正文
侯浩俊:
在过去的 2016 年和近期爆出了很多影响力颇大的漏洞和安全事件。漏洞方面例如 OpenSSL 若干严重漏洞、Windows 辅助登录服务的提权漏洞、通杀所有 Windows 系统的“BadTunnel”漏洞、存在于 iOS 的 ImageIO 框架中的远程代码执行漏洞、跨协议攻击的“DROWN”漏洞、内核级“Dirty Cow”漏洞、Struts2 的若干远程代码执行漏洞以及被认为 2016 年最具影响力的“ImageTragick”漏洞等。
安全事件方面例如:乌克兰的电力门、TeslaCrypt 勒索软件、Maktub Locker 勒索软件、Mirai 僵尸蠕虫、“黑雀”攻击(由 ADLab 首次发现并提出),以及近期的 CIA 泄露事件和 Shadow Brokers 泄露事件等。针对第一时间获悉的严重漏洞和安全事件信息,我们会启动内部的应急响应机制,收集或编写漏洞利用,收集目标样本进行深度分析,及时对外发布安全预警公告和检测工具,另外相关特征也会提供给产品线提高公司产品防御能力。
CSDN:作为一位专业的安全人员,您认为在安全方面有什么不可逾越的红线吗?
侯浩俊:
作为普通公民遵纪守法是必须谨守的底线,而作为安全从业人员,这更是显得尤为重要。我们要谨遵如《中华人民共和国网络安全法》等一系列国家相关法律法规的要求,对于项目涉密人员更要时刻绷紧防止涉密信息泄露之弦、安全之弦,我们日常所有的安全研究或者相关业务的开展都要以此为基本前提。
CSDN:您认为一名优秀的安全从业人员需要具备哪些素质?或者说,您希望与什么样的人共事?
侯浩俊:
首先需要具备的素质就是知道什么坚决不能碰、不能做,就是上面提到的不要违反职业操守,不要触碰法律法规的红线。安全的领域其实非常广,任何一个细分领域需要具备专业的知识和技术储备,因此专业能力必不可少。对比传统行业,互联网发展迅猛,相应的新领域新技术不断涌现,势必带来的相关安全问题也是新颖多样的,这就需要安全从业人员时刻保持一颗“海绵”心态,迅速学习吸收新知识以应对新挑战。安全的很多细分方向(比如漏洞研究)的研究领域越往后走人数越少,相应的在一个团队里能交流的人也越少,所以大家要有抱持开放和分享的态度,多在内部和外部做交流,互相借鉴互相成就。
另外,对于做安全的人来讲一定不能把安全做“窄”了,要有大局观。安全一直以来都是作为产品或业务的“附属品”,随着他们的改变而变化,但是如果想把安全作为终身的事业去追求,可能需要跳出这口“井”,时刻保持对整个行业的生态和发展动向的关注,未雨绸缪地进行一些探索。总体来说在工作中,我们更倾向于跟那些有职业操守,时刻保持技术好奇心并乐于分享、有探索精神,将安全当成兴趣乐在其中且执着既定目标的人共事。
CSDN:您的团队最为关注物联网安全的哪些方面,当前正在深度研究的是?
侯浩俊:
物联网所涵盖的范围非常广,应用领域也很多,我们通常侧重跟用户切身利益直接相关的安全问题,例如非授权访问、信息泄露、资金安全甚至人身安全等。
现阶段的研究领域主要包括智能家居、智能机器人、共享单车(汽车)和车联网等。所有在研究中发现的问题,我们都会及时通知权威机构告知厂商帮助他们尽快修复以使受影响用户隐私及人身财产安全更有保障。
