渗透测试成长经验分享 从渗透到防御

大学毕业后的第一份工作是从事渗透测试。除了网络安全,关键是内部网络安全,包括域环境渗透和工作组环境渗透。时间约为2013-2017年,因为大学四年级出来实习,这一年只有两个月在学校写毕业论文。


在过去四年的渗透过程中,积累了大量的实战经验,看到了各种不同的实战环境和边界资产,如边界上的各种资产(网络应用、vpn设备、网络设备等),网络中的各种真实环境(windows域、nix域、工作组),网络出口的各种限制(只支持http协议、只支持ftp协议、只支持icmp协议或允许使用网络代理出口等)

除了环境限制外,还会遇到各种各样的安全防御措施,作为红队成员,不被蓝队成员发现是第一要务。否则,自己长期努力,容易变成泡沫,所以有斗智斗勇的过程,在这个过程中不仅扩大了很多新知识,还增加了对网络的见识,体验了对抗的乐趣。这样的体验和成就感只有真正参加才能体验。


这个过程是基础知识上的高级,从学院派变成实战派的过程。以前的经验是站在攻击者的角度思考问题,从2018年开始正式进入甲方,从事安全防御工作,从攻击者变成防御者,两种思维的变化还需要时间。在攻击者眼中,无论在哪里都不安全,无论在哪里都需要解决。在防御者眼中,并非所有的风险都需要解决。只要控制风险就行了。


攻击者关注的是最薄弱的一点,而防御者需要关注整个企业的攻击面,并考虑ROI,以最小的代价创造最大的防御效果。从攻击的角度进行安全建设,容易陷入某个点,持续投入,作为防御者,需要全球观,找到最弱的地方,寻找最好的解决办法。当你看到一些甲方老板分享的内容时,你经常会有一种非常虚弱的感觉,因为攻击者的思维经常关注如何使用它们,如何绕过它们,而防御者的思维经常是我没有做防御手段,是否遗漏了它们,我的计划完全不完整,每个防御手段都可以达到80%的效果,在攻击链接中,每个点都可以达到80%的防御效果,所以整个攻击过程很可能被发现,只要攻击行为被发现,你就可以启用紧急响应过程,找到攻击者并踢出它们。


未来有专家的道路、管理的道路等,我在这里不怎么说。结果,我没有达到专家和管理,怎么能分享自己没有经验的领域呢?


分享: