关于今年HW的⼀些思考

1 写在最前

今年护网从流传出来的信息来看，变化很⼤。⽽从现在的局⾯来看，也是第⼀次还没开始就已经有瓜了。
似乎这预示着今年将会有个好收成。
算是把⾃⼰的思考放出来做个抛砖引玉，共同进步吧。

2 红队将更有优势

据传，今年的红队将拥有两个⽉的时间，并且不集中办公。
更⻓的时间周期，红队可以在信息搜集以及漏洞挖掘的场景能够照顾到更细致颗粒度。
往年由于时间的关系，⼤多数的场景并没有办法照顾到类似通过"越权获取个⼈信息"的漏洞，但是今年似乎有精⼒去给予关注。
⽽不集中办公，只需要将参与攻击的⼈员汇集到同⼀个办公区域，保持同⼀套⽹络。
这实际等同于并不限制攻击队⼈数了，将过往的"影⼦队"进了转正。
如果攻击队乐于投⼊的情况下，去河边抓⼏个打窝仙⼈，甚⾄能专⻔组建⼀个钓⻥空军战队.....
同样也代表着憨逼项⽬经理能从过往的半⼩时问⼀次进没进内⽹，可以提升到每隔5分钟问⼀次了~

3 等死的蓝队

14天与两个⽉所代表要投⼊的⼈⼒并不该是简单时间的倍数关系，⽽是在考虑⼈员健康的情况下，需要投⼊更多的⼈⼒。
可组织防守⼜不是⽃地主，挨个炸就翻倍.....
钱不是问题，可问题是防守⽅真他妈的没钱啊.....
再者，由于常态化的原因导致下线系统的策略没法⽤了，毕竟你有三年都没穿过这件⾐服，是不是该考虑扔掉它？
国内的很多互联⽹企业SRC，有着事实上的常态化经验，他们依旧会在运营了很⻓时间以后会被提交报告。
所以防守⽅还抱着过往"零失分"的思路去处理今年的护⽹，⼤概率得到的结果是投⼊与预期不匹配。

4 蓝队的应对

4.1 最具性价⽐的解决⽅案

此消彼⻓之下，实际上最佳的选择是躺平。正所谓：最是⼈间留不住,朱颜辞镜花辞树。
反正⼤概率会尴尬的情况下，放弃也许是最佳选择。
拿出少量的预算，买⼀些安全设备，布防好以后就完全可以不管了。
守的住就是你英明神武，守不住就把安全设备退货，尾款不付！
啥？你说要被打穿了被领导骂咋办？
你就这么跟你领导讲啊：你⼤街上正瞎溜达呢，突然出现⼀批⿊⾐⼤汉，给你绑了以后拉到⼀个⼩⿊屋，给你做了⼀套深度的体检，从⾎常规到各种拍CT，还不收你钱，你亏嘛？

4.2 稍微正常点的思路

⼜不想完全放弃，局⾯就变成了预算紧张，难度⼜增加的情况下，还得把事办了的场景。
所以需要把往年的逻辑做出调整，把关键的节点控制住，⽽主动的放弃⼀些内容。
例如在往年，⼈员的⼯作按照监测、研判、应急、溯源，按照能⼒的要求⼜分成了初中⾼的级别，每个⼈都领⼀份单独的⼯作内容，⼀切看起来都是井井有条。
似乎可以按照下⾯的⽅式进⾏⼈员储备，以控制质量与成本的平衡：
⼈员配置不再井井有条，⽽是简单粗暴的将⼈的评判标准变成⼀条:出事了能不能顶上去？
上不了的⼈，那就当个打更的，但在⼯作时只抓重点，类似于webshell的链接的警告、EDR新增⽂件的警告，⽽主动忽略掉那种WAF扫描的报警。
能顶上去的⼈，重质量⽽⾮数量，保证出事的时候能把对应的资源交付给他们，让他们能快速处理。
有没有⼀种这么折腾⼀顿还不如彻底放弃的感觉？

5 写在最后

其实现在的场景如果充满恶趣味的思考下，会发现充满了喜感:
对于⼀些甲⽅来说，往常动不动就来拜访的安全⼚商，在现有的状况下是否会帮忙把事扛过去就是个问号了。
肯定现在有⼀些甲⽅的状况如同⼀个破产的富⼆代，突然感叹妈的以前的兄弟呢？妈的战略合作伙伴呢？
突然明⽩⽼祖宗留下的"以财聚⼈,财去⼈散"是诚不欺我啊......
对于参与护⽹的同仁来讲，收益也再下降，甚⾄于出现了以初级的⾝份进⾏包⽉以后，扣除掉⼤城市的差旅成本以后，甚⾄不如找个包吃包住的保安性价⽐⾼。
其实不妨换个⻆度思考下，现在的样⼦或许在回归它该有的样⼦：
红队与蓝队，进⾏⼀场互相尊重的对抗。

所以，最后还有两句话：
第⼀、某些⽹站的VIP能不能别那么贵，降点吧，挣这两逼⼦⼉真买不起......
第⼆、健康第⼀、保重⾝体。

原文始发于微信公众号（农夫安全团队）：关于今年HW的⼀些思考