最近思考人生比較多,對行業(yè)的發(fā)展也有些自己的思考。
業(yè)務(wù)安全
在大多數(shù)互聯(lián)網(wǎng)公司,云主機(jī)租用,安全崗位都是屬于成本部門。不考慮安全部門ROI的鳳毛麟角。即使是超大型的幾個頭部公司,安全部門的匯報級別普遍較高,但是安全部門的工作重點(diǎn)都是不斷證明自身的價值。對于絕大多數(shù)業(yè)務(wù)部門,基本是無法理解什么是XSS和SQL注入。
和業(yè)務(wù)部門解釋這些,好比和一群素食愛好者介紹你們新推出的雞腿堡套餐,不是說不說的清楚的問題,是傻不傻的問題。
唯一的例外,就是業(yè)務(wù)持續(xù)性和業(yè)務(wù)安全這兩個是可以和業(yè)務(wù)部門溝通的。前者最常見的就是被D了,業(yè)務(wù)中斷了,一小時損失多少PV,多少流水,業(yè)務(wù)部門比安全部門算的清。但是前者安全部門可以做的很有限,大多數(shù)情況下還是要以來安全廠商來解決。后者除了依賴安全廠商,安全部門也可以有發(fā)揮余地。常見的業(yè)務(wù)安全問題多與黑灰產(chǎn)對抗有關(guān)系,比如虛假點(diǎn)擊、虛假注冊,惡意爬蟲之類。這些業(yè)務(wù)安全問題,業(yè)務(wù)部門是比較容易理解的,安全部門的價值也是容易體現(xiàn)的。2018年,甲方安全的同學(xué)如果覺得自己做的事情價值業(yè)務(wù)方不理解,不認(rèn)同,不妨嘗試下業(yè)務(wù)安全。
物聯(lián)網(wǎng)安全一直是一個大家覺得會火,事實(shí)上也比較火,但是貌似大多數(shù)廠商沒賺到錢的領(lǐng)域。
早期針對物聯(lián)網(wǎng)設(shè)備的攻擊,主要驅(qū)動力是用于垃圾郵件僵尸網(wǎng)絡(luò),說的更直白一點(diǎn)就是通過垃圾郵件進(jìn)行廣告營銷變現(xiàn),在那個物聯(lián)網(wǎng)設(shè)備計算和帶寬資源都相當(dāng)有限的年代,干這個事是不錯的選擇。
這幾年情況發(fā)生了很大變化。
一方面物聯(lián)網(wǎng)設(shè)備井噴式發(fā)展,數(shù)量極其驚人;
一方面物聯(lián)網(wǎng)設(shè)備的計算和帶寬資源更加豐富;
另外一方面,智能家居等有能力接觸到大量個人隱私的物聯(lián)網(wǎng)設(shè)備大量出現(xiàn)。
所以目前這對物聯(lián)網(wǎng)設(shè)備的驅(qū)動力主要為:
組成DDoS僵尸網(wǎng)絡(luò),發(fā)起超大規(guī)模網(wǎng)絡(luò)攻擊;
挖礦,挖各種幣。
竊取個人隱私數(shù)據(jù),從圖像、語音到健康數(shù)據(jù)、消費(fèi)數(shù)據(jù)以及賬戶數(shù)據(jù)等。
物聯(lián)網(wǎng)安全技術(shù)的發(fā)展不是最令人擔(dān)心的,因?yàn)槟壳按蠖鄶?shù)設(shè)備在設(shè)計的最初沒有考慮安全問題。基礎(chǔ)的操作系統(tǒng)漏洞、以及協(xié)議層的重放攻擊,應(yīng)用層的弱密碼都可以干掉一大批設(shè)備。一個根上的問題,是誰該為安全問題買單。最終受害的是消費(fèi)者,但是指望消費(fèi)者去解決安全問題嗎?買個家用的物聯(lián)網(wǎng)IPS?指望廠商也不太靠譜,目前物聯(lián)網(wǎng)或者說智能家居,智能設(shè)備行業(yè)還屬于野蠻發(fā)展階段,國內(nèi)服務(wù)器租用 服務(wù)器托管,除了極其有限的幾個頭部廠商有能力去解決自己的安全問題,數(shù)量極其驚人的發(fā)展中廠商主要精力還在解決活下來的問題,指望他們?nèi)ブ鲃咏鉀Q安全問題也不靠譜。
整個行業(yè)范圍的去解決這些安全問題,我個人理解比較靠譜的方式,是類似大型公有云平臺解決客戶安全問題的方式,就是在物聯(lián)網(wǎng)的操作平臺層去統(tǒng)一解決大部分問題。設(shè)備廠商只要使用統(tǒng)一的幾種OS或者開發(fā)套件就可以解決大部分安全問題。2018年這方面大家拭目以待。
AI安全
這個領(lǐng)域是我覺得比較奇葩的領(lǐng)域。或許我對AI安全的理解太狹義了。我個人理解的AI安全主要是使用AI技術(shù)去賦能安全產(chǎn)品,比如讓W(xué)AF和IPS更牛逼,我寫了兩本介紹AI安全的書《web安全之機(jī)器學(xué)習(xí)入門》和《web安全之深度學(xué)習(xí)實(shí)戰(zhàn)》也主要是從這個角度介紹的。
但是目前市場上相當(dāng)一部分甲方和乙方是把智能設(shè)備的安全也稱為AI安全,當(dāng)然這也沒啥問題。
AI一直是個不溫不火的領(lǐng)域,讓整個世界重視AI,阿爾法狗功不可沒。阿爾法狗展現(xiàn)了,AI可以在部分領(lǐng)域超越人類。推而廣之,計算機(jī)的強(qiáng)大算力和并發(fā)處理能力,可以讓AI最終可以以更低的成本更好的完成人類的一些工作。這確實(shí)非常有吸引力。
AI技術(shù)目前在語音和圖像識別領(lǐng)域非常成熟,幾個頭部的AI公司也是圍繞著兩個技術(shù)。基于這兩項(xiàng)技術(shù)的AI安全公司勢必也可以給人以驚喜,比如智能安防,智能認(rèn)證等。
另外在AI賦能安全產(chǎn)品領(lǐng)域,我個人理解在更加細(xì)分的領(lǐng)域,漏洞發(fā)現(xiàn)類的產(chǎn)品發(fā)展會快于防護(hù)類和監(jiān)控類產(chǎn)品。因?yàn)锳I尤其是深度學(xué)習(xí),最大的一個特點(diǎn)就是不可解釋性,雖然最新的發(fā)展已經(jīng)可以部分解決卷積處理的結(jié)果,但是對于MLP、RNN這些還是難以以人類可以理解的邏輯去解釋。這對于防護(hù)類和監(jiān)控類產(chǎn)品非常尷尬,你攔截一個包,判斷一個交易申請是欺詐,你還沒法和人解釋,這就尷尬了。但是對于掃描類,或者說智能滲透,這個問題就沒有那么尷尬了。另外掃描類產(chǎn)品對于誤報的容忍性比其他產(chǎn)品要強(qiáng),偶爾誤報也可以忍了。但是阻斷類產(chǎn)品就沒那么輕松了。我個人理解掃描類AI產(chǎn)品值得期待。
隱私保護(hù)
