鑽石舞台

和大多數IT專家的過往一樣，陳鵬有也是從遊戲開始逐漸了解計算機的。論壇上所概述的反編譯非但沒讓年幼的陳鵬有誤入歧途，相反奠定了他步入信息安全的理念，這或許就是所謂的「個人意識」有所差異，同樣的技術在不同的人手上就會有不一樣的運用方向。

而真正接觸到「信息安全」是在陳鵬有大三的時候，奇安信公司和他的學校做了一次校企合作，倍感興趣的陳鵬有參加了他們的課程培訓，用陳鵬有的話來說：「雖然他們的培訓內容有很多，產品、設備等等，但我最感興趣還是攻防。黑客、紅客、白帽子，沒有比這些更酷的職業了。」

專業雖關乎於物聯網，但一心想研究攻防的陳鵬有豈能滿足於現狀？於是秉持着篤信好學的精神，陳鵬有愈發將所學、自學的計算機知識融會貫通。他指出，當下的工控安全就結合了物聯網和信息安全，嵌入式的軟硬件結合體系是我們安全行業該關注的重點。

陳鵬有的第一份工作就職於奇安信科技有限公司，職位為滲透測試工程師。

「我加入安全行業後，一開始面向的客戶都是些交通銀行、招商銀行之類的金融單位。眾所周知，金融行業的客戶通常比較注重安全，即使是危害較小的安全漏洞他們也會比較關注，因此，可以說這個就職過程也讓我自己樹立起了一個比較雛形的安全意識觀吧。」

為了更好的完成工作，初入公司還不怎麼熟悉流程的陳鵬有就只能邊詢問着前輩、師傅，邊亦步亦趨的學習操作。「做重複的事可能並不能算作困難，但做『從未接觸過的事』可能就是另一種概念了。比如應急測試，你得在實際操作的過程中去學習、去成長，而最主要的是不能讓客戶覺得你不夠專業，因此我們得學會隨機應變。」

而對於滲透測試的學習，陳鵬有則更多的認為，做好自己擅長的事並不重要，重要的是該有「從零到一」的建設覺悟，這是一種轉變，不僅僅是工作上的、技巧上的，也是為人處世的一種態度。

「我們得把經歷看作一項任務，所有承受下來的人才能成功。」

工作外，作為興趣愛好，陳鵬有也喜歡在漏洞響應平台上領取任務。「剛接觸安全行業的時候學習了一個安全漏洞，從此喜歡上了挖出漏洞後的快感，這就像是發揮了自己的價值所在，一方面能夠為企業、為行業、為信息技術業找出潛在的威脅，另一方面還能通過挖src來加深自己對於漏洞的理解，同時也讓自己知道了這個漏洞是在什麼場景下產生的，各種豐富的知識和領域讓我興奮不已。當然，在挖src的同時能夠獲取到一部分賞金，這點也尤為重要，這就像遊戲裡面的任務榜單，非常有意思。」

對於第一份工作的總結里，陳鵬有也提到了讓他惋惜的內容，比如實實在在的看到了客戶被勒索、被挖礦，或者因為黑客攻擊造成了大額的經濟損失等，因此他意識到了安全真的是把雙利劍，他提出所有的安全人員都務必得保持好初心，儘可能的發揮自己的價值所在，這樣無論是對企業還是對個人都會是最好的選擇。

不同於身處乙方只做安全服務，陳鵬有的第二份工作就職於某環保領域企業，職位為應用安全負責人。用陳鵬有的話來說，其工作內容就是協助甲方安全建設的落地和實施，負責好項目上和實驗室的具體內容。

和當初接觸到新工作時的概念一樣，第一次從乙方變為甲方也需要在思維上有所轉換，而最主要的還是「從無到有」的搭建精神，得知道自己哪裡需要重新認知，而哪裡又可以適用於從前。

「雖然現在我轉變為了甲方公司，但所做的事情，可能乙方、甲方都有，比如會打HW呀、會打CTF呀、會去客戶現場呀等等；當然也會考慮落地IAST、安全左移這些事情。但是最主要的是，我能看到大家都在努力尋求安全上的突破，尋找一種更高效、可靠的解決問題方式，這點值得欣慰。」

於是筆者不禁好奇，護網行動、CTF、IAST此三者活動對陳鵬有來說哪個更具意義，陳鵬有對此回答：「我覺得缺一不可，因為甲方、乙方都是不可忽略的。身處甲方，你需要為自己的企業去做一些安全架構，或者為企業在原有基礎上做一些提升、一些轉變等；而身處乙方，你可能面對的是各種其他的企業，你需要為他們做一些安全測試或者安全服務，你更多的會去關心整個行業的安全問題。老話說的好，『以我知彼，以表知里，以觀過與不及之理，見微得過，用之不殆』，因此無論身處哪個角度，這些視角我們都得具備，所以這些活動才各有意義。」

陳鵬有介紹說自己第一次的紅藍對抗不盡人意，因為是第一次參加，人員也未能配備齊全，所以沒啥頭緒去競爭。而經過這次的教訓，在做足了準備後，陳鵬有有幸在第二次的護網行動中榮獲第二名的好成績。

對此，作為帶隊，陳鵬有有些建議希望其他安全人員能夠共勉。「首先，從滲透測試人員轉變為紅隊人員後，就完全不能用之前的思維來看待問題了，但之前相關的經驗卻可以借鑑，因為信息安全或說信息技術之間是一通百通的；其次人員分工很重要，每個人都該清楚自己負責的是哪個版塊，針對於這些版塊可以做一些相關的調查，既然是帶隊，就該清楚的了解到每個人擅長什麼，你只有根據每個人的特性去安排工作，他們才能發揮好自己；再有就是配合和策略。」

陳鵬有指出，切不可無腦的將「漏洞提交上去」，這會給自己隊伍帶來破綻，對方會在我們鬆懈的時候突然攻擊，這樣就會被反超了。再比如把握好雙倍得分的開啟時機，這也是贏得比賽的關鍵。

為了更好的迎接比賽，陳鵬有會在平日裡督促隊友多做一些定期整理，比如觀察滲透的一些變化、及時的去了解一些安全漏洞等，實時跟蹤、實時更新自己的安全工具都是非常必要的準備。「這就好像上戰場前，是不是得保證武器的鋒利度？」

而關於CTF的比賽，由於參加的次數並不多，陳鵬有就只能以個人經歷來指出它的特點。「CTF更講究對腦迴路的考驗，它會以出題的方式讓我們作答，而所出的題目往往會違背我們正常滲透測試時的真實環境，比如他會模擬出一個考試環境，然後他想把Flag放到哪兒就放到哪兒，因此我建議大家可以常去關注一下網上的各大比賽，這些比賽常會留有相關的文檔，我們可以參照其上的一些思路，這也是出題人常會去關注的，這樣我們就能從源頭上去了解一些問題。」

而即使參加次數並不多，陳鵬有還是獲得過重慶小組第二名的好成績。

最後對於IAST的安全架構，陳鵬有建議在公司需要有所改變的時候，安全人員得多作一些籌備，比如涉及安全產品或落地一些相關內容時，公司可以多作市場調研，或者多了解其他公司的一些落地經驗等。

對於當下的這份工作，陳鵬有十分感謝自己的領導，他如此說：「只有亦師亦友的領導才會將你的工作融合進你的生活中，因此你不會感到壓力，而是會覺得充滿幹勁。我們總會有迷茫的時候，不管是面對工作還是生活，而我的領導他特別能理解我又會為我排憂解難，可稱得上人間一大幸事。」

「雲安全」是藉助「雲計算」的理念應用在安全領域。根據推出此概念的殺毒廠商的解釋，將用戶和殺毒廠商技術平台通過互聯網緊密相連，組成一個龐大的木馬/惡意軟件監測、查殺網絡，每個用戶都為「雲安全」計劃貢獻一份力量，同時分享其他所有用戶的安全成果。初聽起來，這個概念是很好地將「雲計算」的思想應用在安全領域，似乎非常具有創新性和實操性，具有一定的誘惑力，但仔細一琢磨，發現其目前只停留在概念階段，離實現真正意義上的「雲安全」還有相當的距離。

對此，陳鵬有認為，雖然目前只停留在「概念階段」，但在最近幾年中，雲應用開始變得越來越多，很多業務都在往雲平台遷移，因此雲安全必然是需要關注的重點之一。而其根本原因在於，伴隨着網絡安全形勢的變化，傳統的反病毒模式面臨着諸多無奈，近年來，惡意軟件的增長率首次超過正常文件，病毒的網絡化攻擊、混合式攻擊愈加明顯，而且過程更為隱蔽，使用底層技術的病毒開始公然與殺毒軟件對抗。在這種形式下，傳統的「獲取樣本、分析特徵碼、更新部署」的方式已無法滿足日益變化及增長的安全威脅，必須通過更有效的方法來彌補傳統方式的不足，而「雲安全」便是為此而發展。

除了對雲安全有所展望外，陳鵬有覺得大數據時代之下，肯定的數據和信息對用戶來說也是尤為重要的，是需要放在首要位置去考慮的！

「前瞻性的想法和舉措談不上。一方面國家也有較為完善的數據和信息安全法可以形成制約，所以除了以往的攻防層面，拿下服務器、發現安全漏洞可能會更關注一些數據的顯示是否合理、敏感信息是否脫敏輸出等等。而就個人而言，我對我們安全行業有着無比堅定的信念，我相信網絡安全的機制肯定會不斷完善，一定能有、也一定會有一種比較好的網絡安全機制及時出現，以應對於各種問題。」

即使堅定不疑，陳鵬有同樣覺得當下的行業狀況不容樂觀。「應用防火牆的成本越來越低，安全越來越難做了！」

而對於將要邁入安全行業的新人來說，陳鵬有建議道：「多研究一下新技術吧，多做一些突破吧，我們不能夠停滯不前，因為只有不斷進步才能使我們打破行業的束縛！」

作為安全人員，陳鵬有完全擁有了身為安全從業人員的覺悟，他不止一次提出，不管遇到什麼問題都一定要帶着專研的精神去解決。

在如今這個疫情肆虐的年代裡，各行各業都受到了比較大的影響，很多中小型企業也因為扛不住巨大的壓力而直接消失。陳鵬有面對這樣的境況由衷的說道：「敬佩每一位防疫戰士！作為公民，我們首先得做好自己的防疫工作，不給國家添麻煩；而作為安全人員，我們得和防疫戰士們一樣，有着不畏艱難的精神，我們能夠做的，也是務必得做到的，就是實實在在做好當前的每一份工作！」

推薦閱讀

人物｜360高級攻防實驗室鄭同舟：因為厭惡黑暗，所以我們努力成為光

齊心抗疫 與你同在

點【在看】的人最好看