第 四 辑 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 独立思考 协奏成章 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 第四辑 文集申阅 主 编： Bruce ZHANG 编 辑： Rachel ZHANG, Amy SUN 装帧设计： 书 名： 安全村文集 第四辑 印发时间：2020 年 11 月第 1 版 2020 年 11 月第 1 次印刷 网 站：www.sec-un.org 投稿邮箱：[email protected] 致读者 2020，变化接连不断，又仿佛一切如常。 想起曾听过的一个故事。 巴甫洛夫在酒吧喝酒，突然吧台上的电话铃响了。 春节后，在家中封闭了 4 个月。 他从凳子上一跃而起：“艹！我忘记喂狗了！” 起初手足无措，两周后，便欣然宅居。 常年颠沛流离的出差狗，学到了一种新技能。 2020 还没结束。 仿佛我驾驭了生活。 依然在努力感受这新的日常。 整理目录时，又再回顾一个个独立的思考。 和朋友们聊天，行业也有了些变化。 这给了我很大的慰藉，和力量。 过去，总感觉技术和文化才是面子，商业只是里子。 比如对黑客文化的推崇，伴生着对商业成功的扭捏。 但如今，商业成功已成为新的面子。 甚至，正在变成对技术近乎唯一的审美。 这变化，仿佛代表着成熟。 有机构来谈合作，问，安全村的要求是什么。 答复没什么要求，只要是服务于有态度的安全人。 连续解释了多遍，对方看起来依然很困惑。 萨特说，没有人想面对大写的存在。 2020 年 10 月 07 日 目录 观点 管理 致读者 安全行业近五年之怪现状……………………………………………… 谢涛 1 15 为什么 ATT&CK 对 APT 关联归属分析用处不大… …………… 汪列军 23 Threat Intelligence Inside，一种网络安全生态的探索… ……… 杨大路 31 安全服务——我见…………………………… 周群 / 冰粥先生 @B1nGzL 39 以色列之旅—科技就是新宗教………………………………………… 吴强 45 再谈技术与管理………………………………………………… truebasic 55 从管理学，哲学和艺术角度谈信息安全规划…………… 顾伟 Great Gu 65 等级保护 2.0 常见问题集… …………………………………………… 飞絮 79 技术 资本 市场 销售 美国爱因斯坦计划跟踪与解读（2020）……………………………… 叶蓬 97 幸存者偏差与威胁情报的攻防演练应用…………………………… 刘广坤 103 “零信任”漫谈………………………………………………………… 杨洋 115 体系化的 WAF 安全运营实践… ………………………… 靳晓飞 secsky 131 从 STIX2.1 看安全智能归来………………………………… 李强（小强） 145 Cyber Security Resilience 网络安全弹性…………………………… 郑磊 161 威胁狩猎 101 文档……………………………………………………… 程度 185 无 SD-WAN 不 SASE… …………………………………………… 岑义涛 193 新时代、新运维、新堡垒…………………………………………… 王军旗 201 运维日志里隐藏的安全危机，你知道怎么挖吗？…………… Secisland 213 网络安全行业为什么值得投资？……………………………………… 许俊 221 从美国网络安全 ETF 基金所选 58 家企业看全球网络安全产业格局 ………………………………………………………………………… 王文宇 231 销售的业绩任务相同，薪酬是否也该相同？…………… Bruce ZHANG SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 观点 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 安全行业近五年之怪现状 谢 涛 职业嘴炮 SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN SEC-UN 序言 印象中大概是 16 年前后，安全行业迎来了名副其实的春天： 4.19 讲话后，嗅觉敏锐的风投资本纷纷挥舞着钞票，开启了 安全“淘金热”，大量资金的涌入，让整个安全行业被动地 迎来了“创业潮”和“创新潮”。同时，VC 资本对安全企业 及其核心团队的考量，以及给安全行业带来的“互联网玩法”， 例如流量为王，例如裂变推广等，也刷新了安全产业界的认 知：原来自己错过了这么多暴富的机会。于是乎，安全有了“实 现一千个小目标，赶超小龙虾”的雄心和愿景。 几年过去了，安全产业看着形势一片大好，政策利好、产业 升级、领导视察、央媒报道、投资纷现、上市圆梦、会议刷屏、 人才济济，可谓“日有一新、月有一进”。特别是这两年的“HW” 这个大 IP，乙方各尽其能，堪称盛宴。 1 安全行业近五年之怪现状 然而，繁花之下，小龙虾却离我们越来越远。（注：16 年小 似也受到了国内追捧和推崇的激励，打鸡血一般地刷新各种 龙虾总产值 1466 亿，19 年已达 4110 亿，单养殖小龙虾就有 新名词、新概念，走在了概念创新和名词创新的最前列。（实 710 亿，而安全产业貌似仍在向 700 亿目标努力。）经过近 5 际大多是换汤不换药，甚至前后矛盾。） 年政策推动下的野蛮生长，安全行业似乎并没有像其他行业 那样引来爆发，相反却有些乱象纷呈、浮躁不堪。 于是乎，在近几年大大小小的安全会议上，笔者总能在大屏 幕的 PPT 中看到一连串的大写英文、大小写英文，甚至中英 一年前，笔者在村里发了一篇《吐槽系列 (1): 安全热词造词 双语的新名词，如果旁边不加上解释，你都猜不出来是啥意 填词姿势大全》，算是吐槽了一把。然后就窝在单位专心搞事， 思。而且，越是高端，越是人多的会议，PPT 上的新名词越 在经历了被各种产品坑到欲仙欲死、头发日益稀疏的一年后， 多，以至于都没有足够的空间留给名词解释了。甚至于，出 趁着 Bruce 总的大魔王花式催稿，在原文的基础上再来吐槽一 现了不同厂商之间造词重合却词义不同的“撞车”事件，其 把，以发泄下心中的怨念，挽救下我的头发。文中所述种种 尴尬程度堪比国内女星红毯“撞衫”，其中姿势，令人瞠目。 吐槽，如果真有雷同，肯定不是巧合，欢迎对号入座，大家 以下就重点讲几个栗子，博君一笑。 心照不宣。 说到造词，X 系列是最常见的手法。一般来说，X 大多是 N 一、造词车祸现场：追热度频造新词，运用之妙，存乎一心 （Network）、H（Host-based）、E（Endpoint）这些，后 面挂接类似 DLP、IDS、IPS 这些常见产品或技术的缩写词时， 造词这个事，实际源于早期（当然现在也是）国内向国外同 大致都能明白说的是啥。但是，最近看到不少碉堡的新产品 行学习先进理念和技术的时候，连皮带骨做复刻的顺带产物。 和新技术，其缩写名词堪称魔幻现实主义，生搬硬套之经典。 一个好词，既能清晰地表达自身产品的功能定位，又能从骨 比如： 子里透出一股国际范，还可以表达自身处于某一个时代浪潮 的顶峰，一举多得。 1、XBAC 系列 我们都知道 RBAC（基于角色的权限控制）和 ABAC（基于 2 然而，当安全界风向标 Gartner 和 RSA 开始打造安全业的“热 属性的权限控制），当然还有 IBM 的 LBAC（基于标签的 词”榜，诞生诸如年度 N 大安全技术，年度安全热词之后， 权限控制）。虽然，个人认为标签（Label）实际也是属性 国内追热度、造热词、强行挤风口（名义或故事上的）的情 （Attribute），但是 IBM 爸爸说了算。因此，国内不少厂商 况就愈演愈烈，甚至于 Gartner 或者 RSA 前脚刚发布一个热 在设计、宣传自身权限控制产品和技术时，基于中文语义， 词，后脚就有一堆类似的新词如雨后春笋般地涌出，而且还 诞生了不少 XBAC 类名词，例如： 都有对应的产品一条龙。这足以让远隔千里的国外产商对我 1）基于流程的权限控制—PBAC； 们的产品创新能力和研发能力叹为观止，更是让大大小小的 2）基于任务的权限控制—TBAC； 投资人和领导感慨安全产业未来可期。而 Gartner 和 RSA 貌 3）基于本体的权限控制—OBAC； 3 安全行业近五年之怪现状 4）基于行为的权限控制—BBAC； 真的记不住。 5）基于数据分类的权限控制—CBAC。 2、XDR 系列 但是，英文单词只有 26 个啊，XBAC 多了总会有撞车的，加 这 个 系 列 最 早， 也 是 最 为 人 熟 知 的 就 是 EDR（ Endpoint 上英文的同义词也蛮多的，于是乎，在我们的 PPT 中，就可 Detection and Response）。 记 得 在 14 年 的 时 候，Gartner 能出现以下几种情况： 就将 EDR 列为年度十大安全技术了，也算是 XDR 中最早 ·基于标签的权限控制既可以是 LBAC（Label）也可能是 TBAC（Tag）； 出来混的。DR= 检测与响应，这等天赐的万能造词组合， 大家怎能错过？最开始呢，还是比较矜持，EDR 也就变成 NDR（Network），也算说得过去。到后面，出现了 TDR ·基于行为的权限控制既可以是 BBAC（Behavior），也可 能是 ABAC（Action）； （Threat）、MDR（Managed）、CDR（Cloud）、ADR （Attack）、DDR（Docker）、IDR（incident）、AIDR（AIdriven）、HDR（Host-ba