猫宁！！！

参考链接：https://mp.weixin.qq.com/s/O0zLvuWPRPIeqnRooNEFYA

旧文我提过一句话，信息安全防御这事，在业内，三分靠技术，七分靠人脉。

在知识星球提及的时候，就有人觉得，看来还是黑客牛逼，安全从业者只能靠人脉才能防御。

当然，还有一种观点也很常见，我公司请个厉害的黑客来做运维安全，就万无一失了。

这两个观点说的是一回事，然而很遗憾，这是错的。

1、攻击与防御是非对称的

攻击只需要一个点，而防御是全面性的。

攻击者只要一招鲜，就可以有辉煌的战绩，而防御是一个全面体系，任何一个领域的疏漏都可能是致命的。

2、防御缺乏存在感

只有出事的时候，人们才会责怪负责防御的信息安全负责人。

正如知乎那个奇葩问题，为什么没有人入侵支付宝？

一群安全专家费劲心力搭建的防御系统，完美的防御了大量的入侵尝试，然而对于外界甚至领导而言，似乎他们并不存在。只有出问题的那一瞬间，大家才会想起来，公司花了那么多钱养了你们，怎么居然还出事了？！

3、情报网络和信息交流，是安全防御重要的组成部分

这和国家一样，你说你有军队，有武器就可以了么，还是需要情报网络的协助，要知道潜在的风险是谁，破坏者是谁。以及最新的攻击方法，攻击手段有什么。

攻击者可以是独行侠，有独门秘笈就可以，但防御者需要面对是大量未知的攻击者，所以，情报网络有助于能够识别未知风险，以及针对已经出现的问题尽早得到相关信息。

现在可持续的入侵行为越来越普遍，很多企业早就中招而不自知，自家的数据库在黑产圈已经流散开了，而企业还蒙在鼓里，这样的案例也有很多起了。

4、防御首先是一个体系，其次才是具体的技术。

一个基本原则是，任何一个防御策略，都要额外加上一个失败后的补救策略。

具体下文还会再谈

那么额外要分享的一些关于信息安全领域的观点

关于信息安全的境界

站在最高一层的，并不是我们所熟知的信息安全专家，而是一些数学家，或者信息学上的学者。他们提供的是一些信息安全的理论，以及相关领域的思考。

比如去年有个轰动的案例，在苹果编译器植入木马，中国互联网巨头几乎全部中招的那个，那个理论其实很早之前就有了。（嗯，破案其实很快，然后相关内容就被屏蔽了，屏蔽了，蔽了，了。）

比如缓冲溢出是一种信息安全的理论，比如分布式拒绝服务攻击是一种理论，比如山东大学的数学系教授王小云对加密算法碰撞数的贡献。没有人会认为王小云是一名信息安全专家，但是她在信息安全领域的贡献是极为巨大的。

比如前文提到的共识算法，甚至获得了图灵奖的一些算法思路，其实也可以列为信息安全领域的理论。

在信息安全理论创新上，目前中国并未站在领先的位置上。

次一层的是漏洞挖掘，基于信息安全的理论，对知名软件平台，操作系统进行漏洞挖掘和研究，以前绿盟是中国信息安全的黄埔军校，在漏洞挖掘方面培养了多个顶级专家。但今天，中国漏洞挖掘最厉害的是腾讯。（有钱真好）

漏洞挖掘的目标是操作系统，常用软件和服务平台，以及常见的产品设计和使用流程。（是的，一些安全漏洞来自于产品的操作和使用流程，泛泛的说，羊毛党就是这个范畴。）

在漏洞挖掘领域，中国已经成为世界顶尖水平之一。

再次一级的是工具设计和制作，基于已有的信息安全理论和已知的漏洞类型，制作设计扫描，监测，防御及自动入侵的系统。

再次一级的，才是攻击者或者说入侵者，他们善于利用工具，理解漏洞原理，并执行入侵。

但实际上这个划分只是一个很粗糙的模型，实际上会更复杂一些。

比如说，有漏洞挖掘的工具设计者，其对信息安全理论的熟悉和挖掘能力，是相当强的，甚至可以做出批量挖掘漏洞的工具。这种虽然是工具设计者，但其实就高于一般的漏洞挖掘层次了。

再比如说，基于web应用的攻击，虽然也是利用某些现有工具进行嗅探扫描和尝试，但由于每个web应用都是完全不同的代码，所以其技术实现过程又类似于漏洞挖掘，而不是简单的利用工具和现有漏洞入侵。

再比如说，即便是使用工具，也类似于特种兵和普通士兵，有些人非常熟悉漏洞的原理和机制，非常熟悉使用工具做出最大效率的攻击行为，这类似于熟悉各种枪械性能的特种兵；但也有根本不懂技术原理，只会拿着工具乱扫一气碰运气的入侵者，这种就是未经训练的士兵，但武器在手，也是有杀伤力的。

然而以上，也仅仅是基于攻击的层面，而作为防御者，也许不需要具备漏洞挖掘能力，但必须深入了解所有已公开的入侵形式和入侵原理。除了这些之外，防御需要额外的理论，也就是防御体系的设计，所谓防御体系，我不是专家，但我可以列出一些防御体系的目标。

1、尽可能去防护所有已知种类的入侵行为。

2、一旦出现紧急状况，外围失手的情况下，尽可能保护系统核心关键数据不受影响，保障系统不会被破坏性入侵行为干掉。

3、核心和关键数据即便遭到窃取，保障一些关键信息依然不可被读取。所谓随机salt加密策略。

4、能对入侵行为做追踪，定位，取证，方便采用法律手段维护权益。

5、建立信息安全的审核流程和工作流程，规范大量公司内部员工的数据读取，分享和操作行为。

6、保持情报资源畅通，随时密切观察外部流传的彩虹库，以及黑产灰产信息，与公司利益相关的需要尽快掌握详细信息。

7、审核产品业务与操作流程，审核业务数据日志，防止操作流程中被不当利用，例如羊毛党，广告投放劫持欺诈等等。当然，这个差事可能对信息安全人才来说有点强人所难，但据我所知，对于一些巨头而言，这种事情也是信息安全部门需要面对的挑战，而且越来越成为更加严峻的挑战。

现在，还觉得，聘请一个厉害的黑客，就能让自己公司的信息安全万无一失么？

然而，防御总是没有存在感的，我们知道腾讯有袁哥，有TK，有吴石，都是顶级的漏洞挖掘专家，那么问题来了，腾讯负责防御的技术专家是谁？没人知道。

信息安全领域有白帽，灰帽和黑帽。

白帽主要在各大互联网公司或信息安全公司从事安全相关工作，黑帽主要从事黑产相关，但也有一些人介于二者之间，称之为灰帽，亦正亦邪，有时候会帮大公司解决一些安全问题，但也有时候禁不住诱惑，手脚不是很干净，但比黑帽可能会稍微有点底线的那种，比如，他们会私下贩卖漏洞或肉鸡给黑帽获利，但自己不直接从事入侵行为。

顶尖白帽彼此熟悉，大部分关系还好，所谓人脉圈，你看很多互联网巨头彼此口水仗打得厉害，但底下负责安全的专家们往往都是私下的好友，经常有来往和互通情报的。毕竟黑产才是大家共同的对手，当然，也有一些彼此不服对方，偶尔喷喷口水的，文人相轻，私人恩怨总会有一些，但通常仅限于口水。

比如某个阿里的安全大牛的传记里曾经点过我的名字，认为我瞧不起他，所以略有忌恨。然而很惭愧，第一我的技术水平根本没资格瞧不起任何搞安全的人，第二其实他抱怨的是安全焦点，但恰好我跟安全焦点关系很好，又恰好以前我写过一些安全有关的文章，他觉得其中有些内容是我替安全焦点含沙射影抨击他，然而我其实根本不认识他，当时都不知道他们还有恩怨这档子事。

当年我真点名抨击过的安全圈的人，貌似只有孤独剑客王献冰，抨击他也不是因为技术，而是心术不正，不能说是黑产吧，但是开培训课教小朋友用木马工具黑别人QQ什么的，结果最后被抓了。安全从业者，特别是有点水平的，稍微有点赚快钱的歪念头，其实很容易出事。

另一个我不是很喜欢是最近几年在知乎风头很盛的小伙子，这孩子之前在加拿大，以前做黑产颇赚了一些钱，其实我这个人还不是那种特别道貌岸然的，我觉得少不更事做了点坏事，也不能说就多大的罪过；最好呢，是洗心革面，忏悔过错，并发誓绝不再犯，这是最好的；次一级的，知道这个历史不好看，不讲了，不干了，好好做人就是了。说实话，就最近几年，黑产洗白后公司赚很多钱的我还真知道有几个。虽然我不跟这样的人打交道，但警察都不管，我也说不上什么对吧。但这孩子还经常炫耀自己的黑产历史，觉得自己挺有本事的，我就觉得这个，实在让我无法接纳了，别说，崇拜他的粉丝还是挺多的。

我们说打工也好，创业也好，其实都是利益驱动，天天讲梦想的那个永远下周回国，所以大家还是谈谈钱挺实际。但这个问题就来了，作为顶尖白帽，如果想赚更多的钱，其实是很容易的，你说入侵支付宝不容易，入侵财付通不容易，但互联网那么多平台，那么多利益产品在上面，对于拥有漏洞挖掘能力的人来说，真的就是看底线有多少的问题了。

最近几年还好，互联网巨头用高薪把一些顶尖安全专家养起来了，虽然没有去搞黑的赚钱多，但毕竟是份体面和安全的职业。然而这样的职位毕竟有限，依然有大量达不到顶尖水平，却仍然有一定漏洞分析能力的人才，散落在整个互联网上，他们可黑可白可灰，如果有一份优渥的薪酬，也会是很好的企业员工，但如果一直生活窘迫，又不是不能凭本事赚钱，难免动一些其他心思。其实乌云之前就是一个很好的通道，让这些人有一个机会正面的展示自己，并通过这种展示，有机会获得一份不错的工作，或者激励走向白帽。但我们必须承认，这个平台上未必各个都是好人。一定有黑产试图洗白的，一定有灰帽骑墙两观的。去处理某些问题是应该的，但是把通道关了真的不好。

不能指望这个世界都是由好人，完人构成的，不能指望手持屠龙技的人靠操守和品德保卫我们的家园。但正向激励可以让那些人向好的方向前进，让有才能的人可以凭才能获得体面的收益，让骑墙的人选择走向光明。然而很遗憾，***选择了反面，也许某些机构认为他们处罚了坏人，结果，黑帽弹冠相庆，灰帽绝望沉沦，白帽噤然无声。

说了这么多，大家会觉得，和我有什么关系？

前几天比特币为什么暴跌？点到为止吧。

其实企业信息安全防御还有一个重要的工作，是内部的安全培训，业内有个说法，入侵企业最好的办法是搞定老板的小秘，信息价值高，安全意识差，很容易中招，一旦中招，可以快速渗入内网，并且获得大量有价值信息，乃至以高管甚至老板名义散播木马病毒导致全面入侵。

信息安全对于企业而言，不只是技术的事情，而是全员的事情，旧文有提，不再赘述。