最近聽(tīng)了個(gè)段子，一個(gè)男生用約炮神器約了另一個(gè)男生，一見(jiàn)面都熟練地拿出一個(gè)安全套。

兩人恍然大悟：“蛤？你也是攻！”

在阿里安全資深專(zhuān)家“杭特”吐槽“安全圈‘攻’太多了！”那一瞬間，雷鋒網(wǎng)宅客頻道（微信公眾號(hào)：letshome）很想把這個(gè)段子講給他聽(tīng)。

“哦，我知道你想多了，‘攻’的人比‘防’的人多太多了，所以這個(gè)行業(yè)才發(fā)展不好?！焙继匾贿呅Α?/p>

杭特，是一個(gè)熱愛(ài)動(dòng)漫的“中二”中年安全研究員——他的花名音譯自“hunter”，來(lái)源于他最?lèi)?ài)的動(dòng)漫《全職獵人》，他負(fù)責(zé)的兩個(gè)實(shí)驗(yàn)室，一個(gè)命名為“獵戶座”，一個(gè)命名為“雙子座”。

杭特本科畢業(yè)于山東大學(xué)數(shù)學(xué)專(zhuān)業(yè)，在中科院軟件所讀了網(wǎng)絡(luò)安全相關(guān)的碩士專(zhuān)業(yè)，隨后在綠盟從業(yè) 8年，再到阿里干了 4 年。當(dāng)然，雷鋒網(wǎng)可以告訴你他的真名叫“曲某某”（安全圈花名不便透露，提示一下“冷酷曲”）——自從他領(lǐng)教到美國(guó)簽證處對(duì)安全人員的出國(guó)審批十分嚴(yán)苛后，再也不想把自己的真名和安全行業(yè)聯(lián)系起來(lái)。

但這樣一個(gè)安全行業(yè)的老司機(jī)，依然保有他所說(shuō)的熱愛(ài)動(dòng)漫的“中二”中年的單純，和雷鋒網(wǎng)宅客頻道約聊的主題是“憤慨地吐槽下安全圈的怪現(xiàn)象”。

口述：杭特|文：李勤

困惑

2006年，從中科院軟件所網(wǎng)絡(luò)安全專(zhuān)業(yè)畢業(yè)時(shí)，我有三個(gè)選擇。

第一，讀研時(shí)我和日本研究小組做了個(gè)研究項(xiàng)目，谷歌當(dāng)時(shí)校招只接受現(xiàn)場(chǎng)宣講投簡(jiǎn)歷渠道，來(lái)我校宣講時(shí)我去日本進(jìn)行項(xiàng)目答辯，完美錯(cuò)過(guò)。

第二，IBM 是該日本研究小組的參與方，因?yàn)檫@個(gè)項(xiàng)目獲獎(jiǎng)了，如果找人推薦，應(yīng)該可以走通 IBM 這條路。

當(dāng)然，這些都只是可能通往向互聯(lián)網(wǎng)產(chǎn)業(yè)的康莊大道，第三條路是我給自己選的——到綠盟做安全。

我當(dāng)時(shí)想了想，前面兩條路都挺好的，但架不住我是真心喜歡安全的。

我還記得，當(dāng)年還是一個(gè)小菜雞的時(shí)候，在數(shù)學(xué)系機(jī)房兼任網(wǎng)管。有一次機(jī)房被IP位于德國(guó)的黑客入侵，但我卻不知道怎么把對(duì)方趕出去。

知恥而后勇，自此我投入了網(wǎng)絡(luò)安全研究的星辰大海。

大家都知道，綠盟的研究范圍是很濃的，也有安全圈的黃埔軍校之稱(chēng)，一開(kāi)始我干得很開(kāi)心，在針對(duì)某些軟件的漏洞挖掘上產(chǎn)出了一些成績(jī)。挖著挖著，我覺(jué)得不對(duì)勁了——怎么這個(gè)軟件的漏洞是挖不盡的？挖洞、補(bǔ)洞、再挖洞、再補(bǔ)洞……這是個(gè)死循環(huán)，這種安全思路對(duì)行業(yè)發(fā)展真的起到了促進(jìn)作用嗎？

2014年，帶著這種困惑，我跳到了甲方——阿里巴巴，希冀轉(zhuǎn)變角色能解答我的疑問(wèn)，此時(shí)我也正從一名“攻擊者”向“防守者”轉(zhuǎn)變。

這種轉(zhuǎn)變讓我看清了上述問(wèn)題的癥結(jié)：現(xiàn)在冒出來(lái)的安全企業(yè)這么多，我們搞得這么猛，為什么出現(xiàn)的信息泄露事件依然這么多？我覺(jué)得安全沒(méi)有經(jīng)歷真正的發(fā)展，攻擊者太多，防守者太少。

你要說(shuō)了，很多人不是提倡“不知攻，焉知防”嗎？

但我感受到的是，“攻”的人挖漏洞很厲害，在一條馬路上發(fā)現(xiàn)了很多的坑，但是往往大喊一句“這里有坑”，差不多就完事了，剩下“坑”還是“坑”，而且讓“坑”暴露在外，卻無(wú)更有效的解決辦法。

另外，我們不需要這么多的攻擊者。

正常來(lái)看，攻與防的人員對(duì)比應(yīng)該是1:2，但十個(gè)安全研究者中，可能有 9 個(gè)是做“攻”的。

這產(chǎn)生了一個(gè)問(wèn)題：“攻擊”意味著你能挖到很多漏洞，在“軍備競(jìng)賽”中，大家都攢了“核彈”在手里，不可能隨時(shí)互相扔著玩。對(duì)國(guó)家和企業(yè)而言，是不是應(yīng)該鍛造更強(qiáng)的防守能力？

“攻”為什么那么多

現(xiàn)實(shí)是，我是從攻擊者慢慢轉(zhuǎn)變成了防守者，很想?yún)s很難地招到現(xiàn)成的“守”。

“攻”遠(yuǎn)遠(yuǎn)多于“防”，我認(rèn)為有三個(gè)原因。

第一，人才培養(yǎng)手段單一，培養(yǎng)的是單點(diǎn)人才。

想必不是我一個(gè)人吐槽過(guò)，現(xiàn)在很多企業(yè)收到的安全人員的簡(jiǎn)歷是——我打過(guò)什么 CTF 和 PWN 類(lèi)型的比賽。

第一種比賽，培養(yǎng)做題和漏洞挖掘的能力；第二種比賽，也是主打挖掘相關(guān)軟硬件的漏洞，然后上場(chǎng)比賽。針對(duì)后一種，想必大家有所體會(huì)，近兩年國(guó)外著名 PWN 比賽的選手，很多是中國(guó)的安全研究員，有些賽場(chǎng)主要是中國(guó)隊(duì)互相PK。

最近我聽(tīng)說(shuō)了一個(gè)消息，上層內(nèi)部發(fā)文稱(chēng)，不鼓勵(lì)中國(guó)的安全企業(yè)派人參加國(guó)外的 PWN 等比賽，個(gè)中意味，大家自己體會(huì)。

另外，很多白帽子屬于野路子出來(lái)的，也就是半路出家，精通的是某一個(gè)垂直領(lǐng)域，沒(méi)有經(jīng)歷系統(tǒng)的學(xué)習(xí)，是“單點(diǎn)型”人才，比如，他對(duì)反序列化漏洞特別了解，擅長(zhǎng)抓這個(gè)漏洞。再讓他搞別的，他搞不了，而我們需要的是系統(tǒng)結(jié)構(gòu)型人才——具有攻與防的技術(shù)素養(yǎng)，并且有密碼學(xué)等知識(shí)背景，能夠快速適應(yīng)企業(yè)真正安全工作的需求。

第二，雖然冒出了很多安全企業(yè)，但是可能還是“什么熱，研究什么”，但很多很重要的漏洞卻不是我們發(fā)現(xiàn)的——比如開(kāi)源框架的“心臟滴血”和最近曝光的英特爾 CPU 漏洞。

現(xiàn)在，整個(gè)安全產(chǎn)業(yè)是“一塊塊補(bǔ)丁”，大家都在努力“貼膏藥”，這不好。

第三，我想舉個(gè)例子，大家自己體會(huì)+1。美國(guó)對(duì)國(guó)家級(jí)安全項(xiàng)目是這樣抓的：驗(yàn)收指標(biāo)不是由直接承擔(dān)項(xiàng)目的專(zhuān)家定，而是由另外參與項(xiàng)目的團(tuán)隊(duì)制定，從項(xiàng)目申請(qǐng)開(kāi)始到項(xiàng)目結(jié)束，對(duì)樣本和結(jié)果有效性的 PK 貫穿項(xiàng)目始終，這樣做出來(lái)的東西會(huì)越來(lái)越好。

不追熱點(diǎn)，追什么

我總結(jié)的中心思想是：攻防比例要均衡，要以防護(hù)為主，研究方向要平滑，不要光追熱點(diǎn)。

不追熱點(diǎn)，追什么？追大勢(shì)。

老馬在 2015 年說(shuō)過(guò)，我們正從 IT 時(shí)代轉(zhuǎn)向 DT（數(shù)據(jù)技術(shù)） 時(shí)代。

數(shù)據(jù)在每個(gè)企業(yè)的地位是什么，大家心領(lǐng)神會(huì)。但對(duì)于數(shù)據(jù)安全，我有不同的想法。

我認(rèn)為，數(shù)據(jù)安全的范圍遠(yuǎn)不止守護(hù)一臺(tái)服務(wù)器，我們要做到的是，即使數(shù)據(jù)被泄露，攻擊者也無(wú)法解密數(shù)據(jù)，達(dá)到“可用而不可見(jiàn)”。

如果你關(guān)注業(yè)界進(jìn)展，就會(huì)發(fā)現(xiàn)某主流芯片廠商正在研發(fā)一項(xiàng)與此相關(guān)的數(shù)據(jù)加密技術(shù)，目前該技術(shù)還處在前沿研究階段，但中國(guó)的互聯(lián)網(wǎng)大廠基本都在跟進(jìn)該技術(shù)，當(dāng)然，也包括我們。

如果真的把這項(xiàng)技術(shù)應(yīng)用于改造業(yè)務(wù)，這意味著以后大家只需要著重管理數(shù)據(jù)采集階段的安全以及守護(hù)密鑰的安全。

當(dāng)然，這并不意味著挑戰(zhàn)減少了。

在數(shù)據(jù)搜集階段，哪些數(shù)據(jù)該搜集，是否符合國(guó)家隱私政策，以何種手段能保證采集的信息就是加密的，在搜索和使用等流通環(huán)節(jié)，在數(shù)據(jù)加密的條件下，依然能夠順利、高效地使用數(shù)據(jù)，如何證明數(shù)據(jù)的原始所有權(quán)歸屬，源頭數(shù)據(jù)就意味著這是真實(shí)數(shù)據(jù)嗎？如何在加密數(shù)據(jù)丟失后卻能反向跟蹤竊取者……

除了數(shù)據(jù)安全，我還認(rèn)為，自動(dòng)化工具可以是研究方向之一。在安全對(duì)抗中，不要想著以肉身一敵百，要善于利用自動(dòng)化工具以一敵千。

不久后，我會(huì)做一個(gè)以防守為主的競(jìng)賽，如果你不信，可以試試看，人類(lèi)智慧凝聚的自動(dòng)化工具與肉身同場(chǎng)對(duì)敵，箭矢鋪天而來(lái)，我相信，這樣的環(huán)境能讓你明白，我所說(shuō)的防守與以一敵千是何等重要。

想聊下安全圈里的事兒，歡迎關(guān)注微信公眾號(hào)“宅客頻道”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。