信息安全藍海，怎么入行

楊玄章

大家對信息安全有了基礎認知后，

可能有的同學還在將信將疑：

不是IT專業出身，沒有很強的代碼和IT運維基礎，

我該怎么做，我真的能做好么？

信息安全對手：黑客

曾幾何時，那些互聯網上的黑客給人的感覺就是閑（吃）著（飽）沒（了）事（撐） 干（的）的一些技術高手。早期的中國黑客是讀翻譯書本長大的，他們通過學習了大牛黑客的著作，嘗試著練習黑客技術。在那個全中國的IT和互聯網都剛剛起步的年代，很多系統管理員對于這方面的知識都是非常有限的。所以，我國的“小黑客”們雖然攻擊手法和擦除痕跡（俗稱擦腳印）都還不是很高超，但也還是“屢有斬獲”的。那時候，剛剛成長起來的中國黑客大多還是學生，往往不會做壞事。他們中很多人也只是想做點什么向自己心中的女神“炫技”，或者偷偷潛入到教務處的系統里，把自己不及格的成績改掉。

時至今日，信息安全顧問們的對手已經沒這么簡單了。

最新Verizon數據泄露報告（DBIR）的數字顯示，在大部分領域，全球信息安全攻擊者當中，70%以上已經是有組織有地位的犯罪團伙了。他們收費不菲，全世界范圍內能雇得起他們的客戶往往非富即貴。他們中的很多人已經不是那種不修邊幅、有點內向、彬彬有禮的極客形象了，而是正兒八經商人的樣子，身著名牌西裝，坐在私人會所或者頂級酒店的酒廊里面，和他們的客戶談價錢。他們中的一些人可能還是暗網中的大賣家，操縱著一些黑暗的利益集團。

在這種形勢下，這樣的黑客團伙做的事情也發生了很大的變化。如果我們翻看那些造成損失最大的信息安全事件，就會發現他們在攻破目標系統之后，往往不是立刻開始行動，而是潛伏下來，尋找最合適的時機下手。他們的目標已經不是當初的炫技或者表達訴求了，而是為了巨額的經濟利益，甚至是不明的政治利益。

我們的優勢

我們的對手畫像已經描出來了，有些同學不禁心里打鼓了：面對這么多強大的對手，我們這樣的IT和信息安全的雙重菜鳥能是他們的對手么？和計算機專業的同學相比，我們真的有優勢么？

結論自然是肯定的。上期我們談到了非IT專業的同學在各自專業領域里的理解和浸潤本身就是一個很大的優勢。在很多政府和企業的安全運營中心（SOC）中，都會有該組織所涉及業務領域的專家。他們既懂得組織中的核心業務領域的知識，又有信息安全的背景，我們把這樣的角色稱為SME（Subject Matter Expert）。

因為IT專業甚至是信息安全科班出身的人往往有一些自身的局限性。經過多年的IT實踐，他們對某些著名的公司或者工具深信不疑。很多攻擊者就是利用這樣的習慣，展開行動的。下面就是兩個例子：

事件1.Putty中文管理工具被植入后門，竊取管理員SSH用戶名密碼

不了解Putty的同學可能要學習一下了，這是信息管理領域大名鼎鼎的免費遠程登陸工具，可以在Windows下通過安全通道SSH來登陸到任何一臺Linux或者Unix主機上展開操作。習慣用Windows客戶端的程序員們最喜歡它了。

原本Putty英文版是沒什么問題的，有不少國內的熱心腸把Putty的界面漢化后，免費給大家使用，不過這當中也混雜了壞人。2012年，攻擊者漢化了一版Putty，在里面植入了自己的后門。發布后，他購買了相關的關鍵字在百度上的搜索排位，將自己注冊的域名在網站上進行推廣。幾步之后，就把自己的這個版本“洗”成正統中文Putty了。無數IT專業人士就這樣中招了，在他們下載使用之后，攻擊者通過這個后門竊取管理員所輸入的SSH用戶名與口令，并將其發送至指定服務器上。

事件2.XcodeGhost蘋果開發者工具被捆綁惡意代碼

說起Xcode來，蘋果MAC和iOS平臺上的開發者一定不陌生，這個蘋果公司發布的開發工具是非常流行的。然而，Xcode比較大，蘋果又沒在中國大陸放鏡像，所以中國的開發者們下載Xcode往往很麻煩也很慢。2015年中旬，某個惡意代碼制造者通過在開發者論壇，打著“方便下載”的旗號，散布捆綁過病毒的Xcode 安裝包XcodeGhost，使得中國的蘋果開發者們在這個工具上編譯出來的蘋果App 被注入第三方的惡意代碼，向指定網站上傳用戶數據。

從上面這兩個例子中可以看出，科班出身的IT大拿們也不是無懈可擊。攻擊者利用他們一些先入為主的使用習慣來制造漏洞，很輕易地就制造了大面積的信息安全攻擊。其他專業的同學們反而沒有這樣的習慣，也就不會有這樣的風險了。

另外，在信息安全防護的框架中，管理流程也是很重要的一環。很多科班出身的人往往很重視技術，卻對安全流程嗤之以鼻。非IT出身的同學們反而沒有這個問題，他們更加中立，更容易遵循安全管理流程，更容易扮演好信息安全顧問的角色。

要入行，該學習什么？

上面提到，現如今最流行的安全攻擊已經不是簡單的炫技和搞小破壞了，而是更有組織有計劃的長期攻擊行為。在信息安全領域，這類破壞力最強最難防控的安全威脅被稱為APT（Advanced Persistent Threat）。APT背后的攻擊者往往目的性很強也非常有耐心，他們滲透到組織內部后，將惡意代碼和軟件植入IT系統中的關鍵環節。在時機不成熟時，他們往往在組織內部潛伏下來，不動聲色地觀察周邊的情況及在組織內部傳播，并周期性地匯報給組織外部的攻擊網絡。一旦他們發現想要的利益出現時，才展開大規模攻擊。

防控這樣的APT是非常非常難的，這不是一兩個IT高手或者信息安全大拿可以輕松搞定的。頂尖信息安全機構里的專家們針對這種情況，重新定義了信息安全框架。在這樣的框架中，人和技術仍然是重要因素，與此同時信息安全管理流程被擺在了很高的地位了。

在掌握一些信息安全的基礎知識之后，學習信息安全管理體系和流程是非常有必要的。在這個領域里，ISO/IEC 27001及相關系列標準是應用最廣泛的一個。這里面涵蓋大量的安全風險識別、評估、監控、處理、審計等多方面的內容。從信息安全管理的角度來重新定義信息安全防護，強化管理流程。對于非IT專業的同學來說，在流程上發力相對容易一些，而且可以取長補短，從一開始就建立對全面信息安全框架的認知。然而，IT專業的學生很多有根深蒂固的技術思維，有些人甚至會忽視管理流程。所以，這一點對于非信息安全科班出身的同學來說，是一個突破口。

找到了突破口，不等于真的不需要學習信息安全的基本技術。相反，如果要邁出第一步，找到一份實習或者工作，還是需要全面了解網絡安全、WEB安全和主機安全方面的多種攻擊方式原理和主流防控手段。這里面的內容很多，很難一下子吃透。而且，隨著安全設備和軟件廠商的進步，很多安全威脅已經不那么有威力了。但是全面的學習還是有助于培養在信息安全方面的感覺，對于通過面試還是非常有幫助的。

在信息安全領域要有所建樹，非一日之功，需要不斷地學習和實踐。盡管非IT專業出身的畢業生有機會隨著這股浪潮發揮自己的優勢進入這個領域，但是要在該領域走下去，仍然要不斷充實自己的安全知識，動手練習安全防控技能，熟練掌握各種安全廠商的產品和工具，不斷觀察各種惡意代碼的樣本，培養安全嗅覺……感謝偉大的互聯網，這些內容都可以在網絡上找到，剩下的就看個人的修行了。

責任編輯：方丹敏

對于非IT專業的同學來說，在流程上發力相對容易一些，而且可以取長補短，從一開始就建立對全面信息安全框架的認知。endprint