吐槽攻守双方信息不对称

江苏11选5遗漏数据查询 www.phpbee.com

写在前面的:这个只代表个人的意见,不代表大众看法,觉得说的对就给点个赞,觉得说的不对的反正你也看完了,就忍着吧,吐槽之类的就别了,免得耽误你时间。

在很多场合,不管是在网上扯淡还是在各种高大上的安全会议上,经?;崽揭曳交蛘呒追降陌踩嗽蓖虏?,由于信息的不对称,导致防守的一方在处理入侵事件的时候,处于劣势。这种思想就像病毒一样大肆传播,所有的有影响力的入侵事件,几乎都是一个套路:在信息不对称的情况下xxx做了大量的努力,迅速应急,保障了xxx安全。

由于厂商和和甲方到处鼓吹信息不对称言论,以至于大家认为防守的一方很可怜也很牛逼,在掌握少量信息这是没掌握任何信息的情况下能够快速处理入侵事件,体现了他们的职业素养和深厚的技术功底,实际上我想说这是会哭的孩子有奶吃,至于怎么哭,你们自己体会。

既然提到了信息不对称,那就需要一个对比,是如何不对称的,用实例说话:

A为某黑客三人团伙,B为某大型甲方公司的安全部门和运维部门以及业务部门和第三方技术支撑部门。

B方有网络拓扑,有路由表,有防火墙规则,有业务系统的清单,有专门的审计系统以及第三方各种厂商的设备和技术支持。

A方有一个主域名,B熟悉自己的业务系统,知道自己有多少设备多少主机多少数据库多少web.ETC,从业务管理到运维管理到安全团队,至少有50人以上的专业团队以及第三方技术支撑。

A三人团伙通过搜索扫描爆破猜解等方式来获取B的信息,B通过合法可信的审计系统,在不影响业务系统正常运作的情况下对网络和设备进行基线扫描和安全漏洞检测以及设定各种防御机制。

A方通过未授权扫描及信息探测,尽量不影响B方的业务系统正常运作,并且要规避各种防火墙和检测系统。

B通过代码审计基线扫描来获取漏洞信息。

A通过代码审计基线扫描来获取漏洞信息。

B通过路由表,网络拓扑,DNS信息,AD信息来获取设备和网络结构信息。

A通过路由表,DNS信息,AD信息来获取设备信息和回溯网络结构信息。

从表面上看,A和B的信息基本上是对称的,所以信息不对称,表面上看是不成立的。这里可能有人会说,防守的一方是从全局考虑的,而入侵的一方仅仅需要一个漏洞就可以了,同时防守的一方还需要考虑一些设置是否会影响业务系统的正常运行,而入侵的一方则不需要考虑,所以这样说是站着说话不要疼。实际上,在入侵的过程中,A方也在考虑是否会对业务系统的正常运转造成影响,鲜有案例证明入侵者对目标的业务系统造成重大影响而导致停摆的情况发生。

曾经有人说,部门间的协调由于行政原因,不可能所有的东西都会很详尽的告诉你,或者由于管理制度的原因,有很多私搭滥建的业务系统及测试设备,非安全部门一个部门能解决,来自内部的威胁导致这种信息不对称,实际上,这种情况很多你是可预测的,而入侵者却需要重新发现。

另一种论调,是听到的比较多的,特别是甲方公司,我们一个平台跑几十个业务,上百个接口,数据库各种更是数不胜数,有些接口今天用可能明天就不用了,有些今天没有的接口可能明天就有了,这种我们自己也不好处理,无法监测,我们可能要同时兼顾几百个接口,根本不知道哪一个会出问题。而黑客只需要找到一个接口的问题,整个系统可能都沦陷了。事实上,黑客也不知道哪个接口会出问题,只有通过黑盒测试,扫描探测等方式,对全局进行信息收集,漏洞查找,才能从这几百个接口里找到有问题的接口。黑客所做的工作,是和你做的工作是一样的。只是他们比你花了更多的精力和时间在这上面。

从上诉列举的例子来说,信息不对称,基本不成立,无论是从对系统的架构了解,网络架构,设备部署,系统部署等情况来说,甲方公司掌握更全面的系统信息,并且是透明公开的,而黑客三人团伙,这需要从最基本的信息收集入手,一点一点的来进行信息收集,这里,甲方公司对信息的掌握有绝对的压倒性优势。

另外一个方面来讲,由于职业性质不同,黑客只需要了解攻击手法,而不必考虑系统防护等方面的因素,而甲方或者乙方需要考虑到系统防护,防御,补丁修补等方面的原因,耗费的时间成本和人力成本较高,对抗时处于劣势,但是这不在信息不对称的讨论范畴,我们讨论的核心是信息不对称,而非防御投入的成本。

还有一种声音是,黑客团伙手里掌握了大量的0day信息,有充足的资金去购买0day,这种不可预测和不可防御的因素,导致了甲方或者乙方在防守时处于劣势。暂且不说各种甲方弱智的漏洞根本就轮不上用0day,一堆弱口令注射上传rce等等传统弱智的漏洞都已经足够让你系统全面沦陷。绝大部分黑客自己并不生产0day,他们只是0day的搬运工,这绝大部分的黑客也只是通过各种渠道获取0day信息,然后花钱购买0day,在这一点上,甲方或者乙方做的完全不够,这里所产生的信息不对称,是由于甲方的懒政或者关注度不够所造成的,黑客获取0day信息的途径,甲方或者乙方的公司完全也可以去做。

以上的信息不对称,是针对入侵渗透过程中的技术信息不对称,这里实际上,看到的处于信息孤岛和劣势的是三人黑客团伙,甲方对于信息的掌握程度,用前面的话说,有绝对压倒性的优势。

另外一种所谓的信息不对称,就是针对甲方业务逻辑的漏洞或者缺陷进行薅羊毛的行为进行的表述。甲方公司,特别是各种电商类的甲方公司,经?;岢鱿指髦盅蛎?,不利用技术上的手段,而是利用业务逻辑漏洞或者缺陷,进行一系列的薅羊毛行为。往往一开始甲方公司并不清楚这种行为的成因,甚至根本发现不了这些行为?;蛘咚档奔追椒⑾终庵中形?,在很长的一段时间内束手无策,因为他们并不清楚这些行为的运作方式和流程,以及运作的链条体系。首先说运作方式,羊毛党大都能发现甲方公司的这些业务逻辑缺陷或者漏洞,然后利用这些漏洞薅羊毛,同时衍生出一些列的产业链,这些产业链相互依存,来获得各自的利益。

而要打击这些羊毛党,除了了从技术手段进行防御,还有就是要深入了解业务逻辑漏洞的成因,整个羊毛党团伙的操作方式,运作流程,利益链条的相关信息。要获取这些信息,其实很简单,我在微博上讲过,你想成为什么样的人,你身边就会有什么样的人,只需要去跟这些人接触,去深入了解,走到他们中间。大部分的羊毛党并不像黑手党那样组织严密,为了扩张自己的利益链,需要不同的买家和卖家群体,甲方公司稍微花点时间做调研,无间道也好,发展线人也好,很快这些脉路都很清晰,彻底根除这些羊毛党不是不可能,主要是一方面彻底根除之后安全部门的价值很难在体现,另外一个原因是因为甲方公司的思路比起来做黑产的,要落后3-5年以上,不会想到这些东西。在这里,这些信息不对称是由于甲方或者乙方公司的思路问题,或者执行力问题。

至于信息对不对称,大家从上面自然可以看得出,解决办法在文章里都有提,写的不深入,如果太过于深入会打太多人的脸,面子上过不去,我也不想树敌太多,仅仅是扔个转头,有玉的话就扔出来,另外,可以评论,我也会回复,但是不会争吵,如果有不同的意见,请也写一片文章来。争吵太耗时耗力,时间成本太高,嘴炮打多了也会阳萎。

  1. ggg说道:

    黑八蜀黍回来了 :wink:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

530| 436| 200| 511| 482| 540| 3| 698| 784| 385|