[[344224]]

本文轉(zhuǎn)載自微信公眾號(hào)「微月人話」，作者衛(wèi)sir 。轉(zhuǎn)載本文請(qǐng)聯(lián)系微月人話公眾號(hào)。  

我曾在信息安全管理的9大思維一文中提出網(wǎng)絡(luò)安全9大思維：CIA思維、深度防御思維、可控思維、自上而下思維、全局思維、成本收益思維、不信任思維、有效性思維、道德法規(guī)思維。

現(xiàn)在我們看看，一旦網(wǎng)絡(luò)攻防開(kāi)戰(zhàn)，這9大思維能否用上?怎么用?

注：在我國(guó)，近幾年來(lái)，“信息安全”和“網(wǎng)絡(luò)安全”兩個(gè)概念完全等同。

注：本文中的實(shí)戰(zhàn)，其實(shí)是指高水平的網(wǎng)絡(luò)攻防演練。

1、CIA思維

CIA思維比較高層，功夫要下在平時(shí)，該加密的加密(C)，該校驗(yàn)的校驗(yàn)(I)，該高可用的高可用(A)。

戰(zhàn)時(shí)主要是檢驗(yàn)效果。

這就好比防守方的城墻和堡壘，設(shè)計(jì)和建筑時(shí)就要搞好，平時(shí)做好維護(hù)，戰(zhàn)時(shí)是檢驗(yàn)質(zhì)量的。

值得說(shuō)明一下，漏洞，是破壞完整性(I)的。

各種常見(jiàn)已知漏洞和0day漏洞都是攻擊者極欲發(fā)現(xiàn)和使用的，所以該打補(bǔ)丁的一定要打，單純硬件設(shè)備的補(bǔ)丁還算好打，如果是數(shù)據(jù)庫(kù)、中間件的補(bǔ)丁，就不那么容易，因?yàn)橛绊懨姹容^大，開(kāi)發(fā)、運(yùn)維、廠商、測(cè)試，都會(huì)牽扯其中。

所以從一個(gè)單位的打補(bǔ)丁能力，就能看出其整體水平。

2、縱深防御

縱深防御思維是頭條金科玉律。

要一層一層防御，一層一層監(jiān)控，從邊界到網(wǎng)絡(luò)分區(qū)、從服務(wù)器到終端、從操作系統(tǒng)到應(yīng)用程序，要層層設(shè)卡，層層警戒。

即便敵人通過(guò)0day進(jìn)了城，城內(nèi)仍然處處是堡壘，處處是陷阱(蜜罐)，處處有監(jiān)控。

深度防御可以分為物理層、技術(shù)層、管理層三個(gè)層次。

物理層位于最外側(cè)，可以是大門(mén)、圍墻、門(mén)禁、警衛(wèi)、狼狗、攝像頭、傳感器、警報(bào)、鎖等防護(hù)手段，主要是防所謂“近源滲透”的。

技術(shù)層則包括認(rèn)證、授權(quán)、加密、監(jiān)控、隔離、封禁、限制、恢復(fù)、備份等手段。

在物理和技術(shù)仍然觸及不到的地方，通過(guò)管理手段來(lái)防護(hù)，比如規(guī)章制度、管理要求、現(xiàn)場(chǎng)檢查、安全教育、應(yīng)急演練、戰(zhàn)前動(dòng)員、全員皆兵等等。

順便吐槽一下：安全圈是從來(lái)不憚?dòng)趧?chuàng)造新名詞的，每年都要整出好幾個(gè)新詞，比如什么ATP、SIEM、SOC、EDR、UEBA、SOAR、RASP等等，其實(shí)就那么點(diǎn)東西，各種包裝。

這么做，一方面是顯得高大上一些，便于營(yíng)銷;一方面也是為了簡(jiǎn)化描述和便于交流。比如現(xiàn)在你一說(shuō)“社工”，大家立刻秒懂。

3、一切要在控制之中

可控思維的要點(diǎn)是：可視、可封、堅(jiān)壁清野。

因?yàn)閿澄译p方都講究“讓對(duì)方在明處，讓自己在暗處”。所以盡量讓攻擊隊(duì)看到最少的東西，讓我方看到最多的東西。

這節(jié)是重點(diǎn)，所以我多說(shuō)一些。

先說(shuō)下堅(jiān)壁清野：把可以忍著不用的業(yè)務(wù)都停了，把意思不大的專線都shutdown了，把云上的東西都下了，把訪客可觸及的信息點(diǎn)(網(wǎng)口)都關(guān)了，把筆記本上的內(nèi)部文檔都刪了。

搜一搜云盤(pán)和github上有沒(méi)有單位的東西，有的話趕緊清了。這也是一個(gè)“可視”的問(wèn)題，要能看見(jiàn)自己的東西。

上次實(shí)戰(zhàn)時(shí)，都打了好幾天了，有朋友電話我，說(shuō)我單位有個(gè)系統(tǒng)開(kāi)了若干端口。打開(kāi)一看，確實(shí)沒(méi)錯(cuò)，嚇得我趕緊查IP，卻發(fā)現(xiàn)IP并不是我們的，一開(kāi)始以為是仿冒網(wǎng)站，后來(lái)一查，原來(lái)是開(kāi)發(fā)商放在云上的測(cè)試系統(tǒng)!

堅(jiān)壁清野很難做到徹底，但要盡可能地做。

下面說(shuō)對(duì)攻擊的“可視”。

在進(jìn)入服務(wù)器之前，攻擊都在流量之中。

如果條件允許，建議大量購(gòu)買網(wǎng)絡(luò)流量相關(guān)工具，一兩個(gè)是不夠的，要有多個(gè)。

首先應(yīng)該建一個(gè)流量匯聚平臺(tái)，把網(wǎng)絡(luò)各處流量輸入?yún)R聚起來(lái)，然后按需處理、分發(fā)。網(wǎng)絡(luò)設(shè)備給出流量，安全分析工具享用流量。這樣，不至于像以前，每上一個(gè)安全分析工具，都要到處接鏡像。

然后是各類流量分析和處置工具，如WebIDS、APT防護(hù)、沙箱、郵件安全、WAF、IPS等等，這類工具買上十個(gè)八個(gè)也不為多。

最后，流量回溯工具是必不可少的，它可以把流量都存下來(lái)，上面說(shuō)的那些工具，通常是不會(huì)記錄全流量的，要查看具體特定流量的時(shí)候，還是要靠它。

最好能夠看到口令暴力猜解，這可以從流量上做，雖然稍微有點(diǎn)難度。如果企業(yè)的認(rèn)證點(diǎn)是集中的，就比較好辦。

比如某單位所有系統(tǒng)都用AD驗(yàn)證口令，那就監(jiān)控AD上的流量，如果每秒有多個(gè)口令驗(yàn)證出錯(cuò)，就立刻報(bào)警。

蜜罐是獨(dú)特而有效的可視性工具，可以買專門(mén)的蜜罐/蜜網(wǎng)系統(tǒng)，也可以使用負(fù)載均衡設(shè)備的蜜罐功能，還可以開(kāi)主機(jī)蜜罐、郵箱蜜罐、數(shù)據(jù)庫(kù)蜜罐等等?？傊?，多開(kāi)一些總是好的，一個(gè)典型的中型金融機(jī)構(gòu)，怎么也應(yīng)該弄上幾百上千個(gè)蜜罐。

一定要有主機(jī)安全工具，以便看到主機(jī)上的攻擊行為。像口令嘗試、漏洞提權(quán)、木馬上傳、遠(yuǎn)程登錄、反彈shell等攻擊行為，都能及時(shí)看到。此外，它還可以發(fā)現(xiàn)弱口令，可以監(jiān)控web目錄，可以保護(hù)可執(zhí)行文件，可以設(shè)置主機(jī)蜜罐，總之，這是個(gè)好東西，誰(shuí)用誰(shuí)知道。

此外，日志匯聚分析平臺(tái)、報(bào)警平臺(tái)、CMDB、威脅情報(bào)等等這些，都應(yīng)該有，這些都有助于發(fā)現(xiàn)和定位攻擊。

下面說(shuō)一下網(wǎng)絡(luò)封禁：

• IP封禁應(yīng)盡量方便化和自動(dòng)化?？砷_(kāi)發(fā)專門(mén)的IP封禁系統(tǒng)，實(shí)現(xiàn)方便的一鍵封禁。必要時(shí)，要能一鍵關(guān)閉線路(也就是關(guān)閉路由器端口)。
• 應(yīng)具備封禁IP列表的導(dǎo)入功能。實(shí)戰(zhàn)時(shí)，攻擊情報(bào)都是上千個(gè)IP的列表，要能方便導(dǎo)入。
• 要防止誤封。不要誤封正常用戶，不要誤封自己的出口地址。可以將自己的地址放入封禁系統(tǒng)的白名單中。
• 一些安全工具可以和防火墻聯(lián)動(dòng)。通過(guò)調(diào)用防火墻的API接口或命令接口，可以實(shí)現(xiàn)對(duì)高危攻擊的自動(dòng)封禁，必要時(shí)可以用，但同樣要防范誤封。

4、自上而下

工程師文化是自下而上，但作戰(zhàn)需要自上而下。

自上而下講求的是領(lǐng)導(dǎo)重視、指揮有方;強(qiáng)調(diào)的是組織嚴(yán)密、協(xié)同有力。

領(lǐng)導(dǎo)，在組織、動(dòng)員、謀劃、決策、資源調(diào)動(dòng)、后勤供應(yīng)等方面，都是起最重要作用的，也是作戰(zhàn)成敗的關(guān)鍵因素。

在當(dāng)今人類社會(huì)，“命令體系”仍然是最有效的戰(zhàn)爭(zhēng)組織體系，畢竟人類還沒(méi)有發(fā)展出去中心化的作戰(zhàn)能力，還沒(méi)有發(fā)展出我在如何從高層把握區(qū)塊鏈的本質(zhì)中所設(shè)想的去領(lǐng)導(dǎo)式作戰(zhàn)機(jī)制。

如今的攻防演練，大批人馬集中在ECC，必然存在大量的組織和管理工作，比如團(tuán)隊(duì)協(xié)同、規(guī)章制度、應(yīng)急流程等;再比如場(chǎng)地、工位、門(mén)禁、值班、人吃馬喂等等，都需要自上而下的管理，都需要領(lǐng)導(dǎo)的指揮、布局、坐鎮(zhèn)和協(xié)調(diào)。

不像攻擊隊(duì)2，3個(gè)人就能開(kāi)整，防守方是多團(tuán)隊(duì)作戰(zhàn)的，指揮部、研判組、監(jiān)控組、網(wǎng)絡(luò)組、主機(jī)組、終端組、郵件組、應(yīng)用組，加上24小時(shí)排班，少則幾十人，多則幾百人。

要想和諧有序地在一起工作，除了指揮和命令，還要有協(xié)同工具。IM工具(比如微信或其他)是首要必需，在線文檔編輯工具則可以如虎添翼，監(jiān)控組及時(shí)上報(bào)攻擊信息，其他組迅速跟進(jìn)，分析、定位、確認(rèn)、封禁，整個(gè)團(tuán)隊(duì)通過(guò)工具協(xié)同起來(lái)。

5、全局思維

全局思維是指安全要定位好自己，不要把自己放在業(yè)務(wù)之上。

因?yàn)檫@個(gè)世界的最重要任務(wù)是發(fā)展，安全只是保障。

平時(shí)，安全應(yīng)以業(yè)務(wù)為重;到了戰(zhàn)時(shí)，業(yè)務(wù)可以適當(dāng)讓步，一些業(yè)務(wù)可以關(guān)停。

但關(guān)鍵性的業(yè)務(wù)，仍應(yīng)保持運(yùn)營(yíng)。不能因?yàn)楹ε拢纪[了。

畢竟本文所說(shuō)的作戰(zhàn)，其實(shí)只是演練。

6、成本收益思維

窮有窮的打法，富有富的打法。

如果窮，沒(méi)有太多的資源和人力，那就保護(hù)最重要的資產(chǎn)，防范最常見(jiàn)的攻擊。

攻擊者最愛(ài)用的、對(duì)技術(shù)要求最低、而又最容易奏效的攻擊手段，無(wú)外乎：漏洞、弱口令、釣魚(yú)郵件。而漏洞中，又以文件上傳漏洞為甚。

所以重點(diǎn)防以上三點(diǎn)。

注：那些被打穿的，大多也都敗在這三點(diǎn)。

漏洞全都補(bǔ)上，這是辛苦的活，但必須做。實(shí)在補(bǔ)不上的，關(guān)停、隔離或想其他辦法。

仔細(xì)排查文件上傳入口，如非必要，全都關(guān)上。即便一定要上傳，也做嚴(yán)格的檢查和過(guò)濾。

利用工具發(fā)現(xiàn)弱口令、禁用弱口令、強(qiáng)制定期修改口令，在管理上則是通知、檢查、通報(bào)。

培訓(xùn)所有人警惕釣魚(yú)郵件，要實(shí)測(cè)幾次，看看員工是否已經(jīng)掌握。

如果富，那就是買買買了，買盡可能多的一流工具，買盡可能多的一流人才。

兵強(qiáng)馬壯，一般都沒(méi)有問(wèn)題。

每年都有更新更好的工具，所以要年年買;

每個(gè)工具都要自身的局限性，所以同一類工具可以買多家的;

每個(gè)團(tuán)隊(duì)都有其優(yōu)勢(shì)和劣勢(shì)，所以可以同時(shí)請(qǐng)多家。

7、不信任思維

不信任思維很簡(jiǎn)單，就是對(duì)內(nèi)網(wǎng)也不信任，對(duì)內(nèi)部人也不信任，對(duì)合作伙伴也不信任，以至于，最終，對(duì)任何人、任何物都不信任。

畢竟，多一份不信任，少一份不安全。

在某次大型演練中，某處于中心地位的機(jī)構(gòu)被攻破，立刻變成風(fēng)險(xiǎn)中心，所有聯(lián)入該機(jī)構(gòu)的單位嚇得紛紛拔網(wǎng)線。

這也說(shuō)明和外聯(lián)機(jī)構(gòu)要有清晰而嚴(yán)格的訪問(wèn)控制策略，只能開(kāi)業(yè)務(wù)所需的IP和端口。

從非技術(shù)的角度考慮，不信任思維主要是防社工。

許多所謂的著名黑客，其實(shí)只是社工高手，很多不可思議的突破案例，其實(shí)只是精妙的社工。

要通過(guò)培訓(xùn)，告訴所有人如何識(shí)別釣魚(yú)郵件，如何識(shí)別社工人員。

有時(shí)候，不僅僅是拒絕，還需要學(xué)會(huì)誘敵深入。

抓住社工可以加分的。

有次實(shí)戰(zhàn)，某單位義正嚴(yán)辭地拒絕了一位自稱是來(lái)修ATM機(jī)的，事后回想起來(lái)，覺(jué)得有些可惜，錯(cuò)失了加分機(jī)會(huì)，應(yīng)該放他進(jìn)來(lái)，看看他到底做點(diǎn)什么再下手不遲。

8、有效性的檢驗(yàn)

有效性，顧名思義，就是說(shuō)你所設(shè)計(jì)和執(zhí)行的一切，是否生了效。

比如你封IP，是否封上了?你打的補(bǔ)丁，是否打上了?你上的監(jiān)控，是否有用的?你不讓點(diǎn)的郵件，員工是否點(diǎn)了?你制定的流程，是否執(zhí)行了?

這些都要做檢測(cè)、做驗(yàn)證。

不要指望一個(gè)命令下去，一切就能到位。

除非你經(jīng)常性地檢驗(yàn)。

在正式開(kāi)戰(zhàn)之前，可以先做幾次演練，找最厲害的幾只個(gè)攻擊隊(duì)，實(shí)打?qū)嵉貋?lái)幾次攻擊，看能不能攻破，看是不是還有漏洞。

這些都做了，心里才能有點(diǎn)底。

9、道德法規(guī)思維的實(shí)踐

法規(guī)思維，就是要守法，要合規(guī);

攻擊隊(duì)可能感受更強(qiáng)烈一些，畢竟違規(guī)攻擊是要受到懲罰的。

雙方交戰(zhàn)，至少不能誤傷群眾。

溯源時(shí)候，經(jīng)常會(huì)溯到普通群眾，遇到這種情況，應(yīng)該盡快做到無(wú)損退出，而不是進(jìn)一步擴(kuò)大“戰(zhàn)果”。

關(guān)于道德思維，我曾經(jīng)總結(jié)過(guò)，就是要正直、盡責(zé)、貢獻(xiàn)。

這里就不多說(shuō)了，懂的自然懂。

10、結(jié)語(yǔ)

總結(jié)起來(lái)，作戰(zhàn)思維和日常管理思維還是有區(qū)別的，雖然實(shí)戰(zhàn)時(shí)，9大思維都會(huì)涵蓋到，但最重要的思維是“縱深防御”和“可控”，然后是“自上而下”、“成本收益”和“不信任”。

“縱深防御”和“可控”同時(shí)也是最花功夫的，需要長(zhǎng)期不懈的建設(shè)，以及戰(zhàn)前的密集準(zhǔn)備。

如果“縱深防御”到位，又把“可控”思維中的“可視”、“可封”、“堅(jiān)壁清野”做好，攻擊隊(duì)基本上無(wú)從下手。

而防守方基本上就是盯盯監(jiān)控，封封IP，然后就是翹腳喝咖啡了。

如果你不圖加分的話。