专访Tombkeeper：绿盟科技的安全攻防战

个人简介 Tombkeeper，毕业于安徽医科大学，现任绿盟科技安全研究部高级研究员。从事信息安全技术研究十几年来，从事过的主要研究方向有漏洞分析、挖掘、利用、检测，恶意代码分析、检测、防护，移动终端和无线技术相关安全问题等。目前主要从事APT/0-Day检测方面的研究。微博和Twitter帐号都是@tombkeeper。

QCon是由InfoQ主办的全球顶级技术盛会，每年在伦敦、北京、东京、纽约、圣保罗、杭州、旧金山召开。自2007年3月份首次举办以来，已经有包括传统制造、金融、电信、互联网、航空航天等领域的近万名架构师、项目经理、团队领导者和高级开发人员参加过QCon大会。

   

1. 非常感谢教主能光临QCon的会场，我也非常荣幸可以给教主做这次采访。首先请您向大家介绍一下自己。

Tombkeeper：我是于旸，来自一家做信息安全的公司：绿盟科技。2002年毕业之后就干这行，到现在12年了。基本上和安全有关的都接触过，技术研究主要围绕着攻防展开。

   

2. 今天我访问的黑哥他主要是在脚本这方面富有盛名，你是在内核和系统漏洞这块研究的比较多，这方面的微博内容也好，你和黑哥同为黑客，你们最大区别是什么？

Tombkeeper：最大区别主要还是涉足方向不同。基本上干这行用的思维方式和工作方法都差不多。换句话说，如果黑哥把他的精力投在我的方向上应该也能干，成果也不会差。

   

3. 我知道黑哥拿了腾讯十万元大奖，你是拿了微软给的十万美金的大奖，所以是不是可以说，你做得这个东西比起他，更加高大上一点？你研究的这方面是不是认知度更高一些？

Tombkeeper：我觉得这个差别就是汇率。微软的技术悬赏，人家不可能用人民币结算。所以我觉得区别不应该在这地方。可能还有一些人，从来就没有得过什么奖，但是他的水平可能也非常高，这个是两码事。而且本身不同方向的，不能直接的拿这种获奖来比。比如说，打乒乓球的跟踢足球的，一年挣的钱，打乒乓球的就没有踢足球挣的钱多，但这个差别和他们在国际上的排名是完全不一样的。所以说不能简单的拿这个来算。

   

4. 你认为做系统和做脚本这两方面，它们入行的门槛或难度有区别吗？

Tombkeeper：脚本这块，相对来说门槛要低一些，但是到一定层次之后会很难。你想做到最顶级的那一层是很难的，这个难度可能和在系统层面上想做到最顶级的难度是一样的，差别是在系统研究方面入行的门槛不低，这个门槛是你得连滚带爬的过去，过去之后，会发现前面还有一个更高的门槛。但是脚本则不一样，可能你进去的时候，你觉得这个一迈步就进去了，但是进去之后，再往前走一截，你才会发现前面有一个非常高的东西，想跃过去需要花很多的精力和时间，还需要天分，可能这就是他们的差别。

   

5. 你毕业于安徽医科大学，最后在安全行业高就，在入行和转型方面的经历给大家分享一下吧。

Tombkeeper：在大学里学计算机，一开始纯粹为了应付考试。大学二年级才开始开计算机课这门课，当时主要以动笔为主，但是我认为，很难通过这种方式把计算机学好，买一台计算机是很有必要的，家里比较支持，就买了一台，之后上机一操作，就发现完全不一样，你在计算机上去学计算机，跟你在纸上学计算机的感觉是完全不一样的，然后你可以学的东西就远远不是我们教科书上的那一点，从这个时候开始，一步一步地慢慢自学。

至于转型，这也是很偶然的机会，我现在记得不是特别清楚，可能某一期的电脑商情报上，当时我看到了一些网络安全方面的内容，比较感兴趣。然后就是有意识的去找了一些这方面的书籍看一看，后来发现这部分内容和计算机领域的其他东西不一样，而且正好是我喜欢的那一类知识，就在这里面投入了很多精力，完全是个人喜好。

   

6. 之前我看你微博上面说过，其实对于很多厂商，由于安全意识比较落后，所以一些不太高明的一些漏洞，甚至有些漏洞是已经公开很久的，它依然可以被黑客利用起来攻击这些厂商。目前来讲，所有的这些网络安全方面的甲方，他们最大的问题在哪里？

Tombkeeper：这个问题太大了，因为不同的企业，不同的行业，国内国外，大中小，都有各自的特点。一般来说，其实还是和受安全问题的侵害的这种体验有关系，就是这个人挨过打他才知道疼，基本上就是这个道理。所以在第一线的，就是直接面临这种安全问题的，比如说互联网相关的企业，那么他们肯定是最具有切肤之痛。那些被攻击最多的，也就是说用户比较多，攻击可以获利比较大的那些企业，像早几年的QQ，后来的那些游戏，做游戏的企业，那么他们肯定是有切肤之痛，对这个是最重视的。那些没有遭受过那么多的攻击，或者说攻击对他没有造成特别大的影响的企业，可能相对意识要差一些。意识比较好的企业，我们也能看到，最近这些年国内在安全方面，这些企业的投入是很大的，而且他们的团队建设和人员水平的提高非常迅速，甚至我可以感觉出来他们的水平提高的速度，比做乙方的安全企业这个速度提高还要快，这个背后有一个动力，就是如果你水平不提上去，你的钱就被人抢走了，有这个动力在这。

   

7. 目前有一些大公司做安全，你觉得这个对你们这种专业做安全服务这块的企业是一种威胁吗？还是说你们会有一种特殊的模式是可以在这个大环境下依然很好地生存下去？

Tombkeeper：专业的安全公司，我觉得应该一直会有市场，因为最主要的原因是整个信息产业，它是每年的都在增长。信息安全，安全肯定是依附于信息，这个安全的市场肯定是随着信息这个市场的扩大而水涨船高，由于信息这个市场在不断的扩大，所以安全的市场肯定也是随之扩大。其中有一部分，甲方本来可能要交给乙方去做的，可能他们现在逐渐能自己做了。但是有几点：第一有些事情可能还是要由乙方来做，并不是所有的事情，都适合甲方自己做；另外就是还是有不少小企业，对他们来说自己花钱建立一支高水平的团队是不合算的，还不如花钱去找乙方。

   

8. 我知道QCon有很多的软件开发者，他们可能对安全也很有兴趣，另外就有一些年轻人，他们会有比较迷茫。在大学里面，在现在现有的体制里面，他们很难去通过正统的教育学习去入这个行，他们可能要用到比较偏的方式，就像你当年入行的时候，可能就是机缘巧合之下就入行了，可能也碰到了非常优秀的人跟他们一块合作，或者现在有些人需要别人带一下，那你觉得现在的整个安全行业的人才是非常的匮乏吗？对于一个新人而言，他什么没有太多的背景，应该怎样才能进入到这个行业？

Tombkeeper：大概从2005年开始，可以明显的看到甲方企业开始建立自己的团队，从这年开始，对安全人才的需求每年都是处于一个缺口状态，一个供小于求的状态。而且这种情况到今年为止，进入了一个高峰，很明显缺口非常大。所以这个行业其实就业应该不是太大的问题。主要问题可能在于：一方面学这个的学生觉得这个前途不是很好，很难找到工作；另一方面，企业总说找不到合适的人。我觉得最大的问题可能还是学校的教育和企业实际需要的知识中间存在一点脱节，也就说最终企业真正找到的，他觉得比较合适的人，这些人学的知识，多数并不是老师教的，而是自己学的。也就是说实际上这些人是不是读这个专业的都不是特别重要了。但是也不可否认，国内有一些学校，他们的老师也活跃在在安全社区里面，他们了解企业的需求，会有意识的调整给学生们的教学，包括给学生们搞一些参与安全社区的活动，让他们在学校里面就了解企业的需求，培养出来的这些学生对企业就比较有用的。

   

9. 那么我的理解是，因为人才有个缺口，所以你认为安全这块对于人的依赖性还是很高，就是高端的安全可能对人的依赖性很高，那么现在有很多安全产品，就安全产品在你的眼里，它们大多数只能打60分，它们只能解决基本的安全问题，因为它们无论是云端产品也好，它们是个盒子也好，可能只能解决一些常见的问题，你们已经标准化规范化的一些东西，那么更高的这块，你觉得未来安全市场上，安全产品的这块更大，还是说更多依赖于人的市场更大一些？

Tombkeeper：从目前来看，整个安全市场大部分还是设备，至少国内大部分的IT服务都不是特别值钱，不光是安全，国外可能IT服务这块相对来说含金量高一些，国内就一直不是很值钱。所以至少在中国，我觉得未来相当长一段时间里，安全市场大部分的份额还是以产品为主，可能会有一点不同的就是，这个产品会更多的和人结合起来。比如说基于云端的这种产品。实际上在云的这一边可能就会有企业里边的专家，在通过这个云进行实时服务。只不过对于企业来说，他看到的是产品在他这，所以这个我觉得可能将来是一种模式。但是至少从这个一段时间来看，肯定大部分的市场份额还在产品上。

   

10. 你觉得人力服务这方面做不大，是因为人难于批量生产，还是因为厂家目前的需求没有这么大呢？

Tombkeeper：服务是这样，我说的这个服务的量实际上是这个服务的总收入占厂家的总收入。或者说就是钱，你挣的钱里面有多少是服务的。现在实际上是做的服务数量不算特别少，但是因为服务不值钱，所以它占的收入比例比较低，主要问题还是这个。

   

11. 你认为目前服务的，或者说目前服务的价值还是被低估了？那么你怎么看渗透测试这个，包括乌云是打算中包做渗透测试，还有一些厂商是自己自建团队进行渗透测试。你怎么看渗透测试这一点呢？

Tombkeeper：渗透测试应该是非常有价值的服务。或者说在企业安全当中，是评估安全做得好不好的一个标准。因为你可能用了各种产品，做了各种各样的策略，最终的效果如何，你得拿实践去检验，渗透测试就是你唯一可以用的，或者说是最可靠的一个检验的方法。实际上在国外渗透测试服务是很值钱的，至少是比国内要贵很多倍的价钱。那么在国内，我刚才就说服务普遍的是不值钱的。国内你理一个发是很便宜的，几十元，在国外可能就是十倍的价钱。但是我觉得渗透测试可能和别的有一个小小的不同，就是它是基于Internet的，理论上，就是国内的这些做众包的企业也好，个人也好，他们可以直接去为国外服务。就是你在国内，虽然是国内企业，但可以接国外的工作，你可以把你的服务以国外的价钱去出售，如果中间的一些问题，比如说信任等等这些问题如果能打通，对国内这个行业的收入提高和让更多的人愿意加入这个行业，都是会有帮助的。

   

12. 绿盟这家公司主要的商业模式和他们主要的一些产品你能介绍几个吗？

Tombkeeper：绿盟至少目前是一家传统的安全企业，现在也在做一些尝试，做一些转变，开展一些和互联网相关的这种模式，去做安全服务。但是目前的主要的这个方向还是这边。产品基本上涵盖了所有的安全产品，从抗拒绝服务，入侵检测，防火墙，包括Web防火墙。

   

13. 问一个跟QCon相关的问题，由于这次是你第一次在QCon做演讲，你对QCon整体的感觉是什么样？有什么建议？

Tombkeeper：虽然第一次来参加，我在这儿转了一圈之后感觉还是不错的，感受到了特别全面的IT气息。我之前参与的会议绝大多数是安全相关的，在会场里看到的人就是一种人——全部都是黑客。留着鸡冠头，染着绿头发的人都很常见，但是类型非常单一，既使是衣服穿的比较正式的，你和他一聊天，你会发现，他们和鸡冠头是一种类型的人。但是到QCon上感受的不一样，你会感受到整个IT世界的各种各样的人，这里面会有整个IT界里所涉及的各种信息，各种知识，完全不一样的感受。

   

14. 我是这次QCon安全专场的出品人，很遗憾，你没有能到我的专场里面来看一下，那么我想问你，你刚才说QCon涵盖了所有跟IT相关的这些人，如果你在这个安全专场上讲，你会讲哪方面的内容，因为台下很多都是开发者，或者他们做不同职业的，他们可能做得事情不一样，有的做运维，有的做开发，他不一定都是做安全的人，不会像你以前的会上面，底下的人都非常的懂，你随便给一段出来，人家立刻就懂了，你在如果是讲这样的会议，因为这个会很少请传统安全公司，以后可能会多请一些，你觉得像你这样做安全做的这么专精的，你们在讲这个会议的时候，你有些什么想法，或者建议，对这个议题上面和这个选材，还有讲的这个风格等方面？

Tombkeeper：对于这种会议，或者说实际上面向非安全专业的IT人士的这种演讲，我以前也做过不少。从经验来看，首先肯定内容上要考虑好，不能是特别深的。另外就说得考虑，对他们来说什么样的内容是最有帮助的，他们需要什么。他们并不需要特别底层特别深入的知识，那些对他们没有什么用处。可能传递一些业界最新的，公认的比较优秀的安全实践会更好，能够在他们的工作中用上的。获取这些信息是我们工作的一部分，我们肯定会特别深入和全面的了解这些信息，而非专业人士，可能不会对这些信息跟踪的那么紧，那么如果能够通过我们把这些传递给他们，对整个IT界在安全上的一些意识，和出品的软件、硬件的安全性的提高，是会起到帮助。

   

15. 如果下一次我还是安全出品人的话，我再邀请您的话，您会对这样的会议，面对这样的观众，面对这样的会会有兴趣吗？

Tombkeeper：我觉得应该会有兴趣，仍然会有兴趣。