安全行业从业的经历回顾

  • 斗转星移。在安全领域也熬了十多个年头。近三年也经历了整个安全领域的大变迁。安全从小众走向大众。作为一个并非优秀的从业人员,已经被人超越。特别是2010年以后,互联网企业崛起,目前不少安全大牛都是成长在那以后。安全焦点也从传统的IT基础架构演变成关注/攻/防的互联网安全架构。长江后浪推前浪。像过去/渗/透试是忽视的,只是在乙方作为安全服务的一个小项目。如今却因为市场需要和互联网安全的驱动,成为庞大的一支,很多新人都是以web安全入行。因为商业产品特别是盒子跟不上,导致开源产品和自营开发扩大,安全技术的发展从乙方阵地更多转向甲方。
  • 接触安全最早是从防火墙开始,我个人经历,是在2002年左右。这是安全市场已经起来,主要目标对象是政府企事业单位,是以卖防火墙为主。当时网络建设已初具规模,网络安全问题开始凸现。当时我加入一家网络安全公司,主要就是做安全集成,cisco IPX,天融信防火墙,启明的IDS,然后公司自己开发的firewall。当时录取只有一个要求必须通过ccna。所以安全此时还没成熟,只是网络的附庸。当时公司的安全建设方案是请的交大博士做的。我有幸第一看到全盘的安全解决方案。有安全评估安全加固和安全产品集成以及安全服务。当时做的比较早,基本传统安全基础架构后来长时间一直没变。这种套路估计到互联网安全凸起,才发生变化。当初防御还是主要靠加固。IDS,firewall和杀毒软件是三驾马
  • 在小公司还是能学到很多的。短时间内我就做过安全产品和安全服务,有段时间常驻在客户做安全巡检。都是边做边学。公司因为没人也会让你去做主要担当。记得我第一去装Cisco pix,客户说已经扔在仓库,因为忘了密码。问我能恢复系统吗?我上网查了cisco的网站,很快网上下载程序,导入软盘。用软件帮他恢复了。基本上没人培训都是自学。
  • 当时已经开始做安全评估,主要还是以网络端口漏洞扫描为主。对于系统和应用只能以加固为主。顶多安装个防病毒软件。而且linux系统不多,面向的是windows。除了网络层。主机层的战场就是桌面终端。不像现在终端可能只有两三百台,服务器却有两三千。安全架构主要是内网安全。所以当时的安全理念是/攻/击百分之七十都来自内部。记得当时文广集团下面某公司就遭受过ddos。但不是来自外网。主要是内网某台机器染病毒后迅速蔓延导致。即使客户网站被/攻/击,最多是网页被篡改,并不会直接影响到企业业务。倒是内网的各种安全问题会导致业务蒙受损失。此时web业务还没潮流,外网/攻/击带来的损失还不直接影响生产力。
  • 回过头来说web安全形成潮流后,传统基础架构在发生变化,更多的微服务,云服务越来越依赖互联网架构,边界在消失。如果从宏观上看,不能把web安全代表安全,应该看到web安全在其中是怎么比例越来越加重的。而整体传统架构又如何虚拟化云化。桌面变成虚拟桌面。服务器变成虚拟机。cs架构都变成bs架构。甲方也从过去的内网IT变成直接面向业务的运维。开发人员从内网的业务系统,变成做web架构的开发。内网的边界也发生变化,比如阿里云的使用。内网很多都是直接连接到外网的某个云平台。又比如钉钉这种企业OA的微服务。过去内网的概念已经无法适用现在的形势。现在更多是轻量级的,分布式的。
  • 但变中也有不变,大的安全管理,安全架构的模式还是继续发挥作用,比如网络安全,主机安全,系统安全,数据库安全这种分法。或者身份认证,授权访问,加密,安全评估等等。但是在第七版的cissp中出现了安全运营的概念。显然随着安全的子域细分后,如何把这些打通串联起来,成了个问题。过去是ISO27001+ISO2000,一个是安全管理体系一个是IT运维体系。现在互联网架构的出现原来的框架不适用了。去流程化,或者把流程变轻成了主要的议题。大的框架如何裁剪改变,形成新的技术和管理体系。

分享名称:安全行业从业的经历回顾
URL分享:http://hbruida.cn/article/gcsceh.html