1. 首页
  2. 网络安全新闻

网络安全这点事儿

网络安全这点事儿

网络安全行业有很多怪象,比如“安全企业做的产品都是给客户用的,反正自己不用”,再比如“企业买的产品都不是攻防一线实际使用的工具”。所以企业和攻防一线的白帽子之间互相存在鄙视链:白帽子们认为企业方不懂攻防买的都是合规性产品形同虚设出入自由,而企业认为这批“专家”都是自说自话输出的“产品”根本不可用。这种相互的鄙视链条估计还将长时间存在(有钱的情况下鄙视链是单向的),随着政策的落地细化,情况会有所好转。目前企业和白帽子们在对安全产品的理解方面有着天然不可调和的矛盾,国内买metasploit的企业极其少,更不用说去买cobaltstrike研究了,因为功和防体系原本就不一致,企业能听懂burp已经实属难得,让他们搞懂mimikatz怎么用怎么防护那就基本不可能。

一些红蓝军攻防对抗的故事挺有趣的,提前确认好了攻击方的攻击时间和范围,坐镇总部的防守方反馈“风平浪静”每天就看些小白们的扫描日志,而另一方面攻击方早已在各边界打好了洞,在各服务器上安装上了cobaltstrike,敏感数据一览无余。

我把安全的渗透分为三个阶段:渗透前的阶段,渗透中的阶段,以及后渗透阶段。简单来说,长时间以来渗透前阶段的是nmap/awvs之类的扫描类产品,渗透中用得最多的是集大成者metasploit/burp,后渗透用的是cobaltstrike/mimikatz/菜刀等,分别对应信息采集,边界突破,权限维持横向扩展。

对防护方而言,“输”是必然的,基于如下几个原因:一)资产边界(攻击面)很大,而且正在越来越大。最初的网络很简单,几台服务器几台PC,管理起来不费力。然后移动端出来了,虚拟化出来了,云计算出来了,物联网出来了,要管理的物理资产动则上百万,上层承载的软件业务资产不计其数,基本没有企业能够准确说出自己的暴露攻击面的情况。二)攻击方越来越“厉害”。最初企业面对的是个人小黑客奔着小利益去,损失百万级别;后来变成了商业竞争的团队作战窃取敏感数据,损失过亿;目前,随着各国提出了第五空间的概念,战争的概念快速落到了国与国的网络空间,这种损失可不只是万亿级别的经济问题。要说不是每个企业都关系到“国际民生”吧?大家稍微琢磨一下,如果你打车软件收集了实名,如果你叫外卖收集了实名,你到小酒店开房收集了实名,那么哪家企业又能够“独善其身”呢?攻击方的厉害体现在速度越来越快,可利用漏洞越来越多,最要命的是攻击的痕迹越来越浅。三)防护缺乏安全体系建设。体系建设不只是根据监管要求的来,因为那是全行业的泛化要求,无法保证所有行业所有业务场景通用。大家把重点放在边界防护,导致内部问题没有正确的处理,进了内网就是漫游。企业经历过业务线和地域的不断扩充,全局的安全管理已经变成了奢望:安全部门没有足够的地位(连独立的信息安全部门都没有),业务线各自为政(把安全管理当作对立面),安全人员缺口太大(3,4个人管数十万资产的情况比比皆是)。团结未必赢,一盘散沙必然输。所以每次听到漏洞“无法更新补丁,你出承诺函出了问题你负责”的时候,你就知道安全体系建设实在还没有达到能够跟攻击者对抗的预期目标。

文章来源:【安全时代】 原文链接:https://www.agesec.com/news/4198.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注