硅谷夜谈之RSA2015 (WOOYUN)

  • A+
所属分类:WooYun-Zone

杀戮 (有事请 at 大号园长) 硅谷夜谈之RSA2015 (WOOYUN) | 2015-05-08 14:36

Author:皮克斯007  (转载已经经过同意)

ps:这是个会更新的帖子

0x00 引子

每年的RSA 大会都是一场安全界的盛会,经过多年的积累和沉淀,RSA已经从一个小小的展区,发展到3个展区,超过500家安全厂商,上百个高质量演讲和高峰对话的世界顶级安全会议。

一如既往,又见到了很多的新老朋友,经常是一年都没有任何消息的哥们直接在各个公司的展台上被我抓个正着,然后就是大家海阔天空的聊起来,你在搞什么,他在搞什么,几天下来,不需要怎么看展览,光聊天就把大致的情况了解得差不多了。

这次国内来得人员阵容真是强大。由于时间的原因,很难和国内所有的人都见面,不过基本上绿盟,安天,百度,360以及阿里的安全团队都见了。这里面很多人都是老朋友了,大家聊起来的时候可以看得出来,国内的白帽子圈基本上都很朝气蓬勃而且对自己的做的事情充满了信心和热情。他们对美国以及世界的安全圈也很有兴趣,问的一些问题都挺到点子的。有人问去年的RSA2014小结今年有没有续,本来不想写,只是和朋友们私聊就好,不过最近参与的几个群里面大家有些话题聊的很热闹,写出来和大家探讨也好。

接下来我们就聊聊RSA2015.

0x01 2014:往事不堪回首

去年的一年是攻防惨烈的一年,是安全界的噩梦,防护厂商的滑铁卢。在部署了各种安全防护产品后,各大公司还是纷纷沦陷,爆出来的被黑的公司几乎在每个行业都有,银行,信用卡公司,医院,零售业,保险业,电商,娱乐行业的巨头们都纷纷中招。攻方大胜,防守方被打败是不争的事实。信息安全已经再也不是伪命题,也不是低优先级,很多公司的CISO已经换名字叫CSO,并且开始直接向COO甚至CEO汇报了。在Target全球连锁商店被黑事情之后,各个大公司的董事会的大佬们问CEO的问题就是如何避免成为下一个Target.

黑客面对企业的层层安全防护如入无人之境, 去年最火的安全子行业是应急响应,这说明安全行业中做防护的产品集体失职,这里面包括杀软,防火墙,IPS和各种网关厂商。这里面也许有一两家产品还可以,可是像这种一年之内接近八万家公司被黑,其中2122家公司基于行业法律被迫公开承认关键数据被盗,全球500强里面大面积沦陷,涉及全球超过60个国家. 这在历史上都是罕见的。

这种形势下,就算不是搞安全的人都会得出相同的结论:现有的防护类产品太不靠谱了,根本扛不住啊。

造成这个现象的原因主要有两个。一个是传统安全防护产品还停留在兵来将挡,水来土掩的签名防护思路,对于未知威胁的检测新技术,还没有被企业大规模部署。另外一个原因,是因为评测恶势力的存在,传统安全防护产品就算是想转型也转不了。

我这几年一直在痛批传统安全防护思路和产品功能的评测化庸俗化,我一直在说评测是渣。我说AV不行了,可你看看那些国际评测机构发布的那些99%,100%的检测率,人人优秀的测试结果绝对让你觉得当前真是太平盛世歌舞升平。可是面对真正的攻击和训练有素的黑客,这些99%,100%的厂商还不是被完爆?

评测有两种。一种是提供一个基本的标准,就是说这些是最低限度的产品功能,你通过我的测试我就认可你的市场准入。这种评测是有意义的,因为小白客户挺需要一个客观的第三方来告诉他一个产品是否靠谱。另一种就是自己制定一些标准,让厂家们来参评,然后分出一二三名来。这个听起来也不错,但是问题是如果他制定的标准和现实严重脱节,又欺行霸市,成了恶势力,反过来欺负那些强调现实问题追求用户体验的厂家,那厂家该怎么办呢?

其实这种评测恶势力的兴起都是厂商们给养起来的。一个安全厂商出去第一次测,惊喜的发现拿了第一名,处于市场宣传的需要,企业文宣下大力气把该评测机构说成是世界权威,宇宙权威,结果其他厂家面对这个挑战只好一起来测,最后形成了评测厂商的无上权威。评测就是中山狼,得志就猖狂。5年前我就担心评测恶势力会实力越来越大,最后早晚把整个防护类厂商的产品导向都给祸害了。

为了评测做的产品绝对和为了真实攻防做的产品是两个截然不同的思路。去年一年的安全界惨败结果真是印证了我5年前的预测。我觉得AV,防火墙和IPS这三个安全防护类产品基本上已经是被评测废了,就算这些公司里面有有志之士想搞创新做真正有用的功能,也拿不到经费和支持,因为公司的优先级一定是在评测相关的功能和签名上。

去年一年就是FireEye孤军奋战,坚持用户体验为王,绝不向评测恶势力低头。平底锅一开始和FireEye并肩战斗抵制NSSLabs,后来也毫无义气的认怂了,看着NSSLabs的最新评测报告里面某防火墙的入侵检测和阻断率高达100%,我只想问那八万个被黑的客户一句话:有专家说你的防火墙可以100%阻断入侵,你信吗?

我猜他们的回答一定是,那个什么专家,你过来,我保证不打死你。

所以今年的RSA上,大家对去年的情况做总结回顾的话,基本上都是觉得传统安全产业被黑客和评测左右夹击,搞得生不如死,溃不成军。 实在是不堪回首的一年。

分享到: