关于工程化和基础理论研究的思考

关于工程化和基础理论研究的思考

工程化怕落地,理论研究怕工程验证。这两个问题叠加,就成了一个如今安全的现状:理论研究飘飘欲仙,落地实践能跑就行。对于一个只接触安全不久的人来说,我还是不能对安全届评头论足的,这不是我所能做的。但就实习和自己学习过程中所看到的问题,进行一个思考。

要么做要么干脆别做

现在的乙方安全厂商所做的东西,如果从核心上去看,最大的问题就是在疯狂对标,而核心能力的支持却少。一方面,是有着成果的压力,一方面是由于资源的支持不到位。为什么会有这两者呢?说白了,还是对于公司的短期利益不够明显。我花50万雇几个安服的人就能解决的事,为什么要花500万投入到一个就算未来收益明显,但没有几个人能做的事情呢?除非公司有得是钱,那我不怕,不然一边亏损,一边给落地困难的项目不断支持,是不“值得”的。

因此,简单来说,我觉得工程化的事情,就像谈恋爱一样。不想花钱,但想得到回报,不想付出时间精力,但也对外宣传关系甜美,这种行为,很快就会被戳穿、破灭。如果真成了,那也是主导的人实在太强,逆风而上,而那真的只是凤毛麟角。谈恋爱,不以结婚为目的的恋爱,就是耍流氓。做工程,不以完美验收为目的的工程,就是做着玩玩。

该砍就砍,该给钱、给资源,就被抠着了。

基础理论研究别怕没成果

有一个学长说过,现在国内的安全研究基本上没有纯的。这么说可能太偏激,却揭穿了国内安全研究的一个比较尴尬的伤疤:

没成果——没名气——没资金——没支持——没动力——没人做。也许有人会说,这挺对呀,这就是“市场”机制的淘汰呀。确实,没毛病,但很多时候,我们误会了最开始的,那个“成果”的定义。

如果安全的理论研究,只是搭积木(基于XXX的各种XXX),只是挑骨头(挖漏洞),那我觉得也挺“幸福”,未来的发展太慢。作为一个初入安全世界的学习者,我是真的很敬佩那些对漏洞研究、攻防技术充满热情的人,真的。我觉得自己在这方面完全不如他们。但同时,我也觉得,安全对乙方、对甲方来说,都应该支持一大部分给那些没有所谓“产出”的人。他们的研究也许在很长的时间内无法落地、无法工程验证,甚至提出的理论都在被内部否定,但只要做起来,重视起来,那么量变肯定会引起质变。

别再看不起成天学习,没有“产出”的那部分人了。

关于自己

我想做安全运营(对安全运营的定义也许各不相同,后续文章会补充自己对安全运营的理解,也可查看我的“安全运营之路”)方向,因为我对自己的认知是:技术深入研究的手比较笨,基础理论研究的脑子跟不上。那我的优点是什么呢,自认为是可以将各种知识点快速地吸收、整合、产生关联、输出idea、并能组织去实现。这是我在学习安全事件调查中挖掘出来的。因此我对自己的定位是,串联工程化与理论研究,推动安全整体有价值的落地。