信息安全蓝海，怎么入行

杨玄章

大家对信息安全有了基础认知后，

可能有的同学还在将信将疑：

不是IT专业出身，没有很强的代码和IT运维基础，

我该怎么做，我真的能做好么？

信息安全对手：黑客

曾几何时，那些互联网上的黑客给人的感觉就是闲（吃）着（饱）没（了）事（撑） 干（的）的一些技术高手。早期的中国黑客是读翻译书本长大的，他们通过学习了大牛黑客的著作，尝试着练习黑客技术。在那个全中国的IT和互联网都刚刚起步的年代，很多系统管理员对于这方面的知识都是非常有限的。所以，我国的“小黑客”们虽然攻击手法和擦除痕迹（俗称擦脚印）都还不是很高超，但也还是“屡有斩获”的。那时候，刚刚成长起来的中国黑客大多还是学生，往往不会做坏事。他们中很多人也只是想做点什么向自己心中的女神“炫技”，或者偷偷潜入到教务处的系统里，把自己不及格的成绩改掉。

时至今日，信息安全顾问们的对手已经没这么简单了。

最新Verizon数据泄露报告（DBIR）的数字显示，在大部分领域，全球信息安全攻击者当中，70%以上已经是有组织有地位的犯罪团伙了。他们收费不菲，全世界范围内能雇得起他们的客户往往非富即贵。他们中的很多人已经不是那种不修边幅、有点内向、彬彬有礼的极客形象了，而是正儿八经商人的样子，身着名牌西装，坐在私人会所或者顶级酒店的酒廊里面，和他们的客户谈价钱。他们中的一些人可能还是暗网中的大卖家，操纵着一些黑暗的利益集团。

在这种形势下，这样的黑客团伙做的事情也发生了很大的变化。如果我们翻看那些造成损失最大的信息安全事件，就会发现他们在攻破目标系统之后，往往不是立刻开始行动，而是潜伏下来，寻找最合适的时机下手。他们的目标已经不是当初的炫技或者表达诉求了，而是为了巨额的经济利益，甚至是不明的政治利益。

我们的优势

我们的对手画像已经描出来了，有些同学不禁心里打鼓了：面对这么多强大的对手，我们这样的IT和信息安全的双重菜鸟能是他们的对手么？和计算机专业的同学相比，我们真的有优势么？

结论自然是肯定的。上期我们谈到了非IT专业的同学在各自专业领域里的理解和浸润本身就是一个很大的优势。在很多政府和企业的安全运营中心（SOC）中，都会有该组织所涉及业务领域的专家。他们既懂得组织中的核心业务领域的知识，又有信息安全的背景，我们把这样的角色称为SME（Subject Matter Expert）。

因为IT专业甚至是信息安全科班出身的人往往有一些自身的局限性。经过多年的IT实践，他们对某些著名的公司或者工具深信不疑。很多攻击者就是利用这样的习惯，展开行动的。下面就是两个例子：

事件1.Putty中文管理工具被植入后门，窃取管理员SSH用户名密码

不了解Putty的同学可能要学习一下了，这是信息管理领域大名鼎鼎的免费远程登陆工具，可以在Windows下通过安全通道SSH来登陆到任何一台Linux或者Unix主机上展开操作。习惯用Windows客户端的程序员们最喜欢它了。

原本Putty英文版是没什么问题的，有不少国内的热心肠把Putty的界面汉化后，免费给大家使用，不过这当中也混杂了坏人。2012年，攻击者汉化了一版Putty，在里面植入了自己的后门。发布后，他购买了相关的关键字在百度上的搜索排位，将自己注册的域名在网站上进行推广。几步之后，就把自己的这个版本“洗”成正统中文Putty了。无数IT专业人士就这样中招了，在他们下载使用之后，攻击者通过这个后门窃取管理员所输入的SSH用户名与口令，并将其发送至指定服务器上。

事件2.XcodeGhost苹果开发者工具被捆绑恶意代码

说起Xcode来，苹果MAC和iOS平台上的开发者一定不陌生，这个苹果公司发布的开发工具是非常流行的。然而，Xcode比较大，苹果又没在中国大陆放镜像，所以中国的开发者们下载Xcode往往很麻烦也很慢。2015年中旬，某个恶意代码制造者通过在开发者论坛，打着“方便下载”的旗号，散布捆绑过病毒的Xcode 安装包XcodeGhost，使得中国的苹果开发者们在这个工具上编译出来的苹果App 被注入第三方的恶意代码，向指定网站上传用户数据。

从上面这两个例子中可以看出，科班出身的IT大拿们也不是无懈可击。攻击者利用他们一些先入为主的使用习惯来制造漏洞，很轻易地就制造了大面积的信息安全攻击。其他专业的同学们反而没有这样的习惯，也就不会有这样的风险了。

另外，在信息安全防護的框架中，管理流程也是很重要的一环。很多科班出身的人往往很重视技术，却对安全流程嗤之以鼻。非IT出身的同学们反而没有这个问题，他们更加中立，更容易遵循安全管理流程，更容易扮演好信息安全顾问的角色。

要入行，该学习什么？

上面提到，现如今最流行的安全攻击已经不是简单的炫技和搞小破坏了，而是更有组织有计划的长期攻击行为。在信息安全领域，这类破坏力最强最难防控的安全威胁被称为APT（Advanced Persistent Threat）。APT背后的攻击者往往目的性很强也非常有耐心，他们渗透到组织内部后，将恶意代码和软件植入IT系统中的关键环节。在时机不成熟时，他们往往在组织内部潜伏下来，不动声色地观察周边的情况及在组织内部传播，并周期性地汇报给组织外部的攻击网络。一旦他们发现想要的利益出现时，才展开大规模攻击。

防控这样的APT是非常非常难的，这不是一两个IT高手或者信息安全大拿可以轻松搞定的。顶尖信息安全机构里的专家们针对这种情况，重新定义了信息安全框架。在这样的框架中，人和技术仍然是重要因素，与此同时信息安全管理流程被摆在了很高的地位了。

在掌握一些信息安全的基础知识之后，学习信息安全管理体系和流程是非常有必要的。在这个领域里，ISO/IEC 27001及相关系列标准是应用最广泛的一个。这里面涵盖大量的安全风险识别、评估、监控、处理、审计等多方面的内容。从信息安全管理的角度来重新定义信息安全防护，强化管理流程。对于非IT专业的同学来说，在流程上发力相对容易一些，而且可以取长补短，从一开始就建立对全面信息安全框架的认知。然而，IT专业的学生很多有根深蒂固的技术思维，有些人甚至会忽视管理流程。所以，这一点对于非信息安全科班出身的同学来说，是一个突破口。

找到了突破口，不等于真的不需要学习信息安全的基本技术。相反，如果要迈出第一步，找到一份实习或者工作，还是需要全面了解网络安全、WEB安全和主机安全方面的多种攻击方式原理和主流防控手段。这里面的内容很多，很难一下子吃透。而且，随着安全设备和软件厂商的进步，很多安全威胁已经不那么有威力了。但是全面的学习还是有助于培养在信息安全方面的感觉，对于通过面试还是非常有帮助的。

在信息安全领域要有所建树，非一日之功，需要不断地学习和实践。尽管非IT专业出身的毕业生有机会随着这股浪潮发挥自己的优势进入这个领域，但是要在该领域走下去，仍然要不断充实自己的安全知识，动手练习安全防控技能，熟练掌握各种安全厂商的产品和工具，不断观察各种恶意代码的样本，培养安全嗅觉……感谢伟大的互联网，这些内容都可以在网络上找到，剩下的就看个人的修行了。

责任编辑：方丹敏

对于非IT专业的同学来说，在流程上发力相对容易一些，而且可以取长补短，从一开始就建立对全面信息安全框架的认知。endprint