互聯(lián)網(wǎng)讓世界變成了“地球村”,網(wǎng)絡(luò)空間成為與陸地、海洋、天空、太空同等重要的人類活動(dòng)新領(lǐng)域。同時(shí),網(wǎng)絡(luò)安全問題也相伴而生,網(wǎng)絡(luò)安全事關(guān)國(guó)家安全和社會(huì)穩(wěn)定,事關(guān)企業(yè)、用戶的切身利益。如今,就有這樣一類職業(yè),維護(hù)著網(wǎng)絡(luò)世界的安全,為每一條信息,用技術(shù)扎牢信息安全之籬。今年5月,中國(guó)就業(yè)培訓(xùn)技術(shù)指導(dǎo)中心發(fā)布《關(guān)于對(duì)擬發(fā)布新職業(yè)信息進(jìn)行公示的公告》,擬新增10個(gè)新職業(yè),其中就包括信息安全測(cè)試員。
好奇心、興趣與責(zé)任
“白帽子”養(yǎng)成三部曲
在大多數(shù)人的認(rèn)知中,黑客總感覺像是干壞事的。殊不知,其實(shí)在真正的黑客世界里,有“白”也有“黑”。他們所做的內(nèi)容相似:通過(guò)代碼尋找計(jì)算機(jī)與網(wǎng)絡(luò)系統(tǒng)中的安全漏洞,其中擁有正義的一方被統(tǒng)稱為“白帽子”。
在黑客的圈子里,“l(fā)ake2”這一外號(hào)小有名氣,這是“白帽黑客”胡珀在他大學(xué)時(shí)起的網(wǎng)名。11年過(guò)去了,他從最基礎(chǔ)的T1助理工程師開始,一路成長(zhǎng),經(jīng)歷了從Web2.0、移動(dòng)互聯(lián)網(wǎng),再到物聯(lián)網(wǎng)、智能設(shè)備的種種浪潮更迭,如今已是騰訊安全平臺(tái)部總監(jiān)。而他帶頭成立的騰訊BladeTeam已報(bào)告了谷歌、蘋果、Adobe等多個(gè)國(guó)際知名廠商70多個(gè)安全漏洞,得到互聯(lián)網(wǎng)行業(yè)、廠商以及國(guó)際安全社區(qū)的廣泛認(rèn)可。
大部分人的職業(yè)選擇都充滿著偶然性。胡珀最初對(duì)于信息安全的興趣來(lái)自于2002年報(bào)刊亭的那一瞥。
那時(shí),胡珀才剛上高二,路過(guò)報(bào)刊亭時(shí),一本叫作《黑客X檔案》的雜志吸引了他的目光。就是那本薄薄的雜志讓胡珀尋得網(wǎng)絡(luò)信息安全的大門蹤跡。大學(xué)后,他開始更加專心地研究安全技術(shù),也從讀者變成了資深作者,后來(lái)轉(zhuǎn)戰(zhàn)博客寫技術(shù)文章,從此將“l(fā)ake2”這一網(wǎng)名印在了黑客圈子里。
對(duì)技術(shù)的熱愛和好奇心一始貫之,當(dāng)問及這么多年怎么堅(jiān)持下來(lái)的,他笑稱,唯有“興趣”二字。為了更專注于互聯(lián)網(wǎng)最新領(lǐng)域前沿研究,他成立了騰訊BladeTeam,帶領(lǐng)一群興趣相投的小伙伴一頭鉆進(jìn)網(wǎng)絡(luò)安全攻防里。他們?cè)谑澜珥敿?jí)安全峰會(huì)上,首次向行業(yè)披露主流手機(jī)基帶的研究方法及工具;IOT時(shí)代到來(lái),他們研究過(guò)如何遠(yuǎn)程控制智能樓宇;發(fā)現(xiàn)并報(bào)告亞馬遜智能音箱echo的威脅漏洞;他們還是谷歌AI框架漏洞的首個(gè)貢獻(xiàn)者,并協(xié)助谷歌建立起漏洞響應(yīng)機(jī)制。
能夠抵御得住外來(lái)的誘惑,也是胡珀在“白帽子”從業(yè)守則中劃重點(diǎn)的特質(zhì)之一。這一職業(yè)時(shí)時(shí)刻刻面臨著各種各樣的誘惑,最大也是最難的便是金錢誘惑,這是一個(gè)底線,也是“白帽子”必須堅(jiān)持的操守。
金錢的誘惑有多厲害?他舉了個(gè)例子進(jìn)行說(shuō)明,“比如說(shuō)同樣一個(gè)手機(jī)漏洞,國(guó)外黑客組織可以出到200萬(wàn)美元的價(jià)格,而谷歌或者其他手機(jī)廠商的價(jià)格基本只有20萬(wàn)美元,這中間相差整整10倍。在這樣的誘惑面前,‘白帽子’能夠抵抗住誘惑,堅(jiān)持自己的職業(yè)底線顯得十分重要”。
修補(bǔ)、防守、保障
堪稱網(wǎng)絡(luò)安全“輔警”
好奇心、興趣與責(zé)任背后,是物聯(lián)網(wǎng)時(shí)代下全新的安全挑戰(zhàn)。
“過(guò)去系統(tǒng)被黑客攻擊,頂多是損失資料。到了支付時(shí)代,損失的可能是真金白銀。到了物聯(lián)網(wǎng)時(shí)代,很可能危害生命安全。如果黑客控制了物聯(lián)網(wǎng)設(shè)備,很可能會(huì)對(duì)我們的生命帶來(lái)威脅。”胡珀坦言。
他向記者舉了兩個(gè)例子。第一個(gè)案例是2015年的事。那時(shí)在線支付還沒有那么先進(jìn),當(dāng)時(shí)會(huì)用手機(jī)加上POS機(jī)的形式來(lái)刷卡。“比較有意思的是,我們對(duì)比較火的POS機(jī)進(jìn)行了分析,直接把包拿下來(lái),就可以把包解開把參數(shù)改掉,比如轉(zhuǎn)一元錢,可以改成轉(zhuǎn)一萬(wàn)元錢,賬號(hào)也可以改掉。只要他在這個(gè)POS機(jī)上刷過(guò)卡,我就可以把所有的錢轉(zhuǎn)到自己的賬號(hào)上,這就是一個(gè)真金白銀的案例。”
第二個(gè)案例,胡珀的團(tuán)隊(duì)發(fā)現(xiàn)可以通過(guò)手機(jī)APP控制烤箱的溫度和時(shí)間。“我們對(duì)烤箱進(jìn)行分析,發(fā)現(xiàn)它存在兩個(gè)問題,一個(gè)是把密鑰直接寫在程序里,對(duì)APP進(jìn)行立項(xiàng)。傳輸是明文的,拿到密鑰就可以解開指令,用自己的指令控制它。還有一個(gè)邏輯問題,只要把傳輸控制溫度傳過(guò)去,就可以繞開溫度限制,使烤箱使用達(dá)到溫度極限。當(dāng)然我們具體沒有進(jìn)行測(cè)試,但烤箱如果空轉(zhuǎn),溫度非常高,可能會(huì)導(dǎo)致機(jī)器的爆炸,這其實(shí)就是智能設(shè)備影響人身安全的案例。”
他把自己和從業(yè)者比作維護(hù)網(wǎng)絡(luò)安全的“輔警”,在聊到“白帽子”的成長(zhǎng)環(huán)境時(shí),胡珀說(shuō):“這是一個(gè)技術(shù)高速發(fā)展的階段,我很慶幸自己處于這樣的大環(huán)境下,行業(yè)發(fā)展日漸成熟、日趨完善,也給‘白帽子’提供了更多的研究方向、角度和可能性。快速演變的大環(huán)境以及快速變革的技術(shù),讓‘白帽子’的職業(yè)有著廣闊的空間進(jìn)行探索、挖掘。”
他同時(shí)向記者介紹了騰訊TSRC平臺(tái)漏洞獎(jiǎng)勵(lì)計(jì)劃。騰訊TSRC作為全國(guó)首家企業(yè)自建的漏洞提交平臺(tái),通過(guò)獎(jiǎng)勵(lì)反饋系統(tǒng)漏洞的安全研究人員,逐漸搭建出一個(gè)健康運(yùn)轉(zhuǎn)、良性循環(huán)的生態(tài)系統(tǒng),與“白帽子”們一同捍衛(wèi)億萬(wàn)網(wǎng)絡(luò)用戶的安全。
市場(chǎng)化認(rèn)證
對(duì)人才培養(yǎng)更有利
如今“信息安全測(cè)試員”成為一種官方認(rèn)證的新職業(yè),這讓“白帽子”擁有了更加廣闊的舞臺(tái),并涌現(xiàn)出一批領(lǐng)先國(guó)際同行的人才。
不過(guò),從人才需求來(lái)看,360網(wǎng)絡(luò)安全大學(xué)聯(lián)合國(guó)內(nèi)職業(yè)發(fā)展平臺(tái)獵聘發(fā)布的《2019網(wǎng)絡(luò)安全行業(yè)人才發(fā)展研究報(bào)告》顯示,高端網(wǎng)絡(luò)安全人才需求整體保持高速增長(zhǎng)態(tài)勢(shì),但市場(chǎng)供給相對(duì)疲軟,人才緊缺指數(shù)偏高。其中“網(wǎng)絡(luò)與信息安全工程師”的人才緊缺指數(shù)達(dá)到3.1。報(bào)告顯示,普通行業(yè)(非網(wǎng)絡(luò)安全行業(yè))對(duì)安全運(yùn)維、項(xiàng)目經(jīng)理和安全專家類型的職位需求量最大,分別占總需求量的27.83%、9.24%和9.21%;而網(wǎng)絡(luò)安全行業(yè)對(duì)安全運(yùn)維、安全專家和滲透測(cè)試類型的職位需求量最大,分別占總需求量的22.79%、11.88%和10.75%。
記者查詢了解到,目前,我國(guó)并沒有相關(guān)職業(yè)要求,從事網(wǎng)絡(luò)信息安全的人員,必須持有相關(guān)職業(yè)證書,但如今,相關(guān)協(xié)會(huì)、信息產(chǎn)業(yè)部、領(lǐng)軍企業(yè)(華為等)都已推出較有行業(yè)影響力的培訓(xùn)、認(rèn)證項(xiàng)目,從業(yè)人員通過(guò)培訓(xùn)、考證的形式可獲得社會(huì)認(rèn)可進(jìn)入人才市場(chǎng)就業(yè)。
“現(xiàn)在國(guó)家有取消評(píng)價(jià)類職業(yè)技能認(rèn)證的趨勢(shì),將行業(yè)人才的培訓(xùn)、認(rèn)證、評(píng)價(jià)交給權(quán)威、專業(yè)的企業(yè)或智能部門、機(jī)構(gòu)來(lái)負(fù)責(zé),這樣一來(lái)專業(yè)性更強(qiáng)、二來(lái)含金量及對(duì)人才的針對(duì)性培養(yǎng)更有利。”上海嘉定區(qū)人社局相關(guān)負(fù)責(zé)人表示。
