安全研究的价值思考

【注】：纯属个人言论，与公司立场无关！

最近的Black Hat大会议题ppt已提供下载，里面有两个非技术议题，其视角比较有趣，一些问题值得思考，因此才有本文。

这两个议题分别是"Project Zero File Years Of Make 0day Hard"和"Selling 0-days to governments and offensive security companies"，一个讲述5年来Google的Project Zero团队在漏洞研究上的工作效果，一个讲述关于漏洞交易的一些现状、流程。

安全研究都干啥

安全研究并不局限于漏洞领域，但它依然是目前最主流的方向，研究范围也可以包括网络安全、反病毒、大数据安全、业务安全等诸多安全领域。这里主要聊下漏洞领域的研究，看看Project Zero的人主要都在干啥：

总结一下就是（主要指漏洞研究领域，估计很多人只干1、3、4的工作）：

1. 漏洞挖掘与利用

2. 方法论建设

3. 技术写作

4. 行业交流与合作

5. 软件工程化建设，可能是指DevSecOps，包括安全防御策略建设、libfuzzer自动化测试等的应用

从招聘职责看研究目的

谈研究价值，不妨先来谈谈研究的目的，我特意从各招聘网站上搜集了一些关于安全研究岗位的招聘信息，主要统计其岗位职责描述的关键词，生成如下词云：

可以看到，当前的研究岗位普遍就是招漏洞挖掘职位的，都是搞主流系统及软件为主，但挖洞的目的又是为什么呢，这种在很少企业会写在招聘帖的。从统计结果看，主要有以下3个研究目的：

1. 挖掘主流系统/软件漏洞；

2. 帮助安全产品提升检测能力；

3. 为业务提供技术支持。

第一点是手段，等于啥也没说，第2点算是做安全产品，第3点是得看是什么业务，如第2点也算业务，但如果是一些非安全产品业务，其实所能提供的技术支持就相对比较局限，可能人家业务也不一定看得上你这研究。

影响力价值

搞安全研究，普遍都是为了影响力公关（PR），国内外均是如此，BlackHat上的Pwnie Awards都有一个“最名不副实漏洞奖”，叫做"most over-hyped bug"，就是用来批评那些过度炒作的漏洞。但是一些确实危害比较大的漏洞，及时负责任地披露反而有利于防御工作的开展。Project Zero议题中讲到一句话，开放的攻击研究相对攻击者而言，对防御者更为有利。之前国内试颁行的某提案，因可能阻碍安全研究者公开研究成果，遭到不少圈内人的反对。这跟古时候，有的国家禁止人民用刀一样，最终只是阻碍生产力的发展而已。其实只要不是急功近利，获得与研究成果相匹配的影响力也是合理的。那获得影响力之后的价值呢？对团队，对个人，可能获取得更多交流与学习的机会，也可能获得更多业务合作机会，直接点，可能找份工作防止中年危机都更有资本了。

商业价值

何为商业价值？就是赚钱嘛！通过安全研究落地为产品，然后拿去卖；也可提供技术服务，比如帮助对IoT、车联网产品等新兴行业产品进行安全测试。产品一般比技术服务更值钱，技术服务经常是一波过，产品却是可以长期收费的，比如IDA一年卖几万刀，用户每年都得交钱，而若只是提供逆向服务，费劲且不持久，赚得还少。如果是漏洞交易，高质量的漏洞利用链也是可以获得不菲的利益。在0day漏洞交易感兴趣的，主要涉及以下3类角色：

防御型企业、漏洞奖励计划和平台

1. 黑客比赛举办者，类似漏洞收购中间商，自己可能也会去挖洞，也可能收购poc来自己写exploit，或者直接收购exploit，再转手卖出去赚差价

2. 攻击型企业、政府、黑产团伙

现在国内已经限制参加Pwn2Own之类的国外比赛，从2018年开始，国内由"天府杯"比赛代替，主要是防止漏洞外流危害国家网络安全。这些比赛也推动了厂商对漏洞处理的态度，以及漏洞奖励计划的建设，使得报告者能够合法地获得相应的奖励和认可。

新型业务安全预防

提前研究一些公司业务可能涉足的新领域，避免新兴业务产品出来后，无能力解决上面的安全问题。但整个的前提是，该新产品能活下来，否则一切都是白搭。

行业贡献

在安全行业贡献榜上，Project Zero无疑是佼佼者。在5年内，他们共贡献1500+个主流系统/软件漏洞，推动很多安全防御机制的诞生，甚至影响漏洞在市场上的价格。漏洞研究者有时担心手上的漏洞被撞掉，会直接报给厂商，混个致谢，搞不好年底还能混个"MSRC Top 100"，今年开始它改名叫"最具价值安全研究员"，更高大上了。这个月，我就被Project Zero的人撞掉了一个微软漏洞。在PZ分享的议题里面，提出一些衡量"make 0day hard"的标准，但毕竟是相对概念，仅当作参考：

1. 挖到品相优秀的漏洞所花费的时间；

2. 漏洞平均生存时间；

3. 撞洞数量；

4. 漏洞利用链的长度；

5. 新型高质量的攻击面的发现概率。

   
   

个人保值防老

研究本身就是一种学习方式。相信爱学习的人，最终运气都不会太差。尤其是现在鼓吹35岁中年危机的互联网时代，保持学习是最靠谱的个人保值防老方式。如果保持工作内容不变，那么通常头一年所积累的技术与工作方法足够应付绝大部分工作。若再不搞点有挑战的新工作内容，或者业余做点研究，那就要成为拿着一套技术吃N年的"老白兔"了。持续学习，保持或者超越与年龄相符的技术能力才是王道。