Tel :010-50866166

新闻报道

永信至诚张凯:用网络安全大赛推进安全人才思维质变

2015年,是国内网络安全行业发展空前繁荣的一年,对此,笔者与永信至诚产品总监张凯开展了一番深入的对话,希望能透过网络安全大赛的表面,来探寻未来网络安全人才培养的本质内涵。

2015年,是国内网络安全行业发展空前繁荣的一年,其中明显的标志便是各类型网络安全大赛在全国各地爆发式的开展,国内知名网络安全服务商北京永信至诚科技股份有限公司则担任了其中绝大部分网络安全大赛的技术支撑工作。

从大赛层面来看,通过大赛活动,吸纳各个行业的网络安全从业者以及校园中网络安全专业学子与爱好者的广泛参与,增加各类型人才交流互动切磋的机会,这不仅有利于锻炼人才、发现人才和选拔人才,同时也有利于参赛者发现自身的不足,及时弥补自身的能力缺陷,从而大力推进全国网络安全人才的技能水平。

但从长远发展来看,永信至诚在不断完善网络安全大赛平台、模拟环境、竞技题目的同时,还在不断思索着更深层次人才培养计划。对此,笔者与永信至诚产品总监张凯开展了一番深入的对话,希望能透过网络安全大赛的表面,来探寻未来网络安全人才培养的本质内涵。

\

记者:永信至诚是什么时候开始做网络安全大赛的?又经历了怎样的一个发展过程?

张凯:起初我们自己一直想做这件事情,但一直没有付诸实施,契机出现是在2014年的12月份——举办湘湖杯时候。当时我们只是应着启明星辰那边,刚好有这么一个市场机会,说有全国性的一个信息安全的比赛,我们要不要参加一下,作为一个技术支持的这么一个厂家。

当时我们的e春秋其实已经做到1.5,2.0的发布了,然后i春秋正在规划的阶段。这个时候,咱们关注的其实全是安全人才培养,而有一场比赛的机会呢,是想把我们的一些理念和一些在安全这方面的一些新的想法,给他体现出来。

当时时间比较紧,也就20多天吧,就准备时间,从这个平台从无到有,从设计这个赛制,赛题也20多天。这中间涉及到跟启明星辰的深入沟通,想法也愈发非常成熟。我们定的方向,希望把这种真实的对抗的这种东西,拿到比赛中来,主要是这么一种想法。

因为我们最初的理念就是期望能够帮助主办方,能够发现这些真正的信息安全类的人才。怎么才是真正的信息安全类的人才?就是在实战中才能够体现出来。当时还没有所谓的AWD的概念,或者说联合防御,团队作战那句话,当时还没有那个想法。

当时只是说用什么样的方式,用一种比较好的展现的方法,能够把真实对抗中的这些东西,给展现出来,而当时我又发现其实很多的现场观众其实是理解不了攻防比赛中间,就是在桌面底下的这种非常紧张的气氛。通过这个东西也能带出来。

我们有一个基础,基础是什么呢? 1.5和2.0。我们开发出来的实战的平台,我们能够为每一个这样的比赛选手或者比赛队伍,来给他完全独立的一个防御的环境,这个环境也是模拟的现实中一些真实的、小型的组织或者网络结构这种东西。当时还不是这么成熟,但是这个东西就能用了,我们就把这个东西带进去,搭建了比赛的环境。

在12月29号,比赛那个时间刚好要过元旦,然后大家确实拼了几天。的确产生的效果还是不错的,至少让业界都发现我们还有这样“玩”比赛的一种方法。

2015年4月29号,首都安全日。首都安全日上,北京协会要求我们来支撑这样一场比赛。主办方认为我们这种理念比较符合真实的对抗,像演习一样,包括国家领导人一直在提的这种真实的演习这样的一种方法,我们刚好能够做。

而那个时候我们准备相对充分了很多,我们专门为这项比赛了,设计了整个的演示界面,包括整个的比赛场景,赛制规则等等。因为这件事儿相当于是我们自己从头到尾做出来的,包括比赛的赛制规则,也是特别的成熟。像那种传统的CTF已经玩了好久了,大家都知道怎么玩。

但转变实战方式,最大的挑战是怎么能让这些选手来理解这样的一种比赛方式。其实当时在比赛现场发现很多队伍,一下子并没有明白,你们要进行一个什么样的比赛,自由对抗的。我们在现场就讲,我们这个赛制是这样的,但是选手没有一个切身的体验。包括当时首都安全日要求,对我们的攻防能力,实战能力可能并不是那么强,主要以学生和那种企业的那种为主。

但是他们脑海里的比赛还是这种CTF的玩法,没有这种人对抗的这种概念在里面。一上来,就有点蒙了,还好我们那个比赛里面的前三道题是CTF,他们还有得玩。但是答完三道题以后他们认为这个比赛已经结束了,其实不是这个意思。我们就现场到处告诉他说,你有一个防御的区域,IP地址啊等等这样的东西。他们才开始明白说,我要防御一个区域,我同时要打补丁,我要去攻击别人,而且攻击是一个大范围的攻击,这样的东西。尤其当时那场比赛的时间,又限制的比较短,大概五六个小时,加上水平不是很高。然后就有点慌乱。

公安部的领导、工信部领导、中科院领导和我们的客户看了我们新的赛制和平台展示界面后,再对比传统CTF的比赛一看,他们认这种新的赛制和界面应该是未来的趋势,得到了他们的一致认可,现场参赛选手的反响也非常好。

我们自己搭建一个仿真环境的模式,其实也是对现实生活中的信息安全和攻防比较懂。参赛选手可以通过在竞赛中人和人之间的对抗体现出努力,并得到领导的认可。而不是说,给了选手道题,那么这道题偏向于某某方向,比如说逆向方向,或者比如说web方向,把这个攻克了,代表选手能力高,他们也认为这样并不是特别的完善。那我们这种人机对抗的方式至少在我的比赛的队伍中间能够选拔出来攻防能力和实战能力最强的人。

同时,对抗模式还能够对个人的某些弱点进行一个促进,包括在比赛平台里面不断加进去的一些数据统计,包括一些对各种各样的信息安全能力的划分、曲线,其实都是为这个目的服务的。希望通过这场比赛,让这些参赛的观众能够理解信息安全,以及在网络空间里面激烈的对抗过程。

网络安全竞赛不仅仅是一场普通赛事,它是类似于一种现场的安全科普。比如说,有人可能如果做过网管的话,他可能网上的一些数据的包,数据的流量,这就能分析出来当前的网络情况。我们展示界面上打出去的东西,其实就是把这些数据在网络里面传输的过程中的那种形象,我们把它具像化,并将它展现出来。

对参赛队伍来讲,以往就是题海战术,各种各样的题都做过。现在这种比赛,让他们也明白了,不是说你没有真的能耐,但只能靠偏重某一项,知道题里面怎么回事儿就能拿到分数的方式已经不行了。所以说,选手们必须真正的懂得一些安全的理念和实战能力。

尤其在黑客攻防过程当中,其实更多的是一种思路和经验。比如说,同样一个漏洞,我也知道怎么用,你也知道怎么用,你比我有经验的话,你可以很快的就能够把整个flag拿回来,如果经验丰富,可快速的进行一个代码的书写。甚至说,我可以给你安置后门啊,等等,在这里面做一些其他非常规的手段。但是对于这些,没有什么经验的这种人,他可能会解一些题,但是他并不能那么快,速度上不行。一个是在自动化上不行。还有一个可能就是在比赛里面,设置陷井,他如果直接进去,就出不来了,所以大量的情况都存在。

这和现实生活中的防御态势是非常接近的,和ATP攻击也很像。就是说各种各样的边界防护做的非常好,但是你压根就不知道,我已经被攻击了。那你安全意识不强的时候,根本就不会去做这种防御,就会一直失血,可能在某一个关键的时刻,让你受到一个很重的伤害。所以我们把这种视觉提高了,有一定的游戏性。把从单个技术点的攻防,变成了一个人人对抗的综合知识点和这种黑客技能和实际攻防能力的结合在一起的一种对抗,这是一个很大的改变。

通过这些改变以后,我们也有了大量的粉丝,他们也对这个东西感兴趣,包括后来做的各种各样的展会,通过这个东西吸引了不少的人。有一些普通人,他大概知道明白这个东西。我们也会去对这方面再去做一些突破,包括对于各种各样的人员的安全能力的各个点进行细分。

比如说安全能力可以细分为比如web安全能力,漏洞挖掘能力,漏洞利用能力,然后阻击安全能力,安全防护能力,运维能力,开发能力等等。我们在比赛的过程中根据这些细分,设置相应的题目。那么我们可以时时告诉现场观众,某个队伍,有一个项偏强,某一项偏弱,就是类似这样的数据统计的分析。我们赛制中,还会不断追加一些新的漏洞,放出一些新的题目等,增加游戏难度和仿真程度。还有我们在网络数据抓取,后续分析方向,我们都做一些新的突破。等这个东西有了以后,有一些用户看了一会儿,会明白你的数据还是不够的,你要看四五个小时,实在太烦了。我就得增加这个数据量,让他不断的理解该干嘛,哪个队伍强一些,哪个队伍差一些。

并不是说整个排行榜,排名前三位的才有价值,很多比赛过程中你会发现它总是在变化的,每个队伍都有自己的强项弱项。我们希望通过这场比赛,能够把所有的参赛队伍,他们自己想要了解的信息和他的优点和缺点,都能够告诉他,选手们能在竞赛中得到提升。那么再反过头来辅助我们的培训团体,可以去有的放矢的去找各种各样的点,就像吃那种草药一样,你找一个草药补充一点。

记者:缺啥补啥。

张凯:对,因为这样有针对性,能快速提高的自己的能力。其实比赛是我们培训产品的一个非常好的补充和一个非常好的考验。无论从市场推广的角度,还是从队伍个人,真正的能够从这里获取到信息的这个角度都会很好。

从去年来看,整个信息安全产业,包括比赛关注的这些越来越多,很多行业开始搞这个。其实是由大环境和小环境同时决定的。大环境可能就是国家信息安全的层面,一个大的提升,比如国家领导人的关注,他对演习的,真实演习的演练的认可。包括整个信息安全这种网络环境,越来越严峻,各个大国之间的信息安全的对抗加重。

然后再就是去年互联网大事件频发,各种各样的拖库事件,现在每个人的生活都已经跟移动互联网结合起来。从大的环境来看,信息安全已经变成了每个人生活中息息相关的东西,这个大家都认可了。比如以前那些企业在说,我这个东西多么重要,没感觉,反正我也碰不上,但是如果被诈骗多了,每个人的真实收入,或者家里的信息都不安全了,就都跟我们有关了,每个人至少得关注一些。

对于企业来讲,万一发现你企业的数据库被人暴了,那业绩就往下降,每年的损失就是实实在在的。或者说网站被攻击了,瘫痪了,那钱就是没了。

记者:暴库现在还犯法呢,更别说库被拖了。

张凯:对,包括从法律层面我们也有这样的东西存在。所以从大的层面来讲,环境变好了,关注安全了,关注安全的人多了。他们就希望说,那我需要人才,人才的缺口一直在。我记得根据国外的推算,好像到2017年,信息安全人员缺口应该是150万吧,全球范围内,大概是450万。

记者:就是当年的缺口?

张凯:到2017年,国外人才招聘缺口,大概450万这样的。咱们国内的推算,大概是到2016年会达到150万的人才缺口。其实信息安全,专业人才是一方面,可能从这种非专业人才来讲还是一方面对吧?

反正就是从环境上来讲这是有需求的,从企业的角度来讲就是,认识到信息安全人才的重要,所以要通过比赛来发现这些人才。或者说给他的后期的这些人才的培养或者引进提供一个指向,应该是从这个角度来看这个比赛。所以从明年来看,应该比赛会更加的多,或者是水平更高。包括从国际上来讲,各种各样大学的比赛,包括欧洲或者美国各个大学之间的比赛都在增加。而且这种真实模拟的对抗的方式,也开始出现,也慢慢会被认可。

记者:从今年的结果来反馈,能够看到好多的像国内的高校,实际上对于咱们这种模式也好,或者说他的比赛的里边的过程也好,由于水平问题,确实比较痛苦。比如对比赛产品,或者说我们的培训产品配套的有一些东西,因为他们很多的人,确实能够看出来,摸不着门。就是根本不知道,坐到比赛场,可能帐号输进去了,也不知道怎么办了。明年我们从产品角度或者从一些形式的角度,会不会有一些适应性的调整?

张凯:这个肯定会的,就是从产品应用性的角度,我们肯定会进行提高。一个是说在比赛组织的时候,我们知道有一些人的水平相对会比较低,在这种情况下可能会准备一些给这些人来进行操作的题目。我们也预计会在比赛平台前面加一个类似于教学视频啊,或者类似于这样的教学关卡一样的,在比赛开始之前选手们会去感受一下。通过这种方式,让选手们先去摸一摸,到底是怎么回事儿。但是比赛攻防这种东西,也很难说让选手们一下子就能明白,我跟他说你前面有一个网络,你去攻击它吧?如果,他不会攻击,我们提供一个工具并去点一下,发现这个机器,他不知道下一步该干嘛,比如这个东西是什么,他也不知道。我们只能说,在里面我们知道有一些水平比较低的选手,给他一些问答题,或者是CTF题让他能够消磨时间,但是也能得到相应分数的这样一些事情,但是肯定比赛主体不会是正在适应的选手,一定还是有会运用的高手。

反正这个比赛应用性方面一定会有提高,从我们比赛展示的内容方面,有一些数据类的统计分析肯定都会有。另外,明年比赛可能会以产品的方式参加,不像今年可能大部分都是以服务或租赁的方式。那么以产品的方式往外走,我们就得提供这种部署的简易程度,在客户现场,能够长时间维持稳定运行的产品,这也是我们现在正在不断提高和修改的地方。反正这是我们的主力产品,它会和培训搭配同时出现的。而且从今年的市场和宣传情况来讲这样的效果很好,明年应该还会继续。

记者:人才需求那边好像也有类似的,比如某些安全研究公司,就想要二进制的人才,题目的话,你就设置一个相关,我们知道谁能行。

张凯:对的,对人才的这种渴求,一直就是这样。从安全出来就有,对人才的需求分低中高,反正各种层次的各种方向的人才都有。我们要把它搭建起来,你会发现需要各种各样的人,而且永远不够。安全这种东西,就是远方一定还有一个未解决的问题,而且又不是那么远。它不像一个什么算法,数学那种东西。安全人才的问题就在于,只要有经验,可能就从一个角度一想,一捅就破了,这个就出现了,就取决于人的经验和想法的不一样,所以培养的是一种人的思维方式和理念。

而且这种思维方式在很多时候,并不是只是用来搞安全,开发产品或者销售,这种理念都会导致发生很大的变化。要不怎么说,黑客其实也是跨领域的。有的是成长黑客,有的销售是特别怪异的那种魔性的销售。他们其实也是抓住了人的某一些弱点,而他们绕过了那些常规的存在的东西。

所以有的时候,可能我不知道这是不是一种普遍的能够理解的现象,就是说我具有这种黑客的想法,这种理念和思维方式。黑客就是这样一群人,他们有一种很特殊的特质,跟常规的这种设置防线的人是不同的。如果造一款产品,中规中矩的去造一款产品是这样的。那如果用其他的方式,就要以更接近人性的方式。黑客就是这样一群人,他搞社会工程学,他需要理解人性是怎么样的,他们的疏忽在哪儿?我要突破它,你去用这种理念去设计一款产品的时候,是不是也有这样的。

记者:就是反过来你的需求在哪儿?反过来就是这个。

张凯:逆向思维、发散思维和有一些非常有突破性的孜孜不倦的这种拼搏精神,其实这是黑客精神,而不是说,就拿一个盾,往上发一张照片就牛,不是那意思。所以你看,美国就是很崇拜这些技术人员,什么比尔盖茨啊,乔布斯啊,这帮人,他们刚出道的时候就干这件事儿,他们的理念转化以后,就变成非常非常创造性的一帮人,他们确很接近于人的本质,更接近于市场。所以我一直想怎么能把这种东西转化过来,转化成让这些普通人能够发挥这种思维的一种比赛方法,而不仅仅是用技术的对抗方式。所以这才是更有意思的东西。

记者:新的普通思维,可能我们现在就差一步了,我站在一个相对普通人的一个角度来看这个产品,我怎么能够更简单的理解这些人在做啥?

张凯:做e春秋的时候,最开始1.0版本的那个白皮书里面就写,我们这款产品培养的是一种人的方法论。这种培养的,并不是说我们一定要培养你某种技能,我们应该比这个更高一层,我们要教的是一种方法,是一种思维的模式,或者是一个处理事情的方法。就比如说,答一道题,里面拐弯抹角的。那为什么要教选手这样的?其实是在告诉选手,很难传递的一种信息。给你一本书,你把这个流程都学会了,下次不会灵活应用也白扯,大概是这个意思。所以在产品宣传方面,怎么来传递这种信息成为了关键。

其实我们是想教别人一个解决问题的方法,而不是用常规的,大家都能想到的方法。而是用一种大家都想不到的或者说很神奇的一种方法,让你感觉到那种惊喜的那种很震惊的方法,是这样的。

比如说大会上,开锁,黑客大会不是有一关开锁吗?那这件事儿和黑客有啥关系呢?他能考验这些黑客的某些技能。我的想法跟你不一样,我还能实现。或者说,我黑一个无人机,你不是应该飞到哪儿,我偏不让它飞到哪儿,我想着法的不飞到那儿,就是这样的。你考虑一个比如说手机的安全,可能说,哪儿我都能改,我植入一个代码,让你的手机不能用,或者产生的数据是错的。就是这个思维,他们的想法其实就是这个。所以说,我们培训人家,产生各种兴趣,其实我一直想,怎么能把这些人表达出来,很难。

记者:这个东西,就有点像量子力学里边有一个特别经典的,你没说的时候,他有各种可能,起码两种可能,但是你一旦把这种东西做成课件了或者说出来了,它定了。就一定会是偏向某一边的,他不是说很精准的说把两个,所有的都包括了,包罗万象的。

张凯:对,其实真正黑客能吸引人的是这个,就是神秘感。就像变魔术一样,我表演一个魔术,你肯定想知道我怎么变的这个魔术,那你也想变这个魔术,其实就是这样的。他其实就是想法不一样,什么东西挡住了你的视线,而黑客就会绕一圈去看看,而你不知道,你没想到,就是这么回事儿。

包括蔡总(蔡晶晶)老跟我们说的,他说你们做这个项目,我不是要求你一定要达到某个点,你可以从那种变通的方式来给我一种东西,这就是他作为一个老黑客脑子里,他就这么运转的。你要跟别人说,可能普通的人,他真不理解,你给我的目标就是那个,你为什么不让我直接去,你非要,可能是因为时间不够,或者等等。那可能我说,你给我足够的时间,足够的资源,我应该能到那儿。那对他来说,你为什么不拐一个弯,你有更快的方法你可以跳过去,你就非这么走,他就理解不了,他就很不满。

但是你要知道,并不是所有的人都这么理解的。他就希望所有的人,都能跟上他的步伐,去学习他的这种理念。

记者:他不是一种单纯的结构导向。

张凯:对黑客们来讲,他们完全不能接受的就是,你们还用这种常规的方式去解决常规的问题。我有更好的方法,而这种追求极致,我不断的让你变得更好。所以他那个心劲就是这样的,我特别能理解他们这种,看什么都不顺眼,你为什么不按我的方式去走?但是他脑子太快了,他总能看到别人看不到的那个面,你说怎么办?所以你只能培训自己,让自己去跟上他的步伐。但是好玩也是这事儿,但是痛苦也是这事儿。

记者:不知道下一秒该干嘛?

张凯:对,你有时候觉得,突然他一下就跳早了这就是因为,他就是这样的人,所以他才能成为黑客,他才能干这行。所以这里面就好玩的这些事儿,搞比赛最好玩的也是在这儿。

记者:我知道了下一步的大概,无非就是我还不知道答案。

张凯:至少我往哪个方向走,不会错,我靠时间我也能搞定,但是你跟人打的时候,可能他的想法,我真的设置一个什么东西,我就跟不上了。所以这就是变数导致的这样的一个东西,你没有完美解决方案,我一定会有一个我自己的跟你不一样的解决方案。所以,我不知道怎么在产品宣传上传递这种信息,我一直没有发现特别好的表述这件事儿的或者什么.但是你看美剧里面,他就有非常明显的价值导向,他很推崇这样的人。比如,我认为这是一种价值,一种世界观的不同。他们很推崇这些人群突破这种不一样的地方。你看那些黑客的那些,因为他里面有各种各样的逻辑。你为什么爱看它?就是因为把的逻辑跟你想的不一样,你觉得剧情应该这么发展,但是他偏不这么发展,他跟你讲明白,觉得逻辑上是通的。

可能大部分的老黑客们是这样他从小就跟别人不一样。我问过好多他们的人,他从小的思维方法就跟人不一样,别的小孩这么想,他就不那么想,慢慢,他就成为一个另类的人了,但是他会发现即使我另类,但是我拿到结果的速度比你快。对吧?我可以花很小的代价得到同样的结果,这就是这帮黑客们就这样。

记者:他实际上属于这一类的人,他并不区分是黑是白。他无非就是有一种思维方法论的这种。
张凯:他在挑战自己或者挑战世界的某种规则。比如说,我记得有一个,十几岁的小孩,反正一个很著名的黑客吧,这个人呢,什么谷歌之类的都请他去,可是一般去工作一两年就觉得没劲了,觉得限制了,他就自己跑出来,自己跑到一个地下室里面去,造无人驾驶汽车的控制部分,他就改装现有的汽车,然后加上他那个东西,反正几千美元,他就能让那个汽车自动的跑了,他现在已经成功了,做了那么个玩意儿,他就一定要突破。

他最强的在于他的算法,但是他就是看什么都不顺眼,他就觉得这帮人太慢了,或者说这么处理问题,花好几千万,一辆车卖好几十万,好几百万,干吗呢?没必要,我自己弄这一个玩意儿,我也能让它跑,反正给现有的汽车加上这东西就完了,自己造了一个。他就这么一种人,他就是我要挑战这个规则,我要证明我自己能到那个地方,他就是这样的一群人。所以说,但那的确是一个著名的黑客,他有这能力去某某黑掉,把你的数据全暴出来,他以前也干过,但是觉得这个不够挑战了。

所以真正的牛的黑客都是这帮人。所以还有一帮就是跑去开公司的,挑战自己另一个领域的也有。所以这帮人的想法就不一样。所以我们的比赛里面,有些时候会有这种,我让你绕个圈去跟别的想法不一样的时候,你会发现这种突破点,有这种引导的意识,但是我认为,没有很明白的人能够引导人,说我一定要动一下或者怎么样。

记者:其实就是怎么去教人们每件事儿都这么想,有的时候可能针对某一个点,或者一道题,或者某一次比赛,他可能会激发出来他这个欲望去做。但是他不可能,很难说天天的什么事儿他都用这种方式。

张凯:反复的去教育他,变成肌肉记忆,就是你反复的教育他,当他有一天发现,我这么干,我能得到好处,我比别人快,或者我更容易赚到钱,或者我更容易让生活变得更好,他自然而然的就用那种方式了。越多的人

知道这一点,那你整个世界就会发生改变了。你整个的数字,包括比如在公司里面,经常,我就跟我这帮兄弟们说,我说你应该去想一想变个方法,注意一些细节,其实我也在想办法传递这种信息给他们。

但是说实话,挺难的,真的挺难的。你能教导他一件事儿,但是你很难改变他的思维规律,这种就是不断的去尝试,不断的去尝试,终有一天他开窍了,变成这样的人。你说,我们为什么在网上费那么大劲,搭那么多时间?作用其实是这个,有的时候就是矛盾的。我的指导手册要写的太清楚了,我觉得我对你没有什么用,我要是写的不清楚,你又突破不了那个点,所以很抓瞎,就像比赛的时候一样,出个难题还是出个简单的题。

记者:对于不同的人,确实看一个实验比较明显,以前的时候,我也看完课程,然后也点上那个,开始实验试一把,然后发现就蒙了,根本不知道该做什么,工具就在那儿摆着。桌面就那么简单两个东西,然后也不知道这个咋用。

张凯:对,这种干巴巴的教程也没有教给这些人一些什么东西,如何去思考,你如何去查找资料,你如何去学习,其实这个东西,才是整个这件事情最核心的地方。但是无论你去看视频,还是你去跟着手册做实验,你会发现你根本得不到这个东西,这是我一直想解决的。i春秋或者e春秋里面需要解决的一个技术的问题。有什么样的好办法说,我能够奖赏你,你去改变你的思维方式,定势,我就给你一种刺激给你一些奖励。或者你试错了,其实你试错了,得到一个错误的答案,我也应该给你一个奖励,因为你试了。现在我们社会,你答对了我给你一个奖励,但是如果你试错了,我不给你任何的回馈,你只会知道我错了。

记者:很有挫折感。

张凯:对。但是你这样的话,你就不知道说,我该不该这样干,我这样做对不对?是不是错了?针对这个方式上是不对的。其实我们现在面临最大的问题就是,当一个新的员工,假设,就是说我要培养一个方法论,当一个小白想成为黑客的时候,他第一步,他怎么去思考这件事儿?就是算是一种行为模式吧。比如说,我明天要学会某某某技术。那这件事情第一步,是去看一个视频,还是说我先去网上搜集一些信息,然后通过搜集信息这个过程,那么我去找到一些感兴趣的点,然后我再回来再去学这些东西。就是这比我给你规定好,我说12345,你今天要学会,我觉得更有价值一些对吧?但是,我又不能够说,我就给你定死12345是最好的了,因为我也不能证明我自己是最好的,我只是希望说你去尝试这个过程,这个就很奇怪,最开始我2.0设计的时候,我就设计一个产品,我们要设计出十条路来。一个产品十种攻击方法,或者十种最终得到目标的方法。那我认为这是一个好场景。

可是发现我把这个产品丢出去以后,很少有人认为说,这东西应该做10次,客户的想法就是你这就是一个产品,我那儿就有一个目标,反正你攻击成功一次就算了,那你这个就跟理念就完全不一致了。他是那种实用主义的理念。

记者:其实这种的话,客户那边,也能理解,就是说他们遇到问题以后,唯一的一个问题就是说尽快的用一个什么办法把这个问题解决了就得了。

张凯:所以我说我们要教导的是这种方法论,是让你培养出来这样的人才。我教给你一个技术,你成不了人才,你只能说,你是一个复读机,你碰到一个跟我这环境不一样的,那你就抓瞎了,你还是没学会。我们最终培养人,为什么搞比赛?搞比赛其实就是说,我希望在这个抗衡的过程中,让你知道你自己的不足,然后下一步你去干嘛呢?你去找相应的资源去学,你来我I春秋,你可以找到相应的点,但是你要把这个点串起来,我作为一个再好的老师,我可能能帮你做一个统筹的比如说套餐,或者一个组合一个体系,但是我并不是代替你思考。理想里,我们应该教人如何去想办法,如何去学习,如何去搜集信息。这个才是最重要的一步。
可能也是需要从量变到质变的过程。就是反复的做,反复的做。现在我们的玩法就是说,我想通过量变来让你质变。可是在这个量变的过程中是痛苦的。你如果没一直告诉这个人说,你做到一定的量,你一定会发生这样的改变,或者说你改变以后你能得到什么,这就很难,非常难。

记者:这肯定是没错的,道理上是普世性的,只不过每个人接触的那个点在哪儿,咱们得找找。

张凯:这种东西一定是吸引人的。因为你可以看到,卖的好的那些影片也好,故事也好,柯南这种,就是吸引你,就是你想不到。侦探类的,或者说恐怖类的,反正各种各样的东西,你想不到他的剧情,他都会说你这个东西好,也有想到,他可能觉得也这个片太烂了。我认为老百姓或者说广大人民群众,脑子里,一定会,我希望成为这样睿智的,智慧的人。

所以其实我一直在想,从市场的角度,我们能把这种东西给他说出去。我从来没见过任何安全厂商,或者说,教育厂商能够说明白这件事儿的。我们如果说把这事儿表达清楚,那绝对是个很大的突破,非常漂亮的一招。

显然,从与张凯的对话中可以看出,各种形式的网络安全大赛在当前阶段起到检验人才、和选拔人才的突出价值。然而立足未来,网络安全大赛将是一个思想精深的系统工程,不仅仅是实战技能的培养,将更加深入思维的引导,通过不断强化量变以转化成质变,能够真正顺应网络安全从业者与爱好者特有的思维模式,从而促进网络安全人才更加快速高效的成长。