“黑客”杭特：安全圈“攻”太多了，這不好

最近聽了個段子，一個男生用約炮神器約了另一個男生，一見面都熟練地拿出一個安全套。

兩人恍然大悟：“蛤？你也是攻！”

在阿里安全資深專家“杭特”吐槽“安全圈‘攻’太多了！”那一瞬間，雷鋒網(wǎng)宅客頻道（微信公眾號：letshome）很想把這個段子講給他聽。

“哦，我知道你想多了，‘攻’的人比‘防’的人多太多了，所以這個行業(yè)才發(fā)展不好。”杭特一邊笑。

杭特，是一個熱愛動漫的“中二”中年安全研究員——他的花名音譯自“hunter”，來源于他最愛的動漫《全職獵人》，他負責的兩個實驗室，一個命名為“獵戶座”，一個命名為“雙子座”。

杭特本科畢業(yè)于山東大學數(shù)學專業(yè)，在中科院軟件所讀了網(wǎng)絡(luò)安全相關(guān)的碩士專業(yè)，隨后在綠盟從業(yè) 8年，再到阿里干了 4 年。當然，雷鋒網(wǎng)可以告訴你他的真名叫“曲某某”（安全圈花名不便透露，提示一下“冷酷曲”）——自從他領(lǐng)教到美國簽證處對安全人員的出國審批十分嚴苛后，再也不想把自己的真名和安全行業(yè)聯(lián)系起來。

但這樣一個安全行業(yè)的老司機，依然保有他所說的熱愛動漫的“中二”中年的單純，和雷鋒網(wǎng)宅客頻道約聊的主題是“憤慨地吐槽下安全圈的怪現(xiàn)象”。

口述：杭特|文：李勤

困惑

2006年，從中科院軟件所網(wǎng)絡(luò)安全專業(yè)畢業(yè)時，我有三個選擇。

第一，讀研時我和日本研究小組做了個研究項目，谷歌當時校招只接受現(xiàn)場宣講投簡歷渠道，來我校宣講時我去日本進行項目答辯，完美錯過。

第二，IBM 是該日本研究小組的參與方，因為這個項目獲獎了，如果找人推薦，應該可以走通 IBM 這條路。

當然，這些都只是可能通往向互聯(lián)網(wǎng)產(chǎn)業(yè)的康莊大道，第三條路是我給自己選的——到綠盟做安全。

我當時想了想，前面兩條路都挺好的，但架不住我是真心喜歡安全的。

我還記得，當年還是一個小菜雞的時候，在數(shù)學系機房兼任網(wǎng)管。有一次機房被IP位于德國的黑客入侵，但我卻不知道怎么把對方趕出去。

知恥而后勇，自此我投入了網(wǎng)絡(luò)安全研究的星辰大海。

大家都知道，綠盟的研究范圍是很濃的，也有安全圈的黃埔軍校之稱，一開始我干得很開心，在針對某些軟件的漏洞挖掘上產(chǎn)出了一些成績。挖著挖著，我覺得不對勁了——怎么這個軟件的漏洞是挖不盡的？挖洞、補洞、再挖洞、再補洞……這是個死循環(huán)，這種安全思路對行業(yè)發(fā)展真的起到了促進作用嗎？

2014年，帶著這種困惑，我跳到了甲方——阿里巴巴，希冀轉(zhuǎn)變角色能解答我的疑問，此時我也正從一名“攻擊者”向“防守者”轉(zhuǎn)變。

這種轉(zhuǎn)變讓我看清了上述問題的癥結(jié)：現(xiàn)在冒出來的安全企業(yè)這么多，我們搞得這么猛，為什么出現(xiàn)的信息泄露事件依然這么多？我覺得安全沒有經(jīng)歷真正的發(fā)展，攻擊者太多，防守者太少。

你要說了，很多人不是提倡“不知攻，焉知防”嗎？

但我感受到的是，“攻”的人挖漏洞很厲害，在一條馬路上發(fā)現(xiàn)了很多的坑，但是往往大喊一句“這里有坑”，差不多就完事了，剩下“坑”還是“坑”，而且讓“坑”暴露在外，卻無更有效的解決辦法。

另外，我們不需要這么多的攻擊者。

正常來看，攻與防的人員對比應該是1:2，但十個安全研究者中，可能有 9 個是做“攻”的。

這產(chǎn)生了一個問題：“攻擊”意味著你能挖到很多漏洞，在“軍備競賽”中，大家都攢了“核彈”在手里，不可能隨時互相扔著玩。對國家和企業(yè)而言，是不是應該鍛造更強的防守能力？

“攻”為什么那么多

現(xiàn)實是，我是從攻擊者慢慢轉(zhuǎn)變成了防守者，很想?yún)s很難地招到現(xiàn)成的“守”。

“攻”遠遠多于“防”，我認為有三個原因。

第一，人才培養(yǎng)手段單一，培養(yǎng)的是單點人才。

想必不是我一個人吐槽過，現(xiàn)在很多企業(yè)收到的安全人員的簡歷是——我打過什么 CTF 和 PWN 類型的比賽。

第一種比賽，培養(yǎng)做題和漏洞挖掘的能力；第二種比賽，也是主打挖掘相關(guān)軟硬件的漏洞，然后上場比賽。針對后一種，想必大家有所體會，近兩年國外著名 PWN 比賽的選手，很多是中國的安全研究員，有些賽場主要是中國隊互相PK。

最近我聽說了一個消息，上層內(nèi)部發(fā)文稱，不鼓勵中國的安全企業(yè)派人參加國外的 PWN 等比賽，個中意味，大家自己體會。

另外，很多白帽子屬于野路子出來的，也就是半路出家，精通的是某一個垂直領(lǐng)域，沒有經(jīng)歷系統(tǒng)的學習，是“單點型”人才，比如，他對反序列化漏洞特別了解，擅長抓這個漏洞。再讓他搞別的，他搞不了，而我們需要的是系統(tǒng)結(jié)構(gòu)型人才——具有攻與防的技術(shù)素養(yǎng)，并且有密碼學等知識背景，能夠快速適應企業(yè)真正安全工作的需求。

第二，雖然冒出了很多安全企業(yè)，但是可能還是“什么熱，研究什么”，但很多很重要的漏洞卻不是我們發(fā)現(xiàn)的——比如開源框架的“心臟滴血”和最近曝光的英特爾 CPU 漏洞。

現(xiàn)在，整個安全產(chǎn)業(yè)是“一塊塊補丁”，大家都在努力“貼膏藥”，這不好。

第三，我想舉個例子，大家自己體會+1。美國對國家級安全項目是這樣抓的：驗收指標不是由直接承擔項目的專家定，而是由另外參與項目的團隊制定，從項目申請開始到項目結(jié)束，對樣本和結(jié)果有效性的 PK 貫穿項目始終，這樣做出來的東西會越來越好。

不追熱點，追什么

我總結(jié)的中心思想是：攻防比例要均衡，要以防護為主，研究方向要平滑，不要光追熱點。

不追熱點，追什么？追大勢。

老馬在 2015 年說過，我們正從 IT 時代轉(zhuǎn)向 DT（數(shù)據(jù)技術(shù)） 時代。

數(shù)據(jù)在每個企業(yè)的地位是什么，大家心領(lǐng)神會。但對于數(shù)據(jù)安全，我有不同的想法。

我認為，數(shù)據(jù)安全的范圍遠不止守護一臺服務器，我們要做到的是，即使數(shù)據(jù)被泄露，攻擊者也無法解密數(shù)據(jù)，達到“可用而不可見”。

如果你關(guān)注業(yè)界進展，就會發(fā)現(xiàn)某主流芯片廠商正在研發(fā)一項與此相關(guān)的數(shù)據(jù)加密技術(shù)，目前該技術(shù)還處在前沿研究階段，但中國的互聯(lián)網(wǎng)大廠基本都在跟進該技術(shù)，當然，也包括我們。

如果真的把這項技術(shù)應用于改造業(yè)務，這意味著以后大家只需要著重管理數(shù)據(jù)采集階段的安全以及守護密鑰的安全。

當然，這并不意味著挑戰(zhàn)減少了。

在數(shù)據(jù)搜集階段，哪些數(shù)據(jù)該搜集，是否符合國家隱私政策，以何種手段能保證采集的信息就是加密的，在搜索和使用等流通環(huán)節(jié)，在數(shù)據(jù)加密的條件下，依然能夠順利、高效地使用數(shù)據(jù)，如何證明數(shù)據(jù)的原始所有權(quán)歸屬，源頭數(shù)據(jù)就意味著這是真實數(shù)據(jù)嗎？如何在加密數(shù)據(jù)丟失后卻能反向跟蹤竊取者……

除了數(shù)據(jù)安全，我還認為，自動化工具可以是研究方向之一。在安全對抗中，不要想著以肉身一敵百，要善于利用自動化工具以一敵千。

不久后，我會做一個以防守為主的競賽，如果你不信，可以試試看，人類智慧凝聚的自動化工具與肉身同場對敵，箭矢鋪天而來，我相信，這樣的環(huán)境能讓你明白，我所說的防守與以一敵千是何等重要。

想聊下安全圈里的事兒，歡迎關(guān)注微信公眾號“宅客頻道”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。