网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

安全有一个著名的木桶理论，“系统安全性的整体水位与最脆弱的组件水位相同”，绝大多数的人都在“集中优势兵力，从系统最薄弱的地方突破”，可是破坏容易建设难。当要保护的对象足够多、足够复杂，如何能成体系地进行安全建设，如何能将安全威胁收敛到可控的程度，是一件非常有挑战的事情，下面列举几个：

反入侵：对于所有的企业，这都是个令人头疼的挑战。有句笑话，“世界上只有两种企业，一种是知道自己被入侵的，一种是不知道自己被入侵的”。反入侵需要非常体系化的架构来控制风险。很多企业借助众筹或蓝军模拟渗透找到某些脆弱点并完成修复，认为这样就能高枕无忧，这种做法只是暴漏了很小的风险，连标都没治，更别说本了。实际上SDL只是标配，WAF、RASP、各种监控、各种数据、各种算法，安全建设的任务艰巨……

供应链安全：前几年APT热火朝天，各种0day满天飞，门槛也快速提升，攻防双方的日子都不好过。东边不亮西边亮，随着XCodeGhost的爆发，xshell、CCleaner、pip、nodejs接连中招，原来还可以这么玩？目前发现的例子都是事后，还有多少掩藏在冰山之下？目前还没有特别有效的防护方案，要么太重型，要么太晚，面对连规则都没有的目标，希望渺茫。试问有哪个企业和组织可以置身事外？别以为有源码就安全了，pip和nodejs都是源码，更别说还有算法级后门了。

防止钓鱼：安全培训天天讲，可是社工这一关很多人就是过不了。别看对手low，效果还异常的好，毕竟明枪易躲，暗箭难防。

小结：安全本不是平等的对抗，打开恶魔的盒子不那么难，但灾后重建却异常艰难。相对于“千里之堤，溃于蚁穴”的蚂蚁，业界更需要的是为生态授粉、创造自然奇迹的蜜蜂。

安全是个技术对抗非常激烈的领域，但这并不代表技术高超就能把基本问题解决的很好，黑灰产对抗就是个非常好的例子。作为一个产业，现在的黑灰产已经形成了一个完整的链条，每个环节都有大量的从业者各司其职。相比较那些神奇的0day，除了极个别情况，黑灰产使用的技术都是相对基础的。即使如此仍然有大量网站被简单的注入或者弱口令攻破，无数个人信息都在地下黑市被贩卖，如果没有徐玉玉案件引起国家重拳，现在的情况可能更为糟糕。商业上的薅羊毛也让众多电商网站承受资损并搅乱了市场公平，但行业里相关的人才却很稀缺。

小结：有数据表明，黑灰产的市场规模已经和网络安全市场的规模相当，都是千亿规模。整个业界的技术支持配比是否应该向1：1努力？

很多人都是从渗透、逆向、分析漏洞入门的，其实这些都是反向能力，如果要达到相反的目标，也就是防止渗透、防止逆向、设计没有漏洞的系统，一种是“反反向能力”，一种是“正向能力”，两者并不相同。其实这个和汽车工业有些类似，早期自主品牌造车都是逆向起家，买辆样车大卸八块，试图造出差不多的产品，吃夹生饭的结果就是动力、油耗、安全性都与原型相去甚远。下面再举几个例子。

逆向与混淆：逆向是二进制安全的基础，但对于很多公司来说，防止产品被逆向进而保护知识产权，是个硬需求。业界目前采用的常见手段就是花指令、防调试、执行流混淆、普通壳、虚拟机壳、白盒密码。除了白盒密码，其它的都属于“反反向能力”，虽然在现实场景中大量应用，但首次分析和二次分析的强度及有效度无法用数字来度量，虚拟机壳效果好一些，但通俗点讲就是对小白很难，但对专家不难。白盒密码属于“正向能力”的初级阶段，强度至少可以通过数量级（比如2^40）来衡量，但不幸的是，目前最好的白盒密码也撑不过28天（参考CCS 2017白盒挑战赛的结论）！美国已经开始高级阶段，至少10万美金的挑战赛还没人成功，东西方差距明显。