CCS 2021成都网络安全大会已于2021年9月26-27日成功举行,安全419全程参与本次大会的报道,由于本次大会意图打造网络安全行业极客的新名片,因此可以看到诸多圈内知名极客纷纷现身活动现场,我们自然也不会轻易放过这个能够同他们展开交流的机会。本文的主要内容就是来自于安全419创始人MT在大会现场采访间同一位极客大咖——凌晨网络高级安全顾问姚威之间的对话,用MT自己的描述来形容的话——这是一个充满了真话和大实话的交流。
作为极客圈的一分子,姚威表示自己的确曾经做过很多比较极客的事情,最典型的例子就是他早期在做无线Wi-Fi安全的时候,就通过自己的研究开发出一台小型设备,随后将其放在车内,开着车几乎跑遍了整个城市,目的就是为了去采集这个城市Wi-Fi的安全状况,并最终出了一份报告,而整个过程的成本全都是他本人自己承担的。姚威认为,能把一件很极客的事情做到有益于社会、大众,有着更大的意义和价值。
实际上,做无线安全也的确和凌晨网络有着很强的关联,因为这家公司早期就曾经是以无线安全为主要方向,而随着业务的不断深入,凌晨网络逐步积累了大量的公开数据,于是他们开始通过这些数据转向大数据安全(保障大数据本身的安全),如今又深度介入了安全大数据(用大数据来做安全的业务)领域。
通过姚威简短的自我介绍,我们会发现一个共性,那就是很多安全企业的创始人普遍都是一些白帽子、极客出身,他们之中有不少都是为了自己的一个兴趣点去做了一些事情,随后他们发现将事情做下去之后会成为一块业务,这一从初期创业到早期业务拓展的发展过程,在这些由极客创办的企业中总是能看到一些相似之处。
立足于大数据基础 坚持以满足用户真实需求为方向
在交流中我们得知,凌晨网络近期立足于大数据的基础之上,去更多的关注数据安全领域中更为垂直的一个方向——数据安全审计及业务安全审计。
“我们会更关注客户的视角,他们往往会将一个问题抛给我们——‘我把数据安全交给你来做,你如何来保障我的业务?’”姚威说道,“在业务这一块还会再进一步区分,比如是偏脱敏类的还是偏审计类的,因为脱敏肯定是前置的一项工作,只要这个工作做好了,那么客户的所有业务数据无论如何应用,都不会有太大的问题。相比之下,审计是偏后置的工作,当业务将数据用起来后,通过审计会发现某些数据的使用可能会有问题。与此同时,各类组织在数字化转型过程中,都会热衷于中台化,并在那之后会偏向于优先做审计,在这样的情况之下,我们就选择去贴和他们这一真实需求。”
极客的成长不能只关注前沿 更需要“回头看”
以目前的发展形势看,通过工具来发动网络攻击已经成为了一个趋势,那么对于网络安全而言,要做好防御就会比较难一些,不过姚威表示,现在很多企业都提出了很好的概念,就是用AI去对抗AI,只是这个说法还不够接地气,从现在的发展情况看,更应该被称作是用自动化去对抗自动化,这才是一个脚踏实地的说法。据他透露,凌晨网络最近也在做一个比较有意思的产品,而且会将它工具化、小型化,也会实现自动化去对抗自动化这一概念在产品层面的落地。
用自动化去对抗自动化这一概念或思路,也是为了应对当前网络安全人才缺失的现状。据姚威介绍,目前他带的徒弟都已经是1998-99年前后出生的,这一年龄段也是当前白帽子主流群体的特征之一。那么对于未来一代黑客或极客的成长,作为老一辈资深极客的姚威又有何建议呢?
“我觉得可能他们就需要再往后看,回头看一看。”
姚威分享道,“就拿语言来说,我们可能还在用我们自己趁手的语言和工具,哪怕是说不太好用,但我们还是会觉得很顺手而去接着用它。但现在这些人的想法和做法已经完全不一样了,他们甚至不会去像我们当初那样互相问一下最近有没有什么新的工具共享出来等等,而是上来就会选择自己去写一个新的工具出来,用更敏捷的语言去做,这真的是太快了。因此,在应用新的技术和能力这方面,他们已经做的足够好了。”
“与此同时,之所以要回头看,主要是在于这些更为年轻的一代人在做事情时仍然会有一定的局限性,这并不是他们做得不够好,尤其是一些跨年龄段的事物,比如我们看到眼下所发现的一些漏洞其实是很老的,而且是真实存在的,可这些网络安全新人有极大的可能没有接触过这类东西,比如Windows系统你经历过多少个版本?又看到过多少个Linux的社区版本?见证过多少这种有历史传承的产品或版本的兴衰,当这些东西你没有经历过、没见到过,那么你就有很大的可能不会去了解它,但现实又很骨感,在平时的工作或是未来的任务中总有机会去接触到这些老的产品及相应的漏洞,他们依然还存在着。”
因此,姚威认为,新一代的网络安全人才不仅要更多的关注前沿技术,也要通过“回头看”的方式来了解一些旧有的问题,这样才能让自己在成长过程中变得更加全面。
数据安全不存在放诸四海而皆准的解决方案 集众家所长才是现实
姚威认为,全生命周期的数据安全对于一个团队或一家公司而言,能做好的可能只是其中的一部分,如果能做到周期中某一个节点到下一个节点之间的数据安全就已足够出色了,但说到要去做一个完整的全生命周期的数据安全解决方案,那么肯定会要引入多家安全企业各自的长处。
“我们可以看到诸如腾讯安全这样的大厂也有数据安全的能力,比如在数据库安全、数据治理等方面,这些大厂都做得非常专业,可是在一些很细分的数据安全领域往往并不是他们的强项,那么这些谁去做呢?”
因此,在姚威看来,在网络安全行业中,当一个赛道变得大热之后,并非意味着纯粹的竞争,涌入这个赛道中的企业就像是一块块的拼图,最终会将这个赛道的整个版图给完整的拼出来。”比如我们去看数据安全领域,企业的确很多,但观察一下就会发现每家企业都有自己所擅长的能力。“姚威谈道,”我们如果将这些企业经过排重,然后从行业视角将他们的能力组合成为一个完整的全生命周期数据安全解决方案。”
“整合”是近些年来我国网络安全行业的热门词之一。的确如姚威所言,无论是通过合作打造生态也好,还是借助资本的力量加强自身能力也好,本质上都是为了能够实现更好的满足客户需求,尽可能地以“交钥匙”的方式来解决客户的实际问题。
姚威表示,任何一家网络安全企业敢说自己能够把全生命周期数据安全做全而且还做得最好,那么结果大概率就是两个——要么客户很担心,要么就是客户不担心但这家企业很担心。为何这么说呢?一起看看他给出的答案:
一方面,这个企业不仅自称安全能力覆盖范围全面,还自称做得最好,这种情况下客户一定会担心这些“自称”的真实性,毕竟数据安全是一个非常大的领域,把所有相关的安全都交给一家企业来兜底,到底能不能保护得好呢?
另一方面,客户不担心了,为什么企业会担心呢?因为客户将这么庞大的一个数据安全体系交给自己来建设,但在建设完成后到底能不能全都保护得很好呢?至少姚威看来,这种可能性几乎是没有的。
这就回到了前面所说的,整个全生命周期数据安全所覆盖的细分领域相当多,不会有任何一家厂商能够将其做全且全都做到最好。
归根结底,数据安全仍是一个非常繁杂的大领域,不仅覆盖面极为广泛,技术、理念更迭的速度也十分迅猛,而在应用方面更是需要考虑到不同行业、领域的独特性。因此,即便放眼全球视野,也不会存在着放诸四海而皆准的解决方案。
“虽然从企业的利益角度考量,肯定会希望能够满足客户的所有需求,这是最理想的状态,但我们更应该回归现实,通过像打造生态这样的方式去集众家之所长,用行业的视角拼成一个完整的版图,最终给到用户一个真正可用、好用的解决方案,实现多方共赢,这才是有利于解决真实问题且有利于行业发展的硬道理。”姚威说道。
套用零信任理念号称包打天下的行为不可取 做好自己才是正路
谈到这两年网络安全行业的一大热词——零信任,姚威表现得还是偏于理性。
“我对零信任还是持一个偏中立的态度,就个人而言,我不会去判断零信任好或不好,只能说某一种零信任的做法能够在某一种场景里面起到什么样的作用,如果这样去看那是没有问题的,因为概念再好,最终还是要落地。”姚威谈道,“我比较反感的是那种拿出一套用零信任理念的方案就号称包打天下的方式,在我来看这就是‘胡扯’,这几乎就是在纯粹的套概念,追热词,蹭热度,至于它到底能不能真实地解决问题肯定是会打一个问号的。”
零信任的概念很大,其本质还是一套方法论,而不是具体到某个产品或某个功能,用姚威的话说,零信任更像是一种指导性意见,告诉大家应该往这个方向去做。“这个时候就会出现两类人,一类是会去认真钻研并在理解的基础之上,进而研发出相关的产品或功能;另一类则会走所谓的捷径——将现有的产品去改一改并打上零信任的标签。”姚威认为,只要能够解决问题,那么自己对这两类人其实都不会排斥,但是最忌讳那些将其能力无限放大甚至包打天下的宣传话术,那样一来必然会出现大家都说自己是真正的零信任,但彼此之间又说不出有什么区别,客户听了肯定会懵,用了之后又发现不像当初所宣传的那样,因而最终一定会在客户侧那边显示出反效果,进而不利于行业的良性发展。
姚威直言,当前业内有不少企业会喜欢将自己贴上Gartner的某个概念,然后出来讲故事,但这种方式并不适合凌晨网络,用他的话说——命题作文对他们而言实在是太难了,相比之下,他们更愿意做一种可以先自由发挥,最后再收拢并迭代成为一个好的产品,这才是自己最擅长,也是能够做好的。
因此,我们可以看到凌晨网络的发展一直是坚持务实的态度,据姚威介绍,其产品大多也都是在解决客户问题的过程中所产生的,而更有趣的是,产品的名字几乎都是来自于客户,那些将Gartner报告中的某个热词拿出来套在自己的产品或正在做的事情上这一行为,凌晨网络从未做过。
“我觉得团队也好,个人也好,还是要有点自知之明。”