接着上一篇继续,这篇讲手中有料,主题大家还是不能忘记,就是如何做到“看得见”。说到手中有料,其实是指来自内外部的有价值的信息,形象一点的话姑且将他们称作是“情报”,前面我也提到过应对威胁有威胁情报,威胁情报就是安全情报中非常重要的一类。
DJ总在文章(传送门:http://www.sec-un.org/evaluate-value-threat-intel-1.html)里提到过,无论什么情报,它一定要具备四个特征:及时性、预测性、关联性和可行动性,想详细了解的童鞋可以过去看看,这其实可以算是购买安全情报的参考指南。
其实广义上的威胁情报是包含了漏洞内容的,国外的威胁情报服务提供商已经在这么做了,国内刚刚起步的几家安全威胁情报服务提供商也会提供漏洞信息,再看看cncert的官网信息,人家其实也是囊括了威胁和漏洞两类。
威胁情报知彼,告诉你谁在弄你。
漏洞情报知己,告诉你在利用啥弄你。
预计以后国内有多家安全公司为了差异化竞争会打着漏洞情报服务的牌子来卖服务和产品,所以在这里我暂且把漏洞情报也单讲一下。
小时候走家串户吆喝卖豆腐的小贩,抑扬顿挫的吆喝声,在清晨的巷子里会传到每户人家的耳朵里,还在睡觉的男人被吵醒后就会踹婆娘一脚,嘀咕一句赶紧出门去端两块豆腐。
这个小贩采用的就是广播型的服务,他不管谁家需要谁家不要,全部通知到。像有一些漏洞情报服务提供商采用的就是这类广播式服务,将最新的漏洞信息群发给所有的客户。
后来巷子里的居民投诉小贩,说大清早的扰人清梦,小贩后来就变聪明了,挨家挨户地跑了一遍,问清楚了哪家哪天需要豆腐,定时按需配送,这样就解决了投诉问题,这时候小贩采用的就是定向广播服务。国内很多的安全服务提供商就是这么干的,他们熟悉客户的系统和资产情况,因此只会向客户通报相关的漏洞信息。
但是,即便你及时通报了客户相关的漏洞信息,并预测到了一些攻击发生,然后当你把一个整改意见塞到客户手里边后,大多数客户是没有能力来整改和复测的,还有一部分高危漏洞曝光后厂商压根就没那么快更新补丁,你让客户咋整,别提虚拟补丁这个事,大多数秀肌肉的团队才不会关注服务质量,这就导致漏洞情报的可行动性大打折扣,于是客户变成了花钱的冤大头。
那么漏洞扫描的价值对于企业来说到底有多大,如果不解决漏洞管理的闭环问题,我觉得所有的漏扫服务都是耍流氓,通过漏洞吓唬客户来要钱,为什么漏洞扫描在国内风行十余年,因为这种方式来钱简单直接,既然可以轻轻松松地把钱给赚了,那我还精耕细作其它产品干啥。
看着种类繁多的漏洞扫描工具,个人感觉是有点练功过度走火入魔的迹象了。
总结一下,惟漏洞论影响了安全市场十余年,将企业安全建设带进了攻防的怪圈,夺走了大部分的安全预算和资源,厂商在这个领域厮杀异常激烈,这也间接地延缓了安全市场和产品的创新进程。
再把宫院长的比喻重复一遍,漏洞就如同雨后蘑菇,永远都摘不完,一场大雨之后,新的蘑菇又冒出来了。
你们团队的技术实力如何?
我们去年给微软提交了20个高危漏洞。
你们的安全服务体系都有哪些内容?
我们的漏洞情报服务在国内首屈一指。
你们都有哪些技术平台?
我们的漏扫平台在60秒内可遍历全球一次。
你们给我提供服务都快一年了,给我们的安全建设工作提点建议看?
建议咱们的漏扫扫描频率增加,扫描范围扩大至所有资产。
甲方朋友是不是对上面的场景感觉很熟悉。
别再做辛劳的采蘑菇的小姑娘了,跳出这个怪圈,解决好漏洞闭环管理,把时间精力和预算花到更需要和更能产生价值的领域,大家好好考虑一下。
那么这个时候问题就来了,大伙肯定会问,手中最有料的到底是谁?
黑产!黑产!黑产!
什么是生态?
当安全圈在呼吁要建立产业同盟和生态圈的时候,人家黑产早就把产业链生态化了。
什么是务实?
当一个高危漏洞曝光,各大厂商还在晒全球范围影响数据统计和秀肌肉的时候,人家黑产已经开发好漏洞利用工具,批量化搞业务了。
威胁情报和漏洞情报,都是从防护方的角度来考虑的。那么从攻击者角度来看的话,他们手里的料足够做一顿满汉全席了。
黑产的全产业链供给关系已经非常完善。
这么讲吧,有钓鱼的人,就有卖钓竿和鱼饵的、还有提供钓鱼场所的、再然后还有管饭的、农家乐的、以及买下钓到的鱼的。
黑产也是这样,有写木马的、有免杀加壳的、有抓肉机的、有销售肉机和进行ddos攻击勒索的、有收钱开发票的、有将黑钱洗白的。
黑产为啥这么牛逼,人家的思路、资源和执行力领先一般的防护者五条街的水平,思路和执行力姑且不谈,看看人家手头的资源。
第一是库,各种用户库密码库,从早年的校友录、bbs再到各类免费邮箱、网游,社交软件,发展到今天的各类门户网站、电子商务网站及移动客户端软件,黑产手头的库基本覆盖了中青少三代。你的个人id、邮箱地址、各种密码、电话、住址、社保信息、房产信息、开房记录等等,早已是人家囊中之物,说得形象一点就是黑产比你老婆更了解你。
第二是漏洞利用工具,去年hackteam数据泄漏事件曝光后,大家翻到hackteam的自动化工具和各种邮件的时候才明白,原来人家已经工程化在运作了,黑产当然也是如此。再看看2016年年初国内安全机构发布的apt年度报告、鹅厂的雷霆行动年度报告,大致心里就有数了。
为什么在黑产聚集地都是一个村一个村整村的人从事这个行业,难道整村的人都是黑客么,答案毫无疑问不置可否。那为啥小学文化的村东头老李可以干黑产,槐树下大字不识几个的张大妈也可以干黑产?这当然要归功于全自动化的黑产平台,黑产会对村里所有人进行集中培训,另外还有视频教程,先点这个按钮,再点那个按钮,简单易用,方便明了。
说到工具,有一把菜刀是驰名中外,人称“中国菜刀”,当然这把菜刀不是指切菜做饭的工具,而是安全圈内使用非常广泛的一款Webshell管理工具。
扯远了,再说回来,现阶段我们的安全团队要做到手中有料,就得将这两类情报捋明白了。
大型机构和企业,像阿里腾讯华为,他们有自己的威胁情报中心(src)。还有些政府机关、央企和中大型机构,会与cncert及各大安全服务商保持紧密的联系,通过购买安全情报服务和产品来保证及时了解内外的情报信息。剩下的中小型企业,没这个预算,只能自己定期去跟进一些信息源,但多少受制于消息的闭塞和延迟,等到拿到情报消息的时候才发现自己早就被弄了。
那如何解决中小型企业这块的安全需求,不用我讲,肯定有团队开始着拿钱造势抢客户了。
顺便也看看其他行业的情报服务,正规的有房产中介,歪门邪道的有雪球大V荐股,利润空间那都是相当大的。
今天这篇文章不是给漏扫市场泼冷水,也不是否定攻防的价值所在,因为安全市场的火热本身少不了漏洞和攻防的功劳。面壁十年图破壁,企业管理者对安全的认知在发生改变,他们已经了解安全是一个系统工程,知道单靠修补三两个漏洞来提高安全防护能力是不现实的,如果我们还固步自封,终究会被市场打脸。
未来国内的漏洞扫描市场会有一个转变。
从漏洞识别到漏洞管理的转变。
现阶段的漏扫只解决了有啥毛病的问题,并没有对漏洞后续整改及整改有效性进行管理,也就是对漏洞生命周期的管理手段是缺失,同时也没有对企业所有资产进行有效识别,说的不好听点,连企业资产都看不见,你还谈什么安全,未来的漏洞管理平台应该会和资产紧密关联。
从凸显及时性到强调可行动性的转变。
光有及时性是远不远不够的,安全服务还是得向保姆式靠拢,服务方需要交付的是协助客户完成对漏洞的跟踪、整改和复测,而不仅仅是带着监管机构的口吻跟你讲你系统有问题了,所以如何在漏洞情报服务的可行动性上面做文章是差异化服务的一个着力点。
从定义繁多到标准格式的转变。
现在各家扫描器的漏洞分类和级别定义是千差万别,其实对用户来说,是一个非常差的体验,关于安全漏洞的分类和定义,国内应该需要标准化的跨各大厂商扫描器的漏洞识别和定义语言,就像威胁情报一样,有一个标准的交换和定义标准,这块工作需要主管部门和业界一起努力。
从大秀肌肉到做好服务的转变。
当企业管理者被各个厂家强健的肌肉晃花眼的时候,你说人家还会有那种怦然心动的感觉么,山盟海誓甜言蜜语在谈恋爱的时候好使,成家之后两个人有了契约关系就得脚踏实地认认真真地履行自己的义务和职责了,安全服务也是如此。
一家之言,多有得罪,大家多担待。(个人公众号:sunw3i)
没有收藏功能真的不爽