如今,已经进入万物互联时代,形式不受限、辐射范围广、影响领域深的网络攻击,急剧扩张并疯狂肆虐,如何应对网络威胁已成为关乎国防安全的重要议题。与此同时,攻防手段也变得更加智能、复杂。
然而,面对与日俱增的安全风险,网络安全行业人才储备却略显不足,既有供不应求的原因,也同行业人才培养模式相关,亟待破局。
知道创宇主办的第十届KCon黑客大会上,数据猿采访到了知道创宇CSO周景平,听他讲述网络安全行业内涵更迭、人才培养以及监管之下的新变局。
知道创宇CSO周景平
周景平(黑哥/Superhei),知道创宇首席安全官、404安全研究体系总负责人,业界“传奇黑客”、“漏洞之王”。曾多次带领404团队发现并协助修复包括微软、苹果、腾讯、阿里等国内外公司多个安全漏洞,并多次入选微软MSRC全球年度TOP100感谢名单。
成立于2007年的知道创宇,是一家以AI+安全大数据为底层能力,提供云防御、云监测、云测绘产品与服务的网络安全公司。作为国内较早提出云监测与云防御理念的网络安全公司之一,知道创宇经过多年的积累,利用在云计算及大数据处理方面的行业先进能力,为客户提供具备国际先进安全技术标准的可视化解决方案。
风险围城,聚焦安全核心价值
文艺复兴时期的代表人物阿尔伯蒂有一句名言:任何一种艺术,不管是否重要,如果你想要在该领域出类拔萃,就必须全身心投入。而在周景平眼里,黑客技术并不亚于艺术。
黑客以动机划分,一类是精通网络软硬件技术,聚焦操作系统和应用软件的漏洞的白帽黑客,另一类是以破坏特定系统为目标,以窃取信息、破坏系统资源为目的的黑帽黑客。
显然,周景平属于前者。在他眼里,安全更多作为计算机业务的属性,随着计算机业务的发展而升级迭代:“以前我们对互联网的印象很可能就停留在网站层面,但现在传统互联网已经发展过渡到了移动互联时代,正朝向万物互联时代发展,所以网络安全的攻击面也在扩大,安全风险也越来越多。”
同时,周景平告诉数据猿,当下的网络世界同个人信息高度绑定,个人身份也已从现实世界投射到网络空间里,从而为网络安全提出了新的考验。
“现实生活的人绝大部分数据与信息都会上传到互联网上,从而形成一个电子化人物形象,好比现实中的分身。所以对个体而言,安全风险也在拓展,电信诈骗、敲诈勒索这一类问题层出不穷。”周景平介绍到。
周景平所言不假,据《2020中国网络诚信发展报告》显示,仅有 14.8%的被调查者从未遭遇过个人信息泄露,这些信息隐秘地流向灰黑产业,通过QQ群、论坛、暗网等渠道进行交易。
而据中国银联2018年大数据统计分析显示,超过90%的电信诈骗是由于个人信息泄露引致,足以说明当下与日俱增的网络安全风险。
然而,受互联网攻击面持续扩大影响的远不止个体。据环球网消息,美国、印度、日本等在中国周边构筑网络安全的包围圈,恶意针对我国开展网络攻击和溯源活动,窃取我国要害部门的敏感信息,使我国面临的周边网络安全风险急剧增加。
“对于国家而言,随着信息化进程的推进,政务系统、基础设施都将接入网络,网络安全问题自然上升到了国家层面,甚至关乎国家安全。”周景平解释道。
正所谓兵来将挡水来土掩,面对日益严重的网络安全局势,迎战成为了唯一的选择。然而,新兵上阵,难免会缺乏经验,成长亦然需要时间。
对此,周景平谈到:“过去,我们网络安全做设备就像是闭门造车,客户购买设备后一是不知如何使用,二是缺乏对效果的回溯,导致整个过程仿佛只是机械式地完成任务一般,很难真正起到安全保障的价值。”
上诉乱象,只是暂时的。周景平告诉我们,随着国家相关政策的更新,对于网络安全事件的考核、回溯机制正有序建立,正引领产业朝向积极面进击。
“一旦出现安全事故,便很可能影响业务与流动,所以大家渐渐产生了共同点,客户需求得以细化,达成一致的点也越来越多了。在此过程中,我们按需求也实实在在地解决了许多问题,真正覆盖了用户的核心痛点,在我看来这是我们做安全技术研究的核心价值。”周景平感慨道。
值得注意的是,“漏洞之王”黑哥并非正统“网安技术”出身,黑哥周景平曾是一名有5年多从业经验的外科医生,后出于这份对技术研究的热爱,崛起于网安江湖。虽说这样的故事令人津津乐道,但似乎也折射出网络安全领域人才难寻的问题。
人才缺口,构建产学研合作体系
据BOSS直聘数据,目前我国网络安全专业人才缺口预估在50万以上,但每年网络安全相关专业的高校毕业生规模仅2万余人,整体人才缺口较大。
对此,周景平谈到:“在我们那个时代,都没有网络安全这个学科,所以大家都出身草莽。现在好了,很多大学都开设了网络安全相关学科,为我们培养了大量网安人才。但人才培养始终存在时间,不是一朝一夕就能完成的,有时甚至人才培养还跟不上业务发展速度,所以实际人才缺口还是非常大的。”
正如周景平所言,网络安全行业对于个人技术能力要求较高,尤其是部分核心技术研发岗位,更是要求人才具备丰富实战攻防经验。因此,资深人才短缺,新人培养和留育难度大逐渐成为了网络安全行业普遍面临的人才挑战。
对此,周景平表示:“目前行业对人才的高要求直接反映在了平均薪资待遇上,网络安全场景往往会高于普通的IT开发场景,如果人人都可以的话,待遇也就不会那么好了。”
不过,周景平也坦言,尽管人才缺口仍在,但一切却朝着好的方向发展。“随着待遇的逐渐提升以及国家层面的重视,越来越多的年轻人将目光投向了网络安全行业。而现在的年轻人不比我们当年,技术要扎实多了,也懂得如何解决问题,出来后可以迅速地融入工业界。”周景平谈道。
而形势向好之下,产学研用成为了吸纳人才的新命题。周景平告诉数据猿,他们这些网络安全团队亦或是企业其实一直想与学术界,尤其是高校资源形成比较好的循环,也有同一些高校立建立有合作机制,为其储备了人才。
“我们摸爬滚打这么多年也算是建立起了些影响力,而一些小伙子在学生阶段可能就对我们比较向往,愿意到我们公司来学习工作,创造价值。目前,许多小伙伴都是从学校毕业后就直接到我们这边实习,这已经形成了一个相对成熟的人才培养流程。”周景平介绍道。
除了从高校汲取人才,另一方面,知道创宇也在向高校传递技术与数据积淀:“部分高校能够通过我们这些工具与数据去做研究,进而产生出颇具影响力的论文也好,研究成果也罢,对我们双方都是有价值的。我们也寄希望于同各大高校建立更强的沟通与联系,为高校提供技术支持。”
不过,一方是企业,一方是高校,双方的诉求很难一致,利益的冲突自然也无法避免。
“有时候企业与企业间的合作,双方往往会互设门槛,而同高校合作虽然利益分配问题要弱化很多,但仍旧客观存在,从而导致一些项目难以落地,毕竟抱有太强的功利性,味道可能就不一样了。”周景平坦言:
“因此,我们现在的高校合作计划就是广撒网,姜太公钓鱼愿者上钩,希望能寻求一些真正有价值的合作,对碰出新的火花。“
监管落地,以积极面拥抱合规
2021年9月1日,《中华人民共和国数据安全法》施行;11日1日,《个人信息保护法》施行,围绕数据的暗战也即将走向终局,加强个人信息、数据安全保护和监督管理制度建设也成为数字经济下一阶段的新命题。
而对于网络安全行业而言,这既是机遇,亦是挑战。
对此,周景平表示,监管趋严是走向规范化的必然,也是社会发展与国家网络安全发展的必然结果,而对于网络安全行业而言,影响也在所难免。
“《数据安全法》与《个人信息保护法》要求各企业遵循相关安全标准,这实际上是刺激了整个安全市场的成长。因为在此之前并没有相关法规限制,现在企业要补足完善这一方面势必会需要技术支持,得益于此,安全市场也将在无形当中扩大。”
不过,相较于对行业的利好,周景平更关注趋严的监管对于行业的掣肘。
周景平告诉数据猿:“对安全行业而言,政策带来的负面影响虽不可避免,但也不必过度焦虑。在以发现漏洞为例,法律法规层面早有规范,只是将过去民间约定俗成的流程上升到官方理论要求,安全从业者只要遵循规范,就不必担心违法风险。”
正如其所言,《数据安全法》里明确指出了国家支持数据开发利用和数据安全技术研究,并鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系,对安全行业报以肯定态度。
因此,规范化流程成为了安全行业合规的关键,尤其是对新人而言。
“监管落地,我们这批人其实并没有特别紧张,因为从过去到现在我们都是合规的。但某些刚入门的同学很有可能不太了解相关细则,使用某些学习成本相对较低但合规风险较高的技术,从而导致很大的影响。”
除此之外,周景平也强调:“网络安全技术实战性较强,唯有实践才能提升技术水平,但在监管的压力之下,围绕技术本身的讨论、分析氛围很可能将受影响,因为大家都会有所顾虑,有成果也不敢撰写、发表出来。这与其说是束缚,不如说是规范,国家层面制定法律法规自然有其出发点,顺应法规、调整思路自是必然。”
话虽如此,但作为培养核心安全研究团队的知道创宇,也在针对现行法规中未加规范之处向国家有关部门提交意见,帮助法规补全完善,而这,也体现了知道创宇“不忘初心,为国为民”的企业内涵。
成立之初,知道创宇就以成就更高社会价值为目标,安全不仅要为国,也要为民。为此,知道创宇建立了全方位安全保障体系,不仅为政府及企业提供先进的网络安全解决方案,捍卫国家网络核心资源安全、保护企业网上业务安全,同时也致力于网民消费安全保障,不断加大力度打击电信网络诈骗,为国家重大活动提供网络安全保障。
文章来源:威化化 / 数据猿