自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

网络安全的三个“坑”，你踩过吗？

     文 | 孙瑜

【孙瑜】

某互联网公司安全工程部，现负责研发安全，擅长软件设计和编码安全，STRIDE威胁分析。

近年来，我们身边屡屡发生安全事件，并且呈现愈演愈烈的趋势，使得大家不得不重视信息安全。信息安全建设的发展从“救火式”，到堆砌安全产品，再到信息安全管理体系ISMS的理论指导，近年来随着攻防对抗的演进，网络安全防御体系也在不断更新换代，如纵深防御体系、边界防御体系、战时防御体系、塔防体系等。

本文就将历数一下我在网络安全行业遇到的“坑”。

安全设备就是安全防御者的武器，“兵者，国之大事，死生之地，存亡之道，不可不察也。”可见武器的重要性。但是，是不是安全产品越多越好呢？

网络防火墙把攻击拦截在国门之外，入侵防御系统IPS将混入的漏网之鱼一网打尽，WAF防火墙专项治理SQL注入、XSS攻击等web攻击，堡垒机将所有来访者的身份目的行为轨迹尽收眼底，IAM身份访问控制系统决定谁能进入和能做什么，安全设备发挥各自的特长保卫着网络安全。

于是，安全设备层层设防，无处不在，从外网到DMZ区，从内网到服务器区，所有网络区域边界都部署各种类型和厂商的防火墙产品，让攻击者无所遁形，过了一道关还有一道关。然而，效果如何呢？

2020年，IBM发布了一项由Ponemon研究的全球调查报告，调查对象包括全球3400多名安全和IT员工，结果显示：“与使用较少工具集的其他公司相比，部署超过50种工具的企业在检测威胁的能力方面排名低8%，在防御能力方面则低7%。” 这说明安全设备的数量与安全性并不是正比关系，而是正态分布，也就是说，当安全设备的数量在一定范围内对企业的安全性起到正向作用，超过一定数量则起到反作用。

部署安全设备只是第一步，更重要的是安全策略的配置和后期维护。就像便衣民警在机场等人流密集的场所检查可疑者的身份证件一样，安全设备拦截可疑者，而放过正常用户，区别是判断标准不同，安全设备通过策略匹配拦截行为异常的访问请求，所以拦截的正确率取决于策略的精准程度，需要动态调整安全策略使其和业务的融合程度越来越高。为了能够识别不断进化的新型攻击技术，还需要实时更新安全病毒库，年久失修的门无法抵挡新式武器的攻击。

任何安全设备都不可避免误拦误报，那就需要安全运营人员人工放行，并调整策略。关卡越多，需要驻守的士兵就越多，如果误把合法用户拦截了，就要逐级排查放行。同样，当安全设备数量很多时，排查误拦误报工作将耗费安全人员大量的时间和精力。

所以安全设备不是越多越好，而要根据业务的重要性和安全团队资源等因素综合考量，平衡也是一门艺术。

吴翰清老师在《白帽子讲Web安全》一书中说：“互联网本来是安全的,自从有了研究安全的人之后,互联网就变得不安全了。”这句话值得好好思考，从哲学角度说，漏洞一直存在，只是人们看不见，直到黑帽子、白帽子的出现，才使它暴露于大众视野。

奇安信董事长齐向东曾经用一个形象的比喻说明了黑帽子、灰帽子和白帽子的关系：“进屋偷东西的是黑帽子；进屋转一圈，再对你说‘门没关严’的是灰帽子；提醒你‘门没关严’，在征得同意后帮你把门关上的是白帽子。”

黑帽子和白帽子的共同点是致力于发现漏洞，但二者的出发点不同。白帽子义务帮助企业发现漏洞，主动告知厂家，不求任何私利，企业本应感激。但2015年的一件事伤了白帽们的心：某网站在修补了白帽子提交的漏洞以后，以窃取商业数据为由，一纸诉状将该白帽子告上法庭，导致其被判刑。

这件事情彻底打破了企业和白帽子之间的友好和信任关系。从此，白帽子处处小心谨慎，发现漏洞点到为止，以免无意中触碰法律警戒线。

黑帽子、白帽子和企业都是处于同一生物链中，是互相依存的关系，缺少任何一方都会打破平衡，不管是处于生物链顶端还是底端，黑帽子与白帽子之间的对抗和博弈推动着安全产业的向前发展。

说起0day漏洞，真是几家欢喜几家愁！早期的0day表示在软件发行后的24小时内就出现破解版本，现在已经引申了这个含义，是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

例如2016年苹果手机第一次公开披露高危漏洞，由三个0Day漏洞组合构成，故被称为“三叉戟”，用户只要点击了黑客发送的恶意链接，黑客就会瞬间获取最高权限，窃取短信、邮件、通话记录、电话录音、存储的密码等大量隐私数据，甚至可以监听通话，要求厂商迅速做出反应，修补漏洞，发布升级补丁。

0Day漏洞一直以来都是黑客们奋斗的目标，俗话说：“不想挖0 day的黑客不是好黑客。” 0day还意味着巨大的经济利益，在网上曾公开的某暗网0Day漏洞售价表显示，针对三个主流PC端操作系统的0day价格为3万美金，移动端操作系统的价格高达10万美金，苹果IOS系统甚至达到50万美金。

0day漏洞的恐怖之处在于未知，它在明我们在暗，就像明知道敌人有武器，但不知道是什么武器，更不知道应对方式，只能被动等对方出手。

从上图不难看出，2021年发现漏洞数量达到顶峰，这意味着未来的0day会越来越多吗？

造成漏洞数量达到峰值的原因：

1，漏洞发现技术的不断发展和漏洞发布渠道的公开导致更多的漏洞被人们看到，这是好事，这样才能修补漏洞。

2，挖掘漏洞变得越来越难，也就是说容易发现的漏洞都被修复了，而越往后发现的往往需要多个严重漏洞互相配合才能对系统造成影响，也是好事，说明漏洞越来越难被利用。

3，众测平台功不可没，企业怀着感恩和开放的心态，对发现漏洞者予以重金奖赏，以免漏洞被黑客利用，促进安全产业向良好的方向发展。

近年来，网络攻击从针对个人的炫技型变成了针对政府、企业的有组织有规模的团队作战，攻击手法也从单纯的破坏行为变成了以窃取数据为目的的隐蔽型持久攻击，虽然感觉不到破坏性，但是危害更大。

今年三月，中国外交部发言人称：“美国对中国进行了大规模，长时间，系统性的网络攻击，严重危害中国关键基础设施安全，海量个人数据安全以及商业和技术秘密，严重影响了中美在网络空间的互信。”

有人说“从来没有什么岁月静好，只不过是有人在替我们负重前行。”在这场看不见硝烟的战场，同样有一群战士在默默守卫着网络环境的安全。

2022诸子笔会  

【7月主题：误区与陷阱】

刘志诚  张永宏

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在