安在引言
ISG,全名为中国信息安全技能竞赛,从2009年第一届举办至今,迎来了第十个年头。
值此十周年之际,安在新媒体特邀专访了十位曾经和ISG共同成长发展的专家、选手与合作伙伴代表,希望以此作为回顾系列,向ISG十周年致敬。
来到安恒,推开安恒信息上海分公司总经理颜新兴办公室门,笑意如风,让笔者下意识停住了脚步。
“这不就是活生生的一尊弥勒佛么?”
笔者心中冒出这样一句话,因为颜新兴笑起来的模样,像极了中国传统文化中的弥勒佛。
笔者这么说,倒不是觉得颜新兴身材“丰满”,而是他一改笔者脑海中总经理都是神色铁青、满脸严肃的冷酷形象,“慈眉善目,笑容可掬”,大抵就是这般气质。
彼此坐定,略作寒暄,便进入正题。
在国内网络安全领域浪里淘沙17年
笔者很自然地就从颜新兴怎么入行开始谈起。
颜新兴谦虚地笑了笑,说学的是计算机专业,1997年就接触了互联网,最开始接触网络安全,还只是因为想保护自己的ICQ帐号,帮朋友找回下QQ等,从中收获了一些乐趣,勉强算是一个爱好者。
颜新兴似笑非笑的模样被笔者抓拍了下来
颜新兴入行较早,2000年他就加入了国内早期的一个商业化组织,叫绿色兵团,现在叫绿盟科技。
“像我们早期接触信息安全,主要靠个人兴趣,以及朋友圈的影响。Netcc,Deepin,袁哥(本名“袁仁广”,别名“大兔子”)等都属于大名鼎鼎的第一代黑客,我算是他们的粉丝。我去绿盟也是被他们吸引去的,因为当时国内安全圈人才匮乏,大家都会互相推荐。”
所以,颜新兴成了绿盟很早的一批员工,干过技术也干过销售。2002年,因工作需要,他从北京调到了上海,之后就一直在上海发展。
提到绿盟,颜新兴似乎多了很多感触。他在绿盟一共6年,切身感受了国内网络安全行业早期的发展情况。因为绿盟2000年刚一成立,就站在网络安全的制高点。“它成立的规格很高,云集了当时国内顶尖的技术人员。”
此外,绿盟成立的时机也比较好,刚好赶上互联网热。1999年筹备阶段就谈好了融资,确认了首期投资1000多万。笔者颇为一惊,那个时候钱还比较值钱,1000多万绝对算得上很高水准的商业投资。
正因绿盟起点高,发展也就很快,当时直接参与了各个行业网络安全,比如一些运营商,包括腾讯之类的大型互联网公司,都是他们的客户。
颜新兴说,那时网络安全没有特别多的攻防概念,技术领域还比较狭窄,以操作系统和网络层的一些攻防为主,不像现在,应用安全、移动安全、物联网安全、大数据安全等百花齐放,攻击手段也层出不穷,尤其是黑产的出现,从根本上使安全行业变成一个影响国家、社会、个人安全的关键领域。
那时安全非常小众。企业最常用的安全手段,就是买个防火墙,划分个安全域,做些访问策略等。互联网刚刚起步时,应用也不丰富,也就是聊聊天,收收邮件,看看网页,安全的需求也少,不受重视。
颜新兴在安恒已有九年,加上在绿盟六年,其间两年和朋友创业一起做大成天下(也是安全大神冰河Quake等创建的技术型安全公司,现已转型做互联网),掐指一算,他如今已有17年安全领域工作经验。
“人生有多少个17年,能活到85岁,也就5个17年吧。”
提到年数,颜新兴的神色多了些许慨叹,好似原本在网络安全沙滩上奔跑的少年,跑着跑着低头一看,当年的小颜已经变成大家口中的老颜。
那一刻,笔者又真切感受到,颜新兴宛若在中国互联网浪潮里中流击水的老兵,见识过湍急之处,也从未放弃过心中的执着,始终坚守信念,始终迎难而上。
那些年网络安全圈子比较小
颜新兴说,当年互联网圈子很小,早期安全也没有像现在这样,影响各行各业。当时整个国内网络安全界,可能就那么几十个人。安全很小众,网络安全界以纯草根为主。所以他们每年聚会的话,大部分老人全都认识。
谈到这里,颜新兴双目泛出别样神采,他说ISG竞赛现在可能有上百支队伍,有数千名参与者。此外还有他们最近刚开的西湖论剑,都是动辄几百人几千人的规模,盛况远胜当年。
认真工作时的颜新兴还是比较严肃的
真正促成颜新兴进入网络安全行业的,是2000年天极网在北京京郊的一家宾馆里举办了全国首届黑客线下聚会,与会者100多人,基本上涵盖了其时国内主要的黑客力量。
当时评选出了九大黑客,他们到现在都还比较知名,像袁哥,江海客(原名肖新光,安天实验室(AntiyLabs)首席技术架构师,主要创始人之一)。
此外还有颜新兴身边的好友Netcc。Netcc以同时控制国外1000多个网站的赫赫战功,名列九大黑客之一,Netcc在当时也有一个响亮的名号——“永远学习-Netcc”。
颜新兴特别感谢Netcc,“是他带我入的行”,由于行业发展实在太慢,Netcc很早就转行了,颜新兴为其感到惋惜。其实太多有天赋的优秀安全人员,在早期由于生活压力,选择放弃了这个行业。
谈及对当下网络行业的看法,颜新兴认为,现在是网络安全的黄金时代。以腾讯、阿里等为代表的互联网公司的兴起,彻底的改变了整个行业。
袁哥,TK(本名“于旸”,在国内黑客界被尊称为“TK教主”)等都去了腾讯,现在最牛的安全人才都纷纷流向互联网或者甲方公司,大型SRC(安全应急中心)雨后春笋般纷纷涌现,CSO(首席安全官)、CSR(首席安全研究员)年薪百万、千万,安全人才已经成为最抢手的资源。
甚至,网络安全才刚刚成为一级学科,就已经是最热门的专业。这为行业进一步发展提供了足够的动力。
没有网络安全就没有国家安全,同样,中国的信息化和互联网能走多远,取决于安全行业能保障到多远。
ISG是国内独具特色的安全盛会
谈到ISG竞赛,颜新兴挺直了身躯,身体里似乎多了一股劲。
颜新兴说,ISG创办于2009年,风格非常鲜明,实际上是以甲方用户单位为核心的安全盛会,在国内应该是独一份。与其他安全活动,如上海极捧技术大会,受众人群并不一样。
随后,颜新兴目光上扬,又陷入了回忆之中。
“创办ISG的想法,主要原因是当时我跟robin(王怀宾,ISG竞赛组委会负责人)以及强哥(王强,上海网络安全行业协会秘书长)之间的一个沟通,当时强哥大力支持创办ISG。我和robin2004年就认识了,当时robin在做安言,从事企业管理、安全咨询管理方面的业务。”
“当时业界有个说法,叫‘三分技术、七分管理’。但在我看来,整个安全圈其实是重技术轻管理,所谓‘三分技术、七分管理’在当时其实只是一句口号,尤其在国内,没有真正实现过。实际上是‘八分技术、两分管理’,甚至是没有管理。”
颜新兴认为,大量早期安全技术从业人员,可以理解成是掌握了一定安全技术、攻防技术的黑客。他们有部分进入到安全厂商,变成安全工程师,还有一部分去了甲方,比如现在看到的安全经理、安全维护人员。这些人大部分都不太重视管理,因为他们出身都比较草根。
2009年时,国内外安全竞赛都存在一个问题,基本上都是技术性对抗为主,像国外的defcon,国内的ICTF,以及其他CTF也层出不穷,实际上就是技术人员挖漏洞的竞技平台。
“当时我们认为,整个业界缺乏一种以甲方为主的安全赛事。很多赛事是怎么攻击别人,对甲方而言,怎么攻击别人不是他们思考的重点,也不是他们面临的主要问题,更多的是我怎么防御好别人的攻击,当时国内外没什么关注与重视。”
“所以我和robin商量下来,我们觉得非常有必要推出ISG竞赛,尤其是在上海,上海重点单位、重点客户比较多,上海互联网和网络安全都走在国内前列。此外,当时很多甲方单位也有很多这样的苦楚:怎样通过一个客观方式,来检验我的网络安全建设的一些成就和水平。”
最近这几年,很多企业在搞SRC,安全也开始进入一种开放式状态。当时是想把甲方组织起来,互相拉练一下,看看同行安全水平,这也是ISG的重要定位与贡献。
颜新兴说,他身为网络安全人员,能够体会到网安维护者的不易。在单位和企业中,如果网络安全不出事,那就是应该的,领导根本看不见,不受重视。一旦出了点事,肯定是你工作没做好。
所以到了后面,业内安全人员都有一个心得,就是“练内功、拼人品”,因为有一些极端的现象——这个单位也很重视网络安全,安全人员也在做了大量工作,但是由于刚好中了木马病毒,或被人攻击,把网页改掉,很可能他之前做的所有成绩都被彻底抹杀。但也可能什么事情也没干,但人品好,一直没出事。
以结果为导向,只看问题表象,不能看到实质问题。
所以,ISG的存在,就是给甲方网络安全建设水平一个更综合、更客观的评估。简单来讲,就是一些做得好的、有水平的甲方安全人员,得到来自于第三方的鉴定与肯定,产生一个墙内开花墙外香的效果。
另外,在安全领域做出成绩、做出理念的甲方,能够把他们的建设经验,通过ISG舞台,分享给更多同行。
颜新兴认为,像黑客、黑产也形成了联盟和组织,他们之间的攻击手段信息交流非常迅速。而之前甲方安全部门,往往是在后方默默无闻、低调支撑的部门。安全一味低调也不是办法,未来甲方安全防护经验,也要以某种形式展现出来。
颜新兴觉得,从技术上来讲,网络安全没有行业划分。但从实践上来讲,不同行业面临的安全问题大不相同,银行、证券、医院的网络安全状况迥异,用一把标尺去衡量没有意义。所以后来ISG分成几个行业竞赛,也是基于这个原因。
还有一个重要原因,颜新兴认为ISG具有独创性。现在也出现不少以甲方为主的安全竞赛,比如电力行业、金融行业,但这些都是行业内部的竞赛,不像ISG是跨行业、多层次的碰撞,更加反映出ISG的稀缺属性。
厂商与ISG是共同成长的关系
颜新兴说,安恒从2009年就开始支持ISG竞赛,他本人也是ISG安全组委会专家成员。ISG每年竞赛形式,如何组织,他们都会建言献策。
说起来也颇有缘分,安恒也是2009年在上海成立。ISG早期,不像现在有强大的专家团队,那时安恒对ISG提供了技术支撑、资金赞助、组织竞赛队伍,早期有几届竞赛,试题、培训都是安恒做的。那时是谁有能力做这些事情,谁就去做。
颜新兴说,支持ISG对安恒回报也很大。因为ISG参与对象是安恒最重要的一部分客户群,包括政府单位、银行、证劵、大型企业集团。
参与ISG的人,都是在甲方直接负责安全的人员,他们的思考与水平,直接反应甲方当前的安全状态。另外,他们平时跟客户交流,就是甲方和乙方的交流,只能看到客户的一个状态。
但通过ISG平台,就可以和客户进行平等交流。无论是组织方、技术参与方、参赛队伍、支撑单位,大家都是在相对平等的位置。ISG竞赛中,不管是写论文,还是辩论赛,客户都会具体描述他们的安全工作。这样的话,安恒进一步为客户提供安全服务的时候,针对性会更强。
因与ISG结缘,安恒这些年获奖颇丰,这里只是冰山一角
ISG每年举办一次,随着竞赛常态化,许多拿过竞赛一等奖的单位,如上海移动、上海电信,如今更多的是把ISG看成是对自己安全人才培养的一种有效方式。因为不可避免出现人才流动,一些新人加入,通过ISG竞赛,能够快速鉴定他的技术能力、安全水平。
颜新兴说:“我一直把ISG看成公益活动,推动整个安全行业的意识、社会责任。我们也以此为理念,努力践行。
事实上,ISG从起初得到安恒支持,随着影响力的扩大,越来越多的安全企业开始支持ISG竞赛,如连续最近两年冠名ISG竞赛的观安,2016年的绿盟,2015年的360,2014年的中国信息安全认证中心等企业,它们都与ISG相辅相成,共同发展。
ISG的未来需要更鲜明的特色
ISG已经9届,今年是第10届,ISG需要回答一个新的问题——什么是ISG的特色。
颜新兴个人认为,ISG需要更鲜明地服务甲方安全团队,要把ISG办成国内甲方最认可的安全赛事。这个甲方概念,应该是包括政府、金融等各行各业的甲方,达成一个最大共识。
ISG的一大特色,就是强调企业全员安全意识教育,这是当前以及未来网络安全的一块短板。
ISG最开始强调“三分技术、七分管理”,这是比较老的观念,经过多年实践,技术派和管理派又有了一些新的认识,或者说是共识,就是“意识决定安全”。
意识决定安全是什么?是在做安全设计的时候,脑袋里要有安全攻防意识;设计一款产品的时候,要站到攻击者的角度来思考。
所以,ISG已经开始面向企业输出安全意识教育。如果不是通过ISG的话,你就可能不知道安全不只是几个黑客在直接攻防。安全关乎每一个人,一个企业不只是请几个顶尖黑客专家,就可以保证安全。很可能你门口的保安,他也得有一个基本的安全意识。
颜新兴觉得ISG最大的进步,就是从很小众化的技术攻防,到“三分技术、七分管理”,到木桶原理,再到如今的“意识决定安全”。
随着国内安全市场的发展,形势颇为严峻,光上海就有很多类型的安全竞赛,更别说全国以及全球性的安全赛事。所以颜新兴认为,需要做出ISG的最大品牌。
“我记得比较深刻的,robin经常跟我说,意识决定安全,是ISG这么多年实践很突出的成果,也全员意识安全、效率和竞赛的成果。在企业安全方面,要把ISG做成首屈一指的赛事;在企业安全意识方面,ISG要成为最大的输出平台。”
主办方总结
王怀宾
ISG竞赛组委会负责人
ISG竞赛不仅是面向用户单位的竞技交流平台,也是产业合作对接的窗口,ISG发展离不开安全业界同仁的支持与帮助。ISG的合作伙伴包括像中国信息安全认证中心等专业机构;众人、观安、安恒、绿盟、360等安全企业;以及0ops、freebuf、看雪论坛等社群组织。
仅以此文致谢历年来关心支持ISG发展的合作伙伴!挂一漏万,敬请谅解。
閱讀更多 安在信息安全新媒體 的文章
