0x0 背景
最近陆陆续续的都放春节了,关注了一些做安全的朋友发现大家对今年的安全工作都不甚满意或距离预期挺远的,或者直接说感觉今年挺难的对以后的行情开始有一些担忧,但翻开新的一页应该是有总结分析也有展望预期的。外行看热闹、内行看门道;总结一下自己从安全技术方面在今年看到的一些现象与分析后的观点,茶余饭后可以缓解一下归途中的无聊,高速路休息、高铁上吃零食场景下充当一下电子榨菜的价值;
0x1 想法&点子
安全肯定且必须是为业务保驾护航的;由于持续三年的Virus的原因,很多安全建设方的业务或多或少受到较大的影响,随之传导到了信息安全的工作;但除此之外,笔者认为很有很多的因素在于,安全无论是攻击技术、检测技术、安全服务都没有出现一些技术创新,继而难以真正的发挥信息安全的价值,主要有如下4个表现特征:
1.目前安全建设方面临的真正安全的威胁未被有效的方案解决;
伴随着数字化的业务越来越多,安全威胁与攻击面必然是增大的,但是实际真正造成安全风险的威胁种类实际上并没有增加;传统的一些"过时"的Web攻击、漏洞攻击、病毒密码能真正造成影响的情况还是很小的。比如很多安全培训课程里面讲什么IIS解析漏洞、MS08-067、域控下的提权MS14-068这些经典但是实战不适用的漏洞,且目前市面随便一个主流的防火墙、态势感知都可以解决此类威胁;目前真正会带来较大危害的,是一些黑产/定向攻击团伙/APT主导发起的针对性勒索、数据窃取、数据篡改或者其他高价值的企图;其主要的攻击手法包括了未被披露的0day/Nday利用、供应链攻击、身份冒用的长时间潜伏摸索、个性化定制的社交网络钓鱼等手法,大部分PPT上的内容并未真正的实现;从一定程度上来说,目前市面上的安全产品更喜欢去做一些简单的事情,针对一些日常运营中遇见的僵木蠕毒上精益求精,即所谓的内卷;
2.攻击技术与检测技术、正在互相攻击彼此的安全盲区;
最为典型的就是目前实战化的攻防演练,有一个比较有趣的现象即无感出局;蓝队的同学看着诸多安全告警逐步分析的时候,突然就被告知已经成功入侵好几天了;深究其原因,一般是有好几个阶段:
a.攻击入口的点未被发现
b.横向移动类的行为未被有效筛查告警
c.免杀的工具与行为未被有效识别;
根据之前多次的应急响应溯源经验,大部分的攻击并非没有对应的安全告警或者日志,而是这些看似低危、日志、异常类的信息被其他大量真实的攻击、业务的误报给掩盖了,尤其是一些白利用技术所产生的告警。蓝队的同学并没有精力、业务知识、安全能力可以从海量的告警里面筛选出此类的有效告警并进行有效分析,而红队的的同学真实有效的攻击往往都在安全设备的能力之外或者不在这些设备保护的资产范围内。在事后调查的场景下,借助于安全专家的能力和安全设备的告警(alert)/日志(log),往往可以还原出攻击者真实的路径。
3.不同安全产品之间的告警祸起萧墙,未形成合力产生价值;
基于异构的思维在比较多专业的安全建设方普遍还采购不同的安全产品、或者相同产品品类但厂商不相同的异构;理论上更多的保护会带来更好的效果,但这也仅仅只是一个期望或者存在PPT当中罢了;当技术人员真正把不同的安全产品的告警通过设备对接的方式放到安全运营平台的时候,就发现落地难度很大;一条真实的攻击,不同安全产品产生的告警数量、类型、描述都不一样如:
a.告警数量都不一样;A产品相同时间产生了3条告警(多规则)、B产品产生了1条(引擎检测)
b.攻击状态不一致,A产品描述为攻击成功、B产品描述为攻击失败;
c.告警的关键字段字段不一致;比如A描述为远程命令执行、B描述为系统代码执行的情况比比皆是
原以为的安全合力反而成为安全运营过程诸多的无效工作;
4.安全事件频发,安全调查对安全专家依赖越发加强;
基于"敌已控我、敌已在我"的思路做安全,往往会通过部署不同的安全设备并对相关日志进行保存。在安全建设方实际遇见安全事件之后则寻求安全厂商的响应专家,面对不同安全产品所产生的海量告警与日志,部分响应工程师自身欠缺一些比较基础的分析调查;资深的应急响应专家目前也是稀缺资源,且单次溯源分析的交付周期相对当中,流程缺少标准化,又增加了对应急响应的经验的额外要求,笔者认为此类场景也是目前面临的一些比较麻烦的困境;
0x2总结
律回岁晚冰霜少,春到人间草木知;很多安全问题其实很难去逃避,没有被根治就会反查出现,选择性的忽略无非鸵鸟心态。只有真正的有一些创新的技术和方案,能够让安全工作为业务产生价值,才能避免无效的内卷,让安全建设方的技术人员避免在讲无懈可击的规划方案和反复救火之间反复横跳;
2023,希望无论是安全建设方、还是安全厂商,无论是的红队还是蓝队,都能够把PPT上的吹过的牛逼给实现了,赢得客户甲方与直属领导精神上和物质上的认可,最后可以早点回家过个好年;
3052
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
