每一个甲方安全从业者,可能都会接受各种各样的产品推介。从防火墙到入侵检测,从WAF到堡垒机…..只要有钱,你就能买到一大堆的设备。如果你觉得不够,还可以买一堆安全服务。但是这就真的安全了吗?不知道你信不信,反正我不信。
当我们买了几百万的设备与服务,那还有多少恶意数据包隐藏于正常流量之下?改配置文件是可以强制密码位数与复杂度,但是你能防御队友设置1qaz2WSX3EDC吗?还有CSRF、逻辑漏洞、WebShell、企业内鬼…….大家都是千年的狐狸了,就不要谈聊斋了。是否安全,大家心里大概都有数。
我害怕攻击者。跟他们过招的时候,自己的防线基本上形同虚设,他们来去自如。我所建立起来的“城墙防御”在他们眼中犹如积木堆起来城堡,攻击者只需要伸出小手轻轻一碰,大厦顷刻间就崩塌了。在攻防对抗中,我们在明,攻击者在暗;我们需要进行全面防护,黑客只需一点突破;我们只有有限的资源,却需要去对抗黑客无限的攻击。
当我想用堡垒机解决Linux服务器弱密码,却被黑客轻松绕过;当我重兵防御SQL注入的时候,却被通报“点我链接,我是你喜欢的”;当我要求所有应用关键步骤加token,同事却问token是什么;当我解决了CSRF 反射XSS的时候,却被通报“任意密码重置”。这个时候你还有勇气说自己是安全的吗?
作为一个多年的安全从业者,我仍然承认自己真的非常害怕黑客。可能有血气方刚的人认为我这是长他人志气,作为安全正义的代表怎么能承认自己害怕反面角色的黑客呢?但是我觉得最可怕可能正是这种盲目的自信。
我害怕,害怕自己苦心经营的安全防线会被攻击方以摧枯拉朽之势毁灭。不知道黑客会从哪里下手,就像不知道冬天从哪开始,只会感觉黑夜越来越长。
因为害怕,所以我如履薄冰,从不敢怠慢。凡是安全圈的高质量的沟通会、技术论坛、峰会、交流会、沙龙会……从不敢落下。这些年侥幸因为自己的谨慎和不断学习,没有成为黑客手中的“鱼肉”。这不,近期一个朋友推荐了我一个会议,强烈建议我去看看,说是有一群曾经的黑客,现在转做安全守护者,8月15日要在北京开一场技术大会。我决定去看看,说不定能有一些收获。
希望能在会上与各位一线安全从业者进行灵魂级别交流。最后,在这里也为会议主办方:青藤云安全,会议支持单位:腾讯安全、安全牛打call,期待大会的精彩的内容!!!
「when/Where」
时间 :2019.8.15 14:00
地址:鹏润国际酒店大宴会厅(一)
活动议程(持续更新中)
除此之外,还有重重惊喜:
受邀参会者、报名审核通过者参会(凭邀请函或报名信息)可获得青藤云安全定制商务套盒一套。
参会者会后可获得安全牛课堂提供的课程学习名额(内含价值2300元的“2019企业建设专题课程、价值2999元的尊享技术会议”)。
注意事项:
本次巡展定向邀请,限额开启报名通道,拒绝空降。
届时请携带相关电子凭证入场。
来源:freebuf.com 2019-07-24 13:31:18 by: 青藤云安全
请登录后发表评论
注册