安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清将携他的《白帽子讲Web安全》一书做客问答栏目。以下为采访正文:
安全宝副总裁、前阿里巴巴集团高级安全专家吴翰清
吴翰清(刺哥/总,大风哥),安全宝副总裁,前阿里巴巴集团高级安全专家。毕业于西安交通大学少年班,从2000年开始研究网络攻防技术。在大学期间创立了在中国安全圈内极具影响力的组织“幻影”。
2005年加入阿里巴巴,负责网络安全。工作期间,对阿里巴巴的安全开发流程、应用安全建设做出了杰出的贡献,并多次获得公司的表彰。曾先后帮助淘宝、支付宝建立了应用安全体系,保障公司业务得以快速而安全地发展。2009年起,加入阿里巴巴云计算有限公司,负责云计算安全、反网络欺诈等工作,是阿里巴巴集团最具价值的安全专家。
长期专注于安全技术的创新与实践,多有建树。同时还是OWASP在中国的区域负责人之一,在互联网安全领域有着极其丰富的经验。平时乐于分享,个人博客的访问量迄今已超过200万,目前还维护了一个微信公众账号:「道哥的黑板报」。多年来活跃在安全社区中,有着巨大的影响力。多次受邀在国内、国际安全会议上演讲,是中国安全行业的领军人物之一。
CSDN:请和大家介绍下你和目前所从事的工作。
吴翰清:我在2012年加入了安全宝,开始了一段创业的历程。在此之前一直在阿里巴巴从事安全工作,因为希望将自己的经验服务于更多的客户,所以我选择了创业。
目前安全宝致力于帮助企业客户变得更加的安全。我们希望将安全变成一种服务,而不是像过去的厂商一样只注重销售硬件和软件,因为很多客户对硬件和软件的使用并不理想,我们希望改变这一现状。
我们的客户里包括了很多耳熟能详的上市公司,以及一些即将上市的明星公司,主要来自电商、互联网金融、新闻门户、移动互联网等等。
CSDN:你是如何一步步走上安全之路的?
吴翰清:最开始是出于兴趣。在大学时代就对「黑客技术」非常着迷,也是在那段时间我找到了很多志同道合的朋友,还一起成立了一个组织,建立了一个论坛。后来这个论坛成为了那段时间中国黑客的摇篮之一。
大学毕业后我来到了阿里巴巴从事安全方面的工作,也就此选择这个行业作为我的职业发展方向。
这部分经历在我的「白帽子讲Web安全」中有所提及。
CSDN:以你这么多年的实战经验来看,目前移动互联网面对的安全风险主要来自哪几个方面?
吴翰清:移动互联网的问题主要来自两个方面,一是对于移动App本身的篡改,比如说替换了App里的广告或者内购,这对开发者的利益有直接的伤害,所以很多开发者目前也非常关注这一点。
二是移动App会涉及到的数据泄密问题。这里面又包含两部分,一是App在手机上的敏感信息是否有妥善保存或加密,比如一些私信内容是否会被其他恶意App给读取;二是App的云端是否存在缺陷,是否会被黑客入侵以获取云端的敏感数据,比如前些时「秘密」爆出的漏洞就引起了很多人的恐慌。
CSDN:你曾在博文中指出,整个安全行业,其实只有两种公司,从Mission上来说,一种是:“让用户变得安全”,另一种是:“让用户看起来安全、感觉到安全”,能深入的聊聊吗?
吴翰清:实际上这是个讨巧的说法,两者也可以是同一家公司。「让用户感觉到安全」是一种提高用户体验的技巧,也是安全整体里的一部分。比如我们每天生活的城市可能都在发生着凶杀案,有些数据是没有披露的,不能说这些事情就不存在了,只是一旦披露可能会引起恐慌。所以「安全感」也是安全的一部分。
但有一些公司在设计产品时,完全漠视了真正的安全性,而只把「安全感」当做全部,这就变成了对客户的一种欺骗。只要市场宣传功夫做到位了,也能让很多客户信以为真。我们认为这是一种不负责任的做法。
CSDN:你是Web安全方面的专家,能否谈下Web应用攻击的危害及攻击特点?
吴翰清:每隔一段时间,OWASP都会总结TOP?10的威胁,参考这个就可以了。
我特别想指出的是,最近这几年的攻击技巧有了一个很大的变化,就是基于数据泄露而带来的撞库攻击。据了解黑客手中的数据已经多达几十亿条,从抽查来看,每十个人里有六个人的密码可能是泄露了的。这种攻击让黑客可以更简单和直接的攻击一些关键系统。
CSDN:你认为WAF(Web?Application?Firewall,Web应用防火墙)和IPS(?Intrusion?Prevention?System,入侵防御系统)有什么异同?谁更适合防护Web应用?
吴翰清:WAF、IPS、下一代防火墙这几类产品从架构上来说都是串联在网络中通过实时分析阻断攻击请求。从专业性来说,WAF更适合防护Web应用。IPS等设备因为还要处理非HTTP协议的流量,从功能上来说更全面,但也正因为这样,所以需要多消耗一些资源在处理这些协议上。
CSDN:你在《白帽子讲Web安全》一书中的开篇第一章“我的安全世界观”里就提纲挈领的论述了安全的本质问题——安全问题的本质是信任的问题,能否详细的阐述下?另外,您怎么看“把风险降低到可以接受的范围就是安全”这个观点?
吴翰清:我在过去的工作经历中发现,设计的任何安全方案其实都不是绝对的,世上没有绝对的安全。当你提出一个可行的解决方案,其基本点必然有需要依赖和信任的东西。而很多安全问题的出现,则正是出在这些「被信任」的点上,没有人事前会想到这些地方会出问题。所以我提出了「安全问题的本质是信任的问题」这个说法。
另外最近越来越火的一个概念是「入侵容忍」。从防御的一方来说往往都是被动的,不怕贼偷就怕贼惦记,想做到千日防贼是很难的。所以安全专家们提出了一设想,可以一定程度上允许黑客入侵,只要黑客入侵后拿不到他想要的东西就可以了。「入侵容忍」正是基于这种思想,把最重要、最核心的东西层层保护起来,这往往比设计一个大而全的解决方案要更有效和务实。
CSDN:您曾说“中国最优秀的安全人才,出国了一批,自己开公司了一批,跑去做黑产了一批,看着安全行业没前途于是转行了一批,剩下还留守在这个行业里的人已经是最苦逼的一批了。”那么在您看来安全工程师的核心竞争力在哪里?以及未来前景如何?
吴翰清:在过去安全行业的发展不是很好,很多公司守了十多年才有上市的机会。在这个过程中很多优秀的工程师都流失了,这是这个行业的损失,也是中国互联网的损失。
但技术在不断的发展,在很多新兴的领域必然会涌现出巨大的安全需求,比如移动互联网、可穿戴设备、智能家居等。今天我们看到的未来里,机会是巨大的。这些机会不是单纯的来自于安全行业的机会,而是来自于互联网应用成几何级数的爆发,互联网正在飞速的改变我们的生活。
而中国的安全人才又非常的稀缺,所以在很长一段时间内都将供小于求。我们最近已经观察到安全行业的平均薪水在不断提高,在很多地方都是高于程序员、运维等工种的。所以我个人对未来安全工程师的前景比较乐观,反倒是有些担心人才数量和质量会跟不上时代的需求。
安全工程师的核心竞争力仍然将来自于对技术的创新能力,以及经验的积累。安全工程师是一个需要经验积累的岗位,工作经验越丰富,越有价值。
CSDN:您曾在2012年中国云计算大会上表示,由于没有像PC互联网那样出现傻瓜式的黑客工具,移动互联网安全的引爆点尚未到来。而今安卓平台BootLoader漏洞利用已经出现,在您看来移动安全是否已经暗流涌动?您怎么看待最近两年移动网络安全的发展变化?
吴翰清:从市场需求上来看,如果哪家安全公司再不布局或切入移动安全领域,是非常愚蠢的。一方面从技术上,越来越多的手机木马和移动安全问题出现,已经让开始让人们关注这个问题;另一方面,很多移动开发者或企业的移动事业部都开始担心自己的移动安全问题,但他们还找不到足够成熟的解决方案解决他们的问题,这也是市场涌现出来的机会。
CSDN:能否讲一下安全宝目前的发展状况?您对即将踏入安全行业的新人最想说的话是什么?
吴翰清:安全宝目前开始专注于服务企业市场,我们的业务也开始呈现出多元化的趋势,不再像过去一样执着于某一个产品。但我们的核心理念始终没有变化,就是将安全变成一种服务,降低企业在安全上的使用成本。
从去年Q4开始我们调整了战略,目前看来这半年多的变化非常成功,我们通过快速试错已经找到了几条正确的路。我现在不再为发展方向而发愁,也不再为资金发愁,每天发愁的事情是订单已经排到一个月以后,产能跟不上怎么办。所以我们非常希望行业里的顶级人才能加盟我们。在人才政策上我奉行的是精英策略,宁缺毋滥。我们对人才的要求不仅仅是具备足够强的能力,同时还要求要能认同我们的理想。
对于即将踏入这个行业的新人们,首先我为你们选择这个行业而感到骄傲,因为所有愿意从事安全行业的人都是具有崇高节操的人,互联网因为你们的选择而变得更安全了一点点。然后我想告诉你们的是,这是一条需要耐得住寂寞和诱惑的路,但前程是光明的。 |