绿盟科技 CTO 赵粮：我在 BlackHat 现场，看到了这些干货

下述文章作者：绿盟科技 CTO 赵粮。

一、安全实践中的攻防博弈

兵者，诡道也！但，如何“诡”呢？道又在哪里？ 攻防双方是理性的，还是非理性的？是零和的，副和的、还是可以共赢的？美女讲者Kelly分享了她在博弈论在安全实践中应用的研究。

尝试引入博弈论到网络安全理论和实践中已有多年的努力，但应该说并不成功。Kelly认为博弈论著名的纳什均衡基于先验推理，假定了博弈多方是理性独立决策人，相互了解，但这些假设在网络安全实践中并不成立。 Kelly总结网络安全具有以下特点：永无停歇、非零和、博弈方之间信息不完备、不完美、非对称，并且博弈方之间行动有顺序和动态的特点。 考虑到上述特点，尝试用对方的视角审视自身的态势、预测对方的行动计划从而决策自己的行动计划是正确而理性的做法。

对于守方来说，思考攻击者会优先从那里绕过防守、对此针对性动作是什么、实施攻击的成本有多高、实施攻击的概率有多高…. 一般来说，可以假设攻方总是会选取成本最低的攻击路径。重复递归上述动作，可以做出攻击路径图示例如下。

把图像再扩大到整个企业组织，守方的作业可以归纳为：

1. 攻方最想获得的资产是什么？ Which of your assets do attackers want?

2. 攻方够到哪些资产的最容易的路径有哪些？What’s the easiest way attackers get to those assets?

3. 在那些路径上有哪些防护措施？What countermeasures are on that path?

4. 有了这些防护措施，攻方有什么新路径？What new path will the attacker take given #3?

5. 重复上述1-4步直到穷尽已知攻方手段 Repeat 1 – 4 until it’s “0day all the way down”

6. 给各个路径设定概率 Assign rough probabilities

在上述分析的基础上，Kelly 推荐用户要求渗透测试服务提供攻击树分析、所选取的攻击路径以及选取相应路径的原因。 

利用攻守双方的信息不对称，破坏攻方的信息侦查企图，从而提高攻方的成本、延缓攻方的攻击行动、直至阻止攻击等。在此战略下，各种伪造的环境变量、账号、Banner、Token、返回邮件等等都可以用来“欺骗”攻方，并且为守方提供检测攻方行动的手段。

这是一个精彩的报告。

但需要指出的是，各种“欺骗”手段对于守方来说并不是免费的，而是可能非常昂贵的。IT应用系统和安全系统的复杂性的增加需要更强大的软件定义、服务编排、脚本能力、数据分析能力等保驾护航，否则有可能造成“小孩子耍大刀”的效果，反而降低了安全防护效果。

笔者曾在2014年的一个分享中借用了三体中的猜疑链假设，指出针对广谱的攻击，通过降低攻击的自动化程度有可能避免自己成为低垂的水果。而针对定向的攻击，各种“欺骗”手段可以用来提高攻防的“猜疑度“，增加自身的“独特性“，也即达到了延缓和阻止攻击的目的。 

二、扣篮诚可贵，盖帽价更高

另一个令人印象深刻的是 Facebook 首席安全官 Alex 的演讲。

在过去的几年时间里，APT 高级持续威胁和零日攻击、高精尖的各种 PWN 破解大赛占据了很多媒体的头版，眼球和掌声被新漏洞挖掘、未知威胁发现等不客气的统统收编。但是另一方面，各种数据表明，企业和组织中的绝大部分安全事件来自于账号口令补丁等传统项目，数以亿计的恶意软件背后的利用却集中在每年十几个顶多几十个已知漏洞上面。刚刚出炉的绿盟科技安全观察报告也以真实的监测数据印证了这个事实。这不能不给业者带来深深的思考。 

Alex 开篇即以下面这个金字塔图强烈呼吁行业更加重视“基本功”，把焦点从 0-day 和定向攻击扩展到金字塔的中部和底部，呼吁安全团队，包括安全提供商的团队，承担起更为广泛的安全责任，关注并解决各种最为基本的滥用、误用，以更为有效、高效的技术手段为用户创造真正安全易用的应用和互联网环境，而不是指责或抱怨用户缺少安全意识，不遵守安全规则，不会保护自己等等。 

在攻守之间，Alex 认为，攻方更为技术导向，只要技术上“一击而中”就高奏凯歌，而守方则需要考虑宽广的防护正面、平衡技术、资金、人力资源以及各种政治和冲突等。演讲中，Alex提醒安全研究者不要因为发现了开发者的漏洞而轻视、蔑视开发者，洋洋自得，真正的安全研究者应该是发现问题并且帮助开发者解决问题，使应用更安全。Alex 提到多样性的团队、多样性的思考、多样性的背景等会帮助守方更为全面的思考、规划、设计、建设防护体系，有助于提高用户体验和真实的安全水平。

Alex 呼吁业界更加重视守方的研究和提高，号召社区和商业组织加强协作。为此，Facebook参与设立了互联网防御奖金（Internet Defense Prize），奖励为互联网和共享软件等的安全防护提升作出贡献的研究者。

让互联网更安全是我们每个安全业者的使命，如何以更为有效、高效的方式来解决这些看似传统、基本、重复甚至乏味的“功课”、让安全变得更易用、消除天天发生在用户身边的威胁，和高精尖的破解同样“激动人心”，充满挑战，充满机遇。