今年的RSA2014终于落下了帷幕,又见到了很多老朋友,认识很多新朋友,幸甚至哉。
各大安全公司一如既往的挥金如土,占据最好的展台,聘请最漂亮的mm吸引眼球。大公司的展台策略都是大而全,网络到终端,盒子到云端,俺们啥都有。OneStopShop是也。 新技术方面,很多大公司们基本上都是在跟进PANW和FEYE的技术,争先恐后的表达着我们没有停滞不前,什么流行我们也都玩什么的思路,Fortinet,Intel Security,Trend等等都出了基于虚拟技术的安全方案,虽然技术上是初代产品,但也给了自己的客户一个定心丸。
今年可能是巧合,PANW和FEEYE的展台和演讲不约而同的都没有提任何评测的东西,基本上都当评测机构不存在。PANW和FEYE都是出了名的把用户体验放在第一位的企业安全厂商,也许这也多少说明了他们对评测的看法。
其实评测这种东西对于小公司的市场宣传是很有意义的。但是现如今评测陷入了一个怪圈。很多大公司都在专门为了评测做优化,设立了专门的团队, 甚至用评测来指导产品开发的方向,这个就变成了舍本逐末,把整个研发的团队都投入到评测这种假的不能再假的东西上面换取一张废纸文凭,实在是令人扼腕叹息。
评测机构也要反省自己。当现在0day泛滥,攻击猖獗,木马挂马满天飞,人人都觉得现在的企业安全技术已经无法适应新型攻击的时候,你出来说厂商的IPS检测率是99.6%,你是当用户是白痴还是厂商是白痴。测试的最大问题是都是replay,没有什么人用真正的攻击做测试,说到底还是测试厂商的技术功底不够。自己的声誉被糟蹋的差不多的时候,也就是整个评测产业凤凰涅磐的时候了。
今年令人眼睛一亮的东西,还是在小公司扎堆的南区。
这么多年来,现在是做漏洞分析和利用技术研究人员的最好的时光。因为重视这个的人越来越多了。其实,现在基本上攻防对抗,防守方最薄弱的地方就是这一块了。那这也就意味着攻的一方最大的突破口就是这里,那一定是痛打落水狗。现在外面爆出来的0day都是相对很简单的初级货。那只是冰山的一角。真正的高级APT里面用的东西,很多人看了都会不寒而栗,那差距是非常大的。
这个现状,很可惜很多安全公司还没有意识到。这其实是整个全球安全形势的变化,攻防在进步,可是传统安全公司还没有跟进。在传统的安全公司里面,尤其是做防火墙,防病毒,安全网关的公司管理层里面,觉得exploit只是一个小小的addon。 很多人至今不理解FireEye到底为什么这么火,也不理解野火对于PANW的重要战略意义。做这块的人在公司里面还是二等公民,被人当作一帮写签名的初级垃圾兵成天使唤来使唤去,想法和做的东西其实得不到高层的认可,更不用说影响公司的产品技术革新的路线图了。
我简单说一下困境在什么地方。举个例子。在一个防火墙厂商,最大的优先级一定是性能,稳定性和策略管理。你要加新的检测模块,对不起,不行。现有的东西不是已经可以工作了吗?你为什么不能就写个签名糊弄一下呢?什么?签名可以被绕过?一定要有复杂的模拟器?你别逗了,有了这个东西我们的performance会下降多少? 或者,你说ROP的shellcode是大势所趋?提出证据来?什么?你有你自己写的exploitcode?你有多少例子啊?没有这个东西我们的检测率会下降多少?评测没有了你的东西会不会有质的区别?你没有答案,哦我没有功夫看你的whitepaper,你把这些东西搞清楚了再回来吧。顺便产品经理还要再恶心你一把,提醒你上次你的NSS labs测试结果只有可怜的97%的检测率,而SourceFire都是99%了,你还是先把你屁股上的shit擦干净再来跟我要东西吧。。。。。。
老的安全公司,如果还抱着陈旧的思路,陈旧的产品技术不放,只是满足于修修补补,一定会在这次技术革新的浪潮里面败下阵来,最后形神俱灭。新兴的安全公司,如果能够在这新一轮的攻防对抗中证明自己的实力,必可取而代之。