对产品和技术要有信仰。
前一段时间某位朋友跟我们说,希望我们派队伍支持一下他们地区的攻防演习工作。实话说,我们公司的攻防能力在行业算是中上,非说最顶级的那一批那就有点自欺欺人了。因为攻防是需要做大量投入的,比如高级别攻防专家、漏洞储备、工具和平台储备、数据储备等。要取得好名次首先要舍得投入,其次要保证可持续的稳定团队。以前光靠nday和渗透技巧就能有一些保证,现在看,你要没有现场挖洞的能力,想要有好成绩已经比较难了。
从另一个角度说,国内的安全服务的预算相对比较低,一个安服团队很难支撑一个规模性企业的盈利,所以,除非有高性价比的成绩输出,否则我觉得都很难长期持续,最后都是为了推广产品的销售。高级别专家的待遇很高,客户预算却没有明显的提升,堆人头的模式解不了局。我倒是很看好有几家头部能力企业,他们通过两个方面来解局:一是快速打出效果口碑,树立品牌和客户认知,来提升议价能力;二是通过优于行业的培养机制,从内部培养而不是高成本引入同等级别的专家,来形成氛围变成一种良性循环。这两种方式的效果就是提升人效比,用一定时间达到规模效应。
所以回到开头部分,我们的第一反应是很坦诚地跟朋友说能力不行资源不足有心无力,朋友说没事结果不重要,派人参加就好。在这种情况我仔细想了一想,说那我派Goby的研发团队参加。虽然我们的研发团队除了一个兄弟是安全技术研究出身外,其他人都是前后端开发以及设计师和产品运营,别说攻防了,连rce是什么都不是很清楚。我一直觉得产品团队没见到最美好的产品效果是很大的问题,因为研发永远是“做产品给别人用”,连骂娘的场景和心情都没有,能做出好产品是不可能的。
我的要求很简单,必须用Goby去走通完整流程,公司的内部产品和数据可以随便用,用foradar梳理目标的互联网攻击面,用Goby做打点工具(本来还想用octra完成自动化渗透,可惜没有走通),再靠人工完成横向。结果还是有意思的,我们的成绩比我预想的要好,能够保持在中上。最让我惊喜的是两个女孩子,一个设计师一个社区运营,按照产品流程一步步执行下去,能够完成互联网打点控制的效果。
后来复盘的时候,大家唧唧哇哇说了很多产品上的问题,吐槽了很多,这里不好用那里不好用,流程很垃圾逆人性之类的说了一大堆。我说这就对了,我们的目标是固化最佳实践,是固化行业技术专家的能力,帮助能力还在摸索早期的或者高级别专家完成保证基本效果的快速提效。我们自己就是最典型的初入门者,没有比这更好的试用田了。咱们骂的所有内容都会变成我们的方向。最极致的体验最好的效果,肉眼可见的部分做好就行,我们满意了,用户也就满意了。
这件事情后来衍生出了一个小插曲,大家在用foradar的过程中发现自动化的快速互联网暴露面的梳理是一个很重要也很有效的工作,但是如何把foradar的数据导入到Goby进行扫描变成了一个很明显的吐槽点,自家产品居然连数据流程都没打通。马上我就要求foradar增加API,要求Goby团队写对应的插件完成打通。中间过程不讲,后来大家在打通流程的过程中,拿自家公司做测试,输入企业名称,foradar全自动化输出IP和域名列表,再用Goby扫描。然后戏剧化了……扫描出我们自己的一个漏洞。foradar团队的一个边角料的测试IP存在数据接口公开了,虽然没有实际数据,但是这就是典型的灯下黑。我问产品负责人见过这个IP吗?他说天天看到,但是没想到去扫描一下漏洞。
这两次事件对内部还是起了一些积极的效果的,最典型的是大家开始用自己的产品,且有了一定的信心。有一天CSO跑过来一脸的笑,说不懂安全的产品经理和研发工程师用octra完成了对特定目标的实网攻防演习的打点工作。那种开心就是成就感,就是我们生存的意义。最近我们也越来越多的输出了一些比较有有价值的产出,听到了客户的正向反馈,这让我感觉青春和热血回来了。
foradar的自动化互联网攻击面梳理能力依托FOFA是可圈可点的,相比而言有明显的优势,但是很不幸一出场就被行业easm人工服务给拖入泥潭而不自知,暗网是暗网的问题,文库是文库的问题,这些也不是完全不能自动化,只是咱们如果不能保证IP资产的技术领先性,那么根基就不存在了,很快陷入低价人工服务的恶性循环。也许短时间内赚不了大钱,但是投入资源做技术突破是很有意义的,看长远而不是太注重短期利益(实际上也没有)。
有一次foradar团队跟我说测试自动化梳理过程中发现了一个互联网资产的一个ERP特别像是我们公司的,有我们的logo和标题,跟我们内网的一模一样,但是一查又不是我们的公网IP。后来经过确认发现是我们的ERP供应商为了方便开发和测试,没有通知我们,私下复制了一份放在互联网上。这是妥妥的扣分题,从企业角度百口莫辩,供应链厂商这种骚操作特别多,可能偷摸把早期真实的账号都带出去了,他们有坏心吗?我觉得大概率是没有的,他们只是单纯的笨而已,只是这种笨给行业的安全带来了很大的挑战。在我们跟各类客户交流的过程中也发现,客户们对这种供应链厂商的笨咬牙切齿,被通报了这种委屈也只能自己生吞。我觉得foradar能把自动化技术做好就特别好,因为只有这样才能解决大量企业的互联网暴露面问题,解决属地化管理问题,这是未来网络空间测绘非常重要的基础能力,前期覆盖度可能只有50%,我们一定要通过技术让它达到80%,达到90%甚至更多,但是一定要通过技术,不能取巧。
我举这些例子只是说明我们的某些能力很弱我们要承认,那是因为我们把一些核心能力做到了行业最顶级,比如FOFA的全网稳定快速全面的探测能力,比如foeye的供应链测绘能力,比如foradar的自动化互联网攻击面梳理能力,比如Goby的实战化漏洞利用,比如OCTRA的资产持续化标定和办案流程,还有ASP和fobrain的平台能力还在打磨。不管哪一个,我都能感受到客户的真实的痛点和强烈的需求,行业很多地方都是一片空白,这是蓝海市场不是红海,做好效果用户就会付费,只恨自己没有三头六臂。
公司的同事们一定要见到我们自身产品的最强能力,要敢于上手敢于对比,把自己变成用户,用最短路径把最好效果做出来,让自己看见让自己相信。这种相信近乎信仰,我看见了供应链带来的巨大网络安全的问题,看见了大环境下网络攻防对抗的强度,这些问题没有一个好解决,我们除了有必胜的决心,也要有优秀的装备,这是时代赋予我们的使命。积累信心真的很简单,打几场小胜战就好了。
后来又有朋友说希望我们派人支持一下工作,我说这次确实派不出人了,他说“借你们几个设计师就可以了”,我说设计师都派完了,我们现在全员都在一线。
原文始发于微信公众号(赵武的自留地):产品的信仰
