淺友們好~我是史中，我的日常生活是開(kāi)撩五湖四海的科技大牛，我會(huì)嘗試各種姿勢(shì)，把他們的無(wú)邊腦洞和溫情故事講給你聽(tīng)。如果你想和我做朋友，不妨加微信（shizhongmax）。

我認(rèn)識(shí)了一個(gè)“給網(wǎng)絡(luò)空間打疫苗”的人

文 | 史中

（零）不該犯的錯(cuò)

今年國(guó)慶節(jié)，我去堂哥家。

剛進(jìn)門(mén)，就看到勁爆一幕：我哥在發(fā)飆，地上散落著雪白的卷子，侄子扶著桌角抹眼淚。

問(wèn)了問(wèn)緣由，其實(shí)很簡(jiǎn)單。前幾天輔導(dǎo)侄子作業(yè)，有道數(shù)學(xué)題做錯(cuò)了，表哥專門(mén)給他掰開(kāi)揉碎講了一晚上，結(jié)果最近一次月考，同樣的題換了個(gè)數(shù)，他兒子手一抖又給整錯(cuò)了。

“誰(shuí)說(shuō)錯(cuò)過(guò)的題就不允許再錯(cuò)了？？”侄子振振有詞。

“錯(cuò)過(guò)的題還錯(cuò)，你哪輩子能進(jìn)步？！”他爹咆哮。

因?yàn)檫@個(gè)小小的低級(jí)失誤觸怒了我哥望子成龍的脆弱神經(jīng)，侄子痛失去環(huán)球影城玩耍的機(jī)會(huì)。。。

中午吃飯時(shí)，剛吃到一半，堂哥手機(jī)彈出一條消息。他斜眼看到，把筷子一扔，沖到電腦前開(kāi)始一頓操作。

半小時(shí)后，他翻著白眼走回來(lái)。

“國(guó)慶假期我值班，早晨我迷迷糊糊進(jìn)內(nèi)網(wǎng)維護(hù)，把參數(shù)給打錯(cuò)了，幸虧看到告警，差點(diǎn)系統(tǒng)就又掛了。。?！彼忉?。

“等等，你為什么要說(shuō)‘又’？”我問(wèn)。

“嗨，上個(gè)月弄錯(cuò)過(guò)一次。。?！彼匝宰哉Z(yǔ)。

如核爆一般，侄子原地跳起來(lái)半米：“?。?！錯(cuò)過(guò)的題還錯(cuò)，你哪輩子能進(jìn)步？！”

看著他們父慈子孝其樂(lè)融融，我陷入了沉思：

講真，低級(jí)錯(cuò)誤是不分年齡的，甚至也是不分人的，它更像是人類自帶的 Bug，你我渺小的一生都如同奶酪一樣——被低級(jí)錯(cuò)誤的泡泡填滿。

如果把進(jìn)步之路看成馬拉松，那么絕大多數(shù)人別說(shuō)跑了，連走都不是——基本就是知錯(cuò)不改，下次還敢，像帕金森一樣原地橫跳。。。

如此說(shuō)來(lái)，但凡能做到“同款的坑不踩兩次”，走到最后都妥妥的是贏家??！

我為啥想到這些了呢？

說(shuō)來(lái)也巧，最近我遇到一位牛人，他叫聶君。

聶君被人尊為“君哥”，因?yàn)樗粌H是征戰(zhàn)網(wǎng)絡(luò)安全疆場(chǎng)十幾年的“老炮兒”，還是個(gè)網(wǎng)紅。

從2016年開(kāi)始，他就堅(jiān)持干狠活兒——把自己每天的技術(shù)研究和點(diǎn)滴思考記錄下來(lái)，發(fā)在自己的專欄“君哥的體歷”上，意思就是“君哥的體驗(yàn)和經(jīng)歷”。

君哥的字里行間清楚地展示出他的人生哲學(xué)：

一旦從自己或別人的錯(cuò)誤里總結(jié)出教訓(xùn)，就要記在錯(cuò)題本上反復(fù)研習(xí)，踩坑難免，但決不允許自己踩“見(jiàn)過(guò)的坑”。

傳說(shuō)中的知行合一，大概就是這個(gè)樣子。

聶君

最近君哥創(chuàng)業(yè)了。

他干的事兒恰恰就是幫大公司也做到“知行合一”，具體來(lái)說(shuō)就是——幫助各大銀行、券商、運(yùn)營(yíng)商、能源企業(yè)、國(guó)企央企避免在和攻擊者作戰(zhàn)的過(guò)程中出現(xiàn)“不該有的失誤”。

看到這，你可能有點(diǎn)想象不出到底要怎么干。。。

其實(shí)很簡(jiǎn)單，我舉個(gè)栗子：

1、就拿一個(gè)銀行來(lái)說(shuō)，它有一個(gè)網(wǎng)絡(luò)安全部門(mén)，每天巡邏守衛(wèi)銀行的網(wǎng)絡(luò)空間，防止不軌黑客進(jìn)來(lái)偷東西。 2、既然叫部門(mén)，就不會(huì)是一個(gè)人，而是分成好多小組——有“守大門(mén)”的，有“盯監(jiān)控”的，有“匯總數(shù)據(jù)”的等等。 3、鑒于現(xiàn)在黑客橫行，光有人還不夠，每個(gè)人手下還帶著很多“機(jī)器保安”，也就是各種網(wǎng)絡(luò)安全設(shè)備。 4、這些“人+機(jī)器保安”共同構(gòu)成了一家公司網(wǎng)絡(luò)安全的“免疫系統(tǒng)”。

然而，安全團(tuán)隊(duì)的人也是普通人啊——和我堂哥一樣，會(huì)犯低級(jí)錯(cuò)誤。

比如把設(shè)備參數(shù)配置錯(cuò)誤，比如看監(jiān)控時(shí)忽略重要告警，比如檢修防護(hù)體系的時(shí)候突然腦子秀逗搭錯(cuò)了線。

想想都知道，把這么多“普通人”手拉手串起來(lái)，公司的免疫系統(tǒng)也必然像“奶酪”一樣，充斥著各種“錯(cuò)誤氣泡”???

一個(gè)人犯錯(cuò)，大概只影響自己的生活；如果銀行的免疫系統(tǒng)犯錯(cuò)，那影響的必然是國(guó)計(jì)民生，上億人的財(cái)產(chǎn)安全，事情就大了呀。。。

換句話說(shuō)，對(duì)于大機(jī)構(gòu)來(lái)說(shuō)，它的安全體系是承受不起“失誤”的。

君哥恰恰是為解決這件事兒而來(lái)，他的做法是：

搞一個(gè)自動(dòng)化系統(tǒng)，每時(shí)每刻對(duì)公司網(wǎng)絡(luò)發(fā)起模擬攻擊，測(cè)試他們的“免疫系統(tǒng)”有沒(méi)有失誤。

講到這，你可能已經(jīng)感受到了，君哥和我們之前介紹的那些大黑客思路不太一樣：

大黑客練的是各種頂尖的武林秘籍，恨不得一招直接阿瓦達(dá)索命；而君哥卻老老實(shí)實(shí)，每天練的是扎馬步，關(guān)心基本功牢不牢靠。。。

這是為啥呢？

因?yàn)榫邕^(guò)去十幾年一直在大公司做網(wǎng)絡(luò)安全部門(mén)的負(fù)責(zé)人。在他的經(jīng)歷中，安全系統(tǒng)出問(wèn)題，十有八九不是神馬高大上的原因，就是“失誤”造成的，不客氣點(diǎn)兒說(shuō)，是“低級(jí)失誤”造成的。

你以為的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)???

實(shí)際的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)???

額，，，所以說(shuō)，，，君哥究竟經(jīng)歷了什么？

我們不妨把時(shí)光向前狂拉10年，回到那個(gè)名曰世界末日實(shí)則欣欣向榮的2012。

（一）“低級(jí)失誤”血淚史

2012年的時(shí)候，君哥正在招商銀行的網(wǎng)絡(luò)安全團(tuán)隊(duì)里“服役”。

有的淺友可能對(duì)招行的技術(shù)沒(méi)概念。

應(yīng)該這么說(shuō)：過(guò)去十幾年，招商銀行是公認(rèn)的“吃螃蟹”小能手。招行如果沒(méi)有來(lái)得及玩兒的技術(shù)，中國(guó)其他銀行大概率也沒(méi)有。

所以，看招行就能管中窺豹得知當(dāng)時(shí)大企業(yè)網(wǎng)絡(luò)安全的最高水準(zhǔn)。

2012年時(shí)，招行不僅有一支網(wǎng)絡(luò)安全隊(duì)伍，也把各種“機(jī)器保安”（網(wǎng)絡(luò)安全設(shè)備）都買(mǎi)齊了，還把這些機(jī)器保安的數(shù)據(jù)都匯總在一起，組成了一整套“態(tài)勢(shì)感知系統(tǒng)”，可以實(shí)時(shí)感知整體的風(fēng)險(xiǎn)。

有了這些墊底，君哥他們拍著胸脯承諾：100%的安全告警我們都會(huì)處理，而且是在24小時(shí)之內(nèi)處理！

怎么樣，聽(tīng)上去超有安全感吧？

可領(lǐng)導(dǎo)的靈魂拷問(wèn)來(lái)了：你說(shuō)你100%的告警都會(huì)處理，我相信。但是，萬(wàn)一一些攻擊者摸進(jìn)來(lái)，沒(méi)有觸發(fā)告警，腫么辦？

君哥他們研究了一下，發(fā)現(xiàn)這也好辦——招聘一兩個(gè)王者段位的黑客，隔三差五真的攻擊一下咱們的網(wǎng)絡(luò)，不就知道“免疫系統(tǒng)”有沒(méi)有效果了么？

這種操作就叫“紅藍(lán)對(duì)抗”：

負(fù)責(zé)進(jìn)攻的叫藍(lán)軍，負(fù)責(zé)防守的（也就是日常的安全團(tuán)隊(duì)）叫紅軍。

很快，君哥就挖來(lái)了一位大黑客做藍(lán)軍攻擊手?？伤f(wàn)萬(wàn)沒(méi)想到，自己親手請(qǐng)來(lái)了一個(gè)噩夢(mèng)。。。

我們組織了好多次“紅藍(lán)對(duì)抗”，10次里有9次都會(huì)以防守方的失敗而告終。可進(jìn)攻的只有1個(gè)人，我們防守的有10個(gè)人。。。

君哥回憶。

最窩火的事情來(lái)了——紅軍輸?shù)?次里，大概有5次都是因?yàn)椤暗图?jí)錯(cuò)誤”。

要搞明白君哥他們是怎么敗的，我們不妨先來(lái)簡(jiǎn)單介紹一下“戰(zhàn)場(chǎng)”長(zhǎng)啥樣。

一家銀行的網(wǎng)絡(luò)可能會(huì)劃分為好幾個(gè)區(qū)域：

比如“生產(chǎn)網(wǎng)”，里面跑著核心賬目系統(tǒng)； 比如“測(cè)試網(wǎng)”，里面開(kāi)發(fā)測(cè)試一些即將上線的新功能； 比如“辦公網(wǎng)”，里面是銀行日常行政辦公的系統(tǒng)； 比如“DMZ”，里面跑的是“網(wǎng)銀系統(tǒng)”。之所以要把網(wǎng)銀系統(tǒng)單獨(dú)隔出來(lái)，是因?yàn)橄衲阄疫@樣的普通人都能通過(guò)電腦（或手機(jī)）進(jìn)入網(wǎng)銀系統(tǒng)存錢(qián)取錢(qián)，導(dǎo)致這個(gè)區(qū)域魚(yú)龍混雜，比較危險(xiǎn)，不能跟其他網(wǎng)絡(luò)區(qū)域混在一起，避免交叉感染。（DMZ 的意思就是非軍事緩沖區(qū)）

這幾個(gè)區(qū)域之間相互隔離，但不是完全“隔絕”，而是留了幾個(gè)卡口，進(jìn)行必要的數(shù)據(jù)傳輸。

好，戰(zhàn)場(chǎng)介紹完了，現(xiàn)在我們來(lái)看看君哥他們當(dāng)年是怎么被錘的。

Round1：

DMZ 區(qū)域是比較危險(xiǎn)的區(qū)域，所以需要在它的外面建一層圍墻，然后設(shè)立一個(gè)大門(mén)，這貨就叫網(wǎng)絡(luò)應(yīng)用防火墻（WAF）——它像門(mén)衛(wèi)一樣，專門(mén)負(fù)責(zé)問(wèn)進(jìn)來(lái)的人你是誰(shuí)？你從哪來(lái)？你到哪去？

門(mén)衛(wèi)手里有一份實(shí)時(shí)更新的“通緝名單”，如果來(lái)人在通緝名單上，那妥妥地不能讓進(jìn)。

DMZ 區(qū)域里的每個(gè)大樓都是一個(gè)網(wǎng)址。

咱們?cè)陔娔X上登陸銀行的網(wǎng)址，就相當(dāng)于通過(guò)大門(mén)（WAF）進(jìn)入了院里的一個(gè)大樓；咱們登陸信用卡中心，就相當(dāng)于通過(guò)大門(mén)進(jìn)入了院里的另一座大樓。

銀行里提供服務(wù)的網(wǎng)址有成百上千個(gè)，需要把這些網(wǎng)址一個(gè)不錯(cuò)地都圍在防火墻里，防火墻才能對(duì)它們進(jìn)行保護(hù)。

可問(wèn)題來(lái)了，隨著銀行業(yè)務(wù)發(fā)展，會(huì)新增一些網(wǎng)址，或者原來(lái)的網(wǎng)址發(fā)生變化。負(fù)責(zé)運(yùn)維的A同事一疏忽，沒(méi)把這些變化的網(wǎng)址及時(shí)同步給防火墻。。。

這樣一來(lái)，相當(dāng)于有些大樓被落在了圍墻外面，裸奔了。。。

藍(lán)軍就這樣大搖大擺地進(jìn)去，像搬家公司一樣把東西拿出來(lái)。

演習(xí)結(jié)束復(fù)盤(pán)時(shí)，君哥他們看到藍(lán)軍的進(jìn)攻方式，都快吐血了，趕緊亡羊補(bǔ)牢，重新再戰(zhàn)。

Round2：

不管哪個(gè)網(wǎng)絡(luò)區(qū)域，凡是重要的主機(jī)上都會(huì)安裝入侵檢測(cè)系統(tǒng)（HIDS）——它就像特工電影里的“紅外線警報(bào)系統(tǒng)”那樣，一旦被人觸發(fā)，就會(huì)發(fā)出刺耳的警報(bào)。

（HIDS 商業(yè)化產(chǎn)品在 2017 年之后才開(kāi)始大規(guī)模在銀行業(yè)部署，但 2012 年招行就合作開(kāi)發(fā)了一套 HIDS 系統(tǒng)。）

但剛才說(shuō)過(guò)，“生產(chǎn)網(wǎng)”“辦公網(wǎng)”“測(cè)試網(wǎng)”“DMZ”之間是相互隔離的，所以每一個(gè)區(qū)域都得有一套自己的警報(bào)系統(tǒng)（HIDS）。

這幾套系統(tǒng)的數(shù)據(jù)都要匯總到中控屏（SOC）上，才方便統(tǒng)一查看和處理。

好巧不巧，偏偏一位B同事在配置數(shù)據(jù)連接的時(shí)候手抖，寫(xiě)錯(cuò)了一行代碼——結(jié)果只有“辦公網(wǎng)”和“測(cè)試網(wǎng)”的警報(bào)連通中控屏，而“生產(chǎn)網(wǎng)”的警報(bào)是斷掉的。。。

這個(gè)情況就很尷尬了：大家盯著中控屏看，還以為生產(chǎn)網(wǎng)里沒(méi)有報(bào)警，其實(shí)是。。。生產(chǎn)網(wǎng)里即使有報(bào)警也傳不過(guò)來(lái)。

就這樣，藍(lán)軍混進(jìn)生產(chǎn)網(wǎng)，又把靶標(biāo)數(shù)據(jù)給偷走了。。。

君哥他們又噴一次血，亡羊補(bǔ)牢，再接再厲。

Round3：

剛才說(shuō)過(guò)，不同網(wǎng)域之間有關(guān)卡相連。在關(guān)卡處有一個(gè)叫 NTA（網(wǎng)絡(luò)威脅檢測(cè)）的設(shè)備，這家伙專門(mén)對(duì)網(wǎng)絡(luò)里傳送的數(shù)據(jù)進(jìn)行審核。

有點(diǎn)像國(guó)道上的“檢查站”，“警官”會(huì)把可疑車輛攔下來(lái)檢查，一旦發(fā)現(xiàn)違禁品就馬上查扣。

但是，網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)大多是加密的，就像汽車開(kāi)動(dòng)時(shí)不會(huì)把行李掛在車頂，而是鎖在后備箱里。

所以網(wǎng)絡(luò)檢測(cè)設(shè)備必須先拿到數(shù)據(jù)對(duì)應(yīng)的秘鑰，把它解密成明文之后再審核——就像警察蜀黍把你的鑰匙要過(guò)來(lái)，把后備箱打開(kāi)檢查。

可這次，C同事又出了疏忽，在設(shè)置的時(shí)候沒(méi)把所有的秘鑰都傳給 NTA，導(dǎo)致一部分流量解不開(kāi)。。。“后備箱”都打不開(kāi)，再牛的警察蜀黍也看不出問(wèn)題啊。

你可能猜到了，黑客進(jìn)攻的代碼恰恰藏在了那部分加密的數(shù)據(jù)中，從阿sir的眼皮子底下大搖大擺地溜了過(guò)去。

藍(lán)軍叒成功了。。。君哥他們又是一通修。。。

別以為噩夢(mèng)就此結(jié)束了，各種翻板轉(zhuǎn)板梅花板的錯(cuò)誤繼續(xù)抵達(dá)戰(zhàn)場(chǎng)：

比如：大門(mén)口保安（也就是網(wǎng)絡(luò)應(yīng)用防火墻WAF）的性能有限，如果有很多人一起涌進(jìn)大門(mén)，保安就盤(pán)問(wèn)不過(guò)來(lái)，會(huì)隨機(jī)漏掉一些人——訪問(wèn)高峰期大概會(huì)漏掉30%。

有一次，藍(lán)軍就利用這一點(diǎn)，專門(mén)在訪問(wèn)高峰期混在人群里嘗試進(jìn)攻，多試幾次，果然趕上了“保安失察”，就這么生生闖進(jìn)來(lái)。

此時(shí)的君哥，臉都青了，這真是“出門(mén)就上當(dāng)，當(dāng)當(dāng)不一樣”，“低級(jí)失誤千萬(wàn)款，總有一款適合我”?。。?/p>

那兩年，藍(lán)軍同事因?yàn)閮?yōu)異的表現(xiàn)，每次績(jī)效都拿A；反過(guò)來(lái)看紅軍這些人，臊眉耷眼，天天被扣雞腿。再也不敢拍胸脯吹牛了。。。

幸虧這只是演練，萬(wàn)一真的有黑客攻進(jìn)來(lái)，那就不只是扣雞腿的事兒了，估計(jì)自己墳頭草都老高了！

現(xiàn)在回想起來(lái)，君哥得出血淚教訓(xùn)：

紅藍(lán)對(duì)抗這種測(cè)試，只是一種“片面”的測(cè)試。 就好像“條條大路通羅馬”，藍(lán)軍每次只找到一條路進(jìn)入羅馬就完成任務(wù)。 這樣的話，哪怕紅藍(lán)對(duì)抗上百次，也無(wú)法證明所有可能的路都被封死了，因?yàn)橄乱淮嗡{(lán)軍還有可能找到新路，況且紅軍手一抖也可能把已經(jīng)封死的路不小心又打開(kāi)。。。

就像下面這樣???

那有沒(méi)有一種方式，別這么一條路一條路地試，而是把所有“通向羅馬的路”同時(shí)查一遍？！

就像下面這樣???

（二）“疫苗”

當(dāng)時(shí)君哥首先想到的方法就是——寫(xiě)腳本。

啥是寫(xiě)腳本呢？

咱們就拿剛才說(shuō)的“紅外報(bào)警系統(tǒng)”（HIDS）舉例。

你這個(gè)設(shè)備的工作原理不是一旦有人碰到“紅外線”（觸發(fā)安全規(guī)則）就會(huì)報(bào)警嗎？

那我就派一個(gè)機(jī)器人，專門(mén)觸發(fā)規(guī)則，看設(shè)備報(bào)警不報(bào)警就完事了。

你有1條規(guī)則我就搞一個(gè)機(jī)器人，你有10000條規(guī)則我就搞10000個(gè)機(jī)器人。反正機(jī)器人也不怕累。。。

控制這些機(jī)器人統(tǒng)一行動(dòng)的，就是“腳本”——如同舞臺(tái)劇上的人物一樣，一絲不茍一幕接一幕表演下去直到完畢。

怎么樣，聽(tīng)上去很簡(jiǎn)單吧。

君哥一開(kāi)始也想得很簡(jiǎn)單，以為寫(xiě)腳本的難度最多跟搬搬磚差不多；但寫(xiě)著寫(xiě)著，他發(fā)現(xiàn)，這根本不是搬磚，而是建金字塔呀！??！

原因是醬的：

不要以為安全設(shè)備是“二極管”，只有“報(bào)警”和“不報(bào)警”兩種狀態(tài)。實(shí)際上，它們很細(xì)膩，面對(duì)不同的情況，設(shè)備的反應(yīng)可以有很多。

就拿看大門(mén)的“網(wǎng)絡(luò)應(yīng)用防火墻（WAF）”來(lái)說(shuō)吧，如果來(lái)訪者是個(gè)好人，它就會(huì)給對(duì)方發(fā)一個(gè)通行證，寫(xiě)著“200 OK”； 如果判斷來(lái)訪者是一個(gè)“壞人”，WAF 可以給他返回空頁(yè)面“403 NOT FOUND”； 但同樣遇到一個(gè)壞人，完全可以也給他一個(gè)“200 OK”的通行證，但是讓壞人進(jìn)來(lái)之后看不到任何有效信息，而是繼續(xù)看著他裝X，暴露它的攻擊意圖。 這只是舉個(gè)例子，如此類推，安全設(shè)備的反應(yīng)還可以有幾千甚至上萬(wàn)種。而且，只要稍稍改一下配置，設(shè)備對(duì)于各種攻擊的反應(yīng)也會(huì)發(fā)生相應(yīng)變化。

君哥解釋。

如此一來(lái)，測(cè)試代碼就不那么好寫(xiě)了：

安全設(shè)備反應(yīng)的種類之豐富，堪比女朋友的情緒種類——你要首先知道每一種攻擊方法背后安全設(shè)備的反應(yīng)應(yīng)該是什么。這樣才能驗(yàn)證安全設(shè)備是做對(duì)了還是做錯(cuò)了。

就像一張?jiān)嚲?，老師不僅要出題目，還得自己先算出標(biāo)準(zhǔn)答案，這樣才能知道學(xué)生對(duì)錯(cuò)嘛。

“一套攻擊組合”+“一套標(biāo)準(zhǔn)反應(yīng)”，才組成一個(gè)完整的“測(cè)試用例”。

君哥解釋。

這種磨性子的活兒正中君哥下懷，他就這樣帶著大伙兒一個(gè)個(gè)地寫(xiě)測(cè)試用例。

剛寫(xiě)出的測(cè)試用例有可能不準(zhǔn)，還需要反復(fù)調(diào)試，才能讓“預(yù)期反應(yīng)”和“真實(shí)反應(yīng)”完全一致。

就這樣，神器鑄成。每次紅藍(lán)對(duì)抗之前，君哥微微一笑，所有的測(cè)試用例每天都跑一遍，內(nèi)心相當(dāng)?shù)?，相?dāng)于給屁股上懟了幾針疫苗——不亡羊，先補(bǔ)牢。

這招不要太好使，紅軍防守成功的次數(shù)直線上升。

君哥把這種“打疫苗”的操作總結(jié)成一個(gè)高大上的詞，叫做“安全有效性驗(yàn)證”。他非常自豪，在“君哥的體歷”發(fā)布的第二篇文章就詳細(xì)介紹了這個(gè)操作。（可以參考原文：）

話說(shuō)正是憑著這些創(chuàng)造性貢獻(xiàn)，君哥在29歲的時(shí)候就成為了招行總行安全內(nèi)控處的處長(zhǎng)（招行叫室經(jīng)理），妥妥屬于最年輕的主管之一。

后來(lái)每到一個(gè)新企業(yè)，他都先帶著大家做“疫苗”。漸漸地，他對(duì)積累測(cè)試用例產(chǎn)生了一種蜜汁熱情，越攢越多，從10個(gè)到100個(gè)，從100個(gè)到1000個(gè)，到今天為止已經(jīng)攢了3000多個(gè)。

說(shuō)到這里，君哥很興奮：

首先，要寫(xiě)出測(cè)試用例，必須特別了解大企業(yè)會(huì)遭受哪些攻擊； 其次，還要掌握企業(yè)安全系統(tǒng)針對(duì)這些攻擊的防御檢測(cè)的“最佳實(shí)踐”，只有通過(guò)很長(zhǎng)時(shí)間積累，才能打磨出足夠準(zhǔn)確的測(cè)試用例。

總之，這些用例組成的“疫苗集”，在他看來(lái)恰是不可多得的財(cái)富。

很長(zhǎng)時(shí)間里，君哥這套疫苗都只服務(wù)于他所在的企業(yè)，屬于“獨(dú)善其身”。

他也安于現(xiàn)狀——畢竟，安全系統(tǒng)的疫苗是非常專業(yè)的東西，只有網(wǎng)絡(luò)空間復(fù)雜，對(duì)網(wǎng)絡(luò)安全要求賊高的大企業(yè)（確切地說(shuō)是大企業(yè)中的領(lǐng)頭羊）才用得到。

不過(guò)，歷史的車輪總是滾滾向前，事情慢慢變化。。。

（三）“模擬攻擊”的春天

歷史有兩個(gè)車輪，一個(gè)叫“數(shù)據(jù)價(jià)值”，一個(gè)叫“國(guó)際形勢(shì)”。

啥是“數(shù)據(jù)價(jià)值”的車輪呢？

大概從2016年開(kāi)始，人們對(duì)數(shù)據(jù)的“冶煉技術(shù)”開(kāi)始成熟，大大小小的公司都開(kāi)始研發(fā) App，利用大數(shù)據(jù)提供更個(gè)性的服務(wù)。數(shù)據(jù)在他們眼里成了新的“石油”。（可以參考）

這樣一來(lái)，各大企業(yè)內(nèi)部積攢的數(shù)據(jù)就陡然增多。

這么多“石油”，顯然就是肥肉，黑客們聞著肉味就來(lái)了。于是黑客入侵偷數(shù)據(jù)的操作也陡然變多。

啥是“國(guó)際形勢(shì)”的車輪呢？

那就是全球化的退潮，各個(gè)國(guó)家之間開(kāi)始心存芥蒂，總想派點(diǎn)“海盜式黑客”去別人家的大公司里偷點(diǎn)機(jī)密數(shù)據(jù)。

境外黑客有個(gè)“護(hù)身符”，那就是咱們國(guó)家的法律鞭長(zhǎng)莫及，沒(méi)辦法肉身抓獲物理超度——要想擋住這些黑客，基本只能選擇技術(shù)對(duì)抗。

這兩個(gè)車輪滾滾向前，很多原本在角落里裝小透明的企業(yè)開(kāi)始被黑客追著錘，還沒(méi)有還手之力。。。

眼看情況危急，2016年，俺們的國(guó)家開(kāi)始組織真刀真槍的網(wǎng)絡(luò)安全演習(xí)——所有重要的國(guó)計(jì)民生的企業(yè)都必須參與演習(xí)，并且承擔(dān)“挨揍”的職責(zé)；全中國(guó)厲害的網(wǎng)絡(luò)安全團(tuán)隊(duì)組成攻擊隊(duì)，對(duì)他們進(jìn)行實(shí)戰(zhàn)攻擊。

這不是玩笑，而是全社會(huì)級(jí)別的演習(xí)，要是誰(shuí)家的網(wǎng)絡(luò)被攻破，在全國(guó)人民面前丟人事小，有關(guān)負(fù)責(zé)人去喝茶也是有可能的。。。

于是，企業(yè)們趕緊想辦法補(bǔ)課。

有趣的是，他們的“進(jìn)化路線”和當(dāng)年君哥一模一樣：

先是買(mǎi)一堆網(wǎng)絡(luò)安全產(chǎn)品，然后建立一個(gè)網(wǎng)絡(luò)安全保衛(wèi)小分隊(duì)，然后發(fā)現(xiàn)這個(gè)體系不一定好使，開(kāi)始自己組織紅藍(lán)對(duì)抗。

然后他們自然而然發(fā)出了靈魂拷問(wèn)：為啥對(duì)抗了一圈兒，藍(lán)軍還是總能輕易找到漏洞呢？

各個(gè)公司的技術(shù)負(fù)責(zé)人打聽(tīng)了一圈，聽(tīng)說(shuō)君哥干這個(gè)事情有經(jīng)驗(yàn)，于是紛紛來(lái)找他取經(jīng)。

幾乎在同時(shí)，國(guó)際著名的技術(shù)咨詢機(jī)構(gòu) Gartner 發(fā)布了一個(gè)報(bào)告，提出了一個(gè)最新的網(wǎng)絡(luò)安全技術(shù)趨勢(shì)，叫做 BAS。全稱是 Breach and Attack Simulation——入侵與攻擊模擬。

簡(jiǎn)單來(lái)說(shuō)，就是通過(guò)自動(dòng)化的方法模擬黑客進(jìn)攻的手法，測(cè)試網(wǎng)絡(luò)安全體系有沒(méi)有紕漏。

Gartner 報(bào)告中 BAS 正在火爆的狀態(tài)

偶然看到這份報(bào)告，君哥虎軀一震：這不就是“安全有效性驗(yàn)證”么？

講真，Gartner 一般是綜合了很多公司一線調(diào)研才得出的技術(shù)研判。所以，如果他們提出了 BAS，那說(shuō)明不止在中國(guó)，全球范圍內(nèi)，很多公司都面臨安全“到底如何測(cè)試安全系統(tǒng)有沒(méi)有效”的靈魂拷問(wèn)。

看到自己研究了多年的領(lǐng)域突然成為世界追捧的熱門(mén)，君哥有一種坐在冷板凳上十年，突然被無(wú)數(shù)聚光燈照射，迎來(lái)全場(chǎng)歡呼的感覺(jué)。

他盤(pán)了盤(pán)自己這么多年攢下來(lái)的測(cè)試用例，家底殷實(shí)。是時(shí)候把寶貝拿出來(lái)“兼濟(jì)天下”了！

正如公司名字“知其安”一樣，知其安，才能知其所以安！君哥笑著說(shuō)。

不過(guò)，很快一個(gè)問(wèn)題就擺在面前：

每次測(cè)試一遍，都需要手動(dòng)寫(xiě)一堆腳本來(lái)回收數(shù)據(jù)，這個(gè)操作效率有點(diǎn)低啊。

以前在甲方的時(shí)候，自己開(kāi)發(fā)能力強(qiáng)，寫(xiě)腳本也沒(méi)覺(jué)得累；現(xiàn)在成了提供服務(wù)的乙方，就不能再讓客戶用腳本了，而是應(yīng)該做成一個(gè)好用的“自動(dòng)測(cè)試平臺(tái)”。

這么說(shuō)吧，如果把腳本比作半自動(dòng)步槍，那么“測(cè)試平臺(tái)”就應(yīng)該像——馬克沁機(jī)槍。

（四）機(jī)槍配大佬

君哥舉起大旗，招攬各方賢士，大家一起來(lái)建造這臺(tái)“馬克沁機(jī)槍”。

這個(gè)“機(jī)槍”到底該腫么設(shè)計(jì)呢？

君哥告訴我，如果拆開(kāi)內(nèi)部，它的工作原理應(yīng)該分為六步：

1、平臺(tái)下發(fā)攻擊任務(wù)。

就是確定這次要揍哪個(gè)靶子（安全系統(tǒng)），用哪些彈藥（測(cè)試用例）。

2、模擬攻擊者使用“無(wú)害方式”攻擊靶機(jī)。

這里只是為了驗(yàn)證安全系統(tǒng)的反應(yīng)，所以沒(méi)必要真的去攻擊正在運(yùn)行中的主機(jī)（萬(wàn)一真打壞了就會(huì)對(duì)系統(tǒng)造成影響），而是可以在安全系統(tǒng)保衛(wèi)的網(wǎng)絡(luò)里臨時(shí)新建一臺(tái)虛擬靶機(jī)，去打它，一樣可以引起安全系統(tǒng)的反應(yīng)。

3、日志傳輸?shù)街锌叵到y(tǒng)。

安全系統(tǒng)檢測(cè)到攻擊，就會(huì)做出相應(yīng)反應(yīng)。而這些安全事件日志會(huì)傳送到我們之前說(shuō)的“中控屏”（SOC）上。

4、告警傳送回安全驗(yàn)證平臺(tái)。

中控屏?xí)R總安全日志，然后產(chǎn)生具體的告警，傳送給安全驗(yàn)證平臺(tái)。

5、安全驗(yàn)證平臺(tái)作比對(duì)。

把安全系統(tǒng)“應(yīng)該有的反應(yīng)”和“實(shí)際產(chǎn)生的反應(yīng)”做對(duì)比，就知道安全系統(tǒng)有哪些地方失誤了。

6、驗(yàn)證失敗任務(wù)原因排查和分析。

把失誤的地方再重做一下，確認(rèn)不是偶發(fā)問(wèn)題，然后返回給安全人員進(jìn)行原因分析。

當(dāng)然，剛才說(shuō)的這六步是慢動(dòng)作。

把動(dòng)作連貫起來(lái)，加快，再加快，就成了一部射速極高的“機(jī)槍”。

只有槍還不夠，接下來(lái)就是為它配套子彈——測(cè)試用例。

你可能會(huì)問(wèn)：誒，之前不是說(shuō)把測(cè)試用例都攢好了嗎？

雖然攢好了，但卻不是一勞永逸的。

把黑客進(jìn)攻手法比喻成新冠病毒，就很容易理解了。

新冠病毒為了逃過(guò)免疫系統(tǒng)的追殺，會(huì)不斷發(fā)生新的變異，從原始毒株到德?tīng)査綂W密克戎。用過(guò)去的疫苗對(duì)付最新變異的病毒，效果會(huì)大打折扣。

同樣道理，黑客的進(jìn)攻手法也會(huì)發(fā)生變異。過(guò)去的測(cè)試用例就像舊疫苗，只對(duì)過(guò)去的攻擊手法最有效，隨著時(shí)間推移會(huì)慢慢落伍，需要不斷跟著最新黑客進(jìn)攻手法升級(jí)才行。

君哥專門(mén)找來(lái)了十多位黑客大牛，沒(méi)日沒(méi)夜地跟蹤全世界的網(wǎng)絡(luò)安全動(dòng)態(tài)，發(fā)現(xiàn)新的攻擊方式，就把它整合到測(cè)試用例的“基因”里。

用這種跟蹤變異的方法，不斷保證“疫苗”總是最新的。

這一套打磨光亮的“機(jī)槍+子彈”，叫做“離朱”（相傳離朱是黃帝的臣子，視力賊好）。

時(shí)不我待，離朱剛做好，君哥就拿著它去銀行、證券、石化等等企業(yè)測(cè)試。

果然，經(jīng)歷了無(wú)數(shù)次紅藍(lán)演習(xí)，很多企業(yè)內(nèi)部網(wǎng)絡(luò)還是“條條大路通羅馬”的狀態(tài)。。。

君哥給我伸出三個(gè)手指頭：“說(shuō)來(lái)說(shuō)去，主要原因有三個(gè)?！?/p>

第一個(gè)，就是能力不足，占所有原因的 10%。

比如某個(gè)關(guān)鍵的網(wǎng)絡(luò)關(guān)口，是黑客的必爭(zhēng)之地，本來(lái)應(yīng)該買(mǎi)技術(shù)最好的流量審計(jì)設(shè)備，結(jié)果買(mǎi)了一個(gè)便宜貨放在那里。

就像數(shù)學(xué)奧賽，本來(lái)應(yīng)該讓北大韋神去參加，結(jié)果派了中哥上場(chǎng)，就算我發(fā)揮到極限，也肯定是被吊打啊。。。

第二個(gè)，能力足夠，就是覆蓋度不夠，占所有原因的 20%。

比如“蜜罐”這種東西，如果放在黑客進(jìn)攻的路線上，本來(lái)能夠吸引黑客落入陷阱。但是由于部署的不夠全面，導(dǎo)致黑客經(jīng)過(guò)的地方反而沒(méi)放陷阱，這就很尷尬了。

第三個(gè)，能力和覆蓋度都足夠，就是君哥早年遇到最多的問(wèn)題——使用不當(dāng)，占所有原因的 70%。

比如配置錯(cuò)誤：寫(xiě)錯(cuò)一行代碼，接口給接錯(cuò)了，開(kāi)關(guān)沒(méi)打開(kāi)等等低級(jí)錯(cuò)誤；

比如性能不行：本來(lái)應(yīng)該放兩臺(tái)防火墻的地方放了一臺(tái)，結(jié)果處理能力不夠，總會(huì)丟包。

君哥總結(jié)這類問(wèn)題屬于：低級(jí)錯(cuò)誤、高級(jí)威脅。

跟我見(jiàn)面那天，君哥就剛剛從一家大企業(yè)做測(cè)試回來(lái)，風(fēng)塵仆仆。

在我的印象中，既然要把東西賣(mài)給人家，那怎么說(shuō)也是乙方，被客戶爸爸各種質(zhì)疑刁難也是難免吧。。。但君哥擺擺手，其實(shí)也沒(méi)我想的那么難。

君哥做大企業(yè)的安全負(fù)責(zé)人十多年，甚至比很多客戶負(fù)責(zé)人的從業(yè)經(jīng)歷都長(zhǎng)，一開(kāi)口就是“老甲方”了。他的殺手锏就是：對(duì)方關(guān)心的問(wèn)題他都想到了，對(duì)方?jīng)]來(lái)得及關(guān)心的問(wèn)題。。。他也給想到了。。。

比如，很多企業(yè)的安全負(fù)責(zé)人關(guān)心“實(shí)時(shí)性”。

因?yàn)椤懊庖呦到y(tǒng)”是為“軀體”服務(wù)的，而企業(yè)的軀體是每時(shí)每刻都在發(fā)生變化的。

就拿銀行舉例，網(wǎng)銀 App 的功能幾天就會(huì)升級(jí)一次，內(nèi)網(wǎng)也會(huì)隔三差五有些改動(dòng)，每次哪怕只改動(dòng)一點(diǎn)點(diǎn)，都沒(méi)人敢打包票免疫系統(tǒng)還像之前那么滴水不漏。

當(dāng)錯(cuò)誤不可能百分百避免的時(shí)候，最好的方案當(dāng)然是縮短糾錯(cuò)的周期。

可紅藍(lán)對(duì)抗又費(fèi)人又費(fèi)錢(qián)，最多一個(gè)月折騰一次。

換成自動(dòng)化測(cè)試平臺(tái)，就完全沒(méi)關(guān)系，五毛錢(qián)一度電，隨便跑啊——全天候7*24小時(shí)測(cè)試。一天打一遍完全沒(méi)壓力；甚至有些極其重要的系統(tǒng)，一小時(shí)測(cè)一遍都沒(méi)問(wèn)題。

如果你是銀行的網(wǎng)絡(luò)安全負(fù)責(zé)人，每個(gè)小時(shí)都能看到安全防護(hù)系統(tǒng)的實(shí)時(shí)健康度，那你心里肯定很踏實(shí)，吃飯都更香了。

除此之外，老炮兒君哥還給我講了一個(gè)甲方安全負(fù)責(zé)人的難言之隱——“預(yù)算”。

很多安全負(fù)責(zé)人最重要的工作內(nèi)容就是拿到安全預(yù)算。因?yàn)樵诶习蹇磥?lái)，這一年年的好像也沒(méi)發(fā)生啥事兒啊，你們?yōu)樯哆€跟我要幾百萬(wàn)來(lái)買(mǎi)安全設(shè)備？

但看不到事兒不等于沒(méi)事兒。。?？床坏斤L(fēng)險(xiǎn)不等于沒(méi)風(fēng)險(xiǎn)。。。

你還記得君哥早年遇到的問(wèn)題嗎？流量檢測(cè)設(shè)備的性能不足，高峰時(shí)期就會(huì)漏檢30%的流量。

解決這個(gè)問(wèn)題沒(méi)有好招，只能再加一臺(tái)安全設(shè)備。

但老板又會(huì)反問(wèn)安全負(fù)責(zé)人：憑啥你說(shuō)性能不夠就不夠啊？我覺(jué)得夠??！

君哥深深理解這個(gè)痛處，專門(mén)在離朱里加上了一個(gè)“安全評(píng)分功能”???

比如，關(guān)鍵安全設(shè)備的性能不足，肯定會(huì)得到很低的分?jǐn)?shù)。給領(lǐng)導(dǎo)一看， 其他位置分?jǐn)?shù)都很高，唯有流量安全不及格。領(lǐng)導(dǎo)問(wèn)為啥，安全負(fù)責(zé)人就能理直氣壯地說(shuō)：“因?yàn)轭A(yù)算不夠唄?！?/p>

這并不是YY。

君哥告訴我，就在上個(gè)月，一個(gè)客戶用這套評(píng)分系統(tǒng)，從領(lǐng)導(dǎo)那批了五百萬(wàn)的預(yù)算，一波解決了多年安全投入不足的問(wèn)題。

真是累斷腰跑斷腿，不如數(shù)據(jù)動(dòng)動(dòng)嘴。。。

除了這些大功能，離朱安全驗(yàn)證平臺(tái)還時(shí)不時(shí)搞一些小彩蛋。

每年的全國(guó)網(wǎng)絡(luò)安全演習(xí)開(kāi)打前，是君哥和團(tuán)隊(duì)最忙的時(shí)候，有很多企業(yè)對(duì)自己的安全防護(hù)能力心里沒(méi)底，君哥他們專門(mén)拉出一個(gè)小分隊(duì)，把歷年演習(xí)中攻擊隊(duì)使用的攻擊方式、攻擊工具和高危漏洞做了整理，搞出了一個(gè)演習(xí)“高考真題庫(kù)”。

先把“真題”都做一遍，就像突擊復(fù)習(xí)一樣，起碼在考試中先把最該拿的分?jǐn)?shù)拿到，接下來(lái)再慢慢提高嘛。

其實(shí)這么多年下來(lái)，我發(fā)現(xiàn)安全防御和打仗一樣，信心和武器裝備一樣重要。對(duì)自己安全系統(tǒng)狀態(tài)的越了解，你的信心才會(huì)越足嘛！

他總結(jié)陳詞。

君哥忙著“拯救世界”，趕去下一場(chǎng)電話會(huì)議了，我和他的聊天也只能到此為止。

我多少有點(diǎn)失望，畢竟他剛剛創(chuàng)業(yè)，沒(méi)多少坎坷的經(jīng)歷可以分享。

不過(guò)我強(qiáng)烈地懷疑，哪怕等他創(chuàng)業(yè)十年八年，他也未必有什么驚心動(dòng)魄的故事——因?yàn)樗刻煨男哪钅钭龅氖虑檎恰鞍盐ｋU(xiǎn)都扼殺在萌芽中”。

但對(duì)于一個(gè)人來(lái)說(shuō)，用虛擬的錯(cuò)誤幫助自己進(jìn)步，恐怕是代價(jià)最小的方式；對(duì)于一個(gè)國(guó)家的網(wǎng)絡(luò)安全來(lái)說(shuō)，用模擬進(jìn)攻的方式來(lái)進(jìn)步，恐怕也是代價(jià)最小的方案。

（五）高手選擇贏

從君哥的辦公室出來(lái)，我不知為何突然想起小時(shí)候看的一部電影《星河戰(zhàn)隊(duì)》。

新選拔出來(lái)的戰(zhàn)士，在和異星蟲(chóng)族作戰(zhàn)之前，由一位嚴(yán)厲的教官給大家做特訓(xùn)。

最開(kāi)始，教官居教大家甩飛刀。

有新兵不解，問(wèn)教官：現(xiàn)在都用飛機(jī)大炮，按個(gè)電鈕核導(dǎo)彈就出去了，學(xué)飛刀作甚？

教官把新兵叫出來(lái)，反手一個(gè)飛刀把他的手釘在墻上，跟大家說(shuō)：把敵人的手釘住，他就按不了電鈕了！

對(duì)于企業(yè)來(lái)說(shuō)，守衛(wèi)網(wǎng)絡(luò)空間固然需要“態(tài)勢(shì)感知”、“零信任”這類高端的武器，甚至“高級(jí)威脅防護(hù)系統(tǒng)”這樣的核武器，但是，一個(gè)保證一切有序工作的兢兢業(yè)業(yè)的“自動(dòng)巡檢系統(tǒng)”卻是它們的基礎(chǔ)。

只有先不問(wèn)寒暑練十年馬步，才有機(jī)會(huì)練成九陰真經(jīng)。

只有先消滅了低級(jí)錯(cuò)誤，才能能把精力放在更兇險(xiǎn)的挑戰(zhàn)之上。

正是想到這些，我才決定把君哥的故事講給大家聽(tīng)。

網(wǎng)絡(luò)安全博弈如同一個(gè)超大的棋局，追求華麗操作的棋手往往中局就因?yàn)槭д`而敗落；真正的高手從不指望自己下出“神之一手”，99%的時(shí)間里都是無(wú)聊的布局、落子、權(quán)衡、反思。

很多時(shí)候，“贏”和“贏得漂亮”并不沖突，但如果真的只能選一樣，高手選擇贏。

高手選擇贏

再自我介紹一下吧。我叫史中，是一個(gè)傾心故事的科技記者。我的日常是和各路大神聊天。如果想和我做朋友，可以搜索微信：shizhongmax。

哦對(duì)了，如果喜歡文章，請(qǐng)別吝惜你的“在看”或“分享”。讓有趣的靈魂有機(jī)會(huì)相遇，會(huì)是一件很美好的事情。

Thx with in Beijing