网路游侠：关于安全这个圈子……有话说 推荐

最近，不止一个朋友和我说：不想干这个行业了。我问为什么？说感觉有点像骗人。并且几个都和我这么说。我说你强大的忽悠能力，骗了这么多人，突然良心发现了？

其实，安静下来想：自己有时候也在考虑这个问题——我们的所作所为，到底多少是真的从客户角度出发？客户的每一分钱，是否真的花到了点子上？

——不仅我犯嘀咕，可能犯嘀咕的人很多。

用户关心的，其实不是卖多少设备，而是：我最关心的问题，到底解决了没有？

防火墙厂商说：不买防火墙怎么行？这是基本安全措施；

杀毒软件厂商说：你有本事不买杀毒啊？网络层、主机层都要啊！

IPS厂商说：不支持阻断的IDS不是好防火墙……（理解下）；

主机管理厂家说：打印、U盘、文件控制，一个都不能少；

WAF厂家说：没有防篡改功能的WAF不靠谱啊……

实际上呢？现在的网络环境下：

UTM是不敢开全功能的，否则就设备就挂了；

很多IPS都是配置成旁路的，否则网就挂了；

很多主机审计都是被使用者骂的——不是因为功能，是因为性能；

很多WAF和防篡改是防不住一个内心坚定的黑客的。

厂家的人，给你做安全咨询，仅仅是为了卖掉自己的产品；

集成商的人，给你做安全咨询，仅仅是为了卖利润高的产品。

那么，这样一来，到底谁关心你的业务？

这也就是本文开头说的，几个朋友都说自己像是个骗子。因为不可能站在客户的角度出发去做安全，而是站在厂家、站在赚钱的角度去设计方案。如此一来，安全，成了赚钱之外的另一个目标。

国内，就是这样的现实。

今天下午，看到国内有名的漏洞公开网站乌云关闭了，看到说法是：

@乌云-漏洞报告平台：真是奇怪的互联网啊，要求我们删除漏洞遭拒绝，然后就非正常的把我备案取消，然后再通过IDC说没有备案要求关网站 乌云要跟各位短暂的说再见了.....

而前两天，网络世界的一名编辑也发了这么一条：

@Mister诺诺：越是智能的东西，漏洞越多。通过智能电话的一个漏洞就控制了整个网络的时代并不太远。有同学给某外国智能设备提供商上报漏洞，结果换来了恶劣的态度。其实，此同学发现了四个了，但最后只上报了一个。不知道直接上报给此公司的总部会不会也是这样的态度？这么大一个品牌的公司，员工竟然是这样的素质。

总之，国内就这样的环境，能如何？有时候，我倒是更赞成，遇到这些厂家出问题，直接公开得了……

前一段一个客户测试WAF，测试了三四家，发现没有一家能抗住专业渗透团队的攻击，无一幸免。

对此，无言。

多数安全厂家，在忽悠客户能力上，比研发研发能力、技术支持能力、售后服务能力强得多。

有时候，说安全圈，也是个娱乐圈，感觉也不是那么过分了。