[[344224]]

本文轉(zhuǎn)載自微信公眾號「微月人話」，作者衛(wèi)sir 。轉(zhuǎn)載本文請聯(lián)系微月人話公眾號。  

我曾在信息安全管理的9大思維一文中提出網(wǎng)絡安全9大思維：CIA思維、深度防御思維、可控思維、自上而下思維、全局思維、成本收益思維、不信任思維、有效性思維、道德法規(guī)思維。

現(xiàn)在我們看看，一旦網(wǎng)絡攻防開戰(zhàn)，這9大思維能否用上?怎么用?

注：在我國，近幾年來，“信息安全”和“網(wǎng)絡安全”兩個概念完全等同。

注：本文中的實戰(zhàn)，其實是指高水平的網(wǎng)絡攻防演練。

1、CIA思維

CIA思維比較高層，功夫要下在平時，該加密的加密(C)，該校驗的校驗(I)，該高可用的高可用(A)。

戰(zhàn)時主要是檢驗效果。

這就好比防守方的城墻和堡壘，設計和建筑時就要搞好，平時做好維護，戰(zhàn)時是檢驗質(zhì)量的。

值得說明一下，漏洞，是破壞完整性(I)的。

各種常見已知漏洞和0day漏洞都是攻擊者極欲發(fā)現(xiàn)和使用的，所以該打補丁的一定要打，單純硬件設備的補丁還算好打，如果是數(shù)據(jù)庫、中間件的補丁，就不那么容易，因為影響面比較大，開發(fā)、運維、廠商、測試，都會牽扯其中。

所以從一個單位的打補丁能力，就能看出其整體水平。

2、縱深防御

縱深防御思維是頭條金科玉律。

要一層一層防御，一層一層監(jiān)控，從邊界到網(wǎng)絡分區(qū)、從服務器到終端、從操作系統(tǒng)到應用程序，要層層設卡，層層警戒。

即便敵人通過0day進了城，城內(nèi)仍然處處是堡壘，處處是陷阱(蜜罐)，處處有監(jiān)控。

深度防御可以分為物理層、技術(shù)層、管理層三個層次。

物理層位于最外側(cè)，可以是大門、圍墻、門禁、警衛(wèi)、狼狗、攝像頭、傳感器、警報、鎖等防護手段，主要是防所謂“近源滲透”的。

技術(shù)層則包括認證、授權(quán)、加密、監(jiān)控、隔離、封禁、限制、恢復、備份等手段。

在物理和技術(shù)仍然觸及不到的地方，通過管理手段來防護，比如規(guī)章制度、管理要求、現(xiàn)場檢查、安全教育、應急演練、戰(zhàn)前動員、全員皆兵等等。

順便吐槽一下：安全圈是從來不憚于創(chuàng)造新名詞的，每年都要整出好幾個新詞，比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等，其實就那么點東西，各種包裝。

這么做，一方面是顯得高大上一些，便于營銷;一方面也是為了簡化描述和便于交流。比如現(xiàn)在你一說“社工”，大家立刻秒懂。

3、一切要在控制之中

可控思維的要點是：可視、可封、堅壁清野。

因為敵我雙方都講究“讓對方在明處，讓自己在暗處”。所以盡量讓攻擊隊看到最少的東西，讓我方看到最多的東西。

這節(jié)是重點，所以我多說一些。

先說下堅壁清野：把可以忍著不用的業(yè)務都停了，把意思不大的專線都shutdown了，把云上的東西都下了，把訪客可觸及的信息點(網(wǎng)口)都關(guān)了，把筆記本上的內(nèi)部文檔都刪了。

搜一搜云盤和github上有沒有單位的東西，有的話趕緊清了。這也是一個“可視”的問題，要能看見自己的東西。

上次實戰(zhàn)時，都打了好幾天了，有朋友電話我，說我單位有個系統(tǒng)開了若干端口。打開一看，確實沒錯，嚇得我趕緊查IP，卻發(fā)現(xiàn)IP并不是我們的，一開始以為是仿冒網(wǎng)站，后來一查，原來是開發(fā)商放在云上的測試系統(tǒng)!

堅壁清野很難做到徹底，但要盡可能地做。

下面說對攻擊的“可視”。

在進入服務器之前，攻擊都在流量之中。

如果條件允許，建議大量購買網(wǎng)絡流量相關(guān)工具，一兩個是不夠的，要有多個。

首先應該建一個流量匯聚平臺，把網(wǎng)絡各處流量輸入?yún)R聚起來，然后按需處理、分發(fā)。網(wǎng)絡設備給出流量，安全分析工具享用流量。這樣，不至于像以前，每上一個安全分析工具，都要到處接鏡像。

然后是各類流量分析和處置工具，如WebIDS、APT防護、沙箱、郵件安全、WAF、IPS等等，這類工具買上十個八個也不為多。

最后，流量回溯工具是必不可少的，它可以把流量都存下來，上面說的那些工具，通常是不會記錄全流量的，要查看具體特定流量的時候，還是要靠它。

最好能夠看到口令暴力猜解，這可以從流量上做，雖然稍微有點難度。如果企業(yè)的認證點是集中的，就比較好辦。

比如某單位所有系統(tǒng)都用AD驗證口令，那就監(jiān)控AD上的流量，如果每秒有多個口令驗證出錯，就立刻報警。

蜜罐是獨特而有效的可視性工具，可以買專門的蜜罐/蜜網(wǎng)系統(tǒng)，也可以使用負載均衡設備的蜜罐功能，還可以開主機蜜罐、郵箱蜜罐、數(shù)據(jù)庫蜜罐等等。總之，多開一些總是好的，一個典型的中型金融機構(gòu)，怎么也應該弄上幾百上千個蜜罐。

一定要有主機安全工具，以便看到主機上的攻擊行為。像口令嘗試、漏洞提權(quán)、木馬上傳、遠程登錄、反彈shell等攻擊行為，都能及時看到。此外，它還可以發(fā)現(xiàn)弱口令，可以監(jiān)控web目錄，可以保護可執(zhí)行文件，可以設置主機蜜罐，總之，這是個好東西，誰用誰知道。

此外，日志匯聚分析平臺、報警平臺、CMDB、威脅情報等等這些，都應該有，這些都有助于發(fā)現(xiàn)和定位攻擊。

下面說一下網(wǎng)絡封禁：

• IP封禁應盡量方便化和自動化。可開發(fā)專門的IP封禁系統(tǒng)，實現(xiàn)方便的一鍵封禁。必要時，要能一鍵關(guān)閉線路(也就是關(guān)閉路由器端口)。
• 應具備封禁IP列表的導入功能。實戰(zhàn)時，攻擊情報都是上千個IP的列表，要能方便導入。
• 要防止誤封。不要誤封正常用戶，不要誤封自己的出口地址。可以將自己的地址放入封禁系統(tǒng)的白名單中。
• 一些安全工具可以和防火墻聯(lián)動。通過調(diào)用防火墻的API接口或命令接口，可以實現(xiàn)對高危攻擊的自動封禁，必要時可以用，但同樣要防范誤封。

4、自上而下

工程師文化是自下而上，但作戰(zhàn)需要自上而下。

自上而下講求的是領(lǐng)導重視、指揮有方;強調(diào)的是組織嚴密、協(xié)同有力。

領(lǐng)導，在組織、動員、謀劃、決策、資源調(diào)動、后勤供應等方面，都是起最重要作用的，也是作戰(zhàn)成敗的關(guān)鍵因素。

在當今人類社會，“命令體系”仍然是最有效的戰(zhàn)爭組織體系，畢竟人類還沒有發(fā)展出去中心化的作戰(zhàn)能力，還沒有發(fā)展出我在如何從高層把握區(qū)塊鏈的本質(zhì)中所設想的去領(lǐng)導式作戰(zhàn)機制。

如今的攻防演練，大批人馬集中在ECC，必然存在大量的組織和管理工作，比如團隊協(xié)同、規(guī)章制度、應急流程等;再比如場地、工位、門禁、值班、人吃馬喂等等，都需要自上而下的管理，都需要領(lǐng)導的指揮、布局、坐鎮(zhèn)和協(xié)調(diào)。

不像攻擊隊2，3個人就能開整，防守方是多團隊作戰(zhàn)的，指揮部、研判組、監(jiān)控組、網(wǎng)絡組、主機組、終端組、郵件組、應用組，加上24小時排班，少則幾十人，多則幾百人。

要想和諧有序地在一起工作，除了指揮和命令，還要有協(xié)同工具。IM工具(比如微信或其他)是首要必需，在線文檔編輯工具則可以如虎添翼，監(jiān)控組及時上報攻擊信息，其他組迅速跟進，分析、定位、確認、封禁，整個團隊通過工具協(xié)同起來。

5、全局思維

全局思維是指安全要定位好自己，不要把自己放在業(yè)務之上。

因為這個世界的最重要任務是發(fā)展，安全只是保障。

平時，安全應以業(yè)務為重;到了戰(zhàn)時，業(yè)務可以適當讓步，一些業(yè)務可以關(guān)停。

但關(guān)鍵性的業(yè)務，仍應保持運營。不能因為害怕，都停擺了。

畢竟本文所說的作戰(zhàn)，其實只是演練。

6、成本收益思維

窮有窮的打法，富有富的打法。

如果窮，沒有太多的資源和人力，那就保護最重要的資產(chǎn)，防范最常見的攻擊。

攻擊者最愛用的、對技術(shù)要求最低、而又最容易奏效的攻擊手段，無外乎：漏洞、弱口令、釣魚郵件。而漏洞中，又以文件上傳漏洞為甚。

所以重點防以上三點。

注：那些被打穿的，大多也都敗在這三點。

漏洞全都補上，這是辛苦的活，但必須做。實在補不上的，關(guān)停、隔離或想其他辦法。

仔細排查文件上傳入口，如非必要，全都關(guān)上。即便一定要上傳，也做嚴格的檢查和過濾。

利用工具發(fā)現(xiàn)弱口令、禁用弱口令、強制定期修改口令，在管理上則是通知、檢查、通報。

培訓所有人警惕釣魚郵件，要實測幾次，看看員工是否已經(jīng)掌握。

如果富，那就是買買買了，買盡可能多的一流工具，買盡可能多的一流人才。

兵強馬壯，一般都沒有問題。

每年都有更新更好的工具，所以要年年買;

每個工具都要自身的局限性，所以同一類工具可以買多家的;

每個團隊都有其優(yōu)勢和劣勢，所以可以同時請多家。

7、不信任思維

不信任思維很簡單，就是對內(nèi)網(wǎng)也不信任，對內(nèi)部人也不信任，對合作伙伴也不信任，以至于，最終，對任何人、任何物都不信任。

畢竟，多一份不信任，少一份不安全。

在某次大型演練中，某處于中心地位的機構(gòu)被攻破，立刻變成風險中心，所有聯(lián)入該機構(gòu)的單位嚇得紛紛拔網(wǎng)線。

這也說明和外聯(lián)機構(gòu)要有清晰而嚴格的訪問控制策略，只能開業(yè)務所需的IP和端口。

從非技術(shù)的角度考慮，不信任思維主要是防社工。

許多所謂的著名黑客，其實只是社工高手，很多不可思議的突破案例，其實只是精妙的社工。

要通過培訓，告訴所有人如何識別釣魚郵件，如何識別社工人員。

有時候，不僅僅是拒絕，還需要學會誘敵深入。

抓住社工可以加分的。

有次實戰(zhàn)，某單位義正嚴辭地拒絕了一位自稱是來修ATM機的，事后回想起來，覺得有些可惜，錯失了加分機會，應該放他進來，看看他到底做點什么再下手不遲。

8、有效性的檢驗

有效性，顧名思義，就是說你所設計和執(zhí)行的一切，是否生了效。

比如你封IP，是否封上了?你打的補丁，是否打上了?你上的監(jiān)控，是否有用的?你不讓點的郵件，員工是否點了?你制定的流程，是否執(zhí)行了?

這些都要做檢測、做驗證。

不要指望一個命令下去，一切就能到位。

除非你經(jīng)常性地檢驗。

在正式開戰(zhàn)之前，可以先做幾次演練，找最厲害的幾只個攻擊隊，實打?qū)嵉貋韼状喂簦茨懿荒芄テ疲词遣皇沁€有漏洞。

這些都做了，心里才能有點底。

9、道德法規(guī)思維的實踐

法規(guī)思維，就是要守法，要合規(guī);

攻擊隊可能感受更強烈一些，畢竟違規(guī)攻擊是要受到懲罰的。

雙方交戰(zhàn)，至少不能誤傷群眾。

溯源時候，經(jīng)常會溯到普通群眾，遇到這種情況，應該盡快做到無損退出，而不是進一步擴大“戰(zhàn)果”。

關(guān)于道德思維，我曾經(jīng)總結(jié)過，就是要正直、盡責、貢獻。

這里就不多說了，懂的自然懂。

10、結(jié)語

總結(jié)起來，作戰(zhàn)思維和日常管理思維還是有區(qū)別的，雖然實戰(zhàn)時，9大思維都會涵蓋到，但最重要的思維是“縱深防御”和“可控”，然后是“自上而下”、“成本收益”和“不信任”。

“縱深防御”和“可控”同時也是最花功夫的，需要長期不懈的建設，以及戰(zhàn)前的密集準備。

如果“縱深防御”到位，又把“可控”思維中的“可視”、“可封”、“堅壁清野”做好，攻擊隊基本上無從下手。

而防守方基本上就是盯盯監(jiān)控，封封IP，然后就是翹腳喝咖啡了。

如果你不圖加分的話。