雷鋒網(wǎng)編者按：美國(guó)時(shí)間7月22日-7月27日，BlackHat 黑帽大會(huì)在美國(guó)拉斯維加斯召開(kāi)，世界各地的黑客被這場(chǎng)信息安全行業(yè)最負(fù)盛名的大會(huì)所吸引。安全人員到底怎么看這些演講？他們最關(guān)注什么？雷鋒網(wǎng)與一些親赴拉斯維加斯的安全公司專(zhuān)家約稿，邀請(qǐng)他們針對(duì)最吸引自己眼球的演講進(jìn)行分析和點(diǎn)評(píng)。

下述文章作者：綠盟科技 CTO 趙糧。

一、安全實(shí)踐中的攻防博弈

兵者，詭道也！但，如何“詭”呢？道又在哪里？ 攻防雙方是理性的，還是非理性的？是零和的，副和的、還是可以共贏的？美女講者Kelly分享了她在博弈論在安全實(shí)踐中應(yīng)用的研究。

嘗試引入博弈論到網(wǎng)絡(luò)安全理論和實(shí)踐中已有多年的努力，但應(yīng)該說(shuō)并不成功。Kelly認(rèn)為博弈論著名的納什均衡基于先驗(yàn)推理，假定了博弈多方是理性獨(dú)立決策人，相互了解，但這些假設(shè)在網(wǎng)絡(luò)安全實(shí)踐中并不成立。 Kelly總結(jié)網(wǎng)絡(luò)安全具有以下特點(diǎn)：永無(wú)停歇、非零和、博弈方之間信息不完備、不完美、非對(duì)稱(chēng)，并且博弈方之間行動(dòng)有順序和動(dòng)態(tài)的特點(diǎn)。 考慮到上述特點(diǎn)，嘗試用對(duì)方的視角審視自身的態(tài)勢(shì)、預(yù)測(cè)對(duì)方的行動(dòng)計(jì)劃從而決策自己的行動(dòng)計(jì)劃是正確而理性的做法。

對(duì)于守方來(lái)說(shuō)，思考攻擊者會(huì)優(yōu)先從那里繞過(guò)防守、對(duì)此針對(duì)性動(dòng)作是什么、實(shí)施攻擊的成本有多高、實(shí)施攻擊的概率有多高…. 一般來(lái)說(shuō)，可以假設(shè)攻方總是會(huì)選取成本最低的攻擊路徑。重復(fù)遞歸上述動(dòng)作，可以做出攻擊路徑圖示例如下。

把圖像再擴(kuò)大到整個(gè)企業(yè)組織，守方的作業(yè)可以歸納為：

1. 攻方最想獲得的資產(chǎn)是什么？ Which of your assets do attackers want?

2. 攻方夠到哪些資產(chǎn)的最容易的路徑有哪些？What’s the easiest way attackers get to those assets?

3. 在那些路徑上有哪些防護(hù)措施？What countermeasures are on that path?

4. 有了這些防護(hù)措施，攻方有什么新路徑？What new path will the attacker take given #3?

5. 重復(fù)上述1-4步直到窮盡已知攻方手段 Repeat 1 – 4 until it’s “0day all the way down”

6. 給各個(gè)路徑設(shè)定概率 Assign rough probabilities

在上述分析的基礎(chǔ)上，Kelly 推薦用戶要求滲透測(cè)試服務(wù)提供攻擊樹(shù)分析、所選取的攻擊路徑以及選取相應(yīng)路徑的原因。 

利用攻守雙方的信息不對(duì)稱(chēng)，破壞攻方的信息偵查企圖，從而提高攻方的成本、延緩攻方的攻擊行動(dòng)、直至阻止攻擊等。在此戰(zhàn)略下，各種偽造的環(huán)境變量、賬號(hào)、Banner、Token、返回郵件等等都可以用來(lái)“欺騙”攻方，并且為守方提供檢測(cè)攻方行動(dòng)的手段。

這是一個(gè)精彩的報(bào)告。

但需要指出的是，各種“欺騙”手段對(duì)于守方來(lái)說(shuō)并不是免費(fèi)的，而是可能非常昂貴的。IT應(yīng)用系統(tǒng)和安全系統(tǒng)的復(fù)雜性的增加需要更強(qiáng)大的軟件定義、服務(wù)編排、腳本能力、數(shù)據(jù)分析能力等保駕護(hù)航，否則有可能造成“小孩子耍大刀”的效果，反而降低了安全防護(hù)效果。

筆者曾在2014年的一個(gè)分享中借用了三體中的猜疑鏈假設(shè)，指出針對(duì)廣譜的攻擊，通過(guò)降低攻擊的自動(dòng)化程度有可能避免自己成為低垂的水果。而針對(duì)定向的攻擊，各種“欺騙”手段可以用來(lái)提高攻防的“猜疑度“，增加自身的“獨(dú)特性“，也即達(dá)到了延緩和阻止攻擊的目的。 

 

二、扣籃誠(chéng)可貴，蓋帽價(jià)更高

另一個(gè)令人印象深刻的是 Facebook 首席安全官 Alex 的演講。

在過(guò)去的幾年時(shí)間里，APT 高級(jí)持續(xù)威脅和零日攻擊、高精尖的各種 PWN 破解大賽占據(jù)了很多媒體的頭版，眼球和掌聲被新漏洞挖掘、未知威脅發(fā)現(xiàn)等不客氣的統(tǒng)統(tǒng)收編。但是另一方面，各種數(shù)據(jù)表明，企業(yè)和組織中的絕大部分安全事件來(lái)自于賬號(hào)口令補(bǔ)丁等傳統(tǒng)項(xiàng)目，數(shù)以?xún)|計(jì)的惡意軟件背后的利用卻集中在每年十幾個(gè)頂多幾十個(gè)已知漏洞上面。剛剛出爐的綠盟科技安全觀察報(bào)告也以真實(shí)的監(jiān)測(cè)數(shù)據(jù)印證了這個(gè)事實(shí)。這不能不給業(yè)者帶來(lái)深深的思考。 

Alex 開(kāi)篇即以下面這個(gè)金字塔圖強(qiáng)烈呼吁行業(yè)更加重視“基本功”，把焦點(diǎn)從 0-day 和定向攻擊擴(kuò)展到金字塔的中部和底部，呼吁安全團(tuán)隊(duì)，包括安全提供商的團(tuán)隊(duì)，承擔(dān)起更為廣泛的安全責(zé)任，關(guān)注并解決各種最為基本的濫用、誤用，以更為有效、高效的技術(shù)手段為用戶創(chuàng)造真正安全易用的應(yīng)用和互聯(lián)網(wǎng)環(huán)境，而不是指責(zé)或抱怨用戶缺少安全意識(shí)，不遵守安全規(guī)則，不會(huì)保護(hù)自己等等。 

在攻守之間，Alex 認(rèn)為，攻方更為技術(shù)導(dǎo)向，只要技術(shù)上“一擊而中”就高奏凱歌，而守方則需要考慮寬廣的防護(hù)正面、平衡技術(shù)、資金、人力資源以及各種政治和沖突等。演講中，Alex提醒安全研究者不要因?yàn)榘l(fā)現(xiàn)了開(kāi)發(fā)者的漏洞而輕視、蔑視開(kāi)發(fā)者，洋洋自得，真正的安全研究者應(yīng)該是發(fā)現(xiàn)問(wèn)題并且?guī)椭_(kāi)發(fā)者解決問(wèn)題，使應(yīng)用更安全。Alex 提到多樣性的團(tuán)隊(duì)、多樣性的思考、多樣性的背景等會(huì)幫助守方更為全面的思考、規(guī)劃、設(shè)計(jì)、建設(shè)防護(hù)體系，有助于提高用戶體驗(yàn)和真實(shí)的安全水平。

Alex 呼吁業(yè)界更加重視守方的研究和提高，號(hào)召社區(qū)和商業(yè)組織加強(qiáng)協(xié)作。為此，F(xiàn)acebook參與設(shè)立了互聯(lián)網(wǎng)防御獎(jiǎng)金（Internet Defense Prize），獎(jiǎng)勵(lì)為互聯(lián)網(wǎng)和共享軟件等的安全防護(hù)提升作出貢獻(xiàn)的研究者。

讓互聯(lián)網(wǎng)更安全是我們每個(gè)安全業(yè)者的使命，如何以更為有效、高效的方式來(lái)解決這些看似傳統(tǒng)、基本、重復(fù)甚至乏味的“功課”、讓安全變得更易用、消除天天發(fā)生在用戶身邊的威脅，和高精尖的破解同樣“激動(dòng)人心”，充滿挑戰(zhàn)，充滿機(jī)遇。

雷鋒網(wǎng)特約專(zhuān)家稿件，禁止轉(zhuǎn)載。

雷峰網(wǎng)特約稿件，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。