與專家面對面：聽實戰派談網絡安全的實用價值

當前，專業的安全技術人才“供不應求”是個全球性的問題，它也給現有網絡安全隊伍帶來不少壓力。網絡安全從業人員怎樣才能跟上業務和IT風險的步伐?這不僅僅需要安全技術、戰術的提升，他們更需要聆聽來自“前輩”們在一線的實戰經驗分享。

InfoQ與長亭科技信息安全研究院共同發起“網絡安全從業人員現狀調查”的同時，也采訪了在網絡安全方面有著多年實戰經驗的專家，一起分享這些年在網絡安全方面的探索路。

實踐產生實用價值

美麗聯合集團安全專家、安全項目總監止介(吳飛飛)，統管著集團全線安全產品。之前的軟件開發、產品研發和項目管理經歷，讓他對網絡安全有著更全面認識和實用價值。

和大多數網絡安全從業人員相似的是，止介的安全路也正是從“人肉挖掘”和“修復漏洞”開始。隨著公司業務擴張以及安全行業的起步，公司在安全方面的投入也越來越大。當時的止介，作為蘑菇街第一個全職安全人員，以客戶安全為切入點，開發出了和安全關聯較強的幾個產品：數字證書、實名認證以及堡壘機，并同時人肉挖掘和修復顯著的安全漏洞以及全局防護措施。經驗的積累、專業安全團隊的壯大，讓止介在軟件開發和信息安全方面的特長得到了充分發揮，從而肩負起集團整體安全項目架構及各類安全項目的設計和研發之重任。

美麗聯合集團所處的電商行業是國內各個行業中對于安全最重視的行業之一。在止介看來，目前攻防不對等導致防御方投入過大是這個行業面臨的最大挑戰。試想，幾百個攻擊者只需要在幾千個系統中找到最薄弱的那一個，而幾十個防御者需要保護好幾千個系統容不得一個薄弱點。

因此，美麗聯合集團也將安全團隊分為信息安全和網絡安全兩個二級部門。顧名思義，網絡安全主要負責網絡層面的安全，比如DDoS、CC、劫持、非法爬取調用等常規網絡攻擊的防御和分析，以及移動端(iOS/Android)安全。信息安全團隊則負責除網絡安全范圍外的事情，比如應用安全、主機安全、數據安全、終端安全、內控、威脅情報、應急響應、安全規范制定與落地、安全運營等。

止介的團隊還為美麗聯合集團制定了諸多防范計劃和應對預案。在應用安全方面，用Eagle(黑盒漏洞掃描器)挖掘各類漏洞;Cobra(白盒源代碼安全審計)掃描各類安全風險和漏洞;Begis(安全修復組件)幫助開發人員快速修復漏洞;Aone(安全工單)承接所有安全相關需求;在威脅情報方面，設置了Dylan(情報系統)收取各類威脅情報;在應急響應方面，用SRC(安全應急響應中心)搭建與白帽子溝通交流的平臺，讓白帽子發現的安全問題有地方可交并能得到反饋和獎勵;在主機安全方面，用Turtle(堡壘機)管住所有服務器的登陸入口;Wolverine(金剛狼)做好服務器自身安全;蜜罐捕獲和欺騙惡意攻擊;在內控方面，用GuGu(入網管控)控制人員入網入口，推動全網免密，并且制定和落實各類安全規范，對新入職員工進行安全培訓;在網絡安全方面，采用Gaea(WAF)& WAF2.0 抵御0day和常規網絡攻擊;流量清洗抵御DDoS;IDS(入侵檢測系統)分析和報告入侵信息;CSP(內容安全策略)防御廣告劫持、常規XSS等等。

在移動終端如此發達的今天，美麗聯合集團也專門針對移動安全制訂了相應的安全風險檢測加固及防御體系。

除此之外，美麗聯合集團也在營造一個安全生態，比如運營公眾號、SRC(安全應急響應中心)、廠商與白帽子的關系、廠商與廠商間的信息互通等等。

順應市場趨勢，關注職業規劃和發展走向

多年的一線實踐，也讓止介對安全產品甄別更趨向于應用層面。

在止介看來，安全產品存在的意義就是為了取代人肉解決安全問題，其整個生命流程應盡可能的自動化，因為每多一步人工參與所帶來的效率損害都是巨大的。其次是高級灰度，現在的安全產品誤殺率偏高，所以需要支持各維度的灰度功能來進行對比。同時，無法擴展的系統將無法適應這個變化莫測的環境。

誤報率、漏報率對于各類極端環境、極端目標的處理，也都是現今安全產品設計最需要考慮的問題。

縱觀當前的安全形勢，相同的業務背景下，漏洞數量會下降，但是漏洞質量卻會上升。所以安全從員除了在熟悉原有的前端、后端、客戶端、運維、數據庫、算法等基礎技能之外，還需要對每一類的技能進行深入的研究才能跟上隊伍。而知識的獲取，除了從專業學科學習外，大部分都來自于實戰經驗中。

止介建議，安全人員應該關注職業規劃和職業發展走向。未來幾年絕大部分的漏洞都將被工具系統挖掘所替代，若還在人肉挖掘淺顯漏洞勢必將被淘汰，安全從業人員要練就不可替代性的真功夫。興趣和努力是最好的老師，這也是行業能否可持續發展的動力。

來源：IT168