BYR Achieve · 镜像论坛

分享：关于安全这个圈子……有话说

2011/11/17镜像同步35 回复

圈内一个做安全的人写的，姑且参考吧。最近，不止一个朋友和我说：不想干这个行业了。我问为什么？说感觉有点像骗人。并且几个都和我这么说。我说你强大的忽悠能力，骗了这么多人，突然良心发现了？其实，安静下来想：自己有时候也在考虑这个问题——我们的所作所为，到底多少是真的从客户角度出发？客户的每一分钱，是否真的花到了点子上？ ——不仅我犯嘀咕，可能犯嘀咕的人很多。用户关心的，其实不是卖多少设备，而是：我最关心的问题，到底解决了没有？防火墙厂商说：不买防火墙怎么行？这是基本安全措施；杀毒软件厂商说：你有本事不买杀毒啊？网络层、主机层都要啊！ IPS厂商说：不支持阻断的IDS不是好防火墙……（理解下）；主机管理厂家说：打印、U盘、文件控制，一个都不能少； WAF厂家说：没有防篡改功能的WAF不靠谱啊…… 实际上呢？现在的网络环境下： UTM是不敢开全功能的，否则就设备就挂了；很多IPS都是配置成旁路的，否则网就挂了；很多主机审计都是被使用者骂的——不是因为功能，是因为性能；很多WAF和防篡改是防不住一个内心坚定的黑客的。厂家的人，给你做安全咨询，仅仅是为了卖掉自己的产品；集成商的人，给你做安全咨询，仅仅是为了卖利润高的产品。那么，这样一来，到底谁关心你的业务？这也就是本文开头说的，几个朋友都说自己像是个骗子。因为不可能站在客户的角度出发去做安全，而是站在厂家、站在赚钱的角度去设计方案。如此一来，安全，成了赚钱之外的另一个目标。国内，就是这样的现实。今天下午，看到国内有名的漏洞公开网站乌云关闭了，看到说法是： @乌云-漏洞报告平台：真是奇怪的互联网啊，要求我们删除漏洞遭拒绝，然后就非正常的把我备案取消，然后再通过IDC说没有备案要求关网站乌云要跟各位短暂的说再见了..... 而前两天，网络世界的一名编辑也发了这么一条： @Mister诺诺：越是智能的东西，漏洞越多。通过智能电话的一个漏洞就控制了整个网络的时代并不太远。有同学给某外国智能设备提供商上报漏洞，结果换来了恶劣的态度。其实，此同学发现了四个了，但最后只上报了一个。不知道直接上报给此公司的总部会不会也是这样的态度？这么大一个品牌的公司，员工竟然是这样的素质。总之，国内就这样的环境，能如何？有时候，我倒是更赞成，遇到这些厂家出问题，直接公开得了…… 前一段一个客户测试WAF，测试了三四家，发现没有一家能抗住专业渗透团队的攻击，无一幸免。对此，无言。多数安全厂家，在忽悠客户能力上，比研发研发能力、技术支持能力、售后服务能力强得多。有时候，说安全圈，也是个娱乐圈，感觉也不是那么过分了。

订阅后，新回复会通过你的通知中心匿名送达。