客观面对结果,哪怕获得0失分也并不代表做得好,并不代表能防御国家级有组织的黑客队伍,有可能是被分到有软柿子的组,攻击队为获得更好的积分排名不一定会盯着你不放。此外客观来看,虽然防守方会被多个攻击队攻击,但同样每一个攻击队的目标也是多个,会导致他的精力有限无法发挥出全部效果。同时防守方一般会为了比赛,做大量的防御工事,其中还会有很多临时性手段,比赛结束可能就拆除了,平时的黑盒可没有这些限制,企业的安全水位想要再上一个台阶,达到常态化HW水平是必然趋势。
为避免不必要的麻烦,下文用实战攻防赛代替HVV。本文仅代表个人想法,和所在公司无关。
实战攻防赛是将小概率安全事件常态化的赛场,双方在既定规则下进行博弈与演化,攻击方为争夺第一而明争暗斗,防御方为抵消攻击者不对等的优势而不断进化建设理念,双方源源不断的从场中汲取经验作为新能量,帮助我们认知实战、理解实战,进而应对实战、掌控实战。
在实战攻防赛以前,如何证明安全做的好坏还停留在自证和安全事件证明阶段。无论是安全体系的广度和深度或者安全人员的多少,还是各类安全指标的提升或是漏洞发现的多或少,又或是内部组建独立的红蓝军来左右手互搏或是花钱请外部白帽子或安全公司来渗透测试,都很难解释中立自证问题。很多时候对于一家公司安全做的好坏甚至需要以是否出过什么安全事件这种底线来佐证。实战攻防赛天然的中立权威和实战特性,将安全证明推向到他证阶段,也许你认为花钱请三方做的各种评测、认证也算他证,但理论和实战的Gap永远是那么大,为什么那么多出事的企业都过了各种认证?实战的他证阶段中,他和我们没有利益关系,他甚至可能是竞争对手,他也是行业顶尖攻击者,他的驱动力很纯粹,最终让真实的小概率事件发生。Talk is cheap, Show me the code,让最终成绩说明一切。
实战攻防赛一年比一年规模大,但对象没怎么变化还是围绕着基础设施层面,对此的影响各人理解可能不一样,网络战不亚于真实战争。有一部我很喜欢的美剧Mr.Robot有讲过类似场景,主角Elliot白天是一家安全公司的的网络安全工程师,晚上就成了一名黑客,通过自己技术暗中帮助身边的人,并在网络中产黑除恶。有一家在各个行业垄断的巨无霸E公司,日程生活方方面面都离不开E公司,背负着E公司的房贷、车贷、信用卡、消费贷。他机缘巧合下加入了一个黑客组织,这个组织的目标是把E公司的所有数据库清除掉来解放所有人背负的债务,而E公司恰好是Elliot所在的安全公司的最大客户,一段有趣的故事由此展开。想想看,如果所有人背负的各类贷款不用还了会出现什么事情?各位金融行业的安全同学,多地多中心和各类热备冷备灾备执行的怎么样,数据全链路上防御功不可破么,能否抵御住这种团伙攻击?
实战攻防赛应该是目前明面上规模最大的以安全为主场的盛宴,甲方各行企业、乙方各类安全公司、丙方监管机构都参与到其中,各方都怀着自己的目的奔赴赛场,对各方的影响也一言难尽。
从甲方各类企业角度来看,如果把这件事当做一次挑战和机会,去克服甚至掌控它,那自然对企业、团队和个人都收获很多。这可能是安全第一次在公司内部获得如此大的关注,可以调动如此多的资源,去做一些以前难以做的事。以前也许需要借助创造安全事件来驱动安全建设,现在就只需专注事情本身如何达成目标。在一些行业的高目标导向下,传统做法已经达不成目标了,会诞生出很多创新的做法,去重视到很多忽略的攻击路径,去关注到更多未覆盖的点和面,重新审视做的事情,更加以结果和效果导向。相反,如果想着如何钻空子,去关闭业务、下线应用等消极方式来应对,只会让自己在后面栽更大跟头,甚至竞争对手或者一些组织搞到你家里了都不知道。
讲乙方事情很容易得罪人,我一直对国内部分传统安全公司很失望,借着行业高速发展做着钱自然来的生意,技术上没什么长进,靠着包装概念卖硬件盒子,拼资源和人脉关系,什么赚钱做什么,甚至一家公司把整个安全领域的产品都做了。没有深度也就算了,稳定性和自身安全都做不好,太多买回去都不敢用就放在那里应付检查,实战攻防赛成了一年一度的安全产品自身的安全问题打脸赛,披着安全的外衣,掀开里面全是洞,很可惜很多安全产品并没对公网而躲过一劫。有时候让人怀疑不是在解决安全问题而是制造安全问题,谢谢你们让安全行业如此繁荣。很多时候别人让推荐安全产品时除了几家比较好的,其它的我都没信心,什么时候安全产品能让安全人员先放心?没有对比就没有伤害,在以色列那边,涌现出一众优秀专注的安全细分领域企业,像CheckPoint、CyberArk、CheckMarx等等,产品的深度和用户的认可度都望尘莫及,再想想自己认识的在乙方工作的朋友,一周工作量半天就完成,如何追赶?但还好在实战攻防赛的出现有了一些好转,以效果说话让那些真正用心做安全产品和服务的安全公司得到市场的认可,逐渐形成良性循环。大可不必为那部分传统安全公司担心,他们还能高价卖人头给甲方,但卖人头更多的是卖最基础的渗透和应急的人,可替代性太强,不过也不必担心,他们有资源和人脉关系。这就是市场规律,顺其自然也不必过于担心,大方向向好。实战攻防赛里面有一个较大的BUG,买了你产品的客户你攻还是不攻?
丙方略。
结果出来后,必然几家欢喜几家愁。喜的需要考虑如何更高效更低成本常态化的达成实战攻防赛效果甚至跳出比赛局限性如何去应对更高等级攻击?愁的需要考虑如何提升水位应对来年比赛?关停了那么多业务、买了那么多产品、请了那么多外援、堆了那么多人、用了那么多临时手段,结果好那都好说,领导开心了、安全绩效好了、团队同学忙了、供应商盆满钵满了,各得其所。结果不好可怎么办,投入那么大,这次找个理由,来年怎么办呢?
实战攻防赛是一个好的机制,带来了正向影响。当一切向好时,剩下的就交给时间去证明。如果你也有一些想法或感触,期待交流下。