安在引言
ISG,全名為中國信息安全技能競賽,從2009年第一屆舉辦至今,迎來了第十個年頭。
值此十週年之際,安在新媒體特邀專訪了十位曾經和ISG共同成長髮展的專家、選手與合作伙伴代表,希望以此作為回顧系列,向ISG十週年致敬。
來到安恆,推開安恆信息上海分公司總經理顏新興辦公室門,笑意如風,讓筆者下意識停住了腳步。
“這不就是活生生的一尊彌勒佛麼?”
筆者心中冒出這樣一句話,因為顏新興笑起來的模樣,像極了中國傳統文化中的彌勒佛。
筆者這麼說,倒不是覺得顏新興身材“豐滿”,而是他一改筆者腦海中總經理都是神色鐵青、滿臉嚴肅的冷酷形象,“慈眉善目,笑容可掬”,大抵就是這般氣質。
彼此坐定,略作寒暄,便進入正題。
在國內網絡安全領域浪裡淘沙17年
筆者很自然地就從顏新興怎麼入行開始談起。
顏新興謙虛地笑了笑,說學的是計算機專業,1997年就接觸了互聯網,最開始接觸網絡安全,還只是因為想保護自己的ICQ帳號,幫朋友找回下QQ等,從中收穫了一些樂趣,勉強算是一個愛好者。
顏新興似笑非笑的模樣被筆者抓拍了下來
顏新興入行較早,2000年他就加入了國內早期的一個商業化組織,叫綠色兵團,現在叫綠盟科技。
“像我們早期接觸信息安全,主要靠個人興趣,以及朋友圈的影響。Netcc,Deepin,袁哥(本名“袁仁廣”,別名“大兔子”)等都屬於大名鼎鼎的第一代黑客,我算是他們的粉絲。我去綠盟也是被他們吸引去的,因為當時國內安全圈人才匱乏,大家都會互相推薦。”
所以,顏新興成了綠盟很早的一批員工,幹過技術也幹過銷售。2002年,因工作需要,他從北京調到了上海,之後就一直在上海發展。
提到綠盟,顏新興似乎多了很多感觸。他在綠盟一共6年,切身感受了國內網絡安全行業早期的發展情況。因為綠盟2000年剛一成立,就站在網絡安全的制高點。“它成立的規格很高,雲集了當時國內頂尖的技術人員。”
此外,綠盟成立的時機也比較好,剛好趕上互聯網熱。1999年籌備階段就談好了融資,確認了首期投資1000多萬。筆者頗為一驚,那個時候錢還比較值錢,1000多萬絕對算得上很高水準的商業投資。
正因綠盟起點高,發展也就很快,當時直接參與了各個行業網絡安全,比如一些運營商,包括騰訊之類的大型互聯網公司,都是他們的客戶。
顏新興說,那時網絡安全沒有特別多的攻防概念,技術領域還比較狹窄,以操作系統和網絡層的一些攻防為主,不像現在,應用安全、移動安全、物聯網安全、大數據安全等百花齊放,攻擊手段也層出不窮,尤其是黑產的出現,從根本上使安全行業變成一個影響國家、社會、個人安全的關鍵領域。
那時安全非常小眾。企業最常用的安全手段,就是買個防火牆,劃分個安全域,做些訪問策略等。互聯網剛剛起步時,應用也不豐富,也就是聊聊天,收收郵件,看看網頁,安全的需求也少,不受重視。
顏新興在安恆已有九年,加上在綠盟六年,其間兩年和朋友創業一起做大成天下(也是安全大神冰河Quake等創建的技術型安全公司,現已轉型做互聯網),掐指一算,他如今已有17年安全領域工作經驗。
“人生有多少個17年,能活到85歲,也就5個17年吧。”
提到年數,顏新興的神色多了些許慨嘆,好似原本在網絡安全沙灘上奔跑的少年,跑著跑著低頭一看,當年的小顏已經變成大家口中的老顏。
那一刻,筆者又真切感受到,顏新興宛若在中國互聯網浪潮裡中流擊水的老兵,見識過湍急之處,也從未放棄過心中的執著,始終堅守信念,始終迎難而上。
那些年網絡安全圈子比較小
顏新興說,當年互聯網圈子很小,早期安全也沒有像現在這樣,影響各行各業。當時整個國內網絡安全界,可能就那麼幾十個人。安全很小眾,網絡安全界以純草根為主。所以他們每年聚會的話,大部分老人全都認識。
談到這裡,顏新興雙目泛出別樣神采,他說ISG競賽現在可能有上百支隊伍,有數千名參與者。此外還有他們最近剛開的西湖論劍,都是動輒幾百人幾千人的規模,盛況遠勝當年。
認真工作時的顏新興還是比較嚴肅的
真正促成顏新興進入網絡安全行業的,是2000年天極網在北京京郊的一家賓館裡舉辦了全國首屆黑客線下聚會,與會者100多人,基本上涵蓋了其時國內主要的黑客力量。
當時評選出了九大黑客,他們到現在都還比較知名,像袁哥,江海客(原名肖新光,安天實驗室(AntiyLabs)首席技術架構師,主要創始人之一)。
此外還有顏新興身邊的好友Netcc。Netcc以同時控制國外1000多個網站的赫赫戰功,名列九大黑客之一,Netcc在當時也有一個響亮的名號——“永遠學習-Netcc”。
顏新興特別感謝Netcc,“是他帶我入的行”,由於行業發展實在太慢,Netcc很早就轉行了,顏新興為其感到惋惜。其實太多有天賦的優秀安全人員,在早期由於生活壓力,選擇放棄了這個行業。
談及對當下網絡行業的看法,顏新興認為,現在是網絡安全的黃金時代。以騰訊、阿里等為代表的互聯網公司的興起,徹底的改變了整個行業。
袁哥,TK(本名“於暘”,在國內黑客界被尊稱為“TK教主”)等都去了騰訊,現在最牛的安全人才都紛紛流向互聯網或者甲方公司,大型SRC(安全應急中心)雨後春筍般紛紛湧現,CSO(首席安全官)、CSR(首席安全研究員)年薪百萬、千萬,安全人才已經成為最搶手的資源。
甚至,網絡安全才剛剛成為一級學科,就已經是最熱門的專業。這為行業進一步發展提供了足夠的動力。
沒有網絡安全就沒有國家安全,同樣,中國的信息化和互聯網能走多遠,取決於安全行業能保障到多遠。
ISG是國內獨具特色的安全盛會
談到ISG競賽,顏新興挺直了身軀,身體裡似乎多了一股勁。
顏新興說,ISG創辦於2009年,風格非常鮮明,實際上是以甲方用戶單位為核心的安全盛會,在國內應該是獨一份。與其他安全活動,如上海極捧技術大會,受眾人群並不一樣。
隨後,顏新興目光上揚,又陷入了回憶之中。
“創辦ISG的想法,主要原因是當時我跟robin(王懷賓,ISG競賽組委會負責人)以及強哥(王強,上海網絡安全行業協會秘書長)之間的一個溝通,當時強哥大力支持創辦ISG。我和robin2004年就認識了,當時robin在做安言,從事企業管理、安全諮詢管理方面的業務。”
“當時業界有個說法,叫‘三分技術、七分管理’。但在我看來,整個安全圈其實是重技術輕管理,所謂‘三分技術、七分管理’在當時其實只是一句口號,尤其在國內,沒有真正實現過。實際上是‘八分技術、兩分管理’,甚至是沒有管理。”
顏新興認為,大量早期安全技術從業人員,可以理解成是掌握了一定安全技術、攻防技術的黑客。他們有部分進入到安全廠商,變成安全工程師,還有一部分去了甲方,比如現在看到的安全經理、安全維護人員。這些人大部分都不太重視管理,因為他們出身都比較草根。
2009年時,國內外安全競賽都存在一個問題,基本上都是技術性對抗為主,像國外的defcon,國內的ICTF,以及其他CTF也層出不窮,實際上就是技術人員挖漏洞的競技平臺。
“當時我們認為,整個業界缺乏一種以甲方為主的安全賽事。很多賽事是怎麼攻擊別人,對甲方而言,怎麼攻擊別人不是他們思考的重點,也不是他們面臨的主要問題,更多的是我怎麼防禦好別人的攻擊,當時國內外沒什麼關注與重視。”
“所以我和robin商量下來,我們覺得非常有必要推出ISG競賽,尤其是在上海,上海重點單位、重點客戶比較多,上海互聯網和網絡安全都走在國內前列。此外,當時很多甲方單位也有很多這樣的苦楚:怎樣通過一個客觀方式,來檢驗我的網絡安全建設的一些成就和水平。”
最近這幾年,很多企業在搞SRC,安全也開始進入一種開放式狀態。當時是想把甲方組織起來,互相拉練一下,看看同行安全水平,這也是ISG的重要定位與貢獻。
顏新興說,他身為網絡安全人員,能夠體會到網安維護者的不易。在單位和企業中,如果網絡安全不出事,那就是應該的,領導根本看不見,不受重視。一旦出了點事,肯定是你工作沒做好。
所以到了後面,業內安全人員都有一個心得,就是“練內功、拼人品”,因為有一些極端的現象——這個單位也很重視網絡安全,安全人員也在做了大量工作,但是由於剛好中了木馬病毒,或被人攻擊,把網頁改掉,很可能他之前做的所有成績都被徹底抹殺。但也可能什麼事情也沒幹,但人品好,一直沒出事。
以結果為導向,只看問題表象,不能看到實質問題。
所以,ISG的存在,就是給甲方網絡安全建設水平一個更綜合、更客觀的評估。簡單來講,就是一些做得好的、有水平的甲方安全人員,得到來自於第三方的鑑定與肯定,產生一個牆內開花牆外香的效果。
另外,在安全領域做出成績、做出理念的甲方,能夠把他們的建設經驗,通過ISG舞臺,分享給更多同行。
顏新興認為,像黑客、黑產也形成了聯盟和組織,他們之間的攻擊手段信息交流非常迅速。而之前甲方安全部門,往往是在後方默默無聞、低調支撐的部門。安全一味低調也不是辦法,未來甲方安全防護經驗,也要以某種形式展現出來。
顏新興覺得,從技術上來講,網絡安全沒有行業劃分。但從實踐上來講,不同行業面臨的安全問題大不相同,銀行、證券、醫院的網絡安全狀況迥異,用一把標尺去衡量沒有意義。所以後來ISG分成幾個行業競賽,也是基於這個原因。
還有一個重要原因,顏新興認為ISG具有獨創性。現在也出現不少以甲方為主的安全競賽,比如電力行業、金融行業,但這些都是行業內部的競賽,不像ISG是跨行業、多層次的碰撞,更加反映出ISG的稀缺屬性。
廠商與ISG是共同成長的關係
顏新興說,安恆從2009年就開始支持ISG競賽,他本人也是ISG安全組委會專家成員。ISG每年競賽形式,如何組織,他們都會建言獻策。
說起來也頗有緣分,安恆也是2009年在上海成立。ISG早期,不像現在有強大的專家團隊,那時安恆對ISG提供了技術支撐、資金贊助、組織競賽隊伍,早期有幾屆競賽,試題、培訓都是安恆做的。那時是誰有能力做這些事情,誰就去做。
顏新興說,支持ISG對安恆回報也很大。因為ISG參與對象是安恆最重要的一部分客戶群,包括政府單位、銀行、證劵、大型企業集團。
參與ISG的人,都是在甲方直接負責安全的人員,他們的思考與水平,直接反應甲方當前的安全狀態。另外,他們平時跟客戶交流,就是甲方和乙方的交流,只能看到客戶的一個狀態。
但通過ISG平臺,就可以和客戶進行平等交流。無論是組織方、技術參與方、參賽隊伍、支撐單位,大家都是在相對平等的位置。ISG競賽中,不管是寫論文,還是辯論賽,客戶都會具體描述他們的安全工作。這樣的話,安恆進一步為客戶提供安全服務的時候,針對性會更強。
因與ISG結緣,安恆這些年獲獎頗豐,這裡只是冰山一角
ISG每年舉辦一次,隨著競賽常態化,許多拿過競賽一等獎的單位,如上海移動、上海電信,如今更多的是把ISG看成是對自己安全人才培養的一種有效方式。因為不可避免出現人才流動,一些新人加入,通過ISG競賽,能夠快速鑑定他的技術能力、安全水平。
顏新興說:“我一直把ISG看成公益活動,推動整個安全行業的意識、社會責任。我們也以此為理念,努力踐行。
事實上,ISG從起初得到安恆支持,隨著影響力的擴大,越來越多的安全企業開始支持ISG競賽,如連續最近兩年冠名ISG競賽的觀安,2016年的綠盟,2015年的360,2014年的中國信息安全認證中心等企業,它們都與ISG相輔相成,共同發展。
ISG的未來需要更鮮明的特色
ISG已經9屆,今年是第10屆,ISG需要回答一個新的問題——什麼是ISG的特色。
顏新興個人認為,ISG需要更鮮明地服務甲方安全團隊,要把ISG辦成國內甲方最認可的安全賽事。這個甲方概念,應該是包括政府、金融等各行各業的甲方,達成一個最大共識。
ISG的一大特色,就是強調企業全員安全意識教育,這是當前以及未來網絡安全的一塊短板。
ISG最開始強調“三分技術、七分管理”,這是比較老的觀念,經過多年實踐,技術派和管理派又有了一些新的認識,或者說是共識,就是“意識決定安全”。
意識決定安全是什麼?是在做安全設計的時候,腦袋裡要有安全攻防意識;設計一款產品的時候,要站到攻擊者的角度來思考。
所以,ISG已經開始面向企業輸出安全意識教育。如果不是通過ISG的話,你就可能不知道安全不只是幾個黑客在直接攻防。安全關乎每一個人,一個企業不只是請幾個頂尖黑客專家,就可以保證安全。很可能你門口的保安,他也得有一個基本的安全意識。
顏新興覺得ISG最大的進步,就是從很小眾化的技術攻防,到“三分技術、七分管理”,到木桶原理,再到如今的“意識決定安全”。
隨著國內安全市場的發展,形勢頗為嚴峻,光上海就有很多類型的安全競賽,更別說全國以及全球性的安全賽事。所以顏新興認為,需要做出ISG的最大品牌。
“我記得比較深刻的,robin經常跟我說,意識決定安全,是ISG這麼多年實踐很突出的成果,也全員意識安全、效率和競賽的成果。在企業安全方面,要把ISG做成首屈一指的賽事;在企業安全意識方面,ISG要成為最大的輸出平臺。”
主辦方總結
王懷賓
ISG競賽組委會負責人
ISG競賽不僅是面向用戶單位的競技交流平臺,也是產業合作對接的窗口,ISG發展離不開安全業界同仁的支持與幫助。ISG的合作伙伴包括像中國信息安全認證中心等專業機構;眾人、觀安、安恆、綠盟、360等安全企業;以及0ops、freebuf、看雪論壇等社群組織。
僅以此文致謝歷年來關心支持ISG發展的合作伙伴!掛一漏萬,敬請諒解。
閱讀更多 安在信息安全新媒體 的文章
