?? 網路安全行業有很多怪象，比如「安全企業做的產品都是給客戶用的，反正自己不用」，再比如「企業買的產品都不是攻防一線實際使用的工具」。所以企業和攻防一線的白帽子之間互相存在鄙視鏈：白帽子們認為企業方不懂攻防買的都是合規性產品形同虛設出入自由，而企業認為這批「專家」都是自說自話輸出的「產品」根本不可用。這種相互的鄙視鏈條估計還將長時間存在（有錢的情況下鄙視鏈是單向的），隨著政策的落地細化，情況會有所好轉。目前企業和白帽子們在對安全產品的理解方面有著天然不可調和的矛盾，國內買metasploit的企業極其少，更不用說去買cobaltstrike研究了，因為功和防體系原本就不一致，企業能聽懂burp已經實屬難得，讓他們搞懂mimikatz怎麼用怎麼防護那就基本不可能。

一些紅藍軍攻防對抗的故事挺有趣的，提前確認好了攻擊方的攻擊時間和範圍，坐鎮總部的防守方反饋「風平浪靜」每天就看些小白們的掃描日誌，而另一方面攻擊方早已在各邊界打好了洞，在各伺服器上安裝上了cobaltstrike，敏感數據一覽無餘。

我把安全的滲透分為三個階段：滲透前的階段，滲透中的階段，以及後滲透階段。簡單來說，長時間以來滲透前階段的是nmap/awvs之類的掃描類產品，滲透中用得最多的是集大成者metasploit/burp，後滲透用的是cobaltstrike/mimikatz/菜刀等，分別對應信息採集，邊界突破，許可權維持橫向擴展。

對防護方而言，「輸」是必然的，基於如下幾個原因：一）資產邊界（攻擊面）很大，而且正在越來越大。最初的網路很簡單，幾台伺服器幾台PC，管理起來不費力。然後移動端出來了，虛擬化出來了，雲計算出來了，物聯網出來了，要管理的物理資產動則上百萬，上層承載的軟體業務資產不計其數，基本沒有企業能夠準確說出自己的暴露攻擊面的情況。二）攻擊方越來越「厲害」。最初企業面對的是個人小黑客奔著小利益去，損失百萬級別；後來變成了商業競爭的團隊作戰竊取敏感數據，損失過億；目前，隨著各國提出了第五空間的概念，戰爭的概念快速落到了國與國的網路空間，這種損失可不只是萬億級別的經濟問題。要說不是每個企業都關係到「國際民生」吧？大家稍微琢磨一下，如果你打車軟體收集了實名，如果你叫外賣收集了實名，你到小酒店開房收集了實名，那麼哪家企業又能夠「獨善其身」呢？攻擊方的厲害體現在速度越來越快，可利用漏洞越來越多，最要命的是攻擊的痕迹越來越淺。三）防護缺乏安全體系建設。體系建設不只是根據監管要求的來，因為那是全行業的泛化要求，無法保證所有行業所有業務場景通用。大家把重點放在邊界防護，導致內部問題沒有正確的處理，進了內網就是漫遊。企業經歷過業務線和地域的不斷擴充，全局的安全管理已經變成了奢望：安全部門沒有足夠的地位（連獨立的信息安全部門都沒有），業務線各自為政（把安全管理當作對立面），安全人員缺口太大（3，4個人管數十萬資產的情況比比皆是）。團結未必贏，一盤散沙必然輸。所以每次聽到漏洞「無法更新補丁，你出承諾函出了問題你負責」的時候，你就知道安全體系建設實在還沒有達到能夠跟攻擊者對抗的預期目標。

要說防守方心裡不發虛那是假的，他們確實比誰都擔心，因為政策落地太快了。最近幾年出台的網路安全法律，幾個共性非常明顯：一是增大了對企業的管理範圍，二是增加了企業的處罰力度，三是網安立法從制定到徵求意見到正式實施的速度非常快，四是密集程度很高，十幾年前一直用等級保護和刑法修正案來適配，突然從15年開始網路安全法，等保2.0，網路安全漏洞管理規定，數據安全管理辦法等等全行業安全管理的要求不斷出台，對應到各個行業垂直安全管理的要求就更多了。數據越多，價值越大，責任越大，風險越高。做了合規也不算完啊，還沒來得及喝一口水呢，還有紅藍軍對抗演習，還有各種會議保障的事件型檢查。好好的一個甲方，你說怎麼就突然變得這麼狼狽了呢？

這種變化一方面是由於國際形勢的變化導致的政策變化，這些政策變化的原因是由於網路攻擊的技術發生了極大的變化。十年前的防守技術放到今天我說有用大家也不信對吧，一些廠商已經把網路掃描器從安全產品放到了網路設備分類中去，實在是因為最大的功能在於ACL，而這個功能任何一款路由都能具備。

技術的變化體現在黑客攻擊的速度越來越快，同時黑客攻擊的痕迹越來越不明顯攻擊過程越來越無感知。聽起來很有邏輯問題：怎麼可能做到快速給別人一個大巴掌聲音還不那麼響呢？若干年前第一次聽到BT下載的宣傳語是「下載人數越多，下載速度越快」，當時簡直顛覆了我的認知，伺服器帶寬就那麼大，下載越多不就越擁塞就越慢了嗎？怎麼反而還能越快呢？後來才明白，誰說要佔用伺服器帶寬，可以用去中心化的模式啊，遂恍然大悟。這就是認知的升級。放到黑客攻擊的角度，大家已經根深蒂固地認為：所有攻擊過程都必須發起大量的掃描報文，有用於發現埠的和用於發現漏洞的包。如果我說攻擊者的速度比以前快100倍，發包量只有傳統的萬分之一，大家能理解嗎？如果能夠理解，恭喜你也認知升級了，如果還沒有理解，沒關係我們往後講，BT下載和區塊鏈也是要教育一段不短的時間大家才能逐步了解。不只是企業和白帽子有鄙視鏈啊，黑客對白帽子也有鄙視鏈：「丫距離爺足足一條大街那麼長」，有時候好人不好當的，左右不是人。在網路安全這個江湖，黑客認知速度快於白帽子，白帽子的認知速度快於企業。所以企業方也陷入了沉思：我們花了這麼多錢，請了這麼多的安全企業，這麼多人駐場服務，怎麼就防護不住呢？難道真是「道高一尺，魔高一丈」？

這裡面的差距就是認知的不同以及體現效率的工具不同，認知的不同體現在是重「實戰」還是重「套路」。黑客是無所顧忌的，心一橫什麼都敢幹，所以黑客練習的是MMA是截拳道，信奉的哲學是一擊致命以及「要麼你死，要麼我死」，用最小的代價最快的速度結束戰鬥。企業不一樣，身上的包袱太重了：不要對領導做釣魚測試因為這是政治事件；不能打補丁因為業務中斷了沒人能負得起責任；弱口令不算因為這不是漏洞；只能針對這個點測試其他的不能測試因為我只管這一灘（任他洪水條天，我自怡然自得，能掃好門前雪就不錯了）；咱們級別平齊你憑什麼指揮我，讓你們領導跟我來說。所以上拳台的時候說「來，咱們約法103章：一不能肘擊，二不能抱摔，為了面子好看三不能打臉，四最好你出拳的時候告訴我一聲，五我可以給你點錢你輸給我……」，話還沒說完「嘭」的一拳下來倒地不起。你看鄙視鏈條在武術圈也是存在的，MMA跟拳擊互相鄙視，他們再共同鄙視WWE。在大家討論江湖規矩不亦樂乎的時候，黑客們可沒閑著，他們在不斷地進化武器庫：怎麼樣能在0.1秒內打出幾百公斤力道的寸拳？

安全的本質就在於信息不對稱：我知道的你不知道，或者我知道的比你早。比如那個漏洞我知道你不知道，你輸，再比如這個攻擊技巧我是昨天知道的，你今天才知道，你也輸。關於拿0day漏洞攻擊這種絕對的不對稱，我認為靠現有的產品體系一定時間內無能為力，更多的靠的是專家服務，這個話題我們以後有時間了再來分析，我更多的想講講目前絕大部分不用0day也能完成實際入侵效果的Nday甚至是不用漏洞攻擊的技巧問題。按照我們的統計，目前企業被成功攻擊的情況聚焦在如下幾個方面：一）資產暴露攻擊面不清楚，防護覆蓋不全面，這個佔比40%；二）漏洞不能得到及時的修復，幾年的老漏洞在內網處處可見，佔比30%；三）基本策略的缺乏，設備內的默認口令弱口令問題，核心入口缺乏的二次認證，異常行為發現和預警能力欠缺，佔比20%；四）企業的漏洞知識庫和響應來之安全公司，安全公司的規則推送到企業的更新速度普遍慢於黑客攻擊速度，這個佔比5%；五）人的安全意識缺失，如釣魚社工等，佔比5%。總而言之一句話，黑客可以攻擊人，可以攻擊網站，可以攻擊設備，可以攻擊郵件系統，可以攻擊工控系統，企業疲於奔命應接不暇，當黑客知識體系比你更多，速度比你快的時候，被攻擊成功是一種必然。

回過頭來講，黑客速度為什麼能更快更輕？比如我說黑客對你的系統發一個包就能結束戰鬥你信不信？你不信？那就對了，所以當Victor在twitter上公布說我國某人臉識別系統數據泄露的時候，當他說我國某聊天數據泄漏的時候，說我國某上千萬婦女信息泄漏的時候，大家都在吃瓜。是誰？IP在哪？泄露了多少數據？這裡穿插一句，幾年前大家老在挑戰我說「我有漏洞就一定會被攻擊嗎？我數據沒有加鎖就一定會被偷嗎？」，現在我可以很負責任的說如果數據有泄漏的潛在漏洞，就一定會被偷，而且一定不只被一個人偷。從最初的Chris Vickery這個數據泄露獵人開始，到後來的Victor Gevers以及SANYAM JAIN，Bob Diachenko，他們的方法披露後，一批人基於這種利用網路空間測繪「先打了再說」的思維模式，開發了多種系統，在偷之前你是不可能知道他們準備偷的，因為沒有任何網路痕迹，所有的信息採集都在其他系統完成。一直到直接拖數據曝光，被偷的企業還雙手交叉插進袖口，胳膊肘子蹭一蹭旁邊的吃瓜群眾問「嘿，哪個傻X被偷了？」。安全攻擊跟魔術一樣，看第一遍各種神奇，看過揭秘後先感嘆原來是這樣，繼而說不過如此，最後說無聊轉身離開。

黑客在當前階段，與之前最大的變化不在於後滲透階段，也不在於滲透中階段，因為這兩塊都非常成型且暫時屬於量的積累沒有太大的改進空間，最大的變化來自於滲透前的階段，已經產生了質的飛躍。nmap幾十年來雄霸一方，在針對具體目標做掃描的時候極其有效，全面準確，但是劣勢是非常明顯的：速度太慢。慢是相對的，換在幾年前說，估計我會被安全從業者噴死，因為以前它一直是最快的掃描工具，然而對於黑客來說，能否一秒之內獲取目標網斷的重要開放埠，以及更進一步得到banner信息？顯然他們找到了答案，對於互聯網暴露攻擊面的梳理，他們不再是手動找一台伺服器重新掃描，同一個目標不同的攻擊者每次都重新掃描，會導致大量的重複勞動。如果說黑客把這些數據共享呢？是不是其他人就可以不用再掃描了？如果更近一步，黑客能夠把IP對應的設備與以及應用系統都歸好類打好標籤呢？如果每個掃描漏洞的腳本都直接匹配這些應用標籤呢？是不是就做到了針對性的精準攻擊？是的，黑客們不只是這麼想的，事實上他們正在這麼做。數據泄漏不用針對全互聯網掃描，從42億IPv4空間提取出來的數據泄漏的目標也不過才數十萬，搜索出IP的時間是1秒鐘，怎麼獲取數據那是後話了。同樣的，針對一個突發漏洞，黑客的時間差能做到分鐘級別，而企業等安全廠商推送檢測和防護規則，一定至少是一天以後的事情。你怎麼贏？

黑客提的是工具，企業說的是產品；黑客說的是效率，企業說的是彙報；黑客把精力全部花在漏洞的獲取和效率工具的開發，企業要求安全產品80%的精力花在報表。這不是錯誤，企業領導因為不懂細節，只能通過報表看全局，或者從報告的細節處來管中窺豹，這只是現實的差異，屁股決定腦袋。對於「未知攻，焉知防」我的理解是：如果你不知道攻擊，你構建的就是馬奇諾防線，黑客實際的攻擊路徑跟你預期的攻擊路徑不相同，所以沒有起到防護的效果，以及沒有對未知攻擊的應急預案，這就是為什麼黑客內網漫遊了，安全設備連告警日誌都沒有產生。

要說企業防護目前一無是處那肯定也不是，最近做的最好的最具有劃時代的一件事就是：防護方聯合建群，大家一起來共享攻擊IP，並且進行快速封IP的操作。

——————分割線——————

後記：本來想寫完我的一些答案，越寫到後面，越發現想表達的太多，一時半會寫不完。所以順其自然吧，以後再慢慢補充。

推薦閱讀：

相关文章