安全技术运营的学习与笔记1

考虑到今年更换了部门与工作方向，不再关注APT方向的挖掘与追踪研究，因此需要更换自身的思路与场景，得从单一的技术技能栈深入变成全局场景下的威胁检测与能力建设技术栈靠近。在这个过程中肯定不能把重心放在单一的技术细节中去深究，这里在读完本书后其实是类似的，要解决的是全局问题，单靠人工或专家是不够的，例如脱壳VMP等场景，因为这并不是全局视角下必须要关注的困难点，而应该想到的是自动化脱壳功能与效果落地等思路。结合自身这几周的转变，在此之前从未撰写过技术解决方案，碰上后肯定会没有思路与想法，过程中遇到了电子书订阅上线的通知，因此在阅读本书后对自身撰写技术方案与检测方案有了启发，所以如以前一样根据学习过程和自身的思路与实践进行笔记的输出。

安全技术运营这个概念其实有些模糊，一直以来以为运营人员就是利用已有的产品或功能做出反应或分析，然后拿到结果并进行报告或总结。如果在信息安全领域里比较细分化的方向上来比较的话，个人认知上的运营人员要掌握的技能来说会显得比较初级，因为某些细分方向上对个人技能的要求变得越来越严格了，例如早几年可能仅仅只是渗透测试或者安全服务，而如今攻防要求变高了，往往需要内网横移的能力或突破能力，甚至于在安全服务上逆向能力也需要涉及一点。这就对整体的从业人员技能要求变得高了，这里也类似书中提到的十多年前的病毒分析师，每天对几百个病毒样本提取规则的时期，鉴黑鉴白确实是个体力活，这样的职位已经很少很少了，而如今看来价值已经很低了，且逆向的门槛也在降低，很少很少遇到特别顽强的恶意文件与对抗技术了，大量的公开资料加快了人们进入该方向熟悉该方向的速度。因此现如今要求恶意代码分析人员需要具备更高的全局能力或处理能力，大致都从两方向入手，一种是业务方向直接赋予价值（安全事件发现与助力防御），第二种是技术层面预研或探索来抢得先机收获价值（产品解决方案），甚至于要对安全产品输出能力，这个过程中就需要有提炼总结安全解决方案的能力与编码能力。

回到现在，首先从名词的定义入手来真真正正地了解安全技术运营是什么，可以给社会组织架构或运行带来什么价值？这里的定义给定的是基础网络安全方向，在这个方向中安全技术运营包括网络威胁、安全运营和技术运营思维三部分内容。

安全运营的目标有保障企业网络及信息安全，保护游戏环境不受外挂侵扰，保护终端计算机不受木马侵袭等。书中的安全运营是指发现和解决网络威胁的过程，主要包括发现威胁、分析威胁、处理威胁等。

有些基础的概念与延伸这里就不再提及了，作为安全从业人员这些内容是必备的常识内容，准备在本文中写一写自己比较感兴趣的内容与想法。在黑客入侵过程中可以大致分成两种目的，第一种是经济利益驱使，第二种是竞争导致（商业组织之间，国家之间等情况）。在第一种情况下，书中写到了Winnti黑客组织入侵了游戏公司并窃取了游戏源代码或服务器程序来另作他用。确实如文中所写，笔者也处理了过该类国内安全事件，当时是主动发现该组织的入侵活动，且经过几天的调查取证发现最初入侵时间已长达两年以上。可想而知，企业安全建设与持续安全技术运营是多么重要，辛辛苦苦的研发成果付之东流。一开始做安全建设的时候就需要确认资产的价值，因为不同的组织与背景对资产的价值认定不同，而这也是CISSP备考过程中反复提及的一个点，资产价值的计算是一切安全活动的开始，我们不可能花大价钱保护一个价值不高的事物，得不偿失不符合经济学与社会发展规律。对于游戏公司来说，最大的资产代码可以归类到游戏源代码或程序，而对于研究机构来说则是数据与研究成果资料，而对医院来说则是病例信息或研究结果资料等。

通过对APT组织的趋势与行业性攻击活动分析，我们自身假设是游戏行业安全从业人员，那么针对该类风险可以提高警惕并针对性防御，而这也是研究APT组织活动与情报挖掘输出的一个赋能点，但是仅仅研究是不够的，需要落地并实现效果，威胁情报并不仅仅只是可用于拦截的IOC信息，还包含更抽象的运营级情报。

勒索病毒团伙的攻击活动在国内一直以来是非常火热的，从最初开始接触到此类事件，到如今慢慢信息不公开，导致大家有了错觉，好像勒索事件少了，其实不然，攻击入侵态势一直没变，针对中小型组织的攻击勒索赎金可能对企业来说不会很贵（大概几万到十几万人民币），但是考虑到受害用户数量多，也是一笔不菲的收益，而针对大组织或企业就会考虑深入入侵，在这个过程中与针对性攻击活动也没什么不同，所不同的是勒索活动最终会暴露自己（加密核心数据以来要挟付款解密，往往价格不菲），而以往的针对性攻击活动则是尽可能不要让受害用户发现，攻击者尽可能不暴露自己，来获得更长远的潜伏时间。吃一堑长一智，因此在这个过程中，每当发生勒索攻击事件后，需要进行加固或者说建设完善的安全体系，随后便是安全技术运营进行推动与运营改进。

业务安全运营针对的有“薅羊毛”、“占坑”、“爬虫”、“盗链”场景等，常见的业务攻击有针对电商活动的“薅羊毛”攻击、针对各种社会紧缺资源的“占坑”攻击，针对业务数据的“爬虫”攻击、针对影视作品版权的“盗链”攻击等。业务安全也是占比比较大的安全方向，多数时候能造成很明显的企业价值损失，比如薅羊毛，前几年某电商的100元优惠券事件，占坑有点像是挂号或黄牛党牟利的场景，爬虫和盗链就不用说了，互联网业务数据本身就是一个企业的最大价值资产，所以在这块中需要做更多的防护，但是仍然会有不怀好意的人会进行偷取，毕竟利益驱使人从事的恶意活动太多了，这是人性使然。

下一篇写具体的安全运营过程与想法和启发 

原文始发于微信公众号（OnionSec）：安全技术运营的学习与笔记1