猫宁!!!

参考链接:https://mp.weixin.qq.com/s/O0zLvuWPRPIeqnRooNEFYA

旧文我提过一句话,信息安全防御这事,在业内,三分靠技术,七分靠人脉。

在知识星球提及的时候,就有人觉得,看来还是黑客牛逼,安全从业者只能靠人脉才能防御。

当然,还有一种观点也很常见,我公司请个厉害的黑客来做运维安全,就万无一失了。

这两个观点说的是一回事,然而很遗憾,这是错的。

1、攻击与防御是非对称的

攻击只需要一个点,而防御是全面性的。

攻击者只要一招鲜,就可以有辉煌的战绩,而防御是一个全面体系,任何一个领域的疏漏都可能是致命的。

2、防御缺乏存在感

只有出事的时候,人们才会责怪负责防御的信息安全负责人。

正如知乎那个奇葩问题,为什么没有人入侵支付宝?

一群安全专家费劲心力搭建的防御系统,完美的防御了大量的入侵尝试,然而对于外界甚至领导而言,似乎他们并不存在。只有出问题的那一瞬间,大家才会想起来,公司花了那么多钱养了你们,怎么居然还出事了?!

3、情报网络和信息交流,是安全防御重要的组成部分

这和国家一样,你说你有军队,有武器就可以了么,还是需要情报网络的协助,要知道潜在的风险是谁,破坏者是谁。以及最新的攻击方法,攻击手段有什么。

攻击者可以是独行侠,有独门秘笈就可以,但防御者需要面对是大量未知的攻击者,所以,情报网络有助于能够识别未知风险,以及针对已经出现的问题尽早得到相关信息。

现在可持续的入侵行为越来越普遍,很多企业早就中招而不自知,自家的数据库在黑产圈已经流散开了,而企业还蒙在鼓里,这样的案例也有很多起了。

4、防御首先是一个体系,其次才是具体的技术。

一个基本原则是,任何一个防御策略,都要额外加上一个失败后的补救策略。

具体下文还会再谈

那么额外要分享的一些关于信息安全领域的观点

关于信息安全的境界

站在最高一层的,并不是我们所熟知的信息安全专家,而是一些数学家,或者信息学上的学者。他们提供的是一些信息安全的理论,以及相关领域的思考。

比如去年有个轰动的案例,在苹果编译器植入木马,中国互联网巨头几乎全部中招的那个,那个理论其实很早之前就有了。(嗯,破案其实很快,然后相关内容就被屏蔽了,屏蔽了,蔽了,了。)

比如缓冲溢出是一种信息安全的理论,比如分布式拒绝服务攻击是一种理论,比如山东大学的数学系教授王小云对加密算法碰撞数的贡献。没有人会认为王小云是一名信息安全专家,但是她在信息安全领域的贡献是极为巨大的。

比如前文提到的共识算法,甚至获得了图灵奖的一些算法思路,其实也可以列为信息安全领域的理论。

在信息安全理论创新上,目前中国并未站在领先的位置上。

次一层的是漏洞挖掘,基于信息安全的理论,对知名软件平台,操作系统进行漏洞挖掘和研究,以前绿盟是中国信息安全的黄埔军校,在漏洞挖掘方面培养了多个顶级专家。但今天,中国漏洞挖掘最厉害的是腾讯。(有钱真好)

漏洞挖掘的目标是操作系统,常用软件和服务平台,以及常见的产品设计和使用流程。(是的,一些安全漏洞来自于产品的操作和使用流程,泛泛的说,羊毛党就是这个范畴。)

在漏洞挖掘领域,中国已经成为世界顶尖水平之一。

再次一级的是工具设计和制作,基于已有的信息安全理论和已知的漏洞类型,制作设计扫描,监测,防御及自动入侵的系统。

再次一级的,才是攻击者或者说入侵者,他们善于利用工具,理解漏洞原理,并执行入侵。

但实际上这个划分只是一个很粗糙的模型,实际上会更复杂一些。

比如说,有漏洞挖掘的工具设计者,其对信息安全理论的熟悉和挖掘能力,是相当强的,甚至可以做出批量挖掘漏洞的工具。这种虽然是工具设计者,但其实就高于一般的漏洞挖掘层次了。

再比如说,基于web应用的攻击,虽然也是利用某些现有工具进行嗅探扫描和尝试,但由于每个web应用都是完全不同的代码,所以其技术实现过程又类似于漏洞挖掘,而不是简单的利用工具和现有漏洞入侵。

再比如说,即便是使用工具,也类似于特种兵和普通士兵,有些人非常熟悉漏洞的原理和机制,非常熟悉使用工具做出最大效率的攻击行为,这类似于熟悉各种枪械性能的特种兵;但也有根本不懂技术原理,只会拿着工具乱扫一气碰运气的入侵者,这种就是未经训练的士兵,但武器在手,也是有杀伤力的。

然而以上,也仅仅是基于攻击的层面,而作为防御者,也许不需要具备漏洞挖掘能力,但必须深入了解所有已公开的入侵形式和入侵原理。除了这些之外,防御需要额外的理论,也就是防御体系的设计,所谓防御体系,我不是专家,但我可以列出一些防御体系的目标。

1、尽可能去防护所有已知种类的入侵行为。

2、一旦出现紧急状况,外围失手的情况下,尽可能保护系统核心关键数据不受影响,保障系统不会被破坏性入侵行为干掉。

3、核心和关键数据即便遭到窃取,保障一些关键信息依然不可被读取。所谓随机salt加密策略。

4、能对入侵行为做追踪,定位,取证,方便采用法律手段维护权益。

5、建立信息安全的审核流程和工作流程,规范大量公司内部员工的数据读取,分享和操作行为。

6、保持情报资源畅通,随时密切观察外部流传的彩虹库,以及黑产灰产信息,与公司利益相关的需要尽快掌握详细信息。

7、审核产品业务与操作流程,审核业务数据日志,防止操作流程中被不当利用,例如羊毛党,广告投放劫持欺诈等等。当然,这个差事可能对信息安全人才来说有点强人所难,但据我所知,对于一些巨头而言,这种事情也是信息安全部门需要面对的挑战,而且越来越成为更加严峻的挑战。

现在,还觉得,聘请一个厉害的黑客,就能让自己公司的信息安全万无一失么?

然而,防御总是没有存在感的,我们知道腾讯有袁哥,有TK,有吴石,都是顶级的漏洞挖掘专家,那么问题来了,腾讯负责防御的技术专家是谁?没人知道。

信息安全领域有白帽,灰帽和黑帽。

白帽主要在各大互联网公司或信息安全公司从事安全相关工作,黑帽主要从事黑产相关,但也有一些人介于二者之间,称之为灰帽,亦正亦邪,有时候会帮大公司解决一些安全问题,但也有时候禁不住诱惑,手脚不是很干净,但比黑帽可能会稍微有点底线的那种,比如,他们会私下贩卖漏洞或肉鸡给黑帽获利,但自己不直接从事入侵行为。

顶尖白帽彼此熟悉,大部分关系还好,所谓人脉圈,你看很多互联网巨头彼此口水仗打得厉害,但底下负责安全的专家们往往都是私下的好友,经常有来往和互通情报的。毕竟黑产才是大家共同的对手,当然,也有一些彼此不服对方,偶尔喷喷口水的,文人相轻,私人恩怨总会有一些,但通常仅限于口水。

比如某个阿里的安全大牛的传记里曾经点过我的名字,认为我瞧不起他,所以略有忌恨。然而很惭愧,第一我的技术水平根本没资格瞧不起任何搞安全的人,第二其实他抱怨的是安全焦点,但恰好我跟安全焦点关系很好,又恰好以前我写过一些安全有关的文章,他觉得其中有些内容是我替安全焦点含沙射影抨击他,然而我其实根本不认识他,当时都不知道他们还有恩怨这档子事。

当年我真点名抨击过的安全圈的人,貌似只有孤独剑客王献冰,抨击他也不是因为技术,而是心术不正,不能说是黑产吧,但是开培训课教小朋友用木马工具黑别人QQ什么的,结果最后被抓了。安全从业者,特别是有点水平的,稍微有点赚快钱的歪念头,其实很容易出事。

另一个我不是很喜欢是最近几年在知乎风头很盛的小伙子,这孩子之前在加拿大,以前做黑产颇赚了一些钱,其实我这个人还不是那种特别道貌岸然的,我觉得少不更事做了点坏事,也不能说就多大的罪过;最好呢,是洗心革面,忏悔过错,并发誓绝不再犯,这是最好的;次一级的,知道这个历史不好看,不讲了,不干了,好好做人就是了。说实话,就最近几年,黑产洗白后公司赚很多钱的我还真知道有几个。虽然我不跟这样的人打交道,但警察都不管,我也说不上什么对吧。但这孩子还经常炫耀自己的黑产历史,觉得自己挺有本事的,我就觉得这个,实在让我无法接纳了,别说,崇拜他的粉丝还是挺多的。

我们说打工也好,创业也好,其实都是利益驱动,天天讲梦想的那个永远下周回国,所以大家还是谈谈钱挺实际。但这个问题就来了,作为顶尖白帽,如果想赚更多的钱,其实是很容易的,你说入侵支付宝不容易,入侵财付通不容易,但互联网那么多平台,那么多利益产品在上面,对于拥有漏洞挖掘能力的人来说,真的就是看底线有多少的问题了。

最近几年还好,互联网巨头用高薪把一些顶尖安全专家养起来了,虽然没有去搞黑的赚钱多,但毕竟是份体面和安全的职业。然而这样的职位毕竟有限,依然有大量达不到顶尖水平,却仍然有一定漏洞分析能力的人才,散落在整个互联网上,他们可黑可白可灰,如果有一份优渥的薪酬,也会是很好的企业员工,但如果一直生活窘迫,又不是不能凭本事赚钱,难免动一些其他心思。其实乌云之前就是一个很好的通道,让这些人有一个机会正面的展示自己,并通过这种展示,有机会获得一份不错的工作,或者激励走向白帽。但我们必须承认,这个平台上未必各个都是好人。一定有黑产试图洗白的,一定有灰帽骑墙两观的。去处理某些问题是应该的,但是把通道关了真的不好。

不能指望这个世界都是由好人,完人构成的,不能指望手持屠龙技的人靠操守和品德保卫我们的家园。但正向激励可以让那些人向好的方向前进,让有才能的人可以凭才能获得体面的收益,让骑墙的人选择走向光明。然而很遗憾,***选择了反面,也许某些机构认为他们处罚了坏人,结果,黑帽弹冠相庆,灰帽绝望沉沦,白帽噤然无声。

说了这么多,大家会觉得,和我有什么关系?

前几天比特币为什么暴跌?点到为止吧。

其实企业信息安全防御还有一个重要的工作,是内部的安全培训,业内有个说法,入侵企业最好的办法是搞定老板的小秘,信息价值高,安全意识差,很容易中招,一旦中招,可以快速渗入内网,并且获得大量有价值信息,乃至以高管甚至老板名义散播木马病毒导致全面入侵。

信息安全对于企业而言,不只是技术的事情,而是全员的事情,旧文有提,不再赘述。

caoz的梦呓:信息安全攻防杂谈的更多相关文章

  1. caoz的梦呓:信息安全常识科普

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/cl4TfOodBGSjUuEU8e0rGA 对方公众号:caoz的梦呓 前天在新加坡IC咖啡做了一场关于信息安全的常识普及 ...

  2. caoz的梦呓:创业公司如何做好信息安全

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/gCWjzHBRfbPFhNeg2VtFhA https://mp.weixin.qq.com/s/bmifCmD2CHV1 ...

  3. caoz的梦呓:信息安全,别为了芝麻丢了西瓜

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/z6UI-tdhN1CGdqQQuglLVQ 对方公众号:caoz的梦呓 我之前写微博的时候,经常就有读者反馈说,你怎么用3 ...

  4. caoz的梦呓:找工作么?会坐牢的那种。

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/kj9crZIIrS_8IzuYzukydw 很多年轻人,初入职场,确实背景资历不够强,眼界阅历也不够,有时候稀里糊涂就误入 ...

  5. caoz的梦呓:所谓打破信息不对称,其实是一种幻觉

    猫宁!!! 参考链接:https://mp.weixin.qq.com/s/UzSyrhe0Vck7ItN-XU6JEg 很多创业者说,要建立怎样一个平台,要打破信息不对称,大部分时候,我都会泼冷水, ...

  6. 如何防御mimikatz致敬Mimikatz攻防杂谈学习笔记

    零.绪论:mimikatz简介 mimikatz是一款出色的内网渗透工具,可以抓取windows主机的明文密码.NTLMhash值或者kerberos对应的缓存凭据.mimikatz的使用在获取权限后 ...

  7. #033 信安培训基础题Python解决网络安全实验室|网络信息安全攻防学习平台

    第三题猜猜这是经过了多少次加密?分值: 200 加密后的字符串为:一大串 字符串最后面是= 所以是base64.b64decode编码究竟为啥有=就是base64咱也不知道 咱也不敢问咋解密也是从网上 ...

  8. 网络信息安全攻防学习平台 上传,解密通关writeup

    上传关 [1]查看源代码,发现JS代码.提交时onclick进行过验证.ctrl+shift+i 打开开发者工具,将conclick修改为 return True,即可以上传上传php文件,拿到KEY ...

  9. 第一届“百度杯”信息安全攻防总决赛_Upload

    题目见i春秋ctf训练营 看到fast,就想抓个包看看,以前有道题是打开链接直接来了个跳转,当然这题不是 查看返回包,发现一个好东西 拿去base64解码看看 感觉给出的字符串能继续解码,果然解码后得 ...

随机推荐

  1. luogu4366 [Code+#4]最短路[优化建边最短路]

    显然这里的$n^2$级别的边数不能全建出来,于是盯住xor这个关键点去 瞎猜 探究有没有什么特殊性质可以使得一些边没有必要建出来. 发现一个点经过一次xor $x$,花费$x$这么多代价(先不看$C$ ...

  2. css 命名规范 BEM

    在项目的开发过程当中, 我们往往因为日益复杂的css代码而感到力不从心. 如何合理的组织css代码成为了我们前端开发过程中必须考虑到的环节. 在读element源代码的时候, 了解到了BEM的命名风格 ...

  3. Hibernate的CRUD配置及简单使用

    参考博客:https://blog.csdn.net/qq_38977097/article/details/81326503 1.首先是jar包,可以在官网下载. 或者点击下面链接下载 链接:htt ...

  4. guava的一些用法

    package guavaTest; import com.google.common.base.CharMatcher; import com.google.common.base.Joiner; ...

  5. 5 解析器、url路由控制、分页、渲染器和版本

    1 数据解析器 1 什么是解析器 相当于request 中content-type 对方传什么类型的数据,我接受什么样的数据:怎样解析 无论前面传的是什么数据,都可以解开 例如:django不能解析j ...

  6. 直接插入排序java代码

    //直接插入排序(无哨兵) 通过测试 public class InsertSortTest{ public static void insertSort(int[] arr) { for (int ...

  7. PHP基础之搭建WAMP环境

    访问 http://www.wampserver.com/en/ 点击 点击 点击 由于WAMP需要 Microsoft Visual C++运行库支持,请先到 这里 下载VC++2012运行库.官方 ...

  8. 题解 【USACO 4.2.1】草地排水

    [USACO 4.2.1]草地排水 Description 在农夫约翰的农场上,每逢下雨,贝茜最喜欢的三叶草地就积聚了一潭水.这意味着草地被水淹没了,并且小草要继续生长还要花相当长一段时间.因此,农夫 ...

  9. FZU 2231 平行四边形数

    FZU - 2231  平行四边形数 题目大意:给你n个点,求能够组成多少个平行四边形? 首先想到的是判断两对边平行且相等,但这样的话得枚举四个顶点,或者把点转换成边然后再枚举所有边相等的麻烦,还不好 ...

  10. 【原创】LUOGU P1808 单词分类

    STL大法好!!! 使用sort()将string排序,map去重并统计即可. 最短代码如下: #include<bits/stdc++.h> using namespace std; s ...