写这篇文章之前我先内心问自己,如果黑客不再挖掘漏洞,没有人去披露漏洞就不会有人学会如何利用,那么互联网就真的安全了吗?
答案肯定不是这样,因为这个逻辑根本不存在,能管理能约束的永远是愿意遵纪守法的那一群人,没了这群人在行业里的制衡,作恶的人门槛变得更低了,而黑产只会更猖獗,这场看不见的网络战争可能就真的提前结束了。
规则是用来约束愿意遵纪守法的那一类人的。
预警的本质
与其思考预警的本质,不如问我们自己为什么要预警?
预警是为了更敏捷更快的应急,在这个什么都快的时代,一个安全事件的爆发,背后的本源其实是一场企业的安全运维与不法分子在抢时间的战斗,这场战斗是不对等的。
毫不客气的说,除了大厂以外大部分企业中从业的安全技术人员,在技术能力上和不法的黑产分子相比,完全只配被他们按在地上吊打的份儿,更何况在这种看不到的网络战争里,敌人就像潜伏的狙击手一样,他在哪?瞄准谁?从哪登陆?先干掉谁?完全是未知的。
更有甚者,企业是连基础的安全运维人员都没有,都是普通的研发岗位、程序员在做这些事,专业的人做专业的事儿,就像安全测试人员不一定会有很好的代码能力一样,大部分程序员的安全基础自然也是很弱的。
门槛变高?
岗位就不对等,就算是知道爆发了这样的漏洞,怎么排查自己的业务?怎么复现自己的业务是否存在问题?对于大部分的程序员都是懵的。
因为有巨大的利益链驱使,不法黑产分子对技术的投入和漏洞获取的情报体系,本来就远快于企业,甚至相比今天混乱的互联网创业环境,很多安全公司的能力与其相比其实也都不一定跟得上。
这样的结果就是本来应急响应就比不法分子慢半拍,因为大部分企业都没有配备专业的安全人员,过去给了poc和exp可能都不是很流畅的快速搞的定,这条路都封锁掉以后,等他们到处网上搜索、学习研究掌握了这项技能,业务不知道都沦陷多少次了。
细节披露必要性
各安全公司在漏洞预警中的披露漏洞细节,提供的poc和exp向来都是给这些准备不足的企业,服务于那些信息闭塞能力不对等的技术人员的,以专业的黑产分子的技术水平和经济投入,根本用不上这些东西,在安全事件发生的时候,安全公司接收到这些情报信息的同时,黑产分子也早就拿到了这些情报,甚至还要早于安全公司。
就算我们在这个环节强行对等,我们假设安全公司和黑产分子同时拿到了漏洞细节,安全公司也永远在这个环节比黑产分子慢半拍啊,作为攻击方黑产分子拿到漏洞是直接写脚本开始攻击进行获利,而安全公司不但要写“攻击脚本”辅助企业复现,还要去思考如何修复这个漏洞给出解决方案,发现问题容易解决问题很难,这个道理很明显大家都明白。
更有甚者在一些数据泄露的预警中,都是不法黑产分子先黑掉了某些企业,拖走了这些数据库在暗网上、底下黑色链条公开售卖的时候,安全厂商拦截到了这些情报再预警的,那时候黑产分子都不知道卖了多久了。
公开的利与弊
从我的角度来看公开漏洞细节这条路如果被阻隔,更大的影响其实可能是对受害者的影响大于作恶者!
有没有作恶者通过这些细节获利呢?当然有,不过那只是在不法黑产圈子里的小鱼小虾,说的更直白一些,就是黑产分子里的那些业余选手。
也许让犯罪的成本变高,触犯法律责罚变的更重,开放的让更多正向服务于企业,帮助企业建立安全体系的服务公司加入进来,与不法黑产分子正面对抗,可能才是更好的选择。
在这个过程中,对正向的安全公司适当开放一些,少一些约束,行业也许发展的就会更良性一些,只要价值观是正确的,敢于放开手脚去干,国内的安全行业整体水平才会更好的进步。
需要遵循的条条框框多了,越是“合规”的大一点的安全公司,做事情就越畏首畏尾,生怕前几天和同行的兄弟还是竞争对手关系,一不留神踩了哪条规则,分分钟变成了同期同监同病相怜的狱友。
如果是这样,这行业可能不但不会有好的发展,连原有的业务都不好干了,那行业可能就会变成退步的。
写在最后
希望这个行业从业者的声音,相关负责部门能权衡的考虑一下我们的这个角度,细细斟酌一下,作为一个民间的安全组织,我们向来都是为各大互联网厂商发现与披露安全问题为目标,一直都在帮助各大互联网充分发现安全风险,在互联网上我们的痕迹也算是蛮有体量的一个小组织。
从我们的角度,从愿意将厂商的安全问题提交给平台,其实本身就已经做了选择站在正确的梯队的一面了,在加上之前网络尖刀团队在行业里,无论是隐私、漏洞、数据泄露还是安全事件,多多少少我们也确实披露过很多东西,从安全组织的角度目前新产生的很多规则,都已经让我们内部的技术成长,受到了很多约束。
不知道自己的能量这篇文章能传播到什么程度,但终究还是想要表述一下内心中,对目前的一些制度问题、规则问题,从一个从业者的角度表达一下自己的苦衷与诉求,我在文章的开头就提了这样一句话:
规则是用来约束愿意遵纪守法的那一类人的!
在规则面前,我们都是正向去做企业安全服务愿意遵守规则的那一类人,如果遵守这些规则的过程中,它有可能会牺牲掉我们技术成长的能力、更有可能阻碍企业快速响应去解决安全问题。
那能不能思考一个更好的平衡呢?
感谢!
原文始发于微信公众号(网络尖刀):给信息安全行业从业者请个愿!