"Hacker" Avcısı: Güvenlik çemberinde çok fazla "saldırı" var ve bu iyi değil
Geçenlerde bir şaka duydum Bir çocuk başka bir çocukla randevu ayarlamak için sihirli silahı kullandı ve her tanıştığı zaman ustaca bir prezervatif çıkardı.
İkisi birden fark etti: "Ah? Siz de saldırıyorsunuz!"
Ali'de kıdemli bir güvenlik uzmanı olan "Hunt", "güvenlik çemberinde çok fazla" saldırı "olduğundan şikayet etti! O anda, Lei Feng'in ev konuk kanalı (WeChat genel hesabı: Let'shome) ona bu hikayeyi anlatmak istedi.
"Ah, çok düşündüğünü biliyorum. Savunmakta olanlardan çok" saldırı "yapan çok insan var. Bu yüzden bu endüstri pek iyi gelişmiyor." Hunter gülümsedi.
Hunter, "Secondary II" deki animasyonu seven orta yaşlı bir güvenlik araştırmacısıdır. Bu adı, en sevdiği animasyon "Full-time Hunter" dan türetilen "hunter" dan çevrilmiştir. Biri adlı iki laboratuvardan sorumludur. Adı "Orion" ve biri "İkizler".
Hunter, Shandong Üniversitesi'nden matematik alanında lisans derecesi ve Çin Bilimler Akademisi Yazılım Enstitüsü'nde siber güvenlik alanında yüksek lisans derecesi ile mezun olduktan sonra NSFOC'ta 8 yıl çalıştıktan sonra Ali'de 4 yıl çalıştı. Elbette, Leifeng.com size gerçek adının "Qu XX" olduğunu söyleyebilir (güvenlik çemberi takma adının ifşa edilmesi uygun değildir, size "soğuk şarkıyı" hatırlatır) - ABD vize ofisinin güvenlik personelinin yurtdışına çıkması için çok katı bir onay aldığını öğrendiği için , Artık gerçek adını güvenlik endüstrisi ile ilişkilendirmek istemiyor.
Ancak güvenlik endüstrisindeki bu kadar eski bir sürücü, animasyonu seven orta yaşlı "İkincil II" nin orta yaşlı masumiyetini hâlâ koruyor. Lei Feng'in ev konuk kanalıyla yapılan sohbetin teması, "güvenlik çemberinin tuhaf fenomeni hakkında öfkeyle şikayet etmek".
Sözlü: Avcı | Metin: Li Qin
Şaşkın
2006 yılında Çin Bilimler Akademisi Yazılım Enstitüsü'nden siber güvenlik dalından mezun olduğumda üç seçeneğim vardı.
İlk olarak, lisedeyken Japon araştırma ekibiyle bir araştırma projesi yaptım. O zamanlar Google sadece canlı sunumları ve özgeçmişleri kabul ediyordu. Okulumuza geldiğimde projeyi savunmak için Japonya'ya gittim ve çok özledim.
İkincisi, IBM, Japon araştırma ekibinin bir katılımcısıdır, çünkü bu proje bir ödül kazanmıştır, eğer birisi tavsiye ederse, IBM'in yolunu takip edebilmelisiniz.
Elbette bunlar internet sektörüne gidebilecek geniş yollar Kendim için seçtiğim üçüncü yol güvenlik için NSFOCUS'a gitmek.
O zaman bunu düşündüm. Önümüzdeki iki yol iyiydi ama güvenliği gerçekten seviyorum çünkü dayanamıyorum.
Küçük bir çocukken Matematik Bölümü bilgisayar odasında ağ yöneticisi olduğumu hala hatırlıyorum. Bilgisayar odası, IP'si Almanya'da bulunan bir bilgisayar korsanı tarafından hacklendiğinde, ancak diğer tarafı nasıl çıkaracağımı bilmiyordum.
Utancın farkında ve cesurca, o zamandan beri ağ güvenliği araştırmalarının yıldız denizine yatırım yaptım.
NSFOCUS'un araştırmasının kapsamının çok güçlü olduğunu herkes biliyor ve güvenlik çemberinde Whampoa Askeri Akademisi olarak da biliniyor.Başlangıçta çok mutluydum ve bazı yazılımlar için güvenlik açıkları madenciliğinde bazı sonuçlar ürettim. Kazma ve kazma, bir şeylerin yanlış olduğunu düşünüyorum - bu yazılımın güvenlik açıkları neden sonsuz? Kazmak, doldurmak, kazmak ve tekrar doldurmak ... Bu sonsuz bir döngüdür Bu güvenlik konsepti gerçekten sektörün gelişimini destekliyor mu?
2014 yılında, bu kafa karışıklığıyla, sorularıma cevap verecek rolü değiştirmeyi umarak A-Alibaba Partisine atladım ve şu anda bir "saldırgan" dan "savunmacı" olarak değişiyorum.
Bu değişiklik, yukarıda bahsedilen sorunların özünü görmemi sağladı: Şu anda ortaya çıkan çok sayıda güvenlik şirketi var ve bunu şiddetle yaptık Neden hala bu kadar çok bilgi sızıntısı olayı var? Güvenlikte gerçek bir gelişme olmadığını hissediyorum Çok fazla saldırgan ve çok az savunucu var.
Söylemelisiniz, pek çok insan "Nasıl saldıracağımı bilmiyorum, peki ya savunma" demiyor mu?
Ama hissettiğim şey, "saldıran" insanlar çok iyi boşluklar kazıyorlar. Yolda çok sayıda çukur buldular, ancak sık sık "Burada bir çukur var" diye bağırdılar ve neredeyse bitti. Kalan "çukurlar" veya " "Çukur" ve "çukur" un ortaya çıkmasına izin verin, ancak daha etkili bir çözüm yok.
Ayrıca çok fazla saldırgana ihtiyacımız yok.
Normalde, hücum ve savunma personelinin oranı 1: 2 olmalıdır, ancak on güvenlik araştırmacısı arasında 9'u "saldırgan" olabilir.
Bu bir sorun yaratır: "Saldırı", çok sayıda boşluk kazabileceğiniz anlamına gelir. "Silahlanma yarışında" herkesin elinde "nükleer bomba" vardır ve herhangi bir zamanda birbirini fırlatmak imkansızdır. Ülkeler ve şirketler için daha güçlü savunma yetenekleri geliştirmeleri gerekir mi?
Neden bu kadar çok "saldırı" var
Gerçek şu ki, yavaşça bir hücum oyuncusundan bir savunmacıya dönüştüm, istedim ama hazır bir "gardiyan" almak zordu.
"Saldırı", "savunmadan" çok daha fazlasıdır, bence üç neden var.
Birincisi, yetenek eğitiminin yolu tek ve eğitilen tek bir yetenek noktasıdır.
Kendimden şikayetçi olmamalıyım.Birçok şirketin aldığı güvenlik personelinin özgeçmişleri, oynadığım CTF ve PWN türü yarışmalar.
Birinci tür rekabet, soru sorma ve güvenlik açıklarını bulma becerisini geliştirmek; ikinci rekabet türü de ilgili yazılım ve donanımın güvenlik açıklarını keşfetmek ve ardından oyunu oynamaktır. İkincisi ile ilgili olarak, herkes bunu deneyimlemiş olmalı.Son iki yılda, ünlü yabancı PWN yarışmalarındaki oyuncuların çoğu Çinli güvenlik araştırmacıları ve bazı yarışmalarda Çin takımı esas olarak birbirlerine karşı mücadele ediyor.
Son zamanlarda, üst seviyenin dahili olarak Çinli güvenlik şirketlerinin insanları PWN'ye ve yurt dışındaki diğer yarışmalara katılmaya teşvik etmediklerini duyuran bir haber duydum Bu, bunu kendiniz deneyimleyebileceğiniz anlamına geliyor.
Ek olarak, birçok beyaz şapka vahşi yollara aittir, yani yarı yoldan feragatlerdir.Belirli bir dikey alanda ustalardır ve sistematik bir öğrenmeye sahip değildirler. "Tek nokta" yetenekleridir. Bu boşluk. Bırakın başka şeyler yapsın, yapamaz ve ihtiyacımız olan şey, şirketin gerçek güvenlik çalışmasının ihtiyaçlarına hızlı bir şekilde adapte olabilen, hücum ve savunma teknik okuryazarlığı ve kriptografi ve diğer bilgi birikimine sahip sistem yapısı yetenekleridir.
İkincisi, birçok güvenlik şirketi ortaya çıkmış olsa da, hala "ne sıcak, ne çalışmalı" olabilirler. Ancak, açık kaynak çerçevesinin "kalp damlaması" ve yakın zamanda açığa çıkan Intel CPU güvenlik açıkları gibi pek çok önemli güvenlik açığı bizim tarafımızdan keşfedilmedi.
Şimdi, tüm güvenlik endüstrisi "parça parça yama yapıyor" ve herkes "alçı yapıştırmak" için çok çalışıyor ki bu iyi değil.
Üçüncüsü bir örnek vermek istiyorum, herkes +1 yaşayacak. Amerika Birleşik Devletleri ulusal güvenlik projesini şu şekilde kavradı: Kabul endeksi, projeyi doğrudan üstlenen uzmanlar tarafından değil, projeye katılan ekip tarafından belirlenir.Proje uygulamasının başlangıcından projenin sonuna kadar, örneklerin ve sonuçların etkililiğinin PK'si proje boyunca ilerler. Her zaman işler daha iyi ve daha iyi olacak.
Sıcak noktaların peşinde değil, bir şeyin peşinde
Özetlediğim ana fikir şudur: hücum ve savunma oranı dengeli olmalı, koruma odak olmalıdır, araştırma yönü pürüzsüz olmalı ve sadece sıcak noktalar değil.
Sıcak noktaların peşinde değil, neyin peşinde? Eğilimi takip edin.
Lao Ma, 2015 yılında BT çağından DT (Veri Teknolojisi) çağına geçtiğimizi söyledi.
Herkes, her kuruluştaki verilerin durumunu anlar. Ancak veri güvenliği için farklı bir fikrim var.
Bence veri güvenliğinin kapsamı bir sunucuyu korumaktan çok daha fazlasıdır.Yapmamız gereken, veriler sızdırılsa bile saldırganın verinin şifresini çözememesi ve "kullanılabilir ama görünmez" e ulaşamamasıdır.
Endüstrinin ilerlemesine dikkat ederseniz, ana akım bir çip üreticisinin bununla ilgili bir veri şifreleme teknolojisi geliştirdiğini göreceksiniz.Teknoloji hala en son araştırma aşamasındadır, ancak Çin'deki büyük İnternet şirketleri temelde teknolojiyi takip etmektedir. Biz dahil.
Bu teknoloji gerçekten dönüşüm işine uygulanıyorsa, gelecekte herkesin yalnızca veri toplama aşamasının güvenliğine ve koruma anahtarının güvenliğine odaklanması gerektiği anlamına gelir.
Elbette bu, zorlukların azaldığı anlamına gelmez.
Veri toplama aşamasında hangi verilerin toplanması gerektiği, ulusal gizlilik politikasına uygun olup olmadığı ve toplanan bilgilerin şifrelenmesini sağlamak için ne gibi yöntemler kullanılabilir.Arama ve kullanma gibi dolaşım bağlantılarında, veri şifreleme koşulları altında yine de sorunsuz ve verimli bir şekilde yapılabilir. Verilerin kullanılması, verilerin orijinal sahipliğinin nasıl kanıtlanacağı, kaynak verilerin gerçek veri olduğu anlamına mı geliyor? Şifrelenmiş veriler kaybolduktan sonra hırsız nasıl takip edilir ...
Veri güvenliğine ek olarak, otomatik araçların da araştırma yönlerinden biri olabileceğini düşünüyorum. Bir güvenlik çatışmasında, fiziksel olarak yüz düşmana sahip bir düşman olduğunu düşünmeyin, bin kişiyi yenmek için otomatik araçları kullanmakta iyi olun.
Yakında savunma odaklı bir oyunum olacak. Bana inanmazsan deneyebilirsin. İnsan zekası ve etin topladığı otomatik araçlar düşmanla yüzleşecek ve gökyüzüne oklar gelecek. Böyle bir ortamın izin verdiğine inanıyorum. Bin düşmanla konuştuğum savunmanın ne kadar önemli olduğunu biliyorsun.
Güvenlik çemberindeki şeyler hakkında konuşmak istiyorsanız, lütfen WeChat genel hesabı "Zerke Kanalı" nı takip edin.
