安全从业者,该凭什么赢得你的尊严

 

前天,我写了一篇《赚了20亿美元GandCrab勒索病毒家族的故事》,其实里面还有很多内容我没有提及,在文章的最后,我留下了两段话:

GandCrab勒索虽然结束了,然仍安全并没有结束,而且在后面一定会越来越多的黑产团队加入,GandCrab也打开了潘多拉之盒,会有多少像GandCrab的黑产团队出来作恶就不知道了,这些年做勒索和挖矿的黑产,基本都发财了,闷声发着大财……

赚了20亿美元GandCrab勒索病毒家族的故事已经结束,但我的故事还在继续,还有更多各种不同的恶意样本家族需要我去跟踪分析,勒索、挖矿,银行木马、僵尸网络、APT间谍远控等等……

这是一个悲伤的故事,做黑产的都赚着大钱发财了,做安全的却赚着一点辛苦钱,靠微薄的薪水维持生活,甚至不受人待见,很多朋友看过之后,都发表了自己的一些感慨,有些还写了相关的文章,还有一些指责做安全的,说连个勒索都防不住?怎么做安全的?反正各种议论都有……

后台很多人问我,到底是什么原因让我坚持做安全,一直坚守着自己的信念,其实在上一篇文章的最后,我已经埋下了伏笔,GandCrab的故事结束了,安全的故事其实才刚刚开始,趁端午节有空,我想了这篇文章,《安全从业者,该凭什么赢得你的尊严》,算是《赚了20亿美元GandCrab勒索病毒家族的故事》的续篇吧….

我们先来看看这几年安全圈都在做什么?一些安全从业人员都在忙什么?

1.刷榜

国内各大小公司都推出了自己的SRC平台,然后一大批新的安全力量涌入,热忠于到各大SRC平台刷榜,一来可以展示自己的实力,二来可以赚到一些奖赏,属称:赏金猎人,在赚到钱的同时,也得到了安全行业的认可,成为了安全小弟眼中的“大表哥”

2.比赛

国家这些年已经越来越重视安全,各大高校也非常重视安全人才的培养,高校与企业联合举办了各种各类的CTF比赛,一些热爱安全的大学生都积极参加,获取名次,提高了安全人员的安全能力,不仅仅参加国内的比赛,一些安全研究人员,也热忠于出国去参加各种安全比赛,获得Monster Of Pwn等称号

3.会议

每年国内都会举办各种安全大会,内容之丰富,包含了安全的各个方面,大批安全从业人员以及安全爱好者都积极参加,一起讨论各种安全解决方案,产品等

从表面上看,不管是国家,还是企业,高校等都越来越重视安全,积极的举办各种安全的活动,提高安全能力,然而这些年做黑产的却越来越多,搞黑产的也越赚越多,问题出在哪?为什么会这样?

这就要从很早的安全行业开始说起了,从大家讲一个故事……

很早以前安全市场,大部分做安全的公司都是做2C市场的,因为那时候安全软件是可以卖钱的,那个年代病毒横行,个人电脑上主要流行的以病毒、木马为主,灰鸽子,GHOST等远控木马非常流行,那个时代的搞黑产的给别人电脑安装各种远控木马偷窥别人,有些比较恶劣的就是用这种方式进行敲诈勒索,也许这就是早期黑产勒索产业链吧

那个时代流行的病毒主要分类有:盗号木马、感染型病毒、U盘蠕虫类病毒、远控木马、后门、下载器(以鬼影病毒为代表)

当时国内安全软件界有三大亨:某星(老大),某山(老二),某民(老三),基本国内用户的电脑装机之后都会选择安装其中的一款软件,当时大家的电脑好多都是在电脑城自己组装的,电脑城装机在哪里也非常火,有些安全软件估计和他们有合作,给用户电脑安装相应的安全软件,然而这些安全软件是收费的,所以大家就会在网上找那种免费半年的试用版,也有一些用户选择安装国外的一些免费或收费的软件,比方小红伞、卡巴斯基、赛门铁克、BitDefender,麦咖啡等等,可以说当时国内安全软件界还是很发达的,技术也是不错的,不会比国外的那些安全软件差多少

某山一直想当老大,可惜就算老大不行了,也一直没有做成老大,一直做着老二的地位,这是为什么呢?

突然有一天,某字加入了安全软件界,然后推出了一个国人都喜爱的行为:免费!一下子,大家都乐开了花,不用去天天到网上找那种半年免费的安全软件了,某字一下子火了,大家发现不用花钱真好……

后面大家都知道了,某字成功了,上市了,赚到钱,某星被彻底打败了,某山勉强维持着生计,还是做着老二的地位,某民自己转行了,某字一统了国内安全软件市场,免费的软件大家用的都很爽

当时有一些企业在做2B市场,比方:某辰、某盟、某服等,不过他们当时在安全圈似乎没有太多关于他们的故事,也许是我没有关注这块,因为我当时也不在这些企业做事,这些企业在2B的市场里默默的做着自己的事,赚着自己的钱

国内2C安全,以某字称王而结束,数字上市了、发财了,大家都使用着免费的软件,然后免费东西并不一定是好事,事实上几年之后就出现了“后遗症”,导致整个2C市场的一些乱象

出现了什么“后遗症”呢?我这里简单说三点:

1.部分安全人员流失,或去从事灰黑产

数字一家独大了,某字的安全人员上市之后,部分人随着上市发了一点财,不想那么累了,也不想那么苦逼了,有些就转行了,不做安全了,可是别的安全公司的人员,只能去另谋出路,有些看着某字公司的安全人员上市发财了,就去从事灰黑产了,有些干脆转行了不做安全了

2.国内各大流氓网站以及软件横行,基本无人管

看看现在国内个人电脑上都是些啥,以及国内软件下载网站上都是些啥,大量的“流氓”软件,捆绑下载,诱导安装、全是全家桶,弹广告,刷流量,偷偷后台下载等,其中还包含一些以前的安全厂商,做起了锁主页,靠流量生存,这里我就不多说了,大家都知道,一切都是为了生存而已

3.第三点就是我上面说的,这些年安全都在做什么,因为2C安全不赚钱了,只能打比赛,办会议,刷SRC,没人去管什么病毒木马,恶意软件,之前转去做灰黑产的人越来越多,团队越来越大,赚的钱也越来越多,某字一家独大,大部分以前2C的安全厂商都转行了,某山做起了移动端的生意,现在又转去做AI,游戏了,基本和安全告别了,只有部分人员还在做着锁主页的生意,某星基本就转战政企合作了,也退出了2C市场……

2C安全市场的消亡,各大安全厂商在2C赚不到钱了,以前2C市场不好做,个人用户不愿意花钱购买软件,后面有了免费安全软件,个人用户更不肯花钱购买安全软件了,导致2C的安全厂商没有了赚钱来源,只能靠流量推广了……

2C的安全故事,就这样结束了,上面都是一些个人的观点与看法,故事纯属虚构,如有雷同,纯属巧合,这仅仅是一个故事,过去的都过去了,我们要展望未来!

故事讲完了,我来说说这些年我都在干啥,这些年我一直在坚守着自己的底线,也一直在坚持做着安全研究,分析各种恶意样本,这些年的坚持是为什么,在坚守着什么?其实在安全圈混了这些年我混的并不好,也没有赚到什么钱,然而不管怎么样,不管遇到什么困难,也不管在身在何处,做着什么,我还是坚守着自己的安全研究,没有被任何事物所影响,就像上篇文章说的,这么多年,我一直坚守两点:1.坚持安全研究 2.不做黑产!

做人如果没有梦想,和咸鱼有什么区别呢?这些年我为什么能坚持,因为我一直坚信,做安全有前途,一定能赚到钱,而且安全很重要,未来的企业如果不重视安全,迟早会吃亏,甚至无法生存,这些年我也一直跟身边的朋友这么说,坚持做安全,不要放弃,总有一天全球都会开始重视安全,我们不能放弃自己的安全能力,将来一定有我们的用武之处,也许现在我们过的很苦逼,甚至被人瞧不起,无所谓,总有一天,让别人知道什么才是真正做安全的,做安全的默默守护着大家的安全,为什么我一直坚持,只为了安全人员的尊严!

这些年我一直坚持做安全没赚到什么钱,做安全的有时候不也受人待见,被人无视,甚至还有一些人觉得我们做安全的人没什么用,各种冷眼与嘲笑……

有时候就靠写点文章增加一点点收入,贴补一下家用,有时候做安全真的很苦,我曾也想过放弃,不做安全了,去做别的,或者直接去做灰黑产吧,但后面我还是坚持下来了,因为不管我在做什么,我一直在坚持着,没有忘记自己做为一个安全分析师该做的事,只要有机会遇到或能做一点安全相关的事,我都会尽力去研究,去做,有一次遇到流氓软件,我马上分析了一篇文章发到了FreeBuf上,如下所示:

还有一次我的手机每天都收到垃圾短信,然后我研究分析之后,也发了一篇相关的文章发到FreeBuf上,如下所示:

虽然每次写这些可能只有两三百块钱的稿费,有时候会被人笑,说做安全的不值钱,但我觉得作为一名安全分析师,我可以利用自己的知识,给大家传递一些安全知识,分析一些安全问题,也挺好的,我从来没有忘记自己是做安全的,所以我一直坚持去做!

这几年MAC上的恶意软件也越来越多,每年都会的各种新的MAC恶意软件涌出,我研究了MAC的SIP安全机制,发了一篇关于SIP安全机制的文章,如下所示:

然后我还会时不时将一些自己研究或看到的一些有用的安全相关的知识进行了总结,发到了github上,对OSX安全有兴趣的朋友,可以去下载相关的资料研究学习:https://github.com/pandazheng/IosHackStudy

2016年有个华为的朋友发给我一个样本,让我帮忙看看,我分析之后发现一款非常流行Linux下的DDOS攻击样本,直到现在这款样本依然在Linux DDOS攻击中占据大片江山,如下所示:

2013年9月,戴尔公司的SecureWorks威胁对应部门发现了一种名为CryptoLocker的勒索病毒,通过邮件进行传播感染,2014年12月Sophos和ESET安全公司的安全研究人员发现了一种新型的可自我复制的勒索病毒VirRansom,从2013年起,勒索病毒就开始展露头脚,不断有新的勒索病毒出现,勒索病毒从2015开始变得非常流行起来,移动端的勒索也是非常多,因为当时移动非常火,安卓手机上出现的各种勒索病毒,PC上也有一些勒索病毒,在2016年的时候阿里先知论坛举办了一个针对勒索病毒的专题,于是我写了一篇Linux下比较流行的一个勒索病毒KillDisk的分要报告,这款勒索病毒也是由ESET安全公司首次发现的,如下所示:

2016年10月21日晚间,北美地区大量反馈若干重要的互联网网站无法正常访问,涉及到的网站包括twitter、paypal、github等。本次事件是由美国知名网络域名服务提供商Dyn遭受到强力的DDoS攻击所致,后面由Flashpoint公司确认是通过Mirai僵尸网络进行的攻击,Mirai是一种基于IOT设备的僵尸网络恶意程序,后面该源码被公开之后,如下所示:

各大安全厂商开始发布各种分析报告,随着源码被公开,后面出现了各种Mirai的变种样本,我分析过它的几个变种样本:Hajime,Persirai,DvrHelper,BrickerBot,并在我的微信公众号,发布了基于物联网安全研究的报告,如下所示:

基于物联网安全的安全研究我从四个层面进行了剖析,而且我都做了相应的研究与分析,如下所示:

有兴趣的可以看我微信公众号发表的相关文章,同时我也感谢当时所在公司,让我有机会深入的研究分析物联网安全存在的各种安全风险以及安全问题,当时我们做了大量关于物联网安全的各种研究,而且我所在的安全实验室也是国内实力非常强的芯片安全攻防实验室,在侧信道安全以及芯片密码学两方面都有很深的研究,属于深圳市重点实验室,里面有各种芯片安全研究的设备,我很高兴能和他们一起共事,他们也让我学习了一些芯片安全相关的知识

我整理了相关的Miari安全相关的安全分析和文档,如下所示:

Mirai安全事件虽然已经过去了一段时间,然后Mirai的变种还是非常流行,我捕获到了很多它的变种样本,并进行了相关的分析,如下所示:

大部分基于Mirai的样本,都是采用交叉编译的方式,编译于各种不同平台的程序,进行攻击,类似于这种,如下所示:

后面有空我也会写一些关于Mirai各种的恶意软件的分析报告

从上面我追踪到的各种安全事件,可以看到最近几年各种安全事件不断爆出,涉及到的安全问题,安全平台也越来越多,不管什么时候,我一直都非常关注各类安全事件,并对这些事件进行研究分析,可以发现在不同的安全平台下,针对企业的安全攻击也越来越多,未来一定是企业安全的黄金期,会有越来越多的安全厂商转战企业安全,于是我决定离开之前的公司,离开之前的安全实验室,加入一家企业安全公司去做企业安全

2018年我加入了新的公司,开始转战2B安全战场,这些年我一直坚持研究各种安全知识,关注全球发生的各类最新的重大安全事件,涉及到各种不同的安全平台,未来肯定是一个大安全时代,同时2B安全行业一定会兴起,至少未来十年一定是做2B安全企业的黄金发展期,企业安全的浪潮已经来了,安全人员的机会来了,现在也有越来越多的安全人员转战企业安全公司,同时也有一批老牌或新的安全公司投入到企业安全之中

未来企业安全一定会有很好的发展,我始终坚信这一点,果然没错,随着国家政企业,高校和各大企业对安全的越来越重视,很多安全公司都涌入到了企业安全的行业中,安全行业仿佛又回到了重新,都回来了

安全的春天仿佛已经来了,然后我们一定要明白一点,做安全一定要回归本质,一定要做好安全的本职工作,不管你是做移动安全、渗透测试、WEB安全、漏洞分析挖掘、网络安全攻防等,一定要扎扎实实,静下心来研究安全技术,这几年安全圈太过于浮燥,有些懂安全的人,也离开安全圈,不做安全了,随着企业安全的掘起,需要更多懂安全,坚持做安全的人加入到这场战争中来,同时国家与国家之间在未来也存在安全攻击问题,也需要更多的人加入,做安全需要的是一份坚持!

有人说GandCrab勒索病毒运营团队赚了20亿,做安全不赚钱,做企业安全一定赚钱,随着未来国家越来越重视安全,等保2.0也发布了,5G也出来了,网络安全问题也一定会越来越重要,需要更多的安全人才加入

不管是漏洞挖掘,还是打比赛,还是举办各种安全会议,安全不要跟黑产脱节,做企业安全更需要了解黑产,需要对各种安全攻击,黑产活动进行追踪分析,不仅仅是打比赛,我们要直接对抗各种黑产,安全的本质就是人与人的对抗,如果做安全的人,不去分析最新的流行安全事件,不去追踪最新的黑产团伙,那做安全又有啥意义?

我支持打比赛,特别是一些高校,一定要多举办这种安全比赛,可以提高高校大学生的安全能力与水平,同时我也支持举办各种安全会议,大家可以坐下来,研究讨论各种安全问题,追踪的各种黑产团队,刷SRC可以为企业找到更多可能存在的安全风险,但这些不能仅仅限于形式,或只追求形式,或者成为一种套路,大家一味的追求这些,就失去了做安全的本质,做安全还是需要对黑产有更多的了解与研究,如果整个安全圈都沉迷于这些,却没有去想着如何给企业提供更好的安全保障,解决企业遇到的各种实际安全问题?那这些活动就失去了意义了,举办这些活动是为了更好的提高大家的安全能力和安全意识,SRC平台也是为了让企业更加重视安全,减少一些潜在的安全风险等,高校举办CTF为了培养更多的安全人才,我们可以让这些活动更加结合实际的黑产案例,是不是更好一点,同样安全会议,我们能不能讨论更多企业遇到的实际安全问题和安全事件案例,以一个实际的案例进行讲解分析讨论,然后追踪到背后的黑产团伙等等,仅仅个人建议,有说的不对的,请大佬们多多包涵,我是希望大家能真正一起做好安全,让真正懂安全,坚持做安全的人能得到更多的回报

做安全的本质就是对抗黑产,不与黑产对抗,整天在自己的安全圈里自娱自乐,企业安全问题越来越多,没有解决,那做安全又有啥意义?

让安全回归本质,不要浮于表面,有更多想做安全坚持做安全的人加入进来,一起做安全,现在企业安全面临的安全问题真的很多,企业安全需要做安全的一起来维护,全球每天都有各种安全事件的发生,以及各种恶意样本的攻击,漏洞的爆发,真正把安全做起来,一起做好企业安全,而且现在的企业也越来越重视安全问题,坚持做企业安全吧

GandCrab黑产团伙赚到了钱,我们做企业安全也一定会赚到钱,也一定能赚到钱,我们不做安全穷人,做黑产的能赚到钱,做安全的一定可以,国内的企业安全市场很大,而且还有很大的发展空间,赚钱不可耻,谈钱也并不伤感情,我们赚到了钱,又帮企业客户解决了这问题,不是双赢吗?不管哪个行业,总是坚持到底的人赚到了钱,做安全更需要坚持,因为未来会的更多新的安全问题产生,会需要更多专业做安全的人,我接触到的很多企业客户,其实大部分企业客户都很愿意为安全买单,而且他们也很重视安全问题,只要坚持做好了安全,一定可以赚到钱,未来的安全一定是要靠提供更好的安全服务来给企业,企业需要的不仅仅是一套产品,而且一套产品也解决不了所有的安全问题,企业需要的更多的是一种安全保障,安全产品+安全服务,不过这又是另外一个话题了,这里就不展开讲解了,如果大家有兴趣我后面再写一篇相关的文章,深度剖析讨论一下企业安全问题以及对应解决方案,怎么样做好企业安全等等

安全从业者,该凭什么赢得你的尊严,也许每个人都有了自己的答案!

最后欢迎大家关注我的微信公众号: CyberThreatAnalyst ,后面我会不定期分享一些安全核心技术分析,黑产追踪对抗,最新安全动态解读,安全事件分析等文章,只分享纯干货!安全的路还很长,贵在坚持,我会坚持走下去,同时也非常感谢那些留言支持我的朋友,在安全的这条路上,我仅仅是一名安全从业人员,微不足道,我需要更多的战友,一起努力去做好安全,让安全更有价值,让那些真正懂安全,坚持做安全的人,赢得自己的尊严,并得到应有尊重与回报,而不是被无视……

本文转载自: CyberThreatAnalyst

(完)