最近思考人生比較多，對行業的發展也有些自己的思考。

業務安全

在大多數互聯網公司，云主機租用，安全崗位都是屬于成本部門。不考慮安全部門ROI的鳳毛麟角。即使是超大型的幾個頭部公司，安全部門的匯報級別普遍較高，但是安全部門的工作重點都是不斷證明自身的價值。對于絕大多數業務部門，基本是無法理解什么是XSS和SQL注入。

和業務部門解釋這些，好比和一群素食愛好者介紹你們新推出的雞腿堡套餐，不是說不說的清楚的問題，是傻不傻的問題。

唯一的例外，就是業務持續性和業務安全這兩個是可以和業務部門溝通的。前者最常見的就是被D了，業務中斷了，一小時損失多少PV，多少流水，業務部門比安全部門算的清。但是前者安全部門可以做的很有限，大多數情況下還是要以來安全廠商來解決。后者除了依賴安全廠商，安全部門也可以有發揮余地。常見的業務安全問題多與黑灰產對抗有關系，比如虛假點擊、虛假注冊，惡意爬蟲之類。這些業務安全問題，業務部門是比較容易理解的，安全部門的價值也是容易體現的。2018年，甲方安全的同學如果覺得自己做的事情價值業務方不理解，不認同，不妨嘗試下業務安全。

物聯網安全

物聯網安全一直是一個大家覺得會火，事實上也比較火，但是貌似大多數廠商沒賺到錢的領域。

早期針對物聯網設備的攻擊，主要驅動力是用于垃圾郵件僵尸網絡，說的更直白一點就是通過垃圾郵件進行廣告營銷變現，在那個物聯網設備計算和帶寬資源都相當有限的年代，干這個事是不錯的選擇。

這幾年情況發生了很大變化。

一方面物聯網設備井噴式發展，數量極其驚人；

一方面物聯網設備的計算和帶寬資源更加豐富；

另外一方面，智能家居等有能力接觸到大量個人隱私的物聯網設備大量出現。

所以目前這對物聯網設備的驅動力主要為：

組成DDoS僵尸網絡，發起超大規模網絡攻擊；

挖礦，挖各種幣。

竊取個人隱私數據，從圖像、語音到健康數據、消費數據以及賬戶數據等。

物聯網安全技術的發展不是最令人擔心的，因為目前大多數設備在設計的最初沒有考慮安全問題。基礎的操作系統漏洞、以及協議層的重放攻擊，應用層的弱密碼都可以干掉一大批設備。一個根上的問題，是誰該為安全問題買單。最終受害的是消費者，但是指望消費者去解決安全問題嗎?買個家用的物聯網IPS？指望廠商也不太靠譜，目前物聯網或者說智能家居，智能設備行業還屬于野蠻發展階段，國內服務器租用 服務器托管，除了極其有限的幾個頭部廠商有能力去解決自己的安全問題，數量極其驚人的發展中廠商主要精力還在解決活下來的問題，指望他們去主動解決安全問題也不靠譜。

整個行業范圍的去解決這些安全問題，我個人理解比較靠譜的方式，是類似大型公有云平臺解決客戶安全問題的方式，就是在物聯網的操作平臺層去統一解決大部分問題。設備廠商只要使用統一的幾種OS或者開發套件就可以解決大部分安全問題。2018年這方面大家拭目以待。

AI安全

這個領域是我覺得比較奇葩的領域。或許我對AI安全的理解太狹義了。我個人理解的AI安全主要是使用AI技術去賦能安全產品，比如讓WAF和IPS更牛逼，我寫了兩本介紹AI安全的書《web安全之機器學習入門》和《web安全之深度學習實戰》也主要是從這個角度介紹的。

但是目前市場上相當一部分甲方和乙方是把智能設備的安全也稱為AI安全，當然這也沒啥問題。

AI一直是個不溫不火的領域，讓整個世界重視AI，阿爾法狗功不可沒。阿爾法狗展現了，AI可以在部分領域超越人類。推而廣之，計算機的強大算力和并發處理能力，可以讓AI最終可以以更低的成本更好的完成人類的一些工作。這確實非常有吸引力。

AI技術目前在語音和圖像識別領域非常成熟，幾個頭部的AI公司也是圍繞著兩個技術。基于這兩項技術的AI安全公司勢必也可以給人以驚喜，比如智能安防，智能認證等。

另外在AI賦能安全產品領域，我個人理解在更加細分的領域，漏洞發現類的產品發展會快于防護類和監控類產品。因為AI尤其是深度學習，最大的一個特點就是不可解釋性，雖然最新的發展已經可以部分解決卷積處理的結果，但是對于MLP、RNN這些還是難以以人類可以理解的邏輯去解釋。這對于防護類和監控類產品非常尷尬，你攔截一個包，判斷一個交易申請是欺詐，你還沒法和人解釋，這就尷尬了。但是對于掃描類，或者說智能滲透，這個問題就沒有那么尷尬了。另外掃描類產品對于誤報的容忍性比其他產品要強，偶爾誤報也可以忍了。但是阻斷類產品就沒那么輕松了。我個人理解掃描類AI產品值得期待。

隱私保護