專訪吳翰清:白帽子講Web安全
責(zé)編:rhliu |2014-07-15 17:40:56吳翰清:我在2012年加入了安全寶,開(kāi)始了一段創(chuàng)業(yè)的歷程。在此之前一直在阿里巴巴從事安全工作,因?yàn)橄M麑⒆约旱慕?jīng)驗(yàn)服務(wù)于更多的客戶,所以我選擇了創(chuàng)業(yè)。
目前安全寶致力于幫助企業(yè)客戶變得更加的安全。我們希望將安全變成一種服務(wù),而不是像過(guò)去的廠商一樣只注重銷售硬件和軟件,因?yàn)楹芏嗫蛻魧?duì)硬件和軟件的使用并不理想,我們希望改變這一現(xiàn)狀。
我們的客戶里包括了很多耳熟能詳?shù)纳鲜泄荆约耙恍┘磳⑸鲜械拿餍枪荆饕獊?lái)自電商、互聯(lián)網(wǎng)金融、新聞門(mén)戶、移動(dòng)互聯(lián)網(wǎng)等等。
東方安全:你是Web安全方面的專家,能否談下Web應(yīng)用攻擊的危害及攻擊特點(diǎn)?
吳翰清:每隔一段時(shí)間,OWASP都會(huì)總結(jié)TOP 10的威脅,參考這個(gè)就可以了。
我特別想指出的是,最近這幾年的攻擊技巧有了一個(gè)很大的變化,就是基于數(shù)據(jù)泄露而帶來(lái)的撞庫(kù)攻擊。據(jù)了解黑客手中的數(shù)據(jù)已經(jīng)多達(dá)幾十億條,從抽查來(lái)看,每十個(gè)人里有六個(gè)人的密碼可能是泄露了的。這種攻擊讓黑客可以更簡(jiǎn)單和直接的攻擊一些關(guān)鍵系統(tǒng)。
東方安全:你認(rèn)為WAF(Web Application Firewall,Web應(yīng)用防火墻)和IPS( Intrusion Prevention System,入侵防御系統(tǒng))有什么異同?誰(shuí)更適合防護(hù)Web應(yīng)用?
吳翰清:WAF、IPS、下一代防火墻這幾類產(chǎn)品從架構(gòu)上來(lái)說(shuō)都是串聯(lián)在網(wǎng)絡(luò)中通過(guò)實(shí)時(shí)分析阻斷攻擊請(qǐng)求。從專業(yè)性來(lái)說(shuō),WAF更適合防護(hù)Web應(yīng)用。IPS等設(shè)備因?yàn)檫€要處理非HTTP協(xié)議的流量,從功能上來(lái)說(shuō)更全面,但也正因?yàn)檫@樣,所以需要多消耗一些資源在處理這些協(xié)議上。
東方安全:你在《白帽子講Web安全》一書(shū)中的開(kāi)篇第一章“我的安全世界觀”里就提綱挈領(lǐng)的論述了安全的本質(zhì)問(wèn)題——安全問(wèn)題的本質(zhì)是信任的問(wèn)題,能否詳細(xì)的闡述下?另外,您怎么看“把風(fēng)險(xiǎn)降低到可以接受的范圍就是安全”這個(gè)觀點(diǎn)?
吳翰清:我在過(guò)去的工作經(jīng)歷中發(fā)現(xiàn),設(shè)計(jì)的任何安全方案其實(shí)都不是絕對(duì)的,世上沒(méi)有絕對(duì)的安全。當(dāng)你提出一個(gè)可行的解決方案,其基本點(diǎn)必然有需要依賴和信任的東西。而很多安全問(wèn)題的出現(xiàn),則正是出在這些“被信任”的點(diǎn)上,沒(méi)有人事前會(huì)想到這些地方會(huì)出問(wèn)題。所以我提出了“安全問(wèn)題的本質(zhì)是信任的問(wèn)題”這個(gè)說(shuō)法。
另外最近越來(lái)越火的一個(gè)概念是“入侵容忍”。從防御的一方來(lái)說(shuō)往往都是被動(dòng)的,不怕賊偷就怕賊惦記,想做到千日防賊是很難的。所以安全專家們提出了一設(shè)想,可以一定程度上允許黑客入侵,只要黑客入侵后拿不到他想要的東西就可以了。“入侵容忍”正是基于這種思想,把最重要、最核心的東西層層保護(hù)起來(lái),這往往比設(shè)計(jì)一個(gè)大而全的解決方案要更有效和務(wù)實(shí)。
東方安全:您曾說(shuō)“中國(guó)最優(yōu)秀的安全人才,出國(guó)了一批,自己開(kāi)公司了一批,跑去做黑產(chǎn)了一批,看著安全行業(yè)沒(méi)前途于是轉(zhuǎn)行了一批,剩下還留守在這個(gè)行業(yè)里的人已經(jīng)是最苦逼的一批了。”那么在您看來(lái)安全工程師的核心競(jìng)爭(zhēng)力在哪里?以及未來(lái)前景如何?
吳翰清:在過(guò)去安全行業(yè)的發(fā)展不是很好,很多公司守了十多年才有上市的機(jī)會(huì)。在這個(gè)過(guò)程中很多優(yōu)秀的工程師都流失了,這是這個(gè)行業(yè)的損失,也是中國(guó)互聯(lián)網(wǎng)的損失。
但技術(shù)在不斷的發(fā)展,在很多新興的領(lǐng)域必然會(huì)涌現(xiàn)出巨大的安全需求,比如移動(dòng)互聯(lián)網(wǎng)、可穿戴設(shè)備、智能家居等。今天我們看到的未來(lái)里,機(jī)會(huì)是巨大的。這些機(jī)會(huì)不是單純的來(lái)自于安全行業(yè)的機(jī)會(huì),而是來(lái)自于互聯(lián)網(wǎng)應(yīng)用成幾何級(jí)數(shù)的爆發(fā),互聯(lián)網(wǎng)正在飛速的改變我們的生活。
而中國(guó)的安全人才又非常的稀缺,所以在很長(zhǎng)一段時(shí)間內(nèi)都將供小于求。我們最近已經(jīng)觀察到安全行業(yè)的平均薪水在不斷提高,在很多地方都是高于程序員、運(yùn)維等工種的。所以我個(gè)人對(duì)未來(lái)安全工程師的前景比較樂(lè)觀,反倒是有些擔(dān)心人才數(shù)量和質(zhì)量會(huì)跟不上時(shí)代的需求。
安全工程師的核心競(jìng)爭(zhēng)力仍然將來(lái)自于對(duì)技術(shù)的創(chuàng)新能力,以及經(jīng)驗(yàn)的積累。安全工程師是一個(gè)需要經(jīng)驗(yàn)積累的崗位,工作經(jīng)驗(yàn)越豐富,越有價(jià)值。
東方安全:能否講一下安全寶目前的發(fā)展?fàn)顩r?您對(duì)即將踏入安全行業(yè)的新人最想說(shuō)的話是什么?
吳翰清:安全寶目前開(kāi)始專注于服務(wù)企業(yè)市場(chǎng),我們的業(yè)務(wù)也開(kāi)始呈現(xiàn)出多元化的趨勢(shì),不再像過(guò)去一樣執(zhí)著于某一個(gè)產(chǎn)品。但我們的核心理念始終沒(méi)有變化,就是將安全變成一種服務(wù),降低企業(yè)在安全上的使用成本。
從去年Q4開(kāi)始我們調(diào)整了戰(zhàn)略,目前看來(lái)這半年多的變化非常成功,我們通過(guò)快速試錯(cuò)已經(jīng)找到了幾條正確的路。我現(xiàn)在不再為發(fā)展方向而發(fā)愁,也不再為資金發(fā)愁,每天發(fā)愁的事情是訂單已經(jīng)排到一個(gè)月以后,產(chǎn)能跟不上怎么辦。所以我們非常希望行業(yè)里的頂級(jí)人才能加盟我們。在人才政策上我奉行的是精英策略,寧缺毋濫。我們對(duì)人才的要求不僅僅是具備足夠強(qiáng)的能力,同時(shí)還要求要能認(rèn)同我們的理想。
對(duì)于即將踏入這個(gè)行業(yè)的新人們,首先我為你們選擇這個(gè)行業(yè)而感到驕傲,因?yàn)樗性敢鈴氖掳踩袠I(yè)的人都是具有崇高節(jié)操的人,互聯(lián)網(wǎng)因?yàn)槟銈兊倪x擇而變得更安全了一點(diǎn)點(diǎn)。然后我想告訴你們的是,這是一條需要耐得住寂寞和誘惑的路,但前程是光明的。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧