淺友們好~我是史中，我的日常生活是開撩五湖四海的科技大牛，我會嘗試各種姿勢，把他們的無邊腦洞和溫情故事講給你聽。如果你想和我做朋友，不妨加微信（shizhongmax）。

我認識了一個“給網(wǎng)絡空間打疫苗”的人

文 | 史中

（零）不該犯的錯

今年國慶節(jié)，我去堂哥家。

剛進門，就看到勁爆一幕：我哥在發(fā)飆，地上散落著雪白的卷子，侄子扶著桌角抹眼淚。

問了問緣由，其實很簡單。前幾天輔導侄子作業(yè)，有道數(shù)學題做錯了，表哥專門給他掰開揉碎講了一晚上，結(jié)果最近一次月考，同樣的題換了個數(shù)，他兒子手一抖又給整錯了。

“誰說錯過的題就不允許再錯了？？”侄子振振有詞。

“錯過的題還錯，你哪輩子能進步？！”他爹咆哮。

因為這個小小的低級失誤觸怒了我哥望子成龍的脆弱神經(jīng)，侄子痛失去環(huán)球影城玩耍的機會。。。

中午吃飯時，剛吃到一半，堂哥手機彈出一條消息。他斜眼看到，把筷子一扔，沖到電腦前開始一頓操作。

半小時后，他翻著白眼走回來。

“國慶假期我值班，早晨我迷迷糊糊進內(nèi)網(wǎng)維護，把參數(shù)給打錯了，幸虧看到告警，差點系統(tǒng)就又掛了。。。”他解釋。

“等等，你為什么要說‘又’？”我問。

“嗨，上個月弄錯過一次。。。”他自言自語。

如核爆一般，侄子原地跳起來半米：“?。。″e過的題還錯，你哪輩子能進步？！”

看著他們父慈子孝其樂融融，我陷入了沉思：

講真，低級錯誤是不分年齡的，甚至也是不分人的，它更像是人類自帶的 Bug，你我渺小的一生都如同奶酪一樣——被低級錯誤的泡泡填滿。

如果把進步之路看成馬拉松，那么絕大多數(shù)人別說跑了，連走都不是——基本就是知錯不改，下次還敢，像帕金森一樣原地橫跳。。。

如此說來，但凡能做到“同款的坑不踩兩次”，走到最后都妥妥的是贏家啊！

我為啥想到這些了呢？

說來也巧，最近我遇到一位牛人，他叫聶君。

聶君被人尊為“君哥”，因為他不僅是征戰(zhàn)網(wǎng)絡安全疆場十幾年的“老炮兒”，還是個網(wǎng)紅。

從2016年開始，他就堅持干狠活兒——把自己每天的技術研究和點滴思考記錄下來，發(fā)在自己的專欄“君哥的體歷”上，意思就是“君哥的體驗和經(jīng)歷”。

君哥的字里行間清楚地展示出他的人生哲學：

一旦從自己或別人的錯誤里總結(jié)出教訓，就要記在錯題本上反復研習，踩坑難免，但決不允許自己踩“見過的坑”。

傳說中的知行合一，大概就是這個樣子。

聶君

最近君哥創(chuàng)業(yè)了。

他干的事兒恰恰就是幫大公司也做到“知行合一”，具體來說就是——幫助各大銀行、券商、運營商、能源企業(yè)、國企央企避免在和攻擊者作戰(zhàn)的過程中出現(xiàn)“不該有的失誤”。

看到這，你可能有點想象不出到底要怎么干。。。

其實很簡單，我舉個栗子：

1、就拿一個銀行來說，它有一個網(wǎng)絡安全部門，每天巡邏守衛(wèi)銀行的網(wǎng)絡空間，防止不軌黑客進來偷東西。 2、既然叫部門，就不會是一個人，而是分成好多小組——有“守大門”的，有“盯監(jiān)控”的，有“匯總數(shù)據(jù)”的等等。 3、鑒于現(xiàn)在黑客橫行，光有人還不夠，每個人手下還帶著很多“機器保安”，也就是各種網(wǎng)絡安全設備。 4、這些“人+機器保安”共同構成了一家公司網(wǎng)絡安全的“免疫系統(tǒng)”。

然而，安全團隊的人也是普通人啊——和我堂哥一樣，會犯低級錯誤。

比如把設備參數(shù)配置錯誤，比如看監(jiān)控時忽略重要告警，比如檢修防護體系的時候突然腦子秀逗搭錯了線。

想想都知道，把這么多“普通人”手拉手串起來，公司的免疫系統(tǒng)也必然像“奶酪”一樣，充斥著各種“錯誤氣泡”???

一個人犯錯，大概只影響自己的生活；如果銀行的免疫系統(tǒng)犯錯，那影響的必然是國計民生，上億人的財產(chǎn)安全，事情就大了呀。。。

換句話說，對于大機構來說，它的安全體系是承受不起“失誤”的。

君哥恰恰是為解決這件事兒而來，他的做法是：

搞一個自動化系統(tǒng)，每時每刻對公司網(wǎng)絡發(fā)起模擬攻擊，測試他們的“免疫系統(tǒng)”有沒有失誤。

講到這，你可能已經(jīng)感受到了，君哥和我們之前介紹的那些大黑客思路不太一樣：

大黑客練的是各種頂尖的武林秘籍，恨不得一招直接阿瓦達索命；而君哥卻老老實實，每天練的是扎馬步，關心基本功牢不牢靠。。。

這是為啥呢？

因為君哥過去十幾年一直在大公司做網(wǎng)絡安全部門的負責人。在他的經(jīng)歷中，安全系統(tǒng)出問題，十有八九不是神馬高大上的原因，就是“失誤”造成的，不客氣點兒說，是“低級失誤”造成的。

你以為的網(wǎng)絡戰(zhàn)爭???

實際的網(wǎng)絡戰(zhàn)爭???

額，，，所以說，，，君哥究竟經(jīng)歷了什么？

我們不妨把時光向前狂拉10年，回到那個名曰世界末日實則欣欣向榮的2012。

（一）“低級失誤”血淚史

2012年的時候，君哥正在招商銀行的網(wǎng)絡安全團隊里“服役”。

有的淺友可能對招行的技術沒概念。

應該這么說：過去十幾年，招商銀行是公認的“吃螃蟹”小能手。招行如果沒有來得及玩兒的技術，中國其他銀行大概率也沒有。

所以，看招行就能管中窺豹得知當時大企業(yè)網(wǎng)絡安全的最高水準。

2012年時，招行不僅有一支網(wǎng)絡安全隊伍，也把各種“機器保安”（網(wǎng)絡安全設備）都買齊了，還把這些機器保安的數(shù)據(jù)都匯總在一起，組成了一整套“態(tài)勢感知系統(tǒng)”，可以實時感知整體的風險。

有了這些墊底，君哥他們拍著胸脯承諾：100%的安全告警我們都會處理，而且是在24小時之內(nèi)處理！

怎么樣，聽上去超有安全感吧？

可領導的靈魂拷問來了：你說你100%的告警都會處理，我相信。但是，萬一一些攻擊者摸進來，沒有觸發(fā)告警，腫么辦？

君哥他們研究了一下，發(fā)現(xiàn)這也好辦——招聘一兩個王者段位的黑客，隔三差五真的攻擊一下咱們的網(wǎng)絡，不就知道“免疫系統(tǒng)”有沒有效果了么？

這種操作就叫“紅藍對抗”：

負責進攻的叫藍軍，負責防守的（也就是日常的安全團隊）叫紅軍。

很快，君哥就挖來了一位大黑客做藍軍攻擊手。可他萬萬沒想到，自己親手請來了一個噩夢。。。

我們組織了好多次“紅藍對抗”，10次里有9次都會以防守方的失敗而告終?？蛇M攻的只有1個人，我們防守的有10個人。。。

君哥回憶。

最窩火的事情來了——紅軍輸?shù)?次里，大概有5次都是因為“低級錯誤”。

要搞明白君哥他們是怎么敗的，我們不妨先來簡單介紹一下“戰(zhàn)場”長啥樣。

一家銀行的網(wǎng)絡可能會劃分為好幾個區(qū)域：

比如“生產(chǎn)網(wǎng)”，里面跑著核心賬目系統(tǒng)； 比如“測試網(wǎng)”，里面開發(fā)測試一些即將上線的新功能； 比如“辦公網(wǎng)”，里面是銀行日常行政辦公的系統(tǒng)； 比如“DMZ”，里面跑的是“網(wǎng)銀系統(tǒng)”。之所以要把網(wǎng)銀系統(tǒng)單獨隔出來，是因為像你我這樣的普通人都能通過電腦（或手機）進入網(wǎng)銀系統(tǒng)存錢取錢，導致這個區(qū)域魚龍混雜，比較危險，不能跟其他網(wǎng)絡區(qū)域混在一起，避免交叉感染。（DMZ 的意思就是非軍事緩沖區(qū)）

這幾個區(qū)域之間相互隔離，但不是完全“隔絕”，而是留了幾個卡口，進行必要的數(shù)據(jù)傳輸。

好，戰(zhàn)場介紹完了，現(xiàn)在我們來看看君哥他們當年是怎么被錘的。

Round1：

DMZ 區(qū)域是比較危險的區(qū)域，所以需要在它的外面建一層圍墻，然后設立一個大門，這貨就叫網(wǎng)絡應用防火墻（WAF）——它像門衛(wèi)一樣，專門負責問進來的人你是誰？你從哪來？你到哪去？

門衛(wèi)手里有一份實時更新的“通緝名單”，如果來人在通緝名單上，那妥妥地不能讓進。

DMZ 區(qū)域里的每個大樓都是一個網(wǎng)址。

咱們在電腦上登陸銀行的網(wǎng)址，就相當于通過大門（WAF）進入了院里的一個大樓；咱們登陸信用卡中心，就相當于通過大門進入了院里的另一座大樓。

銀行里提供服務的網(wǎng)址有成百上千個，需要把這些網(wǎng)址一個不錯地都圍在防火墻里，防火墻才能對它們進行保護。

可問題來了，隨著銀行業(yè)務發(fā)展，會新增一些網(wǎng)址，或者原來的網(wǎng)址發(fā)生變化。負責運維的A同事一疏忽，沒把這些變化的網(wǎng)址及時同步給防火墻。。。

這樣一來，相當于有些大樓被落在了圍墻外面，裸奔了。。。

藍軍就這樣大搖大擺地進去，像搬家公司一樣把東西拿出來。

演習結(jié)束復盤時，君哥他們看到藍軍的進攻方式，都快吐血了，趕緊亡羊補牢，重新再戰(zhàn)。

Round2：

不管哪個網(wǎng)絡區(qū)域，凡是重要的主機上都會安裝入侵檢測系統(tǒng)（HIDS）——它就像特工電影里的“紅外線警報系統(tǒng)”那樣，一旦被人觸發(fā)，就會發(fā)出刺耳的警報。

（HIDS 商業(yè)化產(chǎn)品在 2017 年之后才開始大規(guī)模在銀行業(yè)部署，但 2012 年招行就合作開發(fā)了一套 HIDS 系統(tǒng)。）

但剛才說過，“生產(chǎn)網(wǎng)”“辦公網(wǎng)”“測試網(wǎng)”“DMZ”之間是相互隔離的，所以每一個區(qū)域都得有一套自己的警報系統(tǒng)（HIDS）。

這幾套系統(tǒng)的數(shù)據(jù)都要匯總到中控屏（SOC）上，才方便統(tǒng)一查看和處理。

好巧不巧，偏偏一位B同事在配置數(shù)據(jù)連接的時候手抖，寫錯了一行代碼——結(jié)果只有“辦公網(wǎng)”和“測試網(wǎng)”的警報連通中控屏，而“生產(chǎn)網(wǎng)”的警報是斷掉的。。。

這個情況就很尷尬了：大家盯著中控屏看，還以為生產(chǎn)網(wǎng)里沒有報警，其實是。。。生產(chǎn)網(wǎng)里即使有報警也傳不過來。

就這樣，藍軍混進生產(chǎn)網(wǎng)，又把靶標數(shù)據(jù)給偷走了。。。

君哥他們又噴一次血，亡羊補牢，再接再厲。

Round3：

剛才說過，不同網(wǎng)域之間有關卡相連。在關卡處有一個叫 NTA（網(wǎng)絡威脅檢測）的設備，這家伙專門對網(wǎng)絡里傳送的數(shù)據(jù)進行審核。

有點像國道上的“檢查站”，“警官”會把可疑車輛攔下來檢查，一旦發(fā)現(xiàn)違禁品就馬上查扣。

但是，網(wǎng)絡中傳輸?shù)臄?shù)據(jù)大多是加密的，就像汽車開動時不會把行李掛在車頂，而是鎖在后備箱里。

所以網(wǎng)絡檢測設備必須先拿到數(shù)據(jù)對應的秘鑰，把它解密成明文之后再審核——就像警察蜀黍把你的鑰匙要過來，把后備箱打開檢查。

可這次，C同事又出了疏忽，在設置的時候沒把所有的秘鑰都傳給 NTA，導致一部分流量解不開。。。“后備箱”都打不開，再牛的警察蜀黍也看不出問題啊。

你可能猜到了，黑客進攻的代碼恰恰藏在了那部分加密的數(shù)據(jù)中，從阿sir的眼皮子底下大搖大擺地溜了過去。

藍軍叒成功了。。。君哥他們又是一通修。。。

別以為噩夢就此結(jié)束了，各種翻板轉(zhuǎn)板梅花板的錯誤繼續(xù)抵達戰(zhàn)場：

比如：大門口保安（也就是網(wǎng)絡應用防火墻WAF）的性能有限，如果有很多人一起涌進大門，保安就盤問不過來，會隨機漏掉一些人——訪問高峰期大概會漏掉30%。

有一次，藍軍就利用這一點，專門在訪問高峰期混在人群里嘗試進攻，多試幾次，果然趕上了“保安失察”，就這么生生闖進來。

此時的君哥，臉都青了，這真是“出門就上當，當當不一樣”，“低級失誤千萬款，總有一款適合我”?。?！

那兩年，藍軍同事因為優(yōu)異的表現(xiàn)，每次績效都拿A；反過來看紅軍這些人，臊眉耷眼，天天被扣雞腿。再也不敢拍胸脯吹牛了。。。

幸虧這只是演練，萬一真的有黑客攻進來，那就不只是扣雞腿的事兒了，估計自己墳頭草都老高了！

現(xiàn)在回想起來，君哥得出血淚教訓：

紅藍對抗這種測試，只是一種“片面”的測試。 就好像“條條大路通羅馬”，藍軍每次只找到一條路進入羅馬就完成任務。 這樣的話，哪怕紅藍對抗上百次，也無法證明所有可能的路都被封死了，因為下一次藍軍還有可能找到新路，況且紅軍手一抖也可能把已經(jīng)封死的路不小心又打開。。。

就像下面這樣???

那有沒有一種方式，別這么一條路一條路地試，而是把所有“通向羅馬的路”同時查一遍？！

就像下面這樣???

（二）“疫苗”

當時君哥首先想到的方法就是——寫腳本。

啥是寫腳本呢？

咱們就拿剛才說的“紅外報警系統(tǒng)”（HIDS）舉例。

你這個設備的工作原理不是一旦有人碰到“紅外線”（觸發(fā)安全規(guī)則）就會報警嗎？

那我就派一個機器人，專門觸發(fā)規(guī)則，看設備報警不報警就完事了。

你有1條規(guī)則我就搞一個機器人，你有10000條規(guī)則我就搞10000個機器人。反正機器人也不怕累。。。

控制這些機器人統(tǒng)一行動的，就是“腳本”——如同舞臺劇上的人物一樣，一絲不茍一幕接一幕表演下去直到完畢。

怎么樣，聽上去很簡單吧。

君哥一開始也想得很簡單，以為寫腳本的難度最多跟搬搬磚差不多；但寫著寫著，他發(fā)現(xiàn)，這根本不是搬磚，而是建金字塔呀?。?！

原因是醬的：

不要以為安全設備是“二極管”，只有“報警”和“不報警”兩種狀態(tài)。實際上，它們很細膩，面對不同的情況，設備的反應可以有很多。

就拿看大門的“網(wǎng)絡應用防火墻（WAF）”來說吧，如果來訪者是個好人，它就會給對方發(fā)一個通行證，寫著“200 OK”； 如果判斷來訪者是一個“壞人”，WAF 可以給他返回空頁面“403 NOT FOUND”； 但同樣遇到一個壞人，完全可以也給他一個“200 OK”的通行證，但是讓壞人進來之后看不到任何有效信息，而是繼續(xù)看著他裝X，暴露它的攻擊意圖。 這只是舉個例子，如此類推，安全設備的反應還可以有幾千甚至上萬種。而且，只要稍稍改一下配置，設備對于各種攻擊的反應也會發(fā)生相應變化。

君哥解釋。

如此一來，測試代碼就不那么好寫了：

安全設備反應的種類之豐富，堪比女朋友的情緒種類——你要首先知道每一種攻擊方法背后安全設備的反應應該是什么。這樣才能驗證安全設備是做對了還是做錯了。

就像一張試卷，老師不僅要出題目，還得自己先算出標準答案，這樣才能知道學生對錯嘛。

“一套攻擊組合”+“一套標準反應”，才組成一個完整的“測試用例”。

君哥解釋。

這種磨性子的活兒正中君哥下懷，他就這樣帶著大伙兒一個個地寫測試用例。

剛寫出的測試用例有可能不準，還需要反復調(diào)試，才能讓“預期反應”和“真實反應”完全一致。

就這樣，神器鑄成。每次紅藍對抗之前，君哥微微一笑，所有的測試用例每天都跑一遍，內(nèi)心相當?shù)?，相當于給屁股上懟了幾針疫苗——不亡羊，先補牢。

這招不要太好使，紅軍防守成功的次數(shù)直線上升。

君哥把這種“打疫苗”的操作總結(jié)成一個高大上的詞，叫做“安全有效性驗證”。他非常自豪，在“君哥的體歷”發(fā)布的第二篇文章就詳細介紹了這個操作。（可以參考原文：）

話說正是憑著這些創(chuàng)造性貢獻，君哥在29歲的時候就成為了招行總行安全內(nèi)控處的處長（招行叫室經(jīng)理），妥妥屬于最年輕的主管之一。

后來每到一個新企業(yè)，他都先帶著大家做“疫苗”。漸漸地，他對積累測試用例產(chǎn)生了一種蜜汁熱情，越攢越多，從10個到100個，從100個到1000個，到今天為止已經(jīng)攢了3000多個。

說到這里，君哥很興奮：

首先，要寫出測試用例，必須特別了解大企業(yè)會遭受哪些攻擊； 其次，還要掌握企業(yè)安全系統(tǒng)針對這些攻擊的防御檢測的“最佳實踐”，只有通過很長時間積累，才能打磨出足夠準確的測試用例。

總之，這些用例組成的“疫苗集”，在他看來恰是不可多得的財富。

很長時間里，君哥這套疫苗都只服務于他所在的企業(yè)，屬于“獨善其身”。

他也安于現(xiàn)狀——畢竟，安全系統(tǒng)的疫苗是非常專業(yè)的東西，只有網(wǎng)絡空間復雜，對網(wǎng)絡安全要求賊高的大企業(yè)（確切地說是大企業(yè)中的領頭羊）才用得到。

不過，歷史的車輪總是滾滾向前，事情慢慢變化。。。

（三）“模擬攻擊”的春天

歷史有兩個車輪，一個叫“數(shù)據(jù)價值”，一個叫“國際形勢”。

啥是“數(shù)據(jù)價值”的車輪呢？

大概從2016年開始，人們對數(shù)據(jù)的“冶煉技術”開始成熟，大大小小的公司都開始研發(fā) App，利用大數(shù)據(jù)提供更個性的服務。數(shù)據(jù)在他們眼里成了新的“石油”。（可以參考）

這樣一來，各大企業(yè)內(nèi)部積攢的數(shù)據(jù)就陡然增多。

這么多“石油”，顯然就是肥肉，黑客們聞著肉味就來了。于是黑客入侵偷數(shù)據(jù)的操作也陡然變多。

啥是“國際形勢”的車輪呢？

那就是全球化的退潮，各個國家之間開始心存芥蒂，總想派點“海盜式黑客”去別人家的大公司里偷點機密數(shù)據(jù)。

境外黑客有個“護身符”，那就是咱們國家的法律鞭長莫及，沒辦法肉身抓獲物理超度——要想擋住這些黑客，基本只能選擇技術對抗。

這兩個車輪滾滾向前，很多原本在角落里裝小透明的企業(yè)開始被黑客追著錘，還沒有還手之力。。。

眼看情況危急，2016年，俺們的國家開始組織真刀真槍的網(wǎng)絡安全演習——所有重要的國計民生的企業(yè)都必須參與演習，并且承擔“挨揍”的職責；全中國厲害的網(wǎng)絡安全團隊組成攻擊隊，對他們進行實戰(zhàn)攻擊。

這不是玩笑，而是全社會級別的演習，要是誰家的網(wǎng)絡被攻破，在全國人民面前丟人事小，有關負責人去喝茶也是有可能的。。。

于是，企業(yè)們趕緊想辦法補課。

有趣的是，他們的“進化路線”和當年君哥一模一樣：

先是買一堆網(wǎng)絡安全產(chǎn)品，然后建立一個網(wǎng)絡安全保衛(wèi)小分隊，然后發(fā)現(xiàn)這個體系不一定好使，開始自己組織紅藍對抗。

然后他們自然而然發(fā)出了靈魂拷問：為啥對抗了一圈兒，藍軍還是總能輕易找到漏洞呢？

各個公司的技術負責人打聽了一圈，聽說君哥干這個事情有經(jīng)驗，于是紛紛來找他取經(jīng)。

幾乎在同時，國際著名的技術咨詢機構 Gartner 發(fā)布了一個報告，提出了一個最新的網(wǎng)絡安全技術趨勢，叫做 BAS。全稱是 Breach and Attack Simulation——入侵與攻擊模擬。

簡單來說，就是通過自動化的方法模擬黑客進攻的手法，測試網(wǎng)絡安全體系有沒有紕漏。

Gartner 報告中 BAS 正在火爆的狀態(tài)

偶然看到這份報告，君哥虎軀一震：這不就是“安全有效性驗證”么？

講真，Gartner 一般是綜合了很多公司一線調(diào)研才得出的技術研判。所以，如果他們提出了 BAS，那說明不止在中國，全球范圍內(nèi)，很多公司都面臨安全“到底如何測試安全系統(tǒng)有沒有效”的靈魂拷問。

看到自己研究了多年的領域突然成為世界追捧的熱門，君哥有一種坐在冷板凳上十年，突然被無數(shù)聚光燈照射，迎來全場歡呼的感覺。

他盤了盤自己這么多年攢下來的測試用例，家底殷實。是時候把寶貝拿出來“兼濟天下”了！

正如公司名字“知其安”一樣，知其安，才能知其所以安！君哥笑著說。

不過，很快一個問題就擺在面前：

每次測試一遍，都需要手動寫一堆腳本來回收數(shù)據(jù)，這個操作效率有點低啊。

以前在甲方的時候，自己開發(fā)能力強，寫腳本也沒覺得累；現(xiàn)在成了提供服務的乙方，就不能再讓客戶用腳本了，而是應該做成一個好用的“自動測試平臺”。

這么說吧，如果把腳本比作半自動步槍，那么“測試平臺”就應該像——馬克沁機槍。

（四）機槍配大佬

君哥舉起大旗，招攬各方賢士，大家一起來建造這臺“馬克沁機槍”。

這個“機槍”到底該腫么設計呢？

君哥告訴我，如果拆開內(nèi)部，它的工作原理應該分為六步：

1、平臺下發(fā)攻擊任務。

就是確定這次要揍哪個靶子（安全系統(tǒng)），用哪些彈藥（測試用例）。

2、模擬攻擊者使用“無害方式”攻擊靶機。

這里只是為了驗證安全系統(tǒng)的反應，所以沒必要真的去攻擊正在運行中的主機（萬一真打壞了就會對系統(tǒng)造成影響），而是可以在安全系統(tǒng)保衛(wèi)的網(wǎng)絡里臨時新建一臺虛擬靶機，去打它，一樣可以引起安全系統(tǒng)的反應。

3、日志傳輸?shù)街锌叵到y(tǒng)。

安全系統(tǒng)檢測到攻擊，就會做出相應反應。而這些安全事件日志會傳送到我們之前說的“中控屏”（SOC）上。

4、告警傳送回安全驗證平臺。

中控屏會匯總安全日志，然后產(chǎn)生具體的告警，傳送給安全驗證平臺。

5、安全驗證平臺作比對。

把安全系統(tǒng)“應該有的反應”和“實際產(chǎn)生的反應”做對比，就知道安全系統(tǒng)有哪些地方失誤了。

6、驗證失敗任務原因排查和分析。

把失誤的地方再重做一下，確認不是偶發(fā)問題，然后返回給安全人員進行原因分析。

當然，剛才說的這六步是慢動作。

把動作連貫起來，加快，再加快，就成了一部射速極高的“機槍”。

只有槍還不夠，接下來就是為它配套子彈——測試用例。

你可能會問：誒，之前不是說把測試用例都攢好了嗎？

雖然攢好了，但卻不是一勞永逸的。

把黑客進攻手法比喻成新冠病毒，就很容易理解了。

新冠病毒為了逃過免疫系統(tǒng)的追殺，會不斷發(fā)生新的變異，從原始毒株到德爾塔到奧密克戎。用過去的疫苗對付最新變異的病毒，效果會大打折扣。

同樣道理，黑客的進攻手法也會發(fā)生變異。過去的測試用例就像舊疫苗，只對過去的攻擊手法最有效，隨著時間推移會慢慢落伍，需要不斷跟著最新黑客進攻手法升級才行。

君哥專門找來了十多位黑客大牛，沒日沒夜地跟蹤全世界的網(wǎng)絡安全動態(tài)，發(fā)現(xiàn)新的攻擊方式，就把它整合到測試用例的“基因”里。

用這種跟蹤變異的方法，不斷保證“疫苗”總是最新的。

這一套打磨光亮的“機槍+子彈”，叫做“離朱”（相傳離朱是黃帝的臣子，視力賊好）。

時不我待，離朱剛做好，君哥就拿著它去銀行、證券、石化等等企業(yè)測試。

果然，經(jīng)歷了無數(shù)次紅藍演習，很多企業(yè)內(nèi)部網(wǎng)絡還是“條條大路通羅馬”的狀態(tài)。。。

君哥給我伸出三個手指頭：“說來說去，主要原因有三個?！?/p>

第一個，就是能力不足，占所有原因的 10%。

比如某個關鍵的網(wǎng)絡關口，是黑客的必爭之地，本來應該買技術最好的流量審計設備，結(jié)果買了一個便宜貨放在那里。

就像數(shù)學奧賽，本來應該讓北大韋神去參加，結(jié)果派了中哥上場，就算我發(fā)揮到極限，也肯定是被吊打啊。。。

第二個，能力足夠，就是覆蓋度不夠，占所有原因的 20%。

比如“蜜罐”這種東西，如果放在黑客進攻的路線上，本來能夠吸引黑客落入陷阱。但是由于部署的不夠全面，導致黑客經(jīng)過的地方反而沒放陷阱，這就很尷尬了。

第三個，能力和覆蓋度都足夠，就是君哥早年遇到最多的問題——使用不當，占所有原因的 70%。

比如配置錯誤：寫錯一行代碼，接口給接錯了，開關沒打開等等低級錯誤；

比如性能不行：本來應該放兩臺防火墻的地方放了一臺，結(jié)果處理能力不夠，總會丟包。

君哥總結(jié)這類問題屬于：低級錯誤、高級威脅。

跟我見面那天，君哥就剛剛從一家大企業(yè)做測試回來，風塵仆仆。

在我的印象中，既然要把東西賣給人家，那怎么說也是乙方，被客戶爸爸各種質(zhì)疑刁難也是難免吧。。。但君哥擺擺手，其實也沒我想的那么難。

君哥做大企業(yè)的安全負責人十多年，甚至比很多客戶負責人的從業(yè)經(jīng)歷都長，一開口就是“老甲方”了。他的殺手锏就是：對方關心的問題他都想到了，對方?jīng)]來得及關心的問題。。。他也給想到了。。。

比如，很多企業(yè)的安全負責人關心“實時性”。

因為“免疫系統(tǒng)”是為“軀體”服務的，而企業(yè)的軀體是每時每刻都在發(fā)生變化的。

就拿銀行舉例，網(wǎng)銀 App 的功能幾天就會升級一次，內(nèi)網(wǎng)也會隔三差五有些改動，每次哪怕只改動一點點，都沒人敢打包票免疫系統(tǒng)還像之前那么滴水不漏。

當錯誤不可能百分百避免的時候，最好的方案當然是縮短糾錯的周期。

可紅藍對抗又費人又費錢，最多一個月折騰一次。

換成自動化測試平臺，就完全沒關系，五毛錢一度電，隨便跑啊——全天候7*24小時測試。一天打一遍完全沒壓力；甚至有些極其重要的系統(tǒng)，一小時測一遍都沒問題。

如果你是銀行的網(wǎng)絡安全負責人，每個小時都能看到安全防護系統(tǒng)的實時健康度，那你心里肯定很踏實，吃飯都更香了。

除此之外，老炮兒君哥還給我講了一個甲方安全負責人的難言之隱——“預算”。

很多安全負責人最重要的工作內(nèi)容就是拿到安全預算。因為在老板看來，這一年年的好像也沒發(fā)生啥事兒啊，你們?yōu)樯哆€跟我要幾百萬來買安全設備？

但看不到事兒不等于沒事兒。。?？床坏斤L險不等于沒風險。。。

你還記得君哥早年遇到的問題嗎？流量檢測設備的性能不足，高峰時期就會漏檢30%的流量。

解決這個問題沒有好招，只能再加一臺安全設備。

但老板又會反問安全負責人：憑啥你說性能不夠就不夠啊？我覺得夠?。?/p>

君哥深深理解這個痛處，專門在離朱里加上了一個“安全評分功能”???

比如，關鍵安全設備的性能不足，肯定會得到很低的分數(shù)。給領導一看， 其他位置分數(shù)都很高，唯有流量安全不及格。領導問為啥，安全負責人就能理直氣壯地說：“因為預算不夠唄?！?/p>

這并不是YY。

君哥告訴我，就在上個月，一個客戶用這套評分系統(tǒng)，從領導那批了五百萬的預算，一波解決了多年安全投入不足的問題。

真是累斷腰跑斷腿，不如數(shù)據(jù)動動嘴。。。

除了這些大功能，離朱安全驗證平臺還時不時搞一些小彩蛋。

每年的全國網(wǎng)絡安全演習開打前，是君哥和團隊最忙的時候，有很多企業(yè)對自己的安全防護能力心里沒底，君哥他們專門拉出一個小分隊，把歷年演習中攻擊隊使用的攻擊方式、攻擊工具和高危漏洞做了整理，搞出了一個演習“高考真題庫”。

先把“真題”都做一遍，就像突擊復習一樣，起碼在考試中先把最該拿的分數(shù)拿到，接下來再慢慢提高嘛。

其實這么多年下來，我發(fā)現(xiàn)安全防御和打仗一樣，信心和武器裝備一樣重要。對自己安全系統(tǒng)狀態(tài)的越了解，你的信心才會越足嘛！

他總結(jié)陳詞。

君哥忙著“拯救世界”，趕去下一場電話會議了，我和他的聊天也只能到此為止。

我多少有點失望，畢竟他剛剛創(chuàng)業(yè)，沒多少坎坷的經(jīng)歷可以分享。

不過我強烈地懷疑，哪怕等他創(chuàng)業(yè)十年八年，他也未必有什么驚心動魄的故事——因為他每天心心念念做的事情正是“把危險都扼殺在萌芽中”。

但對于一個人來說，用虛擬的錯誤幫助自己進步，恐怕是代價最小的方式；對于一個國家的網(wǎng)絡安全來說，用模擬進攻的方式來進步，恐怕也是代價最小的方案。

（五）高手選擇贏

從君哥的辦公室出來，我不知為何突然想起小時候看的一部電影《星河戰(zhàn)隊》。

新選拔出來的戰(zhàn)士，在和異星蟲族作戰(zhàn)之前，由一位嚴厲的教官給大家做特訓。

最開始，教官居教大家甩飛刀。

有新兵不解，問教官：現(xiàn)在都用飛機大炮，按個電鈕核導彈就出去了，學飛刀作甚？

教官把新兵叫出來，反手一個飛刀把他的手釘在墻上，跟大家說：把敵人的手釘住，他就按不了電鈕了！

對于企業(yè)來說，守衛(wèi)網(wǎng)絡空間固然需要“態(tài)勢感知”、“零信任”這類高端的武器，甚至“高級威脅防護系統(tǒng)”這樣的核武器，但是，一個保證一切有序工作的兢兢業(yè)業(yè)的“自動巡檢系統(tǒng)”卻是它們的基礎。

只有先不問寒暑練十年馬步，才有機會練成九陰真經(jīng)。

只有先消滅了低級錯誤，才能能把精力放在更兇險的挑戰(zhàn)之上。

正是想到這些，我才決定把君哥的故事講給大家聽。

網(wǎng)絡安全博弈如同一個超大的棋局，追求華麗操作的棋手往往中局就因為失誤而敗落；真正的高手從不指望自己下出“神之一手”，99%的時間里都是無聊的布局、落子、權衡、反思。

很多時候，“贏”和“贏得漂亮”并不沖突，但如果真的只能選一樣，高手選擇贏。

高手選擇贏

再自我介紹一下吧。我叫史中，是一個傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微信：shizhongmax。

哦對了，如果喜歡文章，請別吝惜你的“在看”或“分享”。讓有趣的靈魂有機會相遇，會是一件很美好的事情。

Thx with in Beijing