阿里安全资深专家杭特谈安全圈之“怪现状”

近年来，为了吸引更多的安全人才涌入，各企业和部门也为此做出了各种努力和尝试。比如举办各类的攻防比赛，破解表演……例如：XCTF、GEEKPWN、WCTF、XPWN等；比如开设挖掘漏洞的高额奖赏机制；比如提高安全人员的就业薪资待遇等。

在国家和企业的重视和关注下，我们看到越来越多优秀的技术人才涌出，信息安全已成为各高校中炙手可热的专业， 安全人才就业率也在逐年增加，各行各业的信息安全爱好者也投入其中，“挖掘漏洞”成了一件很“极客”，很有挑战并且很有成就感的事情。但渐渐的，我们也发现了安全圈的一个怪现象，那就是：“攻多防少”、“野战军远远大于正规军”、“安全人才结构不合理”。

在本次的采访中，阿里安全资深专家杭特就此问题阐述了自己的一些独特想法。

杭特在安全行业从业十余年，本科数学专业出身的他，因纯粹的兴趣爱好，硕士攻读了计算机信息安全专业。毕业后曾在绿盟担任高级技术研究员，他说在刚入行的八年中，每天的主要工作就是深挖各种漏洞，漏洞越挖越多，但是被挖出漏洞后的软件安全性却没有得到提升，在这样的环境下感觉自己力量特别渺小，转身到了甲方公司-阿里巴巴。

杭特算是圈内对“攻、防角色”最有发言权的安全从业人员代表了，甲方和乙方公司的工作经历让他积攒了很多工作经验，也得到了很多切身的感受和想法。他认为，相较于欧美等发达国家，国内人才培养在结构和技能方面，有几个不吐不快的“怪现状”。

1. 重视“攻”， 轻视“防”

攻防作为一个硬币的两面，哪一方面都不可或缺，因此才出现了“以攻促防”，“未知攻，焉知防”之类的金句。但现实往往不尽如人意。现在安全人才在总数不够的前提下，防守人才更是极其匮乏，比例严重失调。

杭特认为，在安全从业者中，“攻”与“防”的人员比例应该维持在1：2的比例，整个企业安全才算是健康的组成结构，这和企业是否重视安全有着密不可分的关联。互联网企业的快速发展，使大量的企业还是停留在”先活下去，再考虑安全“的意识形态中。使拥有高技术的安全人才把大部分精力都放在了攻击，寻找漏洞的成就感中，而忽视后期的“安防”再建设，违背了“以功促防”的初衷，忽略了网络安全的核心本质问题，那就是：如何使安全大门牢固，而不是漏洞百出，一身补丁。

2. 重视“攻防”， 轻视“数据”

网络安全大部分都属于Security的范畴，但随着IoT和ICS 的出现，动动鼠标也能物理危害人身安全，从而扩展到了Safety的领域。由于Safety更注重能影响物理世界的安全，因此作为争夺“EIP”控制权的“攻防”是最为重要的；而Security要重点保护的，其实是“数据”的控制权。

企业把大部分攻防精力全部放在了“数据”周围的保护中，而忽略了“数据”本身的安全。从外围防御到核心保护，是企业应该转变的防护思维方式。如何能使“数据”自身变得“攻不可破，盗不可用”，才是安全的最终目的。

3. 重视“单点、破坏”， 轻视“体系、建设”

安全本不是平等的对抗，打开恶魔的盒子不那么难，但灾后重建却异常艰难。相对于“千里之堤，溃于蚁穴”的蚂蚁，业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。国内的大部分企业还是偏向于单点攻防，哪里出现了漏洞补哪里，而无法做到全方位的安全防御，而没有形成一个整体的安全战略规划。就好像企业把安全的大门修补的催不可坚，而忽视了大门内部和隐形威胁的安全防御。杭特认为企业的安全体系建设，与企业对安全的重视、成本投入、安全人员的整体技术提升密不可分。

在安全圈人才紧缺的情况下，发展机器学习已成为行业趋势。目前在国内除了各类的CTF的比赛，也举办过类似机器人的攻防比赛，但对比国外的机器攻防比赛来看，我们也看到了国内比赛很多不足。比如，成本投入较低，参赛团队的专业技术的有限，比赛噱头大于技术PK。

安全圈内的“破解大赛”层出不穷，却没有一场纯粹的“防御比赛”。杭特向小编透露，阿里将会在本月底打响国内首届防御比赛的第一枪——“阿里安全软件供应链大赛”。希望通过这样的比赛，把中国企业真普遍存在安全痛点和威胁找出来，让企业知道安全应当怎么样做，如何使自身的防护能力得到提升，而不是被动的修补漏洞，最终可以使安全圈有所收益，更是欢迎各方的团队，安全厂商来参与。