相信有些对网络安全这个行业感兴趣的小伙伴会存在一个问题:为什么一个系统的维护需要那么多安全工程师,有些网络安全工程师甚至是顶级的,而要攻破这个系统往往一个黑客就够了?是网络安全工程师水平不够吗?
著名作家温瑞安小说里有个名句——一个人若要暗杀另一个人,只要他够耐心,够狠够绝够时机,武功再高的人也防范不着
我们首先用一个形象的方式来理解一下网络攻防的过程。
搭建一个系统就像是盖房子
黑的过程,就类似你偷偷进一个房子
用别人的工具破门进小破房子的叫小偷 (脚本小子)
自己做的工具破门进大房子的叫贼 (黑客)
进高楼大厦的叫特工(大牛、大黑客)
进去还扔炸弹的叫恐怖分子(黑帽子,中文也有叫骇客的)
这么说下来,其实盖个没法偷的房子不难啊,
找任何建筑工人都能完成,盖个水泥房直接往里灌满水泥
(做一个完全不能写入的固件)
密不透风,只要你不硬凿就进不去
例如金融和政府的信息安全主要不是依靠强壮的设计,而是依靠网络隔离。
这类独立于互联网之外的网络有很多。
在没有物理连接的情况下,黑客想要探查网络内部结构的信息传递就非常困难。
但是房子得有用啊,
住家的得有门有窗,(有对外端口,操作系统)
园区里楼得在一起啊,(同网段)
大厦还得有顶有电梯,(各种应用开放端口,数据库、web系统等)
还得放人进去,放各种住户、业务相关、检查相关的人士进去,(各种远程权限和后台、社工)
这里面可操作空间就越来越大,
施工团队比灌泥墩子的水平高多了吧,但是是不是防贼难度变小了呢?恰相反
现实里防贼越来越容易,调个监控就完事,
网络上追查比较麻烦,首先得找到能查的记录,然后顺藤摸瓜没准还几层代理跑到国外机房去了。
当然,真要很严密的防御,比如盖成五角大楼那样,再配合严密的监控和保安,
其实也很难干进去,网络系统也一样。
我们再来分析一下这些保护系统的网安工程师的结构
绝大多数的系统,哪怕是和你兜里的钱,用的电、烧的煤气,看病的HIS,还有一大堆“关键基础设施”,相关的系统,维护的工程师都是普通的工程师,这些工程师从性质上分三类:
1、企业自建的安全部门。“关键基础设施”大多数都是国企,国企招聘,一个学历门槛是必须的,博士遍地走、硕士多如狗。。。基层的安全专责都是211、985,他们就算是水平很高,但绝大多数都是在做PM的角色
2、外包服务团队。国企自己的安全团队当工头,那具体做事的就外包啦,外包团队一般都是规模比较大的安全服务商或集成商,投标的时候人才济济,证书漫天飞,但实际驻场的时候就不好说了,总要赚钱恰饭啦,成本是首先要考虑的,一个正式员工带几个实习生那是常有的事情
3、原厂服务团队。很多合同中是要求原厂直接提供维护服务的,但参考第2条,原厂的服务也就那么回事
真正的顶级网安工程师就真的少得可怜了。为什么呢?对于企业来说,被黑只是概率性事件,但是顶级工程师的费用可是不低的,犯不犯得着花大价钱去防止一个概率性事件的发生呢?这就是网络安全还没被企业普遍重视的原因。尽管一旦被攻击,损失都是巨大的。
再谈谈为什么系统黑客为什么能黑进系统
1、系统是为业务服务的,也就是说,你的系统总要和使用者进行交互,使用者能访问,那么攻击者也能访问,即存在边界
2、系统是由人通过代码编写实现的,只要是人编写的代码,就肯定存在BUG,有BUG,就能被攻击者利用,即存在暴露面
3、对系统的防御目前只能做到被动防御,就是在边界部署一堆安全产品(城墙),在内部多挖几条壕沟(安全分区),但安全产品都是基于特征和签名做检测,攻击者总能找到绕过的方法,即滞后性
4、安全攻防,从防守的角度来说是全面防御,而攻击的角度来看只要找到一个薄弱环节,即不对称性
5、一般公司是安全工程师参与研发,运维是配合着工作,安全工程师对系统的风险进行评估,发现了通知研发运维整改,而配合的过程由于或多或少的人为原因,都会出现信息差/落地差,比如资产、使用的软件清单、版本都或多或少的不一致,基线执行的不彻底,这就导致了会有一定的风险没有被发现。这可能会给黑客机会。
6、所有的安全漏洞修复是要一定周期的,理论上一发现漏洞就应该及时修复,但实际上由于人力、资产规模、难度等问题,都会出现真空地带(微软有的漏洞修复周期需要3个月甚至6个月的都有),这也可能导致黑客成功利用入侵。
7、系统的安全很多时候,不单单是系统本身,跟人的关系也很大,只要跟人有关系,那么就存在弱点,被社工成功案例很多,更不用说内外勾结的了。
综合以上,我们就能得到原因了。当然腾讯代理吃鸡游戏的时候,游戏外挂满天飞。腾讯是怎么处理的?雇佣顶级的网络安全工程师吗?人家直接报警就完了。