大家都是受过九年义务教育的人,不是我吹,我比你们厉害一点,我读了十年。
今天跟大家聊一个硬核的话题:如何搞垮一个甲方攻防队伍。
没有搞不垮的队伍,只有不努力的人,相信我,只要你努力,再结合点方法论,搞垮一个攻防队伍根本不是难事。
如果你所在的甲方攻防业务刚起步,这一点就特别重要,新业务的资源投入往往是不够的,想要受到重视,一份高大上的工作规划就十分有必要。
追APT,挖0day,搞行业合作,提升品牌影响力,打造专属IP……
记住了,千万别接地气,飘得越高越好,这才能体现我们的高瞻远瞩。
把饼画的大点,大到你自己都吃不下,这就是一次成功的规划。
这不叫吹,这叫格局。
万事开头难,先搞一套飞上天的规划,这样就为搞垮一个攻防队伍开了一个好头。
/******
不怕规划做的小,就怕规划假大空。
0x02 钻研技术,拓展深度和广度
攻防队伍研究技术,没毛病吧。
传统的web安全技术已经不能满足我们的B格了,从技术研究深度上,搞一搞中间件漏洞,研究研究开发框架的缺陷,挖一挖系统内核漏洞,搞点核武器级别的大杀器,这才是攻防队伍该做的事情。
木桶原理大家都知道,任何一个短板都会制约我们的发展,所以除了技术深度外,广度也很重要,web安全、移动安全、云安全、IoT安全、虚拟化安全……
反正都得会,哪个不会就学哪个。
总之,每个领域都会,每个领域都专精,这才像攻防队伍。
/******
在选择研究领域时,可以利用甲方平台的优势,了解最新的防护技术、安全产品和解决方案,相对应的测试技术也要有更新,这些其实都是很好的研究方向,切忌漫无目的的选择。
0x03 管他什么测试,干就完了
经常有兄弟提问,在甲方平时防护的工作更重要,感觉攻防没什么可做的事,也不知道该做些什么。
事实并不是这样的,攻能做的事挺多的,测测系统的漏洞、挖挖wifi的安全性、验证网络策略的合理性、绕一绕人脸识别、搞一搞门禁系统、试一试社会工程……
如果想玩大的,还可以黑一下大屏、给老板发钓鱼邮件,搞出点动静来,也能用实际效果来证明攻击工作的重要性。
所以根本不怕没事可干,甚至搞完一轮还可以再搞一轮。
/******
另外,对于玩大了的兄弟,只能提醒一下不是所有公司都认同这种做法的,搞之前请先评估好后果。
0x04 管他什么漏洞,提就完了
这年头,各个企业的SDL、DevSecOps体系都已平稳运转,系统在上线前就已经修了多轮漏洞,上线后想挖个漏洞太难了,不过这也难不倒聪明的攻防人员,提不出高质量的漏洞,小瑕疵还是能找到的。
登录处不设置错误次数限制,就是暴力破解漏洞,哪怕加了验证码也可以人工输入;登录处设置了错误次数限制,就可以导致账号锁定,批量冻结人员账号;80/443/8443/8080,以上端口均为易受攻击端口,可能存在被攻击风险,需要更改或关闭……
业务的正常功能也可以当漏洞提,也是个和项目组PK的好机会,还能多刷刷脸,一箭双雕。
总之,提就完了。
/******
鉴于此,攻防队伍的绩效趋势一定是逐渐下行的,提交低质量漏洞并不是解决绩效下行的方法,想要解决这个问题可以考虑调整指标体系,评判攻防队伍成熟度的方式不是只有漏洞一个指标,结合自身的需要制定多维度的评价体系,代替只看漏洞数的评价方式。
0x05 风险具象,不然漏洞得不到重视
安全漏洞不被重视应该是很多甲方的痛点,那么大家有没有思考过原因呢,发现的漏洞为什么不受重视?
答案很简单,就是痛点还不够痛嘛,所以解决这个问题的方法就是让相关的人员痛起来,把漏洞的风险利用到极致,通过漏洞整出点动静来,这样研发和业务就会觉得痛了。
发现个SQL注入漏洞,只输入引号报错体现不出这个漏洞的危害性,不如直接改生产数据,把自己的余额改了,把别人的密码改了,这样研发就会意识到漏洞的严重性,修起漏洞来也带劲。如果这样都不重视,那就直接把研发负责人的数据改了,看他修不修;
发现个XSS漏洞,只是弹个窗也太没意思了,不如写个js脚本把官网搞挂,这样再也不会有人说XSS影响不大了……
这年头,漏洞已经越来越难挖了,好不容易挖到个漏洞,得把影响搞大了,不然我装逼给谁看呢。
攻防人员最擅长搞各种骚操作,这里仅抛砖引玉,相信大家都能做的很好,这样搞就没有人不重视漏洞了。
/******
技术人员都有着一颗把事情做到极致的心,不过做事的同时还要时刻保持对风险的敬畏,别让我们的进取心弄巧成拙。
0x06 拿着漏洞当令箭
俗话说一朝被蛇咬,十年我就学会了剥蛇皮吃蛇肉。经过了历练我也学会吊打兄弟组,折磨业务方。
只要能挖到漏洞,我们就有机会,赶紧刷刷存在感,证明攻防牛逼,别人不行。
这么简单的漏洞,系统上线前安全开发怎么做的?漏洞都利用成功了,安全运营怎么没阻断?业务怎么考虑的,能提出这样的需求?产品经理什么情况,需求怎么会这样实现?研发怎么回事,请你们来就是写漏洞来的吗?都过去五分钟了,漏洞怎么还没修完,好好反思一下是人的问题还是流程的问题……
只要你手里有漏洞,挑毛病还不好挑吗,直接一套PUA操作,说到别人怀疑人生。
用好了这招,保你跟其他团队和部门建立对立关系,屡试不爽。通过这种方式给攻防涨涨面子,看以后谁还不重视攻防工作。
/******
如果到处都是敌人,那后面的工作会更难做。
0x07 向优秀队伍学习
还有些兄弟会问,攻防只挖漏洞是不够的,关于队伍建设有什么好的思路吗?
解决方法也很简单,照搬别人的做法就好了。
做事情不能闭门造车,应该多出去看一看,参加一些峰会和交流,了解一下别人都是怎么做的,特别是一些优秀的队伍,人家优秀肯定有值得学习的地方,人家怎么做咱们也跟着怎么做,一定错不了,这也是攻防队伍建设最简单直接的做法。
/******
组织架构的不同、发展阶段的不同,也就意味着不同的策略和打法,不经过消化的照搬照抄,一定会水土不服。
0x08 结语
马云说过:“今天的最好表现,是明天的最低要求。”虽然我也不知道引用这句话想证明什么,但总觉得在文章的最后引用大佬的名言,好像能提高逼格。
只要做到了以上几点,搞垮一个攻防队伍那是分分钟的事,如果有兄弟手握着更多秘技,欢迎扫描下方二维码,分享你的搞垮经验。
END
原文始发于微信公众号(十九线菜鸟学安全):【蓝军建设】如何搞垮一个甲方攻防队伍