诸子笔会2022 | 孙琦:你打你的,我打我的-大型信息技术对抗活动杂谈
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
你打你的,我打我的-大型信息技术对抗活动杂谈
你打你的,我打我的-大型信息技术对抗活动杂谈
文 | 孙琦
孙琦
某A+H股上市公司信息安全负责人
负责集团及各业态分子公司的信息安全管理工作,在传统行业、互联网行业有丰富的信息安全工作从业经验。
本期我想和大家一起来随便聊聊关于大型信息技术对抗活动的一些事情,以一个旁观者+非正式参与者的身份来聊聊我所看到的那些场景,不谈实事大事,只谈饭后茶歇,希望能占用你宝贵的7分钟时间,读完全文,点赞加收藏,对我和平台都将是莫大的支持。
开篇一张图,致敬所有参与今年活动的各位师傅们,在你们的日夜付出和努力下,无数的甲方领导和安全一号位选手得以延续他们的职业生涯,当然各位师傅也不是义务劳动,只要你们服务的机构不是太抠门,大家的收入也是比较可观的。
很多人非常好奇,到底要什么样的能力才能拿到这场盛会的入场券呢?我这里稍微做了一些提炼,给大家一个大概的信息供参考,每年情况稍有不同,唯一不变的就是我们的初心和口号。
■ 常见的招募启示:
确认想参加活动>填写简历>投递简历>内部面试>签订合同>内部技能培训>厂商面试>安排入场 (原厂、甲方等另有路径)
■ 招募条件1
年满20周岁,大专及以上学历(优秀者可不考虑),可适应中长期出差,拥有丰富的红队经验或拥有丰富的蓝队溯源分析经验,拥有独立完成红队测试任务的能力,拥有良好的团队协作意识,拥有良好的沟通能力。
译文:能吃苦的、有过往届活动参与经验的、听话的同学优先,这里特别强调良好的沟通能力,因为根据我的经历来说,很多小师傅有不错的技术活,但这个沟通的确有一些问题,主要是你说的别人都不懂,别人说的你也不愿意去听,这个是最大的问题。
■ 招募条件2
薪酬结算于工作结束,通过项目交付验收后的3个月内,届时会在合同中明确结算时间范围。无需担心逾期未结算,我们有垫付薪资及风险控制的能力,不愧对任何一位选手。所有费用均为包含差旅费用。入场支付定级薪资2日薪酬,通过项目交付验收后的3个月内结清实际产生薪酬。
译文:我们是签合同的,但是这个费用的支出也不是确定的,参考多劳多得和能力至上的原则,只要你足够牛,你的收入是非常可观的。但实际情况往往包含了巨大的差异,不同人员和组织在对待这件事情上有很大的差异,各位小师傅可以单独pm我进行私下询问,此处不变多说,但千万多留个心眼。
基本上以上两点都ok,你也就能愉快的参与这次大型活动啦。每年都有一批有志青年带着懵懂的技能树和一颗积极、赤诚的心迫切地希望参与到这个大型活动中,随之催生了针对该活动的专项培训。一般通过为期四周的培训(每周培训5天),他们就能神奇地培养出一批萌新加入这场大型活动。是的,你没有听错,4周时间就行了,一般他们被称为蓝\红队初级,对他们的能力也被描述为“对基本的漏洞有所了解,熟练使用各种安全设备的,熟练使用相关安全扫描工具。具备能看流量设备告警的能力,能分辨误报和真实攻击,会做成功攻击的研判;了解常见的安全工具使用;初步了解漏洞原理;最好有网络安全相关服务从业经验;优秀的应届生或者1年左右工作经验”。
我们再来看看他们都培训一些什么内容吧。
此处省略中间细节…
看到此处,各位师傅们你们怎么看?特别是其中为期一天的“项目现场注意事项”,保证客户现场安全,也保证自己安全。
补充一张图,我们可以看一下,一般在这个活动过程可能产生的费用,为什么要看这些信息呢?答案很简单,对比一下自己的真实收入情况,你就能知道自己处于一个什么收入水平了,多说一句,能力还是很重要的。
聊完如何参加活动,我们再来看看对于被确认参加这项活动的另一方,他们对待这个活动的态度又是如何的。
这是一所高校比较真实的情况,他们的表述非常中肯,我来翻译一下。活动期间,主要系统保留互联网访问(师傅们已驻场,确保万无一失;如被攻破,扣xxx);非必要的应用系统可以在当日晚20:00 – 次日8:00 这个时间段访问,且需要通过VPN系统才能访问。我猜测这些系统呢平时应该是开放互联网访问的,但这次为了收缩防守的范围,不得已必须进行收口,这样才能保证我们的师傅们能防得住(预算有限,请不了太多的师傅)。
正常逻辑下,被点名参与方其实是可以收获很多的,比如:平衡安全规划、建设和运营的投入,保障不形成安全短板、聚焦目标,以高投入对高危、高密、终端资产进行保护等等。我们可以参考某企业的大型活动服务内容及范围:
正常情况下甲方在经历过大型活动后,安全能力将得到较大的提升,但根据路边社统计,大部分甲方的能力提升其实是有限的,主要还是在于大型活动本身,它强调结果导向,同时也导致大家急功近利的完成任务而忽视了能力建设,我这里给大家推荐几篇关于体系建设的文章供大家参考:
诸子笔会2022 | 张永宏:红与蓝——从信安对抗演练中自我检查并完善
诸子笔会2022 | 刘志诚:红与蓝:安全控制有效性验证的现状与展望
借用这张广告图来结束本次和大家的闲聊。大型活动的举办提升了大家的参与度和对于信息安全的重视,但在落地过程中或多或少有一些有趣的问题引起我们的关注。大家需要用不同的视角去看待这个问题,技术不是解决信息安全问题的全部手段,管理不能解决所有的信息安全问题,商业和监管等因素在很大程度上影响了信息安全,作为安全一号位选手,如何实现“你打你的,我打我的”,将各位灵活机动的特点发挥到极致,用杠杆原理撬动你的全面信息安全防线,值得我们深思。
【8月主题:红与蓝】
刘志诚 张永宏 王忠惠
【7月主题:误区与陷阱】
刘志诚 张永宏 孙瑜 王忠惠 肖文棣
朱文义 杨文斌 孙琦 陈圣 回顾
【6月主题:远程办公与安全】
王忠惠 于闽东 刘志诚 孙琦 朱文义
张增斌 肖文棣 杨文斌 张永宏 孙瑜 陈圣 回顾
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌
孙琦 孙瑜 半藏咸鱼 肖文棣 王振东 陈圣 回顾
2021首届诸子笔会
齐心抗疫 与你同在