比如信用卡数据中心,或者一些购物网站,这些地方都有一群顶级的网路安全工程师来保护,为啥黑客一个人就能黑进去呢?难道这些顶级的工程师的水平比黑客差远了嘛?

「一个人若要暗杀另一个人,只要他够耐心,够狠够绝够时机,武功再高的人也防范不著」——温瑞安

首先题主对业界有些误解。金融类系统的设计实现水平并不高,其参与开发的工程师工资也较低,毕竟是走国企体制的。论水平别说是顶级,能达到平均就不错了。

这也不怪这些工程师。金融行业本身是个高度成熟的行业,人作为工具的价值很低,要实现高价值的,都是要靠资源,或者说谁能拿到订单谁的价值就高。这些工程师自然是作为成本中心的一部分,拿不到什么靠谱的工资了。

金融和政府的信息安全主要不是依靠强壮的设计,而是依靠网路隔离。这类独立于互联网之外的网路有很多。在没有物理连接的情况下,黑客想要探查网路内部结构的信息传递就非常困难。当然,如果真的搞到办法物理接入了这些网路,那么面对的也是大量的漏洞,可以为所欲为了。此时第二套机制就上场了,就是追查刑责的能力。只要被抓住,刑法里总有一条适合你。

购物网站在现代,比较大的几个都有庞大的工程团队,所以信息安全方面我是不怀疑的。即便是京东,早期的技术实力较弱,在最近这十年也迅速补齐了这块短板。

另一个角度讲,工程师是一种职业,雇佣工程师的雇主大部分情况下购买的只是按部就班做事。绝大多数情况下是买不到主动性和激情。这种情况下系统的安全依靠的是机制,比如大量的测试,漏洞扫描器,蜜罐,堡垒机等等。在工程师和黑客都没有特别大技术创新的情况下,对于一个有大量工程师维护的系统,是不会有常见漏洞出现的。

现在,给你一张乒乓球桌,在这个桌子周围,你可以围一圈,每个人拿个拍子。允许你动用国家队顶级乒乓球运动员。

请问,你觉得需要站几个人防守,才能让全世界的人没有办法从任何角度将乒乓球打进这张桌子?

你可能不了解一些公司里安全工程师与研发、运维的矛盾是多么的突出,有些公司其他部门会把安全部门称之为东厂,意思就是安全工程师只会找事。其实这是双方的不断博弈,不仅仅是系统安全的博弈,也有人的斗争(安全部门KPI和研发部门KPI是有冲突的)。

就在这样的背景下,一般是安全工程师与研发,运维是配合著工作,安全工程师对系统的风险进行评估,发现了通知研发运维整改,而配合的过程由于或多或少的人为原因,都会出现信息差/落地差,比如资产、使用的软体清单、版本都或多或少的不一致,基线执行的不彻底,这就导致了会有一定的风险没有被发现。这可能会给黑客机会。

第二点,所有的安全漏洞修复是要一定周期的,理论上一发现漏洞就应该及时修复,但实际上由于人力、资产规模、难度等问题,都会出现真空地带(微软有的漏洞修复周期需要3个月甚至6个月的都有),这也可能导致黑客成功利用入侵。

第三点,系统的安全很多时候,不单单是系统本身,跟人的关系也很大,只要跟人有关系,那么就存在弱点,被社工成功案例很多,更不用说内外勾结的了。

第四点,攻防(黑客)与防守方的工作思路是完全不同的,黑客只需要找到一个突破口,而防守方(安全工程师)需要去关注每一个角落,两者的工作量也差距很大。而目前绝大多数公司配备的安全工程师人手都是不够的,更何况一山更比一山高。

最后,想说的是有漏洞是必然的,被黑客盯上也是可能的,那么最好的就是做好安全威胁感知,能够及时发现,阻断,修补。

先说「保护系统的工程师」,什么「顶级工程师」???不存在的,绝大多数的系统,哪怕是和你兜里的钱,用的电、烧的煤气,看病的HIS,还有一大堆「关键基础设施」。。。相关的系统,维护的工程师都是「一般般」的工程师,这些工程师从性质上分三类:

1、企业自建的安全部门。「关键基础设施」大多数都是国企,国企招聘,一个学历门槛是必须的,博士遍地走、硕士多如狗。。。基层的安全专责都是211、985,他们就算是水平很高,但绝大多数都是在做PM的角色

2、外包服务团队。国企自己的安全团队当工头,那具体做事的就外包啦,外包团队一般都是规模比较大的安全服务商或集成商,投标的时候人才济济,证书漫天飞,但实际驻场的时候就不好说了,总要赚钱恰饭啦,成本是首先要考虑的,一个正式员工带几个实习生那是常有的事情

3、原厂服务团队。很多合同中是要求原厂直接提供维护服务的,但参考第2条,原厂的服务也就那么回事

说完了「顶级工程师」,再谈黑客为啥能黑进系统

1、系统是为业务服务的,也就是说,你的系统总要和使用者进行交互,使用者能访问,那么攻击者也能访问,即存在边界

2、系统是由人通过代码编写实现的,只要是人编写的代码,就肯定存在BUG,有BUG,就能被攻击者利用,即存在暴露面

3、对系统的防御目前只能做到被动防御,就是在边界部署一堆安全产品(城墙),在内部多挖几条壕沟(安全分区),但安全产品都是基于特征和签名做检测,攻击者总能找到绕过的方法,即滞后性

4、安全攻防,从防守的角度来说是全面防御,而攻击的角度来看只要找到一个薄弱环节,即不对称性

以上四点,就算真的有一群「顶级工程师」保护的系统,黑客一样能黑进去。

大哥,黑客黑进去一次够他吃半年的了,顶级工程师?花大钱去防卫一个小概率事件,你猜项目经理会答应嘛

有谁能黑进支付宝,给我余额改成一个小目标?

这才叫顶级安全工程师保护的系统。

你说的只是闹著玩的。

第一,安全和开发是两个不同的东西,但是又常常相伴出现。

顶级的工程师可能是业务内顶级,但是不代表安全意识也顶级。,比如说,在演算法上是一把好手,但是可能根本不懂缓冲区溢出。

第二,短板问题

一套系统可能由一群顶级工程师开发,水平可能良莠不齐,但是漏洞只需要一个人犯错误就行了。

第三,问题产生的原因可能不是自己。

举个例子,几年前的一个OpenSSL漏洞,这个漏洞其实存在了好多年。睡会想到一个被广泛用的库居然存在这么严重的漏洞。现在软体开发都不喜欢重复造轮子,现成的东西拿来直接用,可以节省很多时间。你也不可能保证所有的东西都是绝对安全的。你也没有能力把所有的都审一遍。

网路安全,本来就是一个不断博弈的过程,没有绝对的安全,但是正是因为安全爱好者的不断挑战,才使得技术越成熟,整个网路越来越安全。

以前我们在网上打开个网页就可能中病毒,如今只要你不手欠下载手动运行很少有被直接抓鸡的情况。

谁告诉你信用卡数据中心,或者一些购物网站,这些地方都有一群顶级的网路安全工程师来保护。

购物网站的技术人员大部分都是做业务的。网路安全这种事情,基本上没有什么人管。公司也不重视网路安全。也不会招聘这种吃闲饭的。顶多雇个网管吧。

在中国,网路安全这种事情,不是什么重要的事情。毕竟所有人都是使用运营商提供的上网服务。只要想查,分分钟查个一清二楚。

另外政府重要内容基本也不会放到外网。我曾经参加过上海公安局的一个警民信息发布平台的开发。这个系统的后台的用户名密码都是admin。用了好多年都没有事。后来有一个考公安系统失败的临时工,用埠扫描发现了这个系统,登陆进去一通乱讲。结果二十分钟就被抓走。判了十五年,罪名是破坏国家核心部门。

还有就是,腾讯代理吃鸡游戏的时候,游戏外挂满天飞。腾讯是怎么处理的?雇佣顶级的网路安全工程师吗?人家直接报警就完了。

有个大师盖房子,中途有点事情,就让徒弟安一个窗子。

结果徒弟安反了。

大师也粗心,未发现。

结果小偷就从这个窗子进来了。

程序员的世界更惨。

首先,窗子的数量多到数不胜数,一个不小心,就装反了。

其次,在程序员的世界里搞临时建筑太容易,到处都是临时的房子和门,甚至都没来得及安窗户,也不上锁。

信用卡系统都是一套很老旧的系统,一来设计初期就没有安全原则——比如把安全码印在信用卡上这种最低级的安全隐患至今还在使用。

二来更重要的一点是:信用卡公司对于系统的稳定性的重视远大于安全性。系统即使发现了漏洞,在大多数情况下,补丁也需要经过严格的测试和试运行才能上线。否则如果由于补丁开发不当造成系统整体出现问题的风险,信用卡公司是无法承受的。

术业有专攻。

顶级工程师一般是用来做产品的,黑客专业是来攻击的,顶级工程师的主要任务不是考虑安全问题,虽然安全也是架构的一方面。

绝大部分工业系统的安全性并不由工程师来保证,而由?中华人民共和国刑法?保护

有一座城池,十万人防守。

千军万马进不去,化妆成民众进能混进去。

有百个十人巡逻队,日夜不停巡逻,风吹日晒,每月工资一般。(大部分人积极性并不高)

混进去之后,可以走社工路线,贿赂诱骗中层,获取信息,拿到部分许可权。(参考被美色迷惑的各大高管)

可以自己去偷机密。(拿信息)

可以自己去搞刺杀。(破坏伺服器)

可以伪造手令,调动兵粮。(脱人家资料库)

可以伪造公告,扰乱人心。(挂外链)

可以攒动临县民众,大批量进入城池,大批量买入粮食等物资。(拒绝服务)

买通被孤立的将领(参考传言中的B站程序员)

只有千日做贼,哪有千日防贼的道理。

我也是猜测,并不是相关从业人员。

首先安全就是木桶原理,只要有一处短板,薄弱点就能进去

很多大厂都会搞一种项目叫「攻防对抗」,从实际攻击中发现自己薄弱点,再进行修复,优化自己的安全

「木桶定律是讲一只水桶能装多少水取决于它最短的那块木板。一只木桶想盛满水,必须每块木板都一样平齐且无破损,如果这只桶的木板中有一块不齐或者某块木板下面有破洞,这只桶就无法盛满水。」

攻击大部分的都是有团队的,一个人能黑进的购物网站是有,但是基本不是顶级之流~~~

顶级购物网站?淘宝嘛?支付宝?

黑进去,你这个黑进去是指什么【打到核心区嘛!还是一个DMZ区的shell就算?还是进后台就算?还是你一个VPS的shell就算?】但是能发现一些高危漏洞,的确大有人在

另外你说的顶级安全工程师保护,首先你保护是基于攻击,防守方永远都是被动的;大厂资产那么多,他怎么保护,肯定基于一些设备IPS IDS.................................................................................................发现攻击流量了再去反溯源分析,但是这个过程已经晚一拍儿了,

还有红队的攻击手段,就算你网站等等没有漏洞,我们还可以进行邮件钓鱼、网站钓鱼、社工、再不行我去近源渗透插U盘去.......

但是但是!!!我们防守也还有邮件网关,增加员工安全意识、修改密码策略等等加强安全等级................................

我承认没有绝对安全的系统,但是,真那么容易都进去了,还要我们这些安全工程师干嘛!!!

其实黑的过程,就类似你偷偷进一个房子

进普通破房子的叫小偷(脚本小子)

进大房子的叫贼(黑客)

进高楼大厦的叫特工(大牛、大黑客)

进去还扔炸弹的叫恐怖分子(黑帽子,中文也有叫骇客的)

自称白帽子的,现实里好像没这么个品种

这么说下来,其实盖个没法偷的房子不难啊,

随便找个建筑工人,灌个实心的巨大水泥墩子,拿啥进去

(做一个完全不能写入的固件)

但是房子得有用啊,

住家的得有门有窗,(有对外埠,操作系统)

园区里楼得在一起啊,(同网段)

大厦还得有顶有电梯,(各种应用开放埠,资料库、web系统等)

还得放人进去,放各种住户、业务相关、检查相关的人士进去,(各种远程许可权和后台、社工)

这里面可操作空间就越来越大,

虽然施工团队比灌泥墩子的水平高多了,但是防贼难度也大多了。

现实里防贼越来越容易,调个监控就完事,

网路上追查比较麻烦,首先得找到能查的记录,然后顺腾摸瓜没准还几层代理跑到国外机房去了。

话说回来,真要很严密的防御,比如盖成五角大楼那样,再配合严密的监控和保安,

其实也很难干进去,网路系统也一样。

不是,对于每一个人来说都会有一定的疏忽,人性都会有弱点,然而黑客他们会抓住你的弱点进行攻击,一名黑客他可以用他的耐心长时间的搜集信息发现漏洞等等然后出击!

就简单的举个例子,支付宝也是的确是有可能被「黑客」攻破的,但是攻破的可能性很小,也不要小瞧在支付宝工作的顶级工程师,支付宝肯定是有一套自己的安全监测系统,可能是在支付宝被攻破的第一瞬间,也有可能是在「黑客」尝试攻击时,支付宝就已经被盯上了,并且奇奇怪怪的攻击测试过程都会被看的清清楚楚。

《我是谁:没有绝对安全的系统》这个电影会告诉你,不可能有绝对安全的系统。但是,支付宝的负责安全的团队在国内乃至全世界里都是顶尖的团队,如果支付宝都不是特别安全了,那么就没什么软体安全了。

所以,请相信那些顶级工程师他们的技术不必那些黑客差!

希望能帮助到你!

这就好比「千里之堤,溃于蚁穴」,黑客的目标是找到「蚁穴」,而不是暴力推翻河堤。而这也并不代表找到蚁穴这项任务的难度要比一群「顶级工程师」建设河堤更有挑战。

防守为面 进攻为点

难度不一样

一个高安全级别的系统就像一个防御森严的堡垒,已知的混进去的手段全部得到妥善处理,完全无法可想。还有一帮白帽子整天在寻找混进堡垒的未发现途径。

这种情况下,一个黑客可以混进去的唯一办法就是那些白帽子未找到的严重级别的零日漏洞。白帽子们找不到,一个单兵作战的黑客能找到,有这运气可以抓奖去了。

题主太高看黑客了,现实中的黑客跟电影里敲几下键盘就给自己转账好几个小目标的那种黑客不是一个次元的啊

推荐阅读:
相关文章