简单总结下我的24年: 感觉今年过的格外的快的,仿佛23年发生的事情还历历在目;转眼间24年就结束了,总结下今年的事情,同时也展望下25年;
先回顾下24年年初自己立下的flag:
(目标)1、更新30篇BLOG。 更新了25篇,本来10月份还以为能够随便完成的,但是11月12月没有保持住更新频率; 进度(83%)
(目标)2、完成自己的一套远控 目前初步勾画了一版,框架以及c/s的通信协议设计好了,实现了初步的远程命令以及文件传输功能;还是投入的时间太少了,10月之前都没有启动,最后三个月赶了一点进度,感觉其实这个事情是我所有的flag中优先级应该是最高的,因为不管是从攻击侧还是防御侧来看,在实现自己远控的过程都能让我受益匪浅。 结合自己的工作性质,我可以把自己在防守方从一些 红队、apt、黑灰产 组织团伙样本中学习到的东西(主要围绕免杀以及对抗检测)落地到这个项目。 进度:(20%)
(目标)3、写1-2两个实用易上手(无门槛)的免杀工具 这个的话没有去做,是因为我觉得这个的工具和我上面的远控其实是重合了,免杀只是手段,而不是目标;免杀是相对的,写类似这种工具,就好比的在一个开放世界写了一个通往正确重点的路,貌似并没有什么价值。而且使用和写这类工具的人,主要应该是专职的红队开发,并且这种工具是需要长期的维护,我目前应该是没有时间去做。
(目标)4、卧推(80kg——>110kg) 果然新手期是成长最快的,新手保护期让我第一年从50-80kg,有点飘了;第二年我卧推并像我想象的那样进步,最终是卡在了85kg;24年年初过完年回来,生了场病,体重从80kg掉到了75kg,卧推也掉了很多,所以前半年主要还是在恢复;好在今年还是一直在坚持着,并且背部的进步比较快,能够做20个引体了;负重20kg也能做5x5了。 进度:((85-80)/30=17%)
技术: 今年重心主要是在威胁狩猎以及端上的攻防研究,也收集了一些红队和一些常见黑灰产的技战法,输出了一些情报文章;个人是非常看好的威胁情报的这条道路的,相信大家都看过威胁情报价值金字塔的那个模型;目前的网络安全90%的从业者对情报的理解还是停留在ip、域名、md5,尤其是一些的一线从而者;情报厂商目前并没有为高价值的威胁情报形成一套能够被业界所认可的输出形式。目前还是依靠一些文章去做输出的,但是对于不是专业做情报追踪溯源的人来说的,可能他并不具备去消化你文章的能力,更别提提取你文中提到的技战法了。所以更重要的是如何形成一套用于高价值情报传播、使用的统一方案。所以在这之前,我觉得自己应该具备批量的捕获对应情报的能力,当国家对安全要求进一步提高要求时,能够协助各企业做更多的事情。我觉得未来一些涉及国家建设的核心企业,其应该具备及时发现并处置企业中发生的安全事件并能够对这类事件实现追踪溯源,测绘并揭露攻击者的甚至反向渗透攻击者的能力;从被动的防御转化为主动的防御。
对自己的定位: 这一年里,我又有了一些新的认知,之前一直觉得自己什么都会一些,但是都没有专职去做,感觉自己会变成一个四不像;但是现在我不再有这样的想法的,我觉得未来的2-3年里,我需要的是让自己变成一个综合能力很强的人;我不再纠结自己的安全道路究竟选择哪条道路,在哪个方向开展深究。我对自己的定位是:一个具备对apt、黑灰产、红队 组织团伙追踪溯源以及开展狩猎动作的安全分析工程师;提高自己单兵作战能力;从事件的应急,到溯源攻击路径,再到攻击者溯源,再到攻击者测绘,再到狩猎;其中的每个环节自己都可以做,其实目前我也正在做这些事情。 下面所有的技能我都在自己的成长范围: 1、应急响应:对出现的安全事件开展分析以及提供相关处置建议; 2、溯源分析:对相关安全事件追踪溯源,结合终端以及相关安全设备开展攻击链溯源,梳理攻击链并提取攻击者的技术战法; 3、样本分析:对攻击者作案是使用的相关病毒木马开展逆向分析,提取其中的技战法;提取相关特征,并落地通用检测规则; 4、情报分析:对攻击者使用的工具以及相关基础设施指纹等内容进行分析,同源追踪; 5、威胁狩猎:根据情报分析以及技术战法提取的的结果,利用一些平台(日志汇聚平台)开展一些威胁狩猎工作;一方面捕获已知的威胁的,另一方面去的挖掘未知的威胁。
25年就不给自己设置更多的flag了,把远控的做好,投入足够的时间去做。
