??? ? ? ?網(wǎng)絡(luò)安全行業(yè)有很多怪象，比如“安全企業(yè)做的產(chǎn)品都是給客戶用的，反正自己不用”，再比如“企業(yè)買的產(chǎn)品都不是攻防一線實際使用的工具”。所以企業(yè)和攻防一線的白帽子之間互相存在鄙視鏈：白帽子們認(rèn)為企業(yè)方不懂攻防買的都是合規(guī)性產(chǎn)品形同虛設(shè)出入自由，而企業(yè)認(rèn)為這批“專家”都是自說自話輸出的“產(chǎn)品”根本不可用。這種相互的鄙視鏈條估計還將長時間存在（有錢的情況下鄙視鏈?zhǔn)菃蜗虻模?，隨著政策的落地細(xì)化，情況會有所好轉(zhuǎn)。目前企業(yè)和白帽子們在對安全產(chǎn)品的理解方面有著天然不可調(diào)和的矛盾，國內(nèi)買metasploit的企業(yè)極其少，更不用說去買cobaltstrike研究了，因為功和防體系原本就不一致，企業(yè)能聽懂burp已經(jīng)實屬難得，讓他們搞懂mimikatz怎么用怎么防護那就基本不可能。

? ? ? ?一些紅藍(lán)軍攻防對抗的故事挺有趣的，提前確認(rèn)好了攻擊方的攻擊時間和范圍，坐鎮(zhèn)總部的防守方反饋“風(fēng)平浪靜”每天就看些小白們的掃描日志，而另一方面攻擊方早已在各邊界打好了洞，在各服務(wù)器上安裝上了cobaltstrike，敏感數(shù)據(jù)一覽無余。

? ? ? ?我把安全的滲透分為三個階段：滲透前的階段，滲透中的階段，以及后滲透階段。簡單來說，長時間以來滲透前階段的是nmap/awvs之類的掃描類產(chǎn)品，滲透中用得最多的是集大成者metasploit/burp，后滲透用的是cobaltstrike/mimikatz/菜刀等，分別對應(yīng)信息采集，邊界突破，權(quán)限維持橫向擴展。

? ? ? ?對防護方而言，“輸”是必然的，基于如下幾個原因：一）資產(chǎn)邊界（攻擊面）很大，而且正在越來越大。最初的網(wǎng)絡(luò)很簡單，幾臺服務(wù)器幾臺PC，管理起來不費力。然后移動端出來了，虛擬化出來了，云計算出來了，物聯(lián)網(wǎng)出來了，要管理的物理資產(chǎn)動則上百萬，上層承載的軟件業(yè)務(wù)資產(chǎn)不計其數(shù)，基本沒有企業(yè)能夠準(zhǔn)確說出自己的暴露攻擊面的情況。二）攻擊方越來越“厲害”。最初企業(yè)面對的是個人小黑客奔著小利益去，損失百萬級別；后來變成了商業(yè)競爭的團隊作戰(zhàn)竊取敏感數(shù)據(jù)，損失過億；目前，隨著各國提出了第五空間的概念，戰(zhàn)爭的概念快速落到了國與國的網(wǎng)絡(luò)空間，這種損失可不只是萬億級別的經(jīng)濟問題。要說不是每個企業(yè)都關(guān)系到“國際民生”吧？大家稍微琢磨一下，如果你打車軟件收集了實名，如果你叫外賣收集了實名，你到小酒店開房收集了實名，那么哪家企業(yè)又能夠“獨善其身”呢？攻擊方的厲害體現(xiàn)在速度越來越快，可利用漏洞越來越多，最要命的是攻擊的痕跡越來越淺。三）防護缺乏安全體系建設(shè)。體系建設(shè)不只是根據(jù)監(jiān)管要求的來，因為那是全行業(yè)的泛化要求，無法保證所有行業(yè)所有業(yè)務(wù)場景通用。大家把重點放在邊界防護，導(dǎo)致內(nèi)部問題沒有正確的處理，進了內(nèi)網(wǎng)就是漫游。企業(yè)經(jīng)歷過業(yè)務(wù)線和地域的不斷擴充，全局的安全管理已經(jīng)變成了奢望：安全部門沒有足夠的地位（連獨立的信息安全部門都沒有），業(yè)務(wù)線各自為政（把安全管理當(dāng)作對立面），安全人員缺口太大（3，4個人管數(shù)十萬資產(chǎn)的情況比比皆是）。團結(jié)未必贏，一盤散沙必然輸。所以每次聽到漏洞“無法更新補丁，你出承諾函出了問題你負(fù)責(zé)”的時候，你就知道安全體系建設(shè)實在還沒有達(dá)到能夠跟攻擊者對抗的預(yù)期目標(biāo)。

? ? ? ?要說防守方心里不發(fā)虛那是假的，他們確實比誰都擔(dān)心，因為政策落地太快了。最近幾年出臺的網(wǎng)絡(luò)安全法律，幾個共性非常明顯：一是增大了對企業(yè)的管理范圍，二是增加了企業(yè)的處罰力度，三是網(wǎng)安立法從制定到征求意見到正式實施的速度非?？欤氖敲芗潭群芨?，十幾年前一直用等級保護和刑法修正案來適配，突然從15年開始網(wǎng)絡(luò)安全法，等保2.0，網(wǎng)絡(luò)安全漏洞管理規(guī)定，數(shù)據(jù)安全管理辦法等等全行業(yè)安全管理的要求不斷出臺，對應(yīng)到各個行業(yè)垂直安全管理的要求就更多了。數(shù)據(jù)越多，價值越大，責(zé)任越大，風(fēng)險越高。做了合規(guī)也不算完啊，還沒來得及喝一口水呢，還有紅藍(lán)軍對抗演習(xí)，還有各種會議保障的事件型檢查。好好的一個甲方，你說怎么就突然變得這么狼狽了呢？

? ? ? ?這種變化一方面是由于國際形勢的變化導(dǎo)致的政策變化，這些政策變化的原因是由于網(wǎng)絡(luò)攻擊的技術(shù)發(fā)生了極大的變化。十年前的防守技術(shù)放到今天我說有用大家也不信對吧，一些廠商已經(jīng)把網(wǎng)絡(luò)掃描器從安全產(chǎn)品放到了網(wǎng)絡(luò)設(shè)備分類中去，實在是因為最大的功能在于ACL，而這個功能任何一款路由都能具備。

技術(shù)的變化體現(xiàn)在黑客攻擊的速度越來越快，同時黑客攻擊的痕跡越來越不明顯攻擊過程越來越無感知。聽起來很有邏輯問題：怎么可能做到快速給別人一個大巴掌聲音還不那么響呢？若干年前第一次聽到BT下載的宣傳語是“下載人數(shù)越多，下載速度越快”，當(dāng)時簡直顛覆了我的認(rèn)知，服務(wù)器帶寬就那么大，下載越多不就越擁塞就越慢了嗎？怎么反而還能越快呢？后來才明白，誰說要占用服務(wù)器帶寬，可以用去中心化的模式啊，遂恍然大悟。這就是認(rèn)知的升級。放到黑客攻擊的角度，大家已經(jīng)根深蒂固地認(rèn)為：所有攻擊過程都必須發(fā)起大量的掃描報文，有用于發(fā)現(xiàn)端口的和用于發(fā)現(xiàn)漏洞的包。如果我說攻擊者的速度比以前快100倍，發(fā)包量只有傳統(tǒng)的萬分之一，大家能理解嗎？如果能夠理解，恭喜你也認(rèn)知升級了，如果還沒有理解，沒關(guān)系我們往后講，BT下載和區(qū)塊鏈也是要教育一段不短的時間大家才能逐步了解。不只是企業(yè)和白帽子有鄙視鏈啊，黑客對白帽子也有鄙視鏈：“丫距離爺足足一條大街那么長”，有時候好人不好當(dāng)?shù)模笥也皇侨?。在網(wǎng)絡(luò)安全這個江湖，黑客認(rèn)知速度快于白帽子，白帽子的認(rèn)知速度快于企業(yè)。所以企業(yè)方也陷入了沉思：我們花了這么多錢，請了這么多的安全企業(yè)，這么多人駐場服務(wù)，怎么就防護不住呢？難道真是“道高一尺，魔高一丈”？

? ? ? ?這里面的差距就是認(rèn)知的不同以及體現(xiàn)效率的工具不同，認(rèn)知的不同體現(xiàn)在是重“實戰(zhàn)”還是重“套路”。黑客是無所顧忌的，心一橫什么都敢干，所以黑客練習(xí)的是MMA是截拳道，信奉的哲學(xué)是一擊致命以及“要么你死，要么我死”，用最小的代價最快的速度結(jié)束戰(zhàn)斗。企業(yè)不一樣，身上的包袱太重了：不要對領(lǐng)導(dǎo)做釣魚測試因為這是政治事件；不能打補丁因為業(yè)務(wù)中斷了沒人能負(fù)得起責(zé)任；弱口令不算因為這不是漏洞；只能針對這個點測試其他的不能測試因為我只管這一灘（任他洪水條天，我自怡然自得，能掃好門前雪就不錯了）；咱們級別平齊你憑什么指揮我，讓你們領(lǐng)導(dǎo)跟我來說。所以上拳臺的時候說“來，咱們約法103章：一不能肘擊，二不能抱摔，為了面子好看三不能打臉，四最好你出拳的時候告訴我一聲，五我可以給你點錢你輸給我……”，話還沒說完“嘭”的一拳下來倒地不起。你看鄙視鏈條在武術(shù)圈也是存在的，MMA跟拳擊互相鄙視，他們再共同鄙視WWE。在大家討論江湖規(guī)矩不亦樂乎的時候，黑客們可沒閑著，他們在不斷地進化武器庫：怎么樣能在0.1秒內(nèi)打出幾百公斤力道的寸拳？

? ? ? ?安全的本質(zhì)就在于信息不對稱：我知道的你不知道，或者我知道的比你早。比如那個漏洞我知道你不知道，你輸，再比如這個攻擊技巧我是昨天知道的，你今天才知道，你也輸。關(guān)于拿0day漏洞攻擊這種絕對的不對稱，我認(rèn)為靠現(xiàn)有的產(chǎn)品體系一定時間內(nèi)無能為力，更多的靠的是專家服務(wù)，這個話題我們以后有時間了再來分析，我更多的想講講目前絕大部分不用0day也能完成實際入侵效果的Nday甚至是不用漏洞攻擊的技巧問題。按照我們的統(tǒng)計，目前企業(yè)被成功攻擊的情況聚焦在如下幾個方面：一）資產(chǎn)暴露攻擊面不清楚，防護覆蓋不全面，這個占比40%；二）漏洞不能得到及時的修復(fù)，幾年的老漏洞在內(nèi)網(wǎng)處處可見，占比30%；三）基本策略的缺乏，設(shè)備內(nèi)的默認(rèn)口令弱口令問題，核心入口缺乏的二次認(rèn)證，異常行為發(fā)現(xiàn)和預(yù)警能力欠缺，占比20%；四）企業(yè)的漏洞知識庫和響應(yīng)來之安全公司，安全公司的規(guī)則推送到企業(yè)的更新速度普遍慢于黑客攻擊速度，這個占比5%；五）人的安全意識缺失，如釣魚社工等，占比5%?？偠灾痪湓挘诳涂梢怨羧?，可以攻擊網(wǎng)站，可以攻擊設(shè)備，可以攻擊郵件系統(tǒng)，可以攻擊工控系統(tǒng)，企業(yè)疲于奔命應(yīng)接不暇，當(dāng)黑客知識體系比你更多，速度比你快的時候，被攻擊成功是一種必然。

? ? ? ?回過頭來講，黑客速度為什么能更快更輕？比如我說黑客對你的系統(tǒng)發(fā)一個包就能結(jié)束戰(zhàn)斗你信不信？你不信？那就對了，所以當(dāng)Victor在twitter上公布說我國某人臉識別系統(tǒng)數(shù)據(jù)泄露的時候，當(dāng)他說我國某聊天數(shù)據(jù)泄漏的時候，說我國某上千萬婦女信息泄漏的時候，大家都在吃瓜。是誰？IP在哪？泄露了多少數(shù)據(jù)？這里穿插一句，幾年前大家老在挑戰(zhàn)我說“我有漏洞就一定會被攻擊嗎？我數(shù)據(jù)沒有加鎖就一定會被偷嗎？”，現(xiàn)在我可以很負(fù)責(zé)任的說如果數(shù)據(jù)有泄漏的潛在漏洞，就一定會被偷，而且一定不只被一個人偷。從最初的Chris Vickery這個數(shù)據(jù)泄露獵人開始，到后來的Victor Gevers以及SANYAM JAIN，Bob Diachenko，他們的方法披露后，一批人基于這種利用網(wǎng)絡(luò)空間測繪“先打了再說”的思維模式，開發(fā)了多種系統(tǒng)，在偷之前你是不可能知道他們準(zhǔn)備偷的，因為沒有任何網(wǎng)絡(luò)痕跡，所有的信息采集都在其他系統(tǒng)完成。一直到直接拖數(shù)據(jù)曝光，被偷的企業(yè)還雙手交叉插進袖口，胳膊肘子蹭一蹭旁邊的吃瓜群眾問“嘿，哪個傻X被偷了？”。安全攻擊跟魔術(shù)一樣，看第一遍各種神奇，看過揭秘后先感嘆原來是這樣，繼而說不過如此，最后說無聊轉(zhuǎn)身離開。

????????黑客在當(dāng)前階段，與之前最大的變化不在于后滲透階段，也不在于滲透中階段，因為這兩塊都非常成型且暫時屬于量的積累沒有太大的改進空間，最大的變化來自于滲透前的階段，已經(jīng)產(chǎn)生了質(zhì)的飛躍。nmap幾十年來雄霸一方，在針對具體目標(biāo)做掃描的時候極其有效，全面準(zhǔn)確，但是劣勢是非常明顯的：速度太慢。慢是相對的，換在幾年前說，估計我會被安全從業(yè)者噴死，因為以前它一直是最快的掃描工具，然而對于黑客來說，能否一秒之內(nèi)獲取目標(biāo)網(wǎng)斷的重要開放端口，以及更進一步得到banner信息？顯然他們找到了答案，對于互聯(lián)網(wǎng)暴露攻擊面的梳理，他們不再是手動找一臺服務(wù)器重新掃描，同一個目標(biāo)不同的攻擊者每次都重新掃描，會導(dǎo)致大量的重復(fù)勞動。如果說黑客把這些數(shù)據(jù)共享呢？是不是其他人就可以不用再掃描了？如果更近一步，黑客能夠把IP對應(yīng)的設(shè)備與以及應(yīng)用系統(tǒng)都?xì)w好類打好標(biāo)簽?zāi)?？如果每個掃描漏洞的腳本都直接匹配這些應(yīng)用標(biāo)簽?zāi)?？是不是就做到了針對性的精?zhǔn)攻擊？是的，黑客們不只是這么想的，事實上他們正在這么做。數(shù)據(jù)泄漏不用針對全互聯(lián)網(wǎng)掃描，從42億IPv4空間提取出來的數(shù)據(jù)泄漏的目標(biāo)也不過才數(shù)十萬，搜索出IP的時間是1秒鐘，怎么獲取數(shù)據(jù)那是后話了。同樣的，針對一個突發(fā)漏洞，黑客的時間差能做到分鐘級別，而企業(yè)等安全廠商推送檢測和防護規(guī)則，一定至少是一天以后的事情。你怎么贏？

? ? ? ?黑客提的是工具，企業(yè)說的是產(chǎn)品；黑客說的是效率，企業(yè)說的是匯報；黑客把精力全部花在漏洞的獲取和效率工具的開發(fā)，企業(yè)要求安全產(chǎn)品80%的精力花在報表。這不是錯誤，企業(yè)領(lǐng)導(dǎo)因為不懂細(xì)節(jié)，只能通過報表看全局，或者從報告的細(xì)節(jié)處來管中窺豹，這只是現(xiàn)實的差異，屁股決定腦袋。對于“未知攻，焉知防”我的理解是：如果你不知道攻擊，你構(gòu)建的就是馬奇諾防線，黑客實際的攻擊路徑跟你預(yù)期的攻擊路徑不相同，所以沒有起到防護的效果，以及沒有對未知攻擊的應(yīng)急預(yù)案，這就是為什么黑客內(nèi)網(wǎng)漫游了，安全設(shè)備連告警日志都沒有產(chǎn)生。

? ? ? ?要說企業(yè)防護目前一無是處那肯定也不是，最近做的最好的最具有劃時代的一件事就是：防護方聯(lián)合建群，大家一起來共享攻擊IP，并且進行快速封IP的操作。

——————分割線——————

后記：本來想寫完我的一些答案，越寫到后面，越發(fā)現(xiàn)想表達(dá)的太多，一時半會寫不完。所以順其自然吧，以后再慢慢補充。