*全文为凌云本人口述,FreeBuf仅做整理,无任何修饰或故事化,原味呈现最真实的企业安全人心声
我们曾经采访过不少网络安全从业者,有些是独立的白帽黑客,有些是乙方的安全服务人员,当然还有甲方的安全专家。他们大多都不像科幻小说或者电影中描述的那么冷酷、肃穆,反而温和亲切、兴趣广泛。有人喜欢下班回家后种花种草、养猫养鱼;有人喜欢业余时间赛车、潜水;如同其他行业有才又有趣的人一样。当然,还有凌云这种,把网络安全从爱好变成工作,还延续到了日常生活中。
我的爱好其实还是安全,或者具体来说是渗透与对抗这一块。这个爱好已经让我很兴奋了,所以我不需要再去找一些别的东西作为兴奋点 。把爱好变成工作,我觉得蛮开心的,觉得做的事情都很有意思。
这几句话凌云是笑着说的,语调变得更加欢快明朗。整个采访过程中,他不时放声大笑,仿佛十几年的从业经历没有留下沧桑,只有火炬般的光和热。
从乙方到甲方,在变化中成长
打开凌云的工作履历,最早的一条是在绿盟做安全工程师,属于典型的乙方。后来在一系列机缘巧合中,他去了巨人网络、PPTV、1号店、平安保险,最后兜兜转转到了携程,在不同领域的甲方中历练。虽说公司在变,职级也在变,但都还在信息安全领域,没离开老本行。而这中间,变化最大的就是乙方到甲方视角的转变。
在凌云看来,作为乙方能接触到金融、政府、游戏公司、互联网公司等不同的企业,所做的工作也涵盖渗透测试、设备实施等不同安全服务,能遇到不同的安全问题、学到很多东西,打下坚实基础。但乙方主要是项目或产品导向,解决方案都以产品为中心,关注的时间段也只有项目周期那几个月或一年半载,不会考虑到企业安全的其他方面,也不会考虑企业更长远的发展。
但作为甲方安全建设者,则需要理清问题的轻重缓急、解决问题的成本等。在甲方,解决安全问题涉及到自主研发或商业购买,需要在不同的乙方品牌间多维度对比。同时,做甲方安全需要自己去寻找薄弱点,主动发现安全问题并及时解决,无法像乙方那样等着安全问题自己找上门。但总体来说,甲方对安全的本质看得更透彻,更加清楚企业安全的痛点,做选择时考虑得也更加全面。
说到这里,凌云讲了个生动的例子:
共享单车到底好不好骑,只有真正骑车的用户才知道。可能摩拜或者ofo为了成本考虑,减少维修次数,就把轮胎做成实心轮胎,但用户骑起来就会感觉很难骑。在这个例子里,用户是有需求的甲方,而共享单车厂商则是提供产品的乙方,用户才更清楚自己所骑的这辆车究竟问题在哪,更清楚自己究竟需要怎样的车子。
这也正是当今网络安全领域甲乙方之间存在的问题。虽然产品很多,但不一定能满足企业的需求。因此,阿里、腾讯、百度等互联网大厂的安全部门反过来会输出一些产品,抓住乙方没关注的细分领域,甚至可能比传统安全乙方更有优势;而一些甲方内部孵化出的创意性产品,也比传统乙方落地性更好。当然,甲方与乙方之间也有一些良性、共赢的合作。当甲方自身人员资源不够多但又有一些比较创新比较好的理念时,可以找乙方协助共同做一些东西。凌云也提到了当今一些互联网大厂设置的安全实验室以及很多学校开展的安全研究项目 。这些都是产学研模式中的一环,也都有甲乙方融合的影子。不过,要想孵化出完全落地的产品,还需要很长时间的探索。
对于凌云来说,自己感触最深的是刚刚从乙方转到甲方的时候。最早在乙方,关注的都是安全相关的问题,每天接触的项目也都是解决安全事故,解决项目需求。处于这种环境中,自然而然会觉得安全问题特别重要,一旦出问题,就要迅速解决。但是,到了甲方之后,虽然可能会发现很多安全问题,但因为涉及到开发、运维等多个维度,每个人的视角不一样,对安全的看法也不一样。
作为乙方,是别人花钱让你发现问题。因为对方花了钱,所以发现问题后会去处理。但在甲方的时候,运维或者开发并没有花钱让你去发现这些问题,有些问题他们甚至不会觉得是安全问题。
这也是凌云刚去甲方时觉得奇怪和棘手的地方。不过经过一段时间之后,结合甲方的环境,其实很容易想明白,毕竟甲方公司最重视的还是业务,很多流程需要先满足业务需求。相比之下, 遇到的安全问题不一定严重到需要马上处理。所以在推动甲方安全建设时,不能心急。
比如说,你发现了一个弱口令,某个服务器密码是123456。作为乙方,将发现的问题告诉甲方,就相当于安全服务已经完成。 至于对方改不改,就是他们自己的选择。而在甲方,发现了弱口令之后,不仅要跟进修改,还要确保改完的密码足够复杂、安全。另外,还要考虑其他服务器是否也存在同类情况。这样一来,战线会拉得比较长,处理周期也很长。
凌云说,把安全本质看得更透以后,就能理解很多事情的原委,对甲方处理事情的考量、步骤也都有了更清楚的了解。基于这样的了解与全局把握,他才得以更好地施展拳脚。
甲方安全——做正确的事,比正确地做事更重要
要想做好甲方安全,首先要对所在企业有清楚的了解,并分析差距。凌云刚到携程的时候,恰逢公司安全团队变动。他迅速与各个团队沟通,并对整个公司的业务、系统支撑、服务器架构以及人员组织划分 等有了清楚的了解。有了这样的整体把握,以后该怎么做,凌云心里有了大致规划。
去到一家公司,这家公司可能有一定的安全基础,但首先要知道这个基础到底到了怎样的水位线。是刚起步还是有一些底子,还是已经成为行业标杆?第二,需要清楚管理层对安全部门的期待是什么。是从零做到一,还是从一做到一百?还是保持住现在的状态?这都需要弄清楚。第三就是要定好自己的目标。不论是从零到一还是从一到一百,都有不同的阶段,有不同的事要做。把每个阶段要做的事情都理清之后,还需要给管理层一个合适的汇报。不能闷头做,需要有沟通,让管理层看到你做出的成绩。这几个大方向确定了,后面踏实做下去就好。
凌云在携程也践行了自己的这段话。刚到携程时,对整体环境了解不深入,所以首先要确保不出事,做好攻防,修补漏洞。一段时间过后,他逐渐掌握了情况,觉得外部威胁不算严重了,就打算提升内部管理。他做了各种管理体系架构之后,开始着手进行ISO27001认证。对于携程这种既有toB业务又有toC业务的企业而言,有了ISO27001的认证,信誉度就能大大提升,对于业务也有很大促进作用。同时,他还推动公司做信息加密,在企业内部合理地配置权限,尽量保护公司以及用户的数据安全。这当中涉及各方面的沟通协调以及不同的架构调整 ,整个过程虽然复杂,但慢慢有所成效。
我们常常说,做正确的事,比正确地做事更重要。你要保证你在做正确的事情,哪怕做得慢点都没有关系。对安全来说,什么叫作做正确的事?就是保证整个大的规划不会有大的偏差。国内公司做安全要想没有大偏差,一方面要抓等保,一方面要抓ISO27001 。抓了这两条线, 确定了大的主干和几个重要分支,再一步步往前走,就可以了。
在凌云看来,员工的安全意识培训是甲方安全中必不可少的一环。在携程,每个月都会开展全公司范围内的安全培训。整个信息安全团队会做安全上的政策,并跟业务部门以及HR部门沟通讨论,根据实际情况确认落实与处罚。如此一来,安全培训从政策制定到实际落地,都有全公司各部门的参与,也真正实现了提升安全意识的效果。
对于没有完善培训体系的企业而言,如何提升员工安全意识呢?凌云建议借助第三方。除了第三方提供的安全培训服务之外,最简单的就是买一些现成的宣传海报。他告诉笔者,有一些公司专门制作并销售安全意识相关的海报,涵盖不同的安全注意事项(如设置复杂密码、防范钓鱼邮件等),能起到很好的提醒效果。携程内部也贴着一些海报,而且HR还会在信息安全部门的指导下制作一些宣传动画,推送给员工。
除此之外,他一直关注着行业内最新威胁情报,分析筛选出值得关注的内容,给到团队研究,同时给出方向性的决策。目前,整个携程信息安全部门有45个人,划分为基础安全、 业务安全、数据安全、合规、运营、开发、机器学习等多个小组,不仅负责公司的安全业务,还有学习研发、内部产出,为整个安全团队提供更多技术和产品支持。
作为安全高管,凌云对人才选拔和团队管理也有自己的心得。初到携程时,携程安全团队空缺很多,他迅速招满了一批骨干,然后放权给骨干组建新的团队。凌云说,他自己招人的时候,只要应聘者有一定的理论基础和实践经验,学习能力强,就都有机会。他的团队成员里,有些人有甲方经验,有些人有乙方经验,也有一些实习表现较好的学生,融合在一起发展更均衡。而对于员工成长,除了HR制定的详细发展计划表之外,他也比较愿意给团队成员创造 舞台、制定公平的成长路线,以鼓励整个团队更好的发展。这样的管理模式,得到了携程管理层的认可,也带动整个团队获得公安部评选的“网络安全管理优秀团队”、“网络安全保护先进个人”等称号。
携程信息安全部门办公室(部分成员在会议室)
在保证公司业务不受损害的前提下,凌云着眼长远、做好合规要求,并一步步推进安全架构、培养更多安全人才,正如他自己所说的那样,一直在做正确的事。
安全这些年——瓶颈不可怕,踏实做事就好
从业多年,凌云见证了整个行业的变迁,一路走来的心理历程也是起伏跌宕。最早他是因为2001年Unicode漏洞引发的兴趣而学习、钻研安全技术。当时他很乐意投稿,《黑客X档案》、《黑客手册》等杂志都留下了他的文章,正如现在很多白帽子在FreeBuf等在线网站投稿一样。但对于凌云来说,当时的投稿除了兴趣以外,还是为了省事儿。他跟编辑商量每年交稿一两篇,然后稿费直接用来买杂志,还能请编辑直接打包邮寄到家。这样一来,不仅省了去报亭购买的麻烦,有时候还能收到精选的小册子,一举两得。这些杂志至今都还在凌云家里堆着,就像我们家中保存的一摞摞课本一样,满载着回忆。
后来互联网飞速发展,纸媒逐渐败落,安全爱好者和从业者的交流平台不断变化,也让凌云感触很深。
大环境来说,我感觉可能会比之前感觉百花齐放的样子稍微差一点。但也不能说完全变差了,因为又产生了一些新的东西,比如CTF竞赛、众测等等。整个产业还是很顽强的。可能某些平台关掉了,这个行业一下子会少一些东西。但自然而然你发会发现它就像一棵树,被砍掉一个树枝,你以为树死了,其实旁边又生出来新的树枝。整个行业就是这样顽强,还是有人在一起坚持。
说话之间,凌云稍显恍惚,大概是想起了一些往事。
时间回到2010年前后,凌云在巨人网络工作,主要处理游戏领域的安全问题。那个时候,整个安全行业并不像如今这么蓬勃,甚至可以说比较小众甚至难以看到发展。当时很多安全从业者都在游戏领域,因为那时候游戏公司有很多在线服务业务,需要安全维护,防止外挂、盗号以及很多不良的财务交易。但总体来说,那时候的安全的确不够受重视,也影响到凌云的心态。
安全真正发展起来是电商发展之后,也就是2012年之后。电商的交易额很大,而且都是在线付费,大量依赖网站开展业务,伴随的安全问题就很多。我当时正好是从 巨人跑到PPTV,那时候 电商还没完全起来,所以我当时觉得处于安全不是最受重视的阶段。那时可能是整个安全行业都处于黎明前的黑暗之中。
凌云坦言,当时正处于瓶颈期,但他也没有就此放弃,而是去读了研究生。他觉得自己本科学的是通讯技术,跟安全有点远,可能会存在一些知识缺失,于是就读了“软件工程”的硕士。虽然这个专业跟安全也不是直接相关 ,但是读完之后,他了解了软件开发的流程以及软件架构等,在后续的工作中,跟开发人员沟通起来更加通畅,也侧面推动了安全工作进展。
我觉得不同的阶段就给自己找不同的方向, 总得给自己找点事情做,调节一下。当时感觉大环境中安全不太受重视,为了不浪费光阴,就去读了个研究生。结果读完之后,发现大环境也好了,安全也受重视了。
硕士毕业后,凌云所在的PPTV被苏宁收购,他就去了1号店。当时赶上电商崛起,安全行业随之水涨船高。大环境变得明朗,他也一扫阴霾,一路前行,走到了现在。
点亮自己的火炬,也照亮同行者
不知什么时候开始,进入安全圈为自己起一个炫酷的ID似乎成了约定俗成、心照不宣的规则。一直到现在圈子内还有这种风气,英文ID尤其受欢迎。在安全圈摸爬滚打10年以上的人,大约都曾混过论坛、看过杂志,有独属于自己、充满故事的网名。凌云的网名是linkboy,中文意思是“举着火把的男孩”。这个网名背后,也有着一个小小的故事。
当时就想要慎重一点,找一个自己中文名的谐音,又比较有寓意的ID。于是就拿着一本英语词典,从“L”那一栏开始一个个往下翻。看到Linkboy这个词感觉有点意思。当时很多黑客软件上面都写着“黑夜 给了我黑色的眼睛,我却用它来寻找光明” 这句诗, 我觉得这句话跟 “举着火把的男孩”意境有点像。一个是对外寻找光明,一个是拿着火把去给大家指引道路,含义很像,跟黑客的精神也很像,正好读音也跟我名字读音接近,所以就选了这个。
笔者本来想问凌云,是谁给了他这个火炬?当他讲完取名的小故事之后,才发现,是他自己为自己点亮了火炬,并举着这个火炬,在网络安全的道路上一路前行,同时照亮了同行的人。这不仅体现在他对团队的精心扶持与管理,也体现在他在安全路上的不懈坚持与分享。
早些时候,linkboy这个ID在好几个博客平台活跃度很高,不仅经常分享学习和研究所得,还会亲切地与其他安全爱好者互动。
(笔者注:当时的“呵呵”只是单纯的“哈哈”的含义)
笔者曾看到某个博客平台的linkboy主页动态,一个谦逊、热心、好学的青年形象跃然眼前,与采访当天看到的凌云几乎没有二致。这么多年,他依旧坚持着对安全的热爱,依旧乐观爱笑、乐于分享。如果说有什么不一样,那大概是岁月留情没刻下印记,却留下了更深厚的积淀。
这样的性格与心态也延续到了凌云的工作中。凌云的团队人数不少,分组也很明确。团队在工作当中积累的数据与经验能够反向输出,开发出一些产品服务于内部安全建设。他觉得有些小工具比较好用,就抱着共享的心态,带着团队做了携程云安全平台,分享他们做的安全工具。
目前,平台中主要有三款工具。分别是可以扫描GitHub是否提交敏感代码的GithubScan;可以预警攻击的军火库;以及可以共享大量黑产数据用于风控的风险库。这些工具一方面可以开放给没有安全团队或者预算不足的小企业用于提升安全业务;另一方面也有助于行业内数据共享,加强整体行业安全建设。
凌云说,云安全平台只开放给企业或安全团队,并没有开放给个人。目前注册账号已经超过2000个,每周有几十个账号活跃,每天也有一些互动。3年多来,有这样的数字,意味着这个云安全平台得到了很多企业或者安全团队的认可。
说到这里,他再次爽朗地笑了,接着滔滔不绝地说起了以后的计划。凌云认为,从长远角度来说,整个安全会越来越难做。当今信息安全泄露愈发严重,单独一家企业做好安全并不能阻止这种趋势。而且,信息泄露是一种不可逆的行为。因此,未来的安全问题会更加严重。
虽然道阻且长,但前进的脚步不能停下,只有不断精进才能应对更严重更复杂的问题。除了不断研究机器学习技术之外,凌云的团队也一直在 努力提升数据安全建设。目前,他们已经做到把所有用户的敏感信息做了加密,下一步打算做一些更细致的工作,防止业务人员滥用、减少接触场景。另一方面,他们对于整个供应链上下游的安全管控也不断在推进。2018年,凌云还推动携程成为阿里的DSMM(数据安全成熟度模型)试点单位,也将在2019年验证成果。
有这么多事要忙,就没有时间担忧与焦虑了。凌云说,以后他们还会根据实际情况做一些工具,支撑公司安全业务发展并适度共享。毕竟,长远来看,业内的协同、交流以及共享是必然趋势。
后记
聊完之后,已经是下午三点多。笔者担心自己的到来会打乱他们的节奏,所以只是在办公区匆匆一瞥。会议室里,凌云团队的某个小组正在进行每周一次的分享学习,其他小组成员则在工位上忙着自己的工作,紧张而有序。
午后的阳光照在凌空SOHO的玻璃墙上,折射出灿烂金光。早春的风吹过来,轻柔而温和,拂去了一些急躁。身处安全行业,总免不了被迷茫与焦虑的声音影响,但总有人坚定前行,总有人传递力量,正如凌云和他的团队一样。
*FreeBuf官方报道,未经许可禁止转载。
来源:freebuf.com 2019-04-15 08:00:46 by: AngelaY
请登录后发表评论
注册