前段时间一些朋友出来创业,选择的方向就是网络安全。接着就看到了不少的信息安全行业融资信息披露,不管有没有明确的商务模式,也不管有没有过硬的技术,反正融资的额度一个比一个高,我踮起脚跟抬头仰视都看不着,大有过把瘾就死的狂欢即视感。
我说的其实是整个创业环境的疯狂,但是对于信息安全行业来说,根本还处在一个百废待新的年代。虽说有些人浮躁,但还是有一些团队我很看好的。因为网络安全问题达到前所未有的严峻程度,基本我们能看到听到的大企业都发生了信息泄漏事件,哪怕是大量的企业开始跟进SRC,并且卓有成效,但是越有成效越证明了安全问题的严峻,用户会疑惑:到底还有多少是我不知道(你没有告诉我)甚至是你自己也不知道的(黑客也不告诉你)?网民们每天登陆到互联网产品,都能惊喜地看到自己的登陆IP在全世界各地飞,戏称“我妈妈都不知道我这么牛”。所以全民在虚拟的网络世界里普遍缺乏安全感。
造成这种背景产生的问题是复杂的,简而言之有四大块:一)信息安全法律的滞后性以及执行层面的问题。立案成本高,收益甚微导致选择性执法;二)企业对信息安全的重视和投入程度不足,口头要求不出事,出事赶紧捂被子;三)前两点直接导致了黑产的猖獗:黑产的投入低产出高,风险小(说白了黑客就是银行抢劫犯的线上版本,这样看官就能理解我为什么说风险小了);四)老百姓的维权意识等于负值,出事了厂商非但没有赔偿,相反你联系他们解决安全问题感觉你还欠他的人情。网民在这个神奇的环境已经习惯了逆来顺受。
这里其实就衍生了很多机会,有些是真机会,但大多数还是假想出来自high的“陷阱”。有些人看到了投资热就能“圈钱”的机会,有些人一看某个名词很热,直接把过了气的产品换个高大上的名称就出来溜。但问题总还是要解决的,这需要一些无论是终端还是企业端的安全产品和解决方案。只是,在现有传统的安全产品发挥余热的同时,迫切需要新的思维模式下的产物出现,归根结底是因为:攻击者(黑客)的攻击方法出现了本质的变化。
回想最初一个漏洞打天下蠕虫满天飞,然后发现一个蠕虫成本太高(现在有谁拿0day还用来做蠕虫的,我只能赞叹他的精神状态),于是攻击逐步转向了“软柿子”:Web应用层攻击-无论是网站漏洞攻击还是google hacking;当那一批一批的服务器数据被拖出来之后,就附带着衍生了一个新的数据形态“社工库”,这种软柿子在当下也就随之发生变化了:利用企业员工的弱点进行攻击。这种弱点体现在多个方面:比如Github Hacking,这个直接转变成了攻击开发和运维人员,伤害是致命的;比如社工库攻击(人类在记密码方面天生弱智)结合reg007这样的产物,再比如如果我有整个全球互联网资产的数据库,我知道你的员工列表,我知道你的企业内网和外网的网络拓扑,我知道你的所有业务清单,甚至是密码。
很遗憾,上面提到的新形势下的攻击,现有安全产品都防护不了,或者说绝不是任何一家两家能够独立防护的。以前的思维是破门而入,现在的思维是“我就是你”。防护产品能识别强盗行为,但是某一天把主人也拒之门外,估计也离死不远了。企业在收到多次冲击之后,痛定思痛,出台了特别严厉的信息安全规范,但是啊,落地到执行又回到人的层面。法律尚且滞后,况且企业规范乎?
你可能还是没有注意到这些变化,我们不妨换个角度来思考一下:以前我们说的漏洞基本得是丢一个炸一片的核弹,不然测试人员会被开发人员深深鄙视的。现在看看,你要是知名网站,要是验证码不够复杂,或者用户密码通过md5做hash存储还不带salt,甚至是没有提供二次动态认证的机制,企业会被认为在安全方面是不合格的。企业委屈到差不多都要爆粗口了,WTF这些都还不够?但是对不起,你还得这么做,谁叫你存储了我们这么多数据,你还得感恩你生在中国,不然你还得赔偿损失,老板还得附带下课。导致这些变化的原因是黑客攻击手法变了,技术漏洞变成公关事件了,企业商业模式变了,老百姓对安全的理解程度也变了。提到的这些变化导致的安全影响从防护角度来说无解,我认为最好的防守就是进攻,我们可以尝试把战火烧到敌人的地盘。
企业还需进步,白帽已然爆发,这种乱象必然会产生很多有意思的现象,一定会有百花齐放,也一定会有丑态百出,自然也就会涌现一批乱世下的英雄,他们会代表新兴的力量承担起未来的责任,可以预见这批英雄肯定不是现在的既得利益者。
网络安全这点事要是展开了讲,估计得讲上很久,我们这纯属于皇帝不急,急死太监。上回安言的张总跟我聊到这个话题,我们的共识是对行业产生了悲观情绪,这是真的。但是我们的结论并不悲观,回到开头,很多朋友不是都奔向了网络安全领域创业来了嘛?聊得越多越感触,其实大家做的事情殊途同归,无论切入点是哪一个细分领域,最终都会汇集到同一条大河流入大海。只要我们还在坚持,形式总是在慢慢好转的,再不济把我们那些“不安分的小兄弟”逼到另一个更小的角落,那也还是胜利。
赵武:网络安全的时代和机会
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文