我們在做什麼?將走向何方?
2010-02-20 16:51
| “我們在做什麼?將走向何方?” 這本來是一個極具有哲學意味的命題,在讀大學的時候,我的心理課程老師就專門給我們上過一堂這樣的課。但今天在這裏,我並不想探討任何哲學或者人生的問題,只是想講講我對甲方安全發展方向的一些理解。對面臨就業選擇的朋友來說,可以作爲一個參考。 甲方在這裏就是指安全不是核心業務的企業,比如google,比如apple;相對而言,乙方就是指安全廠商、防病毒廠商了。一般來說,乙方的主要以安全產品或者安全服務爲主。 在幾年前,甲方招安全人員一般都是放到運維部門,主要工作還是掃描和服務器加固等。這也爲乙方的生存和發展提供了市場。乙方到甲方做滲透測試、安全評估,然後出個安全解決方案,最後再把一大堆產品賣給甲方。 但是實際上,甲方的問題還是難以得到很好的解決,因爲乙方畢竟是外來的和尚,唸完經就走了,留下一堆文檔和產品應付檢查,但是文檔和策略需要人去執行,產品需要人去維護,如果業務發生了變更,安全策略也需要跟着發生變更。如果沒有人維護,那麼很多產品都會用不好。做安全只做了個半調子,纔是最可怕的。 IDS/IPS就是最好的例子,這個玩意說起來很唬人,市場也賣的很好,但是真正擋住了多少黑客攻擊?估計抓的最多的還是漫無目的的蠕蟲。人用不好產品,纔是問題的關鍵。很多時候,這就是甲方的安全人員存在的意義,讓這一切很好的執行下去。 互聯網企業發展到了今天,已經出現了很多龐然大物,在如此惡劣的網絡環境下,互聯網企業都開始重視安全。互聯網公司很早就招了自己的安全人員,正如之前說的那樣,一開始,一般是放在運維部門下。後來隨着這個部門的壯大,開始覆蓋更多的工作,比如WEB安全。 因爲部門壯大了,所以就能做更多的事情。乙方出於對市場的追求,其產品已經無法滿足各個不同互聯網公司的個性化需求,所以對於業務增長極其迅速的互聯網企業來說,很多安全產品只能開始走自主研發的路線。在中國的互聯網公司裏,騰訊是走在最前面的。 騰訊很早就開始在研發自己的安全產品,比如掃描器、釣魚網站檢測、反欺詐、桌面安全(QQ醫生)等,很多很多,到現在應該做的更好了。 阿里巴巴也是一樣,我們在各個領域研發自己的安全產品,咋一聽像是小安全公司。這是種很奇特的現象,因爲我們的客戶只有一個,就是我們公司自己。我們也需要做各種各樣的安全研究和研發。和幾年前比,現在的甲方安全顯然更加的專業了。 曾經有朋友問我們是否有意向購買WAF(Web Application Firewall),我笑言道,我們自己做WAF。我們當然不會真的去做個box叫做WAF然後擺在網站的最前面,我們的思路是把WAF對抗的各種威脅,全部分析清楚,然後開發對應的方案或產品部署在我們網站的架構中,在最合適的地方做最合適的方案,完完全全的爲我們自己定製化一套方案和產品。這是任何一家安全廠商都很難或者是無法做到的。比如某個安全廠商是做WAF的,那麼這個產品勢必是爲了滿足大多數企業的需求,很難實現真正的個性化,更不要說後期維護的事情,畢竟專門投一個人給某一家客戶做維護,成本還是相當大的。 爲什麼說個性化如此重要?爲什麼很多時候必須得自主研發?舉個例子,淘寶目前有上百個產品線,但是沒有哪個人能夠說清楚到底都有哪些產品。爲什麼?因爲這些產品每天都在發生變化,每天都有新產品線出現或變更,對於這樣的一個高速發展的龐然大物,不走自主定製的路線,是很難滿足需求的。 當然這也不是說甲方就完全不需要購買安全產品了。一些基礎安全需求,還是需要通過購買產品來解決的。比如大多數企業的桌面安全,殺毒軟件等,可能需要購買。像防火牆這種設備則更是必不可少(除非你的網絡方案真的很特別)。而對於很多在快速發展業務的互聯網公司來說,沒有太多的精力去做安全,可以適當的購買產品或方案以應付眼前緊迫的安全需求。 在國外的大型互聯網企業,安全的自主研究、研發則相對更加成熟了。 蘋果的appstore,是讓開發者自己提交2進制代碼到appstore上,我們曾經有一個疑問,如果開發者提交了惡意代碼,或者是有攻擊性的程序,appstore如何去審覈呢?後來想到蘋果的操作系統是自己做的,他們完全可以在OS上實現個sandbox,所以這個問題相對也好解決了(我不玩iphone,說的不對勿怪)。所以,這個sandbox,則完全需要apple的人自己來設計和實現,沒有別的廠商能幫他們做。 類似的,google則做了更多的事情:chrome的安全模型、GAE安全、搜索內容過濾(色情等,涉及到很多算法方面的技術)。前段時間鬧的很火的linux kenerl的空指針漏洞,exploit就利用了google的Tavis Ormandy發現的一個映射內存到0地址的技巧,他最近又發現了哪個windows內核提權漏洞,影響vista、windows7和2008。很難想象google的人會跑去研究軟件漏洞吧? yahoo也是讓人敬仰的,在若干年前(至少大於5),他們就自己開發了掃描器去掃自己所有的頁面的XSS。yahoo的apache是自己定製的,叫yapache;機器上裝的OS也是freebsd改的,在這個過程中,很難想象沒有安全專家的參與。而定製、修改webserver、OS,對於安全專家的吸引力是非常非常大的。 互聯網公司的業務發展的越迅速,相應對安全的需求也就越高、越迫切。所以我前面有篇blog裏提到,在互聯網公司,永遠會有非常多的新挑戰在等着你。 前些時候,我與某資深黑客聊天的時候,說起我們的工作,他感覺web安全除了XSS,CSRF,SQL INJECT等就沒啥了。我無言以對,因爲我們已經在做很多的事情,並正在構思更多的事情,都不知道該從何說起了。SDL已經是2年前的重點,雖然我們會持續堅持把SDL做下去並做好,但是現在安全的產品線已經鋪開,有更多的挑戰在等我們。 (出於保密性的問題,我不會在blog過多的談論我們的具體工作內容,所以最近扯淡越來越多,技術文章越來越少,因爲大部分時間都在做公司的工作,需要保密 #_#) 以前讀大學的時候,經常在論壇裏看到的一句話就是:“破壞永遠比建設容易”,很多老一輩的黑帽子們總是會用這句話教誨新人,雖然當時我也聽進去了,但是直到今天,纔對這句話有了深刻的理解。 熟悉各種hacking技巧,熟練掌握各種漏洞利用工具,在今天已經比較難以符合我們對人才的要求。兩年前我們就意識到已經不太需要純粹的乙方安服人員,如果應聘者只懂滲透的話。滲透技術在我們這裏已經是最低要求,我們更看重的是其他方面的優勢。比如對某方面有深刻的理解,比如kj -- 精通java與oracle安全,比如wzt -- 精通linux內核安全,或者是經驗極其豐富的專家,比如hawk,雲舒,或者是既精通安全又擅長開發,比如cnqing。部門還有很多牛人,各有所長,不一一說了。 講這麼多,其實也就是想說,今天的甲方安全和幾年前比已經有了很大的不同。在一個高速發展的互聯網公司裏,技術挑戰是日新月異的,一切皆有可能。年前和wzt聊天時,他也有感慨,現在給他做的東西是極其富有挑戰性的,我告訴他,未來只會更多。 所以,如果還停留在每天修修補補幾個漏洞上面,還停留在幾年前的安全行業狀況上,這樣的企業安全,是在原地踏步。大型互聯網公司安全的發展方向,勢必是要將安全作爲核心技術牢牢的把握在自己手上。 |