網路遊俠：關於安全這個圈子……有話說

最近，不止一個朋友和我說：不想幹這個行業了。我問為什麼？說感覺有點像騙人。並且幾個都和我這麼說。我說你強大的忽悠能力，騙了這麼多人，突然良心發現了？

其實，安靜下來想：自己有時候也在考慮這個問題——我們的所作所為，到底多少是真的從客戶角度出發？客戶的每一分錢，是否真的花到了點子上？

——不僅我犯嘀咕，可能犯嘀咕的人很多。

使用者關心的，其實不是賣多少裝置，而是：我最關心的問題，到底解決了沒有？

防火牆廠商說：不買防火牆怎麼行？這是基本安全措施；
防毒軟體廠商說：你有本事不買防毒啊？網路層、主機層都要啊！
IPS廠商說：不支援阻斷的IDS不是好防火牆……（理解下）；
主機管理廠家說：列印、U盤、檔案控制，一個都不能少；
WAF廠家說：沒有防篡改功能的WAF不靠譜啊……

實際上呢？現在的網路環境下：
UTM是不敢開全功能的，否則就裝置就掛了；
很多IPS都是配置成旁路的，否則網就掛了；
很多主機審計都是被使用者罵的——不是因為功能，是因為效能；
很多WAF和防篡改是防不住一個內心堅定的黑客的。

廠家的人，給你做安全諮詢，僅僅是為了賣掉自己的產品；
整合商的人，給你做安全諮詢，僅僅是為了賣利潤高的產品。

那麼，這樣一來，到底誰關心你的業務？
這也就是本文開頭說的，幾個朋友都說自己像是個騙子。因為不可能站在客戶的角度出發去做安全，而是站在廠家、站在賺錢的角度去設計方案。如此一來，安全，成了賺錢之外的另一個目標。

國內，就是這樣的現實。

今天下午，看到國內有名的漏洞公開網站烏雲關閉了，看到說法是：

@烏雲-漏洞報告平臺：真是奇怪的網際網路啊，要求我們刪除漏洞遭拒絕，然後就非正常的把我備案取消，然後再通過IDC說沒有備案要求關網站 烏雲要跟各位短暫的說再見了.....

而前兩天，網路世界的一名編輯也發了這麼一條：

@Mister諾諾：越是智慧的東西，漏洞越多。通過智慧電話的一個漏洞就控制了整個網路的時代並不太遠。有同學給某外國智慧裝置提供商上報漏洞，結果換來了惡劣的態度。其實，此同學發現了四個了，但最後只上報了一個。不知道直接上報給此公司的總部會不會也是這樣的態度？這麼大一個品牌的公司，員工竟然是這樣的素質。

總之，國內就這樣的環境，能如何？有時候，我倒是更贊成，遇到這些廠家出問題，直接公開得了……

前一段一個客戶測試WAF，測試了三四家，發現沒有一家能抗住專業滲透團隊的攻擊，無一倖免。
對此，無言。

多數安全廠家，在忽悠客戶能力上，比研發研發能力、技術支援能力、售後服務能力強得多。
有時候，說安全圈，也是個娛樂圈，感覺也不是那麼過分了。

本文出自 “網路遊俠（張百川） ” 部落格，請務必保留此出處http://youxia.blog.51cto.com/45281/732275