网络空间测绘的生与死:死亡篇

  • A+
所属分类:云安全

之前的生篇写完后,朋友们偶尔也调侃一句死篇是不是永远不会有了。当然不是。你知道很多事物的死亡悄无声息,就好像路边的一只小蚂蚁大喊一声“我要死了”,它预期路上匆匆的行人都会停下来,热情地看着它,关系地问“还有什么要嘱托的?殿下准备托孤于谁?天下苍生又该如何安顿?” 这种想象是毫无依据然而又会大量产生在大家脑海的,当然事实是永远不会发生。因为你人微言轻,大家不了解你,你也没做出什么丰功伟绩,死也就死了,连一个浪花都没有。所以,写不写都是自嗨,意义不大。

现在情况发生了稍许变化,国内一批大型客户明确了要使用新的技术来解决资产库的需求,招标要求恨不得就直接叫网络空间资产测绘,两家上市公司的招股说明书也直接说募资的用途是构建网络空间测绘技术和平台。这些就很有意思了,因为用不同搜索引擎自然搜索“网络空间测绘”,我们都好像是“代名词”。另外,最近360举办的安全独角兽沙盘大赛中,我们作为冠军的存在也确实有不少投资方跟我们建立联系,这跟之前的状态是截然不同的。我个人认为,这种冠军对我们而言并不产生本质的区别,因为既不能让我们技术往前走两步,也不能让客户多一些采购预算,从某种意义上来说,我们除了吸引一堆的友商入场外,似乎没有太多值得开心的事情。

换个角度来看,我觉得值得一提的现象是:在我之前看好的前提下领导和朋友是很替我的生存担心的,不管在我看来技术发展不可逆是多么的必然,朋友们都在说技术创业死亡率有多高。现在朋友替我开心的时候,我反而高兴不起来。生死有时候就是一瞬间的事情,没人关注你的时候,你可以很低调地发展,一旦你站在聚关灯下,历史就会推着你前进,是抓住机遇还是被快速淹没,就到拼命的时候了。

我首先认为未来的这几年,网络空间测绘技术是一个基础的技术需求,攻击技术推动了防护技术的发展,只要攻击技术更加先进的这个大前提不变,攻击面的知识库的比拼就是基础中的基础。其次我认为有太多的因素可能会制约技术的发展,我大约总结了如下几点。

一、技术变化导致的死亡

一个眼前非常明显的趋势:ipv4全网空间能够轻松遍历,在资源允许的情况外,全端口也未必是不可能。但是随着物联网的推广,万物互联的时代马上到来,5g,物联网,车联网,甚至是卫星网络,使得ipv6不再是一句口号,喊了十几年,终于变成了事实。任何一个家庭网络分配的地址/64位掩码,都超过了整个现有的互联网空间的地址池。简单来说,基于遍历式的主动探测方法基本宣告死刑,有效的方式就是结合流量做识别(这种方式已经证明了有效,但同时部署落地成本较高,而且覆盖度也很低),或者等待有新的算法能够像p2p模式那种从单点作为入口完成递归发现的过程。现在看来问题还是比较大的,暂时也没有很好的解决办法。

其次,已经有一些重视相关技术的国家和重要单位开始了对网络空间测绘技术的关注和对抗。包括IP重定向技术,也包括蜜罐技术和刻意修改banner等大量带有误导性的伪装来实现重要资产(甚至是所有网络资产)的入口隐藏。这会促发攻防对抗的升级。这就好像许多年前打synflood的流量攻击一样,最初很有效,等随便一个网络防火墙出来后,这种方式就失效了,现在好歹来个cc或者放大攻击什么的,所以说技术也有实效性。

除去上面说的一对一式的对抗,总有一些科学家们尝试用一种新的颠覆式的技术手段来促使技术完成革新的迭代,比如现在大家热议的零信任和可信计算等等,尽管网络空间测绘只是最基础的连接性判断,但是如果网络所有的联通都是经过了非常严格的接入审计和控制,可能就无法往后进行了。

正如所有的历史朝代都有完结的那一天,所有的企业都有死亡的那一天,技术也是一样的,从数字信号到模拟信号,到目前融入生活的IP网络,我们可以假设某一天会有更新的技术来替换现在的网络基础技术。早年谁也不能预判到ATM和IP网络的技术架构上,最终IP技术能够完胜。未来基于网中网的情况可能会越来越多,比如暗网,比如卫星网络,最终接入虽然还是IP,但是里面的资产全部是另一种互不可见的形势存在了。

目前的网络空间测绘技术还是完全依赖于IIP网络,只要这种结构没变,那么我就不担心短时间内会发生变化。我觉得十年之内应该问题不大吧,十年之后的事情,我也预料不到。眼跟前的很多技术难点已经开始让我们焦头烂额,举例来说,现在的测绘技术考虑响应速度是不带爬虫的,那么势必会导致一些中间框架的识别丢失(在goby里面我们比较好解决了二次请求来识别的问题,但是依然不敢加爬虫);还比如基础结构导致域名数据的大量丢失(我们已经是行业内域名最多的了,但是依然离目标相去甚远);再有就是几十万指纹标签应用到数十亿资产的表达数据量的问题。

每一点都可能导致我们失去竞争力,对于其他宣称有相关技术的厂商,我是觉得大家连很基础的坑都还没踩过,做demo是非常容易的,但是做完美可用的产品真的非常非常难,你不投入个十年八年,连门可能都还没有进。我看的越清楚越绝望,我们这么多人持续聚焦的情况下推进速度依然很慢。如果说死亡最可能的原因,我觉得可能就是因为自己的技术没有大的进步。

二、政策监管导致的死亡

每时每刻我们都遇到各种挑战,熟悉我的朋友知道,我经常开玩笑说的话是“领导,你一定要保护好我们啊”。我特别羡慕钱学森当年回国受到英雄般的尊重,对手知道他能抵五个师,在国家领导人的指示下艰难归来。你说,谁能允许一个人没事去造核弹呢?现在国内的技术氛围个人感觉有不少的改进空间,大家对安全技术容易妖魔化。理解的懂的尤其是上层领导非常支持,不懂的人很容易给出一个不听指挥就整死他的逻辑。而往往,每一个岗位的领导们确实又有这种能力。

我曾经在多个场合呼吁,国内的安全技术人才生存环境缺乏安全感,很容易踩雷,主要集中在三个方面:

a)互联网数据采集:国内对于这个定义是比较模糊的。比如爬虫算不算违法?因为“未授权扫描”这个定义是非常宽泛的,你可以理解为攻击性扫描才叫扫描,但是端口连接算不算,这事没人说。你说百度爬虫应该不违法吧(废话,要违法早关门了),那么同样是基于公开到互联网所有人可以访问的数据,为什么其他人自己写爬虫就被抓?我不相信百度得到了所有人的授权,反正我的网站肯定没给授权。那么区别在于执行动作还是后续数据的展现或者利用方式?那么用nmap做端口扫描(百度一次80端口的连接请求就是一次最典型的端口扫描动作)合不合法?emm,一堆人开始思考了,超过半数的觉得不好说,领导的说法是“最好别做”。如果我告诉大家在nmap的官网明确给出了一个真实案例是在美国定义是不违法的,那么我们怎么看?国情不同?没问题,我们待会再说。

b)安全软件研发:你做个视频播放器当然没人管你,但是当你做的是一个网络安全工具,这个坑就随时可能爆发。大家原本的初衷非常简单。做一个给企业用的安全自检工具,或者给红队做一个合法的安全测试工具。就好比国外的burp,metasploit,nmap那样的工具,他们做成了最好的技术口碑和社区贡献的效果,得到安全技术行业的广泛尊重。我经常在想,如果放到国内,是不是分分钟就被灭了。

大家可能觉得言过其实,那我们换一个角度来分析。如果有一个黑客(真正做破坏的黑客),他利用了一款安全工具入侵了一个企业,把数据进行了删除。警察一问,你是怎么做的啊?这位兄弟如实招来,我用了caidao,用了pangolin,好了。警察叔叔过来敲门“你们提供了黑客工具,谁让你们提供的?怎么证明你是好人?有没有相关单位的文件?有没有备案?”。百口莫辩,你说我不认识他,我也不知道他会用来做破坏,我只是基于对技术的热爱写了一个安全工具。

这就是为什么我当年要把第一次创业的公司卖给360,实在是那时候法律说提供黑客工具的违法,但是什么叫黑客工具谁也说不清楚如何明确的区分,就好比菜刀,有人拿他砍人了,但是初衷是为了切菜啊。所以我看着pangolin这个亲生儿子,为父可能被你坑死,还是卖了吧,扛不住风险。

但是,如果对方说我是用nmap扫描,用msf利用的漏洞,用pcanywhere做的系统控制,那就没有人会遭殃。一边是受人尊敬的安全软件,一边是无恶不作的“黑客工具”,这里面的逻辑比较模糊。国外都好,国内一般都不好,图书和软件都是如此,崇洋媚外的心哟,从骨子里散发出来,大家自己都不相信国内也能做出最好的技术。

c)漏洞研究:这个不多说了,大家的普遍问题是缺少漏洞研究的测试环境,缺少沟通交流的平台。漏洞不出境这个我是支持的,但是关于漏洞研究文章的发布这个坑也是很大。简单来说现在大家根本不敢发漏洞的技术细节,没有经历过xfocus年代的人是可悲的,一种纯粹的技术交流氛围永远也回不来了。如果你的文章能复现一个漏洞,那么你就有法律风险,哪怕只是搬运国外的也不行。网信办的领导跟我说你只要给一两个位置打个码,不要让人完整的利用就可以规避风险,我苦笑,很想说如果由于打码技术不太好导致上了法庭,领导你能出面来证明和保住白帽子们吗!现在还有不少公众号或者博客的文章还存在这些问题,风险一直在,只是相关单位倒也确实想让大家能够自我管理,不要出事,所以还比较风平浪静,只是未来会怎么样,谁都不好说。有法可依不一定有法必依,法制人治都考虑,我看大家公开讨论漏洞细节的相比以前是越来越少。

看到这,可能很多人认为我不懂法,应该去找一些材料看看。事实情况是,我们有专业的法务顾问,有比较好的与监管单位的沟通渠道。即便是如此,几乎所有人给出的答案都是模棱两可,从安全角度本着保护我们的角度考虑都是建议“少做少错”。这就好比你让一个科学家不要研究核弹,因为可能发生毁灭人类的事情,更具体一点说,你让爱因斯坦不要往后走,哪怕他后来确实说很后悔他的研究成果被用在了战争,我认为如果再来一次,他不会放弃那个举世闻名的公式的。因为他是科学家,探索真理是他的使命。即便是用在战争,它也是让本不该有的战争早日结束,所里才有“能战方能止战”的说法(网络安全何其相似)。这些研究出来的真理,将在未来持续产生作用,是让更多的科学家能够站在巨人的肩膀上看的更远走的更快。

在网络安全的领域,最重要的就是上面三个方向:数据,漏洞,工具。而这三个方面不是天上掉下来的,是一个个有着专研精神和奉献精神的人才研究的出来的。如果其他的国家把研究各种高精尖技术的人才用法律进行了保护而不是限制,用对待英雄的方式给了他们掌声,而我们是用一种烟雾缭绕随时可能踩雷的方式,让大家如履薄冰心惊胆战,可以预见的是大量人才的流失,这也是国内安全行业极大的损失。再想想为什么爱因斯坦出生在德国,最终却是在美国研究曼哈顿计划?用TK非常形象的比喻就是“单方面裁军”。

除去上层政策的不确定性以外,存在某些地方权威部门对于自己的“漏洞资产”采取鸵鸟政策,尽管他们清楚地知道敌对势力存在你的信息,而且你也无法让对方住手,甚至自己也并不去修复这些漏洞资产,但是依然从消灭报问题的人的视角来享受那种高高在上的感觉。

三、商业竞争导致的死亡

上面的两个问题最基本的生存问题,技术的需求和安全的社会环境是科技突破的前提,缺少这些前提科技发展就有如昙花一现。就像《激荡三十年》描述的那些血淋淋的案例一样,时间太早了不行有法律风险,时间晚了也不行被别人捷足先登。这就需要大家根据错综复杂的环境做出最精确的判断,没有任何人想要变成先烈,也没有任何一位亡国君主希望自己灭亡,历史的发展是不受个人意志为转移的,而是一种物竞天择的必然。你跟不上打不过就得死,残酷而现实。

技术创业的人骨子里都是科学家,当你带着一帮兄弟长时间饿着肚子,大家永远看着别人吃蛋糕流口水,就会咬着牙选择做一些妥协,定个小目标“先成为一个合格的企业家”吧。这是一个商业社会,除去最基本的那种没有商业市场有不得不做的国防领域,其他的市场都没有其他人能够帮你解决超大规模的资金投入。理论物理是可以一个人关在屋里思考出来的,一个公式定乾坤,而工程物理是要把各种天马行空的理念落地成惠泽社会的工具的。这个方向要投入十个亿,你怎么办?那只能先把商业赚到十个亿再说,所以商业上你要让自己先活下来。

科学家是缺少手段的,不是方向错了,是饿死在了黎明的前夜。从正向角度来看,我们可以举一个例子,科学家早期做的晶体管对老百姓而言是毫无用处的,科学家很兴奋,说它能加速运算,未来可以拼凑成一个巨大的运算系统,可以在上面看电影玩游戏。老百姓一脸茫然,你在讲科幻片吗?你能给我演示一下吗?科学家们很尴尬,说现在还不行。老百姓说那你卖给我的晶体管我能做什么呢?科学家陷入了沉思,偶尔感叹一句怀才不遇生不逢时。过了几年,科学家求爷爷告奶奶跪来了一些钱,把晶体管升级到了集成电路,运算数据几百万倍的增长,能耗降低不少,老百姓还是那句话,你卖给我什么?科学家百无聊赖基于现有的技术有几个晶体管轻易地拼凑出了一个袖珍计算器,又做出了收音机。老百姓沸腾了,这东西这么好用,你怎么不早拿出来。科学家看着大家拿着这么些小玩意乐不思蜀,苦笑了一下,我一个做核弹的被人认可的居然是几个苍蝇拍。不管怎么说,积累了一些原始资本,于是继续投入,做出了CPU做出了真正的计算机,他们的智能汽车运到了太空代表人类科技文明准备走出太阳系。我们把时间拉出来,这个科学家得活到一百来岁。我们回头感叹曾经科学家早年多么具有远见,他能预测到未来,可惜很可能我们只能在书本上,在博物馆的墙上看到他。

市场对于超前的技术是残酷的,别说你技术多么领先,只要你的产品不是客户需要的,那么你就要面临死亡的风险。对于这一点大家再感叹自怜也没有意见,但是很多情况下未必是客户等着你,我腹黑一点再举一个反面的例子。当科学家花了很长精力做了晶体管卖不出去,一群商人嘲笑他是个疯子,做的东西都不是阳间可用的。一旦到科学家把袖珍计算器做了出来,这些商人对鲜血的敏锐度都体现的淋漓尽致,他们对于做CPU没有丝毫的兴趣,但是对于把CPU和内存这些东西组装起来,做成产品卖给客户的意识确实无可挑剔。所以大家都愿意做机箱而不是做最高精尖的那一部分,因为毫无疑问电脑是能赚钱的。这个还算很好的双赢的结果,某一天商人突然发现,客户反正不会开机箱去看,他们的业务要求也就是看看文档,用户也分辨不出来,所以似乎可以不用科学家的技术了。在他们看来解决的是有和无的问题,而不是好和坏的问题。于是各种抄袭,各种剽窃。技术、文档、界面甚至是代码级别的抄袭比比皆是,你说的参数他能吹的比你还好,反正客户无从分辨。更过份的是连抄袭技术都懒得做,直接用一个过时的技术换个包装,跟你一样的宣传口径,你可以想象一下,当你想买一辆跑车,但是商人们把车的外壳套在了一辆马身上,他们想魔术师那样,让大家把关注焦点放到了美轮美奂的外壳,还能特别自信的告诉你说,你看它跑得快不说,还不用烧油,满山遍野的野草就能让他跑起来……类似这种荒诞的故事此起彼伏,大家想的不是如何把核心技术做好,而是乘着这个热点多赚点钱,至于会不会导致劣币驱逐良币,会不会由于一堆垃圾技术导致大家丧失信心进而导致整个细分市场的毁掉,商人们并不在意,他们抽着烟,继续嘲笑的另一批愚蠢的科学家又在研究一堆人类用不上的技术。

所以说,技术创业九死一生,技术上的政策上的以及商业上的各种困难都可能让你快速陨落,你只有在掌握天时地利人和的情况下,才有可能成为位面之子那般刷挂的人生。死是正常的,创业成功是异常艰辛的。毫无疑问,目前网络安全市场在国际大格局发生剧烈变化的情况下,得到了非常大的发展。同时,国内的网络安全市场也正在发生从合规型市场到价值型市场的转变,以及从综合型集成型的安全公司到持续聚焦单点的创新型企业转变。这些给了大家无限遐想的空间,但是市场最终是不是你的,你能不能活下来拼的是综合实力,甚至拼的是运气。外部环境我们只能去呼吁,做最顶尖的技术才是我们自己能够控制的。我没想过做102年的公司,我就希望网络空间测绘技术能够支撑我们发展51年就好了。成事在人谋事在天,我们做好拧螺丝的工作,争取让自己别那么早就死亡。



原文来源:赵武的自留地

网络空间测绘的生与死:死亡篇

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: