新潮信息-Tide安全团队2023年度总结

2023年度总结

www.tidesec.com

序言

Preface

时间是一只藏在黑暗中的温柔的手，在你一出神一恍惚之间，物走星移。

岁末年初，新的一年即将到来，总是在回头总结之际才猛然间意识到时光的一去不返。

站在时间的交叉口，回首这过往的一年，有收获、有遗憾、有改变，展望新的一年，有憧憬、有激情、有梦想。

年度概要

2023年是我们组建团队在互联网上开启技术分享交流的第四年，最庆幸的是我们最初认定的事情还都在一直坚持。

这一年，团队成员有新的小伙伴加入，也有人不舍的离开了，愿远行人都看见最美的风景，愿驻守者终等到最美的风景。

这一年，我们完成了上千套系统的安全检测和分析，让人兴奋也让人疲惫，这是我们的饭碗。

这一年，我们在"Tide安全团队"公众号上，累计发表的原创技术文章已达560余篇，这是我们一直坚持的。

这一年，我们将Wiki作为知识积累的根据地，打造22个技术wiki库，对外撰文累计1500余篇，这是我们一直努力耕耘的。

这一年，我们组织了20余场内部培训和对外技术分享，边忙项目边准备培训，虽然也会偶有抱怨，但却从未间断。

这一年，我们精心打造利刃兵工，有些内服有些外用，SSO上的2.5万注册用户和公众号的4万粉丝，是我们的动力之泉。

这一年，我们共参加CTF比赛共计14场，虽然我们的名次还不是太靠前，但我们坚信驽马十驾功在不舍。

这一年，我们继续在网络安全防线上坚守巡防，仅上半年就参与实战攻防16次，虽然掉头发，但也沸热血。

这一年，我们向相关监管部门提交了1200余个通用/事件型漏洞，这是任务，也是荣誉，这是我们一直捍卫的。

这一年，我们出过很多差，走过很多城市，看过很多风景，但终点只有一个——济南，这是我们温暖的家。

平台自研

2023年听到最多的词是降本增效，所以平台自研方面我们还是维持着最低的人力成本，目前还是仅有两人专职开发维护，其中一人还兼职代码审计和平台运维，其他感兴趣的同事也会选择性的参与一下打打零工。

我们不再盲目的追求新平台的数量，开始更重视已有平台的维护和更新，有些可能只是一些小的功能点，但我们也愿意花精力去投入，比如指纹检测方面、站点监测方面、poc编写等等。可能只是一颗螺丝钉，但我们愿意花大力气把它拧的更紧一些。

2023年上半年，我们对潮汐资产测绘平台进行了升级，抛弃了之前python+solr的架构，用Go+ES进行了重构，v2.0版本在资产测绘的效率和准确度方面有了明显提升，这也为后期应急支撑、安全检查和攻防演练提供了较好的基础数据源。

在2022年6月，我们开发了一套自动化渗透测试工具，随着工具在内部和外部的逐渐推广，我们也在不断修复bug、完善功能，力求安全检测的准确性和全面性，2023年共更新迭代五次，并新增加了C/S端程序、工控系统的检测。

截止到目前，我们之前做的一些重复性工作已经有近一半被该工具取代了，我们内部也在调侃“ChatGPT还没来得及干掉我们，就先被自己人干掉了”。

我们还对团队的SSO平台进行了重新开发，把Tide相关的平台都整合在了一起，界面也更加简洁美观，一家人就是要整整齐齐的。

2023年下半年，我们开发了新潮信息安全服务中心小程序和新潮信息安全服务中心服务号，之前一些预警和通知只是通过邮件推送，不够友好和快捷，有了小程序和服务号之后，终于可以无缝对接到自建的各平台，进行实时预警和任务通知。

我们近两年也一直在持续维护内部的指纹和POC工具，这也是资产和漏洞的根基，2023年共更新5-6个新版本，后来在一些护网的时候，我们还见到其他队伍的小伙伴在用我们的工具，那一刻不知道是该哭还是该笑。

2023年11月份，结合我们在指纹和Poc方面的一些经验和积累，开发了一款综合性自动化红队工具TscanPlus，旨在快速资产发现、识别、检测，构建基础资产信息库，协助甲方安全团队或者安全运维人员有效侦察和检索资产，发现存在的薄弱点和攻击面。这是个人在GUI方面的第一步，也是为了公司后面的一些发展规划做了些技术筹备，虽然目前bug还有不少，但相信方法总比问题多，热情恰能胜过能力。

截止到目前，我们SSO平台注册用户已经超过2.5万人，公众号关注量已经接近4万人，指纹检测平台、免杀平台、漏洞情报库、潮巡平台都有了比较稳定的用户群体，公司和用户的认可就是我们改bug的最大动力。

Wiki文库

我们的文库从2021年下半年开始筹备，最初是在语雀发表，后来自己二开了一个wiki系统，打造了我们团队自己的wiki文库，目前已经开设了22个Wiki库，文章1500余篇，涉及红蓝对抗、免杀、移动安全、IoT物联网安全、代码审计、CTF 、工控安全、应急响应、人工智能、密码学等多个方向。

同时，我们结合近几年的市场需求和我们在文库方面的做的一些技术积累，我们利用近一个月时间重新梳理了我们的安全服务线，确定了自己能做的和不能做的，编写了60余套安全测试方案和测试案例，为公司和客户提供了一个较好的售前资料。

为了让学习能更加高效而系统化，我们团队内部一直有个比较好的传统，那就是大家都会用笔记的形式建立自己的知识体系，当接触到一个新的知识点时，先考虑如何将其纳入知识体系。如果一个东西无法纳入你的认知体系，那说明你现在还不能掌握它，那就果断放弃，因为它对你来说是没有价值的。

Tide安全文库：http://wiki.tidesec.com/

技术文章

自2019年开始，我们开始在互联网上分享原创技术文章，在FreeBuf、安全客、安全脉搏、T00ls、简书、CSDN、CnBlogs等网站开设专栏或博客，截至到2023年12月，在“Tide安全团队”公众号上发表原创文章560余篇，公众号关注量接近4万人。

Tide安全团队从创建之初就是为了对内、对外分享，加深自己对技术的理解，能结交更多志同道合的朋友，记录自己的成长轨迹。写文章是一种思考，对技术的思考，对生活的思考，对人生的思考。

但也由于下半年项目实施压力暴增，下半年的文章发表基本寥寥无几，毕竟对非纯研究型团队来说，安服和项目才是第一位的，“心里有梦今年却没时间”是每个安服人年底总结时最好的借口。

在公众号留言“2023”，可下载团队2023年所有技术文章，依次回复2019到2023可获取对应年份文章下载链接。

攻防演练

2023年的攻防演练整体形势好像有了些变化，有些没人愿意参加了，但也有些却更卷了，在很多场景如果没有0day、不擅社工可能根本没法打了。所以从技术人员角度来看，更多的时候大家对攻防演练是又爱又恨，就像前几天的大雪，盼着下雪却又担心雪下的太大。

但不管怎么说，实战能力还是检验安服团队的唯一标准，开放心态，接受不足，努力完善，才能最终提升团队实战能力。我们在一些自动化工具方面的尝试，一方面是想把实战的经验转化为产品，另一方面也是想用工具反哺实战，检验工具。

有时，最具挑战的事，也是让你成长最快，最有成就感的事。上坡的路往往是最难爬的，人生中最难爬的也是上坡的那个路，当你觉得累，当你觉得痛苦，那意味着你在走上坡路。

CTF比赛

对于安服部门来说，在没有CTF方面的KPI压力时，大家参加CTF更多是为了从重复的工作中换换思路，就像韦神学数学累了的时候会去破解一下哥德巴赫猜想，手动狗头👣

2023年，我们团队的CTF小组在国防退役老兵zer0大佬的带领下，共参加CTF比赛共计14场，虽然我们的名次还都不是太靠前，但我们相信一切努力终将开花结果。

漏洞挖掘

漏洞挖掘能力是一个技术团队的重要衡量指标，不管是攻防演练还是安服项目，漏洞挖掘都是安服仔的第一生产力。

2023年，我们向CNNVD、CAPPVD漏洞提报数量为1200余个，归档率为88%，报送安全态势报告26份，上报原创通用型漏洞报送数量为98，其中包括高风险漏洞27个，获得cnvd原创漏洞证书数量为62个，涉及互联网众多行业应用系统。完成各项取证、溯源等各类应急事件处理工作20余项，如APT样本取证分析、入侵溯源分析等。

内部培训

在2019年团队正式组建之前，每周组织内部培训的模式就一直比较好的延续了下来，一直到现在，偶有耽搁，但从未间断。

虽然有部分人也在质疑培训的作用，但不能否认的是一些高质量的培训内容的确能激发其他小伙伴的“攀比”之心，让大家意识到自己的差距；另一方面对授课人来说，不管是准备培训时自己学习的过程还是在讲课时对自己表达能力的锻炼，授课人其实才是最大的受益者。

不过在2023年，我们内部培训组织的并不算多，大家全部精力还都是扑在安服上面，上半年在忙护网和比赛，下半年基本都在项目上了，全年的培训也就组织了20场左右除了护网相关内容之外，其他的包括yii代码审计、钓鱼场景下微信聊天记录的回传、电子取证、Burp+Charles联动安卓APP抓包、工控ctf中常见题型介绍、细聊ARP欺骗、XSS绕过小思路、AI安全与对抗样本攻击、IP Sec和SSL VPN国密数据包分析等。