都說(shuō)網(wǎng)絡(luò)安全是一片沒(méi)有硝煙的戰(zhàn)場(chǎng)，攻防對(duì)抗，此消彼長(zhǎng)。既然是博弈，自然也要講究兵法，本文將站在防守方的角度來(lái)聊聊一些實(shí)用的方法，歡迎大家多指正。

摸清家底，以攻促防

兵法有云，知彼知己者，百戰(zhàn)不殆。在攻防博弈當(dāng)中，相較于對(duì)攻擊的識(shí)別與攔截而言，防守方對(duì)自身網(wǎng)絡(luò)狀況、資產(chǎn)底數(shù)的理解往往更加重要。只有摸清家底，厘清互聯(lián)網(wǎng)暴露面風(fēng)險(xiǎn)，清晰準(zhǔn)確識(shí)別自身網(wǎng)絡(luò)資產(chǎn)，才能提前消除未知資產(chǎn)、問(wèn)題資產(chǎn)或違規(guī)資產(chǎn)所帶來(lái)的安全隱患，進(jìn)而制定具有針對(duì)性的監(jiān)控和防護(hù)能力。

在安全保障當(dāng)中，可以采用主被動(dòng)相結(jié)合的方式進(jìn)行全面的資產(chǎn)發(fā)現(xiàn)。一是利用網(wǎng)絡(luò)空間資產(chǎn)探測(cè)系統(tǒng)進(jìn)行外部探測(cè)，一方面對(duì)映射在互聯(lián)網(wǎng)當(dāng)中的存活地址、端口服務(wù)、發(fā)布網(wǎng)站和業(yè)務(wù)系統(tǒng)等外網(wǎng)暴露面資產(chǎn)進(jìn)行發(fā)現(xiàn)，對(duì)違規(guī)發(fā)布的資產(chǎn)進(jìn)行安全整改；另一方面對(duì)內(nèi)網(wǎng)在線的服務(wù)器、PC終端、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和其他外設(shè)終端及其開(kāi)放端口服務(wù)進(jìn)行探測(cè)，對(duì)非必要開(kāi)放的資產(chǎn)進(jìn)行關(guān)停下線。

二是利用網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)進(jìn)行內(nèi)部學(xué)習(xí)，通過(guò)在核心交換區(qū)域進(jìn)行全流量分析，對(duì)活動(dòng)中的網(wǎng)絡(luò)資產(chǎn)進(jìn)行梳理，一方面形成更全面的Web資產(chǎn)臺(tái)賬，持續(xù)進(jìn)行跟蹤治理，另一方面從訪問(wèn)行為當(dāng)中監(jiān)測(cè)未知的活躍資產(chǎn)，進(jìn)行歸屬確認(rèn)或整改下線。

三是通過(guò)互聯(lián)網(wǎng)敏感信息監(jiān)測(cè)系統(tǒng)，對(duì)用戶(hù)相關(guān)的身份信息、郵箱信息、文件信息和源代碼信息等進(jìn)行全網(wǎng)檢測(cè)，找到泄露的敏感信息，讓攻擊者沒(méi)有可用情報(bào)。概括而言，摸清家底是防守制勝的第一步，也是關(guān)鍵的一步。

未知攻，焉能知防。在實(shí)戰(zhàn)化的場(chǎng)景當(dāng)中，單純從防守角度來(lái)思考對(duì)策往往容易發(fā)生疏忽，留下防護(hù)缺口，因此需要采用以攻促防的方式，從攻擊者的視角來(lái)衡量防守能力，找到所有可能被利用的攻擊路徑、弱口令風(fēng)險(xiǎn)和漏洞缺陷并各個(gè)擊破，才有可能實(shí)現(xiàn)風(fēng)險(xiǎn)清零的目標(biāo)。

在安全保障當(dāng)中，可以采用漏洞掃描系統(tǒng)、單兵偵測(cè)系統(tǒng)和人工滲透測(cè)試相結(jié)合的方式進(jìn)行全面的查漏補(bǔ)缺。利用一體化漏洞評(píng)估系統(tǒng)對(duì)網(wǎng)絡(luò)當(dāng)中存在的主機(jī)漏洞、web漏洞、數(shù)據(jù)庫(kù)漏洞和弱口令風(fēng)險(xiǎn)進(jìn)行大范圍摸排，做第一輪的高危目標(biāo)篩選；再利用單兵偵測(cè)系統(tǒng)對(duì)重點(diǎn)目標(biāo)進(jìn)行專(zhuān)項(xiàng)偵察、POC驗(yàn)證、權(quán)限獲取與痕跡確認(rèn)，按照完整的攻擊鏈條進(jìn)行第二輪的風(fēng)險(xiǎn)確認(rèn)；最后通過(guò)人工滲透的方式進(jìn)行最終確認(rèn)，對(duì)已發(fā)現(xiàn)風(fēng)險(xiǎn)進(jìn)行深入驗(yàn)證，并結(jié)合機(jī)房環(huán)境、樓宇線路、人員信息、供應(yīng)鏈信息和其他屬性進(jìn)行關(guān)聯(lián)分析，查找可能存在的連帶風(fēng)險(xiǎn)。通過(guò)這樣的方式，一方面可以對(duì)確認(rèn)風(fēng)險(xiǎn)進(jìn)行修補(bǔ)加固，另一方面反復(fù)進(jìn)行真實(shí)的攻擊模擬，排查并消除遺留風(fēng)險(xiǎn)。

縱深防御，立體監(jiān)控

善守者，藏于九地之下。真正的安全除了自身可靠之外，還需要足夠的外部防線。網(wǎng)絡(luò)資產(chǎn)底數(shù)清晰、自身風(fēng)險(xiǎn)消除、安全加固之后，下一步就要建立逐層細(xì)化的防護(hù)手段，強(qiáng)化現(xiàn)有安全能力，形成縱深防御體系。在安全保障當(dāng)中，可以重點(diǎn)對(duì)互聯(lián)網(wǎng)邊界、服務(wù)器區(qū)域邊界和核心系統(tǒng)終端來(lái)做防護(hù)提升。首先建議在互聯(lián)網(wǎng)出口邊界增加基于安全情報(bào)的攻擊攔截系統(tǒng)，利用權(quán)威的安全情報(bào)對(duì)來(lái)訪IP進(jìn)行識(shí)別，截?cái)嗫梢稍L問(wèn)，建立第一道安全防線；另外，在服務(wù)器區(qū)域邊界補(bǔ)充Web應(yīng)用專(zhuān)項(xiàng)防護(hù)能力，通過(guò)算法判斷、特征識(shí)別和自學(xué)習(xí)白名單等組合方式，進(jìn)行細(xì)粒度的攻擊過(guò)濾與訪問(wèn)控制；最后，在核心系統(tǒng)終端補(bǔ)充本地防護(hù)組件，通過(guò)進(jìn)程監(jiān)控和文件系統(tǒng)保護(hù)等方式，建立最后一道安全防線。

善攻者，動(dòng)于九天之上。有技巧、有經(jīng)驗(yàn)的攻擊者往往不會(huì)拘泥于某些攻擊手段，也不會(huì)按部就班地執(zhí)行入侵套路，他們往往能夠調(diào)動(dòng)一切可利用的資源、抓住任何可執(zhí)行的機(jī)會(huì)，出其不意地展開(kāi)攻勢(shì)。因此，從防守者的視角來(lái)看，真正的攻擊信號(hào)可能產(chǎn)生于任何一個(gè)位置，既有可能在內(nèi)網(wǎng)先發(fā)現(xiàn)威脅，也有可能在終端先找到痕跡，在攻擊監(jiān)控時(shí)絕不能只是盯緊邊界的安全設(shè)備，而是應(yīng)該部署足夠的監(jiān)測(cè)能力，覆蓋所有防護(hù)死角——“點(diǎn)亮全圖”。

在安全保障當(dāng)中，除了依賴(lài)防護(hù)設(shè)備進(jìn)行攻擊監(jiān)控之外，還可以在內(nèi)外網(wǎng)核心區(qū)域與東西向流量節(jié)點(diǎn)位置部署全面的威脅監(jiān)測(cè)與取證能力。一方面利用持續(xù)性威脅檢測(cè)與溯源系統(tǒng)，對(duì)于隱蔽通道、變種攻擊、路徑穿越、權(quán)限提升等高危事件和部分社工常用技術(shù)手段進(jìn)行重點(diǎn)布控，留存原始報(bào)文及攻擊摘要作為研判證據(jù)；另一方面可以通過(guò)網(wǎng)絡(luò)資產(chǎn)安全治理平臺(tái)所包含的Webshell后門(mén)監(jiān)測(cè)模塊，對(duì)后門(mén)試探和利用行為進(jìn)行專(zhuān)項(xiàng)捕獲，及時(shí)發(fā)現(xiàn)致命威脅，保存交互記錄；最后通過(guò)監(jiān)測(cè)體系與防護(hù)設(shè)備的協(xié)同聯(lián)動(dòng)，做到處置閉環(huán)。

故布疑陣，反守為攻

兵者詭道也，虛則實(shí)之，實(shí)則虛之。不論攻防手段多么高明，博弈的最終還是一場(chǎng)資源和精力的消耗戰(zhàn)。防守方除了應(yīng)該厘清自身風(fēng)險(xiǎn)、建立安全防護(hù)之外，還可以設(shè)立足夠的陷阱來(lái)干擾攻擊者。在安全保障當(dāng)中，可以通過(guò)偽造網(wǎng)絡(luò)資產(chǎn)的方式來(lái)實(shí)現(xiàn)欺騙防御。

一方面通過(guò)下一代誘捕防御系統(tǒng)構(gòu)造大量的仿真節(jié)點(diǎn)與誘捕探針，覆蓋填充各個(gè)安全域，形成一張與真實(shí)網(wǎng)絡(luò)共生的虛擬網(wǎng)絡(luò)，這樣就能夠以逸待勞，將攻擊者進(jìn)入內(nèi)網(wǎng)后橫向掃描的行為直接捕獲，之后再進(jìn)行追溯反制。

另一方面利用WAF的蜜罐防御模塊，發(fā)布虛擬仿真的業(yè)務(wù)資產(chǎn)，吸引攻擊者進(jìn)行交互訪問(wèn)，從而在捕獲攻擊的同時(shí)實(shí)現(xiàn)精準(zhǔn)防御。這類(lèi)欺騙式防御的核心思想就是利用大量的仿真業(yè)務(wù)將真實(shí)業(yè)務(wù)掩藏起來(lái)，對(duì)攻擊者進(jìn)行迷惑與牽制，這樣既可以有效發(fā)現(xiàn)內(nèi)網(wǎng)異常行為，又可以消耗攻擊者資源，還可以隱藏保護(hù)對(duì)象并搶得充分的應(yīng)急響應(yīng)時(shí)間窗口，從而為防守方制造反守為攻的時(shí)機(jī)。