领书啦
以下为“开拓安全视野从这开始”活动中
送书小伙伴名单
看看有没有你喔
有你吗~
名单公布
微信留言板
知识星球作业榜
当你调试漏洞却调不出POC的时候,会觉得当脚本小子是真的爽。
当你应急响应面对海量告警的时候,会觉得当脚本小子是真的爽。
当你和研发解释为什么这个注入让SQLmap日穿的时候,会觉得当脚本小子真的爽。
当你做渗透项目开启划水模式的时候,会觉得当脚本小子真的爽。
既然当脚本小子这么爽,还为啥要做安全研究?就为了那一句“老哥,分享一下POC”的一时快感?没错,就是这样。
安全绝不只是渗透挖洞,安全体系的建设才是最终的根本。未知攻,焉知防?这也就是为什么防守方的难度大于攻击方。而安全研究,个人认为就是攻防上的博弈。研究新的利用方式,新的绕过技巧,这是乐趣。拿下多少shell则是额外奖励,既然额外,便可有可无。
讲一讲关于我对于安全攻防的理解吧,各位师傅将就看:之前在信安之路也发表过一篇自己的心得《实战分析:乙方视角下的行业攻防演练》,主要也是讲了一下最近一次我们攻防演练的一些经验所得。
先说说自己吧,是网络系统管理专业毕业,从事过两年网络工程师工作,最后和Torjan一样,被同样的老张拉进了网络安全行业,开始我的安全服务之路,慢慢地在安全服务工作中也感觉到了国家、行业等对安全攻防的逐渐重视程度。
对于我来说也是经历了两年多的攻防演练,GAB的、行业的、省市的,不过我的角色都是为防守方。
一、我认为的攻防演练
网络安全以“人”为核心,网络安全领域的对抗本质上是人与人之间的对抗,而网络终端、网络设备、介质以及各种工具和平台仅仅是作为辅助手段而存在。
简单的来说,每一次攻防演练我认为收获最大的不是应用系统开发运维方、不是基础设施提供方,收获最大的应该是作为防守、攻击的我们,所以攻防最重要的关键点还是“人”,无论红蓝,经历过越多的攻防,所获得的经验也是最多,当然在后期安全整改、安全运维、安全防护体系建设中所输出的经验也是越多。所以我认为的攻防演练一句话概括就是“提高锻炼高素质网络安全人才较好的一种方式”。
二、安全攻防的价值
安全攻防最高价值的体现:
(1)攻击方:提高攻击方的攻击水平、扩展攻击思路、扩大了攻击途径(社工、物理攻击等)。
(2)防守方:提高了防守方的安全防护能力、应急处置能力、完善加固了以往产生网络安全问题。
总之,好处很多,但是在价值中也体现了事件的两面性,在安全攻防中红蓝双方追求成果所付出的体力代价。PS:人是铁饭是钢一顿不吃饿得慌----身体最重要。
三、安全攻防的较量
(1)红蓝队之间
安全攻防之间就是红蓝队之间的对抗,我认为这是不平等的对抗攻击方是一个点;防守方是一个面。点和面之间的较量无非就是现在疫情之下的新冠肺炎,感染很容易,排查隔离起来相当困难。
也不多说举例比较:
攻击方:精良部队,各单位优秀渗透人员、训练有素,经常渗透项目锻炼 ,手上0day、Nday、甚至手上还有源代码。
防守方:缺攻防经验,负责人基本为项目经理,缺训练配合,临时组建无实战配合,基本靠各类厂家设备堆叠,是骡子是马都当千里马。
四、聊聊安全攻防防守方的工作
(1)CMDB很重要
资产梳理是安全攻防中防守方最重要的一环,通过最近一次的安全攻防中,我领悟到了资产梳理工作的缺失,当然也看到攻击队的高强实力,手握源代码,审计出框架漏洞,一击毙命。安全攻防前定要将资产、服务、漏洞进行全方位海陆空地毯式梳理。
(2)情报也重要
获取情报的途径可分为两种,一种是通过技术手段获取,比如重定向特定的URL到蜜罐,另一种是通过人际关系获取,比如广泛结交攻击队人员和其他防守队伍人员。
(3)总结(复盘)更重要
既然安全攻防结束,暴露出了许多安全问题,要针对每一项在攻防中暴露出的问题进行复盘,在复盘的过程中需要举一反三的思路,例如某应用系统出现问题,须要排查:
防护设备为何不拦截?
检测设备为何不告警?
资产梳理为何不到位?
漏洞补丁更新不及时?
安全攻防的战火未来一直会燃烧下去,“战争,以一方失去战斗意志为结束”,作为攻击方、防守方的你是否会成为英雄?
安全的本质是信任的问题,安全的核心问题是人的问题,我们知道常规的攻击方法和防御方式,主要是看谁收集信息的能力最强,谁的速度更快,谁的效率最高,攻防的博弈,敌我战场十分分明,同是Nday,看敌我双方谁扫的快,谁补的快,对于整个攻击者和防守者,围绕着信息收集、网络入侵、提升权限、渗透内网、安装后门、清除痕迹这条主线战场,要不断的博弈,一招不慎,都会满盘皆输。这里可见附件攻击防守图谱。
攻的难点在于哪儿?
针对基础设施较为完善的目标,常规入侵手段不够用时,就得转而偏向社工、钓鱼等更为费时和耗力的攻击方式,时间成本加倍,但若有收获,也比较喜人。
防的难点在于难儿?
基础设施建好的企业,只是达到了一个能和攻击者博弈的门槛,面对攻击者层出不穷的攻击方式,企业除了基建以外,还需加强对所有员工的安全意识教育,而一个企业基本都是多部门的:产品研发、运维、法务、IT....安全最大的问题其实是人的问题,确切的说是对员工的管理问题,数据防泄露,防内鬼。
以上均为个人拙见,可能会稍许片面,欢迎各位师傅斧正。
更多精彩内容请移步信安之路知识星球查看喔
恭喜以上小伙伴及小白,TsengDuke,wh01sr00t,la扯、什莫
获得《大型互联网企业安全架构》一本
在“征稿活动继续!携手陌陌安全送福利”活动中
中奖名单来啦
大家奔走相告吧~
小编恭喜以上获奖的幸运小可爱们 ~