毕业十周年之际,随便发发牢骚,记录下当下的感受。十年前误打误撞入了网安的门,随便聊两句,可能同行但每个人接触不同,感受也不会完全相同,我不是科班毕业,也不合适透露具体信息,只谈谈自己的一些认识给大家参考。
1.我个人认为最重要的一个理念:零信任原则。第一次见到这个概念的时候我也不太当回事,经历了一些事情后才认识到其重要性。也算是完成了从理性到感性,再到理性的认识。其实就一点,防范来自内部的风险,好比 vx 里的亲戚朋友、身边的同事等等,所有的信息都需要 double check 。再比如,现在新出的防火墙和以前的已经不一样了,以前的只能防范来自外部的流量,现在的很多都已经能发现内部风险。这几年电诈之所以从亚洲蔓延到欧洲,社会工程学的技术栈也在“产业”实践中补全,并且还在持续迭代,原因也是在此。制度的漏洞、人性的弱点一旦被技术抓住,就很难再摆脱,千疮百孔、防无可防。技术迭代,变个花样可以又来一波,很难清除。
2.新技术伴随的风险。这两年涌现出很多的新技术,AI 、IOT 、卫星通信等等,各方资本投入很大,但在投入还没有获得足够回报之前,技术面是不会认真考量安全议题的。投产和挣钱才是第一位的,所以各位投资的时候也要考虑一下,爆个雷能不能扛得住。安全与发展在很多时候其实是矛盾的,一个是踩刹车、一个是加油门,一个是降熵、一个是增熵。musk 的 starlink 用的是不是 docker ?没研究过,不过大概差不多,其安全性的考量有进程白名单吗?有封装底层系统吗?再比如,IOT 设备实际上就是一台低性能计算机,一旦成为脆弱点被突破,那整个内部网络都将面临安全威胁。还有最近已经开始出现大模型数据被污染的情况,AI 编程的程序还是要多留个心眼。
3.我想做啥?网安不只是 bug hunting 。bounty hunter 是最闪耀的明星,但大多数工作都是平凡的,流量分析、安全审计、溯源取证,接触各种协议算法 Kerberos 、TLS 、ECC ,接触各种设备路由器、IOT 设备、防火墙,看各种网络拓扑、配置。我其实做开发的时间有限,分析、研究和解决问题才是工作的主基调。我没干过运维、也没干过前端,但具备的经验和能力,足以我直接上手调试一个 react+nodejs+golang 的项目,并惊讶于 webpack 的出现,直接模糊了前后端的界限。界限模糊实际已经是大的趋势了,IC 行业被 IT 行业用 TCP/IP 直接反超并甩开几十年的情况也很难再发生了,IC 行业拥抱 IP 化和 virtualization 后貌似又行了。技术在不断的发展、竞争、融合,搞技术的人打不过就加入,不丢人。 匆匆十年,青涩少年也熬成了郁郁中年,房贷要还、娃要养,平时加班无暇顾家,薪水只够糊口。这个阶段,饱尝了现实中的各种“非专业歧视”、学历鄙视、冒名顶替等不公,既不会自怨自艾、也不会曲意逢迎。但内心还是会一种渴望,想跳出圈子找到一条路,养活家人又证明自己。所以现在打算从头开始,先逐字逐句的读“Mastering Ethereum”,主要是出于对 crytographic 的喜爱,由于是非科班的,学的一些感受和理解会记录和分享。
啰啰嗦嗦写那么多,估计也没人看。最后以中译版“Snow Crash”的的一句话结尾——“世界上充满了动力和能量,只需从中略微揩点油,一个人就能走得很远。”
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.