聊聊以攻促防

百家 作者:余弦 2020-05-02 19:26:05

懒人的读者们知道我 2017 年开始一直在忙碌创业这件事,2017 年我将我之前的经历,简短写进了“关于我”这篇文章中,之后更新频率逐步降低。一方面确实是太忙,另一方面是觉得没什么特别想写的。


写作对我来说是一件比较随意的事,毕竟不是主业。


这篇文章我想简单提提我的一个思考“以攻促防”,这个思考也决定了创业这条路的一些玩法。


以攻促防对我的意义在于一种能力的大升级,曾经我都是站在攻击者角度去深究一些问题,很少站在防御者角度思考比如挖漏洞、写利用、做渗透,但实际上曾经我做的更多的是黑客程化的事:如何将一个漏洞利用自动化所以当年我在知道创宇时,公司决定做 ZoomEye(钟馗之眼) 这个网络空间搜索引擎时,我是动力最足的,人生总得从零开始做一些特别的事,这个事的意义已经不是仅仅满足自己单点研究的快感,而是这件事会带来更高纬度的视角。


我在 ZoomEye 的贡献并不是代码,而是当决定干一件事,从零组建团队,把最合适的人放在最合适的位置,带领这个方向,把关总体架构设计,并让这个团队有足够的荣誉感。2013 年时,这是个非常新的方向,在这个领域的全球范围内没有什么成熟玩家,虽然那时 Shodan 的前身已经出来了。ZoomEye 在这个领域大火是 2014 年的心脏出血漏洞,一次非常漂亮的应急,并作为唯一一个在全网测绘出这个漏洞的影响面。这个让 ZoomEye 进入了海内外许多各领域媒体的报道中,其中最有意思的是白岩松主持的一次央视新闻。这段经历,让非这个行业的曾经的同学都有跑来说:在央视上看到了你们


如果一件事,全世界只有你一个人在坚持,那是孤独的,且这个方向是有问题的。目前来看这个方向没问题,还拥有更多的挑战,比如 IPv6 的出现、各国类似网络安全法的出现。所幸,这个领域还存在一些坚持者,如 ZoomEye、FOFA、Censys、Shodan、Shadowserver、Rapid7 Project Sonar 等等这些浮在水面上的。喜欢这些工程的也都应该看看更早的一次全球网络空间测绘项目:Internet Census 2012,作者一个人通过蠕虫控制全球不少服务器/网络设备的方式低调完成的测绘工程,当年我是跪着研读完的,至今不知道作者是谁,匿名了:-)


从技术角度,这些对我们来说都不是什么大问题:漏洞分析、协议分析、指纹分析、分布式调度、大数据存储、解析、展示等。这里面最复杂的问题是如何工程化稳定产出的问题,工程化不是跑起来就行,而是要稳定产出。这里面有一个非常关键的前提:钱。没有大投入是搞不定这种稳定产出的大工程。基本上来说,如果不学“Internet Census 2012”那样,小公司是玩不动的。所以我从知道创宇出来后,就不玩了,但相关能力还在沉淀,一方面是兴趣,另一方面是觉得此事很有必要。我离开后,ZoomEye 也有幸被 heige 接走了,在 ZoomEye 大体系里,我也就简单搭配搭配 heige 这位大黑客。ZoomEye 这条路比我当年玩 Web 前端安全收获更多,这是一次能力的大升级。


接着到了我出来创业的阶段,2017 年,我和一位老友在新加坡参加 HITB 黑客大会时,有一天晚上我俩聊了很久,我说我决定走防御路线,而他选择了坚持走攻击路线。于是在一次区块链/加密货币风口中,我和团队商量后,拉了一些新血液迅速成立了一家区块链生态安全公司:慢雾科技。这过程的话题特别多,以后慢慢谈。


这里需要特别提的就是“以攻促防”这条路线,我们这批人非学术领域出身,也没在某些大厂做足安全防御工作,但我们很懂攻击,摆在我们面前的挑战是:我们发现了漏洞,如何在甲方场景下给出最佳的防御方案。


你看,这又是一次思维的大转变。区块链/加密货币方向和我当年玩 ZoomEye 类似:一片蓝海,许多工作都需要摸着石头过河,创业让我们不得不快速适应这种挑战。好在我们这批人适应能力不错,在实战中沉淀出了一套自己的安全攻防战略战术能力,且我们知道应该如何去持续完善它。


近几年,行业内特别喜欢提红队、蓝队,还演变出了紫队等不同颜色的安全队伍。概念没错,我们提“以攻促防”想表达的点也很简单:做安全的,需要懂得攻击,发现问题,还需要懂得防御,解决问题。概念就是这么简单。剩下的呢?实战出真知。


在我看来,以攻促防是攻击到防御的一次必要的闭环,虽然安全这个行业,有些人是专门玩攻击的,有些人是专门玩防御的,当然也有些人是玩文字的。毫无对错,选择的路线不同而已。但我可以给那些给甲方做安全的乙方安全团队一个中肯建议:攻击玩久了,适当换换防御思维,沟通起来事半功倍。也给甲方本身做安全的团队一个中肯建议:防御玩久了,适当换换攻击思维,沟通起来也事半功倍


以攻促防掌握了,没谁忽悠的了谁。世界和平,好人一生平安:-)




文后推荐一个我好友的安全公众号,最近主要讲的是零信任安全架构,很有质量,我还请他给我们分享了一堂课,收益颇丰。


小议安全:有关网络安全、零信任、安全管理、安全分析和数据安全的一些沉淀和想法,以及个人成长,以原创为主。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接