决定一场战争结果的因素有两个主要方面:人和装备。人比较好理解,要培养一批上了战场能杀敌的将士,他们各个身怀绝技,掌握了各种一招制敌的必杀技。在冷兵器时代人的因素占很大一部分比例,所以才成就了关二爷过五关斩六将的历史传奇,温酒斩华雄靠的就是人--一个豪气云天的勇士。但如果你是今天的士兵穿越过去的,不用身高八尺,一米五就行,允许你带一把枪,故事就会不一样了。对方大刀还没举起来,“砰”的一声对方倒地。装备的价值就在于能够极大的提升效率,把重复性的效率低的容易出错的动作简化提速,进而直击要害克敌制胜。
当然,托尔斯泰老爷子一定不这么看,他在《战争与和平》中,用了大量的评论性的文字在强调影响战争结果的因素不仅仅是人和装备,更重要的是人的意志。我最初也深以为然,后来我发现这个理论有一定的局限性,他说的应该是在装备相差不太远以及大量依赖面对面对抗的情况下,这种说法是合理的,其他场景不一定适用。我们看看几百年前英国人针对美洲土著人的屠杀,印第安人的意志是强大的(生死攸关还不强大更待何时?),也诞生了很多英雄人物。但是怎么形容呢,英雄归英雄,死还是要死的。他们朝“文明人”扔长矛,“文明人”冲他们丢了一颗火炮。在绝对的硬实力面前,意志只是一种自我安慰的精神稻草,让自己死的不那么痛苦罢了。
在网络的世界,意志就更加不重要了,这里没有硝烟,没有妻离子散,没有鲜血淋漓,没有痛过之后的自我保护动作,所以在网络世界里的攻防带有极大的隐匿性(这跟银行让你刷信用卡何其相似,通过减少你掏纸币的紧张感来麻痹你,从而刺激消费),在这里硬实力更加代表了一切。网络世界没有边界,没有温度,但是攻击者们却又能穿透这片黑暗的区域干扰到人类有温度的文明,比如断个网停个电交通停运什么的。意志是什么?意志是愿意花两个小时把手磨破皮来钻木取火的牺牲精神;工具是什么?工具就是给你一个打火机让你别这么麻烦的装备。
网络安全产品就是工具,从来都是而且只是“装备”,这个定位大家也要正确的认知。装备的使命就是为了更大地提升效率,不是为了代替人,而且装备的生产商的能力未必就比使用者强,甚至可以说大部分情况下,生产商的能力会比使用者要弱。但是这个错觉好像一直存在,我很是思考了一番,总结了一个很不愿意承认的事实:如果工具类产品在生产商使用的比用户更溜,导致用户极大地依赖生产商的驻场支持,那好像只能说明工具带来的效率提升不够明显,以及不够普适性。生产商说你们战争输了都是因为你们“不会用”我的产品导致的,放着我来,于是生产商自己拿着装备上前线了,且不说这批没有经过专业生死训练的乌合之众能否生存下来的问题,我们就假设最后赢了,所以呢?所以生产商只能自己组团上战场?你提供的到底是人的服务,还是提供能够提升效率的工具?目前大量的服务打着产品的名义在卖人头,这也恰恰说明了工具还不够好,你见过打火机厂商还需要派人上门服务的吗?
人类生产工具的过程,就是一个不断找到方向提出目标,以及自我提升效率的过程,这就是科技发展的根本。一个最好的例子是早期科学家用占地很大的电路去实现最简单的与或门,实现简单加法器成本高速度慢;随着科技的不断进步,科学家们能够把数亿的晶体管浓缩到指甲大小的芯片中去,而且计算速度已经是以前的指数级增长。而理论上计算机能够实现的部分,在假设人类无限提供的情况下手动都能够实现。既然网络安全产品是工具,工具的价值在于提升人类操作的效率,那么我们可以得出一个很显而易见的结论:网络安全产品就是为了提升一个或者多个在网络安全领域某个特定场景(任务)的人为操作的效率。
所以,一个安全厂商需要回答的很重要的问题是:你的工具到底提升了什么场景的效率?这是一个来自灵魂的拷问。漏洞扫描器解决的是针对特定IP的漏洞库遍历,技术人员手动当然可以做,也可以做成一系列的脚本每次调用,当然最好的模式就是全部生成模块化的规则,用引擎自动化调用,这样人类就能省下很多小时。如果一个场景是不可或缺的而且是大量的重复性动作,那么带有一定自动化属性的工具出现就是必然的。防火墙同样如此,日志是分析黑客行为的有效方法,但是日志多且分析的工作重复,所以有经验的安全专家总结出规律,落地成自动化的分析判断规则,以便省下大量的专家投入。就是这样。
那么,网络空间测绘技术提升了哪项特定场景的效率?什么场景是固化且存在大量的重复劳动,需要用到网络空间测绘技术来解决?回答这个问题之前,我们要稍微理解一下,攻击者与防守方的文化差异。黑客是极客的一种子类,他们没有特别的行为约束,除了技术成长,他们不需要对谁负责,所以我经常拿武术来举例,如果让黑客来选择一种擂台打比赛,我认为他们一定会选择MMA这种综合格斗,几乎没有任何约束,可以站立也可以地面缠斗,可以脚踢也可以肘击。防守方不一样,稳定至上,有来自领导的压力,有来自财物的压力,更有来自法律的压力,测试要报备,只能测试某些点,很多点不能测试,很多方法不允许用。所以如果让防守方来选择,我认为大家会选择“武术套路比赛”,打个流程评个分就好了,先不管实不实用,你就说我帅不帅吧。
理解了这个文化的差异,你也就能理解春秋战国时期为什么秦楚会被称为蛮夷。在春秋时期大家追求是道义(这个道义跟春秋无义战是两个概念),就是按规矩办事。约战的时候齐整军队,先沟通好双方的诉求,然后派几个人上场,谁赢谁按规定得到想要的(土地美女朝贡)。那时候打战跟死人没多大关系,阵势要大,声音要洪亮,打仗约等于几人打架,刀还没砍下去,“行了行了兄弟我认输,差不多得了,手快断了快断了”。所以宋襄公我们现在看来近乎“迂腐”的自杀式行为,依然是在当时被尊为五霸之一,地位相当高。是因为他是一个“道义”的忠实拥护者,打战先得等人家排好阵势吧,得先喊两句对话吧,认输就不能再打了吧,他们怎么能不按套路出牌呢,野蛮人!这跟我们挨打后经常性地“强烈谴责”是一个意思,急的说话都说不利索了,“你…你…你…你臭不要脸”。这些行为在楚国和秦国看来特别可爱和可乐的,太好玩了,他们认为打仗是不会死人的,我们演示一下。于是进入了战国时期,动辄坑杀上万,上百个诸侯国短时间内合并成七个,最后蛮夷之国一统天下。
春秋进入战国是历史的必然,毛主席总结的就是“落后就要挨打”,“枪杆子里面出政权”,言简意赅。不要心存幻想,侥幸心理是会付出代价的。永远不要把枪交给别人尤其是敌人,不要测试他们的仁义道德,人心经不起测试。
网络攻防就是网络战争。发起攻击的人就是敌人,今天还是人类,明天可能就是机器。他们的特征就是:高智商,冷血,没有规则没有底线,心狠手辣。其实除了高智商,后面几条未必就是他们的特征,一些情况下他们可能只是在追求技术极致过程中,被人利用的棋子。两枚原子弹炸平了广岛和长崎,两个核心模块的发明者爱因斯坦和莱特都表达了对自己研究成果的用途的遗憾。我们看来毫无疑问二战是种自卫反击战,日本当然罪有应得,你这个比喻不太合适。没错,只是你想想,战争和攻防就是两个对立面,斯诺登我觉得是大英雄,他心中的天平驶向了对人类正义的那一边,如果他是生活在我们国家,不就是妥妥地叛国吗?如果老天有绝对的对人类正义的衡量尺度并且进行了裁决,我相信世界就没有战争了。中国五千年的文化在华夏子孙心里留下的声音是“害人之心不可有”,一种内敛含蓄的文明,决定了我们没有通过武力征服世界的野心,所以主动挑事者不可能是我们。剩下来所有理论的落脚点只有一个:如何让别人不能也不敢欺负到我们头上来,先自保再求解救世人。
网络战是霸权主义发起的新形式的战争,它是一种集中的正规的持续的大范围的不同主体之间的侧面交锋。区别于传统民间黑客攻击,这种对抗危害更大,因为连最根本的法律约束都不存在了,所以更加没有底线。零散式黑客从最初人畜无害的恶作剧开始,到逐渐分化分支以窃取经济利益为目的,再到进一步分化分支为职业聘用形成针对性网络破坏为目标的行为,也在逐步形成不同的文化和生态圈。所以黑客之间也不是大家想象地那么团结一心,也有鄙视链条。你可以简单的理解他们等同于基督教分支出了天主教和东正教主分支,天主教又分出了包含新教在内的很多子分支。黑客的文化在分支出现追求经济利益的时候就完全崩塌了,以后大家识别纯粹的追求自由的极致的黑客,可以简单地用一种方式:他是不是还是那么“穷”,还是那么不修边幅,还是一如既往的追求技术的卓越。
为什么出现渗透测试团队(pentester)?为什么出现红蓝军对抗的形式?Red Team在国外带有极强的神秘色彩,大家通常会给Red Team贴上技术最强者的标签。让我来总结的话,我会说:Red team是一个翻译者,他们在接受文明监督的场景下,尽一切可能去深度模拟那批最无底线的破坏型黑客的攻击手段,用于确认防守方没有明显的薄弱点。也不知道是黑客从良了呢,还是良民培养成了“黑客”。再形象一点,Blue team就是军队和保安,Red team就是特种部队。而我们常说的白帽黑客就是尝试用一个名称来区分后来的那些带有破坏性的分支,白帽黑客的团队一方面坚守最原始的技术追求,一方面也衍生出了贡献属性(最原始的黑客并不屑于做白帽黑客,他们可能热衷于带一个Red Team的队伍,或者依然孤独且潇洒地在网络世界中来去自如)。
既然我们不是霸权,翻看一下斯诺登曝光的内容就能发现,我们是网络攻击极大的受害者,那么我们可以得出一个结论,一旦我们遭受了攻击,不管是来自个人、企业亦或是组织,我们所做的网络行为就是网络自卫反击战。既然提到了自卫反击,那么我们也可以推导出来,我们要深刻了解黑客的行为,知道他们从哪开始攻击,对谁发起了攻击,以及什么样的手段成功完成了攻击。他们的知识体系是什么样的,以及他们用到高效工具是什么。在了解这些信息的情况下,我们就能对比我们的防护手段能否对此进行防护,做到“知己知彼”,“有的放矢”。所以抛开攻击讲防护的,我不能说完全没用,也有可能通过理论层面证明了零信任或者可信计算是毫无破绽的,但是有没有可能黑客能够证明你的理论落地执行有问题呢?比如你漏掉了10%的核心资产没有部署安全方案?再比如人为地泄漏了大量核心机密数据呢?以至于大门钥匙拱手让人,或者构造了马奇诺防线。练兵是有用的,演习也是有用的,咱们做了“最好的盾”,是不是可以适当地弯个腰广发英雄帖,邀请大家用他们最好的矛来戳一戳呢?
(未完待续)
——————
这一篇一不小心写成了理论篇,还是要稍微铺垫一下,不然写到后面就容易被人误解,容易出问题。下一篇保证是网络空间测绘的技术篇 ;)
声明:本文来自赵武的自留地,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
