本文来自微信公众号:赵武的自留地(ID:gh_86033a4f818d),作者:白帽汇赵武,题图来自:视觉中国
这几年网络安全行业发展不可谓不快,政策出台是燃料,而攻防演习是导火索,突然一下所有甲乙方都抬起头来,看着这么一张无形的大网从天而降盖了下来。
毫无疑问,我是攻防演习活动坚定的支持者,我能肉眼可见的感受到演习带来的变化:几年前,防守方内网被搅得天翻地覆,专家组们在那完全无感知,只知道着急不知道干嘛;几年后,至少很大一部分单位已经有了感知能力,其中一部分单位能溯源,甚至能够成功反制攻击队。也就是这么短短几年的时间,说明了两件事情,一是攻防演习是卓有成效的,二是花钱投入是能够有效地解决网络安全问题的。
于是乎,攻防演习的活动变成了百花齐放的活动,从国家级,到省级,到地市级,到企业级,当然也有行业级,这就进入了一个攻击队根本不够用的情况。同时网络安全行业被大家调侃为“九龙治水”,所以通常在一个单位,一年下来包括主动发起的和被动参与的,很有可能有个四五次,这也侧面实现了在实战化情况下的常态化。
通常一件事情的发展,总会伴随着各种小插曲,就好像电商的发展会伴随着假货一样,这是无法杜绝的,时代大潮总是会有诞生一些想要走捷径的行为,所以在一个原始森林你想要喝健康的水,就需要通过做装置再花一段时间的沉淀净化才行。这个装置一般分为几个层,用石头过滤大的杂质,用沙子过滤小微杂质,用木炭排除微生物,再净化分层,喝上面的水,相对而言就会有所保障。我们参与的看到的和听到的故事有很多很多,充满着段子与情绪。整理一下,基本有如下几个怪现状。
大家调侃最多的还是某些公司即是裁判又是攻击方,更甚者还是平台提供方的行为,这种行为比比皆是。一次演习首先有攻防两方,其次必须有提交成绩的比赛平台,最后要有参与结果评分的裁判。我们用脚趾头都能想象到一个攻击队提交的报告,在后两者的角色都能看得到,如果后两者没有攻击队,大家尚且要严格约束平台和裁判的保密行为,更何况是你还派了攻击队,那大家基本上不敢相信公正性了。
所以不管是体育赛事还是科技类的赛事,大家为了避嫌,都会主动避开这种质疑,以免造成不必要的误会。只是在网络安全攻防的领域,这个行为就变成一种默许,理由很有可能是,有能力做平台的厂商不多,这个厂商也很支持,既然平台是他的,邀请他做裁判也无可厚非,他们又有渗透测试的能力,能多做贡献皆大欢喜。实际情况当然不会是这样,不敢说跟认可是完全不同的,我并不认为要持续下去,我相信未来大家也会越来越注意。
另一个比较明显的问题是,演习中发现的问题(漏洞或者后门)有一批并不会被修复,也就是说去年有今年还有,你参加了几年,积累的漏洞就越来越多,刚才讲的九龙治水嘛,这个赛事没修就下一个赛事继续提交,今年赛事没修就下一年赛事再提交。大家并不因此而感到义愤填膺,而是觉得很开心,因为这几乎就是送分题。所以,参与的越多,掌握的漏洞越多,来年的优势相对而言就越明显。
换句话说即便漏洞修了,一个企业的网络基础结构并不会因此而修改,包括网络ip地址分配,业务系统所在位置等,因此,沉淀下来的知识库很有可能是带来持续影响的。我建议赛事举办方可以适当把漏洞的个数来评分,转一部分为修复比例来评分,适当地引导为发现问题是为了修复问题,处罚和责骂都不是最终目的。有漏洞不修这个问题,是所有我总结问题里面对国家伤害最大的。
再来一个问题就比较烧脑了,我也还没有明确的答案。因为国内的安全乙方相对是比较固定的,通过攻防演习让甲方跟乙方认识了合作了,简单来说就是甲方采购了乙方的产品和服务,那么过了一段时间后,乙方的客户越来越多,我们可以想象到很有可能不管哪个甲方都是乙方攻击队的客户。
那就形成了跟比上面那个问题更大的问题:你是白盒,你看到了内部的完整网络结构,你在内部完成了资产和漏洞的梳理,你知道防火墙的防护策略,你知道了网络常用的非标准端口,你知道了常用的默认账号。那么如果你是乙方,当你的目标是这个甲方客户的时候,你打还是不打?不打吧没成绩,也不一定就真的没有漏洞;打吧你自己又可能会有“监守自盗”的罪恶感。
当然有可能你会给自己一个相对比较舒适的理由:我打没有让我们做服务的那一些其他业务。但是客户认不认可那又是另外的事情了,搞不好客户一怒之下把你拉黑,毕竟商业市场还是掏钱的话语权更高。
讲到这里,就不得不提场外因素了。场内技术如火如荼,场外斗智斗勇不亦乐乎。比如说赛事主办方说我要打A,而A呢会说我不允许,这里就会出现一种对抗,只是这种对抗并不是体现在主办方和A,而是在乙方攻击队,搞定一个企业总是容易得多。其他还有很多场外因素,无法展开来说,此处省略数万字。谁家没老人还不生病呢?谁家没小孩上学呢?保安全还是保应用呢?
综合下来,我还是很倾佩各演习的牵头领导,一定是各种权衡利弊,既要确保能够正常进行达到真实的效果又不至于外部过激,我们只能提供技术,后来发现只靠技术并不能真正解决问题,智慧才行。当然,所有案例又证明了一点:在绝对的实力面前,场外因素不是决定性的。碾压式的技术优势也能带来一种新局面的开拓,可惜的是,这种碾压式的优势也无法复制和持续。
最后还有一件事情是我有所担忧的。咱们积累的大量经验是很有针对性的,比如咱们积累的是国内设备和应用的漏洞,咱们的资产梳理方法是特别有区域性的比如用天眼查用ICP备案等,咱们的钓鱼模板也是中文的,一句话形容,咱们沉淀了大量行之有效的攻击我们自己的方法。虽然说思维方法是通用的,但是对于整个互联网攻防技术而言,流程和工具以及漏洞一定不是通用的,这就是机器学习领域里面的过拟合。如何插入一些杂音和新的场景,如果适用整个互联网可能也是后续要考虑的问题。
另外,如何让那些沉淀更加可控也是个问题,大量的鱼目混杂在早期不用太多考虑,现在看起来,可以考虑做一些筛选,这个毕竟不是纯粹的商业,所以想要赚快钱的风气很容易破坏这个环境,实际上,服务目前在国内对一定规模的企业而言看起来也是越做越亏,个体和团队倒是没亏过,但是无法持续。
总结下来,我觉得网络安全行业的发展要有沉淀,沉淀下来的应该是最佳实践,这些最佳实践是流程是工具是思考的方式。如何把这些最佳实践输出出来是一个很重要的工作,除此之外如何把这些最佳实践推广出去是一个更为重要的工作。行业内不分享不交流,那么大家就一直在做重复的体力劳动,一加一做一万次也不能代表你在进步,你用了别人的人工服务用了十年也并不代表你收获了经验。
攻防演习毫无疑问是有用的,上面我提到的这些怪现状还将伴随一段时间,我们若干年后可以再来回顾一次,看看哪些消失不见了,哪些愈演愈烈了,亦或是整个攻防演习的影响力达到高峰后就不再提了,就跟阿里的双十一一样不再关注交易额了。
从我个人交付而言,未来我可能期望团队尽可能少一点参加这些演习,因为我也没想清楚那些问题我怎么解决。与其随波逐流,不去全公司都去找出各行各业的最佳实践,做出来推广出去。对我们而言,我们的价值在于平台在于数据在于场景。上面说的其实最主要的问题还是:我们在攻击方面的能力并不好,给自己找一些借口罢了。
本文来自微信公众号:赵武的自留地(ID:gh_86033a4f818d),作者:白帽汇赵武