人物 | 360高雪峰:五岁“玩”编程,曾专找苹果的“茬”
撰稿 | 流苏
编辑 | 图图
说起“黑客”,绝大部分人心中浮现的形象是“穿着黑色卫衣,戴着帽子,隐藏于黑暗中,充满着神秘感”。
如果这是你眼中的黑客,那么,360信息安全中心负责人高雪峰可能会颠覆你的认知。
毕竟,他被誉为安全圈的男神。有意思的是,安在还曾采访过安全界的另一位男神,360独角兽安全团队创始人杨卿。两位男神的出现,让人不得不惊讶于360安全团队的整体颜值。
360信息安全中心负责人高雪峰
然而,和其颜值相比,高雪峰的技术更是让人印象深刻。作为安全圈的一枚“老司机”,他五岁便开始编程,“玩”电脑的时间超过三十年,而后专注于苹果安全漏洞挖掘,多次获得苹果官方公开致谢,如今他负责的部门被称为360集团的“第一道防线”。
大多数白帽黑客都喜欢玩游戏的,但高雪峰的内心显然更为“狂野”。对于游戏没有丝毫兴趣,反而更喜欢徒手攀岩、滑雪、足球等充满男人味的运动。
但是,陪伴他从小到大的却是集邮票,一个颇具文艺气息的爱好。为了集齐心爱的邮票,小时候的高雪峰常常“挪用”午饭钱,哪怕天天啃方便面也甘之若饴。
如今,那股子专注的劲用在了网络安全攻防之上,到现在没有任何改变。
同龄人中,高雪峰算是接触电脑比较早的一拨人。
高雪峰出生于1984年,在五六岁的时候就接触到人生中的第一部电脑,英特尔1982年发布的80286电脑。
之所以能够如此早的接触电脑,还是因为父亲的高要求,为此,高雪峰从小就要学习各类兴趣爱好,电脑便是其中之一。
不少人第一次电脑一般是因为游戏,亦或是各种酷炫的黑客电影,但高雪峰不是。一方面,那时的电脑没有现在这么多功能,加之网络系统也不完善,因此,在高雪峰眼里,它更像是一台打印机。另一方面,高雪峰也不怎么爱玩游戏,反而对于教材上的各类程序颇感兴趣。
一有空余时间,高雪峰便会对着教材在电脑上敲击出一个个字母,这些字母组成一个个单词,再变成一条条程序代码。
对于这些程序,高雪峰一个也看不懂,哪怕是最为简单的BASIC语言,对于五六岁的孩子来说也是一部难懂的天书。即便如此,他依旧对照着教材把这些程序一个一个的敲出来,并运行这些初始程序。
然后,高雪峰遇到了人生中第一个BUG,也是所有程序中最为基础的BUG——字符错了。面对BUG,他没有任何的不耐烦,反而是充满了疑惑,对照着教材一遍遍修改后,这才让程序重新跑了起来。
看着运行后的程序,高雪峰心里感到十分神奇,虽然不能理解程序的逻辑,但这不妨碍在他心中留下烙印。原来,字母经过特定的排列就能出现如此神奇的画面。高雪峰感觉自己打开了一扇新的大门,并痴迷于此,直至现在。
由于早一年上学,高雪峰比班里的同学都小了一岁,但这并没有影响高雪峰的成绩,相反,从小学到初中再到高中,他的成绩在班里一直是排在前三。2002年,高雪峰参加高考,临考发挥失误,结果不是很理想。“是去补习还是上大学”,这是他面临着的第一个人生重大抉择。
面对这种情况,大多数人会选择复读一年,毕竟没有发挥出自己的实力,多少会有些不甘心。然而,哪怕是有着年龄优势,高雪峰最终还是选择上大学。“毕竟自己已经尽力了,无论结果如何,我们都应该学着接受。”
和之前的选择题相比较,“上哪所大学以及学什么专业” 这个问题显然更容易。高雪峰没有过多地考虑,直接选择了成都信息工程大学的计算机专业。计算机是自己的兴趣所在,而成都信息工程大学的计算机专业在业界有着不小的名气。
例如成都信息工程大学的三叶草安全团队在国内也有着一席之地。大部分人不知道的是,这个组织正是由安全工程学院2002级学生创建,完全由学生自主组织,领导的安全技术团队。
三叶草团队曾在全国大学生安全技术大赛,阿里巴巴安全技术大赛,百度杯网络安全大赛等国内顶级安全大赛中取得优异的成绩,还曾参加过全球顶尖黑客大赛defcon决赛,其安全技术实力可见一斑。
大四毕业后,高雪峰选择继续深造,并顺利被北京理工大学录取,专业正是网络安全。和绝大多数自学派不一样的是,高雪峰是正儿八经的学院派,网络安全科班毕业。
研究生学习生涯中,高雪峰一方面系统性地学习网络安全知识,提升自己对安全的理解;另一方面则是跟随导师不断做项目,将理论用于实践,提升自己的技术实力和动手操作能力。
凭借着扎实的理论知识和安全技术,加上完成的各类安全项目,高雪峰顺利被清华同方录取。彼时的清华同方安全在网络安全方面已经是国内大品牌,而高雪峰也发现身边绝大部分同事都来自于清华,心里有着不小的压力。
“那是自己提升最快的一段时间,在和身边同事交流学到了很多”,高雪峰表示,“他们真的很聪明,而且知识面非常广。”
面对压力,有的人退缩了,而有的人则选择在压力中蜕变,高雪峰便属于后者。在清华同方,高雪峰遇强则强,网路安全技术实力飞速提升。
然而,清华同方略显安逸的生活却不是高雪峰想要的,他决定出去寻找更具有挑战性的生活。机缘巧合之下,他便加入了360集团。
人们都知道,高雪峰曾是360涅槃团队的掌门人,带领涅槃团队屡屡向苹果提交威胁漏洞,从此,涅槃团队开始在业界崭露头角。
绝大部分人不知道,高雪峰刚进入360时,工作方向并不是iOS系统,而是偏向于安全评估 、安全架构以及纯网络安全。期间还给谭校长做过小一年的业务助理,谭总的高标准高要求带来是一段时间的压力,更是快速提升能力的动力。
后来,恰逢iPhone手机在国内逐渐火爆。思虑再三,高雪峰抓住机会,决定把研究方向放在苹果安全上。
确定了方向便只顾风雨兼程。高雪峰开始默默的研究苹果安全,寻找iPhone手机的安全漏洞;随着研究不断深入,高雪峰慢慢找到一些志同道合的人,于是,涅槃团队就这样成立了,团队所有成员朝着同样的方向努力前行。
之所以将团队命名为“涅槃”,是因为这个词代表着高雪峰的心路历程:从心灰意冷、茫然失措到重新找回自信,并在苹果安全领域重新寻找到人生价值。如同凤凰一般,在大火的灰烬中重获新生。
2015年,涅槃团队在全球范围内率先全面分析并重现了Xcode事件全程,一举成名。而后,涅槃团队更是多次向苹果公司提交iOS和Mac OS漏洞,目前已是国内顶尖苹果安全研究团队之一。而涅槃团队这部分工作经历,也让高雪峰真正拥有了黑客思维,为360集团建立起坚固的防线。
网络安全态势瞬息万变,企业想要更好的抵御黑客攻击,就必须更加了解黑客的攻击方式和攻击思维,这恰恰是传统安全防御体系所欠缺的。像黑客一样思考,企业才能有针对性的做好防御措施,也就是兵法中常说的“知己知彼,百战不殆”。
当被问及多年安全工作的个人体会时,高雪峰没有直接回答,而是分享了一个登山下山的小故事。
前文已有介绍,高雪峰喜欢登山,而给他留下印象最深的莫过于2015年攀登那座5500多米的险峰。在高海拔地区登山,对于一个人的体力和精神都是极大的考验,尤其是最后的几百米,几乎是90度垂直的。
而在登山的过程中,高雪峰也悟出不少和安全相关的道理。人们往往以为登山最难的地方在于向上攀登的过程,实际上,登山死亡率最高的环节在下山时。
想象一下,当你处于向上攀登的过程时,你的体力充足,精神极为集中,一旦出现状况可以随时停止攀登。而当你处于下山阶段时,向上攀登已经消耗了绝大部分体力,而登上山顶也让自己飘飘然,自然也就放松了警惕,因此最容易出现事故。
做人做事也是如此。危险往往出现在大意之时,安全事故往往不是出现在安全体系需要不断完善建设时,而是当你认为安全体系比别人做的好的时候。做安全时刻要有敬畏之心,一旦心开始飘了,那么离出事情也就不远了。
高雪峰表示,山顶不是终点,相反,这只是攀登下一座山峰的起点。唯有安然无恙的下山回来,才能有机会攀登下一座更高的山峰。安全也是如此,唯有不断更新迭代,才能应对可能出现的风险,挖据出更有价值的漏洞。
随着网络安全快速发展,网络安全攻防技术也在不断变化,只有持续不断的学习才能跟上变化的步伐,能够支撑你日复一日,坚持不懈学习的最大动力便是兴趣。
就好像高雪峰挪用午餐钱去集邮票一样,真正感兴趣的事情,哪怕再辛苦,你也会从中获得快乐,才能持续坚持走下去。你会因为挖到一个漏洞而兴奋不已;你会因为写完一个满意的程序而满心欢喜;你会因为做出一个安全产品而成就满满。
如果缺乏兴趣,那么“安全”这份工作一定是枯燥且苦逼的。如果真的从心底讨厌这份工作,那么你就很难在这个领域内突破。只有真正热爱这个行业,才会愿意为之花费时间和精力,去不断学习新的攻防技术,才有可能成为这个行业的高手。
大多数人都认为安全运营是一个既苦逼又枯燥的职业,既没有高大上的技术支持,工作中也缺乏成就感。
高雪峰却不这么认为。在安全体系中,每一个安全岗位都十分重要,而在工作中是否能够获得成就感,主要在于个人的主观能动性。
对于企业来说,安全运维的岗位其实很重要。但如果你每天的工作仅仅是查看安全告警和邮件,那么这份工作肯定是极为无聊。如果出现告警后,你会主动去寻找是哪里出了问题,为什么问题,事后该如何进行补救...这就比单纯的运营工作要有趣的多。
甚至通过这些问题,反过来思考安全管理流程和业务安全流程的不足,并最终落地改进,那么,这份工作将会成为企业的核心岗位。如果自己还有着一定的技术,通过机器学习来降低无效告警出现的概率,最大程度降低岗位的无效工作。
安全的每一个岗位都大有可为,但是要有这一股专研的劲头,而不是主观论断“这个岗位非常无聊”。要知道,哪怕是核心岗位,如果不是发自内心的喜爱,同样会感到无聊、缺乏成就感。
一群厉害的人凑在一起未必就会很厉害,可能因为方向不同而无法发挥各自的实力。如果能将合适的人放在适合的位置,往往能够起到出人意料的结果。这也就要求团队管理者需要和团队成员产生共鸣,清楚并理解每一个团队成员擅长的方向。
有的人技术扎实,但不擅长合作,那便安排他做独立性研究工作;有的人乐于助人,有大局观,那便安排他负责团队协调性工作。技术方面也是如此,一般来说,思维逻辑能力的强的人适合做系统开发,而思维跳跃的人更适合寻找漏洞,他们常常能够发现别人无法发现的点。
管理者如果能够发挥并放大团队成员的优点,团队整体实力才能出现大的爆发,创造出1+1>2效果。
有人的地方就会有江湖,采访闲聊之余,高雪峰和笔者一起聊了聊安全圈这个“江湖”。
众所周知,安全圈“江湖”自古便有着各种各样的派系,和金庸老先生笔下的“江湖”颇为相似。
有的如扫地僧,虽名声不显,但却拥有深不可测的技术实力;有的如少林、武当,有着系统的武功套路,传统能力特别强;还有像张无忌一样自学成才,成为武林盟主......
如扫地僧这类人物毕竟属于少数,因此,安全“江湖”主要分为两派,自学派和学院派。
自学派成长体系就好像金庸武侠小说中的段誉、张无忌等,没有既定的套路,起点也是五花八门。总的来说,是先实践再理论。
学院派则相反,先理论再实践。学校的系统性学习会告诉你计算机结构体系、网络安全基础架构、底层设计等,有了这些理论知识,在实践中才知道为什么要这么做。
其实,在高雪峰看来,无论是学院派还是自学派,最后都殊途同归。自学派先实践,但最终还需弥补计算机、系统底层等理论知识;学院派有着坚实的理论基础,后天需不断加强实践操作。毕竟只有两条腿走路,才能走的稳,走的远。
在笔者看来,高雪峰更像是学院派中的自学派,自五岁开始摸索编程,而后在大学中系统性学习,并在工作中进行实践。在高雪峰身上,既有着学院派坚实的理论基础,也有着自学派强大的学习能力和实际操作能力。
后记
安全是一个苦逼的行业,高雪峰表示,很多时候,安全部门付出的努力常常不被同事、领导所理解。很多外行人常常对安全嗤之以鼻,但是,当你真正了解这个群体时,你会发现,是非常有特质的一群人。
而正是因为安全行业不被理解,所以兴趣是工作的第一驱动力。搞安全的人如果失去了兴趣,是不可能做好安全的。没有兴趣,你不会在凌晨两点的时候跟一个漏洞较劲;没有兴趣,你不会夜以继日的端坐在电脑前码着枯燥的代码。
幸运的是,从五岁第一次接触电脑开始,高雪峰便对网络安全保持着强烈的兴趣。在互联网虚拟世界里,有着太多的惊喜等着他去探索、发现,并最终推动这个行业不断前行。
这就是高雪峰,始于颜值,敬于性格,终于才华。
「推荐阅读」
咳咳,安在君有个小秘密
就是
我们
……
我们
们
……
hai~就是这里有个安在唯一的微信粉丝群,这个群里的个个是人才,福利超多,群煮贼好,我超喜欢的
人物 热点 互动 传播
NEWS