“大家好!我是李雪琴……”,自去年起,那个北大毕业的“最土”女生火了。近期,听到她在脱口秀大会讲她妈妈的“哲学”理论:宇宙也有终点,终点在人生的起点;看到她先从“人生的起点”来北京赴学,再回到“人生的起点”,这次又离开起点出来闯荡。心里颇有感触,在“宇宙终点”之前,显然她的脚步还远没有停止。
大家好!我是叶猛,我又回到了北京,跟北京说声:“嗨!”。这次我用了自己的真名字。在这个名字之前,我还有一长串的昵称或称呼:梦晔、Monyer、梦之光芒、猛子、小叶、叶队、叶帅、叶师傅、叶支、猛队……,这些称呼伴随着我前十年工作生涯的各个阶段。梦晔是我的笔名,是我姓名的倒序,在那个年少轻狂且心中“文意纵横”的时代,看到老舍把自己的姓拆开做字,便有学有样起了这个笔名。Monyer是从梦晔的发音造出来的英文昵称,从高中起一直用到现在。梦之光芒是从梦晔拓展出来的中文昵称,因为“晔”就是光芒的意思。这个中文昵称先是从05年起作为《黑客防线》的投稿笔名,后是作为百度空间的博客名一直到空间关闭。猛子这个昵称主要是刚毕业后在B公司工作,大哥大姐们的亲切称呼;小叶是后来特招到某省公安厅后,领导们的“爱称”;叶队是在公安厅任某科室支队长后,兄弟单位及合作伙伴的称呼;叶师傅、叶帅是省厅同事间的敬称和戏称;叶支、猛队是来到Q公司后,组建起国内顶级实战攻防红队,大家的敬称。关于我的称呼曾有过很有意思的事情,曾有不少人认识网上的Monyer还加了QQ好友,也认识现实中的叶队,但却不知道这是一个人。所以今天我用我的真名字为自己代言,也算是第一个回环吧。
听到宇宙的终点是人生的起点,我不禁莞尔,因为我也感觉人生是一个回环。称谓上的回环暂且不论,最近十年我又进行着另两个回环:一是从网络安全的甲方到监管方,再到乙方,又回到了甲方的回环;二是从沈阳到北京,到回沈阳,又回到北京的回环。我爱人说:你看你,兜兜转转,又转回去了。我说不然,虽然又转回去了,但能力变了、眼界变了、境遇也变了。如果用一个恰当的比较,这不是一个简单的循环,而是一个如同莫比乌斯带般的回环,虽然转了整整一圈,但已经站在了环的另外一面。
最近在和不少老板聊天时,都谈到了我的网络安全从业经历,也因此有了更多的感触。回顾是为了沉淀和畅想,总结是为了把握未来。
我的职业生涯从不同角度来看,算是既简单又惊奇。简单的原因是十余年工作经历全部是跟网络安全相关的,并且一共也只有3个东家。惊奇的原因则是恰好这3个东家覆盖了整个安全届的角色划分:甲方、监管和乙方,而且朋友同事听到我离开消息后,是一个比一个惊奇。
什么?离开北京大公司回辽宁了?……
什么?公安厅支队长都不干了?……
什么?要抛家弃子回北京了?……
(当别人告诉我,我的离职上了热门讨论,让大家震惊了一下,我还有些忍俊不禁。)
如果用一句话来总结我甲方的工作经验,那就是:“安全是为业务服务的”。
其实去B公司是有着偶然因素和侥幸成分的。在去之前A公司曾邀请我去面试,不过去跟导员请假没有申请下来,就作罢了。等B公司找到我时,恰逢暑假,遂商定好只做暑期实习生。不过实习期间,所在团队给我很大触动,那是一个高效、团结、热情、专业的团队,值得我继续实习下去。于是我跟学院做了申请,整个大四都是在B公司度过的,顺利拿到Offer,毕业后的两年也一直在B公司。
我所在部门是当时处于创业状态下的电商团队,职位最开始是渗透测试工程师,主要是代码和业务层面的安全工作,前期一直是我一个人。那时敏捷开发还在尝试阶段,DevOps更是影儿都没有。系统还是版本制,上线时需要在半夜进行,停服维护。期间比较有意思的事儿是协助架构师做MVC 2.0框架设计,通过框架和系统架构天然防御常见漏洞,当然现在很多开源的MVC框架也都内置了安全防护功能。后来11年部门拆分,便到了基础平台架构部,负责公司产品线的安全测试、代码审计以及安全内训工作。
在工作中也慢慢发现,随着安全从业者能力的提升,在掌握更多安全知识和理念的过程中,很容易陷入脱离业务过度防御的误区。有时安全人员会有种系统到处都是漏洞无从下手的感觉,甚至认为系统功能的本身就是漏洞。
Feature还是Bug这是一个问题!
这有点像我之前在知乎上回答的一个问题:某公司的安全人员认为手机验证码一定要是6位以上的,产品经理认为从易用性角度上一定要是4位的,于是就闹了很多矛盾。然而4位的验证码就一定不安全么?就没有更好的解决办法么?想当年支付密码必须要数字+大小写字母+特殊字符,要大于10位以上。而现如今,几乎所有支付应用的密码全部是6位纯数字,那么安全性是提升了,还是下降了呢?
安全是为业务服务的。脱离了业务本身去谈安全是没意义的,过度强调安全而忽视了业务可用性也是无稽之谈。不考虑系统架构和网络运行情况,生搬硬套各种先进安全理念和安全框架,会浪费大量资源又达不到预期效果。
当然,这并不是说安全要无限制地为业务让路,而是说安全人员要时刻思考如何在尽量保证业务的前提下,去维护系统安全,要考虑安全与业务共生的问题。
皮之不存,毛将焉附?
如果用一句话来总结我在网络监管单位的工作经验,那么就是:“技术是达成目标的一种手段”。
当时一些客观原因和机缘巧合,使我于11年底通过公务员特殊人才招募通道来到某省公安厅网安总队工作,一直到18年初离职为止。由于敏感性原因,工作内容暂且不谈。但这些年个人的成长和进步还是蛮大的,最重要的是在做人上有了长足的提高。
用技术去辅助公安工作,可以起到四两拨千斤的效果。我举个的例子:譬如某舆情事件,领导的想法是通过统计分析得出关键线索。但统计分析的前提是数据的获取、处理、存储、分析和展示。随着事件的持续性发展,如果纯人工去做,那么投入成本会是时间线性增加的,甚至会出现人工分析赶不上事态发展速度的情况。而通过程序去做,则可以在更短的时间内获得更好的结果。
但是不是说技术就永远比传统手段更好用呢?也不尽然。从另外一个例子来看:如果拿到了犯罪嫌疑人的手机,还在想着用技术手段去破解开机密码,就没有那些公安老哥们直接从嫌疑人口中撬出密码来的方便。
当然我只举两个很简单也不那么敏感的例子,实际上在这近7年的工作中,上百场战役和案件的侦办给我留下很深刻的认知:就是“技术是达成目标的一种手段”。
网安的成功破案并不是在我们这种技术人员招进来后才有的,只不过我们给了网安多一种选择,有时则是一种更短的路径。而在工作中,包括体制内、甲方和乙方,也不应该总从纯技术角度去考虑问题,有时换一种思路会发现有更快更容易的解决途径。
如果用一句话来总结我在乙方的工作经验,那么就是:“打铁必须自身硬”。
Q公司是目前网络安全toB领域的佼佼者。18年初我来Q公司时,它还没有自己的专业化红队。一些实战攻防演习任务的承接还要靠抽调各地渗透测试人员临时组队,人员战斗力以及演习排名均得不到保障。入职时,我在主管副总裁的引荐下,带着一个题为《专业化渗透团队可行性研究分析》的团队规划PPT赶赴北京见到了董事长。里面讲的就是要建立一支高精尖、能打胜仗的专业化渗透团队。汇报比较顺利,董事长最终同意给我5-6个HC来建设这样一支团队。
因为这个团队主要是模拟黑客APT手段来开展工作业务,因此我从APT“高级持续性威胁”这个名词中借用了“高级”二字,从零开始组建了“高级攻防部”网络攻防实战团队。在团队建设过程中,我借鉴了体制内团队建设管理经验,以“队”为建制来组建红队,把每支红队的管理者称为“队长”,队内员工称之为“队员”,红队按区域做命名,譬如“成都队”、“南京队”、“沈阳队”、“杭州队”等。在接下来的两年中,队伍一直在向着最高效、最专业化的道路迈进。建设过程含辛茹苦暂且不谈,现如今高级攻防部已经是一支横跨全国三个大区,人数超过*0人的专业级红队,攻击队数量也从0增长到*支。每次工作任务都以攻击队为单位来开展,类似于特种部队中的作战单元。一支攻击队由*-*个人构成,以攻击队队长为技术及领导核心,团队成员各具打点、社工、内网等不同方向本领,大家协同作战。正如任正非所言:要把能力建立在组织上。这样的团队组成模式对于实战攻防演习及红队评估项目来说是最有战斗力的。我统计过去年(2019年)的全年实战演习项目,我们排名第一次数是76%,排名第二是24%(第三及以后没有),综合作战能力已经远远将友商团队甩到了后面。
在部门的成长和管理过程当中,技术是我们的饭碗、能力是我们的本钱、排名是我们的荣誉。团队成员在技术能力、带队能力以及声望名气上均日新月异,长足提高。我们没有设立任何类似于996的工作制度,也不树立任何“舍己为人”的典型,但在项目中所有人都勇于吃苦耐劳、加班熬夜、奋战到底,因为大家都知道“打铁必须自身硬”,自身硬就是本钱,就是底气,就是话语权,是谁都拿不走的资本。前些日子,团队中某个毕业2年带队1年多的攻击队队长被某大型合资公司以高年薪挖走了,去做安全防护方面的负责人,还给配车。在不舍的同时,我也感到十分欣慰,有着沉甸甸的满足感,感觉团队没白带,人没看错也没白培养。
很多管理者怕人员流动,其实正常的人员流动对于团队和个人都有着好处。对于团队所有人员,我一直在宣贯着我称之为“技术人员发展四阶段”的成长路线:技术输出、经验输出、思路输出和决策输出(这个上一篇公众号也有详细地说明)。我希望从我团队走出的技术人员能成为外面的技术Leader,技术Leader能成为外面的技术经理,技术经理能成为技术总监。在日常的团队管理中,我也会尽量为大家提供能够向下一阶段发展的舞台和平台,给大家锻炼成长的机会。我认为这样的团队氛围才是健康的,对于团队成员来说才是负责任的,这也是自身硬的表现。
最近“刘备”那段“接着奏乐,接着舞”火了,然而在这个梗之前“刘备”说了一句话:“我打了一辈子仗,就不能享受享受吗?”。
可以享受吗?当然可以!然而梦想达成了吗?
对于刘备来说,没有!对于我来说,也没有!
那么就远没有到可以享受的时候。
在机关单位后期的安逸并不是我想要的。很多人打破脑袋想要进机关,捧着铁饭碗“混机关”。但对我来说混的不是机关,混的是自己。铁饭碗不应该是某个单位,应该是自己的能力和本事。不能靠“混”的施舍,因为混着混着就到达“宇宙的终点”了。
在乙方团队建成后的功成名就也不是我期望的状态。临走前有个大哥劝我说:如今团队已经建起来了,最难的时候都过去了,接下来可以养老了,只要大差不差干一干,可以活得比很多人都好。他说的都是真心话,我也都想到。但我还有追求,还想发展,还想做更多,还想做得更好。
正如最近这个段子:“看到74岁与77岁的两个老人为了一份工作还争吵这么激烈,你的人生还有什么借口不努力呢?”
所以,我的人生又经历了这一次回环:我又从乙方回到了甲方,我又从沈阳回到了北京。虽然岗位在变,城市在变,但奋斗的心没变。在接下来工作中,持续奋斗还是会贯穿我工作的始终。
仅以此文作为第一个十年工作的总结,也作为接下来工作的自勉吧!
感谢爱人的理解,朋友的支持!
也感谢屏幕前您的传阅,谢谢!