知道創(chuàng)宇周景平:人才短缺、監(jiān)管落地,網(wǎng)安行業(yè)如何破局

面對與日俱增的安全風險,網(wǎng)絡(luò)安全行業(yè)人才儲備卻略顯不足,既有供不應求的原因,也同行業(yè)人才培養(yǎng)模式相關(guān),亟待破局。

2345截圖20211028093243.png

如今,已經(jīng)進入萬物互聯(lián)時代,形式不受限、輻射范圍廣、影響領(lǐng)域深的網(wǎng)絡(luò)攻擊,急劇擴張并瘋狂肆虐,如何應對網(wǎng)絡(luò)威脅已成為關(guān)乎國防安全的重要議題。與此同時,攻防手段也變得更加智能、復雜。

然而,面對與日俱增的安全風險,網(wǎng)絡(luò)安全行業(yè)人才儲備卻略顯不足,既有供不應求的原因,也同行業(yè)人才培養(yǎng)模式相關(guān),亟待破局。

知道創(chuàng)宇主辦的第十屆KCon黑客大會上,數(shù)據(jù)猿采訪到了知道創(chuàng)宇CSO周景平,聽他講述網(wǎng)絡(luò)安全行業(yè)內(nèi)涵更迭、人才培養(yǎng)以及監(jiān)管之下的新變局。

2345截圖20211028093243.png

知道創(chuàng)宇CSO周景平

周景平(黑哥/Superhei),知道創(chuàng)宇首席安全官、404安全研究體系總負責人,業(yè)界“傳奇黑客”、“漏洞之王”。曾多次帶領(lǐng)404團隊發(fā)現(xiàn)并協(xié)助修復包括微軟、蘋果、騰訊、阿里等國內(nèi)外公司多個安全漏洞,并多次入選微軟MSRC全球年度TOP100感謝名單。

成立于2007年的知道創(chuàng)宇,是一家以AI+安全大數(shù)據(jù)為底層能力,提供云防御、云監(jiān)測、云測繪產(chǎn)品與服務(wù)的網(wǎng)絡(luò)安全公司。作為國內(nèi)較早提出云監(jiān)測與云防御理念的網(wǎng)絡(luò)安全公司之一,知道創(chuàng)宇經(jīng)過多年的積累,利用在云計算及大數(shù)據(jù)處理方面的行業(yè)先進能力,為客戶提供具備國際先進安全技術(shù)標準的可視化解決方案。

風險圍城,聚焦安全核心價值

文藝復興時期的代表人物阿爾伯蒂有一句名言:任何一種藝術(shù),不管是否重要,如果你想要在該領(lǐng)域出類拔萃,就必須全身心投入。而在周景平眼里,黑客技術(shù)并不亞于藝術(shù)。

黑客以動機劃分,一類是精通網(wǎng)絡(luò)軟硬件技術(shù),聚焦操作系統(tǒng)和應用軟件的漏洞的白帽黑客,另一類是以破壞特定系統(tǒng)為目標,以竊取信息、破壞系統(tǒng)資源為目的的黑帽黑客。

顯然,周景平屬于前者。在他眼里,安全更多作為計算機業(yè)務(wù)的屬性,隨著計算機業(yè)務(wù)的發(fā)展而升級迭代:“以前我們對互聯(lián)網(wǎng)的印象很可能就停留在網(wǎng)站層面,但現(xiàn)在傳統(tǒng)互聯(lián)網(wǎng)已經(jīng)發(fā)展過渡到了移動互聯(lián)時代,正朝向萬物互聯(lián)時代發(fā)展,所以網(wǎng)絡(luò)安全的攻擊面也在擴大,安全風險也越來越多。”

同時,周景平告訴數(shù)據(jù)猿,當下的網(wǎng)絡(luò)世界同個人信息高度綁定,個人身份也已從現(xiàn)實世界投射到網(wǎng)絡(luò)空間里,從而為網(wǎng)絡(luò)安全提出了新的考驗。

“現(xiàn)實生活的人絕大部分數(shù)據(jù)與信息都會上傳到互聯(lián)網(wǎng)上,從而形成一個電子化人物形象,好比現(xiàn)實中的分身。所以對個體而言,安全風險也在拓展,電信詐騙、敲詐勒索這一類問題層出不窮。”周景平介紹到。

周景平所言不假,據(jù)《2020中國網(wǎng)絡(luò)誠信發(fā)展報告》顯示,僅有14.8%的被調(diào)查者從未遭遇過個人信息泄露,這些信息隱秘地流向灰黑產(chǎn)業(yè),通過QQ群、論壇、暗網(wǎng)等渠道進行交易。

而據(jù)中國銀聯(lián)2018年大數(shù)據(jù)統(tǒng)計分析顯示,超過90%的電信詐騙是由于個人信息泄露引致,足以說明當下與日俱增的網(wǎng)絡(luò)安全風險。

2345截圖20211028093243.png

然而,受互聯(lián)網(wǎng)攻擊面持續(xù)擴大影響的遠不止個體。據(jù)環(huán)球網(wǎng)消息,美國、印度、日本等在中國周邊構(gòu)筑網(wǎng)絡(luò)安全的包圍圈,惡意針對我國開展網(wǎng)絡(luò)攻擊和溯源活動,竊取我國要害部門的敏感信息,使我國面臨的周邊網(wǎng)絡(luò)安全風險急劇增加。

“對于國家而言,隨著信息化進程的推進,政務(wù)系統(tǒng)、基礎(chǔ)設(shè)施都將接入網(wǎng)絡(luò),網(wǎng)絡(luò)安全問題自然上升到了國家層面,甚至關(guān)乎國家安全。”周景平解釋道。

正所謂兵來將擋水來土掩,面對日益嚴重的網(wǎng)絡(luò)安全局勢,迎戰(zhàn)成為了唯一的選擇。然而,新兵上陣,難免會缺乏經(jīng)驗,成長亦然需要時間。

對此,周景平談到:“過去,我們網(wǎng)絡(luò)安全做設(shè)備就像是閉門造車,客戶購買設(shè)備后一是不知如何使用,二是缺乏對效果的回溯,導致整個過程仿佛只是機械式地完成任務(wù)一般,很難真正起到安全保障的價值。”

上訴亂象,只是暫時的。周景平告訴我們,隨著國家相關(guān)政策的更新,對于網(wǎng)絡(luò)安全事件的考核、回溯機制正有序建立,正引領(lǐng)產(chǎn)業(yè)朝向積極面進擊。

“一旦出現(xiàn)安全事故,便很可能影響業(yè)務(wù)與流動,所以大家漸漸產(chǎn)生了共同點,客戶需求得以細化,達成一致的點也越來越多了。在此過程中,我們按需求也實實在在地解決了許多問題,真正覆蓋了用戶的核心痛點,在我看來這是我們做安全技術(shù)研究的核心價值。”周景平感慨道。

值得注意的是,“漏洞之王”黑哥并非正統(tǒng)“網(wǎng)安技術(shù)”出身,黑哥周景平曾是一名有5年多從業(yè)經(jīng)驗的外科醫(yī)生,后出于這份對技術(shù)研究的熱愛,崛起于網(wǎng)安江湖。雖說這樣的故事令人津津樂道,但似乎也折射出網(wǎng)絡(luò)安全領(lǐng)域人才難尋的問題。

人才缺口,構(gòu)建產(chǎn)學研合作體系

據(jù)BOSS直聘數(shù)據(jù),目前我國網(wǎng)絡(luò)安全專業(yè)人才缺口預估在50萬以上,但每年網(wǎng)絡(luò)安全相關(guān)專業(yè)的高校畢業(yè)生規(guī)模僅2萬余人,整體人才缺口較大。

對此,周景平談到:“在我們那個時代,都沒有網(wǎng)絡(luò)安全這個學科,所以大家都出身草莽?,F(xiàn)在好了,很多大學都開設(shè)了網(wǎng)絡(luò)安全相關(guān)學科,為我們培養(yǎng)了大量網(wǎng)安人才。但人才培養(yǎng)始終存在時間,不是一朝一夕就能完成的,有時甚至人才培養(yǎng)還跟不上業(yè)務(wù)發(fā)展速度,所以實際人才缺口還是非常大的。”

正如周景平所言,網(wǎng)絡(luò)安全行業(yè)對于個人技術(shù)能力要求較高,尤其是部分核心技術(shù)研發(fā)崗位,更是要求人才具備豐富實戰(zhàn)攻防經(jīng)驗。因此,資深人才短缺,新人培養(yǎng)和留育難度大逐漸成為了網(wǎng)絡(luò)安全行業(yè)普遍面臨的人才挑戰(zhàn)。

對此,周景平表示:“目前行業(yè)對人才的高要求直接反映在了平均薪資待遇上,網(wǎng)絡(luò)安全場景往往會高于普通的IT開發(fā)場景,如果人人都可以的話,待遇也就不會那么好了。”

不過,周景平也坦言,盡管人才缺口仍在,但一切卻朝著好的方向發(fā)展。“隨著待遇的逐漸提升以及國家層面的重視,越來越多的年輕人將目光投向了網(wǎng)絡(luò)安全行業(yè)。而現(xiàn)在的年輕人不比我們當年,技術(shù)要扎實多了,也懂得如何解決問題,出來后可以迅速地融入工業(yè)界。”周景平談道。

而形勢向好之下,產(chǎn)學研用成為了吸納人才的新命題。周景平告訴數(shù)據(jù)猿,他們這些網(wǎng)絡(luò)安全團隊亦或是企業(yè)其實一直想與學術(shù)界,尤其是高校資源形成比較好的循環(huán),也有同一些高校立建立有合作機制,為其儲備了人才。

2345截圖20211028093243.png

“我們摸爬滾打這么多年也算是建立起了些影響力,而一些小伙子在學生階段可能就對我們比較向往,愿意到我們公司來學習工作,創(chuàng)造價值。目前,許多小伙伴都是從學校畢業(yè)后就直接到我們這邊實習,這已經(jīng)形成了一個相對成熟的人才培養(yǎng)流程。”周景平介紹道。

除了從高校汲取人才,另一方面,知道創(chuàng)宇也在向高校傳遞技術(shù)與數(shù)據(jù)積淀:“部分高校能夠通過我們這些工具與數(shù)據(jù)去做研究,進而產(chǎn)生出頗具影響力的論文也好,研究成果也罷,對我們雙方都是有價值的。我們也寄希望于同各大高校建立更強的溝通與聯(lián)系,為高校提供技術(shù)支持。”

不過,一方是企業(yè),一方是高校,雙方的訴求很難一致,利益的沖突自然也無法避免。

“有時候企業(yè)與企業(yè)間的合作,雙方往往會互設(shè)門檻,而同高校合作雖然利益分配問題要弱化很多,但仍舊客觀存在,從而導致一些項目難以落地,畢竟抱有太強的功利性,味道可能就不一樣了。”周景平坦言:

“因此,我們現(xiàn)在的高校合作計劃就是廣撒網(wǎng),姜太公釣魚愿者上鉤,希望能尋求一些真正有價值的合作,對碰出新的火花。“

監(jiān)管落地,以積極面擁抱合規(guī)

2021年9月1日,《中華人民共和國數(shù)據(jù)安全法》施行;11日1日,《個人信息保護法》施行,圍繞數(shù)據(jù)的暗戰(zhàn)也即將走向終局,加強個人信息、數(shù)據(jù)安全保護和監(jiān)督管理制度建設(shè)也成為數(shù)字經(jīng)濟下一階段的新命題。

而對于網(wǎng)絡(luò)安全行業(yè)而言,這既是機遇,亦是挑戰(zhàn)。

對此,周景平表示,監(jiān)管趨嚴是走向規(guī)范化的必然,也是社會發(fā)展與國家網(wǎng)絡(luò)安全發(fā)展的必然結(jié)果,而對于網(wǎng)絡(luò)安全行業(yè)而言,影響也在所難免。

“《數(shù)據(jù)安全法》與《個人信息保護法》要求各企業(yè)遵循相關(guān)安全標準,這實際上是刺激了整個安全市場的成長。因為在此之前并沒有相關(guān)法規(guī)限制,現(xiàn)在企業(yè)要補足完善這一方面勢必會需要技術(shù)支持,得益于此,安全市場也將在無形當中擴大。”

不過,相較于對行業(yè)的利好,周景平更關(guān)注趨嚴的監(jiān)管對于行業(yè)的掣肘。

周景平告訴數(shù)據(jù)猿:“對安全行業(yè)而言,政策帶來的負面影響雖不可避免,但也不必過度焦慮。在以發(fā)現(xiàn)漏洞為例,法律法規(guī)層面早有規(guī)范,只是將過去民間約定俗成的流程上升到官方理論要求,安全從業(yè)者只要遵循規(guī)范,就不必擔心違法風險。”

2345截圖20211028093243.png

正如其所言,《數(shù)據(jù)安全法》里明確指出了國家支持數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全技術(shù)研究,并鼓勵數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全等領(lǐng)域的技術(shù)推廣和商業(yè)創(chuàng)新,培育、發(fā)展數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全產(chǎn)品、產(chǎn)業(yè)體系,對安全行業(yè)報以肯定態(tài)度。

因此,規(guī)范化流程成為了安全行業(yè)合規(guī)的關(guān)鍵,尤其是對新人而言。

“監(jiān)管落地,我們這批人其實并沒有特別緊張,因為從過去到現(xiàn)在我們都是合規(guī)的。但某些剛?cè)腴T的同學很有可能不太了解相關(guān)細則,使用某些學習成本相對較低但合規(guī)風險較高的技術(shù),從而導致很大的影響。”

除此之外,周景平也強調(diào):“網(wǎng)絡(luò)安全技術(shù)實戰(zhàn)性較強,唯有實踐才能提升技術(shù)水平,但在監(jiān)管的壓力之下,圍繞技術(shù)本身的討論、分析氛圍很可能將受影響,因為大家都會有所顧慮,有成果也不敢撰寫、發(fā)表出來。這與其說是束縛,不如說是規(guī)范,國家層面制定法律法規(guī)自然有其出發(fā)點,順應法規(guī)、調(diào)整思路自是必然。”

話雖如此,但作為培養(yǎng)核心安全研究團隊的知道創(chuàng)宇,也在針對現(xiàn)行法規(guī)中未加規(guī)范之處向國家有關(guān)部門提交意見,幫助法規(guī)補全完善,而這,也體現(xiàn)了知道創(chuàng)宇“不忘初心,為國為民”的企業(yè)內(nèi)涵。

成立之初,知道創(chuàng)宇就以成就更高社會價值為目標,安全不僅要為國,也要為民。為此,知道創(chuàng)宇建立了全方位安全保障體系,不僅為政府及企業(yè)提供先進的網(wǎng)絡(luò)安全解決方案,捍衛(wèi)國家網(wǎng)絡(luò)核心資源安全、保護企業(yè)網(wǎng)上業(yè)務(wù)安全,同時也致力于網(wǎng)民消費安全保障,不斷加大力度打擊電信網(wǎng)絡(luò)詐騙,為國家重大活動提供網(wǎng)絡(luò)安全保障。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論