新潮信息-Tide安全团队2022年度总结
年度工作总结
www.tidesec.com
01
PART
序言
Foreword
日月交替,斗转星移。
倏忽间,2022年倒计时的钟声已经敲响。
2022年以一个不出意料的方式展开,但以一个出乎意料的方式走向尾声。
回首这一年,让人百感交集:有疫情的阴霾,离别的无奈,生活的失落;也有成功的欢呼,收获的欣喜,守护的温暖……
2022年,我们在生活中见证着英雄主义,也在认清生活真相之后依然热爱生活。
站在年末岁尾,让我们为2022年画上一个句号,可能不太圆满,但仍期冀这一年来所有的奔赴都有意义。
02
PART
年度摘要
Annual Summary
Tide安全团队
分享是我们的初衷
研究是我们的使命
文章是我们的热忱
专栏是我们的坚韧
代码是我们的赤诚
比赛是我们的孤勇
培训是我们的传承
漏洞是我们的天职
2022年,我们上报安全漏洞1400余个,撰写分析报告20余份,这是任务,也是荣誉。
星光不问赶路人,时光不负有心人。
翻山越岭只为一场遇见,全力以赴只为一次改变。
要相信,所有长途跋涉,都有时间佐证,那些热爱和坚持,都将开花结果。
03
PART
平台自研
Platform Development
2022年,我们在平台研发方面有了些新的规划,在保证平台质量的同时,以知识积累、技能提升、服务行业为原则,上线了几个新的平台,如潮星在线CTF平台、安全测试用例库、潮巡SRC资产检索平台、潮影在线免杀平台、Tide安全文库、潮微IoT固件检测平台等。
同时我们还改造了之前开发的一些平台,重新对接到SSO中,目前已经实现了大大小小17个平台的统一登录认证,并通过增值服务的方式为用户提供更好的用户体验。
就目前而言,我们的平台大多还是属于技术研究和个人兴趣的目的,很多平台都是内部一个小的提议,然后两三个人就搭伙开发了,没有技术大牛的引导只有内部面红耳赤的争论,没有专门的代码时间只有忙完项目后的挑灯夜战。虽然代码还是有些low,平台还是有些不入流,但我们不会像之前那样只会仰慕大牛,我们一直在向着大牛的方向努力,这一个个平台的小logo就是我们的一步步的脚印。
Tide安全团队SSO登录:
http://sso.tidesec.com/
04
PART
技术文章
Technical Article
自2019年开始,我们开始在互联网上分享原创技术文章,在FreeBuf、安全客、安全脉搏、T00ls、简书、CSDN、CnBlogs等网站开设专栏或博客,截至到2022年12月,在“Tide安全团队”公众号上发表原创文章490余篇,公众号关注量3万余人。
当然写文章我们并不是为了博取关注量,最初只是想有个地方能记录一下阶段性的学习成果,另外也能加深自己对技术的理解,还能认识更多的朋友。
慢慢的,我们发现写文章是一种思考,对技术的思考,对生活的思考,对人生的思考。妙笔生花也好,无人问津也罢,你都要试着安静下来,去做自己该做的事,而不是让内心的烦躁、焦虑,毁掉你本就不多的热情和定力。
在公众号留言“2022”,可下载团队2022年所有技术文章。
05
PART
Wiki文库
Wiki Library
你所接受的一切信息,构成了你的思维方式。在这个短视频为王的时代,有些人已经无法通读超过200字的文本。碎片化知识通过连续的新鲜内容,不断刺激你的大脑,让你始终处于“啊!又知道了新的东西”的喜悦中,从而难以自拔,就像你收藏夹里吃灰的各种教程、就像硬盘里从未打开过的PDF书籍。
为了让学习能更加高效而系统化,我们团队内部一直有个比较好的传统,那就是大家都会用笔记的形式建立自己的知识体系,当接触到一个新的知识点时,先考虑如何将其纳入知识体系。如果一个东西无法纳入你的认知体系,那说明你现在还不能掌握它,那就果断放弃,因为它对你来说是没有价值的。
所以为了让我们的学习和输出能更体系化,我们花时间和精力二开了一个wiki系统,打造了我们团队自己的wiki文库,目前已经开设了17个Wiki库,文章1300余篇,涉及红蓝对抗、免杀、移动安全、IoT物联网安全、代码审计、CTF 、工控安全、应急响应、人工智能、密码学等多个方向。
Tide安全文库:
http://wiki.tidesec.com/
06
PART
攻防演练
Attack And Defend
攻防演练已经在国内序列开展了六七年,从最开始的拼弱口令、S2到现在的拼0day、社工,攻防演练从最初的演和练,已经变成了秉承“武器不限,真攻真防”的原则,攻防演习变成一种真刀真枪的对抗。
相比往年,2022年的攻防演练来的更早了一些,感觉从1月份开始一直持续到9月,每个月被安排的满满当当的hvv日程已经让大家习以为常,在最集中的六七月份,一周甚至有6场比赛同时展开。
而小团队的常规技法已经感觉越来越难生存,我们近两年也在0day/Nday、工具化、自动化、社工钓鱼、供应链侧安全、API安全等方向做一些尝试和积累,也许过程比较曲折坎坷,但“路虽远,行则将至”。
07
PART
CTF比赛
Cat The Flag
在这个甲方CTF战队比乙方厉害的年代,说自己打或者不打CTF都会有些尴尬。虽然我们CTF也一直不太擅长,但客户只要有这个需要,那我们就会有这个储备,就如QQ支付对标微信,可以不精但不能没有。
但安服团队的CTF能力大部分都稍微一般,主要也还是因为大部分时间都是在做常规项目,大家没有那么多的时间去刷新题型。安全从业者也都知道,现在有些CTF已经开始越来越偏离实战,很多题就是为了不让你做出来而设计各种奇葩思路,再没有之前那种做一道题能学到很多知识的快感。
2022年,我们团队的CTF小组在国防退役老兵zer0大佬的带领下,南征北战,屡败屡战,虽然我们的名次还都不是太靠前,但我们相信一切努力终将开花结果。
CTF赛事
2022.01 长安“战役”网安守护赛 |
2022.03 数字中国创新大赛 |
2022.03 红明谷数据安全大赛 |
2022.04 胖哈勃春季赛 |
2022.04 网刃杯网络安全大赛 |
2022.07 数字空间安全攻防大赛 |
2022.07 第六届强网杯 |
2022.08 长城杯网络安全大赛 |
2022.08 网鼎杯 |
2022.09 黑龙江网络安全挑战赛 |
2022.09 第五空间网络安全大赛 |
2022.09 工业信息安全锦标赛 |
2022.09 工业互联网信息大赛 | ||||
2022.09 第五空间网络安全大赛 | ||||
2022.10 首届数据安全大赛 | ||||
2022.10 智能汽车信安公开赛
|
08
PART
漏洞挖掘
Vulnerability Mining
漏洞挖掘能力是一个技术团队的重要衡量指标,不管是攻防演练还是安服项目,漏洞挖掘都是安服仔的第一生产力。在我们团队内部,也是会定期组织专项的漏洞挖掘比赛和内部SRC提交等活动,让大家能永葆对漏洞的敏感和执着。
2022年,我们向监管机构上报安全漏洞1400余个,提交0day漏洞80余个,撰写漏洞分析报告20余份,安全态势分析十余篇,多篇报告素材被省部级文章引用。
09
PART
内部培训
Internal Training
在2019年团队正式组建之前,每周组织内部培训的模式就一直比较好的延续了下来,一直到现在,偶有耽搁,但从未间断。
在一个行业、一个岗位待久了,最害怕的就是故步自封难以向前,改变这种困境最好的办法就是看书学习和与人探讨,但看起来简单的事情实施起来却一般都比较难,就像看书,学习最快捷和低成本的方法,但现在很多人就是读不进去。而内部培训这种交流方式却能较好的唤起大家对新知识点的兴趣,了解一下你身边的人在学什么做什么,这会让你更加“内卷”。
2022年,我们内部组织了54场技术交流和经验分享,其中hvv的技术分享就达到了24场之多。
10
PART
团建活动
Team Together
团建一直是组织者和参与者都比较头疼的话题,组织者害怕大家提“团建太少或无聊”的意见,而参与者害怕的是休息日去团建和呆板无聊的团建形式。我们的团建也是这样,因为疫情、因为形式、因为日期,之前总是一拖再拖。
2022年,我们痛定思痛,秉承让大多数人先满意的原则,排除万难先搞起来再说。说是团建,但其实也就是一起吃吃喝喝,可能大家也都不是非常满意,但我们也在听取大家意见,尽量做的更好。
新的一年,疫情放开,希望我们能去更远的地方,去邂逅更美的景色和美食,去重新认识身边不一样的小伙伴们。
11
PART
新年期冀
New Year Hopes
诗人说:
“东方有火红的希望,
南方有温暖的巢床,
向西逐退残阳,
向北唤醒芬芳。”
山有顶峰,湖有彼岸,在人生漫漫长途中,万物皆有回转,当我们觉得余味苦涩,请你相信,一切终有回甘。
没有一个冬天不可逾越,没有一个春天不会来临。所有支离破碎,都是为了来之不易的圆满。
凡是过往,皆成序章。带着2022的未完成,让我们在2023奔跑起来!
愿生活可待,未来可期!
E
N
D
团队内部平台:潮汐在线指纹识别平台 | 潮听漏洞情报平台 | 潮巡资产管理与威胁监测平台 | 潮汐网络空间资产测绘 | 潮声漏洞检测平台 | 在线免杀平台 | CTF练习平台 | 物联网固件检测平台 | SRC资产监控平台 | ......
星球分享方向:Web安全 | 红蓝对抗 | 移动安全 | 应急响应 | 工控安全 | 物联网安全 | 密码学 | 人工智能 | ctf 等方面的沟通及分享
星球知识wiki:红蓝对抗 | 漏洞武器库 | 远控免杀 | 移动安全 | 物联网安全 | 代码审计 | CTF | 工控安全 | 应急响应 | 人工智能 | 密码学 | CobaltStrike | 安全测试用例 | ......
星球网盘资料:安全法律法规 | 安全认证资料 | 代码审计 | 渗透安全工具 | 工控安全工具 | 移动安全工具 | 物联网安全 | 其它安全文库合辑 | ......
最新评论
推荐文章
作者最新文章
你可能感兴趣的文章
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios) posted above belong to the User who shared or the third-party website which the User shared from. If you found your copyright have been infringed, please send a DMCA takedown notice to [email protected]. For more detail of the source, please click on the button "Read Original Post" below. For other communications, please send to [email protected].
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。
版权声明:以上内容为用户推荐收藏至CareerEngine平台,其内容(含文字、图片、视频、音频等)及知识版权均属用户或用户转发自的第三方网站,如涉嫌侵权,请通知[email protected]进行信息删除。如需查看信息来源,请点击“查看原文”。如需洽谈其它事宜,请联系[email protected]。