读《漏洞》（齐向东）（一）

只谈新收获，不评书。为了看看是哪不过审，我分成了两部分。绝大部分都是书中的原话或概要。

供应链攻击例子：solarwinds事件, 攻击xshell，攻击集成开发平台

外包商威胁：斯诺登就是外包商的（因为与外包商的合作，外包商拥有较高的权限）；软件外包商可能在软件中预留后门。

比特币等数字货币的出现，直接导致勒索攻击（如果没有数字货币，通过留下的支付方式就能抓获）的流行、挖矿木马的流行，还为anwang提供了一种交易方式，并且广泛应用于洗钱。传统网络犯罪的侦破主要依靠经济手段。现在的破案变得困难很多。

互联网目前提供服务的主要形式是网页，因此网页挂马是一种重要的攻击手段。先制作木马，然后利用漏洞插入木马，随后木马被推送到用户。比如攻击广告投放系统、新闻资讯弹窗等。

APT是Advanced Persistent Threat的缩写。高级持续性威胁。大背景组织攻击大目标。APT组织利用多层次的加密混淆、多阶段载荷方式等掩饰攻击来源。
APT攻击与普通网络攻击的本质区别在于其特有的针对性。普通攻击为择弱的、非针对性的攻击。其获利主要依赖感染量，比如构建僵尸网络用于SPAM、DDoS、搜索引擎优化、流氓推广、数字资产的盗窃、勒索、挖矿等。APT攻击则表现为不顾目标强弱的攻击，其获利依赖于目标自身价值。

”黑链“是网站渗透的一种形式，也是一种搜索引擎优化的”技巧“。用非正常的手段获取的其它网站（特别是高评级网站）的反向链接。

私服本来是版权问题。现在也算是网络黑产。
水军、小贷属于灰产。

0day是珍贵的资源和武器。

漏洞扫描产品主要有网络扫描（通过网络扫描远程计算机）和主机扫描（在目标系统安装服务，访问所有进程和文件）两种。

国内民间漏洞响应平台主要以补天、先知（阿里云，云盾先知平台）、漏洞盒子（FreeBuf兄弟产品）等为代表。

维基解密，公开government秘密文件，初衷是保障公众知情权。

网络摄像头属于长期在线的设备，普遍拥有比较高的带宽，与由电脑组成的僵尸网络相比，具备更强的杀伤力。

传统工业企业中，控制网络一般与办公网和互联网是物理隔离的。因此，互联网中的安全威胁很难影响控制网络。工业物联网环境下，控制网将与办公网、互联网发生更多的数据交互，也会有越来越多的连接（间接存在公开暴露在互联网上的端口）。通过互联网扩散到控制网的恶意软件将越来越多。

工控系统的USB接口可能会被员工用于手机充电或插拔其它无关设备。
虽然不需要互联网就能工作，但有的设备的端口还是暴露在互联网上。
攻击入侵的路径不局限于互联网，还有移动介质、内部网络横向传播、社会工程学等路径。
本地特征库太小，因此平时用云查杀，但无法在隔离网中使用。在隔离网中，病毒库更新需要人工导入，更新的频率一般不高。书中提出的解决是在本地建立数据中心，并使用人工智能引擎。

对于分布式的大型工控网，人们为了控制监视方便，通常会开放virtual private network tunnel等方式接入，甚至直接开放部分端口。

工业控制所用的系统一般都很老旧。工业控制所用的通信协议一般也不考虑安全问题。系统生命周期长、升级维护少。工业控制系统操作站普遍采用PC+Windows的技术架构。为保证过程控制系统的可靠性，现场工程师通常在系统开发后不会对Windows平台打任何补丁。由于工业软件开发工程师更关注工业流程控制以及工艺相关问题，其编程的安全水平普遍不如IT工程师，导致工业软件的漏洞数量远高于IT软件。

各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等，在设计之初基本未考虑完整性、身份校验等安全需求，加密算法过时。

许多系统漏洞补丁存在千分之几甚至更大概率的兼容性错误。一旦碰上兼容性错误，系统故障就会发生，甚至宕机。对于一刻都不能中断的系统，我们被迫放弃打补丁。

云计算技术让网络的传统边界发生了变化，软件定义网络、虚拟私有云、弹性扩展、动态迁移等技术打破了传统的网络架构，过去基于传统网络和划分安全域，在出口上堆叠防火墙等防御设备的时代已经一去不复返了。公有云、混合云的出现，彻底将企业的安全边界扩展至企业内网之外。所谓的弹性安全，就是为了重建云上的安全边界。

虚拟化漏洞导致的危害主要有三方面：一是造成宿主机崩溃，从而影响同一宿主机上其它虚拟机的正常运行；二是宿主机被控制，即虚拟机逃逸攻击，获取宿主机的控制权，使用宿主机发动更加深入地攻击；三是侧信道攻击，获取同一宿主机的其它虚拟机的敏感信息。

云让数据资产更集中，形成了一个个数据金矿，同时也必然更容易吸引黑客的攻击。

云厂商在出现安全事故时，可能会隐瞒。因为除非泄露到网上，否则甲方不会知道。