本文是某国有大行安全从业人员老夏赐稿。我与老夏相识于六年前的技术交流,彼时我还在Z行,每年拜访同业学习交流,老夏给我留下深刻印象。后来同为银监会高层指导委员会联络员,见面机会也多了不少,感谢梁处。老夏脾气很好,为人谦逊,传授了不少安全经验和知识。像老夏这样大隐隐于大型金融机构的企业安全建设高手不少,但由于安全行业从业特性,他们很少被外人所知。愿本篇管中窥豹,能让从事企业安全建设这一领域的安全人员,越来越被了解和理解。

一、引言

拜读了聂君的大作《企业安全建设指南》,内容十分丰富,感觉像一本武林秘籍,无论甲方还是乙方,员工还是领导,总有招式适合您。后生可畏,聂君小我十多岁,在安全行业干的风生水起,业余时间还维护着微信公众号“君哥的体历”和金融企业安全微信群,深得圈内同行敬佩。说来惭愧,自从加入君哥的微信群,一直在潜水,有时候想发言,岁数大了,思维总是慢半拍,想说的话都被别人抢先说了,最后选择沉默。也曾想过写点什么,却一直随遇而安,懒得动手。这次利用清明小长假争取交一篇作业,以报君哥不踢之恩。

二、安全行业的江湖文化

在古代,安全是指“无危则安,无缺则全”,提倡君子不立危墙之下;在现代,安全成了生存和发展的基本前提,倡导人们共享安全成果,共建安全文明。安全的本质是不受威胁,没有危险、危害和损失。近三十多年,随着互联网及移动互联技术的高速发展和广泛应用,网络成为继海、陆、空、天之外的第五空间,网络安全与人们的生产生活紧密相关,并逐步上升到国家安全和社会稳定的高度,同时也催生了一个新的行业。

网络空间,虚拟世界,门派林立,高手如云。安全行业俨然是一个江湖:黑白两道,敬畏分明;魔道相争,永无止境;补丁漏洞,相克相生;装备暗器,不断更新;安全大会,西湖论剑;攻防变换,瞬息万变;明争暗斗,来去无形;情报数据,价值连城。

安全圈有不少励志故事,当年的懵懂少年,逃学逃课,考试挂科,只因为痴迷于网络技术,或为探寻黑客世界的奥秘。安全行业的门槛不算高,入门易,精通难。十年磨一剑,闭门修炼无人晓,厚积薄发,参加网络攻防大赛,一朝夺标天下知。

安全公司的领军人物往往是业界大咖,他们身怀绝技,富有个性。安全行业的技术发展快,安全公司的裂变也很快,一些新成长起来的大牛,或不甘寄人篱下,或厌倦公司的派系斗争,或满怀报国之志,辞别旧主,立一杆大旗,自立门户,艰苦创业,梦想早日成为独角兽企业。安全行业也有一些大神,独来独往,浪迹江湖,或隐居山野,淡出江湖;或胸怀天下,招安于朝廷。

安全公司的创始人,大多有一段传奇经历,自幼聪慧过人,年少成名,或自学成才,或师出名门,或出洋镀金,潜心修炼多年,终成武林高手,江湖名声显赫,拉几位兄弟,招一帮校友同乡,怀着有福同享,有难同当的江湖义气,找一个山头,从安全行业的某个细分领域做起,精心耕耘,一步一步做大做强,从早期的江民、瑞星,到后来的安恒、绿盟、360,再到国外的诺顿、迈咖啡、卡巴斯基、RSA,莫不如此。创始人是安全公司的基因,创始人的情怀决定公司的格局,创始人的性格决定公司的命运。一旦创始人离开,安全公司就失去了灵魂,很快变得平庸,逐渐淡出江湖,留下一段传说。

有人的地方就有江湖,有电脑就有安全需求,安全行业汇通三教九流,安全公司要想在江湖立足,必须有自己的核心技术,如能拥有几项独门秘笈,就能在安全行业安身立命,衣食无忧。安全行业的江湖貌似很大,安全人的圈子却很小,无论好事坏事,一夜之间就会传遍江湖。安全公司要做大做强,必须小心呵护自己的江湖名声,切忌坑蒙拐骗偷。

在安全行业,每个项目都是样板工程,只能成功不许失败成了做安全项目的规矩。什么是成功?甲方百分百满意才是成功,正因如此,很多安全公司都经营得十分苦逼,如果不傍上一棵大树,或者融资上市圈钱,活下去都成问题。就算傍上个金主,也不敢高枕无忧,别以为有了甲方大领导的支持投标就可探郎取物,现在八项规定,打老虎,拍苍蝇,利剑高悬,谁还敢暗箱操作!越大的企业越不好掌控,每个环节都不得马虎,每个层级都要小心维护,本来板上钉钉的项目,说不定会出什么妖蛾子,半路出来个搅局者,公开与你叫板竞争,人家只是想要个行业案例,压根就没打算挣钱。

安全行业的江湖都是真枪实弹,安全项目实施都比预想的要难。没有金刚钻,就别揽瓷器活,三脚猫的功夫一般都过不了POC,除非甲方只是买个摆设,装个门面,否则纯靠关系揽来的项目,迟早会让你痛不欲生。话又说回来,在安全行业甲乙双方不太容易反目成仇,就像夫妻吵架,撕破脸皮后一定是两败俱伤,就算不能双赢,吃亏的一方也尽量隐忍,安全需求永无止境,项目还会有下一期,以后还有机会找回来。

没有人否认安全的重要,但千万别以为安全行业的钱好赚,安全是生存和发展的前提,就如同水和空气一样的重要,当重要性上升到一定程度,安全就成了责任,再加上社会稳定,家国情怀,你还好意思只算计钱吗?在安全行业的江湖,没有什么一本万利的生意,如果有,那也是暂时的,不出半年,一定会有路见不平者揭竿而起,利用公平竞争机制,打掉你的暴利。安全行业很难出现一家独大的垄断企业,在世界五百强里,好像没有安全行业的身影。

安全行业的江湖是现实社会和网络世界的叠加,不再是纯粹的江湖,而大多数安全圈的人仍然坚守着传统的江湖文化,英雄不问出处,有志不在年高;彼此相敬如宾,忌讳趾高气扬。安全圈内的大神,大都低调不张扬,性格一般都内向。安全大咖和大神都是从菜鸟进化来的,大神们的绰号或网名比现实生活中的真名更著名,以至于在安全大会、安全论坛上才第一次知道他们的真名。安全行业的实践性很强,没有太多高深的理论,在安全的江湖,专注于学术成不了大咖;大咖之所以受人尊重,也不在学术成就和发表的论文,而是他们具有丰富的经验,贡献了实用的工具和方法,能够帮助解决实际问题。

安全大咖少有高学历者,往往出身草根,多毕业于非主流大学,他们对电脑和网络都极度痴迷,曾为破解一个游戏连续多日闭关不出门,长期的闭关修炼和潜心钻研使他们习惯低调和内敛。大咖也不可能是通才,只是在某些领域有过人之处。安全行业发展变化极快,新技术和新问题不断涌现,大咖也要与时俱进,不断地学习,才能保持功力,维持自己的江湖地位。

人在江湖,身不由己。行走在安全行业的江湖,必须小心呵护自己的名声,有所为,有所不为;君子爱财,取之有道,切不可做偷鸡摸狗的事,否则就会沦落为小毛贼甚至阶下囚。

三、安全行业的开源精神

记得聂君的“君哥的体历”开号初衷是出于开源精神,我十分赞同,深以为然。安全行业需要传承行侠仗义、除暴安良的江湖文化,也呼唤参与、付出和共享的开源精神。开源即开放源代码,诞生于软件行业。上世纪90年代,微软为代表的软件厂商高举知识产权和专利大棒,限制最终软件用户共享、复制或发展商业软件的功能。一些IT业界人士发起自由软件运动,创立了开源软件(Open Source),开源不只是软件源代码的开放,更重要的是一种精神,意味着自由、分享和充分利用资源。开源精神不仅仅给软件行业带来了革命性的影响,还催化了整个互联网的高速发展,许多大名鼎鼎的软件(如:Linux,Apache,Mysql,Firefox等)都是开源的成果,如今的互联网巨头提供的服务基本都是建立在开源软件的基础之上。回顾过去这些年,微软的没落与开源软件的成功互为因果。

经过20多年的自由软件运动,开源精神在教育、科研、出版等领域发扬光大,展现了非凡的创造力和生命力。开源精神最有吸引力的是拿来主义。开源的拿来理直气壮,不仅能节约时间和资源,还能使人拓宽眼界和思路,避免成为井底之蛙。开源是需要大家贡献和付出的,但在贡献和付出之前,先要去了解、去去消化和吸收,可以尽情享用已有的成果。在开源的世界里,大家参与比少数人主导更重要,人心齐,泰山移,众人拾柴火焰高!

开源精神对于安全行业的健康发展尤为重要,随着大、智、物、云技术的广泛应用,各行各业使用的信息技术越来越趋同,而且彼此的关联日益紧密;安全从业人员面临的问题基本相似,面对的敌人(黑客组织和黑产)也是共同的,在“匿名者”组织历次发布的网络攻击目标清单,我国政府机关和重要行业机构都名列其中,在暗网的交易市场,各行各业的客户信息、系统漏洞不断推陈出新。就笔者所在的金融行业来说,各家行的技术架构基本相似,面对的技术风险相同,面临的内外部安全威胁也相同。无论业务条线的竞争多么激烈,安全部门永远都是同盟军,不管甲方乙方,无论是银行证券保险,大行小行还是互联网公司,安全人员凑在一起总有聊不完共同话题,这也是君哥的金融企业安全微信群长期活跃的重要原因。

在安全行业的江湖上,既然大家都在并肩作战,开源精神就值得大力提倡。同业发生安全事件的时候,也是自家最危险的时刻,安全人员切忌事不关己高高挂起,更不可当吃瓜群众看热闹不嫌事大。别人家出事了,应该主动伸出援手,帮助别人的同时实际上也是在帮助自己,吸取了别人的经验教训,能促进快速扎紧自家篱笆,加固防线,查漏补缺,立即整改。笔者的这点认识是经历了两次深刻教训后取得的。多年以前,某同业银行发生核心系统故障,笔者获悉之后不以为然,加入了吃瓜群众的行列,半小时以后,笔者接到本行ATM系统全线瘫痪的报告,也很快查明了原因:本代他银行卡交易通过银联获取该事发银行的授权超时,一般人刷卡失败之后是重复的多次刷卡,而在线交易系统的队列容量是有限的,长长的本代他交易队列如同一次DDOS攻击堵塞了本行的ATM系统。这次事件的结果是笔者与发生核心系统故障那家银行的安全人员同去监管部门负荆请罪。这次事件也促进了本行ATM系统增加了他行故障时的交易隔离机制。这次事件让笔者深切感悟到:城门失火,殃及池鱼,别人家出了事件都要从自己身上找找原因,千万不可夜郎自大,不然下次也会出同样的事件。还有一次,笔者获悉一家同业股份制银行的网银系统遭到黑产的短信炸弹攻击,给客户和这家银行的声誉造成了不良影响,这家银行进行了紧急处置,一周之后投产了修复版本,没有想到随之而来的是本行的某网络金融类APP也遭到短信炸弹攻击,该APP是由外包厂商开发,未遵守本行的安全策略,没有防范短信炸弹的安全机制。这次事件的结果也是笔者去监管部门道歉,监管的态度很鲜明:苍蝇不叮无缝的蛋!这次事件的教训是没在同业遭受攻击的时候开展全面的风险排查,一周的时间,本应该可以发现该APP的问题并完成整改。

面对黑客组织、地下黑产和欺诈洗钱,安全部门更是天然的同盟军。这与业务条线有很大不同,在业务人员看来,市场就是这么大,优质客户只有那么多,短期的业务竞争基本是零和游戏,A行的客户被B行挖走了,A行的业务自然会减少。因此业务交流时都大家都会有所顾忌。安全部门恰恰相反,因为需要面对共同的风险,同盟关系远远优先于竞争关系。做安全的最忌冒险和闭门造车,风险可控是做安全项目的底线,规划安全项目的时候,无论是建防护体系,还是采购安全工具,要做的第一件事往往是同业调研,安全人员一般都真心欢迎同行来调研,同业来取经不仅能佐证自己决策的正确性和工作的有效性,也有助于提升自己在安全行业的江湖地位。安全人员的同业交流一定是双赢,是相互取长补短的有效途径,也是开源精神的具体体现。

对安全厂商来说,同样需要提倡开源精神,安全市场需要深耕细作,要共同把市场的蛋糕作大,就要衍生出更多的细分领域,安全行业的技术壁垒相对较小,一家厂商不可能通吃。甲方最忌讳安全产品的简单堆砌,更需要集成和一体化的安全解决方案,这就要求不同安全厂商的产品能够彼此兼容和互联互通,只有真正以客户为中心,才能将安全项目做好,树立行业标杆。每次安全项目采购招标,评分规则中都少不了同业案例这一项,如果在同业大行都有成功案例,会显著降低甲方的实施风险,安全厂商中标的可能性会大增。

网络攻防大赛和威胁情报是近年安全行业较热门的主题。网络攻防是一场不对称的战争,攻击者在暗处,被攻击者在明处,攻击者只要突破一点,而防守方必须全面防御。如同公安部门防范恐怖袭击,抵御网络攻击不仅需要构建安全防护体系,还要及时获取威胁情报。最近笔者参加了一次安全威胁情报技术交流会,与会人员深感威胁情报共享的重要性与迫切性。威胁情报共享可以取得NXN的指数效益,呼吁有关部门借鉴开源社区的经验,搭建威胁情报共享平台,建立激励机制,方能激活威胁情报市场,发挥威胁情报的价值,有效抗击黑产和不法分子的攻击。

四、小结

倾巢之下,安有完卵!安全行业,要坚守传统的江湖文化,抵得住黑产的诱惑;安全行业,呼唤惩恶扬善,锄强扶弱,匡扶正义,除暴安良的侠客精神;安全行业需要彼此扶持,相互守望,需要弘扬人人为我,我为人人的开源精神。

声明:本文来自君哥的体历,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。