第三届企业安全建设实践群峰会深圳分会随想

    最近疫情影响好久没有参加过线下会议了，正好聂君的企业安全建设实践群要召开一年一度的线下闭门会，就被他拉过去友情支持做深圳分会场的联合出品人，帮出品人郭威打打下手。本来我以为是个挂个名就收队的事，结果事情好多，还体验了一把聂君郭威等同志维护微信社群、筹办会议的不易。

【会议筹备阶段】

    聂君早早就拉了群在筹备会议，经过讨论今年的主题跟去年一样还是围绕大型攻防演练活动展开讨论，形式也差不多，议题加群友圆桌加攻防推演。个人觉得比较有新意的就是攻防推演，这是其他会议较为少见的形态。

    攻防推演的历史悠久，最早可以追溯到东汉的伏波将军马援。西北马姓同志们要怀着崇敬的心情阅读《后汉书 · 马援列传》：

八年，帝自西征嚣，至漆，诸将多以王师之重，不宜远入险阻，计冘豫未决。会召援，夜至，帝大喜，引入，具以群议质之。援因说隗嚣将帅有土崩之势，兵进有必破之状。又于帝前聚米为山谷，指画形势，开示众军所从道径往来，分析曲折，昭然可晓。帝曰：“虏在吾目中矣。”明旦，遂进军至第一，嚣众大溃。

    主题、形式定了，那就开始确定议题、嘉宾。嘉宾简单一点，群里吆喝一声等报名就好。另外就是一些平时老让我给他发学习资料的甲方安全朋友，我就啪一下把报名链接贴给他们。

    议题分成攻击和防护两个方向，出品人根据主题契合度去邀请相关大佬来讲。根据分工我需要确定两个攻方向议题、攻防推演的攻击队以及担任颁奖主持人。我的想法是一个议题由资深蓝军大佬来讲前沿一点的攻击，另一个议题找个新锐年轻人来讲具体技术点的攻击。前者是想让听众从全局视角理论联系实际来讨论前瞻一些的攻防领域，后者是让听众近距离接触攻击案例。

    那就开始找人。这时我才发现安全人员还是集中在北京上海，深圳还不好找，一圈找下来还真是头大。没办法了，call北京的支援。首先我就想到了企业蓝军联盟（COS）盟主、红蓝对抗专家avfisher，云原生安全攻防的议题嘉宾一定喜欢，先忽悠来再说。接下来又想到一个不错的新人yifan，这年轻人有想法有能力，也喊过来。

    然后是攻防推演的攻击队。这部分我是想找一些有丰富的一线渗透经验的人，好像我认识的大佬们都长期不从事一线工作退化了，想了半天也没个头绪，突然想起《寒战Ⅱ》里面梁家辉说的那句“所有人一定要直接跟过我”，灵光一闪，就扳着指头一个一个数既在深圳又懂一线攻防的以前的同事。

    想到的第一个人选就是安全圈老人、《互联网企业安全高级指南》联合作者xti9er，他最近也退休了赋闲在家，经验丰富、资历深、时间多，可以领衔搞；接下来是当年的潜力新人彦修，他有实际参与多届大型攻防演练的经验，当年在某大行驻场产生了不少经典故事，抓过来再说；还有深耕移动安全攻防的creasy，安排；然后是两位不愿意透露姓名的人士甲乙；还有一个知乎大V职业欠钱也可以拉来领衔，但被郭威抢先拉去做评委了，被动。

    真是不容易。接下来聂君、郭威等同志也把其他议题、嘉宾、圆桌、赞助商、场地、会议议程等事项搞定了。

    说到生成邀请函图片的时候我想起去年帮上一届筹办群会议的周琦写过一个Python脚本（没办法，我不会PhotoShop啊），于是也发给李蕾试试，刚跟她说要调一下参数，她已经搞定了，厉害啊。

    代码自取，生成的图片格式、字体、颜色、大小、起始位置都在代码里自己调，可以搞成在线的更方便一些。

`# -*- coding:utf-8 -*-``from PIL import Image, ImageDraw, ImageFont #pip3 install Pillow``import glob``import sys``def CreateIMG(img_source, rname):`  `name = rname`  `setFont = ImageFont.truetype('C:/windows/fonts/方正粗黑宋简体.ttf', 120)`  `fillColor = "#ffffff"`  `image = Image.open(img_source)`  `draw = ImageDraw.Draw(image)`  `width, height = image.size`  `draw.text((920,1900),name,font=setFont,fill=fillColor)`  `image.save(name+'.png','png')`  `print('[+] done! 生成图片 '+name+'.png 成功！')``   ``if len(sys.argv)!=3:`  `print('txt2img.py <模板图片名> <邀请者ID文件>')``else:`  `for line in open(sys.argv[2], "r", encoding='utf-8'):`    `CreateIMG(sys.argv[1], line.strip('\n'))`

    本以为一切妥当，结果又添变数。avfisher因为疫情被居家了，只好远程接入。yifan有事来不了了，好在他又推荐了一个小哥来代替。聂君又推荐了Sven加入攻击队，这小哥跟彦修一样是SRC常客，也参加了去年的群会议攻防推演攻击队，安排。

【会议进行时】

    11月19日，第三届企业安全建设实践群峰会深圳分会在科兴科学园如期开展。

    如议程所示，上午聚焦攻击，依次讲了大型攻防演练的趋势及红队技战术发展、云原生安全攻防、供应链安全攻防，然后是群友参与的圆桌；下午集中在防守，依次是IP封禁、敏捷开发安全（DevSecOps）、安全有效性验证（BAS），然后是沙盘推演以及群奖项颁发。

    由于历次群会议都是主打会上积极交流会后不作记录，故此处仅记录一下个人对几个主题的个人看法。

    云原生安全是一个新的话题，随着上云热潮，也带来了新的安全挑战。怎么应对？Know it then hack it，云上红蓝对抗安排起来。大型企业肯定会部署多云，多云的安全管理产品似乎也是一个新方向。

    供应链安全也是热点，但是当前大部分的供应链安全解决方案似乎都集中在软件供应链层面，主要还是集成SCA、代码扫描、RASP之类的，比如谷歌的Software Delivery Shield，感觉就是一套DevSecOps组件。但供应链的范围不止于此，企业所使用的所有第三方软件、硬件（包括IoT设备）、SaaS服务都是供应链，都应该纳入到供应链安全管理。

    IP封禁是目前应对演练的一个行之有效的手段，但是安全到了一定阶段必然产生对抗，IP封禁的技术方案就那几种，红队可以从攻击的角度研究下绕过方案，之前我写过相关文章分享，不赘述。

    DevSecOps现在大家都在搞，没有太多想说的。

    安全体系建设到了一定阶段就必然产生有效性验证的需求，所以BAS是一个比较重要的产品。BAS覆盖的安全系统要全，得精通各个细分安全领域的攻防对抗场景（如前面说的绕过IP封禁就是一个细分场景），它的核心是各个子领域的测试用例以及如何把整个流程串联起来提升整体的安全运营质量。

    对于大型攻防演练赛事，我的看法是全靠同行衬托。因为演练时间有限，理智的攻击方一定会先捏软柿子迅速得分保底，防守方只要保证比其他防守方厉害一些就不容易被打穿。以上寥寥几句话会涉及大量的基础安全工作。我写过一篇攻防演练防守技战法，总结起来是“坚壁清野、纵深防御、实时监控、及时响应”十六个字。哦，好像还没发表，先贴个图吧。

    对于真正的APT攻击来说，长期有耐心是攻击者的基本素养，所以攻防演练是考试，跟真正的APT还是有一定差异的，安全体系的建设不是为了应付考试，而是要真正提升企业的实际安全防护能力。

【会后感想】

    运营社群不容易，特别是免费的社群，对维护者来说，可以用呕心沥血、殚精竭虑来形容。就像这次会议，各种突发情况都需要组委会处理，我做的还不到十分之一就感觉特别辛苦，更何况他们。这里也特别向聂君（尊称一下君哥）、郭威（尊称一下威哥）、李蕾、陈瑜、煜薇等同志致以敬意。

    企业安全建设实践群跟其他群不一样，群主要求特别高，群里只能讨论安全主题，不能打广告、发表情和无关话题，对长期潜水的人员还会予以踢出（群主执法铁面无私，即使是我推荐加入的以前我隔壁中心的前腾讯业务安全总监照样被踢），所以群的质量还是挺高的。甲方的安全朋友如果感兴趣的话欢迎进群一起学习交流。

    另外会场也碰到很多老朋友，认识了很多新朋友，大家照例也要问下我的动向，谢谢关心，我的回答还是那句CIA的经典名言：I can neither confirm nor deny that。