查看原文
其他

被“逼”走的安全人员会去哪儿?

某想辞职的从业者 安在 2024-03-02




当下安全行业在市场中公认的逻辑:经济下行导致各行各业都萎靡,企业为了节约成本会优先削减安全预算,因为在大多数人的概念里,安全部门是成本中心。安全预算削减了,安全人员也就削减了,甲方对安全产品的需求自然也就削减了,于是安全行业会大幅度缩水。那么缩水后带来的结果是什么?是“攻防两端的投入不对等”,毕竟“黑客行业”正如火如荼,此消彼长,在接下去日益复杂的互联网环境下,企业将面临什么就不言而喻了。


话又说回来,在这一恶性循环中,“被逼走”的安全人员会去哪儿?答案可能是:黑灰产。






























回归是无奈之举


能“活下去”才是硬道理,这话在企业中被奉为圭臬,其实对安全人员来说也是一样的。黑客圈某大佬曾说过:“这个十年,各行各业的巨头因为害怕黑客,所以花大量资金吸收黑客群体。但这些巨头并没有提供合适的土壤和舞台,换句话说就是并没有好好发挥黑客和安全人员的价值,以至于这些技术人员空有一身本领和高薪资。其导致的后果,就是这几代和网络安全领域相关的薪资在不断降低,技术人员越来越空虚,因为没有可以研究的项目,最终一定会导致大量的人回归‘老本行’。”

不管是黑客还是安全人员,其最初投身于IT行业的初衷是什么?毋庸置疑,一定是喜欢。但如果大环境非要将人之所好变为生存的障碍呢?这叫空有一腔热血的安全人员又该如何是好?最简单的道理,如果为社会做白帽都不能“安居乐业”,连自己的个人生活、基础保障都不能稳定,仅靠固步自封又能挽回多少局面?

举个例子,比如谁发现一个漏洞就给个千儿八百顶多大几千的奖励,虽然价格并不算低,但依然难免一些技术人员会被更大的利益所诱惑——暗网或黑灰产组织发布的漏洞赏金早已超过1万美元甚至更高。所以黑客大佬才会说:“如果你们觉得甲方这边每天报的漏洞好像在不断减少,千万不要以为是我们越来越安全了,而是因为没人报了。”

拿最近屡次登上全球各大媒体版面的LockBit事件举例,其虽被11个国家联合执法致使基础设施服务器被查封,但仅在一周后,2024年2月24日,LockBit就再一次宣布将恢复勒索软件业务,并威胁会将更多的攻击集中在政府部门。相关报道指出,在一个新上线的数据泄露网站上,LockBit仍然在使用其3.0 版本的名称,并列出了5名受害者及其缴纳赎金的倒计时器。LockBit表示,他们已经将数据泄露网站迁移到了新地址。

为什么?为什么一个被多国联合执法封禁的黑客团伙,能这么厚颜无耻且无比自信的回归?就像报道上发布的那样:“LockBit重新宣布运转后,除了新上线的数据泄露网站外,他们还提供了有关被执法部门利用的漏洞的详细信息,以及他们将如何运营业务以使的基础设施更难以被攻击。”

归根结底,还是因为他们“足够豁达”,比如LockBit在其2.0版本的勒索软件被微软公司破解之后,他们立刻就发布了一个漏洞赏金计划:向LockBit提供漏洞缺陷的人员可获得1000至100万美元的奖励。因此,也不怪LockBit死灰复燃后,还敢发帖子叫嚣,希望原本攻击他们的人员能够加入他们,这手“反向诏安”可真是……胆大包天啊。当然,一边是月入甚少的蝇营狗苟和满不在乎,另一边是发家致富的巨大诱惑和身份认同,这样的巨大反差着实让大伙儿都开始了蠢蠢欲动……


























韩信之志


有安全人员表示:“对于大环境中的几个关键因素,其实最应该对其细细研读的,该是各组织的领导层和经营者。个人认为,你们当下所亏待的安全部门,日后很可能会成为打向你们的子弹。到时候请不要忘记,雪崩时没有一片雪花是无辜的。”同样的话,那位黑客大佬表述起来就比较委婉了:“大环境需要具备‘自由黑客精神’,否则对黑客而言,其生存和发展便会受到影响。从根本而言,技术人员是需要被环境栽培的,无论是物质上,还是精神上的需求,我们都应该想办法满足他们。”

还是那句话,对大部分安全人员来说,当初之所以会投身安全行业,就是因为喜欢,而行业如果真的想要繁荣,就一定离不开各个层面的支持,我们不仅需要国家由上而下的顶层设计,还需要各行各业能够积极响应并引起重视,只有大家都深以为然了,行业的土壤才能够肥沃起来。许多组织确实不能再以一句“成本中心”就将安全部门概括了,否则在科技飞速发展的时代下,安全事故会更多,影响会更大,而只抱有侥幸心理是很难将自己幸免于难的。

黑客大佬表示,相关技术人员的价值本应该体现在“自发性的去研究些什么”,但是在现在这个环境之下,好像自发研究的现象在慢慢消退。此外,即使已经证明了一些技术或理念确实很有价值,也已经得到了业内业外的认可,可还是缺少将价值变现的通道。同样的道理,安全部门之于甲方,也一样无法将其价值体现出来。


























解决矛盾的方法是扩大矛盾?


曾有高人说过,“解决矛盾的方法往往是扩大矛盾”。比如,比如某小区楼道间经常有狗屎臭,有人贴了养狗提醒后还是老样子,于是我们就可以模仿养狗人的语气,在提醒的那张纸上写道:“管好你自己,我的狗想在哪拉就在哪拉。”不久,全业主都会想办法把那个遛狗的人给找出来,没过几天,地面就干净如初了;再比如,有邻居在公共停车位装了地锁和充电桩,其直接将公共的变成私有的了,于是我们就可以在群里问物业:“我也想装个地锁行不行?”第二天,邻居的地锁就会被拆。

对标到安全行业,难道我们也要去提高黑灰产的影响力和战斗力吗?还是说索性就这么想:无论谁是那批幸运儿,对市场来说都是最好的告诫?有意思的是,闲聊时,国内几位知名的安全专家都曾开过这样的玩笑。

比如某安全专家就曾说过,如果自己“有机会”投身于“黑灰产行业”,一定会主攻ERP、OA勒索,或主攻与代码服务器相关的黑灰产,因为只要能影响公司的运营系统,就能有源源不断的钱财;还有安全负责人则指出,若让他着手黑灰产,“数据交易”是最好的踏板,因为企业要追溯起来非常困难,都是通过暗网或比特币来进行交易的。

真可谓细思极恐啊……不难想象,安全人员“叛变”比起纯粹的黑灰产链条还有着得天独厚的优势,那就是“大家太清楚有哪些企业的安全防护不堪一击了”,比如那些个“老东家”……因此就有安全管理人员说了:“所有曾经削减过的预算,最后都会用组织不愿看到的方式弥补回来。”

另一方面,也有安全专家表示,即使不入黑灰产,在这种“逼上梁山”的大环境下,自己也只能选择躺平了。“流行啥就考啥证呗,多简单的事儿……比如数据安全是风口,那就去考CCRC-DSO;自动驾驶是风口,那就专注于车联网安全;人工智能若也出相关证书,肯定第一时间考取。有了认证资格,无论是在甲方还是在乙方,都很好混。怎么过不是过呢……安全人员过了35岁之后,最好就是去甲方混个养老。”


























结语


看到各位专业人士的反馈,只能说徒生“无可奈何花落去”的感慨……每一个爱好安全、投身于安全的IT人员,最初都一定抱着“安全即信仰”的初衷,可奈何在如今的趋势下,这份信仰与生存、生活相悖,使越来越多的人开始怀疑自己、放弃梦想,唉……“数年不出一件安全事件,安全部门是不是可有可无?”像这样的算计在企业中还少吗?……就我个人而言,只能希望同僚们能一起坚持下去吧,愿我们都能守望相助、共创未来!

(ps:本文观点仅代表作者个人立场,和安在无关)




安在编者说

在安在推出的超级CSO研修班上,有专家曾说过:“‘坚守正道,不忘初心’,这是所有安全人员该坚守的使命和精神。”今天,这样的总结同样适用于以上这篇文章。而对于目前大家所感受到的这种种趋势,只能说希望各行各业能给予安全从业者更大的空间和存在感,因为个人、组织、社会、国家都需要安全部门,每个领域都需要安全人员来保驾护航。


所以,为了避免安全人员的生存空间越来越小,为了避免安全人员被“黑化”,最关键的一点是给予安全人员肯定并提升安全的价值。那不禁要问,安全的价值到底在哪?安全的价值该如何挖掘?安全人员又该如何有效地提升价值?欢迎业界同仁积极留言反馈,一起参与讨论。



END





点击这里阅读原文
继续滑动看下一个

被“逼”走的安全人员会去哪儿?

某想辞职的从业者 安在
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存