现在的网络安全行业,存在以下几种乱象:
1.没有完整技术体系知识结构的脚本小子、工具小子,以黑客为名头,做着各种花式行为。
2.各种比较务虚的表演专家。
3.安全培训盈利胡搞。
排除以上这些不谈。
安全业务本身与其他计算机技术服务的业务,也没有什么特别巨大的区别,比如下面这几种:
一、安全测试
1.1、黑盒测试
安全测试,渗透测试,也是软件测试的一种,黑盒测试,只不过,专注点不在功能测试,而是异常测试,把注意力放在“非法数据”的测试上。
1.2、白盒测试
代码审计,也是白盒代码审计的一种,只是专注的语言本身的缺陷,比如PHP,还有计算机体系结构本身原因,造成的问题,比如缓冲区溢出°。专注于开发人员,没有想到的那个,后期可以非法利用的软件分支代码,形成的危害功能。
同样是技术问题,测试问题,变成了渗透测试之后,这个事就变得玄乎、黑客了,变成的传奇和魔幻色彩,好像超出了工程师的工作范围,是黑客和艺术家,超高智商者才能干的事,肯定有这些成分,但太多数时候,都不是大师满街走。
二、安全系统
安全信息系统,那也是信息系统一种,一样用数据库,一样会有Bug出现。Log4J2出现问题时,那些用ElasticSearch做数据库的安全防护系统,分析系统、防火墙,也需要一样的升级对应安全Bug,不会因为是系统本身是流星分析系统、防火墙系统、流量镜像交换机,就不出问题。如果服务要是像VPN一样放在公网,不—样被攻击。
厂商OEM开源软件,做再次开发的时候,一样的要换皮,写后面前端,一样要改源码,一样会写CURD,防火墙也一样出Bug,VPN也一样出Bug。安全里不是只有,安全渗透测试这一项目工作内容,给人形成的印象,想到安全,就先想到做安全渗透测试的,不是工程师,是黑客。
三、安全业务
安全技术、业务,也有上限和下限。
有没有一个成熟的业务流程,一套可驾驭的技术,来实现高级安全策略能力,决定了安全业务上限和下限水平的高低。
比如,要解决安全问题,你找看门老大爷,再找几个保安,摆平江湖上道上的