己幣安賬戶中持有的各種各樣的代幣、數字貨幣被市價即時幣幣交易成了BTC。因為大量代幣被市價拋售,導致絕大部分幣種開始下跌,市場中不明真相的散戶也加入了恐慌性拋售.

1900/1/1 0:00:00
ads