技术干货：对安全工作一些思维定式的反驳.docxVIP

技术干货：对安全工作一些思维定式的反驳 从另外一个视角来看看我们经常挂在嘴边的困难是否真的成立，给大家一个新的角度看待我们每天的安全工作。 1、防守方的劣势：突破是点，防守是面。 在很多场合都听到过这样一段话，大意是：安全团队的处境很尴尬。因为我们要防守的是个面，甚至是一个“体”。但黑客只需要一个点就可以完成最初的突破。比如：在一个攻城战中，守城方需要将兵力分配到每个门，但进攻方只需要攻下一个城门就可以拿下城市。 但技术体系的攻防与古代战争中的攻防是有本质区别的，主要有四个方面： ①?最大的区别就是技术体系的攻防是可以利用自动化工具辅助的，在自动化工具的加持下，并不存在多攻击面分散兵力的问题，真正关键的是对资产和攻击面的梳理； ②?对攻击面的管理权限在防守一方，我们防守的城市有几个门，分别都是什么，这个决定权在防守方手中，善于收敛攻击面是防守方必备的能力； ③?在攻城战中，破城之后还可以巷战。同理，IT系统也要善于利用纵深防御思想，不要把互联网边界当成唯一的战场，很多情况下横向移动的检测比互联网边界入侵的检测更容易； ④?我们还可以充分利用信息不对称的客观事实，一方面保护好企业IT架构、IP地址之类的敏感信息，同时利用类似蜜罐之类的诱骗工具，可以提高入侵者的入侵成本。 综上，企业安全团队并不需要给自己增加很多不必要的压力和幻灭感，攻防之间各有优势，作为企业安全管理者，需要充分挖掘自己的优势，打赢这场持久战。  2、安全的木桶理论 另一个经常用到的理论是木桶原理，木桶原理是指一只水桶能装多少水取决于它最短的那块木板。这个理论用在信息安全领域指的是，黑客总会通过企业最薄弱的环节入侵企业的信息系统。所以，企业应该尽量补上短板，而非无限增加长板。 这个理论在原则上是对的，但是在实际环境中，企业由于各种原因很可能无法补齐短板。在出现问题后，我们则会抱怨由于某某问题，使我们短板无法弥补，导致安全事件。 但短板是可以通过长板弥补的，主要是看效果和边际收益。举个例子，如果因为系统老旧导致某些漏洞无法修复，那么就可以采用加强安全威胁检测的方式作为弥补，当然要弥补脆弱性的短板，需要威胁检测这块“板”足够长才行。威胁检测可以在漏洞没有修复的时候，实时检测对某个IP某个漏洞的攻击行为，随时发现随时封堵。或者直接采用虚拟补丁在边界防御层搞定漏洞问题。 如前文所述，是补齐短板还是采用长版弥补没有严格的优劣之分。主要看效果和边际收益。在上面的例子中，企业修复漏洞可能需要老旧系统代码重构，成本很高，但如果企业威胁检测和SOAR体系建设完成的话，就可以很大程度的降低安全风险，这虽然不是100%解决问题的方式，但至少是可以临时采用。   3、企业安全人员的收入远少于黑产收入，导致企业很难对抗黑产。 这个理论是说，企业安全人员的收入比之黑产从业者差距巨大。这导致了两者之间的动力和积极性存在本质差异，企业与黑产之间的对抗很难获胜。这不禁让我想起了经常看的警匪片中，匪徒经常会说：“你就拿那点工资，玩什么命啊！”但大部分安全从业者就是拿着工资“玩命”的人。从另一个角度分析企业在这个问题上的出路： 首先，职业选择并不是由收入决定的。喜好、能力、三观都是左右职业选择的因素。并不能说优秀的人才都在黑产一方，而从长期看，工作动力和敬业精神也不是利益一个维度可以驱动的； 其次，邪不压正，随着我国法律体系的不断完善，黑/灰产的违法成本越来越高，这是对企业非常大的保护； 再次，如同前文分析防守方优势中提到的，攻防对抗中，防守方是有很多优势的，恰当的利用防守方优势，充分调用企业安全人员的积极性，鹿死谁手，犹未可知。 写在最后 在日常工作中，我们经常会找到这样那样的理由来说明安全工作很难开展。但作为安全从业者，自己一定要清楚，任何行业都有其困难的一面。想要破局就需要打破思维定式，另辟蹊径找到适合自己处境的方法。