安全常常给人一种神秘感,甚至有很多从业者通过保持神秘来彰显自己的能力。人类天生对未知充满崇拜,就像魔术一样,眼前发生的惊奇让人感到震撼。直到揭开真相,才发现原来并没有想象中的那么复杂。
回想起自己的安全之路,如果说成长最快的一段经历,莫过于当年的乌云漏洞平台。那时,在平台上我可以看白帽子提交的各个企业真实存在的漏洞,他们凭借奇思妙想把看似毫无关联的风险点串联起来,成功地实现了对各大企业内网的渗透,轻松访问各种敏感数据。那时的我不断地从这些公开的内容中学习了大量攻击技巧,能力得到快速提升。自己也实现了在网络世界中随意穿梭,像一个普通人拥有了超能力。
后来从白帽子一路见证电商公司从独角兽到上市的安全历程,再到银行见证了金融安全,再到头部支付机构见识了高等级高强度对抗。过程中,大部分事情没有学习的地方,都是自己摸索出来的,走了很多弯路,交了昂贵的学费。在攻防不对等以及攻防技术不断升级,叠加多数企业只有有限资源进行安全建设,因此获得历史安全经验和最新的安全理念/架构/技术和实践至关重要。但这并不容易实现,书籍的滞后性、会议分享的不深入、文章的单点,头部安全团队闭口不谈。
同时,工作这么多年,你问我在网络空间安全注1上沉淀了什么经验?我很难回答清楚。
我的经验告诉我,靠隐藏安全怎么做的并不能提升安全水位,只有不断了解攻击和防守的信息并持续迭代创新才能始终立于不败之地。当我意识到这个问题后,我希望做出一些改变。把握脑海中的知识经验变成文字,更加体系结构化的去整理和思考这些经验,并通过自己的思维和语言通俗易懂写出来,并不断完善补充,保持内容始终最新可用,就像是作为一个园丁维护自己的数字花园。这就是本文《高等级网络空间安全体系》注2的初衷,我想通过开放、互动交流以及快速迭代优化来让我们立于不败之地。
如果对正在看本文的你有一点启示,我将不胜荣幸。
这就是本文初衷,希望能为网络空间安全行业做一些微小的贡献。
Feei
于2018年12月
深圳TSRC峰会回杭州的飞机上
志存高遠