网络安全攻防演习怪现状

这几年网络安全行业发展不可谓不快，政策出台是燃料，而攻防演习是导火索，突然一下所有甲乙方都抬起头来，看着这么一张无形的大网从天而降盖了下来。

毫无疑问，我是攻防演习活动坚定的支持者，我能肉眼可见的感受到演习带来的变化：几年前，防守方内网被搅得天翻地覆，专家组们在那完全无感知，只知道着急不知道干嘛；几年后，至少很大一部分单位已经有了感知能力，其中一部分单位能溯源，甚至能够成功反制攻击队。也就是这么短短几年的时间，说明了两件事情，一是攻防演习是卓有成效的，二是花钱投入是能够有效地解决网络安全问题的。

于是乎，攻防演习的活动变成了百花齐放的活动，从国家级，到省级，到地市级，到企业级，当然也有行业级，这就进入了一个攻击队根本不够用的情况。同时网络安全行业被大家调侃为“九龙治水”，所以通常在一个单位，一年下来包括主动发起的和被动参与的，很有可能有个四五次，这也侧面实现了在实战化情况下的常态化。

通常一件事情的发展，总会伴随着各种小插曲，就好像电商的发展会伴随着假货一样，这是无法杜绝的，时代大潮总是会有诞生一些想要走捷径的行为，所以在一个原始森林你想要喝健康的水，就需要通过做装置再花一段时间的沉淀净化才行。这个装置一般分为几个层，用石头过滤大的杂质，用沙子过滤小微杂质，用木炭排除微生物，再净化分层，喝上面的水，相对而言就会有所保障。
我们参与的看到的和听到的故事有很多很多，充满着段子与情绪。整理一下，基本有如下几个怪现状。

大家调侃最多的还是某些公司即是裁判又是攻击方，更甚者还是平台提供方的行为，这种行为比比皆是。一次演习首先有攻防两方，其次必须有提交成绩的比赛平台，最后要有参与结果评分的裁判。我们用脚趾头都能想象到一个攻击队提交的报告，在后两者的角色都能看得到，如果后两者没有攻击队，大家尚且要严格约束平台和裁判的保密行为，更何况是你还派了攻击队，那大家基本上不敢相信公正性了。所以不管是体育赛事还是科技类的赛事，大家为了避嫌，都会主动避开这种质疑，以免造成不必要的误会。只是在网络安全攻防的领域，这个行为就变成一种默许，理由很有可能是，有能力做平台的厂商不多，这个厂商也很支持，既然平台是他的，邀请他做裁判也无可厚非，他们又有渗透测试的能力，能多做贡献皆大欢喜。实际情况当然不会是这样，不敢说跟认可是完全不同的，我并不认为要持续下去，我相信未来大家也会越来越注意。

另一个比较明显的问题是，演习中发现的问题（漏洞或者后门）很有一批并不会被修复，也就是说去年有今年还有，你参加了几年，积累的漏洞就越来越多，刚才讲的九龙治水嘛，这个赛事没修就下一个赛事继续提交，今年赛事没修就下一年赛事再提交。大家并不因此而感到义愤填膺，而是觉得很开心，因为这几乎就是送分题。所以，参与的越多，掌握的漏洞越多，来年的优势相对而言就越明显。换句话说即便漏洞修了，一个企业的网络基础结构并不会因此而修改，包括网络ip地址分配，业务系统所在位置等，因此，沉淀下来的知识库很有可能是带来持续影响的。我建议赛事举办方可以适当把漏洞的个数来评分，转一部分为修复比例来评分，适当地引导为发现问题是为了修复问题，处罚和责骂都不是最终目的。有漏洞不修这个问题，是所有我总结问题里面对国家伤害最大的。

再来一个问题就比较烧脑了，我也还没有明确的答案。因为国内的安全乙方相对是比较固定的，通过攻防演习让甲方跟乙方认识了合作了，简单来说就是甲方采购了乙方的产品和服务，那么过了一段时间后，乙方的客户越来越多，我们可以想象到很有可能不管哪个甲方都是乙方攻击队的客户。那就形成了跟比上面那个问题更大的问题：你是白盒，你看到了内部的完整网络结构，你在内部完成了资产和漏洞的梳理，你知道防火墙的防护策略，你知道了网络常用的非标准端口，你知道了常用的默认账号。那么如果你是乙方，当你的目标是这个甲方客户的时候，你打还是不打？不打吧没成绩，也不一定就真的没有漏洞；打吧你自己又可能会有“监守自盗”的罪恶感。当然有可能你会给自己一个相对比较舒适的理由：我打没有让我们做服务的那一些其他业务。但是客户认不认可那又是另外的事情了，搞不好客户一怒之下把你拉黑，毕竟商业市场还是掏钱的话语权更高。

讲到这里，就不得不提场外因素了。场内技术如火如荼，场外斗智斗勇不亦乐乎。比如说赛事主办方说我要打A，而A呢会说我不允许，这里就会出现一种对抗，只是这种对抗并不是体现在主办方和A，而是在乙方攻击队，搞定一个企业总是容易得多。其他还有很多场外因素，无法展开来说，此处省略数万字。谁家没老人还不生病呢？谁家没小孩上学呢？保安全还是保应用呢？综合下来，我还是很倾佩各演习的牵头领导，一定是各种权衡利弊，既要确保能够正常进行达到真实的效果又不至于外部过激，我们只能提供技术，后来发现只靠技术并不能真正解决问题，智慧才行。当然，所有案例又证明了一点：在绝对的实力面前，场外因素不是决定性的。碾压式的技术优势也能带来一种新局面的开拓，可惜的是，这种碾压式的优势也无法复制和持续。

最后还有一件事情是我有所担忧的。咱们积累的大量经验是很有针对性的，比如咱们积累的是国内设备和应用的漏洞，咱们的资产梳理方法是特别有区域性的比如用天眼查用ICP备案等，咱们的钓鱼模板也是中文的，一句话形容，咱们沉淀了大量行之有效的攻击我们自己的方法。虽然说思维方法是通用的，但是对于整个互联网攻防技术而言，流程和工具以及漏洞一定不是通用的，这就是机器学习领域里面的过拟合。如何插入一些杂音和新的场景，如果适用整个互联网可能也是后续要考虑的问题。另外，如何让那些沉淀更加可控也是个问题，大量的鱼目混杂在早期不用太多考虑，现在看起来，可以考虑做一些筛选，这个毕竟不是纯粹的商业，所以想要赚快钱的风气很容易破坏这个环境，实际上，服务目前在国内对一定规模的企业而言看起来也是越做越亏，个体和团队倒是没亏过，但是无法持续。

总结下来，我觉得网络安全行业的发展要有沉淀，沉淀下来的应该是最佳实践，这些最佳实践是流程是工具是思考的方式。如何把这些最佳实践输出出来是一个很重要的工作，除此之外如何把这些最佳实践推广出去是一个更为重要的工作。行业内不分享不交流，那么大家就一直在做重复的体力劳动，一加一做一万次也不能代表你在进步，你用了别人的人工服务用了十年也并不代表你收货了经验。攻防演习毫无疑问是有用的，上面我提到的这些怪现状还将伴随一段时间，我们若干年后可以再来回顾一次，看看哪些消失不见了，哪些愈演愈烈了，亦或是整个攻防演习的影响力达到高峰后就不再提了，就跟阿里的双十一一样不再关注交易额了。

从我个人交付而言，未来我可能期望团队尽可能少一点参加这些演习，因为我也没想清楚那些问题我怎么解决。与其随波逐流，不去全公司都去找出各行各业的最佳实践，做出来推广出去。对我们而言，我们的价值在于平台在于数据在于场景。上面说的其实最主要的问题还是：我们在攻击方面的能力并不好，给自己找一些借口罢了。

2020.09.02 高铁上

原文始发于微信公众号（赵武的自留地）：网络安全攻防演习怪现状