人鱼线
盛夏夜的三里屯,街角草丛里还不时地传来蟋蟀的叫声,老高点燃一支烟,望着不远处装修一新的门店,在思考着自己代理的新服装品牌入驻京城如何来打响第一炮。
老高正发着愣,忽然听到身后传来一阵脚步声,回头一瞅发现是一个夜跑的老外,光着膀子满头大汗,一身结实的肌肉向世人昭告着我很Man,移动的肌肉从眼前晃过,老高灵光一现,猛得一拍大腿,对于新品牌的宣传造势他已经有主意了。
不久后,三里屯某服装店开业请一大票国外半裸型男站台揽客,用人鱼线征服萌妹纸和大姨妈的新闻刷了好几天的屏。
老高卖的是衣服,但他却靠型男来招揽生意,成功地将顾客的视线由衣服本身转移到人鱼线上。人鱼线只需看几眼,而衣服却要穿数月,至于衣服合不合身,设计感怎么样,质量如何,那都不是老高要考虑的。
大家有没有发现安全领域有个场景跟老高卖衣服的方法很相似,没错,就是渗透测试,渗透测试如今也被大多数服务团队当成了晒人鱼线秀肌肉的型男。
销售铁柱跟了某大客户3个多月,好不容易拿到客户的测试授权,兴冲冲地跑回公司跟老板要了最资深的渗透团队开始干活,天天买饮料叫外卖伺候了这帮兄 弟一个礼拜,当然辛苦没有白费,渗透团队提交了厚厚的一本渗透测试报告给他,从门户网站、企业邮箱再到在线业务全部沦陷,内网漫游畅通无阻。
客户信息化主管大猫看到报告吓出一身冷汗,满满的自信瞬间被击垮,一脸无助的表情看着铁柱,铁柱拿出精心准备好的解决方案,一股脑将公司全线产品塞给大猫,人家照单全收了。
这就是渗透测试应用最为广泛的一个场景,那么有问题么?
晒人鱼线秀肌肉这件事本身没错,本身就是常用的营销手段,但是晒完之后,问题就来了。
补锅匠
服装店的女顾客被人鱼线惊艳到买了衣服回家,结果发现洗了一次之后就变形了,设计上也不出彩,穿了一次后就被闲置在衣柜的某个角落。
而客户被渗透测试报告吓到之后,无数的大猫们就成了地地道道的补锅匠,手捧乙方销售给他们私人定制的《补锅大全》,投身到革命尚未成功但同志仍需努力的补锅大业中去了,当然补锅用的白铁皮也是从乙方销售手里买回来的。
我们看看这个模式有带来哪些问题:
客户发现花了很多预算买回来一堆安全产品后,业务系统还是被攻陷了,勤勤勉勉补锅数月,旧洞未走,新洞已来,甚至白铁皮本身也有了洞,客户大怒,大打销售五十大板。
假以人鱼线卖产品,有啥卖啥,且缺少后续跟进服务,此为问题之一。
客户发现堆砌的安全产品无法防护攻击之后,从此只购买渗透测试服务,也只重视最终的渗透测试报告,将渗透中找出的漏洞从技术层面修补好就完事了。
漏洞永远也都找不完,渗透测试耗费过多预算,客户顾此失彼,并且陷入到攻防怪圈不能自拔,此为问题之二。
厚厚的一本渗透测试报告,最终只传阅到安全和IT运维团队面前,并没有被管理层和业务部门所知晓并认同,漏洞再严重也是停留在代码修复层面,却从来 不从风险管理和业务层面来进行深度分析,漏洞产生的根本原因到底是开发人员的问题还是缺少SDL类似的管理机制,这个现象Simon Wu也讲过。
漏洞关注层次过低,分析视角单一,正向反馈价值尚未深挖,此为问题之三。
微软威胁情报中心总经理老约翰还提及过一点,更多时候客户将渗透测试视为一次安全服务的最终结果,而不是当作进一步安全规划的输入信息。明眼人一看 就知道,很多客户单位渗透测试做了很多次,每次都能发现很多问题,但是人家的安全决策和规划却没有发生任何改变,这不是一个好现象。
把渗透测试当成结果,而不是输入,此为问题之四。
补锅匠穷其一生兢兢业业却效率低下,市场需要反思,而客户的思维定势也需要改变,如何更有效地发挥渗透测试的作用,这是我们从业者应该好好考虑的问题。
拯救大猫
拯救补锅匠大猫,这是一个艰巨的任务,这也是一个轻松简单的任务。
老高的人鱼线策略在开张初期效果不错,但因为服装本身问题导致客流量逐渐减少,使得他不得不辞掉了高薪聘来的型男老外们,在经过阵痛期之后,老高重 新调整了策略,从服装本身入手,提升了衣服的品味,导购的素质和其它一些的软硬实力,重新赢得了顾客的认可,而型男老外们也重新回到了店里。
客户信息化主管大猫在经历几次安全事件之后,对铁柱公司的产品和服务产生了怀疑,而铁柱的服务团队并没有引起重视并做出有效应对,最终在某个耀眼的黄昏,大猫在喷了铁柱一脸口水之后,终止了与铁柱公司的继续合作。
丢掉了后续的单子,铁柱满脸沮丧地回到了公司。在听完铁柱的反馈之后,会议室里老板、产品、服务和市场总监们都陷入了沉思,空气似乎凝固了一般,所有人都担心破窗效应的来临,丢了第一个大猫,接着就会丢第二个大猫。
第二天清晨天光微亮的时候,会议室里所有人都如释重负地吐了一口气,白板上画满了头脑风暴的潦草笔记,大家的意见最终达成了一致,所幸这并不是一个无法解决的技术难题,老板狠下心来要做出改变,而改变正是从渗透测试开始。
拯救补锅匠大猫和铁柱公司自救是否能成功,同样的故事其实每天都在真实世界里上演。
如果你是大猫,你会怎么做?如果你是铁柱的老板,你能怎么办?我们市场见。
91ri.org:小编也从个技术狗在慢慢转向一个销售狗,今天看到作者孙维的这篇文章感觉特别有意思,用生动的语言讲述了现在的安全防御现状以及对应的解决方案。挺不错的,分享给大家。
ps:好文难觅,91对新闻不太感冒,再加之近期一个新项目上线忙得不可开交,小编在编辑这篇文章的现在眼睛都快眯起来了 – -,所以近期的文章没有什么更新,抱歉。
本文来自sec-un 作者微信号:sunw3i
猜你还喜欢
- 07-08八年专业安全团队承接渗透入侵维护服务
- 08-06SQLMAP的注入命令以及使用方法
- 08-03白帽故事汇:网络安全战士从来不是「男生」的专利
- 07-27编辑器漏洞手册
- 07-12web安全之如何全面发现系统后台
- 02-22常见Web源码泄露总结
- 07-25网站后台登陆万能密码
- 07-23破解emlog收费模板“Begin”
- 01-12批量检测SQL注入
- 01-22Apache Solr远程代码执行漏洞(CVE-2017-12629)从利用到入侵检测
- 随机文章
-
- 没有Iphone也能装逼:让Android版QQ显示成Iphone6
- 利用Backtrack做Wifi钓鱼
- pptp的vpn真的安全吗?
- 技术揭秘:QQ空间莫名其妙转发是什么原因
- NFS打造Web图片服务器
- 通过Mesos、Docker和Go,使用300行代码创建一个分布式系统
- 用眼睛解读心灵
- 国产操作系统开发面临瓶颈
- 局域网找不到网络名解决方法
- 利用SSLstrip进行中间人攻击
- 简单配置搞定 Nginx + Tomcat + HTTPS
- 免费的Linux shell访问
- Google宣布对其域名启用HSTS协议
- 最全的webshell提权资料
- mysql注入总结
- SQLMAP的注入命令以及使用方法
- Dreamweaver CS6破解教程[序列号+破解补丁]
- 常见Web源码泄露总结
- 博客今日开始正常运营更新文章
- 零基础入门学习C语言视频教程 带课件资料
- 热门文章
-
- 八年专业安全团队承接渗透入侵维护服务
- Emlog黑客站模板“Milw0rm”发布
- Stuxnet纪录片-零日 Zero.Days (2016)【中文字幕】
- SQLMAP的注入命令以及使用方法
- 白帽故事汇:网络安全战士从来不是「男生」的专利
- 编辑器漏洞手册
- web安全之如何全面发现系统后台
- 常见Web源码泄露总结
- 渗透测试培训(第五期)
- 深入理解JAVA反序列化漏洞
- cmseasy前台无需登录直接获取敏感数据的SQL注入(有POC证明)
- 网站后台登陆万能密码
- 黑麒麟2016渗透培训系列教程
- 破解emlog收费模板“Begin”
- 那些强悍的PHP一句话后门
- Android平台渗透测试套件zANTI v2.5发布(含详细说明)
- 渗透工具BackTrack与KaliLinux全套视频教程
- Python列为黑客应该学的四种编程语言之一 初学者该怎么学
- CVE-2017-11882漏洞复现和利用
- 恶意程序报告在线查询工具
文章存档
- 2021年3月(4)
- 2020年12月(4)
- 2020年11月(5)
- 2020年10月(8)
- 2020年9月(8)
- 2020年8月(20)
- 2020年7月(47)
- 2020年6月(70)
- 2020年5月(41)
- 2020年4月(21)
- 2020年3月(120)
- 2020年2月(26)
- 2019年12月(12)
- 2019年11月(13)
- 2019年10月(17)
- 2019年9月(15)
- 2019年8月(13)
- 2019年7月(15)
- 2019年6月(15)
- 2019年5月(19)
- 2019年4月(23)
- 2019年3月(19)
- 2019年2月(11)
- 2019年1月(29)
- 2018年12月(24)
- 2018年11月(56)
- 2018年10月(79)
- 2018年9月(20)
- 2018年8月(17)
- 2018年7月(16)
- 2018年6月(7)
- 2018年5月(10)
- 2018年3月(6)
- 2018年2月(2)
- 2018年1月(11)
- 2017年11月(18)
- 2017年10月(6)
- 2017年9月(8)
- 2017年8月(7)
- 2017年7月(7)
- 2017年6月(15)
- 2017年5月(30)
- 2017年4月(7)
- 2017年3月(1)
- 2017年2月(4)
- 2017年1月(1)
- 2016年12月(3)
- 2016年11月(7)
- 2016年10月(6)
- 2016年9月(6)
- 2016年8月(102)
- 2016年7月(24)
- 2013年7月(1)
- 文章标签
-