搞垮甲方攻防团队的 7 条建议
2022-11-9 14:54:2 Author: 信安之路(查看原文) 阅读量:8 收藏

大家都是受过九年义务教育的人,不是我吹,我比你们厉害一点,我读了十年。

今天跟大家聊一个硬核的话题:如何搞垮一个甲方攻防队伍。

没有搞不垮的队伍,只有不努力的人,相信我,只要你努力,再结合点方法论,搞垮一个攻防队伍根本不是难事。

根据我多年的实操经验,总结了以下7条秘技,希望能给你一些启发,在搞垮的道路上助你一臂之力。

0x01 规划要体现格局

如果你所在的甲方攻防业务刚起步,这一点就特别重要,新业务的资源投入往往是不够的,想要受到重视,一份高大上的工作规划就十分有必要。

追 APT,挖 0day,搞行业合作,提升品牌影响力,打造专属 IP……

记住了,千万别接地气,飘得越高越好,这才能体现我们的高瞻远瞩。

把饼画的大点,大到你自己都吃不下,这就是一次成功的规划。

这不叫吹,这叫格局。

万事开头难,先搞一套飞上天的规划,这样就为搞垮一个攻防队伍开了一个好头。

题外话

初期阶段,就三五个人,搞个毛线格局啊,手底下的活能干完就不错了。

在甲方做安全,很重要的一点就是落地,千万别画饼。

任何事都有发展阶段,看清自己的现状,制定符合实际情况的目标和行动路径。当然不是不能做长远的规划,只是行动的时候要先解决眼前最重要的事情。很多事情不是不能做,而是还没到做的时候。

不怕规划做的小,就怕规划假大空。

0x02 钻研技术,拓展深度和广度

攻防队伍研究技术,没毛病吧。

传统的 web 安全技术已经不能满足我们的B格了,从技术研究深度上,搞一搞中间件漏洞,研究研究开发框架的缺陷,挖一挖系统内核漏洞,搞点核武器级别的大杀器,这才是攻防队伍该做的事情。

木桶原理大家都知道,任何一个短板都会制约我们的发展,所以除了技术深度外,广度也很重要,web 安全、移动安全、云安全、IoT 安全、虚拟化安全……

反正都得会,哪个不会就学哪个。

总之,每个领域都会,每个领域都专精,这才像攻防队伍。

题外话

一个成熟乙方的攻防队伍这样建设是没有问题的,技术研究能力可以直接为公司创造效益,但是甲方的蓝军想像实验室一样做纯研究,需要做很大的投入而且还不一定能出研究成果,特别是处于初期阶段的蓝军,企业是无法接受没有产出的技术研究的。

技术要支撑业务,攻防也不例外,我们钻研的技术,最终一定要能解决实际问题,能辅助公司达成业务战略目标,这就要求我们要有选择的去钻研一些技术领域,不能太脱离现状。

在选择研究领域时,可以利用甲方平台的优势,了解最新的防护技术、安全产品和解决方案,相对应的测试技术也要有更新,这些其实都是很好的研究方向,切忌漫无目的的选择

0x03 管他什么测试,干就完了

经常有兄弟提问,在甲方平时防护的工作更重要,感觉攻防没什么可做的事,也不知道该做些什么。

事实并不是这样的,攻能做的事挺多的,测测系统的漏洞、挖挖 wifi 的安全性、验证网络策略的合理性、绕一绕人脸识别、搞一搞门禁系统、试一试社会工程……

如果想玩大的,还可以黑一下大屏、给老板发钓鱼邮件,搞出点动静来,也能用实际效果来证明攻击工作的重要性。

所以根本不怕没事可干,甚至搞完一轮还可以再搞一轮。

题外话

在资源有限的情况下一定要优先解决最痛的点、公司最关注的点,不然很有可能是浪费资源做了无用功,还会给其他人留下自嗨的印象。

在选择做什么之前要先认清攻防在当前安全体系中的位置,找到自己的“生态位”,将攻防的齿轮契合到整个安全体系中,这样的转动才有意义

建议平时多和身边的人沟通,了解现状、痛点和他人的期待,对于身边的事情要有敏感度,以攻防的视角提出解决方案并行动,这样我们有限的资源才能集中在最重要的事情上形成压强效应,一步一步通过技术推动安全能力的螺旋提升,服务好公司的业务,体现出攻防在甲方安全建设中的价值。

另外,对于玩大了的兄弟,只能提醒一下不是所有公司都认同这种做法的,搞之前请先评估好后果。

0x04 管他什么漏洞,提就完了

这年头,各个企业的 SDL、DevSecOps 体系都已平稳运转,系统在上线前就已经修了多轮漏洞,上线后想挖个漏洞太难了,不过这也难不倒聪明的攻防人员,提不出高质量的漏洞,小瑕疵还是能找到的。

登录处不设置错误次数限制,就是暴力破解漏洞,哪怕加了验证码也可以人工输入;登录处设置了错误次数限制,就可以导致账号锁定,批量冻结人员账号;80/443/8443/8080,以上端口均为易受攻击端口,可能存在被攻击风险,需要更改或关闭……

业务的正常功能也可以当漏洞提,也是个和项目组PK的好机会,还能多刷刷脸,一箭双雕。

总之,提就完了。

题外话

运行态的系统找不到漏洞才是我们要追求的目标,并不是一定要挖出漏洞了才能体现出攻防的价值,攻防人员一定要走出这个思维误区。

随着安全工作的不断深入和完善,漏洞一定是越来越难挖的,这也说明我们的安全工作做到位了,如果安全投入很大,反而漏洞一年还比一年多,这就要出问题了。

鉴于此,攻防队伍的绩效趋势一定是逐渐下行的,提交低质量漏洞并不是解决绩效下行的方法,想要解决这个问题可以考虑调整指标体系,评判攻防队伍成熟度的方式不是只有漏洞一个指标,结合自身的需要制定多维度的评价体系,代替只看漏洞数的评价方式。

0x05 风险具象,不然漏洞得不到重视

安全漏洞不被重视应该是很多甲方的痛点,那么大家有没有思考过原因呢,发现的漏洞为什么不受重视?

答案很简单,就是痛点还不够痛嘛,所以解决这个问题的方法就是让相关的人员痛起来,把漏洞的风险利用到极致,通过漏洞整出点动静来,这样研发和业务就会觉得痛了。

发现个 SQL 注入漏洞,只输入引号报错体现不出这个漏洞的危害性,不如直接改生产数据,把自己的余额改了,把别人的密码改了,这样研发就会意识到漏洞的严重性,修起漏洞来也带劲。如果这样都不重视,那就直接把研发负责人的数据改了,看他修不修;

发现个 XSS 漏洞,只是弹个窗也太没意思了,不如写个 js 脚本把官网搞挂,这样再也不会有人说 XSS 影响不大了……

这年头,漏洞已经越来越难挖了,好不容易挖到个漏洞,得把影响搞大了,不然我装逼给谁看呢。

攻防人员最擅长搞各种骚操作,这里仅抛砖引玉,相信大家都能做的很好,这样搞就没有人不重视漏洞了。

题外话

首先,证明漏洞的危害,提高大家的安全意识,有这样的想法是非常好的,但是风险具象往往也会伴随着风险发生,在做关键操作之前一定要预判对系统的影响,特别是生产系统,稳定运行的优先级一定是大于修复漏洞的。一旦出了事,搞不好要背责任。

我们发现漏洞的目的就是帮助系统能更稳定的运行,千万别忘记漏洞挖掘的初衷。

技术人员都有着一颗把事情做到极致的心,不过做事的同时还要时刻保持对风险的敬畏,别让我们的进取心弄巧成拙。

0x06 拿着漏洞当令箭

俗话说一朝被蛇咬,十年我就学会了剥蛇皮吃蛇肉。经过了历练我也学会吊打兄弟组,折磨业务方。

只要能挖到漏洞,我们就有机会,赶紧刷刷存在感,证明攻防牛逼,别人不行。

这么简单的漏洞,系统上线前安全开发怎么做的?漏洞都利用成功了,安全运营怎么没阻断?业务怎么考虑的,能提出这样的需求?产品经理什么情况,需求怎么会这样实现?研发怎么回事,请你们来就是写漏洞来的吗?都过去五分钟了,漏洞怎么还没修完,好好反思一下是人的问题还是流程的问题……

只要你手里有漏洞,挑毛病还不好挑吗,直接一套 PUA 操作,说到别人怀疑人生。 

用好了这招,保你跟其他团队和部门建立对立关系,屡试不爽。通过这种方式给攻防涨涨面子,看以后谁还不重视攻防工作。

题外话

攻防绝对不是给其他团队找麻烦,相反我们一定要站在对方的角度去沟通发现的安全风险,我们的目标永远都是帮助系统建设的更健壮,建立合作共赢的关系才有利于大家保持长期的工作协同。

如果到处都是敌人,那后面的工作会更难做。

0x07 向优秀队伍学习

还有些兄弟会问,攻防只挖漏洞是不够的,关于队伍建设有什么好的思路吗?

解决方法也很简单,照搬别人的做法就好了。

做事情不能闭门造车,应该多出去看一看,参加一些峰会和交流,了解一下别人都是怎么做的,特别是一些优秀的队伍,人家优秀肯定有值得学习的地方,人家怎么做咱们也跟着怎么做,一定错不了,这也是攻防队伍建设最简单直接的做法。

题外话

多学习交流没有错,但是我们不能盲目学习,别人的优秀经验可以作为参考,结合自身的现状制定出最符合自己行动方案才是最正确的做法

组织架构的不同、发展阶段的不同,也就意味着不同的策略和打法,不经过消化的照搬照抄,一定会水土不服。

0x08 结语

马云说过:“今天的最好表现,是明天的最低要求。”虽然我也不知道引用这句话想证明什么,但总觉得在文章的最后引用大佬的名言,好像能提高逼格。


文章来源: http://mp.weixin.qq.com/s?__biz=MzI5MDQ2NjExOQ==&mid=2247498150&idx=1&sn=aa182d374508f1efef756a9494ea08c6&chksm=ec1dc98edb6a409839a27967c9db64c8e7ff5f7eebd1a16a5bbebaf4c007076b56b831bba6c4#rd
如有侵权请联系:admin#unsafe.sh