RSA2014小結
責編:admin |2014-11-20 16:25:57今年的RSA2014終于落下了帷幕,又見到了很多老朋友,認識很多新朋友,幸甚至哉。
各大安全公司一如既往的揮金如土,占據最好的展臺,聘請最漂亮的mm吸引眼球。大公司的展臺策略都是大而全,網絡到終端,盒子到云端,俺們啥都有。OneStopShop是也。 新技術方面,很多大公司們基本上都是在跟進PANW和FEYE的技術,爭先恐后的表達著我們沒有停滯不前,什么流行我們也都玩什么的思路,Fortinet,Intel Security,Trend等等都出了基于虛擬技術的安全方案,雖然技術上是初代產品,但也給了自己的客戶一個定心丸。
今年可能是巧合,PANW和FEEYE的展臺和演講不約而同的都沒有提任何評測的東西,基本上都當評測機構不存在。PANW和FEYE都是出了名的把用戶體驗放在第一位的企業安全廠商,也許這也多少說明了他們對評測的看法。
其實評測這種東西對于小公司的市場宣傳是很有意義的。但是現如今評測陷入了一個怪圈。很多大公司都在專門為了評測做優化,設立了專門的團隊, 甚至用評測來指導產品開發的方向,這個就變成了舍本逐末,把整個研發的團隊都投入到評測這種假的不能再假的東西上面換取一張廢紙文憑,實在是令人扼腕嘆息。
評測機構也要反省自己。當現在0day泛濫,攻擊猖獗,木馬掛馬滿天飛,人人都覺得現在的企業安全技術已經無法適應新型攻擊的時候,你出來說廠商的IPS檢測率是99.6%,你是當用戶是白癡還是廠商是白癡。測試的最大問題是都是replay,沒有什么人用真正的攻擊做測試,說到底還是測試廠商的技術功底不夠。自己的聲譽被糟蹋的差不多的時候,也就是整個評測產業鳳凰涅磐的時候了。
今年令人眼睛一亮的東西,還是在小公司扎堆的南區。
這么多年來,現在是做漏洞分析和利用技術研究人員的最好的時光。因為重視這個的人越來越多了。其實,現在基本上攻防對抗,防守方最薄弱的地方就是這一塊了。那這也就意味著攻的一方最大的突破口就是這里,那一定是痛打落水狗。現在外面爆出來的0day都是相對很簡單的初級貨。那只是冰山的一角。真正的高級APT里面用的東西,很多人看了都會不寒而栗,那差距是非常大的。
這個現狀,很可惜很多安全公司還沒有意識到。這其實是整個全球安全形勢的變化,攻防在進步,可是傳統安全公司還沒有跟進。在傳統的安全公司里面,尤其是做防火墻,防病毒,安全網關的公司管理層里面,覺得exploit只是一個小小的addon。 很多人至今不理解FireEye到底為什么這么火,也不理解野火對于PANW的重要戰略意義。做這塊的人在公司里面還是二等公民,被人當作一幫寫簽名的初級垃圾兵成天使喚來使喚去,想法和做的東西其實得不到高層的認可,更不用說影響公司的產品技術革新的路線圖了。
我簡單說一下困境在什么地方。舉個例子。在一個防火墻廠商,最大的優先級一定是性能,穩定性和策略管理。你要加新的檢測模塊,對不起,不行。現有的東西不是已經可以工作了嗎?你為什么不能就寫個簽名糊弄一下呢?什么?簽名可以被繞過?一定要有復雜的模擬器?你別逗了,有了這個東西我們的performance會下降多少? 或者,你說ROP的shellcode是大勢所趨?提出證據來?什么?你有你自己寫的exploitcode?你有多少例子啊?沒有這個東西我們的檢測率會下降多少?評測沒有了你的東西會不會有質的區別?你沒有答案,哦我沒有功夫看你的whitepaper,你把這些東西搞清楚了再回來吧。順便產品經理還要再惡心你一把,提醒你上次你的NSS labs測試結果只有可憐的97%的檢測率,而SourceFire都是99%了,你還是先把你屁股上的shit擦干凈再來跟我要東西吧。。。。。。
老的安全公司,如果還抱著陳舊的思路,陳舊的產品技術不放,只是滿足于修修補補,一定會在這次技術革新的浪潮里面敗下陣來,最后形神俱滅。新興的安全公司,如果能夠在這新一輪的攻防對抗中證明自己的實力,必可取而代之。