0002 安全問題的根源
0002 安全問題的根源
1. 全面把握安全,不要追求局部片面的安全
不得不說的是,要想在安全行業有所造詣。所要學習的知識面是非常廣的,安全不是片面的,雖然從某個方面看上去你的系統是安全的,但是其他方面呢?有句話是這麼說的,一顆老鼠屎能攪壞一鍋湯。安全更是如此,對於一個系統,知道有一個小小的地方出現安全漏洞,就能被黑客利用,從而使整個系統遭到破壞。正所謂沒有絕對安全的系統,所以我們在對待安全這個事情上,是要全面把握系統的整體結構,從各方面去了解系統的安全性。作為滲透測試這,我們更應該全面分析系統的安全,盡量把所有情況都考慮到,最大限度的挖掘系統的漏洞,不要滿足於在某個方面發現了重大安全漏洞。
2. 開發功能的時候只追求功能的實現,沒有考慮到安全隱患
安全問題的來源之一就是開發人員只追求功能的實現,從來沒有考慮到安全的問題,或者說是完全沒有安全的意識。在國內,這種現象是非常普遍的。在開發者的眼中,只要功能實現了就萬事大吉,其實不然。要想從根源上解決安全問題,對於開發者,不僅要實現功能,還要考慮到程序的健壯性,能不能子啊各種場景下都能正常工作,有沒有許可權問題,普通用戶是否能看到root用戶的數據等。meltdown 漏洞就是很好的例子,用戶空間的程序能夠看到內核空間的數據,這是多麼恐怖的事情。Linux 內核開發的那幫人,他們的水平很高了吧,尚且出現這麼嚴重的安全問題,那麼作為普通的開發者,難道開發的程序就沒有這樣的問題嗎?所以要想從根源上解決安全問題,是需要提高開發者的能力,在完成功能的同時考慮到存在的安全隱患。
3. 最大的威脅–人的慾望
沒有買賣就沒有屠殺,國家嚴令禁止捕殺藏羚羊,但是每年還是有很多藏羚羊死在獵人的槍下。加入沒有人會去買,沒有人想去吃,那麼怎麼會有人去賣,又怎麼會有人踩著法律的準線去獵殺藏羚羊呢?安全行業也是如此,之所以漏洞會被爆出來,是黑產中利益鏈上的人的慾望,想要不勞而獲的人還是太多,想要通過不正當手段獲得利益的人也很多。人的慾望不止,就永遠會存在安全問題,總有人會想著搞破壞,盜取本不屬於自己的東西。所以作為新時代的我們,在這樣的大環境下,能通過互聯網獲取到知識,學習安全相關的知識,就要時刻保持一顆純潔的心,君子愛財,取之有道,不要去觸碰法律的準繩。
4. 信息安全需要達到的目標
信息安全的目標是在被攻擊之前就把所有的漏洞堵上,不讓有 不良慾望的人有機可乘。要到達這個目標,一般通過下面這兩種方法去實現。
4.1. 防護型安全
對於防護性安全,在企業的運維崗上工作的人應該是有很大的感觸,每天查看伺服器的日誌,找到不正常的流量,從中獲取是否存在攻擊,如果有,那就採取相應的措施去修復。防止被再次攻擊。防護性攻擊雖然能很快定位到系統出現漏洞的地方,但是這種策略本身就是不安全的,等到別人攻擊你了,再去採取相應的措施,會不會是亡羊補牢,為時晚矣!所以這種手段應該是備選方案。
4.2. 攻擊型安全
攻擊性安全是安全維護人員自己扮演攻擊這的身份,向自己維護的系統發起各種攻擊,從中找到系統的漏洞,進而修復漏洞,防範於未然。這對安全從業人員的要求就又要高了一個台階,不僅需要懂得如何去防護,還要懂得怎麼去攻擊。但是只要堅持這麼做,久而久之,安全從業人員也會具備和攻擊者一樣的能力,這就是所謂的白帽子黑客,與黑帽子黑客最大的區別就是能保持自己的準則,從不觸碰法律的界限。
5. 滲透測試的思路
滲透測試就是在沒被攻擊之前找到系統的漏洞,其思路就是自身扮演攻擊者的角色攻擊自己的系統,從而找到系統的漏洞。
5.1. 以攻擊者的身份發現系統安全漏洞
要想以攻擊者的身份發現系統的漏洞,就必須把自己對系統的控制許可權全部放棄,安全當成自己第一次接觸這個系統。利用各種信息收集的方法獲取系統的信息,從而開始進一步的滲透測試。
5.2. 只需要證明安全問題的存在,不要搞破壞
作為滲透測試者,只需要找到系統存在的安全漏洞即可,不要利用漏洞去攻擊,讓系統遭到破壞。
6. 滲透測試者的個人操守
作為一個滲透測試者,必須要有自己的道德操守,不要利用滲透測試過程中取得的漏洞信息去做灰色產業。
6.1. 道德約束
還是那句話,君子愛財,取之有道。不要被一時的利益沖昏了頭腦,否則突破道德的底線,沒有道德的約束,終將走上一條不歸路。
6.2. 法律約束
網路信息安全國家是有法律約束的,所以不要去觸碰法律的底線。我國新版網路信息安全法自 2017 年 6 月 1 日起施行,下面是網路信息安全法中的部分內容。
第二十七條 任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動;不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具;明知他人從事危害網路安全的活動的,不得為其提供技術支持、廣告推廣、支付結算等幫助。
第六十三條 違反本法第二十七條規定,從事危害網路安全的活動,或者提供專門用於從事危害網路安全活動的程序、工具,或者為他人從事危害網路安全的活動提供技術支持、廣告推廣、支付結算等幫助,尚不構成犯罪的,由公安機關沒收違法所得,處五日以下拘留,可以並處五萬元以上五十萬元以下罰款;情節較重的,處五日以上十五日以下拘留,可以並處十萬元以上一百萬元以下罰款。
推薦閱讀:
※作為安全工作者,你遇到過哪些功能上好玩有趣強大的木馬?
※怎樣看出一個人有黑客天賦?
※個人網站如何檢測是否被掛馬?
※暗網如何保證交易的可信?
※利用wooyun進行滲透方面的學習前,有哪些先導的參考書籍?