信息安全攻防杂谈
source link: http://mp.weixin.qq.com/s/O0zLvuWPRPIeqnRooNEFYA
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
信息安全攻防杂谈
Original 曹政 caoz的梦呓 2017-12-27 10:00 Posted on
很抱歉,这是一篇吐槽文。
因个人能力有限,难以持续维持价值输出,未来可能吐槽文和鸡汤文会越来越多,不喜欢的读者请踊跃退订。
上一篇文章 听说有人谋求稳定的工作? 有人说是纯鸡汤,只提出了问题没有提出解决方案,其实我只是不愿意重复已经写过的东西,底下相关旧文导读那个链接,我是随便放着玩的?
今天这篇又跟旧文有关
相关旧文导读
旧文提及的内容,我会一带而过,那么,您要是没兴趣点开看,别老埋怨我不写干货。
旧文我提过一句话,信息安全防御这事,在业内,三分靠技术,七分靠人脉。
在知识星球提及的时候,就有人觉得,看来还是黑客牛逼,安全从业者只能靠人脉才能防御。
当然,还有一种观点也很常见,我公司请个厉害的黑客来做运维安全,就万无一失了。
这两个观点说的是一回事,然而很遗憾,这是错的。
1、攻击与防御是非对称的
攻击只需要一个点,而防御是全面性的。
攻击者只要一招鲜,就可以有辉煌的战绩,而防御是一个全面体系,任何一个领域的疏漏都可能是致命的。
2、防御缺乏存在感
只有出事的时候,人们才会责怪负责防御的信息安全负责人。
正如知乎那个奇葩问题,为什么没有人入侵支付宝?
一群安全专家费劲心力搭建的防御系统,完美的防御了大量的入侵尝试,然而对于外界甚至领导而言,似乎他们并不存在。只有出问题的那一瞬间,大家才会想起来,公司花了那么多钱养了你们,怎么居然还出事了?!
3、情报网络和信息交流,是安全防御重要的组成部分
这和国家一样,你说你有军队,有武器就可以了么,还是需要情报网络的协助,要知道潜在的风险是谁,破坏者是谁。以及最新的攻击方法,攻击手段有什么。
攻击者可以是独行侠,有独门秘笈就可以,但防御者需要面对是大量未知的攻击者,所以,情报网络有助于能够识别未知风险,以及针对已经出现的问题尽早得到相关信息。
现在可持续的入侵行为越来越普遍,很多企业早就中招而不自知,自家的数据库在黑产圈已经流散开了,而企业还蒙在鼓里,这样的案例也有很多起了。
4、防御首先是一个体系,其次才是具体的技术。
一个基本原则是,任何一个防御策略,都要额外加上一个失败后的补救策略。
具体下文还会再谈
那么额外要分享的一些关于信息安全领域的观点
关于信息安全的境界
站在最高一层的,并不是我们所熟知的信息安全专家,而是一些数学家,或者信息学上的学者。他们提供的是一些信息安全的理论,以及相关领域的思考。
比如去年有个轰动的案例,在苹果编译器植入木马,中国互联网巨头几乎全部中招的那个,那个理论其实很早之前就有了。(嗯,破案其实很快,然后相关内容就被屏蔽了,屏蔽了,蔽了,了。)
比如缓冲溢出是一种信息安全的理论,比如分布式拒绝服务攻击是一种理论,比如山东大学的数学系教授王小云对加密算法碰撞数的贡献。没有人会认为王小云是一名信息安全专家,但是她在信息安全领域的贡献是极为巨大的。
比如前文提到的共识算法,甚至获得了图灵奖的一些算法思路,其实也可以列为信息安全领域的理论。
在信息安全理论创新上,目前中国并未站在领先的位置上。
次一层的是漏洞挖掘,基于信息安全的理论,对知名软件平台,操作系统进行漏洞挖掘和研究,以前绿盟是中国信息安全的黄埔军校,在漏洞挖掘方面培养了多个顶级专家。但今天,中国漏洞挖掘最厉害的是腾讯。(有钱真好)
漏洞挖掘的目标是操作系统,常用软件和服务平台,以及常见的产品设计和使用流程。(是的,一些安全漏洞来自于产品的操作和使用流程,泛泛的说,羊毛党就是这个范畴。)
在漏洞挖掘领域,中国已经成为世界顶尖水平之一。
再次一级的是工具设计和制作,基于已有的信息安全理论和已知的漏洞类型,制作设计扫描,监测,防御及自动入侵的系统。
再次一级的,才是攻击者或者说入侵者,他们善于利用工具,理解漏洞原理,并执行入侵。
但实际上这个划分只是一个很粗糙的模型,实际上会更复杂一些。
比如说,有漏洞挖掘的工具设计者,其对信息安全理论的熟悉和挖掘能力,是相当强的,甚至可以做出批量挖掘漏洞的工具。这种虽然是工具设计者,但其实就高于一般的漏洞挖掘层次了。
再比如说,基于web应用的攻击,虽然也是利用某些现有工具进行嗅探扫描和尝试,但由于每个web应用都是完全不同的代码,所以其技术实现过程又类似于漏洞挖掘,而不是简单的利用工具和现有漏洞入侵。
再比如说,即便是使用工具,也类似于特种兵和普通士兵,有些人非常熟悉漏洞的原理和机制,非常熟悉使用工具做出最大效率的攻击行为,这类似于熟悉各种枪械性能的特种兵;但也有根本不懂技术原理,只会拿着工具乱扫一气碰运气的入侵者,这种就是未经训练的士兵,但武器在手,也是有杀伤力的。
然而以上,也仅仅是基于攻击的层面,而作为防御者,也许不需要具备漏洞挖掘能力,但必须深入了解所有已公开的入侵形式和入侵原理。除了这些之外,防御需要额外的理论,也就是防御体系的设计,所谓防御体系,我不是专家,但我可以列出一些防御体系的目标。
1、尽可能去防护所有已知种类的入侵行为。
2、一旦出现紧急状况,外围失手的情况下,尽可能保护系统核心关键数据不受影响,保障系统不会被破坏性入侵行为干掉。
3、核心和关键数据即便遭到窃取,保障一些关键信息依然不可被读取。所谓随机salt加密策略。
4、能对入侵行为做追踪,定位,取证,方便采用法律手段维护权益。
5、建立信息安全的审核流程和工作流程,规范大量公司内部员工的数据读取,分享和操作行为。
6、保持情报资源畅通,随时密切观察外部流传的彩虹库,以及黑产灰产信息,与公司利益相关的需要尽快掌握详细信息。
7、审核产品业务与操作流程,审核业务数据日志,防止操作流程中被不当利用,例如羊毛党,广告投放劫持欺诈等等。当然,这个差事可能对信息安全人才来说有点强人所难,但据我所知,对于一些巨头而言,这种事情也是信息安全部门需要面对的挑战,而且越来越成为更加严峻的挑战。
现在,还觉得,聘请一个厉害的黑客,就能让自己公司的信息安全万无一失么?
然而,防御总是没有存在感的,我们知道腾讯有袁哥,有TK,有吴石,都是顶级的漏洞挖掘专家,那么问题来了,腾讯负责防御的技术专家是谁?没人知道。
信息安全领域有白帽,灰帽和黑帽。
白帽主要在各大互联网公司或信息安全公司从事安全相关工作,黑帽主要从事黑产相关,但也有一些人介于二者之间,称之为灰帽,亦正亦邪,有时候会帮大公司解决一些安全问题,但也有时候禁不住诱惑,手脚不是很干净,但比黑帽可能会稍微有点底线的那种,比如,他们会私下贩卖漏洞或肉鸡给黑帽获利,但自己不直接从事入侵行为。
顶尖白帽彼此熟悉,大部分关系还好,所谓人脉圈,你看很多互联网巨头彼此口水仗打得厉害,但底下负责安全的专家们往往都是私下的好友,经常有来往和互通情报的。毕竟黑产才是大家共同的对手,当然,也有一些彼此不服对方,偶尔喷喷口水的,文人相轻,私人恩怨总会有一些,但通常仅限于口水。
比如某个阿里的安全大牛的传记里曾经点过我的名字,认为我瞧不起他,所以略有忌恨。然而很惭愧,第一我的技术水平根本没资格瞧不起任何搞安全的人,第二其实他抱怨的是安全焦点,但恰好我跟安全焦点关系很好,又恰好以前我写过一些安全有关的文章,他觉得其中有些内容是我替安全焦点含沙射影抨击他,然而我其实根本不认识他,当时都不知道他们还有恩怨这档子事。
当年我真点名抨击过的安全圈的人,貌似只有孤独剑客王献冰,抨击他也不是因为技术,而是心术不正,不能说是黑产吧,但是开培训课教小朋友用木马工具黑别人QQ什么的,结果最后被抓了。安全从业者,特别是有点水平的,稍微有点赚快钱的歪念头,其实很容易出事。
另一个我不是很喜欢是最近几年在知乎风头很盛的小伙子,这孩子之前在加拿大,以前做黑产颇赚了一些钱,其实我这个人还不是那种特别道貌岸然的,我觉得少不更事做了点坏事,也不能说就多大的罪过;最好呢,是洗心革面,忏悔过错,并发誓绝不再犯,这是最好的;次一级的,知道这个历史不好看,不讲了,不干了,好好做人就是了。说实话,就最近几年,黑产洗白后公司赚很多钱的我还真知道有几个。虽然我不跟这样的人打交道,但警察都不管,我也说不上什么对吧。但这孩子还经常炫耀自己的黑产历史,觉得自己挺有本事的,我就觉得这个,实在让我无法接纳了,别说,崇拜他的粉丝还是挺多的。
我们说打工也好,创业也好,其实都是利益驱动,天天讲梦想的那个永远下周回国,所以大家还是谈谈钱挺实际。但这个问题就来了,作为顶尖白帽,如果想赚更多的钱,其实是很容易的,你说入侵支付宝不容易,入侵财付通不容易,但互联网那么多平台,那么多利益产品在上面,对于拥有漏洞挖掘能力的人来说,真的就是看底线有多少的问题了。
最近几年还好,互联网巨头用高薪把一些顶尖安全专家养起来了,虽然没有去搞黑的赚钱多,但毕竟是份体面和安全的职业。然而这样的职位毕竟有限,依然有大量达不到顶尖水平,却仍然有一定漏洞分析能力的人才,散落在整个互联网上,他们可黑可白可灰,如果有一份优渥的薪酬,也会是很好的企业员工,但如果一直生活窘迫,又不是不能凭本事赚钱,难免动一些其他心思。其实乌云之前就是一个很好的通道,让这些人有一个机会正面的展示自己,并通过这种展示,有机会获得一份不错的工作,或者激励走向白帽。但我们必须承认,这个平台上未必各个都是好人。一定有黑产试图洗白的,一定有灰帽骑墙两观的。去处理某些问题是应该的,但是把通道关了真的不好。
不能指望这个世界都是由好人,完人构成的,不能指望手持屠龙技的人靠操守和品德保卫我们的家园。但正向激励可以让那些人向好的方向前进,让有才能的人可以凭才能获得体面的收益,让骑墙的人选择走向光明。然而很遗憾,***选择了反面,也许某些机构认为他们处罚了坏人,结果,黑帽弹冠相庆,灰帽绝望沉沦,白帽噤然无声。
说了这么多,大家会觉得,和我有什么关系?
前几天比特币为什么暴跌?点到为止吧。
其实企业信息安全防御还有一个重要的工作,是内部的安全培训,业内有个说法,入侵企业最好的办法是搞定老板的小秘,信息价值高,安全意识差,很容易中招,一旦中招,可以快速渗入内网,并且获得大量有价值信息,乃至以高管甚至老板名义散播木马病毒导致全面入侵。
信息安全对于企业而言,不只是技术的事情,而是全员的事情,旧文有提,不再赘述。
最近在家过圣诞,电脑电源在公司,所以就没怎么写东西,哎,其实都是借口,主要是越来越没东西可写了。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK