網絡安全行(xíng)業(yè)有(↑₽ yǒu)很(hěn)多(duō)怪象,比如(rú)“安全企業(yè♦™)做(zuò)的(de)産品都(dōu)是(shì)給客戶用(yòng)的(≥π₽εde),反正自(zì)己不(bù)用(yòng)”,再比如(♣₩rú)“企業(yè)買的(de)¶₽€♦産品都(dōu)不(bù)是(shì)攻防一(yī)γ∏線實際使用(yòng)的(de)工(gōng)具”。©β£所以企業(yè)和(hé)攻防一(yī)線的(de)白(bái)帽子÷€£×(zǐ)之間(jiān)互相(xiàng)存在鄙視(shì)鏈:白₩₩(bái)帽子(zǐ)們認為(wèi)企業(yè)方不(bù)懂(dǒng)✔←×攻防買的(de)都(dōu)是(shì)合規性産品形同虛設出♣♥☆"入自(zì)由,而企業(yè)認為(wèi)這(±☆zhè)批“專家(jiā)”都(dōu)是(shì₽≥ )自(zì)說(shuō)自(zì)話(huà)輸出的(de)'>“産品”根本不(bγ↑>↔ù)可(kě)用(yòng)。這(zhè)種相(<☆xiàng)互的(de)鄙視(shì)鏈 §™©條估計(jì)還(hái)将長(cháng)時(shí)間(jiānπ)存在(有(yǒu)錢(qián)的(de)情況下(↕<₽xià)鄙視(shì)鏈是(shì)單向的(de)),随著÷¶σ(zhe)政策的(de)落地(dì)細化(huà),情況會(huìσ≤↑)有(yǒu)所好(hǎo)轉。目前企業(yè)和(hé)白(bái)☆$α帽子(zǐ)們在對(duì)安全産品的(de)理(lǐ)解方面有(yǒu)₹₩著(zhe)天然不(bù)可(kě)調和××(hé)的(de)矛盾,國(guó)內(nèi)買meta♣γsploit的(de)企業(yè)極其少(shǎo),更不(bùα )用(yòng)說(shuō)去(qù)買cobaltstri♣↕Ω®ke研究了(le),因為(wèi)功和(hé)防體(₩→≈tǐ)系原本就(jiù)不(bù)一(yī)緻,企業 ♦®(yè)能(néng)聽(tīng)懂(dǒng)bur$↑p已經實屬難得(de),讓他(tā)們搞懂(dǒng)₽♥<↔mimikatz怎麽用(yòng)怎麽防護那(nà)就®©★≤(jiù)基本不(bù)可(kě)能(né£≤ng)。
&nb>≥sp;一(yī)些(xiē)紅(hóng)藍(lá맙 n)軍攻防對(duì)抗的(de)故事(shì)挺有(yǒu)趣的(de),提$₹前确認好(hǎo)了(le)攻擊方的(de)攻擊時(shí)間(jiānφδ)和(hé)範圍,坐(zuò)鎮總部的(de)防守方反↓ δ←饋“風(fēng)平浪靜(jìng)&rdβ♦quo;每天就(jiù)看(kàn)些(xiē)Ω÷小(xiǎo)白(bái)們的(de)掃描日(rì)志✘>(zhì),而另一(yī)方面攻擊方早已在各邊界打好(hǎo)≥← ✘了(le)洞,在各服務器(qì)上(shàng)安裝上(shε♣àng)了(le)cobaltstrike,敏感數(shù)據一(yīα&)覽無餘。
&n∞¶≤±bsp;我把安全的(de)滲透分(fēn)為®λ★✘(wèi)三個(gè)階段:滲透前的(de)階段,滲透λ®≠中的(de)階段,以及後滲透階段。簡單來(lái)說(shuō),長(& εcháng)時(shí)間(jiān)以來(lái)滲透前階段的(de↓↓φ×)是(shì)nmap/awvs之類的(de)掃描類産品,滲 透中用(yòng)得(de)最多(duō)的(de)是(shì)集大(dà)$←成者metasploit/burp,後滲透用(yòng)的(de≥§↕∑)是(shì)cobaltstrike/mimikatz/♦↓β菜刀(dāo)等,分(fēn)别對(duì)應信息↓>采集,邊界突破,權限維持橫向擴展。
對(d₹£uì)防護方而言,“輸”是(shì)必然的(de),基≈✔←α于如(rú)下(xià)幾個(gè)原因:一(yī))資≈↔♥§産邊界(攻擊面)很(hěn)大(dà),而且正÷δ在越來(lái)越大(dà)。最初的(de)網絡$↓很(hěn)簡單,幾台服務器(qì)幾台PC,管理λ&☆(lǐ)起來(lái)不(bù)費(fèi)力。然後移動端出來✔§(lái)了(le),虛拟化(huà)出來(lái)了↑Ω♠←(le),雲計(jì)算(suàn)出來(lái)了(le),物(wù)聯↔∞網出來(lái)了(le),要(yào)管理(lǐ)的(de)物(wù)理(l∞✘ǐ)資産動則上(shàng)百萬,上(shàng)層∑'♥ 承載的(de)軟件(jiàn)業(yè)務資産不( ♥γ'bù)計(jì)其數(shù),基本沒有(yǒu)企業(yè)能≠♠(néng)夠準确說(shuō)出自(z∏ε§ì)己的(de)暴露攻擊面的(de)情況。二)攻擊方越來(lái)越&ldqu←o;厲害”。最初企業(yè)面對(duì)的(de)∑ε€是(shì)個(gè)人(rén)小(xiǎo)黑(hēi)≠÷€£客奔著(zhe)小(xiǎo)利益去(qù),損失百萬級别;↔✔後來(lái)變成了(le)商業(yè)競争的(de)團隊作(zu↔™✔ò)戰竊取敏感數(shù)據,損失過億;目前,随著(zhe)各國(guó)提出γγ≥∏了(le)第五空(kōng)間(jiān)的(de)概念,戰δ¥¥争的(de)概念快(kuài)速落到(dào)了(le)國(guó)與國∏δ™(guó)的(de)網絡空(kōng)間(jiān),這 €§(zhè)種損失可(kě)不(bù)隻是(shì)萬億級别的∑≤(de)經濟問(wèn)題。要(yào)說(★≠÷↔shuō)不(bù)是(shì)每個(gè)企→δλ業(yè)都(dōu)關系到(dào)“國(guó)際民(mδ♦ín)生(shēng)”吧(ba)?大(dà)家(jiā)稍微(™♦'↕wēi)琢磨一(yī)下(xià),如(rú)果你(nǐ)打車(chē)軟件®≥(jiàn)收集了(le)實名,如(rú)☆≥果你(nǐ)叫外(wài)賣收集了(le)實名,你(nǐ)到(dào)小∏¶(xiǎo)酒店(diàn)開(kāi)↑✘房(fáng)收集了(le)實名,那(nà)麽哪家(jiā)企業(yè)又™±δφ(yòu)能(néng)夠“獨善其身(shēn)”呢(•✘ne)?攻擊方的(de)厲害體(tǐ)現(xià₽₽¶n)在速度越來(lái)越快(kuài),可(kě)利用(•σλ♣yòng)漏洞越來(lái)越多(duō),最要(yà Ωλo)命的(de)是(shì)攻擊的(de)痕迹越來(lá↔ i)越淺。三)防護缺乏安全體(tǐ)系建設。體(t"÷ ǐ)系建設不(bù)隻是(shì)根據監管要(yào• ¶)求的(de)來(lái),因為(wèi)那(n™β§₽à)是(shì)全行(xíng)業(yè)的(de)泛化(huà)要(yào↔ )求,無法保證所有(yǒu)行(xíng)業(yè)所有(yǒu)業(y$≤è)務場(chǎng)景通(tōng)用∑♣₩δ(yòng)。大(dà)家(jiā)把重點放(fàng)在邊界防←φ€♠護,導緻內(nèi)部問(wèn)題沒有(yǒ∞∞&∑u)正确的(de)處理(lǐ),進了(le)內(nèi)網就(j÷≤≥βiù)是(shì)漫遊。企業(yè)經曆過業(yè)務λ&&線和(hé)地(dì)域的(de)不(bù)斷擴充,全局的(de)安全管理(l♣¶βǐ)已經變成了(le)奢望:安全部門(mén)沒有(α yǒu)足夠的(de)地(dì)位(連獨立的(de)信息安全部門(mén)←☆≥都(dōu)沒有(yǒu)),業(yè)務線各自(zì)為(wèi)政(把÷γ∏®安全管理(lǐ)當作(zuò)對(duì)立面),安全人(rén) ≠員(yuán)缺口太大(dà)(3,4個(gè)人(rén)管≈¥數(shù)十萬資産的(de)情況比比皆是(shì))。團結未必赢,一(y✔♣→ī)盤散沙必然輸。所以每次聽(tīng)到(dào)漏洞“無法更新₹λ補丁,你(nǐ)出承諾函出了(le)問(wèn)題你(nǐ≠φπ)負責”的(de)時(shí)候,你(nǐ)就(jiù)®∞知(zhī)道(dào)安全體(tǐ)系建設實在還(hái)沒有(yǒu)達到★★λ(dào)能(néng)夠跟攻擊者對(duì)抗¥β$÷的(de)預期目标。
要(yào)βΩ→♥說(shuō)防守方心裡(lǐ)不(bù)發虛那(nà)是♣☆←±(shì)假的(de),他(tā)們确實比誰都(dōu)擔心,共享陪護床因為(wèi)政策落地(dì)太快(kuàσ÷≥i)了(le)。最近(jìn)幾年(nián)出台≈≈↕的(de)網絡安全法律,幾個(gè)共性非常明(míng)顯:一(yī)是(s'γγ→hì)增大(dà)了(le)對(duì)企業(yè)的(de)管理(lǐ)★ εα範圍,二是(shì)增加了(le)企業(yè)的(de)處罰力度,三是 γε™(shì)網安立法從(cóng)制(zhì)定到(dào)征求"÷意見(jiàn)到(dào)正式實施的(de)速¶ ≥度非常快(kuài),四是(shì)密集程度很( '•$hěn)高(gāo),十幾年(nián)☆✘β 前一(yī)直用(yòng)等級保護和(hé)刑法修→≥正案來(lái)适配,突然從(cóng)15年(nián)¥✘σ開(kāi)始網絡安全法,等保2.0,網絡安全漏洞≈£☆±管理(lǐ)規定,數(shù)據安全管理(lǐ)辦法等等全行(x÷∑∑íng)業(yè)安全管理(lǐ)的(de)要(yào)求↑ 不(bù)斷出台,對(duì)應到(dào)各個(gè)行(xíng∏₩)業(yè)垂直安全管理(lǐ)的(de)要(yào)求就(jiù)Ω更多(duō)了(le)。數(shù)據 <±♠越多(duō),價值越大(dà),責任越大(dà),風(fēng)險σ£越高(gāo)。做(zuò)了(le)合規也(yě)不(bù)算(s♥↕βuàn)完啊,還(hái)沒來(lái)得(de)及喝(hē)一(yī)口₽×€水(shuǐ)呢(ne),還(hái)有(y₩±πǒu)紅(hóng)藍(lán)軍對(duì)抗演習♣¶β<(xí),還(hái)有(yǒu)各種會(huì)議(yì)保障的(de)事≠↕₽(shì)件(jiàn)型檢查。好(hǎo)好γ∞δ(hǎo)的(de)一(yī)個(gè)甲方↔ <,你(nǐ)說(shuō)怎麽就(jiù)突然變得(de≤€)這(zhè)麽狼狽了(le)呢(ne)?
這(zhè)種變化★©♥(huà)一(yī)方面是(shì)由于國(guó)際形勢的(d™₩e)變化(huà)導緻的(de)政策變化( ♥♠<huà),這(zhè)些(xiē)政策變化(hu∑÷à)的(de)原因是(shì)由于網絡攻擊的(βε₩↔de)技(jì)術(shù)發生(shēng)了(le)極大(dà)的(d λ☆←e)變化(huà)。十年(nián)前的(de)防守技(> ±∞jì)術(shù)放(fàng)到(dào)今天我說(λ ±€shuō)有(yǒu)用(yòng)大(dà)家(jiā)★₩γ•也(yě)不(bù)信對(duì)吧(ba),一(yī)些(xiē)廠δ>(chǎng)商已經把網絡掃描器(qì)從('δ≤±cóng)安全産品放(fàng)到(dàoλ¥≠≠)了(le)網絡設備分(fēn)類中去(qù),實在是(♠β←shì)因為(wèi)最大(dà)的(de)功能(néng)在于Aφ↕&₽CL,而這(zhè)個(gè)功能(néng)任何一(≤εyī)款路(lù)由都(dōu)能(néng)具備。
技(jì)術(shù)的♦γ(de)變化(huà)體(tǐ)現(xiàn)在黑(hēi)客攻擊的(deα §)速度越來(lái)越快(kuài),同時(shí)黑(hēi)客♣↑攻擊的(de)痕迹越來(lái)越不(bù)明(míng)顯攻擊過程越來(©Ω♦lái)越無感知(zhī)。聽(tīng)起來(lái)÷<∑很(hěn)有(yǒu)邏輯問(wèn)題:★¥™怎麽可(kě)能(néng)做(zuò)到(dào)快(×♦↔←kuài)速給别人(rén)一(yī)個(gè)大(dà)巴掌聲音(yīn)¥δ→>還(hái)不(bù)那(nà)麽響呢(ne)?若幹年(nián)∑☆→✘前第一(yī)次聽(tīng)到(dào)BT下→€≥$(xià)載的(de)宣傳語是(shì)&<♣ldquo;下(xià)載人(rén)數(shù)越多(d₩♣>∑uō),下(xià)載速度越快(kuài)”,當時(shí) "簡直颠覆了(le)我的(de)認知(zh↑㮣ī),服務器(qì)帶寬就(jiù)那(nà)麽大(dàγ×↓≈),下(xià)載越多(duō)不(bù)就(jiù)越擁∞≤'¶塞就(jiù)越慢(màn)了(le)嗎(m₽∏♣$a)?怎麽反而還(hái)能(néng)越快(kuài)呢↔♦®(ne)?後來(lái)才明(míng)白(bái),誰說(shuō)要(y↕∑ào)占用(yòng)服務器(qì)帶寬,可(kě)以用(yòσ♥ng)去(qù)中心化(huà)的(de)模式啊,遂恍然大(d♣↔₽à)悟。這(zhè)就(jiù)是(shì)認知(π£♠zhī)的(de)升級。放(fàng)到(dào)"β黑(hēi)客攻擊的(de)角度,大(dà)✘÷家(jiā)已經根深蒂固地(dì)認為( δwèi):所有(yǒu)攻擊過程都(dōu)必須發起大(dà)量的γσ$(de)掃描報(bào)文(wén),有(yǒu)用(yòng)于發現(xià✔≥β≥n)端口的(de)和(hé)用(yòng)于發現(xiàn• &)漏洞的(de)包。如(rú)果我說(shuō)攻擊者的™₩₽(de)速度比以前快(kuài)100倍,發包量隻有(yǒu φ)傳統的(de)萬分(fēn)之一(yī),大(dà)家(jiα↕πā)能(néng)理(lǐ)解嗎(ma)?如(rú)果能(néng↕ )夠理(lǐ)解,恭喜你(nǐ)也(yě)認知(zhī)升級了(l Ω±e),如(rú)果還(hái)沒有(yǒuε≥ ∑)理(lǐ)解,沒關系我們往後講,BT下(xià)載和(hé)區(qū)塊鏈✔•∏σ也(yě)是(shì)要(yào)教育一(y★↕ī)段不(bù)短(duǎn)的(de)時(shí)間(jiān₹≈¶)大(dà)家(jiā)才能(néng)逐步了(le)解。不(bù)隻是✔¶>☆(shì)企業(yè)和(hé)白(bái)帽子(zǐ)有(yǒu)鄙視(shφ ì)鏈啊,黑(hēi)客對(duì)白(bái)帽子(zǐ)也(y€αβ≈ě)有(yǒu)鄙視(shì)鏈:“丫距離(lí)爺足足一(yī)↓≥條大(dà)街(jiē)那(nà)麽長(cháng)”,有( σ yǒu)時(shí)候好(hǎo)人(rén)不(b£♦φαù)好(hǎo)當的(de),左右不(bù)是(shì)人★✔Ω↔(rén)。在網絡安全這(zhè)個(gè&☆∞)江湖(hú),黑(hēi)客認知(zhī)速度快(•₽kuài)于白(bái)帽子(zǐ),白••↑(bái)帽子(zǐ)的(de)認知(zhī)速♣€€↕度快(kuài)于企業(yè)。所以企業α♣←€(yè)方也(yě)陷入了(le)沉思:我們花(huā)了(le)這(zhè)•ε₽麽多(duō)錢(qián),請(qǐng)了(le)這(zhè)麽多(φ☆β↑duō)的(de)安全企業(yè),這(zhè)麽多(duō)人•✘(rén)駐場(chǎng)服務,怎麽就(jiù)防護不(bù)住₩ π呢(ne)?難道(dào)真是(shì)&ldqγ♥∏uo;道(dào)高(gāo)一(yī)尺,魔高(gāo)一(→®yī)丈”?
£ 這(zhè)裡(lǐ)面的(de)差距就(jiù)是(sh↓→δì)認知(zhī)的(de)不(bù)同以及體(tǐ≠©¥")現(xiàn)效率的(de)工(gōng)₹§₩∑具不(bù)同,認知(zhī)的(de)不(bù)同體(ε>×tǐ)現(xiàn)在是(shì)重“實戰”還α π(hái)是(shì)重“套路(lù)”。共享控制(zhì)系統黑(hēi)客是(shì)無所顧忌的(de),心一σ®(yī)橫什(shén)麽都(dōu)敢幹,所以黑(hēi)客練習↕↑(xí)的(de)是(shì)MMA是(shì)截拳道(dào),信奉的(≈&↓de)哲學是(shì)一(yī)擊緻命以及“要(yà₽₹ o)麽你(nǐ)死,要(yào)麽我死”,用(yòng)最小(xi≈☆αǎo)的(de)代價最快(kuài)的(de)速度結束戰鬥。企∞Ωε≠業(yè)不(bù)一(yī)樣,身(shēn)上(shàng)✘←的(de)包袱太重了(le):不(bù)要(yào)對(du&$ì)領導做(zuò)釣魚測試因為(wèi)這(zhè)是(shì)♥β☆≈政治事(shì)件(jiàn);不(bù)>λ能(néng)打補丁因為(wèi)業(yè)務✔€中斷了(le)沒人(rén)能(néng)負得(de)起責任;弱口令不(bù)÷©£¥算(suàn)因為(wèi)這(zhè)不(bù®☆)是(shì)漏洞;隻能(néng)針對(d€→uì)這(zhè)個(gè)點測試其他(tā)的(de)∑≤不(bù)能(néng)測試因為(wèi)≤♦β∑我隻管這(zhè)一(yī)灘(任他(tā)洪水(shu€↕δǐ)條天,我自(zì)怡然自(zì)得(de),能(néng)掃好→¶(hǎo)門(mén)前雪(xuě)就(j₽↕iù)不(bù)錯(cuò)了(le));咱們級别平齊你(nǐ)憑→什(shén)麽指揮我,讓你(nǐ)們領導跟我來(lái)說(shλ β↓uō)。所以上(shàng)拳台的(de)時(shí)候說(sh←πλuō)“來(lái),咱們約法103章(zhāng)φδ≤:一(yī)不(bù)能(néng)肘擊,二不(bù)能(néng)抱摔,為(★↕¥→wèi)了(le)面子(zǐ)好(hǎo)看(kàn)三不&•∞(bù)能(néng)打臉,四最好(hǎo)你(n✘Ω&₩ǐ)出拳的(de)時(shí)候告訴我一(yī)聲,五我可(kě)以給你(☆λnǐ)點錢(qián)你(nǐ)輸給我&hel↔"©©lip;…”,話(huà)還(hái)↓α ₹沒說(shuō)完“嘭”的(de)一(yī)拳下(♣•→xià)來(lái)倒地(dì)不(bù) 起。你(nǐ)看(kàn)鄙視(shì)鏈條在武術(shù)¥♠圈也(yě)是(shì)存在的(de),MMA跟拳擊互相(xiàngε ∑≤)鄙視(shì),他(tā)們再共同鄙視(shì)WWE。在大(dà)家δδ →(jiā)討(tǎo)論江湖(hú)規矩不(bù)π↕¥亦樂(yuè)乎的(de)時(shí)候,黑(hēi)客們★σ可(kě)沒閑著(zhe),他(tā)們在不(σε↑ bù)斷地(dì)進化(huà)武器(qì)庫:怎麽樣能(né♦₩∏ng)在0.1秒(miǎo)內(nèi)打出幾百公斤力道(dào)的₹α(de)寸拳?
安α∞全的(de)本質就(jiù)在于信息不(bù) ♠♦&對(duì)稱:我知(zhī)道(dào)的(de)你(nǐ∑Ω')不(bù)知(zhī)道(dào),或者我知(zhī)道(dào)的®∞>(de)比你(nǐ)早。比如(rú)那(nà)個(gè)漏洞我知(zhī)道(♠ dào)你(nǐ)不(bù)知(zhī)道(dà£↔★©o),你(nǐ)輸,再比如(rú)這(zhè)↑☆個(gè)攻擊技(jì)巧我是(shì)昨天知(zh£↓•ī)道(dào)的(de),你(nǐ)今天才知(zhī)道(dào)λ→β',你(nǐ)也(yě)輸。關于拿(ná)0day漏洞攻擊這(zhè)種絕對(d$πuì)的(de)不(bù)對(duì)稱,我認為(σ↓wèi)靠現(xiàn)有(yǒu)的(de ±♣)産品體(tǐ)系一(yī)定時(shí)間(©☆₹jiān)內(nèi)無能(néng)為(wèi)力,更☆γ§'多(duō)的(de)靠的(de)是(shì)專家(jiā¥"↔)服務,這(zhè)個(gè)話(huà)題我們以後• ↓有(yǒu)時(shí)間(jiān)了→>¥×(le)再來(lái)分(fēn)析,我更多(duō)的(d™ "αe)想講講目前絕大(dà)部分(fēn)不(bù)用(yòng)0day也(y→↕α€ě)能(néng)完成實際入侵效果的(de)Nday甚至是(shì ∏)不(bù)用(yòng)漏洞攻擊的(de)技(jì)巧問(wèn∏×)題。按照(zhào)我們的(de)統計(jì),目✘前企業(yè)被成功攻擊的(de)情況聚焦在如(rú)下(xià)幾個(gα∞è)方面:一(yī))資産暴露攻擊面不(bù)清楚,防護覆蓋不(bù)÷✔>全面,這(zhè)個(gè)占比40%;二)漏洞不(bù)能(néng)得(d♥←♠e)到(dào)及時(shí)的(de)₹÷±♦修複,幾年(nián)的(de)老(lǎo)漏洞在內(nèi)網≤ 處處可(kě)見(jiàn),占比30%;三)基本策略的( ₽×de)缺乏,設備內(nèi)的(de)默認口令弱口令問(wèn)題,核心入口÷↔缺乏的(de)二次認證,異常行(xíng)為(w☆♦èi)發現(xiàn)和(hé)預警能(néng)力欠缺 ,占比20%;四)企業(yè)的(de)漏洞知(zhī)識庫和(hé)響α→應來(lái)之安全公司,安全公司的(de)規則β φ"推送到(dào)企業(yè)的(de)更新速度普遍慢(màn)于黑(hē↓i)客攻擊速度,這(zhè)個(gè)占比5%;五)人(rén)©$ 的(de)安全意識缺失,如(rú)釣魚社工™σ♠(gōng)等,占比5%。總而言之一(yī)句話(→'δhuà),黑(hēi)客可(kě)以攻擊人(rén),可(kě)以攻擊網站( δλzhàn),可(kě)以攻擊設備,可(kě)以攻擊郵件(jiàn)系統,可(← ≠÷kě)以攻擊工(gōng)控系統,企業(yè)疲φΩ于奔命應接不(bù)暇,當黑(hēi)客知(zhī)識↔$≤¥體(tǐ)系比你(nǐ)更多(duō),速度比你(nǐ)快(kuài)•₩¶✘的(de)時(shí)候,被攻擊成功是(shì)一(yī)種必然。↑©™'
&₹∞≠nbsp;回過頭來(lái)講,黑(hēi)客速度為(wèi)什(s✘✔σδhén)麽能(néng)更快(kuài)更輕?比如(rú)我說(shuō)≥©☆黑(hēi)客對(duì)你(nǐ)的(de)系統發一ε ∏∏(yī)個(gè)包就(jiù)能(néng)結束₩δ☆戰鬥你(nǐ)信不(bù)信?你(nǐ)不(bù)信?那(nà)就(jiù)Ω£對(duì)了(le),所以當Victorαπ÷在twitter上(shàng)公布說(shuō)我國(guó)某人(r♠≈↑én)臉識别系統數(shù)據洩露的(de)時(shí)候 €∏✔,當他(tā)說(shuō)我國(guó)某聊天數(& ¶shù)據洩漏的(de)時(shí)候,說(shuō)∞✘™♣我國(guó)某上(shàng)千萬婦女(✘♠∏♥nǚ)信息洩漏的(de)時(shí)候,大(dà)家(∏β→jiā)都(dōu)在吃(chī)瓜。是(s&→®hì)誰?IP在哪?洩露了(le)多(duō)少(shǎo)數(πshù)據?這(zhè)裡(lǐ)穿插一(yī)句,幾年(nián)前大(£←dà)家(jiā)老(lǎo)在挑戰我說(shuα¶★€ō)“我有(yǒu)漏洞就(jiù)一(yī)定會(huì)被♠←↕攻擊嗎(ma)?我數(shù)據沒有(yǒu)加鎖就(jiù)一(yī)定會σ∞$(huì)被偷嗎(ma)?”,現(xiàn)在我可(✘£§©kě)以很(hěn)負責任的(de)說(shuō©α)如(rú)果數(shù)據有(yǒu)洩漏的(d$∏e)潛在漏洞,就(jiù)一(yī)定會(huì)•"∑被偷,而且一(yī)定不(bù)隻被一(yī)個(gè)÷'人(rén)偷。從(cóng)最初的(de)Chris Vicke ↑ βry這(zhè)個(gè)數(shù)據洩露獵人(rén)♣₩₩開(kāi)始,到(dào)後來(lái)的(d→≠e)Victor Gevers以及SANYAM JAIN,Bob D §¶iachenko,他(tā)們的(de)方法披露後,一(yī)批人(ré©→n)基于這(zhè)種利用(yòng)網絡空(kōng)間(ji≠δ✔ān)測繪“先打了(le)再說(shuō)”的(↑★"±de)思維模式,開(kāi)發了(le)多(duō↑✔)種系統,在偷之前你(nǐ)是(shì)不(bù)可(kě)能(néng)知(≤£ ✘zhī)道(dào)他(tā)們準備偷的(dשe),因為(wèi)沒有(yǒu)任何網絡痕迹,所有(yǒu)的(d>®e)信息采集都(dōu)在其他(tā)系統完成。一(£Ωyī)直到(dào)直接拖數(shù)據曝光(guāng),被∑ γβ偷的(de)企業(yè)還(hái)雙手交叉ε€& 插進袖口,胳膊肘子(zǐ)蹭一(yī)蹭旁邊的&£¶(de)吃(chī)瓜群衆問(wèn)“嘿♠★,哪個(gè)傻X被偷了(le)?”。安全攻擊跟魔術(s∞>↔hù)一(yī)樣,看(kàn)第一(yī)遍↑≥←各種神奇,看(kàn)過揭秘後先感歎原來(lái)是(shì)這(zhè±↓)樣,繼而說(shuō)不(bù)過如(rú)此,最後說(shuδ>ō)無聊轉身(shēn)離(lí)開(kāi)。
&nb®λ©sp;黑(hēi)客在當前階段,與之前最大(dà) •↔♠的(de)變化(huà)不(bù)在于後滲透階段,也(yě)不(bù)在于滲₽♠Ω÷透中階段,因為(wèi)這(zhè)兩塊'∑都(dōu)非常成型且暫時(shí)屬于量的(de)積累沒有 β(yǒu)太大(dà)的(de)改進空(kōnεσg)間(jiān),最大(dà)的(de)變化(huà₽¥)來(lái)自(zì)于滲透前的(de)階段,已經産生(s×→γ÷hēng)了(le)質的(de)飛(fēi)躍。nmap幾十年(niá♠×♣∏n)來(lái)雄霸一(yī)方,在針對(duì)具體(tǐ)目标↓≠λ•做(zuò)掃描的(de)時(shí)候極其有(yǒ♥ ↕u)效,全面準确,但(dàn)是(shì)劣勢是(s"★§™hì)非常明(míng)顯的(de):速度太慢(màn→≤∏±)。慢(màn)是(shì)相(xiàng)對(duì)的(de) γ∞,換在幾年(nián)前說(shuō),估計(jì)我會→"(huì)被安全從(cóng)業(yè)者噴>÷死,因為(wèi)以前它一(yī)直是(shì)最•δ快(kuài)的(de)掃描工(gōng)具,然而對(duì)于黑(hēi>©)客來(lái)說(shuō),能(néng)否一(yī)秒(miǎ∞↑↔≥o)之內(nèi)獲取目标網斷的(de)重要(yào)開(kāi'®×)放(fàng)端口,以及更進一(yī)步得(de)到(dào)banner信∞±δ™息?顯然他(tā)們找到(dào)了(le)答(dá)案,對(du↑ ì)于互聯網暴露攻擊面的(de)梳理(l↔φ£ǐ),他(tā)們不(bù)再是(shì)手動找一(yī)台服務↓ ¶↑器(qì)重新掃描,同一(yī)個(gè)目标不(bù"♦λ)同的(de)攻擊者每次都(dōu)重新掃描,會(huì)導緻大₽π(dà)量的(de)重複勞動。如(rú)果說(shuō)黑(hφ≈≠ēi)客把這(zhè)些(xiē)數(shù)據共享呢(ne)?是(γ↕↓₽shì)不(bù)是(shì)其他(tā)人(rén)就(jiù)可(kě↓♠♣)以不(bù)用(yòng)再掃描了(le)?如(rú)果更近(jìn)&÷一(yī)步,黑(hēi)客能(néng)夠把IP對(d€∏>uì)應的(de)設備與以及應用(yòng)系統都(d¥"≥ ōu)歸好(hǎo)類打好(hǎo)标簽呢(ne)?如(©δ¶rú)果每個(gè)掃描漏洞的(de)腳本都(dōu)直接匹配✘✔☆≤這(zhè)些(xiē)應用(yòng)标簽呢(ne)?是≈♦(shì)不(bù)是(shì)就(jiù)做(zuò)σπ到(dào)了(le)針對(duì)性的(de)精準攻擊?是(shì)的(d€¶>e),黑(hēi)客們不(bù)隻是(shì)這(zhè)麽α×想的(de),事(shì)實上(shàng)他(tā)₹↑們正在這(zhè)麽做(zuò)。數(shù≈✔)據洩漏不(bù)用(yòng)針對(duì)全互聯網掃描,從π(cóng)42億IPv4空(kōng)間(jiān∏≠)提取出來(lái)的(de)數(shù)據洩漏的(d©'>♣e)目标也(yě)不(bù)過才數(shù)十萬,搜索出IP的(de↑λ)時(shí)間(jiān)是(shì)1" ♥秒(miǎo)鐘(zhōng),怎麽獲取數(shù)據那(nà)是(sh≤↑≥ì)後話(huà)了(le)。同樣的(de),針對(duì)一(yī)個(&&™gè)突發漏洞,黑(hēi)客的(de)時(shí)間(jiān)差能(<≥←néng)做(zuò)到(dào)分(fēn)鐘(zhōng)級别,↓γ©→而企業(yè)等安全廠(chǎng)商推送檢測和(hé≥✔₹)防護規則,一(yī)定至少(shǎo)是(shì)一(y₽₩≤ī)天以後的(de)事(shì)情。你(nǐ)怎麽赢?
黑(hēi)客提的✔←♣(de)是(shì)工(gōng)具,企業(yè)說(shuō)的(de)是±''(shì)産品;黑(hēi)客說(shuō)的(de)是(shì)效率,企業φ≈(yè)說(shuō)的(de)是(shì)彙報(bào);黑(hē≠€i)客把精力全部花(huā)在漏洞的(de)獲取和(hé)效率工(gō÷✘ ng)具的(de)開(kāi)發,企業(®↔yè)要(yào)求安全産品80%的(de)精力花(huā)←∏γ€在報(bào)表。這(zhè)不(bù)是(shì)錯(cuò)誤,企業(®βyè)領導因為(wèi)不(bù)懂(dǒng)細節,隻能(nénγ§$&g)通(tōng)過報(bào)表看(kàn)全局,或者從(↕£cóng)報(bào)告的(de)細節處來(lái)管中窺豹,這(♠©←zhè)隻是(shì)現(xiàn)實的(d☆ φe)差異,屁股決定腦(nǎo)袋。對(duì)于&ldquo♦∑≠;未知(zhī)攻,焉知(zhī)防”我的(dε♠e)理(lǐ)解是(shì):如(rú)果你(nǐλ∞)不(bù)知(zhī)道(dào)攻擊,¶✘你(nǐ)構建的(de)就(jiù)是(shì)馬奇諾防線,黑(hλ₽$ēi)客實際的(de)攻擊路(lù)徑跟你(nǐ)預期的(de)攻擊路(l↓≈™ù)徑不(bù)相(xiàng)同,所以沒有(y★✘ǒu)起到(dào)防護的(de)效果,以及沒÷§γ≤有(yǒu)對(duì)未知(zhī)攻擊≥δ的(de)應急預案,這(zhè)就(jiù¶§)是(shì)為(wèi)什(shén)麽黑(hēi)客內(Ω€<nèi)網漫遊了(le),安全設備連告警日(rì)志(zhìβ±)都(dōu)沒有(yǒu)産生(shēng)。
&σ♥nbsp;要(yào)說(shuō)企業(≥&βyè)防護目前一(yī)無是(shì)處那(nà)肯定也←∏©(yě)不(bù)是(shì),最近(jìn)做(zuò←)的(de)最好(hǎo)的(de)最具有(yǒu)劃時(shí)σ 代的(de)一(yī)件(jiàn)事(shì)就(jiù)∏£'是(shì):防護方聯合建群,大(dà)家(jiā)一≠≤≤(yī)起來(lái)共享攻擊IP,并且α© 進行(xíng)快(kuài)速封IP的(de)操作(zuò)。