昨天晚上楼下的野猫开始叫春了,我这才意识到雪夜已不再,春风十里远。专栏继续叫雪夜围炉就不合时宜了,偷个懒,就叫围炉夜话吧。
以上题外话。
这几天2016年RSA大会如期召开,作为全球最大的网络安全展会,自然也吸引了众多国内安全厂商参会,这里边有传统安全巨头,有新晋安全大咖,还有一些从未耳闻的公司。
有位安全同行对RSA会议有一条神评论,大家看看就好,我不做评论。
“RSA展就像国内安全公司的名利秀场,每年都有新得无法辨认的,老得无法言语的和职业打酱油的。所以,去看的人脑子飘过的只有三句话而已:这个SB是谁?这个NB怎么还没死?这个2B怎么又来了?”
今天我要讲的不是会议本身,其实很多会议初衷都很好,谈创新、谈合作、谈战略,行业对话、观点碰撞、院士站台、美女成群,但热闹之外却没有太多干货,除了晒晒朋友圈,三俩老友叙叙旧,剩下的也就是牛逼吹完之后的寂寞。
不知道大家是否仔细看过这些安全会议的演讲选题,几乎所有的会议都有人讲APT,大数据和云计算安全。什么流行讲什么,什么热炒什么,什么高深谈什么。没有APT主题的会议那不叫安全会议,没有院士站台的会议那也不是高大上的会议,至于具体讲的啥,是不是万年不变的主题,who care?
说到底,大多数人更想来点阳春白雪的东西,听听图兰朵,聊聊村上春树,评论哪个镜头德味更足,哪家耳机更适合水电。你想听《咱们屯里的人》、《五环之歌》或者《儿歌三百首》,对不起没有,那些低收益的琐碎活儿人家才懒得干。
给你们看两个关于耳机的段子。
先聊聊发电方式对音质的比较。火电声音偏暖,特别是300B,2A3之类胆机,接上火电后温暖的可以杀死人不偿命。湖北靠葛洲坝和清江的电,所以湖北烧友觉得器材声底偏冷。一到枯水期声音转暖了,那是从外地调火电造成。水电葛州坝的电音色最好,火电北仑电厂音质最好。
话说一位国内最资深的耳机发烧友,一日试听铁三角AT-HA25D耳放配AD2000耳机,听着听着突然摘下耳机说“今天没法听了,一定是水电站的水位又涨了”,令在场其他烧友目瞪口呆!第二天果然报道山洪爆发,小丰满水电站水库水位暴涨,达到1953年来最高水位!辽宁电网只有1%的电力来自小丰满!
很多大神级的销售或售前也能把自家产品吹得像上面两个段子一样神乎其神,高端大气上档次,要买就买最贵最牛逼的,这几年下来也为甲方单位培养了很多器材党。至于下里巴人的那些事,对不起,都是有身份的人,请不要埋汰我。
在安全领域下里巴人的活都与基础安全相关,但是基础安全这块工作太苦太累,费时费力不讨好也不体现收益,因此被大多数甲方选择性遗忘;而乙方又觉得这个活没啥技术含量,卖不起价钱,于是被选择性放弃,久而久之基础安全就成了荒蛮之地。
就跟很多企业安全建设被带入攻防怪圈一样,我们来看看有哪些基础安全工作是现在绝大多数单位欠缺的,不扯远了,推荐大家看“20项关键安全控制”(20 Critical security controls),最新版已经到了CIS发布的6.0,我觉得这就是信息安全领域的《儿歌三百首》,安全里的基础,基础中的安全。
既然说到这,就来看看基础有哪些?
csc1.授权和未授权的设备清单
csc2.授权和未授权的软件清单
csc3.移动设备、笔记本电脑、工作站和服务器软硬件的安全配置
csc7.邮件和浏览器防护
csc9.网络端口、协议和服务的限制和控制
csc13.数据泄露保护
随便放几个控制项,大家看看又有几家能做好这些基础安全,好多单位怕遭受APT攻击,怕被别人拖库,于是便部署了APT相关安全产品,但是他们不知道自己家的专网还有其他出口映射到互联网,核心业务还有经常登陆的离职员工账户,测试系统上跑了很多敏感数据,而且压根就没做过数据的分类分级。
一言以蔽之,以现在某些单位的安全意识之差、防护能力之低、管理盲区之大,还远达不到让攻击者发起APT攻击的水平。
连《儿歌三百首》都唱不好,就别去瞎折腾《图兰朵》和《卡门》。很多人在讲信息安全工作要接地气,这就是其中之一。
好多安全创业团队一股脑扎进看似高大上的热门领域,拿到投资就是大爷,捉对厮杀,其乐无穷,干的热闹,死的光荣。与其这样,还不如做个安静的美男纸,扎根基础安全领域,提供差异化服务,漂亮地干趴下那些器材党和安全砖家。
关于基础安全领域的创业梦想还是要有的,万一就实现了呢,看看人家小李坚持了22年,这不也捧到奥斯卡小金人吗。
既然提到了安全砖家,就多说几句,因为笔者上一篇文章有同行评论时提到了这个现象。安全砖家很像老中医,行骗江湖十余载,名头大的吓人,专治各种不服。开口就是肝火旺气虚,要用党参、白术、茯苓温补。
好多安全砖家也是这样,连人家单位网络结构、安全建设情况和基本需求都不知道,张口便来APT防护、下一代防火墙、SDL。还有一些销售和售前,前期不做调研,在方案里边一股脑把自己产品线全套塞进去,然后被客户喷完灰溜溜地撤了。
借这个机会希望安全同行一起来谏言,如何火眼金睛识别出安全砖家,比如本文作者也是吹水砖家一枚。
安全领域其实细分非常多的方向,精通一个方向都不容易,更别说要做一名全栈安全大牛。相信大多数客户最怕的就是在某个细分领域非常牛逼的专家飘飘然之后,跑到另外一个不太懂的细分领域开始忽悠,很多客户单位跳过这个坑,微博上也有类似人物揸过架,这里我就不点名了,大家小心甄别就是。
最近还看到一些互联网公司一棒子打死传统安全的言论,认为在薅羊毛肆虐的今天传统安全已经无法搞定互联网黑产,所以就得靠边站。互联网安全新理念和新解决方案之于他们就好比阳春白雪,而传统安全就是被万般鄙弃的下里巴人,高兴时瞅你一眼,他们不知道这种以偏概全的安全认知和实践最终会让他们得到教训。
实际上少数互联网公司已经遭受过由于忽视传统安全而导致的致命打击,过去发生的已经不再重要,下一家会是谁,我也不知道。
玄奘企图通过《儿歌三百首》来收伏鱼妖,失败后被旁人耻笑,而最终却依靠它搞定了法力通天的猴妖。还记得微软威胁情报中心总经理John Lambert说的这句话么?“做防御的,不应该总想着能阻止攻击,而应该考虑怎么提高攻击成本。总想着“阻止”是无知的表现。”
别再选择性地遗忘我们的基础安全工作了,这些活儿投入不算多,但是却能极大程度地提高攻击者成本,实在是一笔合算的买卖。
伸手党福利(自备梯子):
1.https://www.sans.org/critical-security-controls/
2.https://www.cisecurity.org/critical-controls.cfm
(个人公众号:sunw3i)