雪夜围炉话安全（二）

安全是对抗

还是从马奇诺防线说起吧。

马奇诺防线是二战前位于法国东方的防御工事，由钢筋混凝土建造而成，十分坚固，防线内部拥有各式大炮、壕沟、堡垒、厨房、发电站、医院、工厂等等，通道四通八达，较大的工事中还有有轨电车通道。

由于法比边界的阿登高地地形崎岖，不易运动作战，且比利时反对在法比边界修建防线，所以法军没有多加防备，但万万没有想到德军会由此突破。1940年5月德军诱使英法联军支援荷兰，再偷袭阿登高地，联合荷兰德军将联军围困在敦克尔克。而马奇诺防线也因为德军袭击其背部而失去作用。

没有防御是万万不行的，仅靠防御也无法避免城门失守，要抵御攻击者，打赢这场数字战争，我们该怎么办？

给你们再说个事，我小时候有个同学叫六仔，整天爱玩但成绩很好，因此引来了很多羡慕嫉妒恨。同班的几个小混蛋联合起来，没事就欺负他一下，有时候还拉着高年级的哥哥过来撒野,六仔胆子小，被打了也不还手，平时就躲着这几个人，不敢告诉老师和家长，久而久之成绩下降，连在学校上厕所的次数都减少了，大部分人都觉着他比较怂，也慢慢习惯了他被欺负这件事。

有一天放学后，发生了一件事情，从此改变了六仔的处境。我不在现场，听同学讲起才了解，在被几个小混蛋欺负的时候，六仔突然从书包里边抽出了一块板砖，连拍了两个人的脑袋瓜子，弄得两人满脸是血，其他小混蛋见状四下逃窜，叫来了老师。

后边的事情大家可以猜得到了，六仔被学校通报批评，写了检讨书，家长做了赔偿。但是自此之后，小混蛋们再没找过六仔，平时也收敛了很多。

这个事对其他同学的触动很大，其他几个被欺负的小伙伴因为这个事跟六仔走得很近，变成了玩伴，自此摆脱了这段人生阴影。

懦弱和落后就会挨打，信息安全领域更残酷，不管你懦弱还是彪悍，总是有人惦记你，总有人会攻击你，一味的防守躲避肯定不能解决问题，对抗是每个机构都应具备的能力。

我们很多的机构在对待网络攻击这个事儿上，以前的心态跟被欺负的六仔差不多，被攻击之后怕被客户知道，怕被竞争对手和同行知道，怕被上级监管机构知道，怕被媒体曝光，所以不愿报案，打碎了牙往肚子里吞，大事化小小事化了，甚至有些事件被内部人传出去后还第一时间公关辟谣。

被黑产勒索交保护费的事情时有发生，若干年后，当大家再次讨论这些话题的时候，应该依旧是少数人无法面对的一段痛苦回忆。

近两年随着国家网络安全立法的健全，信息安全主管领导痛定思痛的改革，安全行业南北向安全人才的频繁流动，以及各大安全同盟的成立，从国家政策、机构战略到技术手段各个层面都具备了对抗的基础。在黑夜中前行太久，就会不习惯黎明的曙光，庆幸的是现在一部分机构已经走出了黑夜，卸下了包袱，轻装前行，他们的行动会带来安全行业的巨变，或许这就是榜样的力量。

对抗，英文有antagonism、combat，中文在词典中有对立，抵抗，抗拒，抗衡的意思。

从字面意思来说其实包含了三层含义：

一是对立，你得划清界线，表明身份，谁和谁对立，对手又有谁，威胁有哪些，是国家级黑客组织、政治黑客、经济黑客、技术黑客、第三方人员、还是恶意的内部员工等，所有可能接触到组织内部有价值信息的人都有可能是潜在的对立方，甚至包括安全人员。

二是抵抗，这里强调防御，比如今天伺候来报，收到南蛮可能会入侵的情报，镇远大将军大笔一挥，各地增派兵力支援边陲重镇，朝廷调配军需物资，进入战时状态，以备强敌来犯，同时加强边陲各城的城防建设。

三是抗衡，重点在于攻守平衡，能和对手打持久战，不仅能守，还能主动寻找对手的弱点进行反制。淝水之战中东晋谢玄八万北府兵遭遇前秦苻坚统帅的近百万大军，谢玄没有死守淝水，而是转守为攻，趁前秦大军后撤半渡淝水时突然出击，使用各种精彩的战术，一举击败了百万前秦兵，这就是一个典型的反守为攻以弱胜强的典型案例。从消极防御到积极防御，再到攻防兼备，这才是对抗的真谛（这句话是@叶蓬说的）。现在除了互联网巨头之外，国家部分关键行业也开始组建自己的红队，这个示范作用会越来越强，以后等着看吧。

在信息安全领域，坏蛋远比你想象的要多得多，坏蛋太多，各家各户不胜其烦，今天家里牛被人偷了，明天箱底的银两被劫了，衙门抓不过来，怎么办？

现如今信息安全领域有几种模式：

一是团练模式。

大部分财大气粗的名门望族自建乡勇团练，日夜巡逻，通宵达旦，无事时震慑坏蛋，闹贼时自己抓贼，同时再也不担心隔壁老王觊觎哪位如花似玉的小妾了。

不过诸位也别小瞧团练，这些团练里边有好些当年名震天下鼎鼎大名的宗师级人物，过腻了为国杀贼或刀口舔血的日子，于是便静下心来，安居一隅。不过别小瞧这些大侠，他们不仅会力保家园的安全，还能在茶余饭后，创造新的武学和防护手段，并将新武学和心得传授给其他团练，此类典范有如阿里腾讯。

二是镖局模式。

镖局是专门为人保护财物或人身安全的机构，我这里讲的镖局是保障信息安全的机构。

没财力自建团练的大户人家，还有想省事的一些个名门望族，从各大镖局聘请了镖师，当然这些镖师请过来不是为了走镖，而是为了护一家平安。

还真不是tree new bee,当年晚清政府大臣李鸿章的家宅，就是由北京八大镖局之一的会友镖局派人保护的。

镖局有大有小，镖师功夫也有高低。只要你出得起价，同样可以找到宗师级人物，而且很多镖师走南闯北，见过的坏蛋多如牛毛，跟坏蛋打交道的经验也是相当丰富。

有人的地方就有坏蛋，有坏蛋的地方就有伤害，有伤害就有安全需求，有安全需求就会有镖局的存在。但有趣的是，信息安全镖局最早还是老外先搞起来的，俗称Managed Security Services（mss），感兴趣的同学可以看看gartner的Magic Quadrant for MSS，排名靠前的还是IBM、AT&T、赛门铁克等公司。

国内最早提供安全服务专业应该是安氏（个人印象，不知道是否准确，请大家指正）、再然后各大安全公司（武器坊）纷纷涉足安全服务，像传统安全厂商绿盟、天融信、启明星辰等，有意思的是华为也在其中。

关于镖局模式下次有机会再写一篇，信息安全的镖局模式展开来说还有很多内容，发展到今天变成了信息安全的网络医院模式，挂号（签合同）、门诊（技术交流）、检查（评估）、开药（安全产品）、治疗（整改）、监测（安全监测）、专家会诊（众测）、定期体检（巡检）、急救（应急响应＋灾难恢复）、私人医生（咨询），一整套流程，上中下游各阶段都有开花结果，内容太多就不放在这里了。

对抗是拼武器，拼兵力还是拼战术？

拼武器，各大央企及互联网公司重金打造的金钟罩铁布衫还是轻易被气宗和剑宗的各路大侠突突，再严实的房子总能刮进一丝风。全球黑产手头的各种漏洞poc，又譬如意大利hacking team公司泄露出来的各种自动化攻击工具，以及各类apt攻击，足以穿透各种铁壁铜墙。

关于信息安全攻击工具，凡是你能想到的攻击方式，黑产都有，凡是你想不到的攻击方式，黑产也有。

拼兵力，功夫有高低，太平洋彼岸的大辽拥兵数万，但还是经常发牢骚说我大宋朝网军经常万里之遥夺人情报和数据。我大宋民间也是高手如云，像tk,yuange就不多说，superhei常年占据鹅厂琅琊榜榜首，猪猪侠也是视一些互联网巨头安全防护如无物，进出自如，感兴趣的同学可以看看“漫游系列”。另外还有一群偷偷打枪的潜行者。要论兵力，如云长翼徳子龙者，于敌军阵中取上将首级如入无人之境，碰到南向技术大牛，再牛的安全团队也难有招架之力。

俗话说得好，没有耕坏的地，只有累死的牛，在对抗网络攻击这件事上面，真的只能三思而举步。

基于成本和收益的平衡来考虑，武器不能拼，兵力也不能拼，总不能拼爹，那拼啥，只能是拼战术。

抛开其他的因素不去考虑，信息安全对抗最重还是要回归到人和人对抗，战术的对抗。

什么是战术，赤壁之战中诸葛亮舌战群儒，群英会反间蒋干，黄盖苦肉计诈降，诸葛亮草船借箭，火烧曹军八百里连营，最后曹操败走华容道，这一整套计谋就是战术。要不是最后关云长这个萌大叔放走了小曹操，这个战术达成的战果就最大化了。

兵者，诡道也。咱老祖宗的兵法里就已经强调对抗拼的是战术了。

你们问什么是战术，其实各位小伙伴在很小就接触到了。小时候语文课本里边的“田忌赛马”就是一个善用战术的案例，战国时代兵法大家孙膑将赛马分为三等，以下拼上、以上拼中、以中拼下助田忌赢得赛马就是拼战术。

再举个专业相关的例子，微软威胁情报中心总经理John Lambert就曾经提到“Defenders, you're not stopping attacks. You're increasing attacker requirements. 'Stopping' breeds a mindset ignorant of countermoves.”@JohnLaTwC的翻译如下“做防御的，不应该总想着能阻止攻击，而应该考虑怎么提高攻击成本。总想着“阻止”是无知的表现。”

上面John Lambert讲的就是战术中的一个点，那什么是成体系的战术思想，就是要把点、线、面都串起来，构建成动态的、持续改进的、前瞻的、全面的、可实现的战术体系。

信息安全领域有很多安全模型和思想值得借鉴,最基本的pdca、sabsa、kill-chain,老美的csf等都可以看看，这里不展开说，像洛马的kill-chain就是一个非常经典的模型，sec-un圈网站上有谢涛的文章，感兴趣的朋友可以去看看。

谁来参与这个对抗，全过程都由自己人来干肯定是很累的，估计效果也不好，而且大多数的机构还不具备这种对抗能力。

这个时候安全服务商的对抗能力输出、产品厂商的武器库、咨询公司的战术体系设计、以及机构自身人才的培养这四大类协同作战就变得非常重要。

我们不怕我们不能发现威胁和漏洞，我们怕的是我们不知道我们不能发现威胁和漏洞。

话虽有点拗口，但意思大致没错。机构自身对抗能力的建设，虽然艰辛，但同伴不少。随着安全生态圈的发展，可以预见未来的各种信息安全联盟会如雨后春笋一样迅速拔地而起，像金将军Nuke的安全威胁情报推进联盟，日后会成为催生各类威胁情报服务的摇篮，讲到这里多说两句，国内的天际友盟、微步在线已经开始星火燎原了，12月4日周五在北京有杨大路的［烽火台联盟］的安全威胁情报会议，大家可以关注。

像环保、可持续发展、世界和平之于人类一样，对抗将是信息安全领域一个永恒的话题。

天下无贼，大抵是各位心中一个微弱的愿景。

（文章转载请联系作者，@chinasoc）