Error: Invalid GA Profile ID set. The format should ga:XXXXXX, where XXXXXX is your profile number

转:http://www.youxia.org/2011/11/YouXia-Say-Security-2011.html

最近,不止一个朋友和我说:不想干这个行业了。我问为什么?说感觉有点像骗人。并且几个都和我这么说。我说你强大的忽悠能力,骗了这么多人,突然良心发现了?

其实,安静下来想:自己有时候也在考虑这个问题——我们的所作所为,到底多少是真的从客户角度出发?客户的每一分钱,是否真的花到了点子上?

——不仅我犯嘀咕,可能犯嘀咕的人很多。

用户关心的,其实不是卖多少设备,而是:我最关心的问题,到底解决了没有?

防火墙厂商说:不买防火墙怎么行?这是基本安全措施;
杀毒软件厂商说:你有本事不买杀毒啊?网络层、主机层都要啊!
IPS厂商说:不支持阻断的IDS不是好防火墙……(理解下);
主机管理厂家说:打印、U盘、文件控制,一个都不能少;
WAF厂家说:没有防篡改功能的WAF不靠谱啊……

实际上呢?现在的网络环境下:
UTM是不敢开全功能的,否则就设备就挂了;
很多IPS都是配置成旁路的,否则网就挂了;
很多主机审计都是被使用者骂的——不是因为功能,是因为性能;
很多WAF和防篡改是防不住一个内心坚定的黑客的。

厂家的人,给你做安全咨询,仅仅是为了卖掉自己的产品;
集成商的人,给你做安全咨询,仅仅是为了卖利润高的产品。

那么,这样一来,到底谁关心你的业务?
这也就是本文开头说的,几个朋友都说自己像是个骗子。因为不可能站在客户的角度出发去做安全,而是站在厂家、站在赚钱的角度去设计方案。如此一来,安全,成了赚钱之外的另一个目标。

国内,就是这样的现实。

今天下午,看到国内有名的漏洞公开网站乌云关闭了,看到说法是:

@乌云-漏洞报告平台:真是奇怪的互联网啊,要求我们删除漏洞遭拒绝,然后就非正常的把我备案取消,然后再通过IDC说没有备案要求关网站 乌云要跟各位短暂的说再见了…..

而前两天,网络世界的一名编辑也发了这么一条:

@Mister 诺诺:越是智能的东西,漏洞越多。通过智能电话的一个漏洞就控制了整个网络的时代并不太远。有同学给某外国智能设备提供商上报漏洞,结果换来了恶劣的态 度。其实,此同学发现了四个了,但最后只上报了一个。不知道直接上报给此公司的总部会不会也是这样的态度?这么大一个品牌的公司,员工竟然是这样的素质。

总之,国内就这样的环境,能如何?有时候,我倒是更赞成,遇到这些厂家出问题,直接公开得了……

前一段一个客户测试WAF,测试了三四家,发现没有一家能抗住专业渗透团队的攻击,无一幸免。
对此,无言。

多数安全厂家,在忽悠客户能力上,比研发研发能力、技术支持能力、售后服务能力强得多。
有时候,说安全圈,也是个娱乐圈,感觉也不是那么过分了。

——————————–

真应该学习一个德国,做什么就认真做,别把什么东西都搞得像娱乐!

原创文章,转载请注明: 转载自漂泊翰子 | 不让心灵漂泊的港湾~

本文链接地址: 网路游侠:关于安全这个圈子……有话说