围炉夜话|渗透测试、人鱼线和补锅匠

人鱼线

盛夏夜的三里屯,街角草丛里还不时地传来蟋蟀的叫声,老高点燃一支烟,望着不远处装修一新的门店,在思考着自己代理的新服装品牌入驻京城如何来打响第一炮。

老高正发着愣,忽然听到身后传来一阵脚步声,回头一瞅发现是一个夜跑的老外,光着膀子满头大汗,一身结实的肌肉向世人昭告着我很Man,移动的肌肉从眼前晃过,老高灵光一现,猛得一拍大腿,对于新品牌的宣传造势他已经有主意了。

不久后,三里屯某服装店开业请一大票国外半裸型男站台揽客,用人鱼线征服萌妹纸和大姨妈的新闻刷了好几天的屏。

老高卖的是衣服,但他却靠型男来招揽生意,成功地将顾客的视线由衣服本身转移到人鱼线上。人鱼线只需看几眼,而衣服却要穿数月,至于衣服合不合身,设计感怎么样,质量如何,那都不是老高要考虑的。

大家有没有发现安全领域有个场景跟老高卖衣服的方法很相似,没错,就是渗透测试,渗透测试如今也被大多数服务团队当成了晒人鱼线秀肌肉的型男。

销售铁柱跟了某大客户3个多月,好不容易拿到客户的测试授权,兴冲冲地跑回公司跟老板要了最资深的渗透团队开始干活,天天买饮料叫外卖伺候了这帮兄 弟一个礼拜,当然辛苦没有白费,渗透团队提交了厚厚的一本渗透测试报告给他,从门户网站、企业邮箱再到在线业务全部沦陷,内网漫游畅通无阻。

客户信息化主管大猫看到报告吓出一身冷汗,满满的自信瞬间被击垮,一脸无助的表情看着铁柱,铁柱拿出精心准备好的解决方案,一股脑将公司全线产品塞给大猫,人家照单全收了。

这就是渗透测试应用最为广泛的一个场景,那么有问题么?

晒人鱼线秀肌肉这件事本身没错,本身就是常用的营销手段,但是晒完之后,问题就来了。

补锅匠

服装店的女顾客被人鱼线惊艳到买了衣服回家,结果发现洗了一次之后就变形了,设计上也不出彩,穿了一次后就被闲置在衣柜的某个角落。

而客户被渗透测试报告吓到之后,无数的大猫们就成了地地道道的补锅匠,手捧乙方销售给他们私人定制的《补锅大全》,投身到革命尚未成功但同志仍需努力的补锅大业中去了,当然补锅用的白铁皮也是从乙方销售手里买回来的。

我们看看这个模式有带来哪些问题:

客户发现花了很多预算买回来一堆安全产品后,业务系统还是被攻陷了,勤勤勉勉补锅数月,旧洞未走,新洞已来,甚至白铁皮本身也有了洞,客户大怒,大打销售五十大板。

假以人鱼线卖产品,有啥卖啥,且缺少后续跟进服务,此为问题之一。

客户发现堆砌的安全产品无法防护攻击之后,从此只购买渗透测试服务,也只重视最终的渗透测试报告,将渗透中找出的漏洞从技术层面修补好就完事了。

漏洞永远也都找不完,渗透测试耗费过多预算,客户顾此失彼,并且陷入到攻防怪圈不能自拔,此为问题之二。

厚厚的一本渗透测试报告,最终只传阅到安全和IT运维团队面前,并没有被管理层和业务部门所知晓并认同,漏洞再严重也是停留在代码修复层面,却从来 不从风险管理和业务层面来进行深度分析,漏洞产生的根本原因到底是开发人员的问题还是缺少SDL类似的管理机制,这个现象Simon Wu也讲过。

漏洞关注层次过低,分析视角单一,正向反馈价值尚未深挖,此为问题之三。

微软威胁情报中心总经理老约翰还提及过一点,更多时候客户将渗透测试视为一次安全服务的最终结果,而不是当作进一步安全规划的输入信息。明眼人一看 就知道,很多客户单位渗透测试做了很多次,每次都能发现很多问题,但是人家的安全决策和规划却没有发生任何改变,这不是一个好现象。

把渗透测试当成结果,而不是输入,此为问题之四。

补锅匠穷其一生兢兢业业却效率低下,市场需要反思,而客户的思维定势也需要改变,如何更有效地发挥渗透测试的作用,这是我们从业者应该好好考虑的问题。

拯救大猫

拯救补锅匠大猫,这是一个艰巨的任务,这也是一个轻松简单的任务。

老高的人鱼线策略在开张初期效果不错,但因为服装本身问题导致客流量逐渐减少,使得他不得不辞掉了高薪聘来的型男老外们,在经过阵痛期之后,老高重 新调整了策略,从服装本身入手,提升了衣服的品味,导购的素质和其它一些的软硬实力,重新赢得了顾客的认可,而型男老外们也重新回到了店里。

客户信息化主管大猫在经历几次安全事件之后,对铁柱公司的产品和服务产生了怀疑,而铁柱的服务团队并没有引起重视并做出有效应对,最终在某个耀眼的黄昏,大猫在喷了铁柱一脸口水之后,终止了与铁柱公司的继续合作。

丢掉了后续的单子,铁柱满脸沮丧地回到了公司。在听完铁柱的反馈之后,会议室里老板、产品、服务和市场总监们都陷入了沉思,空气似乎凝固了一般,所有人都担心破窗效应的来临,丢了第一个大猫,接着就会丢第二个大猫。

第二天清晨天光微亮的时候,会议室里所有人都如释重负地吐了一口气,白板上画满了头脑风暴的潦草笔记,大家的意见最终达成了一致,所幸这并不是一个无法解决的技术难题,老板狠下心来要做出改变,而改变正是从渗透测试开始。

拯救补锅匠大猫和铁柱公司自救是否能成功,同样的故事其实每天都在真实世界里上演。

如果你是大猫,你会怎么做?如果你是铁柱的老板,你能怎么办?我们市场见。

91ri.org:小编也从个技术狗在慢慢转向一个销售狗,今天看到作者孙维的这篇文章感觉特别有意思,用生动的语言讲述了现在的安全防御现状以及对应的解决方案。挺不错的,分享给大家。

ps:好文难觅,91对新闻不太感冒,再加之近期一个新项目上线忙得不可开交,小编在编辑这篇文章的现在眼睛都快眯起来了 – -,所以近期的文章没有什么更新,抱歉。

本文来自sec-un 作者微信号:sunw3i