Shawn the R0ck 寫道:數字軍火行業涉足未公開(0-day)的和已經公開(N-day)的漏洞以及相關的漏洞利用,數字軍火是一種無形的武器,這種武器的構造和形態難以被普通人理解,即使是從業信息安全多年的安全工程師,安全分析師和CISO(安全首席官)也經常把諸多概念混淆,什么是 bug?什么是 exploitable bug?什么是漏洞?什么是漏洞利用?什么是漏洞利用平面?什么是漏洞利用方法?他們的關系是什么?早在 HardenedLinux 還有全職 maintainer 的階段(2015-2020),我們就致力于基于開放的方法論對抗數字軍火,到2021年成立了 HardenedVault 后逐步的把基礎架構領域的各個環節工程化,在 Vault Labs 看來,攻擊和防御雙方信息是極度不對稱的,我們行走了三分之一個地球,不論到哪里,如果你說你是從事數字軍火領域的那一定很多人樂意跟你做生意,反之,如果你富有激情的講解系統安全的防御,即你是打造盾牌的那一位,不好意思,你或許會遇到有人不屑一顧的表情就像在說“Fuc* off 去你大爺浪費我時間!”一樣,另外,我們收到的反饋中,不乏有對于極端威脅模型的困惑,大部分人基于各種動機和原因認為面對 The Desert of the Real 是沒有意義的或者壓根認為真實的荒漠不存在,這正是當我們看到 Maor 的文章后非常興奮的原因,畢竟再遇到有人問相同的問題直接讓他們去讀 Maor 的那兩篇文章即可,這個策略一定會奏效于那些堅持探索真相的人,不論他們是否從事信息安全工作。
關于 0-day 數字軍火行業
2023-07-21 09:38:29
Shawn the R0ck 寫道:數字軍火行業涉足未公開(0-day)的和已經公開(N-day)的漏洞以及相關的漏洞利用,數字軍火是一種無形的武器,這種武器的構造和形態難以被普通人理解,即使是從業信息安全多年的安全工程師,安全分析師和CISO(安全首席官)也經常把諸多概念混淆,什么是 bug?什么是 exploitable bug?什么是漏洞?什么是漏洞利用?什么是漏洞利用平面?什么是漏洞利用方法?他們的關系是什么?早在 HardenedLinux 還有全職 maintainer 的階段(2015-2020),我們就致力于基于開放的方法論對抗數字軍火,到2021年成立了 HardenedVault 后逐步的把基礎架構領域的各個環節工程化,在 Vault Labs 看來,攻擊和防御雙方信息是極度不對稱的,我們行走了三分之一個地球,不論到哪里,如果你說你是從事數字軍火領域的那一定很多人樂意跟你做生意,反之,如果你富有激情的講解系統安全的防御,即你是打造盾牌的那一位,不好意思,你或許會遇到有人不屑一顧的表情就像在說“Fuc* off 去你大爺浪費我時間!”一樣,另外,我們收到的反饋中,不乏有對于極端威脅模型的困惑,大部分人基于各種動機和原因認為面對 The Desert of the Real 是沒有意義的或者壓根認為真實的荒漠不存在,這正是當我們看到 Maor 的文章后非常興奮的原因,畢竟再遇到有人問相同的問題直接讓他們去讀 Maor 的那兩篇文章即可,這個策略一定會奏效于那些堅持探索真相的人,不論他們是否從事信息安全工作。
