【滲透測驗自學系列】— 網路攻防技術演化歷程

1.2.1. 歷史發展

1939年，圖靈破解了Enigma，使戰爭提前結束了兩年，這是較早的一次計算機安全開始出現在人們的視野中，這個時候計算機的算力有限，人們使用的攻防方式也相對初級，

1949年，約翰·馮·諾依曼（John Von Neumann）提出了一種可自我復制的程式的設計，這被認為是世界上第一種計算機病毒，

1970年到2009年間，隨著因特網不斷發展，網路安全也開始進入人們的視野，在網路發展的初期，很多系統都是零防護的，安全意識也尚未普及開來，很多系統的設計也只考慮了可用性，對安全性的考慮不多，所以在當時結合搜索引擎與一些集成滲透測驗工具，可以很容易的拿到資料或者權限，

1972年，緩沖區溢位攻擊被 Computer Security Technology Planning Study 提出，

1984年，Ken Thompson 在 Reflections on Trusting Trust 一文中介紹了自己如何在編譯器中增加后門來獲取 Unix 權限的，這也是較早的供應鏈攻擊，

1988年，卡耐基梅隆大學(Carnegie Mellon University, CMU)的一位學生以測驗的目的撰寫了Morris Worm，對當時的互聯網造成了極大的損害，

同年，CMU的CERT Coordination Center (CERT-CC)為了處理Morris Worm對互聯網造成的破壞，組成了第一個計算機緊急回應小組(Computer Emergency Response Team)，而后全球多個國家、地區、團體都構建了CERT、SRC等組織，

同樣是在1988年，Barton Miller教授在威斯康星大學的 計算機實驗課上 ，首次提出Fuzz生成器(Fuzz Generator)的概念，用于測驗Unix程式的健壯性，即用隨機資料來測驗程式直至崩潰，因此，Barton Miller教授也被多數人尊稱為"模糊測驗之父"，

1989年，C.J.Cherryh 發表了小說 The Cuckoo's Egg: Tracking a Spy Through the Maze of Computer Espionage ，這本書是作者根據追溯黑客攻擊的真實經歷改編，在書中提出了蜜罐技術的雛形，

1990年，一些網路防火墻的產品開始出現，此時主要是基于網路的防火墻，可以處理FTP等應用程式，

1993年起，Jeff Moss開始每年在美國內華達州的拉斯維加斯舉辦 DEFCON (也寫做 DEF CON, Defcon, or DC, 全球最大的計算機安全會議之一) ，CTF (Capture The Flag) 比賽的形式也是起源于1996年的 DEFCON ，

1993年7月，Windows NT 3.1發布，引入了身份認證、訪問控制和安全審計等安全控制機制，在此之前的 Windows 9x 內核幾乎沒有任何安全性機制，

1996年，Smashing the Stack For Fun and Profit發表，在堆疊的緩沖區溢位的利用方式上做出了開創性的作業，

1997年起，Jeff Moss開始舉辦 Black Hat ，以中立的立場進行資訊安全研究的交流和培訓，到目前為止，Black Hat 也會在歐洲和亞洲舉行，

1998年12月，Jeff Forristal在一篇 文章 中提到了使用SQL注入的技巧攻擊一個網站的例子，從此SQL注入開始被廣泛討論，

1999年1月21日-22日的第二屆 Research with Security Vulnerability Databases 的 WorkShop 上， MITRE 的創始人 David E. Mann 和 Steven M. Christey 發表了一篇名為《Towards a Common Enumeration of Vulnerabilities》的白皮書，提出了CVE (Common Vulnerabilities and Exposures, 通用漏洞披露) 的概念，在當年收錄并公開了321個CVE漏洞，

1999年12月，MSRC的一些工程師發現了一些網站被注入代碼的例子，他們在整理討論后公開了這種攻擊，并稱為 Cross Site Scripting，

2002年1月，Microsoft發起了 “可信賴計算” (Trustworthy Computing) 計劃，以幫助確保產品和服務在本質上具有高度安全性，可用性，可靠性以及業務完整性，SDL (Security Development Lifecycle) 也在此時被提出，

2001年9月9日，Mark Curphey啟動了OWASP (Open Web Application Security Project) 專案，開始在社區中提供一些Web攻擊技術的文章、方法和工具等，

在此之后，Responsible disclosure / Full disclosure 等概念也不斷進入人們的視野之中，

2002年10月4日，Kevin Mitnick 編著的 The Art of Deception (欺騙的藝術) 出版，這本書詳細的介紹了社會工程學在攻擊中是如何應用的，Kevin Mitnick 也被認為是社會工程學的開山鼻祖，

2005年7月25日，Zero Day Initiative (ZDI) 創建，鼓勵負責任的漏洞披露，

2005年11月，基于從1941年2月開始的情報收集積累和發展，Director of National Intelligence 宣布成立 Open Source Center (OSC) ，進行開源情報的收集，而后 Open-source intelligence (OSINT) 的概念也不斷被人們認知，

2006年，APT(Advanced Persistent Threat, 高級持續威脅) 攻擊的概念被正式提出，用來描述從20世紀90年代末到21世紀初在美國軍事和政府網路中發現的隱蔽且持續的網路攻擊，

2006年起，美國國土安全部（DHS）開始每兩年舉行一次 “網路風暴” (Cyber Storm) 系列國家級網路事件演習，

隨著時代不斷的發展，攻防技術有了很大的改變，防御手段、安全意識也隨著演化，在攻擊發生前有威脅情報、黑名單共享等機制，威脅及時能傳播，在攻擊發生時有基于各種機制的防火墻如關鍵字檢測、語意分析、深度學習，有的防御機制甚至能一定程度上防御零日攻擊，在攻擊發生后，一些關鍵系統系統做了隔離，攻擊成果難以擴大，就算拿到了目標也很難做進一步的攻擊，也有的目標蜜罐仿真程度很高，有正常的服務和一些難以判斷真偽的業務資料，

2010年6月，震網 (Stuxnet) 被發現，在這之后供應鏈攻擊事件開始成為網路空間安全的新興威脅之一，隨后的XcodeGhost、CCleaner等供應鏈攻擊事件都造成了重大影響，

在2010年Forrester Research Inc.的分析師提出了“零信任”的概念模型時，

2012年1月，Gartner 公司提出了 IAST (Interactive Application Security Testing) 的概念，提供了結合 DAST 和 SAST 兩種技術的解決方案，

2012年9月，Gartner 公司研究員 David Cearley 提出了 DevSecOps 的概念，表示 DevOps 的流程應該包含安全理念，

2013年，MITRE 提出了 ATT&CK? (Adversarial Tactics, Techniques, and Common Knowledge, ATT&CK) ，這是一個站在攻擊者的視角來描述攻擊中各階段用到的技術的模型，

2013年，Michigan 大學開始了 ZMap 專案，在2015年這個專案演化為 Censys ，從這之后網路空間測繪的專案逐漸出現，

2014年，在 Gartner Security and Risk Management Summit 上，Runtime Application Self-protection (RASP) 的概念被提出，在應用層進行安全保護，

2015年，Gartner 首次提出了 SOAR 的概念，最初的定義是 Security Operations, Analytics and Reporting，即安全運維分析與報告，

2017年，Gartner 對 SOAR 概念做了重新定義：Security Orchestration, Automation and Response, 即安全編排、自動化與回應，