漏洞众测--人类自动化的力量-阿里云开发者社区

开发者社区> 晚来风急> 正文

漏洞众测--人类自动化的力量

简介: 本文讲的是 漏洞众测--人类自动化的力量,自动化的全面应用是过去100年来全球技术进步的典型特征。
+关注继续查看

本文讲的是 漏洞众测--人类自动化的力量,自动化的全面应用是过去100年来全球技术进步的典型特征。我们生活中的各个方面几乎都可以找出某种方法来应用那些能够提高效率的技术,将人类自身从枯燥乏味的重复性劳动中解放出来,从事那些更高级别的工作。

安全领域也如此,比如漏洞评估,用代码推送来调度静态代码审查,部署工具对海量录入数据进行更快捷的检测和更有效率的反馈。然而问题及挑战在于,尽管人为产生的问题集合可在自动化的帮助下解决大半,却永远不能仅仅依靠自动化本身彻底解决。

生产一件产品或进行一项业务的过程,连同那些支持这项产品或业务的系统,基本上而言,是创造性的。生产过程背后的人,及人类创造性中的优势和弱点都深深的烙印在过程核心中(有趣的是,发现漏洞并构建和执行恶意攻击的过程也是创造性的)。

尽管我们可以将相同的创造性应用自动化上,使之更加完美。但最终,计算机只是按人类的指令行事,进行重复性、大规模的廉价劳动。我们现在用于发现业务漏洞的自动化过程和工具已经达到了一定的程度,剩下的工作则需要人的介入。

无法避免的是,自动化会形成“安全盲点”,而后者同样也是恶意攻击者关注并为之努力攻克的地方。

摩根大通与塔吉特信息泄露事件就是当自动化偏离轨道时会呈现的样子。两起事件中,攻击者所用的最初入口点——一个临时web服务器和面向外部的空调供暖系统(HVAC)控制入口,都是应该被认定为有风险并进行修复的。然而,两起事件中,这些系统最终都沦为了自动化盲点的牺牲品。

心脏滴血和Shellshock漏洞在源代码中已存在多年,期间历经无数次代码审计,却依然存活,直至最终被人发现并利用。

自动化过程和自动化工具能帮我们做很多事。如果考虑“二八法则”,自动化绝对是将我们带到80%价值那端的原因。但不管自动化带来的价值是80%还是更多,最终总会遇到“收益递减规律”接管的拐点(见图中1号),我们在增加或改进自动化上的投入产出便开始逐渐减少,直至趋于水平。

image

每个软件,每套系统,每个平台都会有安全漏洞。那么,我们能对那20%作些什么呢?我们该怎样解决这些“安全盲点”(见图中2号)呢?

正如企业可以享受自动化带来的效率提升,攻击者也同样可利用相同的自动化技术提高攻击效率。毕竟,没人想把时间和金钱花在突破已经修补好的漏洞上。攻击者认为你可能没注意到的地方,就是他们努力的方向。他们不会停止自动化的脚步,他们甚至会在人力资源上下功夫,以推动攻击水平向更高等级发展。在攻击方看来,有很多人身怀各种各样的技能,被各种不同的动机驱动(不仅仅是钱),还有一套基于追求结果的激励模式。

但这并不是说,在我们的自动化套件之上还需要外聘1000个白帽子来帮你排查各种系统。对大多数公司而言,这是很不实际的。当你招募或外包工作给安全专家时,他们应该为防御和培训服务,并将评估结果的剩余价值驱动起来供下至工程团队上至管理层所用,发挥他们的持续性影响。这些专家将会帮助弥补差距缩小空白(见图中3号)。

剩下的空白(见图中4号)是那些真正糟糕的东西所在,那些黑客能找到而高薪聘请的专家发现不了的东西。

这里,就是众测需要隆重出场的地方。在这个领域,人类本身也融入了自动化之中。通过利用绩效薪酬模式,以及通过众测凝结安全社区的集体创造力,可以将人力资本以一种低成本高效益的方式发挥出来,进一步缩短自动化能力和人类专家能力间的差距,达成想要的最高安全级别。

最后,我们需要注意的是:不要想当然地认为自动化就是万能的。这么想的话只能把自己陷入危险的安全盲区之中。相反,我们应该运用众人的智慧,让一组能体现人类效率的高水平安全测试员来缩小差距,那些潜在攻击者惦记的就是这一差距,他们不只追逐那些能被自动化工具和市场上售卖的商业工具轻易发现的漏洞。而且,即使他们使用这些工具,也一定不会是跟你一样的方式。他们会关注那些你容易忽略掉的地方,他们也想快速有效地突破防御。

原文发布时间为:五月 21, 2015
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/7754.html

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
4068 0
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
582 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
5730 0
阿里云服务器远程登录用户名和密码的查询方法
阿里云服务器远程连接登录用户名和密码在哪查看?阿里云服务器默认密码是什么?云服务器系统不同默认用户名不同
444 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
10768 0
heartbleeder 自动检测 OpenSSL 心脏出血漏洞 (附修复指南)
heartbleeder 可以探测你的服务器是否存在 OpenSSL CVE-2014-0160 漏洞 (心脏出血漏洞)。
39 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
3227 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
16829 0
威胁快报|首爆,新披露Jenkins RCE漏洞成ImposterMiner挖矿木马新“跳板”
简介 阿里云安全于近日捕获到一起使用Jenkins RCE漏洞进行攻击的挖矿事件。除挖矿外,攻击者还曾植入具有C&C功能的tsunami木马,也预留了反弹shell的功能,给用户带来极大安全隐患。 由于攻击者直接复制了Jenkins系列漏洞发现者(Orange.tw)在博客上公布的poc,攻击payload含有"Orange.tw"字样,可能被误认为是漏洞发现者在进行测试,因此我们将木马命名为ImposterMiner(冒充者)。
8641 0
+关注
9380
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载