標籤:

信息安全好時代?壞時代?

之前跟同事聊到圈內老一輩黑客的時候,同事感嘆,自己當時趕上了那個時代,當時也接觸、學習黑客或者說網路安全,但最終在開發上漸行漸遠,而現在似乎又回到安全...對自己沒有把握住那個時代噓噓不已...(註:我同事現在是架構師,然後現在也開始撿起漏洞研究)

聊了很多現在與之前對比的話題,引出我一個思考,現在算是信息安全的好時代還是壞時代?對企業?對個人又是如何?拋開道德等其他層面,今天來聊聊!

先來說說"壞"吧!

我想,最直觀的感受是信息安全學習、研究的門檻高了!我不知道大家能不能理解這一點,對於很多接觸安全5年以上的同學來說,在以前剛接觸黑客的時候,我想大家印象最深刻的是啊D注入工具或者明小子等。那時候,很多網上的教程,或者現實買的書,必有一節是講用啊D或者明小子等工具,比如啊D,搜索關鍵詞 "detail.php?id=",然後在下方的列表裡刷刷的出現一大堆可注入的,然後隨便選擇一個,跑下表、欄位,破解下 MD5,跑下後台,就一般很容易的進入後台了。這對於很多新人來說,也是很有成就感的一件事,因為很實實在在的進入後台了;而今天,拋開搜索引擎做的各種搜索限制來說,你再去試,你會發現,已經不是那麼容易能找到存在漏洞的目標了。

再比如,搞 Linux 安全的同學,很多都會去讀 Linux 內核代碼,對比下以前和現在的內核代碼行數,作為一個初學者,現在再想去讀去理解,比以前不容易多了!系統變得更複雜,更深,更多的簡單低級的問題早就被修復,於是沒有一定的功力,更難的發現問題,更多有成果,也更難獲得成就感;還有一大堆的應用放到雲上,各種雲有專門的安全統一,統一的防禦,你再想攻破目標,也不是那麼容易。

還有,教材滯後,除了最近一兩年出的書,你去看一些比較經典的書,講一些經典的漏洞,你會發現,很多例子都是比較老的,關鍵例子老沒關係,可以學習思路等,但是比較坑的是你經常會發現,你想照著書中的漏洞去復現的時候,連漏洞對應版本的安裝包都找不到了,更別說復現了!網上的很多教程也是類似的。

當你算入門了,你希望能跟這個圈子裡的人進行交流,促進自己的成長,但是你卻會發現,他們都有自己的小圈子,那些你能進入的圈子,你得不到什麼東西,這個圈子似乎不是你想像中的那麼開放!其實想想也是,從以前各種小組、論壇到現在,雖然有法律因素在裡面,但現在確實真的基本都解散的解散、關閉的關閉,更多的分享和開放屬於 PR 性質,而不是真正的技術交流了,這個圈子的開放似乎變的都是為了各自的利益了。

當然,少不了法律方面的因素,隨著法律的健全,你會發現現在很多的測試行為稍微不注意,也許你就進去了!

最後,要講到的是競爭,當安全越來越受重視,這個圈子湧入了一大批新生力量,人數的變多,讓這個圈子的競爭也越來越激烈,你得付出更多的努力,才能收穫一些成果,否則只是一個墊腳石;當然,如果是良性的競爭,那麼一切都很好,即使難又如何,勇攀高峰唄,但是隨著圈子進來的人多了,你會發現,林子大了本來確實什麼鳥都有,但是似乎有那麼一些人特別的浮躁,進而也影響了整個行業,現在又有多少人能安心的做做技術?搞搞研究?更多的時候成了一種惡性的循環和競爭了!

當安全越受重視,更多的大公司需要更多的安全人才,很多安全人才也湧入大公司,但是安全人才進入大公司後,大部分只能成為螺絲釘,螺絲釘是不需要更多的功能,只需要釘住一個點,然後你會發現,慢慢的,你的思維、思考也僅剩那個點了...一切對你來說,似乎更難打開了,不再有過去野戰、各種思想交流、思維碰撞的精彩的火花了!

這些或許就是這個時代失去的"好",但任何事情都有兩面性,先不說以上的是否就如我所說的就是"壞"的,一起再來看看"好"!

其實,說到好,我想現在這個時代,是很多安全從業者所樂於見到的,國家更重視網路安全,各種互聯網廠商更重視網路安全,更多的人理解也願意為信息安全買單!

對於大部分白帽子來說,最直觀的感受就是各種漏洞平台、SRC 的出現,你會發現,儘管你是學生、非安全行業從業者,不管你什麼身份,你都可以利用自己的安全能力給自己賺點外快了,你的成果能更容易的得到別人的認可、獎勵。

整個行業對於安全人才的需求提高了,對比這幾年安全從業者跟以前的工資就可見一斑;出現了"白帽子",然後你會發現,也有很多正向的報道和理解了,你也可以驕傲的出去說自己是幫助企業解決安全問題的安全專家了,而不是原來一提到就覺得是搞破壞的駭客了...整體來說,這個時代,安全越來越受重視,湧現了更多的安全廠商,各種行業各種公司設立安全部門,擁有自己的安全團隊,一切似乎都朝著更好的方向發展,而這對於安全人員來說,就意味著更多的機會、認可等...

其實大家細心體會,這個時代,確實有太多好的地方了,遠不止我列舉的幾種情況!大家可以自己體會下,我就不一點點列了。

所以當安全越來越受重視,隨時時間的流淌,我也不知道,這個時代是好是壞,對於有些人、有些公司,這是一個好時代,因為他們能碰到很多機遇;對於另一些人、另一些公司,這是個壞時代,因為同樣的努力他們更難抓住機遇了!

最後,回頭來看看現在這個時代,看過去,你也不難發現,其實很多老一輩的黑客還處於研究的第一線,望未來,你也能感知更多比你聰明的新生力量正在超越你,那麼你,還站在原地幹嘛?

仁者見仁,智者見智,最後用莎士比亞的話送大家:好與壞,全在自己怎麼想!我補充一句,也在於自己怎麼做!

註:本文提前以前的環境更容易找到漏洞等不是鼓勵大家去做攻擊、未授權測試的事,純粹的從拋開道德、法律等角度講講自己的思考!

題圖來自 quotefancy.com,莎士比亞的話

-----------------

優主張

關注信息安全,產品運營以及各種好玩的東西

分享一些個人的體驗與心得,一些想法,一些安全的科普
推薦閱讀:

TAG:信息安全 |