吴翰清:我在2012年加入了安全宝,开始了一段创业的历程。在此之前一直在阿里巴巴从事安全工作,因为希望将自己的经验服务于更多的客户,所以我选择了创业。
目前安全宝致力于帮助企业客户变得更加的安全。我们希望将安全变成一种服务,而不是像过去的厂商一样只注重销售硬件和软件,因为很多客户对硬件和软件的使用并不理想,我们希望改变这一现状。
我们的客户里包括了很多耳熟能详的上市公司,以及一些即将上市的明星公司,主要来自电商、互联网金融、新闻门户、移动互联网等等。
东方安全:你是Web安全方面的专家,能否谈下Web应用攻击的危害及攻击特点?
吴翰清:每隔一段时间,OWASP都会总结TOP 10的威胁,参考这个就可以了。
我特别想指出的是,最近这几年的攻击技巧有了一个很大的变化,就是基于数据泄露而带来的撞库攻击。据了解黑客手中的数据已经多达几十亿条,从抽查来看,每十个人里有六个人的密码可能是泄露了的。这种攻击让黑客可以更简单和直接的攻击一些关键系统。
东方安全:你认为WAF(Web Application Firewall,Web应用防火墙)和IPS( Intrusion Prevention System,入侵防御系统)有什么异同?谁更适合防护Web应用?
吴翰清:WAF、IPS、下一代防火墙这几类产品从架构上来说都是串联在网络中通过实时分析阻断攻击请求。从专业性来说,WAF更适合防护Web应用。IPS等设备因为还要处理非HTTP协议的流量,从功能上来说更全面,但也正因为这样,所以需要多消耗一些资源在处理这些协议上。
东方安全:你在《白帽子讲Web安全》一书中的开篇第一章“我的安全世界观”里就提纲挈领的论述了安全的本质问题——安全问题的本质是信任的问题,能否详细的阐述下?另外,您怎么看“把风险降低到可以接受的范围就是安全”这个观点?
吴翰清:我在过去的工作经历中发现,设计的任何安全方案其实都不是绝对的,世上没有绝对的安全。当你提出一个可行的解决方案,其基本点必然有需要依赖和信任的东西。而很多安全问题的出现,则正是出在这些“被信任”的点上,没有人事前会想到这些地方会出问题。所以我提出了“安全问题的本质是信任的问题”这个说法。
另外最近越来越火的一个概念是“入侵容忍”。从防御的一方来说往往都是被动的,不怕贼偷就怕贼惦记,想做到千日防贼是很难的。所以安全专家们提出了一设想,可以一定程度上允许黑客入侵,只要黑客入侵后拿不到他想要的东西就可以了。“入侵容忍”正是基于这种思想,把最重要、最核心的东西层层保护起来,这往往比设计一个大而全的解决方案要更有效和务实。
东方安全:您曾说“中国最优秀的安全人才,出国了一批,自己开公司了一批,跑去做黑产了一批,看着安全行业没前途于是转行了一批,剩下还留守在这个行业里的人已经是最苦逼的一批了。”那么在您看来安全工程师的核心竞争力在哪里?以及未来前景如何?
吴翰清:在过去安全行业的发展不是很好,很多公司守了十多年才有上市的机会。在这个过程中很多优秀的工程师都流失了,这是这个行业的损失,也是中国互联网的损失。
但技术在不断的发展,在很多新兴的领域必然会涌现出巨大的安全需求,比如移动互联网、可穿戴设备、智能家居等。今天我们看到的未来里,机会是巨大的。这些机会不是单纯的来自于安全行业的机会,而是来自于互联网应用成几何级数的爆发,互联网正在飞速的改变我们的生活。
而中国的安全人才又非常的稀缺,所以在很长一段时间内都将供小于求。我们最近已经观察到安全行业的平均薪水在不断提高,在很多地方都是高于程序员、运维等工种的。所以我个人对未来安全工程师的前景比较乐观,反倒是有些担心人才数量和质量会跟不上时代的需求。
安全工程师的核心竞争力仍然将来自于对技术的创新能力,以及经验的积累。安全工程师是一个需要经验积累的岗位,工作经验越丰富,越有价值。
东方安全:能否讲一下安全宝目前的发展状况?您对即将踏入安全行业的新人最想说的话是什么?
吴翰清:安全宝目前开始专注于服务企业市场,我们的业务也开始呈现出多元化的趋势,不再像过去一样执着于某一个产品。但我们的核心理念始终没有变化,就是将安全变成一种服务,降低企业在安全上的使用成本。
从去年Q4开始我们调整了战略,目前看来这半年多的变化非常成功,我们通过快速试错已经找到了几条正确的路。我现在不再为发展方向而发愁,也不再为资金发愁,每天发愁的事情是订单已经排到一个月以后,产能跟不上怎么办。所以我们非常希望行业里的顶级人才能加盟我们。在人才政策上我奉行的是精英策略,宁缺毋滥。我们对人才的要求不仅仅是具备足够强的能力,同时还要求要能认同我们的理想。
对于即将踏入这个行业的新人们,首先我为你们选择这个行业而感到骄傲,因为所有愿意从事安全行业的人都是具有崇高节操的人,互联网因为你们的选择而变得更安全了一点点。然后我想告诉你们的是,这是一条需要耐得住寂寞和诱惑的路,但前程是光明的。