有黑就有白,對於網絡安全保護者來說,他們也有很多屬於自己的稱號,比如現在比較流行的一個稱號就是“白帽子”。白帽子黑客,是指那些專門研究或者從事網絡、計算機技術防禦的人,他們通常受僱於各大公司,是維護世界網絡、計算機安全的主要力量。很多白帽還受僱於公司,對產品進行模擬黑客攻擊,以檢測產品的可靠性。
也有白帽子來源於洗黑,也有自學或者跟著業內師父學習的。最近幾年對於白帽子們來說應該是比較幸福的,無論是收入還是關注度都很高。此前,由於關注度不高和收入不高,很多白帽子私下也都偷偷兼職黑產工作。隨著國家對網絡安全行的重視,白帽子的收入大大提升,他們現在已經不需要再去冒風險地從事黑產了。
收入的提高帶來了行業的魚龍混雜,由於人才缺口的巨大,很多原本是公司程序員,測試工程師的員工,參加一些行業考試,搖身一變就成為了網絡安全工程師。這給行業也帶來了很多問題,事實上,一個安全公司能真正解決問題的網絡安全工程師大約不到20%,剩下的大多隻能做做簡單的漏洞掃描和整理報告工作。
這種濫竽充數的不多說,事實上有能力的白帽子,依然會收到黑產的誘惑,在高額的誘惑下,偷偷做一些網絡攻擊。也還有一些白帽子,也會組建各種各樣的安全戰隊,集合優勢力量,一方面提高團隊的技術實力,一方面也是在發展的過程中窺探市場機會,尋求創業可能。
白帽子涉黑產其實是很正常的,綜合評估起來,做白帽子收益高,就會去做白帽子,如果黑產收益高,也不會排斥黑產。技術是獨立的,是不分善惡的。中國人從小到大耳濡目染的,學到的,實踐的其實是兩張皮,言行不一。說的做不得,做的說不得。
人的性格有內向型和外向型,白帽子也不例外。他們的性格也決定著他們在行業內或者圈內的生存狀態。
外向的白帽子最愛的就是參加各種各樣的網絡安全會議。網絡安全會議也是網絡安全行業一個特別的現象,現在的網絡安全會議就像是一個熱鬧的集市,各種各樣的企業、機構每年舉辦的各種各樣的網絡安全會議數不勝數。而很多公司都養著專門的長期混跡於各種網絡安全會議的人員,這種就是圈內說的“會棍”,各種會議都能見到他們,很多“會棍”的自身技術和語言表達能力也都是一流的。近些年,網絡安全行業出現了一些媒體的關注,把網絡安全行業搞的就像娛樂圈一樣,著名的GEEKPWN會議更是將一些職業主持人請到了現場,這給網絡安全行業帶來了很好的熱度。外向的白帽子可以通過參加會議迅速提升自己在行業內的名氣,而認識的人多也會讓自己的職業發展的路更寬。實際上,通過網絡安全會議能真正學習並提升攻防技術的會議是很少的,大多數網絡安全會議都只是炫技,技巧性大於技能性。白帽子的目和大佬們一樣,都是本著晚上的晚宴,區別是白帽子是奔著能結識更多的大佬的機會,而大佬們是奔著圈內的一些有名的女會棍一起高談闊論,從這一點來說,網絡安全行業也是越來越像娛樂圈,這個行業本來女生就少,顏值佔優的更是成為香餑餑,如同娛樂圈、金融圈一樣,陪吃陪喝也都逐漸地開始明碼標價或根據大佬的級別進行選擇優化,各行各業的職業生態到最後男女的關係差不多都是這樣,這也算是弱肉強食的最終生態平衡吧。其實,單就企業來說,很多上市的網絡安全公司是很少參與這種會議的,他們的主要精力還是在甲方身上,大部分都是初創型企業,需要尋找宣傳的窗口,宣傳的目的主要是拉融資而非拉甲方,中國的甲方很少關注誰的企業牛,他們更多還是關注誰的背景牛。
安全圈的人大多都知道烏雲網(WooYun)漏洞平臺,這是一個位於廠商和安全研究者之間的安全問題反饋平臺,在對安全問題進行反饋處理跟進的同時,為互聯網安全研究者提供一個公益、學習、交流和研究的平臺。很多白帽子也是從這裡開始知名起來的,他們向烏雲提供漏洞,並由烏雲向廠商預警,烏雲會在一段時間以後公佈漏洞細節,以供其他白帽子學習。很多白帽子在烏雲上提供漏洞,漏洞重要性高的和多的會得到相應的獎勵,也是在這裡,很多白帽子的技術得到攻防行業業內認可。由於一些原因,烏雲網現在已經關閉了,但類似的平臺還有很多,相比較而言已經相對規範了許多。除了混跡會議圈的白帽子,還有一些白帽子們會經常做的一件事情就是刷榜,他們在360、阿里等平臺提交漏洞,獲取積分和排名,以證明自己的技術能力,很多公司在招聘的時候也會將這種漏洞排名作為技術能力的參考。而很多大公司都有自己的SRC(安全應急響應中心),專門向白帽子收集自己公司的漏洞,並給與白帽子相應的獎勵,這種模式有效地避免了漏洞流傳到黑產市場,比較好地減少了公司的網絡安全隱患。同時這種模式也給白帽子們以學習成長,讓大家有一個實戰練手的地方。國家層面也有CNVD這種漏洞平臺,相對來說,由於獎勵不夠,同時又擔心政策風險,CNVD的活躍度要小於大公司的SRC平臺。
當一個行業能賺到超出常人水準的利潤時,一定也會產生常人無法承受的風險。對於從事黑產的大佬來說,黑產圈子唯一的原則就是利益,最不能信的就是朋友。這些年太多忽然消失的所謂的黑產大佬,被抓算是比較好的結局了,對於某些大佬來說,網監比朋友還要更加安全。
對於攻防兩方來說,最好的網絡安全防護大神,一定是參與過各種各樣攻擊的黑客,他做過各種系統的攻擊熟悉各類架構各類系統的薄弱點,瞭解攻擊者的心理,防禦起來得心應手。同理,最好的攻擊者一定是研究並且實際參與過各種安全設備開發建設運營的人,他熟悉各種安全防護設備的優缺點,模式,部署位置,網絡結構特點,攻擊起來手到擒來。這個行業到了最後,只有技術是永恆的,黑白之間的界限會越來越模糊。黑產的大佬人物很多也都有著明面上的身份,就像黑社會到最後都喜歡洗白進入政界商界一樣,很難分清誰到底是從黑產大佬和白產大佬,其他行業也是如此,事實上任何一個行業做到了金字塔端具體的身份都是相通的。我們的層面上很難界定什麼樣子的人算是真正的大佬,但是從事這個行業比較早的技術人員,現在大多都已經成為大公司的主要力量,收入上已經遠遠超過了其他從業者。
另外不得不提的是,隨著經濟的發展,新一代的年輕人對物質不再匱乏,驅使他們學習的動力沒有那麼強烈,所以,信息網絡安全雖然總體技術在發展,但是行業的頂尖人才冒出的速度還是偏慢的。由於國家等級保護以及行業安全規範的推廣,很多甲方也是對信息安全的首要關注點放在了合法合規上,相應地關注基線安全(最基本的網絡合規安全)的人員現在遠遠多於做攻防本身的人員,缺乏實戰攻防的交互,這對信息安全技術本身的發展多少是有些影響的。
國家對於網絡安全的重視,已經達到了國家戰略的層面。隨著網絡安全法的發佈,以及網絡安全從2018年開始,單列為一個獨立的一級學科。都意味著國家需要培養大量的網絡安全人才,網絡安全人才缺口比較大,是一個正處於上升期的行業。但是網絡安全的本質還是攻防的博弈,一方面要培養技術能力強的人才,一方面又要避免出現培養的人才從事黑產給社會帶來隱患。如何正確引導人才培養,在保障社會安全的基礎上提升從業人員技術水平,依然是一條長期要探索的問題。
