2015年,网络安全大赛在全国各地风生水起,其所赛呈现出的知识性、实战性以及竞技观赏性都给主办方、观摩者以及参赛选手都留下了深刻的印象。很多对网络安全需求较高的行业代表纷纷表示,网络安全大赛作为一种培训人才、检验人才、有效提升工作水平的一种可行途径,要长期开展下去。那么,对于专注网络安全行业且对网络安全人才需求强烈的专业公司来说,他们如何看待网络安全大赛?对培养优秀的安全人才有哪些促进呢?笔者特别采访了国内知名网络安全公司犇众信息(盘古)CEO TB。
记者:首先作为一位安全行业的大咖,并且是直接从竞赛里面挑到过人才的公司负责人,您是怎么看2015年的网络安全大赛的?非常想从您的角度,看看网络安全大赛是否有我们漏的点,或没有意识到的问题?
TB:对,是这样的,我们是通过一个东华杯,物色了来实习的。因为我们的方向不是web方向,是二进制方向,所以要求会比较高。你从传统的那种校园,或者是招聘网站,基本上是很难找到人才的。
记者:那这个难度,能形容一下这个难度吗?
TB:一般来说这个行业里面,早期进入这个行业都是由于兴趣爱好,而且圈子可能也比较小,你看现在很多安全公司招了一些安全研究员,基本上都是圈子是最重要的。
所以说,尤其是现在这种年龄比较小,刚出来上班的,或者是上大学的时候会成立一些安全小组,这些圈子我们接触不到,我们就不会去招很多人。一般来说,招人一个是通过朋友介绍,一个是像你们那种安全竞赛,因为学校里面也会也很多安全竞赛,其实这里面是能涌现出一些能力不错的后起之秀的。
所以对我们来说,希望你们的竞赛还能在二进制或移动安全方向是多加一些东西,不一定非要说我进入他们第一名了,我就要他们进入我的团队了。我们就需要有那种二进制安全研究功底的那些学生,拿不了第一也无所谓。
记者:实际上就是说除了关注他的整体的水平以外,还会更关注他所倾向的方向?
TB:其实你们的整体水平是WEB端的总体水平。你们包含线上的培训,二进制方面也有了,在你们的模拟环境了,基本上都是web安全的东西。
记者:确实是,因为它毕竟是在模拟web端会更容易一点,因为它这个环境也比较好做。
TB:对啊。其实你们现在可能和CTF相似 CTF里面各种题都有,靠它这么一个团队的综合能力,各种方向都有,比如web安全能力,还有数据库的能力……所以就是说也希望以后在二进制这个方向也能多点东西,这块人才是我们比较感兴趣的
记者:那除了这两个途径吸纳人才以外,对于比赛本身这个层面来说的话,我不知道站在您的这个角度,对于整个去年2015年整个一年比赛这种爆发式的增长是怎么看的?
TB:我觉得是这样的,一个是人才短缺。所以说有这么一个比赛可以突出人才,筛选人才,这是一方面吧。因为搞比赛时肯定有很多单位在录,单位的目的还是想筛选人才。
第二个方面是每次参赛的人都挺多。网络安全不像其他行业找工作,这个行业其实它的学习的门槛还是稍微有点高的,它学习的东西要稍微多一点。从学习到他能上班,这中间这一段时间,其实还是需要一个历练,知道未来我要学什么,这么一个过程,不是说我学了就能找工作。
很多企业现在都是要稍微有点经验的,或者是需要稍微有点能力的。单是学习,没有检验学习成果,肯定是不行的。这个竞赛就是阶段性的检验成果,能告诉你什么地方短缺,和以后的学习方向,今后在哪些方面再加强一点,是这样的一个方向。
记者:就是说它除了一个阶段性以外,还会不会有可能作为某一类人才的一种类似于试金石的方式,就比如说像二进制或者是WEB这种层面,这种比例会大吗?
TB:这也有可能。很早以前那时候跟朋友聊天,我说安全这个行业是一个比较累的行业,学得比别的行业多。比如现在有些竞赛,如果说一个人的话,又要学WEB的编程语言,包括JAVA和各种方式的语言,还要学习数据库的操作,数据库的语言,还要学习不同系统间的操作,WINDOWS,LINX,搞二进制我还要学习各种不同的汇编语言。其实它需要学习的东西有很多。
那你如果说,一个人他没有一个指导方向的话,比如说现在学校老师的能力跟外面还是有差距的,所以我觉得学生他还需要像这种竞赛,有一个深入学习的机会,能给他一个方向。因为有些东西可能是其他人一辈子都没听过、没做过的。
记者:确实是,之前有好多比赛里边的学生,可能在摸这门的时候都觉得挺费劲的,可能这个比赛是他们第一次见到的能和人之间对抗的一种形式。
TB:比如说一般学计算机的,他对安全一点都不了解,通过某个工具,中了病毒,别人就会认为这种东西是不可思议的。
或者说服务器一个程序打过去,直接拿到系统的高级权限,对于不懂这一行的人来说,这个东西太神奇了,所以这个领域牵扯的东西也会比较多。通过技术会知道接触面积会很广,比如说以前上高中的时候,可能接触的是高中的知识,上大学眼界开阔以后,了解、精通还是有区别。就是说知道有这么个东西,但是现在先不去学,有兴趣了再去学;但是如果说连基本的都不了解,那这一块还是就是说知识面会比较窄。竞赛的话,题会有很多种,不一定每道题非要答对,有兴趣的东西我可以深入去学习,它还是有方向去指导的。
记者:对,这点确实是,因为也能收到一些反馈,有一些选手在经过比赛之后,他们确实反馈说对于某一类东西突然就觉得通了。会有这种感觉反馈过来。
TB:其实我觉得竞赛最主要就是一个阶段性的检验成果,还有一个就是告诉大家行业里面还有哪些东西。
记者:那现在是不是就相当于来说,一个做安全行业的一个人,不管他还只是一个学员还是真正成为人才,他不断的都得经历这种可能类似于比赛也好,或者是这种检验,才能让他自己的这种技能也好,或者说实战的这种水平越来越高?
TB:对啊,因为其实这种竞赛,尤其是像有真实环境的,它毕竟不是回答一个问题,在纸上填一个试卷,做个题,这么简单,它还需要动手能力的。这跟传统教育来说,就有一个很大的差别,它需要考察你很多动手能力,因为有了动手能力,才会有兴趣和动力去学习。比如我刚刚上大学的时候,需要读几本书,数据库理论,操作系统原理等,但光看纸质的东西,没有实际操作,我都不知道这种东西是什么东西,太粗糙了。
记者:对,其实都不知道数据库到底是个啥。
TB:对,你都不知道数据库是个啥,你可能看了半天你都不知道数据库是什么,关系学,又有非关系学,以前是学关系嘛,所以你都不知道里面是什么东西,为什么还叫关系型。你有了实际的东西以后,比如说我告诉你,这个有一个表格,告诉你怎么查询,怎么关联,你就知道它是干吗用的了,它当然不一样了,你实操和这种纸上的东西还是差距很大。尤其计算机行业,非常考验这种实际操作。因为你实际操作完以后,你记忆力会比较深刻。
记者:确实是,这个能感觉出来有好多的那种黑客圈里面偏才就明显是这种,就是操作非常强,但是让你跟他讲一遍可能有点费劲。
TB:对,其实就看你要什么样的人才,你要理论型的人才,那他这种就不适合培养了。
记者:对,反正从常规企业的需求来说,可能还真是说既得有点理论,还得在实践上面能独当一面的,这种人会更好用一点。
TB:肯定是想要动手能力强嘛。就像AWD竞赛,他不光要考验攻,要考验防,因为光考验防也不行,你都不知道别人怎么进攻的嘛。所以就像做安全研究一样,无论你说我系统做得多牛,就像某个邮箱说我的邮箱都是怎么样加密级加密的,我都符合什么安全等级,但你数据库里的东西有没有加密。
还有一些就是说我做了很多安全保护以后,我就可以了吗?人家黑客来的时候可能黑的不是你防护的几个点啊,他可能黑的是你没有在意的那几个点。基本上现在都在想就是说我都在想怎么样去。因为现在漏洞比较难,漏洞利用有很多东西都是奇思妙想,都是找着其他的路子去绕过你原来的防护体系。
记者:对,因为一些加固的确实还真是挺强的,我绕过去更容易一点。
TB:对啊,也就是说我黑你的点不在你关注的那个点上,这些基本上都是这么玩的。
记者:其实呢,也能想象,类比一下,比如说像家里边安门锁也是挺明显的,就是弄了一个特别好的防盗门,然后窗户不上锁,其实也白搭。
TB:对啊,确实是一样的道理啊,黑你的东西不一定是你防护的,所以说你一个系统的东西,你的安全性肯定是要方方面面都要考虑周到;当然你方方面面都考虑周到了,你觉得是方方面面考虑找到,可能不是。可能说安全运营是一个相对的吧,没有绝对的安全。
记者:其实往回说它也属于,比如说通过竞赛也好,通过一些这种再深入的学习,二次学习,你能看到别人的一些好的办法,也能就知道了自己可能还哪儿有问题。
TB:对,因为像比赛,可能都是现实生活中会碰到一种症状,这样的话其实是能学到很多平时接触不到的东西,然后有些东西有时候它考的不是技术,它考的是你的大脑的这种跳跃程度。是不是能想到那个点。
记者:确实是,正好还想问一下,就是上回东华杯后来那三个学员,是已经入职了吗,还是说他等待毕业?
TB:没毕业,一个是在实习,一个女孩子,当时我们是关注我们出的题回答得怎么样,基础还可以。
记者:那么她在实习的这个过程中的话,有和常规的这种可能平常我们传统途径来的这个人才有什么区别吗?这个我还挺好奇的,因为之前确实还没这么遇见过直接招走的。
TB:这不算吧,这就是聊聊,然后让他来实习,很有兴趣吧,不知道将来毕业以后能不能留在这儿。但是目前的正规渠道啊,你像各种大学生他接触渠道,也有可能碰上,他几率非常小,全国那么多大学生,我怎么知道就碰巧招到一个又懂二进制,有懂这些的人呢,你很难碰到吧。是这样的,这种东西属于受众很明显的,我就在这个行业里找,所以我觉得你们将来如果觉得人才培养不错的话,专门弄一个招聘网站也挺好的,这是一个很高的需求。
记者:对,甚至于都可以定向培养,有的时候。
TB:对,定向,因为这个东西,说实话培养人才本身就是要输送嘛,人家来学习也是将来希望能找到一个好的工作。
记者:确实是,看来以后在这个方面,以后不光是我们要搭台子,还要再把这个台子再往后延一步了。
TB:其实我们出两道题,有一道题,实际上他只需要做一半,而不需要全做出来。其实基础有,但是能力还是有点欠缺。我们现在就是想招一些人,底子好的然后去培养,你们到企业里面,企业可能还会做二次培养,在企业里面不会说去大学里面随便招人过来培养,这是不可能的。
记者:关键是不可控,因为你不知道它到底是怎么回事。
TB:对啊,因为你招人你要负责薪水啊,其他的东西啊,如果用不了,你不是也痛苦吗,既浪费时间还要浪费人去带。
记者:对,被用的人也很痛苦。
TB:对,这个是一个培训和筛选的过程。
记者:现在的人才也很不好招,这种痛苦已经很明确感受到了。
TB:对,我觉得你们是这样,一个竞赛里面,各个方面的题都应该出。我这么觉得,有个建议,各方面的题都可以出,算总分谁第一的基础上,然后在每个题上都有分类:如考二进制安全的,web安全的,最后二进制安全谁第一,再来web安全谁第一。通过这样一个记录,就能知道这次比赛哪个团队谁的二进制比较强,或者谁的安卓比较强,类似于这种。
像我们上一次就很明显,我们出的题就是想看看有人有没有能力,还是有人有兴趣会去做的。
记者:会不会有另外一种可能,有很多的比如这种综合性的企业或者是常规的企业,他们在挑人才的时候,实际上并没有特别严格的方向?
TB:不会,是这样的,你如果说不会有严重方向的话,可能不会有,因为那个入门起来还是比较简单的,人培养起来比较容易,所以说它只要对人有一个简单的基础可能就可以了。但二进制要求的东西像汇编啊,典型的要求还是比较多的,所以说这些企业里面招这些人才的时候都是专门的招各种方向的人才,二进制方面的可能不太好招,基本上都是圈子的推荐吧。
所谓高尖的人才,像阿里巴巴,像腾讯,像很多大企业也都在招二进制安全相关的,这些也很高,这些东西他们可能觉得安全方面的不太好招了。像招人,国内还是有些专门搞这个方面的,比如有一些群,去那里招也比较合适,最高效的地方就是找那些扎堆的地方,QQ群,微信啊,或者是帖子。
记者:那像咱们这边每年可能大概需要多少个人?
TB:我们这块最开始的话,现在可能有13、14个。但是13、14个里面实习生还是比较多的。我们自己也在筛选吧,从大学里面找这种搞过比赛的,搞过安全的这种人来培养。人才需求,基本上后面培养起来的话,存在一个流动,有可能会走,可能培养不起来,自然而然可能还需要信任,基本上所有人比如说我需要一个,我可能招两个储备的。
可见,作为安全圈里的资深大咖,TB对2015年的网络安全竞赛有着非常理性的认识,他高度肯定了网络安全大赛,对网络人才培养、历练、乃至打通人才招聘渠道的实际价值;同时,他也对网络安全大赛的方向、题目也提出了更加精准的期望与改进建议。有理由相信,经过2015年的积累与铺垫,再结合业内大咖的群策群力与鼎力支持,2016年的网络安全大赛将更加的精彩,依托网络安全大赛平台,也必将涌现出更多更优秀的网络安全人才。