现在 CF 已经发布了 0.5.0 版本,在这个版本中增加了不少新功能,具体的可以看这篇文章的介绍:CF 云环境利用框架现已更新至 0.5.0 版本,这里就不再赘述了,那么关于我为什么选择云安全这个方向还要从 2021 年底说起。
在 2021 年底的时候,当时的我在做的是偏向于内网攻防方面的工作,我也在我的公众号、博客里累积发过 4 万多字的内网学习笔记,学习记录这些笔记我花了一年的时间。那么下一步的学习计划呢,我是应该了解学习代码审计、免杀还是别的什么呢?那时的我试着学习了一两个月的代码审计,我渐渐意识到,按照现在的进度,我恐怕要花费二年三年甚至更长时间才能有行业里的代码审计大牛们比如狼组的 Y4tacker 师傅的水平。当然如果只是想有个平庸的水平,那自然不用花费太多的时间,但我不希望自己只是个平庸的人。
记得在多年前的某一天,当时我跟几个朋友和老师在一起聊天,当时老师问我们,你们觉着是选择重要还是努力重要,有人说是努力有人说是选择,当时我的回答是选择,事实也确实是如此:选择大于努力。
2022 年初的时候,当时公司的老板和领导跟我们说,后面要往云安全方向发展,到今天,我依然佩服他们的决定与眼界。
根据 Statista 的数据,2023 年预计公有云市场将达到 5000 亿美元,2023 至 2027 年将有 13.81% 的年增长率,根据经济学里的 70 规则,不难计算出,这个增长率意味着每 5 年就会翻一番,也就是说到 2028 年可能这个市场就会到万亿的规模。当然这只是很简单的估算,以后也不一定真的会是这样,但有一点可以确定的是,这个市场目前正在快速扩张中,国内外都是如此。
由于安全的伴生特性,云计算市场的发展,大概率会带动云安全的发展,也会带动攻防场景的转移。以前大家都是打域控,以后除了要会打域控还要会打云管,从我个人以及身边人的反馈也发现,在现在的攻防场景中,遇到云的情况已经越来越多了。
平时打内网的时候,有些人会有个习惯,就是遇到云主机或者云环境,直接不打或者不继续深入,因为这部份资产的“性价比”没那么高。如果是只专注于打那些有传统内网的,现阶段或许还行,但以后随着企业不断上云,再继续采取这种策略就会有些吃亏了,而且从去年开始,大家开始越来越注重数据的泄露问题。企业上云后,数据也会在云上,如果此时再不关注云上的风险,那最后的攻防成绩可能就真的不如别人好看了。
跟着时代的节奏走会走的更顺利,选择个人的发展方向也是如此,现在企业的上云带来云计算市场的火热,因而带动了云安全的发展;以后如果那天大家不满足上云了,改成直接上太空了,比云还高(开个玩笑),到时候就会带来太空安全的发展。
我觉得个人方向的选择应该要基于一个长远的眼光去考虑,现在云安全在国内其实还处于刚起步的阶段,但以后绝对是一个会被越来越多人提及、重视的方向。
我在之前在学习内网的时候,看到一些文章都是五年前甚至十年前的文章,有的工具也都是十年前的工具,我所走的就是他们走过的路,不需要自己开路,这样能省事儿不少。
现在国内的云安全在我看来其实还是一个需要开路的状态,走过这条路的人现在还不是很多,如果我现在去开路,也许以后走在云安全这条路上的后来者们,就会发现我所走过的足迹、走过我所搭好的桥。
那时他的心情也许就像是在小岛秀夫的《死亡搁浅》中,路过一条河流、来到一处悬崖时,发现已经有人搭好了一座桥,他不用再趟过河流、不用耗费材料去费劲搭桥,可以很轻松的借助前人的工作到达对岸。
喜马拉雅资本创始人李录在《文明、现代化、价值投资与中国》中提到一个概念:知识思想交换时出现的情况是 1 + 1 > 4,不同的思想进行交换的时候,交换双方不仅保留了自己的思想,获得了对方的思想,而且在交流中还碰撞出火花,创造出全新的思想。
在我看来技术的交流也属于知识思想的交换,技术在交流的时候,其实也是个技术交换的过程,在交换的过程中,不仅保留了对方的技术,也许还会碰撞出新的火花。但这一切有个前提,就是需要有人愿意交流技术,有一个可以交流技术的地方,这也是我搭建开源云安全文库 T Wiki (wiki.teamssix.com) 的原因之一。
我把我自己学习云安全过程中的笔记以及一些研究成果放到 T Wiki 里,并且允许别人一起补充这个文库,然后你就会发现,其实不是没人愿意交流,而是没有地方交流,那么此时就需要有人去创造一个交流的环境与氛围,最后就是一个 1 + 1 > 4 的效果。
前面说到了选择大于努力,我再加上后半句:格局大于能力。
我想如果学习、从事云安全的人多了,我们每一个身处在其中的人都会变得更好。只有一家店的美食街和有很多家店的美食街的人流量是不同的,随着更多的人加入,我们每个人都会变得更好。
这一年来,我开始发现接触、学习云安全的人越来越多了,今年 KCon 的议题我注意到有很多的云安全方向的议题,我觉着这是件好事。也许有人会觉着,人多了就卷了,人多了竞争就加剧了,但目前我看到的现象却不是这样,至少不全是这样。
起初我打算搞个知识星球,但后来我意识到我的东西都是开源的,任何人都能看到,也就没必要搞星球了,但我还是希望有一个能和更多人交流云安全的地方,于是就建了一个云安全交流群。平时在群里,大家可以一起交流云安全方面的东西,这一年来,群里一直还是蛮活跃的,应该也是国内为数不多的比较活跃的技术交流群了。
关于这个群我只会创建这一个,为了保证有新人能加入,所以这个群会定期清理长期不活跃的人,如果你想加入,可以找我,我给你拉进去。在我的微信公众号:TeamsSix 中回复:“交个朋友” 可以加我的微信。
这一年里,在群里我看到的是大家都在互相交流技术、讨论一些云上的攻防手法、偶尔也会吐吐槽等等。这一年来也不断有人为 T Wiki 补充新的东西,也有不少人为 CF 提交 PR,现在 CF 项目已经有了 2k 的 Stars,Awesome Cloud Security 也有了 1k 的 Stars,我注意到国内云安全的研究文章、云上攻防的实战案例文章也在不断增多,也有不少文章引用了我们在去年公开的一些云上攻防手法。
这一切的一切无不在表示着,1 + 1 > 4 的过程正在不断循环着,一个人的能力是有限的,但一个整体的能力是无限的,随着国内的云安全整体水平不断提升,我相信处于整体中的我们每一个人都能受益,我想我所做的这些事情,或许也为国内云安全发展贡献了自己的一份微薄的力量。
以前上学的时候,班主任、老师们总会说,我们的中考成绩、高考成绩取决于偏科的那门成绩。但人这一辈子的成就与高度也是取决于“偏科的那门成绩”吗?我想肯定不是的,一个人所能达到的高度应该是取决于他的长板而不是短板。
在网络安全这个行业里也是一样,一个人的水平高低不是取决于你不会的东西,而是取决于你会的东西,在一个方向上的高度就足以决定在整个行业里的高度,我想云安全就是现阶段的自己能从事的最好的一个方向,也是性价比最高的一个方向。
壹心理联合投资人、心理学作家黄启团在他的几本书里,都反复提到了一句话:人生没有极限,除非你自我设限。这句话让我想到了邓紫棋的一首歌《天空没有极限》里唱的:天空没有极限,人生未来无边。
我们每一个人的人生都是无限的,天空是广阔无边的,我的微信签名和博客首页 (teamssix.com) 有一句话:I can do all this through him who gives me strength,其实所表达的也都是一个意思。
虽然说选择大于努力,但不代表努力不重要,其实现在的自己对云中的一些内容也还知之甚少,有很多需要学习的地方。天空是无限的,我不知道我以后能飞到什么高度,但我想应该尽自己所能,在现在这个年龄中不断的提升自己,毕竟有了方向后,剩下的就是努力了。
最后,感谢你看到这里,也感谢我身边所遇到的每一个人。
感谢为 T Wiki 补充的每一个人,感谢访问阅读过 T Wiki 的每一个人;感谢为 Awesome Cloud Security 项目补充的每一个人,感谢阅读过 Awesome Cloud Security 的每一个人;感谢为 CF 项目提交 PR 的每一个人,感谢使用过 CF 的每一个人 ……
因为你,使我做的这些事情有了价值,希望我所留下的这些足迹能帮助到你。
原文始发于微信公众号(TeamsSix):聊聊我为什么选择云安全