新潮信息-Tide安全团队2022年度总结

TIDE

年度工作总结

www.tidesec.com

PART

序言

Foreword

日月交替，斗转星移。

倏忽间，2022年倒计时的钟声已经敲响。

2022年以一个不出意料的方式展开，但以一个出乎意料的方式走向尾声。

回首这一年，让人百感交集：有疫情的阴霾，离别的无奈，生活的失落；也有成功的欢呼，收获的欣喜，守护的温暖……

2022年，我们在生活中见证着英雄主义，也在认清生活真相之后依然热爱生活。

站在年末岁尾，让我们为2022年画上一个句号，可能不太圆满，但仍期冀这一年来所有的奔赴都有意义。

PART

年度摘要

Annual Summary

Tide安全团队

三年前，我们不再只埋头做项目出应急，开始以Tide安全团队的身份在互联网上展露头角。

分享是我们的初衷

分享高质量文章、开源安全工具、交流安全技术，这是我们一直坚持的。

研究是我们的使命

网络攻防、Web、App、物联网、工控安全、AI安全等等，这是我们致力耕耘的。

文章是我们的热忱

2022年，我们全年共发布原创技术文章180余篇，目前关注量3万余，这是我们的动力之源。

专栏是我们的坚韧

2022年，我们在wiki专栏中新发布文章230余篇，总计1300余篇，我们坚信驽马十驾、功在不舍。

代码是我们的赤诚

2022年，我们自研平台累计达31个，18个平台完全开源，注册用户1.6万，这是我们一直捍卫的。

比赛是我们的孤勇

2022年，我们参加护网演练40多次，CTF比赛30余场，虽然掉头发，但也沸热血。

培训是我们的传承

2022年，我们内部组织安全培训和技术交流50余场，虽偶有耽搁，但从未间断。

漏洞是我们的天职

2022年，我们上报安全漏洞1400余个，撰写分析报告20余份，这是任务，也是荣誉。

以梦为马，不负韶华

星光不问赶路人，时光不负有心人。

翻山越岭只为一场遇见，全力以赴只为一次改变。

要相信，所有长途跋涉，都有时间佐证，那些热爱和坚持，都将开花结果。

PART

平台自研

Platform Development

2022年，我们在平台研发方面有了些新的规划，在保证平台质量的同时，以知识积累、技能提升、服务行业为原则，上线了几个新的平台，如潮星在线CTF平台、安全测试用例库、潮巡SRC资产检索平台、潮影在线免杀平台、Tide安全文库、潮微IoT固件检测平台等。

同时我们还改造了之前开发的一些平台，重新对接到SSO中，目前已经实现了大大小小17个平台的统一登录认证，并通过增值服务的方式为用户提供更好的用户体验。

就目前而言，我们的平台大多还是属于技术研究和个人兴趣的目的，很多平台都是内部一个小的提议，然后两三个人就搭伙开发了，没有技术大牛的引导只有内部面红耳赤的争论，没有专门的代码时间只有忙完项目后的挑灯夜战。虽然代码还是有些low，平台还是有些不入流，但我们不会像之前那样只会仰慕大牛，我们一直在向着大牛的方向努力，这一个个平台的小logo就是我们的一步步的脚印。

Tide安全团队SSO登录：

http://sso.tidesec.com/

PART

技术文章

Technical Article

自2019年开始，我们开始在互联网上分享原创技术文章，在FreeBuf、安全客、安全脉搏、T00ls、简书、CSDN、CnBlogs等网站开设专栏或博客，截至到2022年12月，在“Tide安全团队”公众号上发表原创文章490余篇，公众号关注量3万余人。

当然写文章我们并不是为了博取关注量，最初只是想有个地方能记录一下阶段性的学习成果，另外也能加深自己对技术的理解，还能认识更多的朋友。

慢慢的，我们发现写文章是一种思考，对技术的思考，对生活的思考，对人生的思考。妙笔生花也好，无人问津也罢，你都要试着安静下来，去做自己该做的事，而不是让内心的烦躁、焦虑，毁掉你本就不多的热情和定力。

在公众号留言“2022”，可下载团队2022年所有技术文章。

PART

Wiki文库

Wiki Library

你所接受的一切信息，构成了你的思维方式。在这个短视频为王的时代，有些人已经无法通读超过200字的文本。碎片化知识通过连续的新鲜内容，不断刺激你的大脑，让你始终处于“啊！又知道了新的东西”的喜悦中，从而难以自拔，就像你收藏夹里吃灰的各种教程、就像硬盘里从未打开过的PDF书籍。

为了让学习能更加高效而系统化，我们团队内部一直有个比较好的传统，那就是大家都会用笔记的形式建立自己的知识体系，当接触到一个新的知识点时，先考虑如何将其纳入知识体系。如果一个东西无法纳入你的认知体系，那说明你现在还不能掌握它，那就果断放弃，因为它对你来说是没有价值的。

所以为了让我们的学习和输出能更体系化，我们花时间和精力二开了一个wiki系统，打造了我们团队自己的wiki文库，目前已经开设了17个Wiki库，文章1300余篇，涉及红蓝对抗、免杀、移动安全、IoT物联网安全、代码审计、CTF 、工控安全、应急响应、人工智能、密码学等多个方向。

Tide安全文库：

http://wiki.tidesec.com/

PART

攻防演练

Attack And Defend

攻防演练已经在国内序列开展了六七年，从最开始的拼弱口令、S2到现在的拼0day、社工，攻防演练从最初的演和练，已经变成了秉承“武器不限，真攻真防”的原则，攻防演习变成一种真刀真枪的对抗。

相比往年，2022年的攻防演练来的更早了一些，感觉从1月份开始一直持续到9月，每个月被安排的满满当当的hvv日程已经让大家习以为常，在最集中的六七月份，一周甚至有6场比赛同时展开。

而小团队的常规技法已经感觉越来越难生存，我们近两年也在0day/Nday、工具化、自动化、社工钓鱼、供应链侧安全、API安全等方向做一些尝试和积累，也许过程比较曲折坎坷，但“路虽远，行则将至”。

PART

CTF比赛

Cat The Flag

在这个甲方CTF战队比乙方厉害的年代，说自己打或者不打CTF都会有些尴尬。虽然我们CTF也一直不太擅长，但客户只要有这个需要，那我们就会有这个储备，就如QQ支付对标微信，可以不精但不能没有。

但安服团队的CTF能力大部分都稍微一般，主要也还是因为大部分时间都是在做常规项目，大家没有那么多的时间去刷新题型。安全从业者也都知道，现在有些CTF已经开始越来越偏离实战，很多题就是为了不让你做出来而设计各种奇葩思路，再没有之前那种做一道题能学到很多知识的快感。

2022年，我们团队的CTF小组在国防退役老兵zer0大佬的带领下，南征北战，屡败屡战，虽然我们的名次还都不是太靠前，但我们相信一切努力终将开花结果。

CTF赛事

2022.01 长安“战役”网安守护赛

2022.03 数字中国创新大赛

2022.03 红明谷数据安全大赛

2022.04 胖哈勃春季赛

2022.04 网刃杯网络安全大赛

2022.07 数字空间安全攻防大赛

2022.07 第六届强网杯

2022.08 长城杯网络安全大赛

2022.08 网鼎杯

2022.09 黑龙江网络安全挑战赛

2022.09 第五空间网络安全大赛

2022.09 工业信息安全锦标赛

2022.09 工业互联网信息大赛

2022.09 第五空间网络安全大赛

2022.10 首届数据安全大赛

2022.10 智能汽车信安公开赛

2022.11 西邮网络安全技能大赛

2022.11 工业信息安全锦标赛

2022.12 山东信息产业技能大赛

2022.12 Datacon数据分析大赛

PART

漏洞挖掘

Vulnerability Mining

漏洞挖掘能力是一个技术团队的重要衡量指标，不管是攻防演练还是安服项目，漏洞挖掘都是安服仔的第一生产力。在我们团队内部，也是会定期组织专项的漏洞挖掘比赛和内部SRC提交等活动，让大家能永葆对漏洞的敏感和执着。

2022年，我们向监管机构上报安全漏洞1400余个，提交0day漏洞80余个，撰写漏洞分析报告20余份，安全态势分析十余篇，多篇报告素材被省部级文章引用。

PART

内部培训

Internal Training

在2019年团队正式组建之前，每周组织内部培训的模式就一直比较好的延续了下来，一直到现在，偶有耽搁，但从未间断。

在一个行业、一个岗位待久了，最害怕的就是故步自封难以向前，改变这种困境最好的办法就是看书学习和与人探讨，但看起来简单的事情实施起来却一般都比较难，就像看书，学习最快捷和低成本的方法，但现在很多人就是读不进去。而内部培训这种交流方式却能较好的唤起大家对新知识点的兴趣，了解一下你身边的人在学什么做什么，这会让你更加“内卷”。

2022年，我们内部组织了54场技术交流和经验分享，其中hvv的技术分享就达到了24场之多。