自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

安全没有神秘感，但处处是错觉

     文 | 王忠惠

无论是数字化生存，还是业务线上化，网络安全总是不可或缺的存在，但也总是在业务隐蔽的角度。一方面安全从业的门槛并不高，确实人人可以为之；但另一方面，却只有为数不多的人能够到达职业或能力的最高度。看似欣欣向荣的背后，却在通过堆叠制度、工具和人力去解决不那么高级、漂亮、美丽的问题，那些写在纸面上的规范流程，但凡看过一遍，绝无有再看一次的冲动。

这是一个到处充满个体矛盾的行业，充满自嗨，却又希望外人偶尔能够对其平视一番。这群人总在聊“我怎么教你坏的事情”，却又时时刻刻地提醒你不能使坏、规矩点，因为“大兄弟在看着你”。

在做完又一场安全意识培训的时候，早已不会因教会大家用押韵的诗词记忆密码而洋洋自得。弱口令是一件愚蠢而又无聊的事情，但是该死的，这些密码真的很好用，而且越是频繁更改密码，越是无法记忆复杂密码。虽然NIST早已经出台密码安全新标准“不再强制用户定期修改密码和使用复杂字符密码”，这也符合现实——关键账户的密码我已经用了十几年了，很好很安全；但是企业的安全策略还停留在定期更换密码，以及总在开发测试、生产办公等各类系统上发现弱密码的阶段。当工具和系统强制你只能通过记忆密码来进行登录的时候，最终就需要一个符合大脑突触稳定的符号，节省大脑消耗、便于记忆的弱密码。

回到身份认证的基本原则：1、What you have，2、What you know，3、What you are。一般情况下，证明你是你比证明你不是谁更困难。由于冒名顶替、账号泄露、中间人攻击等各种威胁方式的存在，身份认证就比密码记忆更困难了。索性当你变成手机的时候，我们通过验证手机来验证你就变得容易得多。短信认证、扫描登录、软件OTP口令等等，一些动态的无密码方案逐步成熟。如果可以让企业保存你的好友关系，每一次认证可以让记录中的好友给你确认，那将更是一件美妙的事情。因为配备了摄像头，关键系统的登录认证还可以配合真人核验。不过距离无密码认证，还需要任何一家企业投入大量的时间和资金去改善现有的信息系统。

无论是业务还是技术，都想要弱化错误配置的影响，毕竟这是一个容易规避又不伤大雅的问题。为了方便远程管理，把SSH、RDP、MySQL用非标端口映射到公网，开发调试时，开发框架的默认配置可以方便地查看接口、配置信息。一个可以任意读写的对象存储桶（Bucket）可以更快捷地管理和使用数据。就好像原本没有错误配置这一说，而是安全随意加码的限制，因为在源代码编码一个API访问秘钥确实太香了。

但是，当成百上亿的用户、订单、物流信息被他人随意访问的时候，又觉得此事非常头疼。更头疼的是，云产品上百种，每种产品又有几十种特性，任何几种特性的组合就足够把海量数据轻易地拷贝走。同时，针对安全错误配置一直是缺乏工具并消耗人力的事情。

到底该责备自己，还是该责备安全。正如“是漏洞、是Bug、还是特性”的世纪大讨论，错误配置的发生同弱口令一样无趣。好的产品首先应该是安全的，采用“默认安全”的产品设计原则，在“可用性”和“安全性”难以两全的场景中，优先保障“安全性”，在此基础上，尽可能追求“易用性”。虽然不同行业的安全要求不一，且任何产品都无法承诺默认配置符合所有行业的标准，更不意味着“绝对安全”，但需要追求最大程度上的“开箱即安全”。

近十年来，网络安全产品的普及率大大提升，从防火墙、VPN、WAF到IDPS、NTA，终端侧还有防病毒和EDR，再配合数据安全防泄漏各类安全产品形成的一套组合拳，妥妥应该就是铁桶一个了；更豪华的，还有安全分析运营和高级威胁检测。不过漏洞照旧存在，入侵照样进行，数据仍旧被泄露，偶尔还会有因使用了绿色软件造成的勒索、挖矿或者木马事件，足够让当事人操心。如何可以问责？是否应该先问责那些安全厂商？

是攻击者太厉害，还是攻击者太过狡猾。前几年还能够听到某某安全产品因为存在漏洞，在网络攻防演练时被一举拿下的事例。虽然近年来确实减少，但是私下的讨论依旧少不了。开展安全运营的时候，时而还会发现安全检测居然对某种攻击行为不告警，各方溯源分析后，得到官方的回答也是啼笑皆非。安全产品真是谜一般的存在，“用/不用”与“安全/不安全”，居然不存在正确恰当的联系。

近几年开展安全工作时，更多的是在怀疑安全防护体系的有效，尤其那些夸夸其谈的安全销售跟你介绍产品领先性的时候，更尤其在那些通过百般安全运营仍旧无法创造安全产出的安全产品工时，这种怀疑就更加剧烈了。安全产品真的有效吗？我们真的需要那么多防护工具吗？无论自研软件，还是外采工具，是否更多从软件设计和实现的层面，消解或规避潜在的安全问题，并通过持续的更新维护改善信息系统的安全性。安全厂商也需要切实地用行动证明其对于客户的长期价值。

不止一次听到，这些都是你们安全的事情。这样讲有很多种背景，或是无能为力，或是命令布置，或是偶尔讨巧，但确实没有否认，在很多情境下，企业的安全需求和安全执行确确实实是安全部门自己的事情，安全责任往往也由安全部门承担，其他部门有太多理由和目的去优先开展业务，而非安全。

安全部门长期将是企业的成本中心，需要以服务者、保障者的角度去思考，如果能力不够或沟通姿势不对，也就常常陷入安全工作难以开展的境地。业内总会谈及各种安全管理和安全技术的方法论，看似头头是道，实则毫无帮助。一个安全团队不超过5人，公司技术人员不过50人，这种背景下如果跟你侃侃而谈安全工作怎么开展，教你安全管理和安全技术孰轻孰重，帮助搭建企业安全文化或者直接告诉你这些都是某个部门的事情责任时，听者确实得要提防提防。

在回答“这些都是你们安全的事情”时，从业者首先要审慎而又思辨，但凡简单易得的要么运气好，要么离真相足够遥远。要用思辨的眼光看，你所缺的是网络安全工程能力、数据安全工程能力、软件安全工程能力。是的，缺的是一种系统化的工程方法，缺的是客观看待APT和PT离你有多远，你的系统性是否无缺。

其实在安全行业还有很多矛盾体，但在写作本文的时候，本意想写一篇戏谑文，写着写着发现无奈多余反思，心酸多余荒唐。相信我们会一如既往地犯着重复的错，换个名词或者包装，开始一段重复又押韵的历史，并幻想等待某个安全侠来力挽狂澜。

在想安全的误区和陷阱的时候，对行业的未来发展更多是充满担忧的，典型的就是缺乏后来者的追赶，以及趋于成熟的概念体系和永无缺失的工程实践。有很多事情可以去做去突破，但优先要有更多的人，共同成为行业的铁壁。