文|曾响铃
来源|科技向令说(xiangling0815)
互联网不只有短视频、外卖、打车,网络安全的热度同样在升温。
首先是习主席4月底在全国网络安全和信息化工作会议上的讲话这段时间被各界人士仔细研读,掀起了学习热潮;再就是6月1日儿童节这天,除了朋友圈刷屏的儿时回忆,《网络安全法》刚好颁布一周年。
而就在6月2日,EOS1.0正式版发布,同一时间,EOS官方就近期出现的一系列高危漏洞做出回应,向发现漏洞的360公司安全团队公开致谢,对其中3个漏洞分别给出1万美元的赏金,要知道这是EOS官方首次向安全机构发布赏金致谢。
在网络安全威胁持续蔓延时,安全问题已经从企业层面提升到国家层面。对从业者而言,或许如芯片行业一样开始了一场盛宴。只是,这个行当多年来一直存在的人才匮乏尚未得到妥善解决,在移动互联网如火如荼、求职者趋之若鹜时,安全领域要找到批量的合适人才却不那么容易。
一些“老玩家”已经开始主动尝试拓展人才渠道。5月29日,360校园俱乐部名校行活动首站走进清华大学,包括技术总裁兼首席安全官谭晓生、独角兽安全团队创始人杨卿等悉数到场。其中,有国内安全领域的领军人物之称的谭晓生先生在“网络安全行业全解析”的主题演讲中直言不讳地表示,2019年千亿量级的信息安全行业将面临百万人才缺口,不能补上缺口将严重制约信息安全产业的发展。
红衣教主的安全江湖,正在寻求打通人才这道关卡,其做法或许也能窥见行业的一些人才逻辑。
1
本就严峻的安全形势,又有了AI的“负加持”
网络安全本来是一个老生常谈的话题,在PC互联网早期就已经产生。某种程度上,移动互联网既方便了人们的生活,也为互联网黑产提供了舞台。
1、除了广泛性,安全问题的危害性正在进一步升级
关于信息泄露造成的骚扰电话,坊间流传一句话,“你的信息100%被泄露了,你没有接到骚扰电话是因为骗子打电话要一个个来,还没轮到你”。
毋庸置疑,徐玉玉案只是网络黑产的一个典型代表,其背后是全民信息泄露的狂潮,网络安全问题不只是天边的事物,它带来的危害已经发生在每一个人身边。
而且,除了这种广泛性,安全问题的严重性也开始升级,超越了以WannaCry为代表的最严重的虚拟安全,开始走向现实安全的威胁。例如,近来有些攻击者开始瞄上了金融、能源、电力、通信、交通等领域,造成例如乌克兰电网攻击、美国东部大面积断网等严重事件,甚至伊朗核设施都停摆,现实世界的安全受到严重威胁。
2、AI可以促进社会进步,也可以“负加持”
与互联网在全球处于领先地位对应的是,中国网络犯罪团伙也处于全球领先水平。“2018守护者计划大会”上,某BAT大佬甚至表示,用AI神经网络帮助破解网络登录验证码已经是中国团伙的拿手好戏,同时,AI技术也“帮助”犯罪分子加快了从从企业数据库中窃取用户数据的速度。
菜刀可切菜,亦可杀人。AI本身只是不带倾向的工具,在金融服务、安全防护、智能生活、医疗影像等方面能做出有价值的贡献,转手被不法分子利用,就会产生同等的破坏力。
AI技术越是发展(AI当然不能不发展),这种“负加持”的风险就越高,带给网络安全的压力就越大。
2
安全人才不仅有数量问题,还有结构问题
一边是严峻的形势,另一边是人才的匮乏——不仅仅是数量,结构问题亦十分严重。
1、缺口庞大是首要表现
在这次清华活动上,360谭晓生介绍了一组数据:目前我国网络安全人才面临的人才缺口2017年已经高达70万,缺口率95%,到2020年这一数据将增长至140万,而与之对应的是,现阶段我国高等院校学历教育培养的人才只有区区3万人左右。
这个缺口远远大于欧美国家。根据《2017年全球信息安全人力资源研究》显示,欧洲在2022年才面临35万名网络安全人才缺口。很明显,“领先也是有代价的”,庞大的缺口不补上,安全问题会变得更棘手。
2、“不爽”加剧人才缺口
马云曾说,员工不愿意干,要么是给得不够,要么是做得不爽。
安全这个行当,从薪资来说并不特别差,但做得“不爽”却是实实在在的。它包括以下几个方面:
A、学习周期长。安全是一门需要极强综合能力的计算机学科,而且需要非常丰富的实践经验,理论与现实相差甚远,成长周期十分漫长。一些人几年都可能未入门,反之,一些编程速成班,180天就能培养一个担当一面的程序员。
B、“保安”化。在非专业的安全公司里,安全部门是典型的非核心部门,需要的时候用一下,平时默默做维护,价值观显露很少,如同现实守门的保安一样,一些时候,还不得不为广域攻击背锅。
C、重复式工作无激情。一看到360某大拿拿了国际大奖,很多人觉得安全是一件时刻充满激情和创新的工作。其实不然,很多时候网络安全是一件重复而繁琐的劳动,只有这样才能发现最细微的安全问题。
3、“偏科”问题让人才缺口比实际更严重
就如中国经济总量大,但还是在谈结构性改革一样,即便在网络安全的人才存量池子里,人才的分布也存在偏科问题,结构化失衡让缺口实际上比看起来的更严重。
这种失衡包括:
A、重攻轻防。安全人才总数不够的情况下,防守人才更是缺乏。攻击技术的确重要,高价值漏洞可以成为战略武器,但就如10枚核弹和100枚核弹毁灭力差别不大都够用,而反导系统却越完善越好一样。
B、重单点轻系统。网络人才往往以“发现问题”自诩,也成了工作的主要方向,这固然没错,但相对于“千里之堤,溃于蚁穴”的蚂蚁,业界更需要的是为生态授粉、创造自然奇迹的蜜蜂,更需要的是安全体系化建设。正如360谭晓生在演讲中所说,未来的网络空间安全将会是多线作战,网络安全从业者将会面对与网络犯罪、网络恐怖主义、网络战争、网络意识形态竞争的持久抗争,一招一式、拳脚相搏的古典式攻防将被替代,未来的网络攻防将以上帝视角统筹全局。
C、重反向轻正向。买辆汽车拆解仿造是早期我国汽车工业的普遍做法,夹生饭造成整车性能远不如原版。而国内安全人才很多都是从渗透、逆向、分析漏洞入门,却在防止渗透、防止逆向、设计没有漏洞系统方面能力缺乏,很明显,人才的正向能力才真正体现安全防护的水平。
3
安全人才不止要“培养”,还需“意识+培养+留住”三位一体
从安全人才的数量和结构化问题来看,仅仅“培养”安全人才显然是不够的,而应当是“意识+培养+留住”三位一体的过程。
1、意识:用足球运动逻辑,建立“意识”激发兴趣人群
中国足球之所以“难堪大任”,不少评论家认为是大众层面的预备人才不足,虽然人口基数大,能供人才孕育的池子却不大。网络安全其实面临同样的问题,虽然很多人在感性层面了解到网络安全形势的严峻,但并未真正去理解什么是网络安全、如何应对网络安全。
包括红衣教主在内,360多年来各种“走穴”,除了这次进校园活动,各种互联网峰会、安全峰会上,很多时候都能看到360“卖力”普及网络安全形势的身影。
固然,这种行为出于公益的目的,也有品牌宣传的成分,但这种安全意识的提升对增加安全人才的潜在备选人群意义无疑十分重大。例如,这次360进清华的活动上,谭晓生解析安全产业发展现状、介绍安全人才就业状况、回答清华学子关于职业发展、专业领域等问题,让“网络安全”这个概念变得立体。此外,杨卿展示的IOT网络多场景的攻防演练,又使得复杂的攻防技术能够以直观的方式展现出来,对避免枯燥、激发兴趣十分有利。
2、培养:从出顶尖人才的野路子到出正规军的制式化
自学成才是网络安全大拿的普遍经历。欧美奇闻中经常爆出年仅十几岁的青少年恶作剧式地入侵了银行或大型企业的信息化系统,造成严重的威胁。中国网络安全市场上活跃的大拿,也有不少是野路子出身。
如果说过去突发但不频繁的网络安全问题可以由野路子的“尖峰技术”来创造奇迹,那么现在危害普遍而严重的形势下,只有正规军才能实现长久、稳定地防御和对抗,这就需要高校的大力配合。
然而,最终选择网络安全职业的毕业生,大多数都是“相关专业”出身,以名校云集的广东省为例,目前开设网络安全专业的仅有暨南大学,高校的短板可见一斑,360谭晓生介绍高校每年才3万人才输出就是例证。
作为国内老牌互联网安全企业,可能已经感受到人才焦虑,360对信息安全行业的人才培养一直比较重视。此次的名校活动,本身就是所谓“新青年·安全观”系列活动的组成部分,据称后续还将在全国各大高校陆续举办,推动高校网络安全学科建设、提前抢占正规军的意图十分明显。
3、留住:除了待遇,安全人才还有群聚效应
如前文所言,网络安全人才在薪资上并不落后,据称一些刚刚毕业的优质安全专业的人才,就可以拿到20K-50K的月薪。
从留住人的角度,安全人才需求方可能更应该思考“环境”的问题。这种环境既包括通常意义上所有类型职业都希望的人文环境,例如360周鸿祎有时候跑去主持知名员工MJ0011的婚礼,而为了拉某ark工具作者加入360,周鸿祎和hr负责人飞了两趟南京上门去请,甚至360内部还有不少以前大骂过360但因技术过硬被挖来的员工。
更重要的是,安全人才往往有群聚效应。例如,虽然人民总是怀念周鸿祎炮轰BAT,但周鸿祎本人却还有安全专家这重身份,其对安全的理解超过大多数专业安全人员。之所以在知乎上360在人才方面能够受到好评,原因在于从事安全行业的人大都有藐视权威并且渴望战斗的某种心理特征,越是聚集,就越能产生共同应对网络安全的氛围。技术大拿聚集,加上360的江湖气息,可能反而更适合留住网络安全人才。
4
安全产业化是安全人才最终保障
作为一个产业,现在的黑灰产已经形成了一个完整的链条,每个环节都有大量的从业者各司其职,据称规模已达千亿。而业内人士透露,这些黑灰产使用的技术都是相对基础的,并不是什么高精尖的技术,即便如此仍然有大量网站被简单的注入或者弱口令攻破,无数个人信息都在地下黑市被贩卖。
有些讽刺的是,目前和网络安全市场的规模也刚刚与黑灰产的市场规模相当,亦为千亿级别。
所以,半严肃地说,网络安全人才也应该与黑灰产对应,至少有1:1的“人才”规模,才能让这种对抗显得相对公平。
换句话说,产业化的成功,才是行业吸引人才、给予人才发展空间的根本保障,黑灰产都是如此,正面的网络安全没有理由不这样。
安全是个技术对抗非常激烈的领域,但这并不代表技术高超就是一切,所以360仍然在用技术之外的“世俗”方式不断扩展市场,做大规模,而且要回国上市修正市值。或许360明白,没有产业化的网络安全,至少在人才方面的努力最终会是一场空。
(完)