网络安全这点屁事

​​       网络安全行业有很多怪象，比如“安全企业做的产品都是给客户用的，反正自己不用”，再比如“企业买的产品都不是攻防一线实际使用的工具”。所以企业和攻防一线的白帽子之间互相存在鄙视链：白帽子们认为企业方不懂攻防买的都是合规性产品形同虚设出入自由，而企业认为这批“专家”都是自说自话输出的“产品”根本不可用。这种相互的鄙视链条估计还将长时间存在（有钱的情况下鄙视链是单向的），随着政策的落地细化，情况会有所好转。目前企业和白帽子们在对安全产品的理解方面有着天然不可调和的矛盾，国内买metasploit的企业极其少，更不用说去买cobaltstrike研究了，因为功和防体系原本就不一致，企业能听懂burp已经实属难得，让他们搞懂mimikatz怎么用怎么防护那就基本不可能。

       一些红蓝军攻防对抗的故事挺有趣的，提前确认好了攻击方的攻击时间和范围，坐镇总部的防守方反馈“风平浪静”每天就看些小白们的扫描日志，而另一方面攻击方早已在各边界打好了洞，在各服务器上安装上了cobaltstrike，敏感数据一览无余。

       我把安全的渗透分为三个阶段：渗透前的阶段，渗透中的阶段，以及后渗透阶段。简单来说，长时间以来渗透前阶段的是nmap/awvs之类的扫描类产品，渗透中用得最多的是集大成者metasploit/burp，后渗透用的是cobaltstrike/mimikatz/菜刀等，分别对应信息采集，边界突破，权限维持横向扩展。

       对防护方而言，“输”是必然的，基于如下几个原因：一）资产边界（攻击面）很大，而且正在越来越大。最初的网络很简单，几台服务器几台PC，管理起来不费力。然后移动端出来了，虚拟化出来了，云计算出来了，物联网出来了，要管理的物理资产动则上百万，上层承载的软件业务资产不计其数，基本没有企业能够准确说出自己的暴露攻击面的情况。二）攻击方越来越“厉害”。最初企业面对的是个人小黑客奔着小利益去，损失百万级别；后来变成了商业竞争的团队作战窃取敏感数据，损失过亿；目前，随着各国提出了第五空间的概念，战争的概念快速落到了国与国的网络空间，这种损失可不只是万亿级别的经济问题。要说不是每个企业都关系到“国际民生”吧？大家稍微琢磨一下，如果你打车软件收集了实名，如果你叫外卖收集了实名，你到小酒店开房收集了实名，那么哪家企业又能够“独善其身”呢？攻击方的厉害体现在速度越来越快，可利用漏洞越来越多，最要命的是攻击的痕迹越来越浅。三）防护缺乏安全体系建设。体系建设不只是根据监管要求的来，因为那是全行业的泛化要求，无法保证所有行业所有业务场景通用。大家把重点放在边界防护，导致内部问题没有正确的处理，进了内网就是漫游。企业经历过业务线和地域的不断扩充，全局的安全管理已经变成了奢望：安全部门没有足够的地位（连独立的信息安全部门都没有），业务线各自为政（把安全管理当作对立面），安全人员缺口太大（3，4个人管数十万资产的情况比比皆是）。团结未必赢，一盘散沙必然输。所以每次听到漏洞“无法更新补丁，你出承诺函出了问题你负责”的时候，你就知道安全体系建设实在还没有达到能够跟攻击者对抗的预期目标。

       要说防守方心里不发虚那是假的，他们确实比谁都担心，因为政策落地太快了。最近几年出台的网络安全法律，几个共性非常明显：一是增大了对企业的管理范围，二是增加了企业的处罚力度，三是网安立法从制定到征求意见到正式实施的速度非常快，四是密集程度很高，十几年前一直用等级保护和刑法修正案来适配，突然从15年开始网络安全法，等保2.0，网络安全漏洞管理规定，数据安全管理办法等等全行业安全管理的要求不断出台，对应到各个行业垂直安全管理的要求就更多了。数据越多，价值越大，责任越大，风险越高。做了合规也不算完啊，还没来得及喝一口水呢，还有红蓝军对抗演习，还有各种会议保障的事件型检查。好好的一个甲方，你说怎么就突然变得这么狼狈了呢？

       这种变化一方面是由于国际形势的变化导致的政策变化，这些政策变化的原因是由于网络攻击的技术发生了极大的变化。十年前的防守技术放到今天我说有用大家也不信对吧，一些厂商已经把网络扫描器从安全产品放到了网络设备分类中去，实在是因为最大的功能在于ACL，而这个功能任何一款路由都能具备。

技术的变化体现在黑客攻击的速度越来越快，同时黑客攻击的痕迹越来越不明显攻击过程越来越无感知。听起来很有逻辑问题：怎么可能做到快速给别人一个大巴掌声音还不那么响呢？若干年前第一次听到BT下载的宣传语是“下载人数越多，下载速度越快”，当时简直颠覆了我的认知，服务器带宽就那么大，下载越多不就越拥塞就越慢了吗？怎么反而还能越快呢？后来才明白，谁说要占用服务器带宽，可以用去中心化的模式啊，遂恍然大悟。这就是认知的升级。放到黑客攻击的角度，大家已经根深蒂固地认为：所有攻击过程都必须发起大量的扫描报文，有用于发现端口的和用于发现漏洞的包。如果我说攻击者的速度比以前快100倍，发包量只有传统的万分之一，大家能理解吗？如果能够理解，恭喜你也认知升级了，如果还没有理解，没关系我们往后讲，BT下载和区块链也是要教育一段不短的时间大家才能逐步了解。不只是企业和白帽子有鄙视链啊，黑客对白帽子也有鄙视链：“丫距离爷足足一条大街那么长”，有时候好人不好当的，左右不是人。在网络安全这个江湖，黑客认知速度快于白帽子，白帽子的认知速度快于企业。所以企业方也陷入了沉思：我们花了这么多钱，请了这么多的安全企业，这么多人驻场服务，怎么就防护不住呢？难道真是“道高一尺，魔高一丈”？

       这里面的差距就是认知的不同以及体现效率的工具不同，认知的不同体现在是重“实战”还是重“套路”。黑客是无所顾忌的，心一横什么都敢干，所以黑客练习的是MMA是截拳道，信奉的哲学是一击致命以及“要么你死，要么我死”，用最小的代价最快的速度结束战斗。企业不一样，身上的包袱太重了：不要对领导做钓鱼测试因为这是政治事件；不能打补丁因为业务中断了没人能负得起责任；弱口令不算因为这不是漏洞；只能针对这个点测试其他的不能测试因为我只管这一滩（任他洪水条天，我自怡然自得，能扫好门前雪就不错了）；咱们级别平齐你凭什么指挥我，让你们领导跟我来说。所以上拳台的时候说“来，咱们约法103章：一不能肘击，二不能抱摔，为了面子好看三不能打脸，四最好你出拳的时候告诉我一声，五我可以给你点钱你输给我……”，话还没说完“嘭”的一拳下来倒地不起。你看鄙视链条在武术圈也是存在的，MMA跟拳击互相鄙视，他们再共同鄙视WWE。在大家讨论江湖规矩不亦乐乎的时候，黑客们可没闲着，他们在不断地进化武器库：怎么样能在0.1秒内打出几百公斤力道的寸拳？

       安全的本质就在于信息不对称：我知道的你不知道，或者我知道的比你早。比如那个漏洞我知道你不知道，你输，再比如这个攻击技巧我是昨天知道的，你今天才知道，你也输。关于拿0day漏洞攻击这种绝对的不对称，我认为靠现有的产品体系一定时间内无能为力，更多的靠的是专家服务，这个话题我们以后有时间了再来分析，我更多的想讲讲目前绝大部分不用0day也能完成实际入侵效果的Nday甚至是不用漏洞攻击的技巧问题。按照我们的统计，目前企业被成功攻击的情况聚焦在如下几个方面：一）资产暴露攻击面不清楚，防护覆盖不全面，这个占比40%；二）漏洞不能得到及时的修复，几年的老漏洞在内网处处可见，占比30%；三）基本策略的缺乏，设备内的默认口令弱口令问题，核心入口缺乏的二次认证，异常行为发现和预警能力欠缺，占比20%；四）企业的漏洞知识库和响应来之安全公司，安全公司的规则推送到企业的更新速度普遍慢于黑客攻击速度，这个占比5%；五）人的安全意识缺失，如钓鱼社工等，占比5%。总而言之一句话，黑客可以攻击人，可以攻击网站，可以攻击设备，可以攻击邮件系统，可以攻击工控系统，企业疲于奔命应接不暇，当黑客知识体系比你更多，速度比你快的时候，被攻击成功是一种必然。

       回过头来讲，黑客速度为什么能更快更轻？比如我说黑客对你的系统发一个包就能结束战斗你信不信？你不信？那就对了，所以当Victor在twitter上公布说我国某人脸识别系统数据泄露的时候，当他说我国某聊天数据泄漏的时候，说我国某上千万妇女信息泄漏的时候，大家都在吃瓜。是谁？IP在哪？泄露了多少数据？这里穿插一句，几年前大家老在挑战我说“我有漏洞就一定会被攻击吗？我数据没有加锁就一定会被偷吗？”，现在我可以很负责任的说如果数据有泄漏的潜在漏洞，就一定会被偷，而且一定不只被一个人偷。从最初的Chris Vickery这个数据泄露猎人开始，到后来的Victor Gevers以及SANYAM JAIN，Bob Diachenko，他们的方法披露后，一批人基于这种利用网络空间测绘“先打了再说”的思维模式，开发了多种系统，在偷之前你是不可能知道他们准备偷的，因为没有任何网络痕迹，所有的信息采集都在其他系统完成。一直到直接拖数据曝光，被偷的企业还双手交叉插进袖口，胳膊肘子蹭一蹭旁边的吃瓜群众问“嘿，哪个傻X被偷了？”。安全攻击跟魔术一样，看第一遍各种神奇，看过揭秘后先感叹原来是这样，继而说不过如此，最后说无聊转身离开。

        黑客在当前阶段，与之前最大的变化不在于后渗透阶段，也不在于渗透中阶段，因为这两块都非常成型且暂时属于量的积累没有太大的改进空间，最大的变化来自于渗透前的阶段，已经产生了质的飞跃。nmap几十年来雄霸一方，在针对具体目标做扫描的时候极其有效，全面准确，但是劣势是非常明显的：速度太慢。慢是相对的，换在几年前说，估计我会被安全从业者喷死，因为以前它一直是最快的扫描工具，然而对于黑客来说，能否一秒之内获取目标网断的重要开放端口，以及更进一步得到banner信息？显然他们找到了答案，对于互联网暴露攻击面的梳理，他们不再是手动找一台服务器重新扫描，同一个目标不同的攻击者每次都重新扫描，会导致大量的重复劳动。如果说黑客把这些数据共享呢？是不是其他人就可以不用再扫描了？如果更近一步，黑客能够把IP对应的设备与以及应用系统都归好类打好标签呢？如果每个扫描漏洞的脚本都直接匹配这些应用标签呢？是不是就做到了针对性的精准攻击？是的，黑客们不只是这么想的，事实上他们正在这么做。数据泄漏不用针对全互联网扫描，从42亿IPv4空间提取出来的数据泄漏的目标也不过才数十万，搜索出IP的时间是1秒钟，怎么获取数据那是后话了。同样的，针对一个突发漏洞，黑客的时间差能做到分钟级别，而企业等安全厂商推送检测和防护规则，一定至少是一天以后的事情。你怎么赢？

       黑客提的是工具，企业说的是产品；黑客说的是效率，企业说的是汇报；黑客把精力全部花在漏洞的获取和效率工具的开发，企业要求安全产品80%的精力花在报表。这不是错误，企业领导因为不懂细节，只能通过报表看全局，或者从报告的细节处来管中窥豹，这只是现实的差异，屁股决定脑袋。对于“未知攻，焉知防”我的理解是：如果你不知道攻击，你构建的就是马奇诺防线，黑客实际的攻击路径跟你预期的攻击路径不相同，所以没有起到防护的效果，以及没有对未知攻击的应急预案，这就是为什么黑客内网漫游了，安全设备连告警日志都没有产生。

       要说企业防护目前一无是处那肯定也不是，最近做的最好的最具有划时代的一件事就是：防护方联合建群，大家一起来共享攻击IP，并且进行快速封IP的操作。

——————分割线——————

后记：本来想写完我的一些答案，越写到后面，越发现想表达的太多，一时半会写不完。所以顺其自然吧，以后再慢慢补充。