策略为先

信息安全学科本身范围非常广，而且 “魔”“道”的对抗永远不会止息，做好信息安全实属不易。其实信息安全学科大部分还是以计算机学科知识为基础,但安全并不是与生俱来，它是寄生在计算机——无论是硬件还是软件之上的。在设计这些系统之初，由于设计的缺陷，并没有考虑很完善的安全因素，最后形成很多bug，bug本身并不会造成伤害，但它容易被攻击者所利用。

因此，不管是白帽子也好，黑帽子也好，这就会产生两个不同的方向：技术爱好者会告诉程序设计者，哪些地方有问题需要修补，挖掘更多的漏洞。但bug若被坏人所利用，他会利用漏洞大量的敛财，是具有邪恶的目的。而安恒的角色就是白帽子，所做的就是震慑那些坏人，利用自己的技术与之对抗，不断地提升防御能力的同时，也要研究进攻的能力，正所谓“未知攻焉知防”。安恒的安全观正是代表着所有安全厂商的安全观。

计算机科学都是有一套非常完整的体系，但安全不是，通常在某个领域研究时会越陷越深，问题也会越来越多，因此研究安全问题需要形成一种能力。

“寻道”并非易事，范渊是计算机专业出身，精通各种协议，同时对安全非常的感兴趣，在创业公司工作时，与公司里的精英一起研究如何解决网络层安全问题、各种设备的日志信息以及其背后的告警和威胁信息，如何最直观的展现给用户，让用户能在最短的时间发现攻击，与“魔”做斗争。

作为技术爱好者，能够知道隐藏在这里面的漏洞，但这些漏洞如何通过一个自动化的工具在大范围内被发现，还很少有人专门研究。

范渊就是在这其中非常的专业，能够连续两年在“黑帽子”大会上做演讲，第一次讲的是关于发现Web漏洞，第二年讲的是数据库安全。

日志本身艰涩难懂，这就需要懂得各种设备及相关系统，对于像范渊这样的安全人员挑战很大，不仅需要对几乎所有的设备都要有所了解，包括协议、进程等，对不同的操作系统如Windows、Unix、Linux等不同的系统都需要有精通这些不同系统的专门人才，这对一个团队的挑战是非常大的，这不得不将团队进行更加精准的划分来加以应对。而且了解仅仅是第一步，在了解之后如何将其规则化、标准化是第二步，但安全问题难点在于每天出现的问题不同，而相应的规则也要发生改变，这需要一个结构、一个体系。

这个问题过去一直困扰着安全从业者，先有攻击，然后针对攻击才有相应策略，攻击手段发生改变，对应的策略就要不断的跟进，甚至需要新的策略。过去的安全策略往往都是基于规则，但现在随着大数据、云计算技术的发展，可以利用人工智能、机器学习的方法来改善像过去的那种弊端。如态势感知这类新技术、新理念的出现，已经使得安全防御理念开始从被动向主动转变。