文章目錄
  1. 1. 重视攻,轻视防
  2. 2. 重视攻防,轻视数据
  3. 3. 重视反向能力,轻视正向能力
  4. 4. 参考资料

总的来说是了解到两个新的观念,一个是iot的设备应该更多考虑eip的控制权,其他场景需要考虑数据的控制权,保护数据的控制权并不一定等同于保护相关系统的eip控制权。再一个是反反向能力和正向能力的概念。

重视攻,轻视防

我的理解是企业轻视防,才导致了目前的现状。安全技术的从业人员多是兴趣导向,从而导致攻的人员占多,而企业轻视防,导致防的安全人员比例没有提升上来。随着时间发展,防的人会更多,占比自然也会提升。并不一定是做攻的人太多了,需要一部分转去做防。而是环境导致做防的人太少了,从而导致了目前攻防人员的比例失衡。

最近几年也会看到有些甲方的安全建设的分享,这种分享虽然跟攻的技术分享比还是太少。但是总体来说绝对量上是越来越多的。也说明了防的这一方也是快速增长的。

后面的重视单点破坏,轻视体系建设,重视技术,轻视业务,我觉得都是现状,而且随着企业更重视安全做体系建设和业务安全的人和公司会越来越多。现在已经有不少做业务安全的乙方公司,也有一些乙方公司有安全体系建设相关的产品了。

重视攻防,轻视数据

这个观点还是让我非常震惊,虽然我们都知道我们要保护的核心资产是数据,但是很多精力都是放在权限上。默认拿到权限都可以拿到数据,这可能是因为以前的渗透的经历导致的,我们大多看到的系统都是简单的,有了权限,就有了数据。从来没有思考过,有没有可能在某些架构下,即使给你权限,你也拿不到数据。所以这是一个非常好的问题。值得深思。

最常见的场景是用户密码的存储,CSDN明文存储,泄露的危害大家都很有感受,Adobe1.5亿数据,是加密的,不知道密钥是否被泄露了,至少密钥没有被公开,这就大大的减少了这个数据泄露的危害。当然Adobe的加密方式并不是最佳实践。如果一个好的设计可以保证密码数据泄露之后无法使用,这样的一个防御设计能力应该是后面所说的正向能力吧。

关于IOT的安全也是很有趣,虽然很多系统重在保护数据,但是iot的控制权是可以影响safety的,所以iot的控制权争夺是最为重要的。

小结:安全要搞清楚保护的对象是什么,而这些对象也随着产业发展不断变化。“EIP”控制权的争夺应该更多的面向与物理世界相连的设备,而其它的场景,则应该重点关注“数据”的控制权。数据已经成为DT时代的石油,是产生价值的新能源,如果还是用传统的漏洞思维来谈数据安全,是肯定做不好的,密码学久违的春天已经到了。

这个观点是最超出以前认知的观点。

重视反向能力,轻视正向能力

这里提出了反反向能力和正向能力的概念,也是感觉学习到了。

参考资料

https://mp.weixin.qq.com/s/eayCCAnfBW8LNEhDn5A0nw

文章目錄
  1. 1. 重视攻,轻视防
  2. 2. 重视攻防,轻视数据
  3. 3. 重视反向能力,轻视正向能力
  4. 4. 参考资料