互联网公司的安全及其安全团队
互联网公司的安全及其安全团队
我们在做什么?将走向何方?
   
这本来是一个极具有哲学意味的命题,在读大学的时候,我的心理课程老师就专门给我们上过一堂这样的课。但今天在这里,我并不想探讨任何哲学或者人生的问题,只是想讲讲我对甲方安全发展方向的一些理解。对面临就业选择的朋友来说,可以作为一个参考。
甲方在这里就是指安全不是核心业务的企业,比如google,比如apple;相对而言,乙方就是指安全厂商、防病毒厂商了。一般来说,乙方的主要以安全产品或者安全服务为主。
在几年前,甲方招安全人员一般都是放到运维部门,主要工作还是扫描和服务器加固等。这也为乙方的生存和发展提供了市场。乙方到甲方做渗透测试、安全评估,然后出个安全解决方案,最后再把一大堆产品卖给甲方。
但是实际上,甲方的问题还是难以得到很好的解决,因为乙方毕竟是外来的和尚,念完经就走
了,留下一堆文档和产品应付检查,但是文档和策略需要人去执行,产品需要人去维护,如果业务发生了变更,安全策略也需要跟着发生变更。如果没有人维护,那么很多产品都会用不好。做安全只做了个半调子,才是最可怕的。
IDS/IPS就是最好的例子,这个玩意说起来很唬人,市场也卖的很好,但是真正挡住了多少黑客攻击?估计抓的最多的还是漫无目的的蠕虫。人用不好产品,才是问题的关键。很多时候,这就是甲方的安全人员存在的意义,让这一切很好的执行下去。
互联网企业发展到了今天,已经出现了很多庞然大物,在如此恶劣的网络环境下,互联网企业都开始重视安全。互联网公司很早就招了自己的安全人员,正如之前说的那样,一开始,一般是放在运维部门下。后来随着这个部门的壮大,开始覆盖更多的工作,比如WEB安全。
因为部门壮大了,所以就能做更多的事情。乙方出于对市场的追求,其产品已经无法满足各个不同互联网公司的个性化需求,所以对于业务增长极其迅速的互联网企业来说,很多安全产品只能开始走自主研发的路线。在中国的互联网公司里,腾讯是走在最前面的。
腾讯很早就开始在研发自己的安全产品,比如扫描器、钓鱼网站检测、反欺诈、桌面安全(QQ医生)等,很多很多,到现在应该做的更好了。
阿里巴巴也是一样,我们在各个领域研发自己的安全产品,咋一听像是小安全公司。这是种很奇特的现象,因为我们的客户只有一个,就是我们公司自己。我们也需要做各种各样的安全研究和研发。和几年前比,现在的甲方安全显然更加的专业了。
曾经有朋友问我们是否有意向购买WAF(Web Application Firewall),我笑言道,我们自己做WAF。我们当然不会真的去做个box叫做WAF然后摆在网站的最前面,我们的思路是WAF对抗的各种威胁,全部分析清楚,然后开发对应的方案或产品部署在我们网站的架构中,在最合适的地方做最合适的方案,完完全全的为我们自己定制化一套方案和产品。这是任何一家安全厂商都很难或者是无法做到的。比如某个安全厂商是做WAF的,那么这个产品势必是为了满足大多数企业的需求,很难实现真正的个性化,更不要说后期维护的事情,毕竟专门投一个人给某一家客户做维护,成本还是相当大的。
为什么说个性化如此重要?为什么很多时候必须得自主研发?举个例子,淘宝目前有上百个产品线,但是没有哪个人能够说清楚到底都有哪些产品。为什么?因为这些产品每天都在发生变化,每天都有新产品线出现或变更,对于这样的一个高速发展的庞然大物,不走自主定制的路线,是很难满足需求的。
当然这也不是说甲方就完全不需要购买安全产品了。一些基础安全需求,还是需要通过购买产品来解决的。比如大多数企业的桌面安全,杀毒软件等,可能需要购买。像防火墙这种设备则更是必不可少(除非你的网络方案真的很特别)。而对于很多在快速发展业务的互联网公司来说,没有太多的精力去做安全,可以适当的购买产品或方案以应付眼前紧迫的安全需求。
在国外的大型互联网企业,安全的自主研究、研发则相对更加成熟了。
苹果的appstore,是让开发者自己提交2进制代码到appstore上,我们曾经有一个疑问,如果开发者提交了恶意代码,或者是有攻击性的程序,appstore如何去审核呢?后来想到苹果的操作系统是自己做的,他们完全可以在OS上实现个sandbox,所以这个问题相对也好解决了(我不玩iphone,说的不对勿怪)。所以,这个sandbox,则完全需要apple的人自己来设计和实现,没有别的厂商能帮他们做。
类似的,google则做了更多的事情:chrome的安全模型、GAE安全、搜索内容过滤(情等,涉及到很多算法方面的技术)。前段时间闹的很火的linux kenerl的空指针漏洞,exploit就利用了google的Tavis Ormandy发现的一个映射内存到0地址的技巧,他最近又发现了哪个
windows内核提权漏洞,影响vista、windows7和2008。很难想象google的人会跑去研究软件漏洞吧?
yahoo也是让人敬仰的,在若干年前(至少大于5),他们就自己开发了扫描器去扫自己所有的页面的XSS。yahoo的apache是自己定制的,叫yapache;机器上装的OS也是freebsd改的,在这个过程中,很难想象没有安全专家的参与。而定制、修改webserver、OS,对于安全专家的吸引力是非常非常大的。
互联网公司的业务发展的越迅速,相应对安全的需求也就越高、越迫切。所以我前面有篇blog里提到,在互联网公司,永远会有非常多的新挑战在等着你。
前些时候,我与某资深黑客聊天的时候,说起我们的工作,他感觉web安全除了XSS,CSRF,SQL INJECT等就没啥了。我无言以对,因为我们已经在做很多的事情,并正在构思更多的事情,都不知道该从何说起了。SDL已经是2年前的重点,虽然我们会持续坚持把SDL做下去并做好,但是现在安全的产品线已经铺开,有更多的挑战在等我们。
(出于保密性的问题,我不会在blog过多的谈论我们的具体工作内容,所以最近扯淡越来越多,技术文章越来越少,因为大部分时间都在做公司的工作,需要保密 #_#)
以前读大学的时候,经常在论坛里看到的一句话就是:“破坏永远比建设容易”,很多老一辈的黑帽子们总是会用这句话教诲新人,虽然当时我也听进去了,但是直到今天,才对这句话有了深刻的理解。
熟悉各种hacking技巧,熟练掌握各种漏洞利用工具,在今天已经比较难以符合我们对人才的要求。两年前我们就意识到已经不太需要纯粹的乙方安服人员,如果应聘者只懂渗透的话。渗透技术在我们这里已经是最低要求,我们更看重的是其他方面的优势。比如对某方面有深刻的理解,比如kj -- 精通java与oracle安全,比如wzt -- 精通linux内核安全,或者是经验极其丰富的专家,比如hawk,云舒,或者是既精通安全又擅长开发,比如cnqing。部门还有很多牛人,各有所长,不一一说了。
讲这么多,其实也就是想说,今天的甲方安全和几年前比已经有了很大的不同。在一个高速发展的互联网公司里,技术挑战是日新月异的,一切皆有可能。年前和wzt聊天时,他也有感慨,现在给他做的东西是极其富有挑战性的,我告诉他,未来只会更多。
所以,如果还停留在每天修修补补几个漏洞上面,还停留在几年前的安全行业状况上,这样的企业安全,是在原地踏步。大型互联网公司安全的发展方向,势必是要将安全作为核心技
术牢牢的把握在自己手上
Kussa:腾讯、百度、阿里巴巴、盛大、网易、迅雷这些互联网公司越做越大,重合的地方也很多,比如腾讯/百度/阿里巴巴都分别从IM/搜索/电子商务出发,又都严重覆盖和依赖其他两种业务,大家对他们的发展和竞争的走向有什么看法呢?
关于上述互联网公司的安全团队中做安全,和在绿盟/天融信/启明星辰这样的专业安全公司做安全似乎也很不一样,大家也聊聊吧:)
企业搜索软件主要是今天看到这样一篇文章:
百度CTO李一男和COO叶鹏同时离职了。再加上之前陆续离职的联合创始人和若干CTO和COO,李彦宏的高管团队保持着业内最快的“新陈代谢”频率。业内有人评论,Robin同学需要反省高管引入机制,但远水不救近火。
所谓近火,就是传说中百度高层一段时间来所进行的争论:百度是继续专注于搜索,还是尽快赚钱壮大势力。若是前者,就要继续紧盯“整合全球中文信息”这个目标、以Google为参照系、对比如去年李一男空降伊始重推的阿拉丁计划做主力投入。若是后者,就要废弃Robin
本人“不做游戏,不做短信,不做弹出广告,这样才能把搜索做好”的早年论断,什么最有钱景就做什么,不管是游戏、短信、还是弹出广告。
听说这场争论被Robin一锤定音:赚钱最紧要。于是一帮百度高层离去了,他们觉得赚钱没意义,像Google那样骄傲的探索才对得起自己的青春。离职的不止CXO这个级别,还跟着一些中高层,相应的人事变动接踵而来,比如创新发展部的主管VP就由就由任旭阳换成了SVP沈浩瑜。
再接下来,一些本来进行中的项目也被断然废弃,比如跟178游戏网达成的合作:178承建百度游戏频道,百度推广并卖广告,双方分成。这个套路是百度作为一个信息整合者这个传统定位所能涵盖的,也是百度之前探索过的路子。但据说新思路是:百度不赚此类拉广告的小钱,而要自己研发和运营游戏,直接赚大钱。看起来,Robin真的要率领百度“转向”了。这在百度历史和互联网格局上,都是大事。
为什么要转型?
2009年Q3,百度收入1.9亿美金,运营利润近8千万。在中国互联网公司里大致排第三,仅
次于腾讯和盛大。同时,百度收入还保持40%的同比增长,手里有6亿美金闲钱。就这么一个看起来很豪华的家底,但Robin并不满足,还是要“转型”,去挣更多的钱。
这个压力当然来自腾讯。同样的2009年Q3,腾讯收入5亿美金,运营利润2.5亿。分别是百度的2.6倍和3倍。腾讯收入和利润的同比增长率分别是66%和107%,远高于百度的40%。现金储备是16亿美金,是百度2.7倍。按照这个发展趋势下去,腾讯和百度的距离会很快会是5倍,甚至10倍。那个时候,大家就不在一个量级了。
腾讯这么赚钱,是因为腾讯就是“什么赚钱就做什么”,而百度一直仅仅依靠竞价排名一个核心业务。目前腾讯每季度5亿收入里,有广告、大型网游、休闲游戏、虚拟物品、无线四块,其中比例最大、利润最高的是游戏,同时游戏也是互联网所有业务线里市场规模最大、利润最厚、仍然江山未定波起云涌的一个。很自然,百度要赚钱,第一个冲刺的也是游戏。
如果单说赚钱,百度没必要怕腾讯。中移动和地产商也很赚钱,百度肯定不怕它们。不一样的关键是:腾讯赚钱的方式迟早要抽掉百度的老底。
腾讯有一个黏性巨大的QQ用户,其赚钱战略是:当有什么商业模式成熟了,就把这个模
式导入我的用户,然后迅速获得收入。比如早先是模仿韩国人做虚拟物品买卖,跟着中移动捞SP的钱,后来跟着新浪们做门户拉广告,再后来跟着盛大们做大型网游。现在大家都看清楚了,电子商务又尤其是B2C要井喷了,于是QQ也开始大做商城项目了,QQ用户也可以通过财付通定机票和酒店了。螳螂捕蝉,黄雀在后。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。