1 写在最前
今年护网从流传出来的信息来看,变化很⼤。⽽从现在的局⾯来看,也是第⼀次还没开始就已经有瓜了。
似乎这预示着今年将会有个好收成。
算是把⾃⼰的思考放出来做个抛砖引玉,共同进步吧。
2 红队将更有优势
据传,今年的红队将拥有两个⽉的时间,并且不集中办公。
更⻓的时间周期,红队可以在信息搜集以及漏洞挖掘的场景能够照顾到更细致颗粒度。
往年由于时间的关系,⼤多数的场景并没有办法照顾到类似通过"越权获取个⼈信息"的漏洞,但是今年似乎有精⼒去给予关注。
⽽不集中办公,只需要将参与攻击的⼈员汇集到同⼀个办公区域,保持同⼀套⽹络。
这实际等同于并不限制攻击队⼈数了,将过往的"影⼦队"进了转正。
如果攻击队乐于投⼊的情况下,去河边抓⼏个打窝仙⼈,甚⾄能专⻔组建⼀个钓⻥空军战队.....
同样也代表着憨逼项⽬经理能从过往的半⼩时问⼀次进没进内⽹,可以提升到每隔5分钟问⼀次了~
3 等死的蓝队
14天与两个⽉所代表要投⼊的⼈⼒并不该是简单时间的倍数关系,⽽是在考虑⼈员健康的情况下,需要投⼊更多的⼈⼒。
可组织防守⼜不是⽃地主,挨个炸就翻倍.....
钱不是问题,可问题是防守⽅真他妈的没钱啊.....
再者,由于常态化的原因导致下线系统的策略没法⽤了,毕竟你有三年都没穿过这件⾐服,是不是该考虑扔掉它?
国内的很多互联⽹企业SRC,有着事实上的常态化经验,他们依旧会在运营了很⻓时间以后会被提交报告。
所以防守⽅还抱着过往"零失分"的思路去处理今年的护⽹,⼤概率得到的结果是投⼊与预期不匹配。
4 蓝队的应对
4.1 最具性价⽐的解决⽅案
此消彼⻓之下,实际上最佳的选择是躺平。正所谓:最是⼈间留不住,朱颜辞镜花辞树。
反正⼤概率会尴尬的情况下,放弃也许是最佳选择。
拿出少量的预算,买⼀些安全设备,布防好以后就完全可以不管了。
守的住就是你英明神武,守不住就把安全设备退货,尾款不付!
啥?你说要被打穿了被领导骂咋办?
你就这么跟你领导讲啊:你⼤街上正瞎溜达呢,突然出现⼀批⿊⾐⼤汉,给你绑了以后拉到⼀个⼩⿊屋,给你做了⼀套深度的体检,从⾎常规到各种拍CT,还不收你钱,你亏嘛?
4.2 稍微正常点的思路
⼜不想完全放弃,局⾯就变成了预算紧张,难度⼜增加的情况下,还得把事办了的场景。
所以需要把往年的逻辑做出调整,把关键的节点控制住,⽽主动的放弃⼀些内容。
例如在往年,⼈员的⼯作按照监测、研判、应急、溯源,按照能⼒的要求⼜分成了初中⾼的级别,每个⼈都领⼀份单独的⼯作内容,⼀切看起来都是井井有条。
似乎可以按照下⾯的⽅式进⾏⼈员储备,以控制质量与成本的平衡:
⼈员配置不再井井有条,⽽是简单粗暴的将⼈的评判标准变成⼀条:出事了能不能顶上去?
上不了的⼈,那就当个打更的,但在⼯作时只抓重点,类似于webshell的链接的警告、EDR新增⽂件的警告,⽽主动忽略掉那种WAF扫描的报警。
能顶上去的⼈,重质量⽽⾮数量,保证出事的时候能把对应的资源交付给他们,让他们能快速处理。
有没有⼀种这么折腾⼀顿还不如彻底放弃的感觉?
5 写在最后
其实现在的场景如果充满恶趣味的思考下,会发现充满了喜感:
对于⼀些甲⽅来说,往常动不动就来拜访的安全⼚商,在现有的状况下是否会帮忙把事扛过去就是个问号了。
肯定现在有⼀些甲⽅的状况如同⼀个破产的富⼆代,突然感叹妈的以前的兄弟呢?妈的战略合作伙伴呢?
突然明⽩⽼祖宗留下的"以财聚⼈,财去⼈散"是诚不欺我啊......
对于参与护⽹的同仁来讲,收益也再下降,甚⾄于出现了以初级的⾝份进⾏包⽉以后,扣除掉⼤城市的差旅成本以后,甚⾄不如找个包吃包住的保安性价⽐⾼。
其实不妨换个⻆度思考下,现在的样⼦或许在回归它该有的样⼦:
红队与蓝队,进⾏⼀场互相尊重的对抗。
所以,最后还有两句话:
第⼀、某些⽹站的VIP能不能别那么贵,降点吧,挣这两逼⼦⼉真买不起......
第⼆、健康第⼀、保重⾝体。