雷鋒網(wǎng)編者按：美國時間7月22日-7月27日，BlackHat 黑帽大會在美國拉斯維加斯召開，世界各地的黑客被這場信息安全行業(yè)最負盛名的大會所吸引。安全人員到底怎么看這些演講？他們最關注什么？雷鋒網(wǎng)與一些親赴拉斯維加斯的安全公司專家約稿，邀請他們針對最吸引自己眼球的演講進行分析和點評。

下述文章作者：綠盟科技 CTO 趙糧。

一、安全實踐中的攻防博弈

兵者，詭道也！但，如何“詭”呢？道又在哪里？ 攻防雙方是理性的，還是非理性的？是零和的，副和的、還是可以共贏的？美女講者Kelly分享了她在博弈論在安全實踐中應用的研究。

嘗試引入博弈論到網(wǎng)絡安全理論和實踐中已有多年的努力，但應該說并不成功。Kelly認為博弈論著名的納什均衡基于先驗推理，假定了博弈多方是理性獨立決策人，相互了解，但這些假設在網(wǎng)絡安全實踐中并不成立。 Kelly總結網(wǎng)絡安全具有以下特點：永無停歇、非零和、博弈方之間信息不完備、不完美、非對稱，并且博弈方之間行動有順序和動態(tài)的特點。 考慮到上述特點，嘗試用對方的視角審視自身的態(tài)勢、預測對方的行動計劃從而決策自己的行動計劃是正確而理性的做法。

對于守方來說，思考攻擊者會優(yōu)先從那里繞過防守、對此針對性動作是什么、實施攻擊的成本有多高、實施攻擊的概率有多高…. 一般來說，可以假設攻方總是會選取成本最低的攻擊路徑。重復遞歸上述動作，可以做出攻擊路徑圖示例如下。

把圖像再擴大到整個企業(yè)組織，守方的作業(yè)可以歸納為：

1. 攻方最想獲得的資產(chǎn)是什么？ Which of your assets do attackers want?

2. 攻方夠到哪些資產(chǎn)的最容易的路徑有哪些？What’s the easiest way attackers get to those assets?

3. 在那些路徑上有哪些防護措施？What countermeasures are on that path?

4. 有了這些防護措施，攻方有什么新路徑？What new path will the attacker take given #3?

5. 重復上述1-4步直到窮盡已知攻方手段 Repeat 1 – 4 until it’s “0day all the way down”

6. 給各個路徑設定概率 Assign rough probabilities

在上述分析的基礎上，Kelly 推薦用戶要求滲透測試服務提供攻擊樹分析、所選取的攻擊路徑以及選取相應路徑的原因。 

利用攻守雙方的信息不對稱，破壞攻方的信息偵查企圖，從而提高攻方的成本、延緩攻方的攻擊行動、直至阻止攻擊等。在此戰(zhàn)略下，各種偽造的環(huán)境變量、賬號、Banner、Token、返回郵件等等都可以用來“欺騙”攻方，并且為守方提供檢測攻方行動的手段。

這是一個精彩的報告。

但需要指出的是，各種“欺騙”手段對于守方來說并不是免費的，而是可能非常昂貴的。IT應用系統(tǒng)和安全系統(tǒng)的復雜性的增加需要更強大的軟件定義、服務編排、腳本能力、數(shù)據(jù)分析能力等保駕護航，否則有可能造成“小孩子耍大刀”的效果，反而降低了安全防護效果。

筆者曾在2014年的一個分享中借用了三體中的猜疑鏈假設，指出針對廣譜的攻擊，通過降低攻擊的自動化程度有可能避免自己成為低垂的水果。而針對定向的攻擊，各種“欺騙”手段可以用來提高攻防的“猜疑度“，增加自身的“獨特性“，也即達到了延緩和阻止攻擊的目的。 

 

二、扣籃誠可貴，蓋帽價更高

另一個令人印象深刻的是 Facebook 首席安全官 Alex 的演講。

在過去的幾年時間里，APT 高級持續(xù)威脅和零日攻擊、高精尖的各種 PWN 破解大賽占據(jù)了很多媒體的頭版，眼球和掌聲被新漏洞挖掘、未知威脅發(fā)現(xiàn)等不客氣的統(tǒng)統(tǒng)收編。但是另一方面，各種數(shù)據(jù)表明，企業(yè)和組織中的絕大部分安全事件來自于賬號口令補丁等傳統(tǒng)項目，數(shù)以億計的惡意軟件背后的利用卻集中在每年十幾個頂多幾十個已知漏洞上面。剛剛出爐的綠盟科技安全觀察報告也以真實的監(jiān)測數(shù)據(jù)印證了這個事實。這不能不給業(yè)者帶來深深的思考。 

Alex 開篇即以下面這個金字塔圖強烈呼吁行業(yè)更加重視“基本功”，把焦點從 0-day 和定向攻擊擴展到金字塔的中部和底部，呼吁安全團隊，包括安全提供商的團隊，承擔起更為廣泛的安全責任，關注并解決各種最為基本的濫用、誤用，以更為有效、高效的技術手段為用戶創(chuàng)造真正安全易用的應用和互聯(lián)網(wǎng)環(huán)境，而不是指責或抱怨用戶缺少安全意識，不遵守安全規(guī)則，不會保護自己等等。 

在攻守之間，Alex 認為，攻方更為技術導向，只要技術上“一擊而中”就高奏凱歌，而守方則需要考慮寬廣的防護正面、平衡技術、資金、人力資源以及各種政治和沖突等。演講中，Alex提醒安全研究者不要因為發(fā)現(xiàn)了開發(fā)者的漏洞而輕視、蔑視開發(fā)者，洋洋自得，真正的安全研究者應該是發(fā)現(xiàn)問題并且?guī)椭_發(fā)者解決問題，使應用更安全。Alex 提到多樣性的團隊、多樣性的思考、多樣性的背景等會幫助守方更為全面的思考、規(guī)劃、設計、建設防護體系，有助于提高用戶體驗和真實的安全水平。

Alex 呼吁業(yè)界更加重視守方的研究和提高，號召社區(qū)和商業(yè)組織加強協(xié)作。為此，F(xiàn)acebook參與設立了互聯(lián)網(wǎng)防御獎金（Internet Defense Prize），獎勵為互聯(lián)網(wǎng)和共享軟件等的安全防護提升作出貢獻的研究者。

讓互聯(lián)網(wǎng)更安全是我們每個安全業(yè)者的使命，如何以更為有效、高效的方式來解決這些看似傳統(tǒng)、基本、重復甚至乏味的“功課”、讓安全變得更易用、消除天天發(fā)生在用戶身邊的威脅，和高精尖的破解同樣“激動人心”，充滿挑戰(zhàn)，充滿機遇。

雷鋒網(wǎng)特約專家稿件，禁止轉載。

雷峰網(wǎng)特約稿件，未經(jīng)授權禁止轉載。詳情見轉載須知。