人鱼线

盛夏夜的三里屯，街角草丛里还不时地传来蟋蟀的叫声，老高点燃一支烟，望着不远处装修一新的门店，在思考着自己代理的新服装品牌入驻京城如何来打响第一炮。

老高正发着愣，忽然听到身后传来一阵脚步声，回头一瞅发现是一个夜跑的老外，光着膀子满头大汗，一身结实的肌肉向世人昭告着我很Man，移动的肌肉从眼前晃过，老高灵光一现，猛得一拍大腿，对于新品牌的宣传造势他已经有主意了。

不久后，三里屯某服装店开业请一大票国外半裸型男站台揽客，用人鱼线征服萌妹纸和大姨妈的新闻刷了好几天的屏。

老高卖的是衣服，但他却靠型男来招揽生意，成功地将顾客的视线由衣服本身转移到人鱼线上。人鱼线只需看几眼，而衣服却要穿数月，至于衣服合不合身，设计感怎么样，质量如何，那都不是老高要考虑的。

大家有没有发现安全领域有个场景跟老高卖衣服的方法很相似，没错，就是渗透测试，渗透测试如今也被大多数服务团队当成了晒人鱼线秀肌肉的型男。

销售铁柱跟了某大客户3个多月，好不容易拿到客户的测试授权，兴冲冲地跑回公司跟老板要了最资深的渗透团队开始干活，天天买饮料叫外卖伺候了这帮兄 弟一个礼拜，当然辛苦没有白费，渗透团队提交了厚厚的一本渗透测试报告给他，从门户网站、企业邮箱再到在线业务全部沦陷，内网漫游畅通无阻。

客户信息化主管大猫看到报告吓出一身冷汗，满满的自信瞬间被击垮，一脸无助的表情看着铁柱，铁柱拿出精心准备好的解决方案，一股脑将公司全线产品塞给大猫，人家照单全收了。

这就是渗透测试应用最为广泛的一个场景，那么有问题么？

晒人鱼线秀肌肉这件事本身没错，本身就是常用的营销手段，但是晒完之后，问题就来了。

补锅匠

服装店的女顾客被人鱼线惊艳到买了衣服回家，结果发现洗了一次之后就变形了，设计上也不出彩，穿了一次后就被闲置在衣柜的某个角落。

而客户被渗透测试报告吓到之后，无数的大猫们就成了地地道道的补锅匠，手捧乙方销售给他们私人定制的《补锅大全》，投身到革命尚未成功但同志仍需努力的补锅大业中去了，当然补锅用的白铁皮也是从乙方销售手里买回来的。

我们看看这个模式有带来哪些问题：

客户发现花了很多预算买回来一堆安全产品后，业务系统还是被攻陷了，勤勤勉勉补锅数月，旧洞未走，新洞已来，甚至白铁皮本身也有了洞，客户大怒，大打销售五十大板。

假以人鱼线卖产品，有啥卖啥，且缺少后续跟进服务，此为问题之一。

客户发现堆砌的安全产品无法防护攻击之后，从此只购买渗透测试服务，也只重视最终的渗透测试报告，将渗透中找出的漏洞从技术层面修补好就完事了。

漏洞永远也都找不完，渗透测试耗费过多预算，客户顾此失彼，并且陷入到攻防怪圈不能自拔，此为问题之二。

厚厚的一本渗透测试报告，最终只传阅到安全和IT运维团队面前，并没有被管理层和业务部门所知晓并认同，漏洞再严重也是停留在代码修复层面，却从来 不从风险管理和业务层面来进行深度分析，漏洞产生的根本原因到底是开发人员的问题还是缺少SDL类似的管理机制，这个现象Simon Wu也讲过。

漏洞关注层次过低，分析视角单一，正向反馈价值尚未深挖，此为问题之三。

微软威胁情报中心总经理老约翰还提及过一点，更多时候客户将渗透测试视为一次安全服务的最终结果，而不是当作进一步安全规划的输入信息。明眼人一看 就知道，很多客户单位渗透测试做了很多次，每次都能发现很多问题，但是人家的安全决策和规划却没有发生任何改变，这不是一个好现象。

把渗透测试当成结果，而不是输入，此为问题之四。

补锅匠穷其一生兢兢业业却效率低下，市场需要反思，而客户的思维定势也需要改变，如何更有效地发挥渗透测试的作用，这是我们从业者应该好好考虑的问题。

拯救大猫

拯救补锅匠大猫，这是一个艰巨的任务，这也是一个轻松简单的任务。

老高的人鱼线策略在开张初期效果不错，但因为服装本身问题导致客流量逐渐减少，使得他不得不辞掉了高薪聘来的型男老外们，在经过阵痛期之后，老高重 新调整了策略，从服装本身入手，提升了衣服的品味，导购的素质和其它一些的软硬实力，重新赢得了顾客的认可，而型男老外们也重新回到了店里。

客户信息化主管大猫在经历几次安全事件之后，对铁柱公司的产品和服务产生了怀疑，而铁柱的服务团队并没有引起重视并做出有效应对，最终在某个耀眼的黄昏，大猫在喷了铁柱一脸口水之后，终止了与铁柱公司的继续合作。

丢掉了后续的单子，铁柱满脸沮丧地回到了公司。在听完铁柱的反馈之后，会议室里老板、产品、服务和市场总监们都陷入了沉思，空气似乎凝固了一般，所有人都担心破窗效应的来临，丢了第一个大猫，接着就会丢第二个大猫。

第二天清晨天光微亮的时候，会议室里所有人都如释重负地吐了一口气，白板上画满了头脑风暴的潦草笔记，大家的意见最终达成了一致，所幸这并不是一个无法解决的技术难题，老板狠下心来要做出改变，而改变正是从渗透测试开始。

拯救补锅匠大猫和铁柱公司自救是否能成功，同样的故事其实每天都在真实世界里上演。

如果你是大猫，你会怎么做？如果你是铁柱的老板，你能怎么办？我们市场见。

91ri.org：小编也从个技术狗在慢慢转向一个销售狗，今天看到作者孙维的这篇文章感觉特别有意思，用生动的语言讲述了现在的安全防御现状以及对应的解决方案。挺不错的，分享给大家。

ps：好文难觅，91对新闻不太感冒，再加之近期一个新项目上线忙得不可开交，小编在编辑这篇文章的现在眼睛都快眯起来了 – -，所以近期的文章没有什么更新，抱歉。

本文来自sec-un 作者微信号：sunw3i