浅谈网安十年感受

毕业十周年之际，随便发发牢骚，记录下下的感受。十年前误打误撞入了网安的门，随便聊两句，可能同行但每个人接触不同，感受也不会完全相同，我不是科班毕业，也不合适透露具体信息，只谈谈自己的一些认识给大家参考。

1.我个人认为最重要的一个理念：零信任原则。第一次见到这个概念的时候我也不太当回事，经历了一些事情后才认识到其重要性。也算是完成了从理性到感性，再到理性的认识。其实就一点，防范来自内部的风险，好比 vx 里的亲戚朋友、身边的同事等等，所有的信息都需要 double check 。再比如，现在新出的防火墙和以前的已经不一样了，以前的只能防范来自外部的流量，现在的很多都已经能发现内部风险。这几年电诈之所以从亚洲蔓延到欧洲，社会工程学的技术栈也在“产业”实践中补全，并且还在持续迭代，原因也是在此。制度的漏洞、人性的弱点一旦被技术抓住，就很难再摆脱，千疮百孔、防无可防。技术迭代，变个花样可以又来一波，很难清除。

2.新技术伴随的风险。这两年涌现出很多的新技术，AI 、IOT 、卫星通信等等，各方资本投入很大，但在投入还没有获得足够回报之前，技术面是不会认真考量安全议题的。投产和挣钱才是第一位的，所以各位投资的时候也要考虑一下，爆个雷能不能扛得住。安全与发展在很多时候其实是矛盾的，一个是踩刹车、一个是加油门，一个是降熵、一个是增熵。musk 的 starlink 用的是不是 docker ？没研究过，不过大概差不多，其安全性的考量有进程白名单吗？有封装底层系统吗？再比如，IOT 设备实际上就是一台低性能计算机，一旦成为脆弱点被突破，那整个内部网络都将面临安全威胁。还有最近已经开始出现大模型数据被污染的情况，AI 编程的程序还是要多留个心眼。

3.我想做啥？网安不只是 bug hunting 。bounty hunter 是最闪耀的明星，但大多数工作都是平凡的，流量分析、安全审计、溯源取证，接触各种协议算法 Kerberos 、TLS 、ECC ，接触各种设备路由器、IOT 设备、防火墙，看各种网络拓扑、配置。我其实做开发的时间有限，分析、研究和解决问题才是工作的主基调。我没干过运维、也没干过前端，但具备的经验和能力，足以我直接上手调试一个 react+nodejs+golang 的项目，并惊讶于 webpack 的出现，直接模糊了前后端的界限。界限模糊实际已经是大的趋势了，IC 行业被 IT 行业用 TCP/IP 直接反超并甩开几十年的情况也很难再发生了，IC 行业拥抱 IP 化和 virtualization 后貌似又行了。技术在不断的发展、竞争、融合，搞技术的人打不过就加入，不丢人。 匆匆十年，青涩少年也熬成了郁郁中年，房贷要还、娃要养，平时加班无暇顾家，薪水只够糊口。这个阶段，饱尝了现实中的各种“非专业歧视”、学历鄙视、冒名顶替等不公，既不会自怨自艾、也不会曲意逢迎。但内心还是会一种渴望，想跳出圈子找到一条路，养活家人又证明自己。所以现在打算从头开始，先逐字逐句的读“Mastering Ethereum”，主要是出于对 crytographic 的喜爱，由于是非科班的，学的一些感受和理解会记录和分享。

嗦嗦写那么多，估计也没人看。最后以中译版“Snow Crash”的的一句话结尾“世界上充满了动力和能量，只需从中略微揩点油，一个人就能走得很远。”