经济学的视角来看待安全测试
本文将以经济学的视角来尝试提供一个包含明确的重点和关键事项的学习投资分析以协助IT人士从入门到提升,让安全测试技能成为加薪或求职的有力砝码。
安全测试就是使用自动化工具或者人工的方法模拟恶意的注入或漏洞利用,对应用系统进行攻击性测试,从中找出系统或产品所存在的安全漏洞。
适合人群: IT小白, 测试人员, 安全人员, 运维人员, 开发人员,对网络攻防技术有兴趣的人员等等
背景
随着网络技术的持续应用和发展,现代企业对网络的依赖性已越来越高,最近的《CTO企业信息安全调研报告》中显示:94%以上的企业依赖网络开展业务,但30%以上的中国企业没有组建自己的安全技术人员,仅有8%左右的企业完全可以有效解决面对的安全威胁,企业信息安全状况不容乐观。
与此伴随的情况是来自网络的攻击种类越来越多,攻击方式也越来越复杂。比如,对于交付或部署软件的软件公司而言,面对这样的情况,传统的测试手段不足去应付这样的挑战,培养或招聘懂安全测试技能的人员是一个必然的应对趋势和手段。
2016年6月1日《中华人民共和国网络安全法》的正式实施从法律层面启动了新一轮的网络安全法律监管要求,各行业机构也纷纷根据《网络安全法》制订和颁布了众多行业管理要求和管理办法来加强对网络安全的监管。
在这个大背景下,越来越多的企业也面临了安全合规的压力,需要懂安全测试人员来填补这样的职责或岗位,具备相应资质(比如获得CISP-PTE 认证的安全测试人员)去获得竞标一些内含安全合规要求的商业合同,或需要定期对企业Web服务或网络资产进行安全审计以找出潜在漏洞或隐患。
博弈论 - 做个理性的决策者
关于安全投入占比的问题,美国马里兰大学的两位教授Lawrence Gordon and Vernon Loeb在2002年出版的研究报告中提出了网络经济学中著名的Gordon-Loeb model模型。
该模型总结两个结论。其一,企业额外的安全投入可以带来额外的好处并将风险减少到某一个点。但超过这个点后,更多安全投入所带来的额外好处将变得不明显。其二,企业网络安全投入不应该超出因被入侵而导致发生潜在损失总量的37%。
根据他们的研究结论,作为机构的决策者需要利用博弈思维以战略的眼光来统领企业的安全建设原则,以谋略的方式来做出最优的商业安全投资。
上面是针对企业的需求,如果针对个人而言,不懂安全带来巨大的网络风险包括个人信息泄露,中木马中毒或文件加密被勒索等等,同时也因为缺少安全技能,在就业的激烈竞争的市场上,会处于不利地位,议价能力也会降低,当你有了安全技能比如懂安全测试,那么你的薪水至少可以在原来基础上再提升20% 到50%。
边际效益 - 最小的投入获得最大的回报
在经济学里面,边际收益(Marginal Revenue)是指增加一单位产品的销售所增加的收益,即最后一单位产品的售出所取得的收益。
它可以是正值或负值。边际收益是厂商分析中的重要概念。而边际收益递减律,在技术水平不变的情况下,当把一种可变的生产要素投入到一种或几种不变的生产要素中时,最初这种生产要素的增加会使产量增加,但当它超过一定限度时,增加的产量将要递减,最终还会使产量绝对减少。
将该概念换为个人的安全技能学习投入,即可以理解为个人如果为了追求人生更高的目标或获得更好的薪水,而投入更多的时间和精力去学习。
这种投入所导致的安全知识的全面提升和对网络安全保障加强,因为这是从无到有再到优秀的过程,性价比也很显著,同时对个人带来了全新的体验,进而会从正面去影响个人的职业生涯和思维方式,达到一个新的高度,有了安全技能的加持,使得自己在技术专家或技术管理方面发展会更加通畅。 在另外一方面,站在企业角度,那就是如何用最小的成本,来加强自身的网络安全或web安全建设,在投入有限的情况下,寻求一个最佳的边界效益。
而达到这样的目的,最好的方式就是培养或招募懂安全测试的人员,对企业的网络应用进行定期安全测试,找出安全漏洞或缺陷,建立多层次的防护策略,确立适合本企业的安全基线,为企业的安全运营保驾护航。
价值投资 - 找到最适合投资
熟悉巴菲特投资理论的人都知道其价值投资最重要的理论之一是选择优质的公司。
通常考虑的因素包括(1) 这家公司在10年至20年后还在不在?(2)未来几年这家公司的盈利水平还能不能持续增长?(3)公司有没有良好的机制和管理系统?。
从今天我们讨论的网络安全投资来看,我们也可以借鉴这一理论。对于个人而言,在对自己进行投资的时候需要考虑以下因素,从而实现价值投资。
这些因素包括:
投资的重点是否迎合和企业对此类人才的迫切需求 ?
投资的重点是否考虑了未来IT技术发展的趋势 ?
投资的安全技能是否能增强现有技能 ?
对于第一个因素,其实难点在于个人往往缺乏对整个市场的全局认识,并不一定能全面清晰知晓哪些领域是未来的热点, 即便知道热点, 但缺乏合适途径带你入门到精通,尤其现在是知识爆炸的时代,资料不是太少,而是太多;如果不做取舍,来者不拒的话,一是学不精,二是因为一下子输入太多无法消化而放弃。如果有老司机带你入门,指引方向和学习路线图,那么会大大加快你的学习进度。
对于第二个因素,IT的技术日新月异,在很多领域不断地涌现新的技术和热点,作为个人要充分利用后发优势,在短期的最新技能培训学习后,规划自己的职业发展道路,选取适合自己发展的技能领域比如安全测试技能,从而为自己打开一扇全新的窗口。
对于第三个因素,安全技能不仅是一门独立的技能,同时也是一门胶水技能,它能将你原来有的技能得到加强和加持,原来懂测试的,变身为安全测试,原来懂运维的,变身为安全运维,等等。同时,由于安全会贯穿于企业运营的方方面面,客观上你也需要和各个部门打交道,那么你从全局上迫使你更懂业务也更懂技术,成为企业不可或缺的人才。
懂安全对企业或个人而言不是一项可有可无的投资,面对市场上种类繁多的各种技能需求,安全测试无疑是值得考虑的一个重要技能和重大需求,也具备广阔的市场前景。
本文以经济学的思维从另外一个角度来思索安全测试的学习。
这样既有利于企业本身的网络安全防护或交付安全的软件产品,又可为懂安全测试的人员带来良好的经济效益。