安全杂谈–腾讯TSRC安全沙龙归来
文:pnig0s|小P
上周四去深圳参加了腾讯TSRC举办的第一届安全沙龙,参会的人不多,内部邀请了40个左右的嘉宾,不过来了很多圈内的牛人,不乏已经隐退多年的前辈,也都来自国内外一些知名的厂商。会议小有小的好处,互动性更强,能够更深入的交流。这次自己去参会的目的是学习,在沙龙的过程中除了听嘉宾的议题有所收获,在和heige,cnhawk,刺等前辈的聊天中也汲取了不少经验,对整个安全体系,安全本质和安全产品都有了更深的理解。我不是砖家,更非叫兽,没到晚婚年龄的新人一枚,入行有些日子,就扯扯自己的想法,非总结性言论,有意见不合的也不要冲我吐槽了。
二胡的议题《企业安全应急响应新思路》:
因为当时在忙叨直播的事情,所以没有特别认真的听。回来特地找到PPT又复习了一下,总结了TSRC从初办走到现在一路上的经验和教训。TSRC确实给国内的厂商开了一个好头。之后的网易,人人,京东也都陆续推出了自己的应急响应中心用以白帽子反馈安全问题。即使还没有平台上线的厂商也都对外明确了各自的响应流程和漏洞反馈途径,基本上没有了之前报洞无门,反馈后杳无音信,厂商遮遮掩掩,不愿肯定白帽子贡献的这种消极局面了。看到厂商的进步,越来越多的白帽子开始遵守“负责任的漏洞披露过程”,也间接的从黑产边缘解救了一批摇摇欲坠的灰帽子,让他们的付出能够有所得。二胡提出了一个集漏洞提交、漏洞确认、漏洞跟进、漏洞复查、致谢&奖励于一体的一站式在线应急响应平台的构建思路,也是TSRC一直在践行的。我觉得TSRC收获的漏洞的价值要远远高于送出的礼品价值,TX旗下的业务被广大白帽子扫荡了几轮之后,现在公认的整体安全性有了大幅度的提升,不过毕竟不是黑产,这种付出和奖励的不对称局面也是无可厚非的,况且国内的厂商要做到Google,Facebook的奖励程度,还需时日。相信在TSRC的带动下,国内这种安全反馈,应急响应的体系会更加完善。
cnhawk的议题《建设新企业安全体系》:
虽然自己目前还是专注于技术方向,但是从hawk的议题中包括和支付宝Thanks的聊天中感觉到阿里目前的安全体系建设应该算比较超前了,基本已经经过了对漏洞缝缝补补的时期,从系统从架构部分去考虑安全性的实现。可能由于阿里业务对安全的高要求,阿里的安全应该是融入到开发的每个环节中的,有专门的架构团队负责业务架构的建设,并把安全作为了重要考虑的一部分。统一的开发语言,统一的框架,统一的平台环境,这些统一使得安全实现和安全问题处置的成本大大降低,加上阿里系安全研究人员在圈内公认的实力,阿里业务整体的高安全性也在预料之中了。阿里的同学都挺能“折腾”的,我们经常会看到他们的技术人员放出一个个优秀的开源工具,内部使用的一些平台环境也都是经过大手术的,阿里这种开放的技术环境对安全体系的建设也有一定的促进作用。
axis的议题《黑客来了怎么办》:
大风在议题中通过多个真实案例强调了做好危机公关的重要性,回忆了阿里之前在安全风险处置上做的欠妥的地方,呼吁厂商能够尊重白帽子。厂商总是担心曝光自家的安全问题对业务会有怎样致命的打击,其实纵观以往的诸多案例,似乎没听说哪家公司因为黑客攻击彻底挂掉破产了。近期的Linode,Evernote被黑事件,官方大大方方的承认,用户踏踏实实的改密码,然后一切照常。再看国内很多企业,有时候刻意的回避,掩盖安全问题反而会欲盖弥彰,引来骂声一片,难道要等自家的裤子成了热门资源的时候再站出来承认么。
superhei《我的安全世界观(删节版)》:
黑哥的话题作为最后压轴也最为“和谐”,因为会议中间出去采访刺了,也是回来找到PPT复习的。我一直都相信在任何领域发展到一定程度都会上升到哲学的层次。也是为什么国内外大部分的学科都设有PhD的学位,不是狭义的哲学,是指在某个领域对知识的认知和研究能力的肯定。
个人理解的黑哥提到的几个方面:
1,道行:道可道,非常道。道分领域,分角度,分深浅。初入行,像牙牙学语的婴儿,还没有形成自己的世界观,只能模仿,随着研究深入,经验积累,慢慢有了独立辩证思考的能力,也就渐渐的上道了。其实在领域中研究的过程,也就是人生的另一种成长。
2,漏洞orBUG:我觉得漏洞和BUG之间是有一个权衡的,而这个权衡又很难把握,这种权衡无法明确到某个点,只是一个泛泛的区域,因此漏洞和BUG是一个交集。而这个交集,就是厂商和白帽子针锋相对的关键。所以我们不妨可以这样说“一切影响业务安全的BUG都是漏洞”。这时候不得不提黑哥在议题中引用袁哥的一句话:“安全是一个条件句”。由黑哥提出的二次漏洞概念,我觉得充分证明了这种条件句的本质。一个看似没有安全影响的Bug,完全可以通过二次利用组合成为一个致命的漏洞,也正应了“安全是一个整体”这句话。入侵就像撕布,找到一个口子,剩下的只是时间问题了。
关于安全产品:
在沙龙期间的各种聊天中,对安全产品也有了更深的认识。在这个人情的社会,传统的安全产品可能更多是靠销售去推动,靠关系解决市场。在产品的用户体验上不会下太大的功夫。而对于互联网的安全产品,面向的直接是几十亿网民,水平参差不齐。销售在其中的作用会弱化,公关的作用逐渐突显出来,但最核心的还是产品,用户体验好,认知负荷低,用户才会买账。这里推荐一篇产品相关的文章Bump CEO谈认知负荷:为什么你的产品不如你想的那么简单好用?
无关安全:
作为一个标准的北方人,深圳的气候真心不太适应,不过吃的还是比较给力,晚上的天气也很怡人:)在深圳两天酒店里和黑哥睡一屋,黑哥的鼾声不是盖得,不过很照顾我,第二天还特意问我是不是没睡好。。然后晚上就好很多了,不知道是怎么控制的。本来说TSRC会议之后和黑哥去广州的Wooyun沙龙,后来感觉热的有点儿虚,就待在深圳了,也特别感谢二胡等人的招待:)大部队走了之后就剩下我,hawk和thanks了,晚上小吃了一顿,遗憾的是没能“深入”。hawk是个很憨厚很爽快的人,以后有机会聚一定再听你讲故事扯淡:)
用上面的一段流水账结尾,再次声明一切言论均为个人观点,非软文,轻拍。