网站漏洞测试从业务转向到研究分析

举报
网站安全防护 发表于 2021/06/08 09:12:27 2021/06/08
【摘要】 今年的工作重点是跟随团队的方向调整,从业务安全转向安全研究。说到安全研究,很多人想到的是分析漏洞,挖洞,写利用工具。当然,这是其中之一,安全总是与漏洞有着千丝万缕的关系,但漏洞只是结果,研究本身包括更多。在企业里研究其实有点尴尬。原本安全团队是企业不产生利益的边缘支持作用,忙的时候灭火,闲的时候背锅的安全研究是边缘的边缘,每天做奇怪的东西,不知道有什么用。最重要的是,对上司来说,没有量化研究...

今年的工作重点是跟随团队的方向调整,从业务安全转向安全研究。说到安全研究,很多人想到的是分析漏洞,挖洞,写利用工具。当然,这是其中之一,安全总是与漏洞有着千丝万缕的关系,但漏洞只是结果,研究本身包括更多。在企业里研究其实有点尴尬。原本安全团队是企业不产生利益的边缘支持作用,忙的时候灭火,闲的时候背锅的安全研究是边缘的边缘,每天做奇怪的东西,不知道有什么用。最重要的是,对上司来说,没有量化研究性工作的好方法。

安全研究的表现成果分为两部分,一部分对外,主要包括刷漏洞/感谢,写技术分析文章提高影响力,写PR文章提高曝光度,另一部分包括在内,但业务方向本身也有自己的局限性。优秀的设计不一定是新的,但一定是好的,优秀的研究不一定是好的,但一定是新的。正因为如此,在企业中做安全研究有点像《进击的巨人》中的调查兵,不仅吃力不讨好,而且经常死在半路上。结果,大家面临的是荒芜的未知,没有人的境界,一条路是黑色的,还是马上停止损失?

既然是工作,就必须生产吗?无论是KPI还是OKR,都需要能量化结果的指标。优胜劣汰是社会不变的规律,这没什么好说的,任何评价指标都是双刃剑,在指标的压力下容易只关注结果。例如,挖掘脆弱性本身是寻找安全问题,但指标关注脆弱性的数量而不是脆弱性的品相,很多人有可能把软件的错误作为脆弱性提交。一旦只追求结果,人们很容易想办法抄近路。在抄近路的过程中,人们很容易迷失真相,他们的工作能力也会逐渐消失。虽然有很多吐槽,但是要做一行就要做,所以经常考虑如何做安全研究。研究二字本身包含了不可预测的投入,目标很重要。没有人能告诉我这个方向是否能做到。即使站在他们自己的角度,也许不适合你。

应用学术界研究的四个阶段:

第一阶段,在领导指定的领域做,不必考虑方向,只要把事情做到极致。

第二阶段,自己找方向,在领导的建议下筛选,最后选择方向取得研究成果。

第三阶段,自己探索方向,自己判断能做什么,自己选择的方向有研究成果,这个阶段完全独立完成,不需要领导的参加。因为比你知道这些领域的少。

第四阶段,带着第一阶段的人,指导他们取得自己的研究成果,也就是说让自己成为领导人。但是,社会和学校的大不同之处在于,很少有合适的领导人,大部分人都是自学才能,这也是安全研究和学术研究的大不同。漏洞本身随着系统实现的变化而变化,实现是工程化的领域,因此对安全研究更加赞同。

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。