Sobug CEO 冷焰:别搞没用的防御体系,黑客不按套路出牌
10 月 12 日,EGO 深圳分会会员、Sobug CEO 江金涛作为 EGO 线上分享第二季嘉宾,与超过 400 位 EGO 会员交流了黑客眼中的威胁和企业安全的话题。本文根据当天口述内容整理。
江金涛,EGO 深圳分会会员、Sobug CEO 。曾就职于 PPStream ,兰亭集势,腾讯等大型互联网/ IT 公司,网络安全专家,对安全攻防有比较深入的研究,曾受 Google 邀请赴以色列参加 Goolge Campus ,并做网络安全主题演讲。
大家好,我是 EGO 深圳分会二组的江金涛,讲一讲作为安全行业从业十几年的老兵,怎么看待安全威胁。
三个关键字形容自己:
第一个是土生土长的黑客实用主义者。我在十四五岁的时候就开始调试一些东西,基于兴趣做了很多事情,积累了一些经验,因为现在的行业已经没有我们当初那种荒芜期,现在安全行业的新人大多没有这段经历,这也许是我比较特别的地方。
我始终认为,做黑客的经历对我后面的职业发展和自我塑造产生了比较大的影响。黑客眼里看到的东西,跟普通人看到的不一样。我个人对黑客的理解就是定向攻击。
我的经历贯穿了甲方乙方。
我从业的第一家企业是 PPS ,我是公司第一位安全工程师。那个时候的 PPS 还处于早期,除了安全,我也会做网管之类的事情。我称自己为一个人的安全部。公司就你一个人做安全,你该怎么办?
首先要定位安全需求,一个企业一定会存在风险比较高的安全矛盾,比如电商行业的用户数据安全和业务安全,金融行业的支付安全等等。当时的 PPS 的主要矛盾是日益增长的用户数据存在被攻击的风险。定位清晰以后,我就把安全工作分为周期工作和探索工作,周期工作就是用见效最快的方式。
比如渗透测试、安全培训、安全基线管理等等,探索性的工作就是一些未来可以自动化,可以持续被迭代的工作,比如通过开源程序做一些安全系统,当时那会我就是在研究怎么通过 snort 去做 ids 。
一个人的安全部重要的在于打开局面,在一个点上深挖。把这个点做好,再去拓展其他点。这样,整个效果和业绩都会比较好。
离开 PPS 之后,我去了兰亭集势,在这里有更大的平台,也就可以把在 PPS 的事情做的更深入。之后就去了腾讯,深入体会了结构化和自动化的安全体系。
最早的时候,腾讯的安全矛盾不是盗号、反欺诈、色情、政治言论,而是对于服务器,对于数据,对于网络的持续攻击。当时腾讯已经是很大的用户体量,数据越来越有价值,很多黑客都想拖库拿腾讯的资料。
腾讯的第一个安全部门叫应用安全部。顾名思义就是保证网络、服务器、网站的应用是安全的,主要矛盾是跟黑客的攻击对抗。腾讯的资产是庞大的,用个人的力量无法做到全覆盖的防御,这个时候就会比较依赖自动化。
自动化的好处是效率更高,覆盖面更广,对于 DDOS 的防御来说,腾讯有大禹系统做防御;对于应用层漏洞,腾讯有黑盒、白盒的自动化扫描工具;对于 WEB 木马和黑客行为,有主机监控系统。各个系统都是在解决某些特定的安全需求,数据又是能够互通和流动的,最终形成了一套比较完善的防御体系,而我们只需要对各个系统进行持续的优化和运营即可。
随着腾讯的战略变化,希望成为互联网的水和电的时候,业务也同样开始横向发展,里面就涉及到了很多业务的安全问题。当应用安全的问题趋于平稳收敛之后,这个时候的安全矛盾成为了日益猖獗的盗号问题,这个时候部门的重心就放到业务安全上。如果应用安全的逻辑是层层阻击,业务安全的逻辑就是让坏人的成本变得越来越高。
业务安全问题有一些特别之处,它的门槛特别底,离套现又特别近,所以基本上都是组织化、团队化。我们再也不是和一两个黑客做对抗了,而是面对完善的产业化集团军,这个时候应用安全的那套理论就不再管用。我们再分析,黑产团队的目的是盈利,我们打击他们产业链的上下游,让整个套现和变现的通道变得越来越困难,这比单纯的做技术对抗要好得多。
所以我们在业务里面加了很多安全的逻辑,比如不在常用 IP 段就不让修改密码,减缓了他们变现的效率等等。这样对抗下来,黑产团队赚钱日益困难,也没有太多的人坚持下去。
之后我们面临的问题是信息安全、涉黄等等,这块就不细讲了,大多通过各种建模去不断优化。
腾讯经历了应用安全、业务安全、信息安全三个阶段,整个安全体系的建立是在持续的安全矛盾对抗中繁衍而来。在腾讯经历了这个过程,我觉得其中很多比较好的思维是可以服务于更多公司的,于是自己就出来创业,做了一家叫 SOBUG 的公司,主要的业务是以黑客的视角,主动帮助企业去发现安全问题,这个类别门槛很低,但是我觉得我们会做的更好。
黑客也做过,甲方也做过,现在我在做乙方。做乙方比甲方痛苦多了。下面讲两个有意思的例子。
安全问题非常多,媒体常报道的安全问题,归纳起来主要是上面途中的三类。如果让我看一个企业的问题,我会在上图选择一项进行攻击吗?当然不会,我会选择另外一条途径。下面举一个例子。
比如某知名知识社区的官网,不到两分钟就黑到他们后台。没有前面说的那么多复杂的手段。我们知道了官网 www.xxxxxxx.com ,直接用字典去匹配域名,很快发现了内容控制平台是 cms.xxxxxxx.com 。后台需要账号和密码,我们测试了几次,发现后台不会对尝试频次做校验,我们直接用工具暴力测试。很短时间就获得一个账号,我们就能够控制官网后台。
按照结果来讲,这是个非常严重的问题;从攻击手法来看,它其实非常容易。
再举一个案例,对某公司进行测试攻击,我们通过微博、论坛爬取员工邮箱,定位公司员工个人信息,比如有多少员工在网上比较活跃,收集起来得到列表。这些员工就是我们的目标,对其个人信息进行探测,通过社工库查到他们用过的历史密码。
人的懒惰是没有补丁可打的,只要密码介质不消除,这种风险会一直存在。拿历史密码登录邮箱,如果有员工邮箱可以登陆,一般就可以搜索找到后台密码。很多时候大公司的邮箱还可以搜到 VPN ,我们通过 VPN 进入内网。在内网做很多事情是很容易的了。
我有两个观点,第一是叫防火防盗防员工,黑客思维天生不会往我们引导的方向走,他们会寻找一个能够更快达到目的的路径 ,员工是最容易被选中的。
第二个观点,有可能出问题的地方一定会出问题。比如前面的后台管理员密码问题,有风险,我们跑了不到两分钟就跑出了真正的管理员密码。现在工具的自动化程度和字典的饱满度远超我们想象,可能出问题,就一定会出问题。
我们做了一个社区叫破壳社区,社区里有很多不错的白帽子,会不断帮你发现漏洞并进行友善的提醒。我们希望能够把白帽子群体调动起来,为整个互联网安全作出贡献。目前已经有几十家企业入驻,包括微博等,他们都愿意让白帽子帮他们发现漏洞,给白帽子感谢。如果企业愿意把自己被发现的安全问题给更多的人警示,我们也会协商把漏洞公布,供大家学习。
最后总结一下,做安全,第一,要明白自己真正面临的安全需求是什么,第二,一定要想到黑客可能去哪里,而不要做很多自己想象出来的防御体系。
EGO 是一个非常好的组织,深圳分会二组的龚银组长是一个好组长。作为有责任感的乙方,我在加入 EGO 之后,EGO 给了我们很多了解甲方安全需求的途径;我也在 EGO 听过很多企业的技术负责人对于技术和管理上的思考,这些都很好地拓展了我的思维。
可以直接联系你们帮忙测试自己公司网站安全性吗?
当然可以。
安全部门怎么在不出安全事故的情况下体现团队业绩?
安全部门要拿数据出来,这是我一直以来的观点。业务部门觉得我们做的好,就算我们做得好,这是很难把控的。比如,我们的漏洞数据是不是在收敛,我们的扫描和基础信息的收集是不是覆盖到一定百分比。要拿数据证明安全业务是在往上走,我觉得这是需要注意的。
每个员工习惯都可能成为安全缺口、短板,有没有一些具体防范建议?
事前在源头上制定制度,管控员工的高危行为;
事中对于密码的策略需要进行二次验证;
事后对于员工的系统权限要做管理。
< 完 >