面向社区的综合安全平台

前言

每当谈到网络安全,在这一辈人眼里,总结就4个字:攻防对抗。是的,说到攻防对抗,那么没有攻击自然也不会存在防护,先有攻再有防。例如有了相关的攻击,WAF才会有相应的防护措施。

为什么要做个面向社区的综合安全平台

关于网络安全,有两点需要提及,1.攻击方式决定了网络安全技术发展的方向,具体有哪些攻击方式不再阐述。2.目前阶段处在防守方基本上抵挡不住来自黑客的攻击(这个攻击的标准可以是进入内网)

我们不妨先让时间倒回到10年前,那时候的网络安全问题,竟然都是从搜索引擎打开的入口。在那时,大部分的安全技术人员把Google Hacking当做时髦的黑客技术,各自也总结了很多关于Google Hacking的技巧,这些技巧也让后面进入这个行业的人有点兴奋不已。比如site:qq.com可以检索qq.com下所有的子域名网站,用filetype:password可以来寻找一些暴露出来的密码信息,再就是intitle:"Index Of/"这种语法来搜索目录遍历的漏洞。在那时候这些小技巧足以让网络安全这个世界掀起一阵热潮。但是时代在变,慢慢的这些安全技术人员发现利用Google完成的这些事只是个临时过程,并不能代表网络安全这个时代(例如现在延伸出来了各种安全工具也无法代替人工测试的地位)。但是这些安全技术人员的目标都很清晰:最少的代价获得最大的收益。但是大家已经无法像过去那样通过Google进行搜索暴露在公网世界的各种服务,因为互联网的发展是连同网络安全一起发展的,如影随形。也就迎来了一个新时代的棘手问题:怎么去有效获得这些有价值的信息并且花最少的代价?

说到了这里,我们还需要理解一个概念:攻击者并不关心你有多少IP以及对应的服务,只关心IP以及对应服务上的漏洞。漏洞只是打开更多可能的入口,至于是要脱裤还是挂马那也只是后面需要考虑的事情。但是至少要先打开一个入口,你才能通过这个入口去发掘更多的可能。可漏洞也不一定非得是0day,漏洞可以是很多种概念。

那么回到上面的问题:怎么去有效获得这些有价值的信息并且花最少的代价? 针对这个问题:我与我的民间安全团队打造了一款面向社区的综合安全平台。
这个综合安全平台,融入了网络空间测绘,漏洞扫描,POC验证等目前大多数安全服务平台都有的功能。关于技术细节,因还未上线,暂不公开细节。

平台的概念

决定一场战争结果的因素有2个主要方面:人和装备。人比较好理解,培养一批上战场可以杀敌的将士,将士们身怀绝技,各种一招制敌的必杀技。那么靠什么杀敌?赤手空拳吗,不现实。所以就有了冷兵器时代的刀,剑,盾等兵器。例如关二爷拿着他的青龙偃月刀完成了过五关斩六将的历史传奇。温酒斩华雄也靠的是人--一个豪气云天的勇士。具体说到装备,如果让现代士兵穿越回古代,允许你带一把枪,那么结果就截然不同:未等大刀举起来,“砰”的一声对方便倒地了。所以装备的价值主要是为了极大的提升效率,把低效且重复的动作进行简化提速,从而达到直击要害克敌制胜。
除了人和装备以外,还有一个最重要的因素:意志。意志体现在古代经常能遇见的少对多的对抗,如果没有意志,将士又怎么能奋力杀敌。但是绝大多数情况下,意志在硬实力面前真的不过就是自我安慰的精神良药。

在网络世界,意志在大多人眼里并不重要,也确实不重要。因为这里没有硝烟,没有鲜血淋漓,更没有受伤之后的自我保护。所以在网络世界里的攻防是带着极大的隐匿性的。在这个世界里,硬实力决定了一切。在网络世界里,意志是什么?工具又是什么?意志是愿意花几个小时乃至几天的时间来收集目标的关键信息,资产的牺牲精神,工具就是给你一个信息收集(子域名/有效IP之类)的安全工具,让你别那么麻烦的花大量时间去做重复的事

网络安全产品就是工具,并且只是“装备”,装备的用处是为了提升效率,而不是代替人。也不难见到大多装备的生产商水平都没有使用者高,不要妄想装备会替代人本身的能力。

关于这个平台

这个平台在未来一个月内会进行上线内测以及专为公测。一款好的产品需要经过时间的打磨,以及背后开发人员的用心良苦。