信息安全攻防杂谈
发布日期:2017-12-27 10:00:00 +0000
很抱歉,这是一篇吐槽文。
因个人能力有限,难以持续维持价值输出,未来可能吐槽文和鸡汤文会越来越多,不喜欢的读者请踊跃退订。
上一篇文章 听说有人谋求稳定的工作? 有人说是纯鸡汤,只提出了问题没有提出解决方案,其实我只是不愿意重复已经写过的东西,底下相关旧文导读那个链接,我是随便放着玩的?
今天这篇又跟旧文有关
相关旧文导读
旧文提及的内容,我会一带而过,那么,您要是没兴趣点开看,别老埋怨我不写干货。
旧文我提过一句话,信息安全防御这事,在业内,三分靠技术,七分靠人脉。
在知识星球提及的时候,就有人觉得,看来还是黑客牛逼,安全从业者只能靠人脉才能防御。
当然,还有一种观点也很常见,我公司请个厉害的黑客来做运维安全,就万无一失了。
这两个观点说的是一回事,然而很遗憾,这是错的。
1、攻击与防御是非对称的
攻击只需要一个点,而防御是全面性的。
攻击者只要一招鲜,就可以有辉煌的战绩,而防御是一个全面体系,任何一个领域的疏漏都可能是致命的。
2、防御缺乏存在感
只有出事的时候,人们才会责怪负责防御的信息安全负责人。
正如知乎那个奇葩问题,为什么没有人入侵支付宝?
一群安全专家费劲心力搭建的防御系统,完美的防御了大量的入侵尝试,然而对于外界甚至领导而言,似乎他们并不存在。只有出问题的那一瞬间,大家才会想起来,公司花了那么多钱养了你们,怎么居然还出事了?!
3、情报网络和信息交流,是安全防御重要的组成部分
这和国家一样,你说你有军队,有武器就可以了么,还是需要情报网络的协助,要知道潜在的风险是谁,破坏者是谁。以及最新的攻击方法,攻击手段有什么。
攻击者可以是独行侠,有独门秘笈就可以,但防御者需要面对是大量未知的攻击者,所以,情报网络有助于能够识别未知风险,以及针对已经出现的问题尽早得到相关信息。
现在可持续的入侵行为越来越普遍,很多企业早就中招而不自知,自家的数据库在黑产圈已经流散开了,而企业还蒙在鼓里,这样的案例也有很多起了。
4、防御首先是一个体系,其次才是具体的技术。
一个基本原则是,任何一个防御策略,都要额外加上一个失败后的补救策略。
具体下文还会再谈
那么额外要分享的一些关于信息安全领域的观点
关于信息安全的境界
站在最高一层的,并不是我们所熟知的信息安全专家,而是一些数学家,或者信息学上的学者。他们提供的是一些信息安全的理论,以及相关领域的思考。
比如去年有个轰动的案例,在苹果编译器植入木马,中国互联网巨头几乎全部中招的那个,那个理论其实很早之前就有了。(嗯,破案其实很快,然后相关内容就被屏蔽了,屏蔽了,蔽了,了。)
比如缓冲溢出是一种信息安全的理论,比如分布式拒绝服务攻击是一种理论,比如山东大学的数学系教授王小云对加密算法碰撞数的贡献。没有人会认为王小云是一名信息安全专家,但是她在信息安全领域的贡献是极为巨大的。
比如前文提到的共识算法,甚至获得了图灵奖的一些算法思路,其实也可以列为信息安全领域的理论。
在信息安全理论创新上,目前中国并未站在领先的位置上。
次一层的是漏洞挖掘,基于信息安全的理论,对知名软件平台,操作系统进行漏洞挖掘和研究,以前绿盟是中国信息安全的黄埔军校,在漏洞挖掘方面培养了多个顶级专家。但今天,中国漏洞挖掘最厉害的是腾讯。(有钱真好)
漏洞挖掘的目标是操作系统,常用软件和服务平台,以及常见的产品设计和使用流程。(是的,一些安全漏洞来自于产品的操作和使用流程,泛泛的说,羊毛党就是这个范畴。)
在漏洞挖掘领域,中国已经成为世界顶尖水平之一。
再次一级的是工具设计和制作,基于已有的信息安全理论和已知的漏洞类型,制作设计扫描,监测,防御及自动入侵的系统。
再次一级的,才是攻击者或者说入侵者,他们善于利用工具,理解漏洞原理,并执行入侵。
但实际上这个划分只是一个很粗糙的模型,实际上会更复杂一些。
比如说,有漏洞挖掘的工具设计者,其对信息安全理论的熟悉和挖掘能力,是相当强的,甚至可以做出批量挖掘漏洞的工具。这种虽然是工具设计者,但其实就高于一般的漏洞挖掘层次了。
再比如说,基于web应用的攻击,虽然也是利用某些现有工具进行嗅探扫描和尝试,但由于每个web应用都是完全不同的代码,所以其技术实现过程又类似于漏洞挖掘,而不是简单的利用工具和现有漏洞入侵。
再比如说,即便是使用工具,也类似于特种兵和普通士兵,有些人非常熟悉漏洞的原理和机制,非常熟悉使用工具做出最大效率的攻击行为,这类似于熟悉各种枪械性能的特种兵;但也有根本不懂技术原理,只会拿着工具乱扫一气碰运气的入侵者,这种就是未经训练的士兵,但武器在手,也是有杀伤力的。
然而以上,也仅仅是基于攻击的层面,而作为防御者,也许不需要具备漏洞挖掘能力,但必须深入了解所有已公开的入侵形式和入侵原理。除了这些之外,防御需要额外的理论,也就是防御体系的设计,所谓防御体系,我不是专家,但我可以列出一些防御体系的目标。
1、尽可能去防护所有已知种类的入侵行为。
2、一旦出现紧急状况,外围失手的情况下,尽可能保护系统核心关键数据不受影响,保障系统不会被破坏性入侵行为干掉。
3、核心和关键数据即便遭到窃取,保障一些关键信息依然不可被读取。所谓随机salt加密策略。
4、能对入侵行为做追踪,定位,取证,方便采用法律手段维护权益。
5、建立信息安全的审核流程和工作流程,规范大量公司内部员工的数据读取,分享和操作行为。
6、保持情报资源畅通,随时密切观察外部流传的彩虹库,以及黑产灰产信息,与公司利益相关的需要尽快掌握详细信息。
7、审核产品业务与操作流程,审核业务数据日志,防止操作流程中被不当利用,例如羊毛党,广告投放劫持欺诈等等。当然,这个差事可能对信息安全人才来说有点强人所难,但据我所知,对于一些巨头而言,这种事情也是信息安全部门需要面对的挑战,而且越来越成为更加严峻的挑战。
现在,还觉得,聘请一个厉害的黑客,就能让自己公司的信息安全万无一失么?
然而,防御总是没有存在感的,我们知道腾讯有袁哥,有TK,有吴石,都是顶级的漏洞挖掘专家,那么问题来了,腾讯负责防御的技术专家是谁?没人知道。
信息安全领域有白帽,灰帽和黑帽。
白帽主要在各大互联网公司或信息安全公司从事安全相关工作,黑帽主要从事黑产相关,但也有一些人介于二者之间,称之为灰帽,亦正亦邪,有时候会帮大公司解决一些安全问题,但也有时候禁不住诱惑,手脚不是很干净,但比黑帽可能会稍微有点底线的那种,比如,他们会私下贩卖漏洞或肉鸡给黑帽获利,但自己不直接从事入侵行为。
顶尖白帽彼此熟悉,大部分关系还好,所谓人脉圈,你看很多互联网巨头彼此口水仗打得厉害,但底下负责安全的专家们往往都是私下的好友,经常有来往和互通情报的。毕竟黑产才是大家共同的对手,当然,也有一些彼此不服对方,偶尔喷喷口水的,文人相轻,私人恩怨总会有一些,但通常仅限于口水。
比如某个阿里的安全大牛的传记里曾经点过我的名字,认为我瞧不起他,所以略有忌恨。然而很惭愧,第一我的技术水平根本没资格瞧不起任何搞安全的人,第二其实他抱怨的是安全焦点,但恰好我跟安全焦点关系很好,又恰好以前我写过一些安全有关的文章,他觉得其中有些内容是我替安全焦点含沙射影抨击他,然而我其实根本不认识他,当时都不知道他们还有恩怨这档子事。
当年我真点名抨击过的安全圈的人,貌似只有孤独剑客王献冰,抨击他也不是因为技术,而是心术不正,不能说是黑产吧,但是开培训课教小朋友用木马工具黑别人QQ什么的,结果最后被抓了。安全从业者,特别是有点水平的,稍微有点赚快钱的歪念头,其实很容易出事。
另一个我不是很喜欢是最近几年在知乎风头很盛的小伙子,这孩子之前在加拿大,以前做黑产颇赚了一些钱,其实我这个人还不是那种特别道貌岸然的,我觉得少不更事做了点坏事,也不能说就多大的罪过;最好呢,是洗心革面,忏悔过错,并发誓绝不再犯,这是最好的;次一级的,知道这个历史不好看,不讲了,不干了,好好做人就是了。说实话,就最近几年,黑产洗白后公司赚很多钱的我还真知道有几个。虽然我不跟这样的人打交道,但警察都不管,我也说不上什么对吧。但这孩子还经常炫耀自己的黑产历史,觉得自己挺有本事的,我就觉得这个,实在让我无法接纳了,别说,崇拜他的粉丝还是挺多的。
我们说打工也好,创业也好,其实都是利益驱动,天天讲梦想的那个永远下周回国,所以大家还是谈谈钱挺实际。但这个问题就来了,作为顶尖白帽,如果想赚更多的钱,其实是很容易的,你说入侵支付宝不容易,入侵财付通不容易,但互联网那么多平台,那么多利益产品在上面,对于拥有漏洞挖掘能力的人来说,真的就是看底线有多少的问题了。
最近几年还好,互联网巨头用高薪把一些顶尖安全专家养起来了,虽然没有去搞黑的赚钱多,但毕竟是份体面和安全的职业。然而这样的职位毕竟有限,依然有大量达不到顶尖水平,却仍然有一定漏洞分析能力的人才,散落在整个互联网上,他们可黑可白可灰,如果有一份优渥的薪酬,也会是很好的企业员工,但如果一直生活窘迫,又不是不能凭本事赚钱,难免动一些其他心思。其实乌云之前就是一个很好的通道,让这些人有一个机会正面的展示自己,并通过这种展示,有机会获得一份不错的工作,或者激励走向白帽。但我们必须承认,这个平台上未必各个都是好人。一定有黑产试图洗白的,一定有灰帽骑墙两观的。去处理某些问题是应该的,但是把通道关了真的不好。
不能指望这个世界都是由好人,完人构成的,不能指望手持屠龙技的人靠操守和品德保卫我们的家园。但正向激励可以让那些人向好的方向前进,让有才能的人可以凭才能获得体面的收益,让骑墙的人选择走向光明。然而很遗憾,***选择了反面,也许某些机构认为他们处罚了坏人,结果,黑帽弹冠相庆,灰帽绝望沉沦,白帽噤然无声。
说了这么多,大家会觉得,和我有什么关系?
前几天比特币为什么暴跌?点到为止吧。
其实企业信息安全防御还有一个重要的工作,是内部的安全培训,业内有个说法,入侵企业最好的办法是搞定老板的小秘,信息价值高,安全意识差,很容易中招,一旦中招,可以快速渗入内网,并且获得大量有价值信息,乃至以高管甚至老板名义散播木马病毒导致全面入侵。
信息安全对于企业而言,不只是技术的事情,而是全员的事情,旧文有提,不再赘述。
最近在家过圣诞,电脑电源在公司,所以就没怎么写东西,哎,其实都是借口,主要是越来越没东西可写了。