以亲身安全经历聊聊安全方向、价值与未来
原创 pandazhengzheng 2025-02-04 18:00 广东
如果不做安全,我还能做什么?自己选的路,跪着也要走完!
安全分析与研究
专注于全球恶意软件的分析与研究
前言
此前笔者微信交流群里,有个朋友在微信上咨询我这个问题,让我帮他解下惑,这个朋友的问题,如下:
说真的,笔者一向不喜欢回答这类的问题,因为也没有什么标准答案,笔者也没啥能力去给任何人指点未来的路该如何走,针对这个朋友的疑惑,笔者仅以这十几年来的一些亲身经历来简单聊聊安全之路。
笔者此前从事过多个平台的安全研究工作,包括Windows/Linux/OSX/Android/IOS/IOT等,所以对安全的方方面面多少了解一些,同时笔者在逛一些安全网站或论坛,还有在一些群里的时候,经常会有一些人问类似的问题:
1.我是该学移动安全,还是该学PC安全呢?
2.我是从WEB安全入手,还是直接学习二进制安全呢?
3.我是该学Linux内核,还是学习Windows内核呢?
4.做安全还有前途吗?是不是要转行了
5.做逆向还有啥前途?还是赶紧转行吧
6.安全现在细分领域太多了,我究竟要从事安全的哪个方向?
7.未来全是AI自动化了,不需要深入安全研究了
......
其实这就跟一些开发人员,经常会问,我该学哪门语言?是学C++好,还是学Python好,还是应该去学最近几年很火的Rust,同样还有是做前端开发更有前途,还是做后台开发发展更好等等这些问题。
笔者不想去讨论这些辩论题式的问题,该学哪个好,或者说学哪个更有前途之类的,这个其实是没有什么标准答案的,笔者也无法用标准答案来解答这些问题。
不管是移动安全,还是PC安全,不管是WEB安全、还是二进制安全,不管是安全攻防,还是渗透测试,这些都只是一门技术,也就是笔者一直说的,就是一门手艺,任何一门技术或手艺只要沉下心来去深入的学习和研究,找个工作,混口饭吃应该是不太难的,难的就是啥都只懂一点点皮毛,啥都会又好像啥都不会,就像你说学习了十几门不同的编程语言,但门门都只会写Hello World,其实没啥用,不如先去精通一门语言,其他语言都是相通的,花点时间学习下语法就行了。
学习安全技术也是一样的,可以先精通一个方向再说,在精通了一个方向的前提下,有时间再去学习和研究更多的方向,做到一精百通,这样你就不用担心找不到工作了,不管别人跟你深入聊技术,还是跟你扯淡,你都不用担心,如果你啥都会,又啥都只会一点点的话,没有深入研究过一个方向,在目前这个形势下,找工作可能就比较难了,所以与其去迷茫,不如沉下心来去多多学习,找准一个自己喜欢的方向,先深入学习研究一下。
至于说哪个方向更有前途,或者说更有“钱”途,就跟别人问我如何快速发财一样,我想说的是,快速发财的门道都写在刑法里面了,如果你想通过做安全快速发财,笔者真没办法教你如何快速发财致富。
不管是PC安全也好,移动安全也呗,其实基础都是二进制安全能力,只是平台和架构不同吧了,当你精通了一门之后,再去研究另外一门其实也很容易,没啥难度,基础的东西从来没有变过,变的只是上层的平台和架构,只要你把安全基础能力打好了,再去搞上层是很容易的事情,就跟你精通了C++,想去学习了解其他语言,就会发现原来这么简单。
方向
就这位朋友的疑惑,笔者先来谈一谈笔者的一些亲身安全经历吧,笔者在2013年开始研究移动安全了,当时还在腾讯,记得2013年的时候,腾讯的整体战略就是“全面转移动端”,其线下几十款产品全部开始转向移动APP端的研发,笔者也是在那一年,开始研究移动安全,当时笔者从网上购买了大量的移动开发相关的书籍,包含安卓系统和IOS系统,每天下班之后就在家里学习移动开发技术,用了差不多一年的时间,熟练掌握了安卓和IOS的开发技术,然后就开始研究移动端的逆向安全技术。
后面因为腾讯的整体战略发生了改变,3Q大战之后不久,安全已经不在是腾讯的核心战略之一,笔者也就离开了腾讯,后面又发生了一些事,就不展开了。
2014年笔者又回到腾讯开始做移动安全相关的工作,主要的工作就是APP的安全审计、渗透测试和APP加固等,说真的那两年也是笔者最痛苦的两年时光,APP的安全审计、渗透测试工作对笔者来说真的很枯燥无味,也不是笔者想做的,所以后面在找工作的时候,笔者一定是去找做自己想做的事的工作,不然太痛苦了,当时腾讯的所有应用都已经全面转向移动端了,有差不多二十几款APP需要审计,每个月各产品线基本都要出一个新的版本就会转到笔者这边进行APP的源代码安全审计和渗透测试之类的,其实就是对照着Android和IOS的APP审计CheckList表一项一项的对着分析和测试,每天的工作基本就像机器人一样,重复又重复,没啥意义可言,没有啥新的东西可以研究,每天都是重复机械的去完成CheckList表的检测就可以了。
APP的加固工作也不是笔者想做的,整天需要解决的就是与Android系统不同版本的各种兼容性问题,Android系统只要一升级,就需要兼容。
当时笔者发现一些病毒木马也提交过来进行加固处理,当时国内做APP加固的,除了外面专业做加固的几家企业,一些互联网公司里面基本上都有做加固的团队,当时阿里、腾讯都有做加固的团队,不知道现在这些团队还在吗?可以说当时做安卓逆向和加固,还是很火的,现在就没当年那么火了,这是时代的发展必然趋势。
现在还在招安卓逆向的,大多数还是一些互联网大企业,这些互联网企业主要是为了保障自己的APP的一些安全问题,同时还有一些小的搞“黑或灰”产的企业,招一些搞安卓逆向分析的,通过逆向破解一些大厂的APP协议做一些插件或流氓推广之类的,还有一类招安卓逆向的就是之前一部分安全企业招安卓APK病毒分析的,这需要安全企业有这项业务,当时一些安全企业是有做安卓手机安全软件的,现在好像做的比较少了,基本很少单独招安卓病毒平木马逆向的,所以如果现在还在说移动端已来,PC已死的人,其实是不太懂现在真正的安全市场的。
现在大部分安全企业应该还是招Windows/Linux两大平台的,毕竟To B企业,大家更关注的是企业的数据安全问题,还管是PC还是服务器,主流的平台还是以Windows/Linux两大平台为主,还有现在主流的一些安全问题,不管是勒索病毒平攻击、APT窃密攻击,还是各种黑灰产大多数还是以PC安全为主,当然移动端也有一些黑灰产,还有主机服务器安全也是Windows和Linux为主,其外还有一块就是Mac平台的办公电脑的安全,也是黑产攻击的重点目标之一,这些都是以PC端安全为主,所以说PC端安全不行了,其实是对当前企业安全面临各种实际的安全问题不太了解。
国外还有一些厂商在做安卓的安全,需要对安卓病毒进行逆向分析,不过现在招安卓病毒逆向的应该不太多了,做安卓逆向更多的还是去一些互联网大厂或者做一些与企业APP业务安全相关的工作,主要就是跟称动端那些做黑灰产的进行对抗、做一些风控管理等,这一块技术都是相通的,只要你会逆向移动端的APP,能解密各种加壳混淆,基本就没啥问题了,其他的都很容易。
笔者在之前面试的时候,有一位浙大非常优秀同学在面试最后问了笔者一个问题,我觉得问的挺好的,他问我,应该怎么样选择,是在互联网公司做安全,还是应该在安全企业里面做安全?问我是如何选择的?
在互联网公司做安全可能收入会比一些安全企业做安全的收入要高一些,因为互联网公司大多数都不是靠安全来赚钱的,都是靠自身的其他业务以及流量来赚钱的,这些互联网公司也确实赚钱,所以开的工资可能会高一些,但是如果这些互联网公司的业务遇到风险或增长遇到了问题,要减少成本,可能最先开刀的也是拿安全部门开刀了,可以发现最近几年一些互联网公司也在不断的缩减安全这块的成本,主要还是因为这些互联网企业没有之前的高速增长,人口红利也快吃到头了,现在竞争大,流量的争抢也白日化,所以只能缩减像安全这块的一些成本部门了。
在专业的安全企业,因为核心的收入就是安全,所以就算是大环境不好的情况下,也不会轻易拿安全部门来开刀,可能会缩减一些边缘部门,任何一家企业都不会轻易拿自己的核心部门人员开刀,除非是企业真的遇到了很大的困难,或者企业未来的战略己经不打算做安全这块了,或者确实安全这块的增长减少了,已经无法支撑了,只能通过降本增效的方式来缩减成本了,不然一般都会先优化边缘部门,保留核心部门的战斗力,等待机会,这其实跟互联网公司是一样的,只是互联网公司的核心部门不是安全部门,安全企业的核心部门就是安全部门,这也许就是本质的区别吧,所以笔者说要去一家企业,一定要去它的最核心的部门,如果你的能力与公司的核心方向不一样了,你在这家公司也没办法走的太远。
还有一些互联网大厂,会招一些安全研究人员,进行业务安全的保障,例如风控、企业内部安全事件的处理与监控等,俗称为信息安全部,像美团、拼多多、字节、阿里、腾讯等大企业,主要做业务安全,紧贴业务,还有就是企业内部安全的保障,在企业内部进行一些安全攻防演练,提升企业内部的安全防护,保障用户的数据。
所以不管你是去互联网公司做安全也好,到专业的安全公司做安全也好,都是你自己的选择,没有对与错,只要适合自己的职业发展就好了,或者说你只要觉得赚到钱就好了,做啥不重要都可以的,完全个人选择,总之,符合自己的职业规划,做自己想做的事就好了。
国内安全企业要走的路还很长,国外有很多做了几十年的安全企业,国内这样的安全企业太少了,我一直坚信,未来国内的安全还是有机会的,但是未来做安全,跟以前做安全可能模式会不太一样,基于SaaS平台订阅模式的安全产品和服务,会成为安全未来的主流,能企业提供专业的安全服务,是未来做好安全的核心能力,这个就不展开讲了,要讲又是一个很大的话题,笔者此前很多文章中都有提到,而且也不一定所有人都能理解,认知水平的差异不同,对一些事物的理解可能会存在很大的偏差。
价值
笔者曾写过一篇文章叫《做安全有什么用,价值何在》,里面有详细的谈到了在专业的安全公司和非安全类公司,做安全的价值分别是什么?这里我想提出的是另外一个观点,做安全就一定要收费,只有收费才能体现安全的价值,免费的安全,不持久,也不专业!
此前笔者收到了Any.Run沙箱的邮件,提示笔者订阅费用要增加了,这几年Any.Run发展确实非常迅速,在行业也积累了一定的知名度,最主要是它积累了很多最新的样本和威胁情报,这些样本都是全球各地的安全从业人员或厂商给他上传的,然后再通过他的沙箱生产出相关的威胁情报,这几年Any.Run也在不断的改进自己的沙箱能力,不断推出新的功能,积累了大量的最新恶意软件的威胁情报,于是推出了Search和Hunter的订阅服务,随着Any.Run样本数据的不断增加,订阅费用也自然而然的随之提高了,这也是为了未来能提供更好的服务。
几十年前国内To C安全市场还是不错的,国内的安全软件能力与国外的安全软件的能力并没有相差太远,后面随着某企业的加入,搞出了免费杀毒之后,破坏了整个市场,同时导致国内安全产业在后面的十几年基本停止了发展,很多以前的安全研究人员转行去做其他产业,有些甚至去做起了黑灰产,把安全变了成一种流量的模式,这种模式的后果就是专业安全人员的大量流失以及国内安全产品的能力逐步与国外安全产品能力拉大,这个就不细说了,参考笔者之前的文章就行了。
目前大家只能做To B安全,主要原因还是因为大多数头部企业或大企业还是愿意为安全买单的,因为他们认为安全是有价值的,同时他们也意识到了安全的真正价值,不是靠流量赚钱,而且给客户提供实实在在的安全能力,保障企业的核心数据,持续不断的帮助客户输出价值,这才是真正的做安全的价值。
免费不仅仅是损害了安全市场,同时也损害了客户的利益,因为免费导致大部分安全企业无法持续生存,导致大量的优秀安全产品最后“流产”,而如果客户购买了这些已经“流产”的产品,后期就没有办法得到很好的服务,客户也无法感知到安全效果和安全价值,这也是对客户的不负责任的表现。
因为如果不赚钱,任何企业都无法生存,同时作为一个专业的安全企业,不靠安全来赚钱,想去靠其他产业赚钱来养安全研究人员,这条路也是走不远的,专业的安全企业一定要靠安全赚钱,这才是安全企业的正道之路,也是安全企业发展的长久之计。
一家安全企业只能靠安全赚到了钱,才能持续运营好自己的安全产品,不断给客户输出安全价值,形成良性循环,如果安全企业不赚钱,就养不起优秀的安全人员,那优秀的安全人员就会流失,导致安全产品的“流产”,安全产品没有持续的运营,安全能力上不去,最后安全产品的差距与其他同类型的安全产品会越来越大。
任何安全产品都需要持续不断的更新改进,才能体现出它真正的价值,因为黑客组织也在不断的开发新的攻击武器、研究新的攻击技术,如果安全产品停止的更新运营,是根本没办法应对这些新的攻击武器和攻击技术的。
如果你的安全产品和安全服务,足够优秀,为啥不让你的客户为你的优秀的产品和服务买单呢?只有付费才能体现你的价值,才能更长远的发展,通过付费,不断给你的客户输出安全价值,跟你的客户一起成长,才是安全企业要做的,而不是总想着免费啥的,要明白一点,我们是专业做安全的,不是一些互联网公司做流量的。
此前看到一篇文章,讲安全从业者讨薪啥的,看到大家都在转发,请尊重每一位网络安全行业从业者,这背后原因究竟是什么,安全从业者难道真的要靠讨薪来生存了?那么做安全的价值又体现在哪里呢?
未来
笔者一直说,国内安全还有很长的路要走,未来十几年国内专业的安全企业会迎来一个新的发展时期,专业的安全企业,只要能不断提升自己的专业安全能力,不断积累自己的安全能力,扎根自己的核心业务,再去扩展与核心业务相关联的其他安全业务,未来一定会越做越好,同时一些大的安全企业,由于在一些细分领域安全能力不足,无法与其他专业的安全企业竞争,很多安全业务会被细分领域的安全企业吞掉,然后慢慢收缩,甚到关闭,未来可能会慢慢的转行或者去做其他业务了。
国内的To C市场被免费搞乱了,导致现在国内的安全企业只能做To B市场,同时国内的To B市场的环境也跟以前完全不一样了,以前靠卖盒子的时代已经结束了,现在大多数To B企业都以SaaS平台产品服务为主,这也是安全的未来,未来安全企业之间的竞争也会日趋白热化,未来谁能安全能力更强,谁就占领更多的市场。
国内现在大的安全企业有一个比较大的问题,就是同质化太严重了,导致内卷也严重,比方说你有EDR,我也有EDR,你搞XDR,我也来搞XDR,你说AI安全,我也说AI安全,你说你有GPT,我也有我的大模型,那大家都搞一样的,如何才能比别人做的好呢?如何才能做的比别人更有竞争力呢?目前的安全市场需求,不像之前态势感知了,各种大屏幕展示比较火的时候,大家也是一拥而上的,全都做UI,做大屏展示,一个比一个炫酷,而且内在确没有啥数据,也能卖到钱,现在不行了,国内安全企业的产品形状就是你有的,我也有,却没有一个亮点,没有核心竞争力,所以也没有市场,客户不想买单。
在当今这个社会,别人不会在乎你有什么,你会什么,大家都只关注你能带他带来什么价值,你有什么亮点能吸引他的注意,你的产品和服务有没有核心竞争力,比别的产品和服务更有优势,所以这也许是安全企业需要思考的,能不能做出亮点?培养和加强自己的核心竞争力,而不是去比谁的产品更多,谁的产品覆盖更全,什么都做,又什么都不太懂,不专业,不管是企业,还是个人,拥有自己的核心能力才能走的更远,未来才能发展的更好。
总结
好了,就聊到这里吧,笔者写这些,就是想到哪就写到哪,三十六行,行行出状元,其实不管是哪个方向,哪个行业,只要大家肯下功夫,肯努力,沉下心去研究,都可以找到不错的工作,获得不错的回报,就看自己的兴趣爱好了。
如果是做为应届生,想找一份安全相关的工作,可以在校期间多学习和研究某个方向的安全技术,并多多与安全行业的人进行交流,多积累一些基础的安全能力,必竟大多数应届生是没有太多实际工作经验的,当然如果在学校期间就从事业一些安全方面的相关工作,参加过一些高水平的安全比赛,或者自己深入研究过某个方向,积累了很多安全经验,那这样的应届生一般都是各大安全企业争抢的人才。
笔者也面试了一些应届生,可以说现在应届生水平是一年比一年优秀,有一些应届生在校期间就跟导师做过很多实际的安全项目,积累了很多安全相关的实战经验,其中也有很多应届生是做安卓移动端逆向和IOT逆向或IOT安全方向的,在面试这些同学的时候,笔者主要就是考察他在这些方面的一些学习能力和研究成果,笔者会问一些安卓的加壳脱壳技术、混淆技术、IOT漏洞挖掘技巧和思路以及一些逆向方面的基础知识等,至于你是做安卓逆向的,还是IOT逆向,还是PC逆向的,可能不太重要了,当然如果是PC逆向的可能会更好,可以更快的上手工作。
做安全兴趣是最好的老师,做自己感兴趣的事才能坚持下去,就像笔者喜欢研究恶意软件和安全攻击事件,每天除了吃饭、睡觉和陪家人的时间,其它时间基本都是在研究各种恶意软件和最新的安全攻击事件,乐此不疲,如果有哪天笔者没有去研究样本,没有去了解一些最新的攻击事件,那么这一天就会感觉好像少一点东西似的,有兴趣,才能日复一日,年复一年的坚持,与其整天去想一些乱七八糟的问题,不如沉下心去好好学好一门技术或手艺,有自己的亮点可能比啥亮点都没有要好很多。
以上所有的观点和想法仅代表笔者自己的观点和想法,不代表任何公司,也不特指任何公司,仅仅是笔者从业十几年的一些心得与体会,安全要讲的东西实在太多了,在安全行业混了这么多年,基本上啥人也都遇到过,啥事也都接触过,只要是涉及到安全的方方面面笔者还是多多少少了解一些的,就是喜欢搞安全,研究安全,热爱安全,安全现在包含的东西真的太多了,分的也很细,要把其中的每一项都要说清楚,是很难的一件事,要让别人认同自己的观点,就更是难上加难了,所以笔者仅仅以自己的从业经验,谈谈自己的心得与体会,这些话对一些人有帮助,就足够了。
笔者有时候也时常会想,自己当初为什么选择走上安全这条路的,那个时候的想法真的不仅仅是因为赚钱养家糊口,更没想着安全行业赚到大钱,更多的想法就是对安全行业的一种热爱,大家一直在谈初心,我觉得初心就是热爱,不仅仅只是为了混口饭吃,养家糊口而己,当你真的热爱一件事的时候,所有的一切你都会不由自主的去做,这种热爱是由内心发出的,如果你不热爱一件事,其实根本也不可能做好的。
在安全这条路上,笔者也走过很多弯路,然而人生的路很漫长,谁不会走弯路呢?没有谁的决策永远是正确的,我们要及时调整自己的人生方向,做好自己人生的规划,如果走了弯路就赶紧调整,回归正轨,不忘初心,不然很容易人生可能就会走偏了。
笔者一直想说的:安全的路很长,安全技术也未死,沉下心来,提升自己的核心安全能力,做好准备,坚信做安全的价值,坚持走安全这条路,不忘初心,与时俱进,就一定能够实现自己的人生价值,做人还是有梦想的,不然和咸鱼有啥区别呢?
说实在话笔者没有什么能力来给任何人的未来提供什么指导建议,笔者也不是什么成功人士,更不是啥名人导师,仅仅是从笔者一位普通的安全从业人员亲身经历的一些东西,聊聊安全的问题、价值与未来,说的不一定对,说的也不一定全,仅代表笔者自己的观点与看法,不代表任何人,这个社会每个人都有自己的想法,每个人也都有自己要走的路,听从自己内心的想法吧,路是要靠自己走出来的,人生苦短,记住一点就行了,一定要做自己想做的,热爱做的事!
安全的路很长,也许这条路并不好走,但是这个世上又有哪条路好走呢?路是要靠自己一步一步走出来的,有时候我也会去想,咱不做安全了,我还能去做什么呢?除了安全,其他的咱啥也不会呀,没办法,自己选的路,就是跪着也要走完!而且我一直坚信,未来会越来越好,只要坚持做好自己该做的事,其他的交给老天了!
最后送给所有还在迷茫中的年轻人一句话:你的路还需你去闯,今后,忠于自己内心的选择,无论成败。
如果对恶意软件分析感兴趣的,可以加入笔者的全球安全分析与研究专业群,一起共同分析和研究全球流行恶意软件家族。
安全分析与研究,专注于全球恶意软件的分析与研究,深度追踪全球黑客组织攻击活动,欢迎大家关注,获取全球最新的黑客组织攻击事件威胁情报。
王正
笔名:熊猫正正
恶意软件研究员
长期专注于全球恶意软件的分析与研究,深度追踪全球黑客组织的攻击活动,擅长各种恶意软件逆向分析技术,具有丰富的样本分析实战经验,对勒索病毒、挖矿病毒、窃密、远控木马、银行木马、僵尸网络、高端APT样本都有深入的分析与研究