信息安全藍(lán)海，怎么入行

楊玄章

大家對(duì)信息安全有了基礎(chǔ)認(rèn)知后，

可能有的同學(xué)還在將信將疑：

不是IT專(zhuān)業(yè)出身，沒(méi)有很強(qiáng)的代碼和IT運(yùn)維基礎(chǔ)，

我該怎么做，我真的能做好么？

信息安全對(duì)手：黑客

曾幾何時(shí)，那些互聯(lián)網(wǎng)上的黑客給人的感覺(jué)就是閑（吃）著（飽）沒(méi)（了）事（撐） 干（的）的一些技術(shù)高手。早期的中國(guó)黑客是讀翻譯書(shū)本長(zhǎng)大的，他們通過(guò)學(xué)習(xí)了大牛黑客的著作，嘗試著練習(xí)黑客技術(shù)。在那個(gè)全中國(guó)的IT和互聯(lián)網(wǎng)都剛剛起步的年代，很多系統(tǒng)管理員對(duì)于這方面的知識(shí)都是非常有限的。所以，我國(guó)的“小黑客”們雖然攻擊手法和擦除痕跡（俗稱(chēng)擦腳?。┒歼€不是很高超，但也還是“屢有斬獲”的。那時(shí)候，剛剛成長(zhǎng)起來(lái)的中國(guó)黑客大多還是學(xué)生，往往不會(huì)做壞事。他們中很多人也只是想做點(diǎn)什么向自己心中的女神“炫技”，或者偷偷潛入到教務(wù)處的系統(tǒng)里，把自己不及格的成績(jī)改掉。

時(shí)至今日，信息安全顧問(wèn)們的對(duì)手已經(jīng)沒(méi)這么簡(jiǎn)單了。

最新Verizon數(shù)據(jù)泄露報(bào)告（DBIR）的數(shù)字顯示，在大部分領(lǐng)域，全球信息安全攻擊者當(dāng)中，70%以上已經(jīng)是有組織有地位的犯罪團(tuán)伙了。他們收費(fèi)不菲，全世界范圍內(nèi)能雇得起他們的客戶(hù)往往非富即貴。他們中的很多人已經(jīng)不是那種不修邊幅、有點(diǎn)內(nèi)向、彬彬有禮的極客形象了，而是正兒八經(jīng)商人的樣子，身著名牌西裝，坐在私人會(huì)所或者頂級(jí)酒店的酒廊里面，和他們的客戶(hù)談價(jià)錢(qián)。他們中的一些人可能還是暗網(wǎng)中的大賣(mài)家，操縱著一些黑暗的利益集團(tuán)。

在這種形勢(shì)下，這樣的黑客團(tuán)伙做的事情也發(fā)生了很大的變化。如果我們翻看那些造成損失最大的信息安全事件，就會(huì)發(fā)現(xiàn)他們?cè)诠テ颇繕?biāo)系統(tǒng)之后，往往不是立刻開(kāi)始行動(dòng)，而是潛伏下來(lái)，尋找最合適的時(shí)機(jī)下手。他們的目標(biāo)已經(jīng)不是當(dāng)初的炫技或者表達(dá)訴求了，而是為了巨額的經(jīng)濟(jì)利益，甚至是不明的政治利益。

我們的優(yōu)勢(shì)

我們的對(duì)手畫(huà)像已經(jīng)描出來(lái)了，有些同學(xué)不禁心里打鼓了：面對(duì)這么多強(qiáng)大的對(duì)手，我們這樣的IT和信息安全的雙重菜鳥(niǎo)能是他們的對(duì)手么？和計(jì)算機(jī)專(zhuān)業(yè)的同學(xué)相比，我們真的有優(yōu)勢(shì)么？

結(jié)論自然是肯定的。上期我們談到了非IT專(zhuān)業(yè)的同學(xué)在各自專(zhuān)業(yè)領(lǐng)域里的理解和浸潤(rùn)本身就是一個(gè)很大的優(yōu)勢(shì)。在很多政府和企業(yè)的安全運(yùn)營(yíng)中心（SOC）中，都會(huì)有該組織所涉及業(yè)務(wù)領(lǐng)域的專(zhuān)家。他們既懂得組織中的核心業(yè)務(wù)領(lǐng)域的知識(shí)，又有信息安全的背景，我們把這樣的角色稱(chēng)為SME（Subject Matter Expert）。

因?yàn)镮T專(zhuān)業(yè)甚至是信息安全科班出身的人往往有一些自身的局限性。經(jīng)過(guò)多年的IT實(shí)踐，他們對(duì)某些著名的公司或者工具深信不疑。很多攻擊者就是利用這樣的習(xí)慣，展開(kāi)行動(dòng)的。下面就是兩個(gè)例子：

事件1.Putty中文管理工具被植入后門(mén)，竊取管理員SSH用戶(hù)名密碼

不了解Putty的同學(xué)可能要學(xué)習(xí)一下了，這是信息管理領(lǐng)域大名鼎鼎的免費(fèi)遠(yuǎn)程登陸工具，可以在Windows下通過(guò)安全通道SSH來(lái)登陸到任何一臺(tái)Linux或者Unix主機(jī)上展開(kāi)操作。習(xí)慣用Windows客戶(hù)端的程序員們最喜歡它了。

原本Putty英文版是沒(méi)什么問(wèn)題的，有不少?lài)?guó)內(nèi)的熱心腸把Putty的界面漢化后，免費(fèi)給大家使用，不過(guò)這當(dāng)中也混雜了壞人。2012年，攻擊者漢化了一版Putty，在里面植入了自己的后門(mén)。發(fā)布后，他購(gòu)買(mǎi)了相關(guān)的關(guān)鍵字在百度上的搜索排位，將自己注冊(cè)的域名在網(wǎng)站上進(jìn)行推廣。幾步之后，就把自己的這個(gè)版本“洗”成正統(tǒng)中文Putty了。無(wú)數(shù)IT專(zhuān)業(yè)人士就這樣中招了，在他們下載使用之后，攻擊者通過(guò)這個(gè)后門(mén)竊取管理員所輸入的SSH用戶(hù)名與口令，并將其發(fā)送至指定服務(wù)器上。

事件2.XcodeGhost蘋(píng)果開(kāi)發(fā)者工具被捆綁惡意代碼

說(shuō)起Xcode來(lái)，蘋(píng)果MAC和iOS平臺(tái)上的開(kāi)發(fā)者一定不陌生，這個(gè)蘋(píng)果公司發(fā)布的開(kāi)發(fā)工具是非常流行的。然而，Xcode比較大，蘋(píng)果又沒(méi)在中國(guó)大陸放鏡像，所以中國(guó)的開(kāi)發(fā)者們下載Xcode往往很麻煩也很慢。2015年中旬，某個(gè)惡意代碼制造者通過(guò)在開(kāi)發(fā)者論壇，打著“方便下載”的旗號(hào)，散布捆綁過(guò)病毒的Xcode 安裝包XcodeGhost，使得中國(guó)的蘋(píng)果開(kāi)發(fā)者們?cè)谶@個(gè)工具上編譯出來(lái)的蘋(píng)果App 被注入第三方的惡意代碼，向指定網(wǎng)站上傳用戶(hù)數(shù)據(jù)。

從上面這兩個(gè)例子中可以看出，科班出身的IT大拿們也不是無(wú)懈可擊。攻擊者利用他們一些先入為主的使用習(xí)慣來(lái)制造漏洞，很輕易地就制造了大面積的信息安全攻擊。其他專(zhuān)業(yè)的同學(xué)們反而沒(méi)有這樣的習(xí)慣，也就不會(huì)有這樣的風(fēng)險(xiǎn)了。

另外，在信息安全防護(hù)的框架中，管理流程也是很重要的一環(huán)。很多科班出身的人往往很重視技術(shù)，卻對(duì)安全流程嗤之以鼻。非IT出身的同學(xué)們反而沒(méi)有這個(gè)問(wèn)題，他們更加中立，更容易遵循安全管理流程，更容易扮演好信息安全顧問(wèn)的角色。

要入行，該學(xué)習(xí)什么？

上面提到，現(xiàn)如今最流行的安全攻擊已經(jīng)不是簡(jiǎn)單的炫技和搞小破壞了，而是更有組織有計(jì)劃的長(zhǎng)期攻擊行為。在信息安全領(lǐng)域，這類(lèi)破壞力最強(qiáng)最難防控的安全威脅被稱(chēng)為APT（Advanced Persistent Threat）。APT背后的攻擊者往往目的性很強(qiáng)也非常有耐心，他們滲透到組織內(nèi)部后，將惡意代碼和軟件植入IT系統(tǒng)中的關(guān)鍵環(huán)節(jié)。在時(shí)機(jī)不成熟時(shí)，他們往往在組織內(nèi)部潛伏下來(lái)，不動(dòng)聲色地觀察周邊的情況及在組織內(nèi)部傳播，并周期性地匯報(bào)給組織外部的攻擊網(wǎng)絡(luò)。一旦他們發(fā)現(xiàn)想要的利益出現(xiàn)時(shí)，才展開(kāi)大規(guī)模攻擊。

防控這樣的APT是非常非常難的，這不是一兩個(gè)IT高手或者信息安全大拿可以輕松搞定的。頂尖信息安全機(jī)構(gòu)里的專(zhuān)家們針對(duì)這種情況，重新定義了信息安全框架。在這樣的框架中，人和技術(shù)仍然是重要因素，與此同時(shí)信息安全管理流程被擺在了很高的地位了。

在掌握一些信息安全的基礎(chǔ)知識(shí)之后，學(xué)習(xí)信息安全管理體系和流程是非常有必要的。在這個(gè)領(lǐng)域里，ISO/IEC 27001及相關(guān)系列標(biāo)準(zhǔn)是應(yīng)用最廣泛的一個(gè)。這里面涵蓋大量的安全風(fēng)險(xiǎn)識(shí)別、評(píng)估、監(jiān)控、處理、審計(jì)等多方面的內(nèi)容。從信息安全管理的角度來(lái)重新定義信息安全防護(hù)，強(qiáng)化管理流程。對(duì)于非IT專(zhuān)業(yè)的同學(xué)來(lái)說(shuō)，在流程上發(fā)力相對(duì)容易一些，而且可以取長(zhǎng)補(bǔ)短，從一開(kāi)始就建立對(duì)全面信息安全框架的認(rèn)知。然而，IT專(zhuān)業(yè)的學(xué)生很多有根深蒂固的技術(shù)思維，有些人甚至?xí)鲆暪芾砹鞒?。所以，這一點(diǎn)對(duì)于非信息安全科班出身的同學(xué)來(lái)說(shuō)，是一個(gè)突破口。

找到了突破口，不等于真的不需要學(xué)習(xí)信息安全的基本技術(shù)。相反，如果要邁出第一步，找到一份實(shí)習(xí)或者工作，還是需要全面了解網(wǎng)絡(luò)安全、WEB安全和主機(jī)安全方面的多種攻擊方式原理和主流防控手段。這里面的內(nèi)容很多，很難一下子吃透。而且，隨著安全設(shè)備和軟件廠商的進(jìn)步，很多安全威脅已經(jīng)不那么有威力了。但是全面的學(xué)習(xí)還是有助于培養(yǎng)在信息安全方面的感覺(jué)，對(duì)于通過(guò)面試還是非常有幫助的。

在信息安全領(lǐng)域要有所建樹(shù)，非一日之功，需要不斷地學(xué)習(xí)和實(shí)踐。盡管非IT專(zhuān)業(yè)出身的畢業(yè)生有機(jī)會(huì)隨著這股浪潮發(fā)揮自己的優(yōu)勢(shì)進(jìn)入這個(gè)領(lǐng)域，但是要在該領(lǐng)域走下去，仍然要不斷充實(shí)自己的安全知識(shí)，動(dòng)手練習(xí)安全防控技能，熟練掌握各種安全廠商的產(chǎn)品和工具，不斷觀察各種惡意代碼的樣本，培養(yǎng)安全嗅覺(jué)……感謝偉大的互聯(lián)網(wǎng)，這些內(nèi)容都可以在網(wǎng)絡(luò)上找到，剩下的就看個(gè)人的修行了。

責(zé)任編輯：方丹敏

對(duì)于非IT專(zhuān)業(yè)的同學(xué)來(lái)說(shuō)，在流程上發(fā)力相對(duì)容易一些，而且可以取長(zhǎng)補(bǔ)短，從一開(kāi)始就建立對(duì)全面信息安全框架的認(rèn)知。endprint