已經有那麼多安全防護軟體,安全工程師有必要存在嗎?
網路專業,安全方向的在校學生。最近學習web滲透,發現許多網站已經有類似安全狗等各種防護軟體,不禁就想企業需要安全工程師做什麼呢?問下安全方向要怎麼學習,學校都是教計算機的網路相關的知識,比如路由,協議,密碼學等等。如果有前人指點迷津,感激不盡。
謝邀。
----------------------------------------------------------------------------------------------------
我從業以後就消除了你這種想法。
因為你還在上學,接觸不到真實的企業環境,問這種問題不奇怪。
----------------------------------------------------------------------------------------------------
1、在遙遠的冷兵器時代: 我們有刀槍棍棒,但是還需要大量的軍隊,士兵還需要練肌肉,練反應,對吧?
2、在火藥兵器時代: 我們有火槍,需要的軍隊已經開始少了對吧?士兵基本上不用練肌肉(特指不需要肉搏),練反應也快不過槍子兒,對吧?
3、在飛機大炮時代:練肌肉有毛用?一顆炸彈下來一個體育場沒了......
那麼,需要開飛機的人嗎?需要雷達,制導,指揮,通訊的人才嗎?
----------------------------------------------------------------------------------------------------------
上面的例子,是人類的戰爭武器進化史,我們對比一下信息安全進化史
黑客開發工具、腳本 ======= 造子彈,造機槍
安全公司開發waf,防火牆 ======= 造盾牌,造防彈衣
公司裡面的信息安全人員 ======= 指揮員,工兵挖碉堡
安全防護軟體是什麼?盾牌,防彈衣
安全工程師是什麼?是士兵
打仗能不要士兵嗎???????
-----------------------------------------------------------------------------------------------------------
你現在學的路由,協議,密碼學,就好比「軍事學」「指揮學」「戰場生存手冊」
你以後不管走哪個方向,都能用到。切莫望天高,打好基礎是根本。
謝邀,這個問題我是懵逼的,還是簡單說一下自己的看法吧
首先,安全防護軟體是人開發出來的
安全狗是工程師開發出來的,可以想像一下,剛剛開發出來的時候有多少人能夠過這個waf
在過了之後總有會公開/分享或是提交到某些漏洞平台
安全狗收到通報以後,工程師的作用發揮了,修復漏洞。
於是過WAF的方法越來越少,但還是有很多人甘之若飴的去研究,因為一款WAF太普及並且太強大就會影響『黑/白帽子』日常的『漏洞挖掘/深入滲透』
於是又研究到新的方法,於是工程師又修復
這是一個良性循環,對雙方都有益。我覺得這在整個行業是常態
企業工程師與『黑/白帽子』在攻與防的路上你追我逐,技術逐漸提高
還有更多的工程師,互聯網企業一定有運維的,甚至一些傳統企業的官網也肯定有!
至於做安服『安全服務』就不用多說了,工具的力量總有窮盡
WAF一般是用來防護的,但是只能是「防護」
君不見當初sqlmap下利用tamper過安全狗?
但如果是一個優秀的工程師坐鎮,這個注入點就會煙消雲散,又何需安全狗?
還是那句話,工具的力量總有窮盡,畢竟只是工程師的『作品』
語言組織不當請見諒。謝邀。說實話,WAF是一種很虛的東西,安全狗bypass方法層出不絕。這還只是web和伺服器層面的。算上網路層,安全策略,外包等管理方面。你說安全工程師需要存在不?
技術是前進的,防護是被動的
安全防護軟體是天上掉下來的嗎?
有必要,安全工程師提供服務,提高情感陪護,這是任何軟體都代替不了的。
已經有了那麼多法律條文,把公檢法砸了吧
有了不代表就不需要,就好像你有一台手機這樣,你還是會再去買,使用別人家的產品很被動,因為別人家的產品也不能百分百的保證你的網站不被入侵,當然,有了工程師也不可以百分百的保證網站不被入侵,只是有了工程師後就化被動為主動了,有了自己的工程師每天都專註於保護你的網站,就會被入侵了,也能及時的解決,相反,使用別人家的軟體,就算被入侵了,你也只能反饋,然後靜靜的等待答覆,能有了答覆之後,你的網站可以已經面目全非了。
百科這麼多,字典這麼多,詞典這麼多,那還要老師幹啥啊?!哈哈……
其實那些病毒漏洞,是安全工程師們為了推廣他們的軟體而植入你的電腦的,讓你感覺安裝他們的軟體很有效,"你看,它又在修復漏洞。"當然是指部分公司這樣做。
中國那麼多人 怎麼不連一胎都禁了還開放二胎
已經有那麼多葯了,為什麼還要醫生?
直白點回答一下。
就算已經有成型的軟體,也得需要有人負責購買、安裝、維護、升級吧。
一個企業需要哪個公司的多少錢的安全軟體,這是需要專業人員評估的,總不能讓不懂行的老闆閉著眼睛去亂買吧。再比如公司的VPN壞了,伺服器崩了,需要聯繫服務商,這些總要有人做吧,而描述問題,推進解決也是需要專業知識的。一般到了一定規模的公司未必需要一個能寫出多麼大功能軟體的工程師,但總需要一兩個能維護系統運轉的技術人員,這個崗位一般叫運維/安全工程師或者網管,而這個崗位好多時候乾的也只是修修補補的普通事,並非都如電影電視中黑客那般瀟洒拉風。
另一方面,雖然企業也完全可以把安全服務外包給別的公司,這也要考慮成本問題,畢竟很多付費服務都是很昂貴的。自己僱人還是花錢請別人就要看企業自己的策略了。
此外,某些敏感的企業數據往往更要有個"自己人"來維護,也讓部分企業有運維存在的必要。
歷史是發展的。
信息安全是木桶原理。五分技術五分管理。
學過CISSP的都知道,制度的建立不可能自動化,舉個例子:門禁。這是制度性的因素,不用人力管理很難達成目標。
而同時也不能否認自動化工具的高可用性,我們用各種各樣的工具發現了無數0Day。
可是話說回來,有一部分工作還是需要人來完成,比如功能級別的邏輯安全漏洞。
工具畢竟是類似人工智慧,和人的智能還是有區別的。
家家都有電冰箱了還要賣冰棍的幹嘛?
哈哈,世上的人已經夠多了。
又何必再生小孩呢。
剛好也在學這一專業。隨著時間的推移各種漏洞被爆出來,我們學網路安全的任務就是應對不斷出現安全問題。比如DDOS攻擊APT威脅什麼的方式方法途徑會越來越多越來越厲害。
推薦閱讀:
※什麼是 TLS 中間人攻擊?如何防範這類攻擊?
※工控網路和普通網路在安全防護上有哪些不同?工控網路中有哪些常用的、知名的安全設備?
※各網站使用同一套賬戶名,郵箱,密碼,風險大嗎?
※如何用C語言和windows api實現一個基本的ssl協議?(參考資料已備齊)
※全面普及 HTTPS 有意義嗎?