网络世界中最令人沮丧的现实之一就是攻击者无处不在。这些攻击者可能是漏洞研究人员、间谍、伦理黑客,甚至骇客,有时他们还可能兼具多种身份。一些技术高超的黑客具备良好的道德品质,被称为“白帽黑客”。他们为政企提供安全测试和漏洞扫描服务,模拟黑客渗透,对网络系统、应用程序和基础设施进行模拟攻击。这是评估政企安全防御能力的重要途径。总的来说,合格的渗透测试人员通常先对计算机基础知识感兴趣,进入第一阶段;然后进一步学习各种渗透测试工具和掌握更高级的攻击技术,达到第二阶段;随后,他们会深入研究特定领域,例如Web应用程序安全,在这一领域达到第三阶段;最终,他们可能负责协调和指导其他渗透测试人员的工作,成为渗透测试团队的领导者。为跟上安全技术的发展步伐和应对不断升级的威胁,安全从业人员需要不断学习和更新技能。
白帽子黑客人才成长路径如图3-8所示。
图3-8 白帽子黑客人才成长路径
第一批计算机黑客是业余爱好者,技术专家,好奇心强,想了解计算机系统工作原理。他们出于个人兴趣,追求知识而非利益,在探索计算机和程序时无意间发现了原系统设计者忽略的缺陷。开发者如果希望引入众测,业余爱好者可能是合作伙伴。通常,他们遵守道德,有底线,不损害系统,不犯罪。了解他们的思维方式能增强系统安全。
漏洞研究人员又称“白帽子”,通常是在组织内部或外部,对软件或系统进行渗透测试和漏洞扫描,并对发现的漏洞进行分析、验证和报告。“白帽子”工作的出发点一般是要解决所有的安全问题,阻止“黑帽子”的侵入。和警察破案一样,“黑帽子”搞破坏往往是一瞬间,而“白帽子”需要花几倍的时间来排除各种可能性。“白帽子”在设计解决方案时,如果只看到各种问题组合后产生的效果,就会把事情变复杂,难以解决根本问题,所以“白帽子”必然是在不断地分解问题,再对分解后的问题逐个予以解决。漏洞研究人员会专业地运用安全知识,而且乐于寻找安全缺陷。他们可以是全职员工、自由职业者,甚至是偶然发现漏洞的普通用户。许多研究人员会参与各大型互联网公司通过应急响应中心(Security Response Center,SRC)提供的漏洞奖励计划(Vulnerability Reward Program,VRP),以合法的方式获取赏金。
“白帽子”的工作是相当辛苦的。业界有一个玩笑:一杯茶,一支烟,一个破绽看一天。有了成果后,“白帽子”要禁得起诱惑,通常那些发现0day的人更愿意将0day卖给黑产而不是提交给这些公司的SRC,原因只有一个——漏洞提交的奖励远不及卖给黑产的收益。
通常,“白帽子”的动机是使系统更好,并且可以成为安全防守方的重要盟友。很多传奇人物在个人技术达到一定巅峰后,转而从事各类安全生态建设,推动某个安全领域向前发展,这也是擅用杠杆的表现。
现在,许多攻击源自脚本和机器人,初始目标可能是批量爬取数据,随后发展为自动发现并利用漏洞。随着AI技术的发展,科学家和伦理学家在思考全智能机器人是否有足够的学习能力来互相攻击,甚至攻击人类的基础设施。
2015年,美国国防部高级研究计划局(Defense Advanced Research Projects Agency,DARPA)举办的网络挑战赛的成功表明,未来可能有一些攻击在没有人类直接控制的情况下执行。这将是未来高级安全专家的一个重要研究领域。