安全研究的价值思考
【注】:纯属个人言论,与公司立场无关!
最近的Black Hat大会议题ppt已提供下载,里面有两个非技术议题,其视角比较有趣,一些问题值得思考,因此才有本文。
这两个议题分别是”Project Zero File Years Of Make 0day Hard”和”Selling 0-days to governments and offensive security companies”,一个讲述5年来Google的Project Zero团队在漏洞研究上的工作效果,一个讲述关于漏洞交易的一些现状、流程。
安全研究都干啥
安全研究并不局限于漏洞领域,但它依然是目前最主流的方向,研究范围也可以包括网络安全、反病毒、大数据安全、业务安全等诸多安全领域。这里主要聊下漏洞领域的研究,看看Project Zero的人主要都在干啥:
总结一下就是(主要指漏洞研究领域,估计很多人只干1、3、4的工作):
- 漏洞挖掘与利用
- 方法论建设
- 技术写作
- 行业交流与合作
- 软件工程化建设,可能是指DevSecOps,包括安全防御策略建设、libfuzzer自动化测试等的应用
###从招聘职责看研究目的
谈研究价值,不妨先来谈谈研究的目的,我特意从各招聘网站上搜集了一些关于安全研究岗位的招聘信息,主要统计其岗位职责描述的关键词,生成如下词云:
可以看到,当前的研究岗位普遍就是招漏洞挖掘职位的,都是搞主流系统及软件为主,但挖洞的目的又是为什么呢,这种在很少企业会写在招聘帖的。从统计结果看,主要有以下3个研究目的:
挖掘主流系统/软件漏洞;
帮助安全产品提升检测能力;
为业务提供技术支持。
第一点是手段,等于啥也没说,第2点算是做安全产品,第3点是得看是什么业务,如第2点也算业务,但如果是一些非安全产品业务,其实所能提供的技术支持就相对比较局限,可能人家业务也不一定看得上你这研究。
影响力价值
搞安全研究,普遍都是为了影响力公关(PR),国内外均是如此,BlackHat上的Pwnie Awards都有一个“最名不副实漏洞奖”,叫做”most over-hyped bug”,就是用来批评那些过度炒作的漏洞。但是一些确实危害比较大的漏洞,及时负责任地披露反而有利于防御工作的开展。Project Zero议题中讲到一句话,开放的攻击研究相对攻击者而言,对防御者更为有利。之前国内试颁行的某提案,因可能阻碍安全研究者公开研究成果,遭到不少圈内人的反对。这跟古时候,有的国家禁止人民用刀一样,最终只是阻碍生产力的发展而已。其实只要不是急功近利,获得与研究成果相匹配的影响力也是合理的。那获得影响力之后的价值呢?对团队,对个人,可能获取得更多交流与学习的机会,也可能获得更多业务合作机会,直接点,可能找份工作防止中年危机都更有资本了。
商业价值
何为商业价值?就是赚钱嘛!通过安全研究落地为产品,然后拿去卖;也可提供技术服务,比如帮助对IoT、车联网产品等新兴行业产品进行安全测试。产品一般比技术服务更值钱,技术服务经常是一波过,产品却是可以长期收费的,比如IDA一年卖几万刀,用户每年都得交钱,而若只是提供逆向服务,费劲且不持久,赚得还少。如果是漏洞交易,高质量的漏洞利用链也是可以获得不菲的利益。在0day漏洞交易感兴趣的,主要涉及以下3类角色:
- 防御型企业、漏洞奖励计划和平台
- 黑客比赛举办者,类似漏洞收购中间商,自己可能也会去挖洞,也可能收购poc来自己写exploit,或者直接收购exploit,再转手卖出去赚差价
- 攻击型企业、政府、黑产团伙
现在国内已经限制参加Pwn2Own之类的国外比赛,从2018年开始,国内由”天府杯”比赛代替,主要是防止漏洞外流危害国家网络安全。这些比赛也推动了厂商对漏洞处理的态度,以及漏洞奖励计划的建设,使得报告者能够合法地获得相应的奖励和认可。
新型业务安全预防
提前研究一些公司业务可能涉足的新领域,避免新兴业务产品出来后,无能力解决上面的安全问题。但整个的前提是,该新产品能活下来,否则一切都是白搭。
行业贡献
在安全行业贡献榜上,Project Zero无疑是佼佼者。在5年内,他们共贡献1500+个主流系统/软件漏洞,推动很多安全防御机制的诞生,甚至影响漏洞在市场上的价格。漏洞研究者有时担心手上的漏洞被撞掉,会直接报给厂商,混个致谢,搞不好年底还能混个”MSRC Top 100”,今年开始它改名叫”最具价值安全研究员”,更高大上了。这个月,我就被Project Zero的人撞掉了一个微软漏洞。在PZ分享的议题里面,提出一些衡量”make 0day hard”的标准,但毕竟是相对概念,仅当作参考:
挖到品相优秀的漏洞所花费的时间;
漏洞平均生存时间;
撞洞数量;
漏洞利用链的长度;
新型高质量的攻击面的发现概率。
个人保值防老
研究本身就是一种学习方式。相信爱学习的人,最终运气都不会太差。尤其是现在鼓吹35岁中年危机的互联网时代,保持学习是最靠谱的个人保值防老方式。如果保持工作内容不变,那么通常头一年所积累的技术与工作方法足够应付绝大部分工作。若再不搞点有挑战的新工作内容,或者业余做点研究,那就要成为拿着一套技术吃N年的”老白兔”了。持续学习,保持或者超越与年龄相符的技术能力才是王道。