[SEC]一组胶片：关于安全的一些“小”趋势（19图 | 费流量）

胶片是9月份一个沙龙上讲的。

内容称不上大趋势，就是一个纯技术视角下的一些技术动态及其可能带来的一些东西。

------------------------------------------------

下面我尽量为每页胶片配一些文字，不能面面俱到，只罗列一些核心思路。

------------------------------------------------

分为三个部分：

第一，两朵云；

第二：黑客做什么；

第三，安全做什么。

第一朵云：从IaaS到PaaS的融合（甚至可能出现到SaaS的整体融合，这个之前在 安全SaaS云的文章 里也提过）。

第二朵云：SaaS模式，一些可以轻易脱离已有业务系统、而且建设和维护成本又偏高的应用最容易托管到SaaS上面，例如：代码、邮件、在线文档等等。

无论哪朵云，都会形成资源层面的集中和垄断，这些垄断带来的是用户向少数平台上的汇聚。

用户 = 数据，数据 = 价值，等号里的内容肯定是看法各有不同，但等式本身应该不会有太大问题。

目前普遍对云本身安全的看法是：应用、数据甚至硬件都被集中化处理了，那么安全问题也集中了，一旦出现安全问题，可能丢失的数据或造成的直接损失会变的比传统模式更大。

我认为这是消极的看法，我更喜欢一种积极的看法：

首先，安全从业者本来就属于稀缺资源，而真正不吹牛逼、多干实事的人就更是少的可怜；

所以，当各种资源以云的方式集中在一起的时候，实际上安全专家们也能随着资源而一起集中到云端，而不是像以往那样分散到世界各地去处理某个点的问题，这样不但有效的利用了本就稀缺的安全专家资源，更加让专家们以智囊团的方式汇集在一起，形成 1+1>2的效果。

就这个积极看法，我用三个维度来说明：

第一，无论是否使用云，就黑客们使用的攻击手段本身来说，变化并不大；

第二，就对抗双方的数量来说，不会因为迁移到云或不使用云，黑客数量或安全专家数量就会出现增减；

第三，原来的对抗发生在全世界各地，只要有一个服务器（只考虑服务端的情况下），就有一个黑客和安全专家交锋的战场，现在，都放到云上了，战场相对更为集中。

所以，引出上面的积极看法。

接下来，是黑客做的一些事情（不完整、只说个大概，算是以偏概全了）

0-day 已经被媒体和一些不负责任的厂商无限放大。

虽然我承认0-day很多，但在攻击过程中，就当前很多用户所维护的IT系统价值来说，根本到不了使用0-day的程度；

从“易被黑”的角度来看，很多业务的庞大和混乱程度，也根本无需使用0-day就能轻松搞定；

从纯粹价值角度去考虑，0-day本身价值就很高，所以每每使用的时候还要考虑到一旦暴露而引发的一系列成本，基于这点来说，就算手里有大把0-day也不会轻易使用。

所以，这里我将0-day定义为“核武器”。

相对0-day而言，我想N-day更为可怕，因为现在获取 N-day 的渠道越来越多、越来越容易。

这里，我将 N-day 定义为 AK47。

AK47就威力来说，肯定远不如核武器，核武器一出，绝对分分钟见血。

而AK47则不同，但就杀人数量来说，AK47却远远超过了核武器。

【人】已经成为IT系统中最大的弱点。

【人】也是当前各种“摆渡攻击”中的最大跳板。比如，stuxnet这样的知名案例。

内部威胁（Insider threat）目前正在被强化并逐步衍生出一些新的形式。

除了上面提到的那些摆渡攻击以外，实际上黑客的线上和线下活动的相互交织和配合也已达到了超乎想象的地步（这里，我把它叫做“黑客O2O”）。

比如：mandiant的apt1报告里的那份审批材料。

通过几个细节可以判断出很多值得深思的地方：有装订的打孔、有复印机（或打印机）色带留下的痕迹、有白色背景纸张的痕迹 等等 ……

总之，一系列细节可以用来深度的判断和定位泄漏文件的来源甚至可能的群体。

这些泄漏可能并非内部员工有意为之，也可能是深藏已久的谍报人员所上交的战果，但无论如何，这些来自内部的威胁已经与十年前我们所认知的那些内部威胁完全不同。

而且这些看似不经意的甚至单独拿出来显得无关紧要的文件，在一长串证据链中却成了引发潜在国际争端的重要环节。

高纬度打击就不用说了。

我们三次元人类攻打二次元世界的时候感觉很嗨皮。

但实际上四次元的黑客们打击我们这些无知的地球人时也感觉很嗨皮。

比如：棱镜、x-keyscore啥的 …… 太多了，去翻维基解密什么的吧。

这里只说一个趋势：以情报共享和分享为基础的协同安全。

首先，观测非常重要。

在我之前的文章里也提过类似问题，可以参考（参考旧文请戳我们 >>> 威胁情报：说说观测问题 and 威胁情报：只说信息与情报 and 态势感知）。

简而言之就是：天下不存在可预测的未来。

所以，第一时间发现问题并控制问题的扩散范围才是当前的王道。那么，具备高效和有效的威胁观测手段就非常必要。

目前，各个厂商都有各种观测手段（扫描、蜜罐/蜜网、流量分析、客户端 -_-! 等等），但谁都不能说是全面的，即便谁有完整的、全世界的数据，也肯定不具备将其中的问题都及时抽取出来的能力。也就是说，这块蛋糕太大了，一个人吃不完，需要更多的人来吃 —— 这样，需要观测能力者们能够分享和共享，才能形成趋近于完整的结果。

另外，观测中非常重要的一个问题就是“不能以特定对象为目标”。

传统的观测手段都是关注什么观测什么，比如，我关注Windows漏洞，就搞个Windows蜜罐，或是我关注我自己手里的几台业务服务器，我就买一百台安全设备把这些服务器围起来。但实际上呢 …… 世界是混沌的，很多外部正在发生的看起来无关的事件很可能最终就会对你产生影响，所以，不能“两耳不闻窗外事 一心只读圣贤书”。

有了共享的观测后，协同方面就不用说了。

但除了传统的协同之外，我觉得协同还有一个重要的作用，那就是“进化”。

进化是双方的，即是对黑客的挑战而导致黑客的进化，也是对自身的挑战而逼迫自己不断的进化。

如果任何一套系统（或体系）不能推进一个对抗链条的进化，那么，这套系统（或体系）将是无价值的 —— 因为它不能遵循基本的“优胜劣汰”原则。

然后呢 ……

大家都喜欢画个圈什么的，我也就把这几个过程画了个圈，没什么好说的，很容易看懂。

最后，装逼结束。

本文始发于微信公众号（Piz0n）：[SEC]一组胶片：关于安全的一些“小”趋势（19图 | 费流量）