感谢李老师(帅气的主讲人)的邀请和付出、感谢安世加的组织和筹办、感谢金主赛讯验证的赞助、感谢货拉拉的场地支持、感谢CCTV… …。本来想等官方发一个照片借用一下,但好像还没等到,就写一篇闲聊性质的随笔吧。没有逻辑,想到哪写到哪,错了也正常,毕竟我只是个去向大佬们偷师学艺的萌新。
钱就是命,命就是钱
在场来了许多“不差钱”的甲方,不管是互联网还是金融行业,相比很多行业来说,对安全的投入都是不敢想象的庞大。比如公司中数万台终端装有 EDR 软件,所需要回传的遥测数据相当多,为了将数据留存并且用起来,大数据中心的存储计算资源是一笔不小的开销。这也是大家在讨论中的一个要点,先保证可见性且将数据留存下来,然后才能谈检测规则和持续运营,如果连数据都存不下、查不动、用不了,就谈不上后续的工作。
如果“XX=基础设施+人员”的话,对基础设施的要求很高,对人员的要求则更高。外采如果不能完全契合组织的需求,那就要展开自研。即便假定预算无限充足,安全和研发如果合二为一,市场上能找到符合要求的人恐怕都很有限。如果安全和研发拆开,意味着投入几乎要比翻番更大。即便研发完成,后续的规则运营、事件运营、持续迭代等一系列的事情,加起来的投入可能是个天文数字,有意愿这么大手笔投入的可能在头部公司都极少。
因地制宜,分而治之
比如在聊到钓鱼邮件时,大部分人都同意收窄攻击面肯定是第一要务。为了做到这一点,要在公开网站爬取或者被动收集,如果存在不应该公开暴露的可以通知整改。但这种模式在高校、科研院所这种需要公开发表论文并且论文中肯定会包含邮箱信息的情况、政府相关单位对外披露相关信息留下负责人邮箱的情况,可能只能想其他办法,这条路显然没有办法走通。大家也都提到了,在制定策略时要“分而治之”。人力资源部门、销售部门、客户服务部门可能需要频繁的沟通和邮件往来,但是研发部门可能相对就会轻很多。针对不同的部门、不同的角色、不同的场景,要拿出相适应的解决方案。
安全可能并不存在“银弹”,场景不同解决方案也不同,没有一颗灵丹妙药可以服下就包治百病。有些场景下,可能最简单的方式最有效。“一刀切”当然饱受诟病,但在很多强势的场合下,组织可以要求直接禁止使用,而不是靠安全部门来为使用的风险做出防范和兜底。这也引出另一个差异,最开始我并不理解为什么大家不约而同的谈到用户体验是排在第一位的,都提到业务因为 EDR 卡顿而产生投诉,是安全部门最不希望看到的。在以生产效率为中心的组织中,任何此类行为会被认为是阻碍生产,这是天大的罪过。但如果组织并不以生产效率为中心,实际上 EDR 或者 DLP 软件给设备带来的卡顿和性能消耗,并不是一个优先级很高的问题,甚至可能都不是问题。当然了,甚至某魔改 Ubuntu 上跑不起来你都没处说理去。
领导有方,英明果断
在向领导汇报时,安全部门肯定是希望积极争取更多资源的。传统的思路就是要表功,说做的多么多么好。但这样也会带来副作用,比如领导问你“既然做的这么好,你们可不可以打包成产品对外销售呢?“,”这样你们就可以自己养活自己了!”。怎么办呢?可能也是要降低上级的预期的。
如果领导要安全团队自证安全,我满脑子想起的都是卡巴斯基在自己的内网发现 Duqu 2.0 的故事。卡巴斯基最早是怎么发现线索的呢?卡巴斯基是在内部测试刚开发的反 APT 产品原型发现了异常。卡巴斯基的创始人在回应的文章中表示:“攻击者的攻击并不明智,是想要了解卡巴斯基的技术机密吗?但公司里并没有什么“葵花宝典”,是公司所有员工艰苦的工作和聪明的大脑汇集成了卡巴斯基的顶尖技术”。
一个小问题
不论大家在不同议题上有什么分歧,几乎所有人都可以达成共识的是:在 Windows 平台上 CrowdStrike 的 EDR 可以说是遥遥领先的世界第一,并且对国内安全厂商开发的产品具备相当大的优势。如果我是说如果,这是事实的话,问题就是造成相对羸弱现状的原因是什么?
按美利坚的说法,太平洋这头的黑客可以随意攻击美国的关键基础设施。在大规模防护演习时,空中的各种 0day 漏洞满天飞。也有“零事故”的珠玉在前,好像相当多从业人员都已经无敌飞升了,为什么很多安全产品就好像还是不尽如人意?
有点感觉其实在聊的时候将两个问题混在一起聊了,一个问题是现状是怎么样的?目前是怎么做的?另一个问题是认为应该是怎么做的,这其实说到底是两个问题。但毕竟会上高强度几个小时的头脑风暴,很多大佬做的又非常深入,聊到后面大家也都有点聊不动了,只能“一期一会”了。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...