今天一早起來,看見博客訪問量馬上破萬了,遂寫一篇,以留紀念。
今年疫情期間,在家裏憋的無聊,又不捨得浪費大把的時間,於是撿起來博客寫寫。過去也曾有寫博客的想法,並不是沒有堅持,而是覺得不好把握哪些技術可以分享,哪些不便分享,於是乾脆把自己的技術筆記記錄在了私人筆記本上。雖然這麼一直堅持就是幾年,用起來也還算方便,每次翻筆記時候,框架性的東西很容易回憶起來,但年齡不饒人,很多技術細枝末節經常還會遺忘。另一方面,自己一直信奉網絡安全技術是一項以實驗、實戰結合的動手性工作,如果只停留在技術點的層面,那就是紙上談兵了。於是有了寫博客的想法。那麼這次怎麼區分寫什麼內容呢,想來想去就寫自己的技術弱項《攻擊相關技術知識》,因爲這方面畢竟和自己的工作內容遠一些,也就沒有太多的顧慮。
今天想借着破一萬瀏覽的時間點,寫點我對藍隊的思考和看法。近幾年,網絡安全產業越來越熱,很多年輕人都投入到這項工作之中,技術的升級迭代也非常迅速,尤其紅隊技術的發展,多年以前,可能一個waf就把很多小黑擋在了門外,但如今,紅隊大佬比比皆是,紅隊打法、思路也是遍地開花。在我認識的網絡安全行業的朋友中,幾乎百分之九十都是投身於紅隊工作,那麼藍隊的前途在哪裏,藍隊又有什麼可做的,藍隊真的落寞了嗎?個人覺得不一定。在紅隊如此強大的今天,藍隊其實還有好多事情可以做,魔高一尺,道高一丈嘛,紅藍對抗永遠是人與人之間的對抗,技術只是工具輔助作用。那麼人和人之間的對抗,講究技術、講究工具、還更要講究謀略。
我們知道,如今紅隊選手都非常注重信息收集,甚至有人提出滲透的本質就是信息收集,我不否認信息收集的重要,但信息收集回來,對信息處理的算法一樣非常重要,算法有問題,整個滲透過程勢必受影響。那麼,我們作爲藍隊,能在紅隊這麼強大的信息收集攻勢下做些什麼?這個問題一直在我腦海裏翻滾。最近,生活中幾種感興趣的事對我有很大啓發。
先講個歷史小故事,本人很喜歡三國,裏面曾經有一段故事印象深刻。故事講述的是曹丕和曹植爭奪繼承權的發生的事情,曹操是個極度愛猜忌、多疑的人,他內心偏愛曹植才華,立儲之事遲遲未定。這個時期的曹操對立儲猶豫不決,在暗中派心腹觀察兩位候選人一舉一動,以做到心中有數。一日,曹植聽到耳目回報,有一隊人馬挑着框進了曹丕府中。得到消息,曹植立馬到曹操那告了一狀,說不清楚曹丕在搞什麼鬼,半夜讓人擡籮筐進府。本就多疑的曹操頓時疑心大起,於是下令對曹丕嚴密監視,再有類似人馬一律當場搜查。果然,第二天又有人馬挑着籮筐進了府中,在掌握證據後,曹操令人將運送籮筐人馬全部拿下搜查,結果居然什麼也沒搜到。從此以後,曹操不但打消了對曹丕的懷疑,反而開始懷疑曹植,懷疑曹植爲了爭奪王位、處心積慮研究自己的同胞兄弟。
那麼,這件事實際是什麼情況呢,曹丕找人運籮筐進府到底是在做什麼。事實上,曹丕早就感受到了曹操和曹植對讓他的雙方面監視,但又無計可施,他急着想找一位高人給他出出點子,但有不方便出門與人接觸,以至讓敏感的曹操察覺到他的心思。於是他給吳質寫信求助,吳質和司馬懿等四人號稱“四友”,都是有大才智之人,後來成爲了曹丕的心腹大臣。但當時吳質因爲與曹丕走的太近,一次聚會上當面直視曹丕的甄夫人,被曹操聽說後直接發落邊疆。此時的曹丕急需吳質前來出點子,又不能把此時泄漏出去,於是就寫了一封信給吳質,吳質收信後當夜藏身籮筐中進曹丕府。爲了防止事情泄漏,吳質專門安排人連續三日送同樣籮筐進曹丕府中,目的就是讓曹操查空,打消疑心,當然,吳質肯定也算到了曹植肯定會對曹丕的一舉一動嚴密監視。最終,吳質與曹丕那一夜長談,給曹丕提出了“以德抗才”的戰略方針,最終也讓曹丕在爭儲大戰中後來居上。
從這個小故事中,我們完全可以把曹植、曹操看成是信息收集能力強大的紅隊選手,對於如此強大的紅隊選手,我們一味正面防禦,肯定是會忙於奔命,處理起來很棘手,但如果我們加入一些人與人之間對抗的謀略,針對紅隊選手的信息收集敏感,信息收集慾望強的特點,刻意給多疑的對方釋放一些虛假信息,可能會達到事半功倍的效果。
另一件事,雖然原理相近,但我還是覺得值得一寫。最近在抖音上,還特別喜歡看盜墓系列知識,發現古代的盜墓賊,其實幹的活遠遠不比今天的黑客來的簡單,要發現一個古代墓地,要精通風水星象,盜墓時候打洞技巧還要十分嫺熟,這種高技術活動讓我深感興趣。其中,有一個墓室的設計印象深刻。歷代王侯將相爲防止自己的墓葬被盜墓賊侵擾,絞盡腦汁的設置了各種各樣的防盜墓措施,像鐵鎖吊石、機弩毒氣,甚至還有在自己墓碑上向盜墓賊哭窮的,但是隨着時間的驗證,這都不是最有效的。公元2005年,考古專家在對上蔡縣郭莊一座古墓進行考古發掘,發掘的過程中,有18個盜洞已經深入到了墓室的核心區域,本來不抱任何希望的,但是峯迴路轉柳暗花明,盜洞戛然而止,最後出土了千餘件楚國青銅器,經歷了2000多年,主墓室仍完好無損,這多虧了防盜門設計流沙,這座墓深達十七米,其中10多米埋的都是沙子,其次造假棺材迷惑盜墓賊,在主棺的正上方和側方,加修了兩個假棺材,裏面甚至還放置了一些小件的陪葬品,來迷惑盜墓賊。據說裏面回填的沙子是經過烘炒或者暴曬的,這樣做可以保持地下的乾燥,防止屍體過早腐壞,增加防盜門效果。乾燥的細沙如流水,流動性極好,盜墓賊無法在這種土層上挖掘盜洞,這邊挖好了那邊又填滿了。不僅如此,考古人員還在積沙層中發現了一千餘塊積石,最小的僅三公斤,最大的165公斤,這些石塊放置的位置也是經過精心考慮的,可以放置盜墓賊從不同的部位進入,所以說流沙墓是盜墓賊的剋星,目前中國發現了好幾座這樣的墓葬,都是有效的防止了盜墓賊的破壞。
看完這些古人的高超智慧,我相信網絡安全藍隊從業者一定會有很多啓發,不論是蜜罐技術,還是攻擊欺騙,其實很多技術思路來源還是人與人之間智慧的碰撞,我們完全可以學習古人的謀略,運用在當前的技術開發實戰中,作出更好的更強的藍隊作品,這也是我下一步的追求和目標。