信息安全攻防杂谈
很抱歉,這是一篇吐槽文。
因個人能力有限,難以持續(xù)維持價值輸出,未來可能吐槽文和雞湯文會越來越多,不喜歡的讀者請踴躍退訂。
上一篇文章?聽說有人謀求穩(wěn)定的工作? 有人說是純雞湯,只提出了問題沒有提出解決方案,其實我只是不愿意重復已經(jīng)寫過的東西,底下相關(guān)舊文導讀那個鏈接,我是隨便放著玩的?
今天這篇又跟舊文有關(guān)
相關(guān)舊文導讀
信息安全常識科普
創(chuàng)業(yè)公司如何做好信息安全(上)
創(chuàng)業(yè)公司如何做好信息安全(下)
信息安全,別為了芝麻丟了西瓜。
舊文提及的內(nèi)容,我會一帶而過,那么,您要是沒興趣點開看,別老埋怨我不寫干貨。
舊文我提過一句話,信息安全防御這事,在業(yè)內(nèi),三分靠技術(shù),七分靠人脈。
在知識星球提及的時候,就有人覺得,看來還是黑客牛逼,安全從業(yè)者只能靠人脈才能防御。
當然,還有一種觀點也很常見,我公司請個厲害的黑客來做運維安全,就萬無一失了。
這兩個觀點說的是一回事,然而很遺憾,這是錯的。
1、攻擊與防御是非對稱的
攻擊只需要一個點,而防御是全面性的。
攻擊者只要一招鮮,就可以有輝煌的戰(zhàn)績,而防御是一個全面體系,任何一個領(lǐng)域的疏漏都可能是致命的。
2、防御缺乏存在感
只有出事的時候,人們才會責怪負責防御的信息安全負責人。
正如知乎那個奇葩問題,為什么沒有人入侵支付寶?
一群安全專家費勁心力搭建的防御系統(tǒng),完美的防御了大量的入侵嘗試,然而對于外界甚至領(lǐng)導而言,似乎他們并不存在。只有出問題的那一瞬間,大家才會想起來,公司花了那么多錢養(yǎng)了你們,怎么居然還出事了?!
3、情報網(wǎng)絡和信息交流,是安全防御重要的組成部分
這和國家一樣,你說你有軍隊,有武器就可以了么,還是需要情報網(wǎng)絡的協(xié)助,要知道潛在的風險是誰,破壞者是誰。以及最新的攻擊方法,攻擊手段有什么。
攻擊者可以是獨行俠,有獨門秘笈就可以,但防御者需要面對是大量未知的攻擊者,所以,情報網(wǎng)絡有助于能夠識別未知風險,以及針對已經(jīng)出現(xiàn)的問題盡早得到相關(guān)信息。
現(xiàn)在可持續(xù)的入侵行為越來越普遍,很多企業(yè)早就中招而不自知,自家的數(shù)據(jù)庫在黑產(chǎn)圈已經(jīng)流散開了,而企業(yè)還蒙在鼓里,這樣的案例也有很多起了。
4、防御首先是一個體系,其次才是具體的技術(shù)。
一個基本原則是,任何一個防御策略,都要額外加上一個失敗后的補救策略。
具體下文還會再談
那么額外要分享的一些關(guān)于信息安全領(lǐng)域的觀點
關(guān)于信息安全的境界
站在最高一層的,并不是我們所熟知的信息安全專家,而是一些數(shù)學家,或者信息學上的學者。他們提供的是一些信息安全的理論,以及相關(guān)領(lǐng)域的思考。
比如去年有個轟動的案例,在蘋果編譯器植入木馬,中國互聯(lián)網(wǎng)巨頭幾乎全部中招的那個,那個理論其實很早之前就有了。(嗯,破案其實很快,然后相關(guān)內(nèi)容就被屏蔽了,屏蔽了,蔽了,了。)
比如緩沖溢出是一種信息安全的理論,比如分布式拒絕服務攻擊是一種理論,比如山東大學的數(shù)學系教授王小云對加密算法碰撞數(shù)的貢獻。沒有人會認為王小云是一名信息安全專家,但是她在信息安全領(lǐng)域的貢獻是極為巨大的。
比如前文提到的共識算法,甚至獲得了圖靈獎的一些算法思路,其實也可以列為信息安全領(lǐng)域的理論。
在信息安全理論創(chuàng)新上,目前中國并未站在領(lǐng)先的位置上。
次一層的是漏洞挖掘,基于信息安全的理論,對知名軟件平臺,操作系統(tǒng)進行漏洞挖掘和研究,以前綠盟是中國信息安全的黃埔軍校,在漏洞挖掘方面培養(yǎng)了多個頂級專家。但今天,中國漏洞挖掘最厲害的是騰訊。(有錢真好)
漏洞挖掘的目標是操作系統(tǒng),常用軟件和服務平臺,以及常見的產(chǎn)品設(shè)計和使用流程。(是的,一些安全漏洞來自于產(chǎn)品的操作和使用流程,泛泛的說,羊毛黨就是這個范疇。)
在漏洞挖掘領(lǐng)域,中國已經(jīng)成為世界頂尖水平之一。
再次一級的是工具設(shè)計和制作,基于已有的信息安全理論和已知的漏洞類型,制作設(shè)計掃描,監(jiān)測,防御及自動入侵的系統(tǒng)。
再次一級的,才是攻擊者或者說入侵者,他們善于利用工具,理解漏洞原理,并執(zhí)行入侵。
但實際上這個劃分只是一個很粗糙的模型,實際上會更復雜一些。
比如說,有漏洞挖掘的工具設(shè)計者,其對信息安全理論的熟悉和挖掘能力,是相當強的,甚至可以做出批量挖掘漏洞的工具。這種雖然是工具設(shè)計者,但其實就高于一般的漏洞挖掘?qū)哟瘟恕?/p>
再比如說,基于web應用的攻擊,雖然也是利用某些現(xiàn)有工具進行嗅探掃描和嘗試,但由于每個web應用都是完全不同的代碼,所以其技術(shù)實現(xiàn)過程又類似于漏洞挖掘,而不是簡單的利用工具和現(xiàn)有漏洞入侵。
再比如說,即便是使用工具,也類似于特種兵和普通士兵,有些人非常熟悉漏洞的原理和機制,非常熟悉使用工具做出最大效率的攻擊行為,這類似于熟悉各種槍械性能的特種兵;但也有根本不懂技術(shù)原理,只會拿著工具亂掃一氣碰運氣的入侵者,這種就是未經(jīng)訓練的士兵,但武器在手,也是有殺傷力的。
然而以上,也僅僅是基于攻擊的層面,而作為防御者,也許不需要具備漏洞挖掘能力,但必須深入了解所有已公開的入侵形式和入侵原理。除了這些之外,防御需要額外的理論,也就是防御體系的設(shè)計,所謂防御體系,我不是專家,但我可以列出一些防御體系的目標。
1、盡可能去防護所有已知種類的入侵行為。
2、一旦出現(xiàn)緊急狀況,外圍失手的情況下,盡可能保護系統(tǒng)核心關(guān)鍵數(shù)據(jù)不受影響,保障系統(tǒng)不會被破壞性入侵行為干掉。
3、核心和關(guān)鍵數(shù)據(jù)即便遭到竊取,保障一些關(guān)鍵信息依然不可被讀取。所謂隨機salt加密策略。
4、能對入侵行為做追蹤,定位,取證,方便采用法律手段維護權(quán)益。
5、建立信息安全的審核流程和工作流程,規(guī)范大量公司內(nèi)部員工的數(shù)據(jù)讀取,分享和操作行為。
6、保持情報資源暢通,隨時密切觀察外部流傳的彩虹庫,以及黑產(chǎn)灰產(chǎn)信息,與公司利益相關(guān)的需要盡快掌握詳細信息。
7、審核產(chǎn)品業(yè)務與操作流程,審核業(yè)務數(shù)據(jù)日志,防止操作流程中被不當利用,例如羊毛黨,廣告投放劫持欺詐等等。當然,這個差事可能對信息安全人才來說有點強人所難,但據(jù)我所知,對于一些巨頭而言,這種事情也是信息安全部門需要面對的挑戰(zhàn),而且越來越成為更加嚴峻的挑戰(zhàn)。
現(xiàn)在,還覺得,聘請一個厲害的黑客,就能讓自己公司的信息安全萬無一失么?
然而,防御總是沒有存在感的,我們知道騰訊有袁哥,有TK,有吳石,都是頂級的漏洞挖掘?qū)<?#xff0c;那么問題來了,騰訊負責防御的技術(shù)專家是誰?沒人知道。
信息安全領(lǐng)域有白帽,灰帽和黑帽。
白帽主要在各大互聯(lián)網(wǎng)公司或信息安全公司從事安全相關(guān)工作,黑帽主要從事黑產(chǎn)相關(guān),但也有一些人介于二者之間,稱之為灰帽,亦正亦邪,有時候會幫大公司解決一些安全問題,但也有時候禁不住誘惑,手腳不是很干凈,但比黑帽可能會稍微有點底線的那種,比如,他們會私下販賣漏洞或肉雞給黑帽獲利,但自己不直接從事入侵行為。
頂尖白帽彼此熟悉,大部分關(guān)系還好,所謂人脈圈,你看很多互聯(lián)網(wǎng)巨頭彼此口水仗打得厲害,但底下負責安全的專家們往往都是私下的好友,經(jīng)常有來往和互通情報的。畢竟黑產(chǎn)才是大家共同的對手,當然,也有一些彼此不服對方,偶爾噴噴口水的,文人相輕,私人恩怨總會有一些,但通常僅限于口水。
比如某個阿里的安全大牛的傳記里曾經(jīng)點過我的名字,認為我瞧不起他,所以略有忌恨。然而很慚愧,第一我的技術(shù)水平根本沒資格瞧不起任何搞安全的人,第二其實他抱怨的是安全焦點,但恰好我跟安全焦點關(guān)系很好,又恰好以前我寫過一些安全有關(guān)的文章,他覺得其中有些內(nèi)容是我替安全焦點含沙射影抨擊他,然而我其實根本不認識他,當時都不知道他們還有恩怨這檔子事。
當年我真點名抨擊過的安全圈的人,貌似只有孤獨劍客王獻冰,抨擊他也不是因為技術(shù),而是心術(shù)不正,不能說是黑產(chǎn)吧,但是開培訓課教小朋友用木馬工具黑別人QQ什么的,結(jié)果最后被抓了。安全從業(yè)者,特別是有點水平的,稍微有點賺快錢的歪念頭,其實很容易出事。
另一個我不是很喜歡是最近幾年在知乎風頭很盛的小伙子,這孩子之前在加拿大,以前做黑產(chǎn)頗賺了一些錢,其實我這個人還不是那種特別道貌岸然的,我覺得少不更事做了點壞事,也不能說就多大的罪過;最好呢,是洗心革面,懺悔過錯,并發(fā)誓絕不再犯,這是最好的;次一級的,知道這個歷史不好看,不講了,不干了,好好做人就是了。說實話,就最近幾年,黑產(chǎn)洗白后公司賺很多錢的我還真知道有幾個。雖然我不跟這樣的人打交道,但警察都不管,我也說不上什么對吧。但這孩子還經(jīng)常炫耀自己的黑產(chǎn)歷史,覺得自己挺有本事的,我就覺得這個,實在讓我無法接納了,別說,崇拜他的粉絲還是挺多的。
我們說打工也好,創(chuàng)業(yè)也好,其實都是利益驅(qū)動,天天講夢想的那個永遠下周回國,所以大家還是談談錢挺實際。但這個問題就來了,作為頂尖白帽,如果想賺更多的錢,其實是很容易的,你說入侵支付寶不容易,入侵財付通不容易,但互聯(lián)網(wǎng)那么多平臺,那么多利益產(chǎn)品在上面,對于擁有漏洞挖掘能力的人來說,真的就是看底線有多少的問題了。
最近幾年還好,互聯(lián)網(wǎng)巨頭用高薪把一些頂尖安全專家養(yǎng)起來了,雖然沒有去搞黑的賺錢多,但畢竟是份體面和安全的職業(yè)。然而這樣的職位畢竟有限,依然有大量達不到頂尖水平,卻仍然有一定漏洞分析能力的人才,散落在整個互聯(lián)網(wǎng)上,他們可黑可白可灰,如果有一份優(yōu)渥的薪酬,也會是很好的企業(yè)員工,但如果一直生活窘迫,又不是不能憑本事賺錢,難免動一些其他心思。其實烏云之前就是一個很好的通道,讓這些人有一個機會正面的展示自己,并通過這種展示,有機會獲得一份不錯的工作,或者激勵走向白帽。但我們必須承認,這個平臺上未必各個都是好人。一定有黑產(chǎn)試圖洗白的,一定有灰帽騎墻兩觀的。去處理某些問題是應該的,但是把通道關(guān)了真的不好。
不能指望這個世界都是由好人,完人構(gòu)成的,不能指望手持屠龍技的人靠操守和品德保衛(wèi)我們的家園。但正向激勵可以讓那些人向好的方向前進,讓有才能的人可以憑才能獲得體面的收益,讓騎墻的人選擇走向光明。然而很遺憾,***選擇了反面,也許某些機構(gòu)認為他們處罰了壞人,結(jié)果,黑帽彈冠相慶,灰帽絕望沉淪,白帽噤然無聲。
說了這么多,大家會覺得,和我有什么關(guān)系?
前幾天比特幣為什么暴跌?點到為止吧。
其實企業(yè)信息安全防御還有一個重要的工作,是內(nèi)部的安全培訓,業(yè)內(nèi)有個說法,入侵企業(yè)最好的辦法是搞定老板的小秘,信息價值高,安全意識差,很容易中招,一旦中招,可以快速滲入內(nèi)網(wǎng),并且獲得大量有價值信息,乃至以高管甚至老板名義散播木馬病毒導致全面入侵。
信息安全對于企業(yè)而言,不只是技術(shù)的事情,而是全員的事情,舊文有提,不再贅述。
最近在家過圣誕,電腦電源在公司,所以就沒怎么寫東西,哎,其實都是借口,主要是越來越?jīng)]東西可寫了。
總結(jié)
- 上一篇: 博客网站排名前20
- 下一篇: HTML5射击鸭子小游戏