未知攻，焉知防？

五大主動防禦策略，以子之矛攻子之盾

策略一：戰線整理

上文提到，攻擊的本質是資訊收集，收集的情報越詳細，攻擊則會越隱蔽、越快速、攻擊範圍越廣。因此，加大攻擊隊資訊收集的難度，就可以增加攻擊隊攻擊的成本，縮小攻擊面。

以下五種方法可以進行戰線整理，縮小攻擊面。

- 敏感資訊排查：安全意識培訓，提高員工安全意識，對資訊劃分等級，敏感檔案和資訊禁傳到個人賬號或者開源平臺中。定期對可能暴露或者釋出在網上的敏感資訊進行收集服務，如發現洩露的敏感資訊或者原始碼提前採取應急措施。

- 攻擊線路梳理：定期梳理每個業務系統的網路訪問線路和路徑，包括對網際網路開放的邊緣系統、內部訪問系統、含測試系統，不使用的遺漏系統。還有進行上下級單位對接互聯的各類系統梳理。

- 網際網路入口梳理：網站管理後臺、測試系統、無人運維的網站或系統、擬下線未下線的系統、高危服務埠、未納入防護範圍的網際網路開放系統和資產整理。

- 外部接入網路梳理：上下級單位網路互通接入整理；供應商技術支援網路接入整理。

- 隱蔽介面梳理：未授權API介面、近源私建WiFI、不用的VPN介面等。

策略二：縱深防禦

安全防禦沒有一招鮮，不可能靠一個安全裝置或者一條安全措施就能防禦所有安全攻擊或者漏洞，如果有那就是關機關電關門。面對攻擊者不同型別的漏洞攻擊手段的層層攻擊，可以參考和結合戰爭中的縱深防禦理論來完善和部署自身安全防禦能力。從資產梳理和防禦策略梳理、網際網路側防禦、內外網訪問控制策略、主機防護、上下級網路互通防禦、供應鏈和接入防禦、各類不安全入口防禦等形成一條縱深防禦的戰線，由入口到核心，由遠及近透過層層防禦和消耗降低攻擊者攻擊力量。

以下四個層面可以搭建縱深防禦體系：

- 資產和防禦策略梳理：資產清晰，現有防禦策略清晰，是所有防禦策略的前奏。需要梳理所有的資產系統、使用的系統、應用軟體、版本資訊、補丁資訊、IP地址（公網、內網）、網路裝置、安全裝置、資料庫、介面呼叫資訊等。還要理清所有安全防禦和訪問策略，上架的安全裝置配置的策略，不同安全域之間的訪問策略，如網際網路入口、內外網之間、各業務系統之間、主機、集權系統、供應鏈入口、各網路接入口的所有安全策略，禁止使用全通策略和私開網路和服務。結合戰線整理工作的成果，形成清晰的資產列表和對應資產安全防護策略。

- 網際網路側防禦：這是流量的入口也是攻擊起始點，是重中之中的防護區域，這點做好可能防禦和過濾90%以上的攻擊流量。這個區域防禦可以部署網路安全防護裝置和漏洞檢測兩方面展開。部署安全防護裝置包括：下一代防火牆、動態防禦裝置、Web防禦網關、防病毒閘道器、全流量分析裝置、防垃圾郵件閘道器、入侵防禦等。漏洞檢測方面可以定期做完整的滲透測試服務，對自身漏洞和防禦策略有個清晰的認識，對存在的漏洞及時修復和加強防禦。

- 主機加固防護：攻防終極目標就是主機許可權，主機防禦是最後一道屏障，如果主機被拿下，所有的工作可能都會功虧一簣。在這塊防禦上可以實行主機白名單和最小許可權訪問原則、結合堡壘機實行多因子認證登入訪問、最小化應用安裝、關閉不必要的服務和埠、基線掃描加固、漏洞及時補丁、修改主機相關弱口令、定期對主機進行滲透測試、部署相關蜜罐裝置；部署主機安全防護裝置，對重要檔案目錄和應用程式程序進行實時監控、開啟各類的安全審計日誌功能。

- 供應鏈以及下屬單位網路安全：與供應鏈廠商和下級單位建立起相應的安全防禦機制和應急響應機制。供應鏈廠商對提供的產品和接入的網路線路有一定的安全措施和應急措施，產品的研發和釋出需要提供應有的安全保障，例如對應的安全測試，使用出現漏洞的補救措施。下級單位專線接入也需要做一定的安全防禦和攻擊流量監控。

策略三：核心防禦

這個策略通俗一點講就是集中力量辦大事，把好鋼用在刀刃上。攻防對抗和日常的安全運維中，根據實網攻防對抗經驗和資產的重要性劃分出防守中心，找到核心系統集中力量進行防禦和加固。主要包括這三類：靶標系統、集權類系統、具有重要資料的業務系統等。

靶標系統是重中之重，是攻防對抗的終極目標，失陷這意味著失敗；集權系統包括一切有特殊許可權的重要系統，如堡壘機、VPN伺服器、SOC平臺、核心的安全裝置等；重要的業務系統如果被拿下也是可能會是通往靶標系統的重要通道。對這些核心系統應該加強防守力量的部署，實施定製化的訪問策略、白名單機制、最小訪問許可權、多因子訪問措施、漏洞查殺，日誌進行實時監控和分析等措施。實網攻防前和日常安全運維中對這些重點系統進行資產梳理和安全措施整改，可以定期對這些系統進行單獨的安全評估。

策略四：全面監控

近兩三年的攻防對抗，攻擊隊的手段越來越簡單直接但是也越來越隱蔽，尤其是0Day的單刀直入越來越頻繁，越來越多突破口和系統淪陷都是0Day、NDay導致，更有甚者直接獲得主機系統得控制權限。既然是0day說明沒有現有攻擊特徵，很難被發現和捕獲，不然就不叫0day了。如何防禦這類攻擊也是當務之急，建立全方位的安全監控體系是防守者最有力的武器，可以從中發現和追蹤0day攻擊的蛛絲馬跡。有效的安全監控體系可以從以下幾個方面展開。

- 全流量監控：任何請求或者攻擊是透過網路線路，都會有網路流量， 惡意攻擊流量和正常的資料肯定有所差異，透過全網流量監控去發現和捕獲異常流量結合安全工程師進行分析是當前最有效的安全手段之一。

- 主機監控：最後的防禦屏障，任何攻擊最終目標是獲取主機。部署主機安全系統，對惡意的命令執行、異常程序啟停、非法檔案建立、惡意程式碼或者webshell寫入等進行實時監控。

- 日誌審計：建立一套完善和獨立的日誌安全分析機制，收集和分析各類系統和軟體的日誌進行針對性的安全審計，可以幫助防守隊從中找到意想不到攻擊資訊。

- 部署蜜罐：部署蜜罐偽裝目標，保護真實目標，可以誘敵深入，持續消耗攻擊隊的資源和耐心，化被動為主動，從中還能意外收穫，捕獲0day攻擊特徵和流量。

- 實時情報：建立實時情報和威脅情報收集體系，很多時候0day特徵和攻擊資訊第一時間不是來自於自身網路攻擊流量，而是實時情報的及時收集，根據收集到的特徵反向去歷史攻擊日誌或者請求流量中查詢。

- 動態防禦：部署不依靠特徵匹配的動態防禦系統，可以抵禦99%左右的第一波0day自動化掃描探測攻擊，可以防禦90%以上的第二波0day手工利用攻擊。

策略五：溯源反制

早期的實網攻防防守方只有被動挨打的份，只能進行監控、防禦、封鎖等措施。隨著實網攻防持續的演進溯源反制可以讓防守方化被動為主動，轉守為攻，可以讓防禦實力上升一個檔次。

以下兩種方法可以進行溯源反制：一是透過密誘技術下發獲取攻擊者社工資訊的程式碼或者監控指令碼獲取攻擊者的身份資訊；二是透過滲透技術反向控制攻擊者系統許可權獲取攻擊者身份資訊。

除了在攻防演練中制定有效的防禦策略，沙盤推演對於攻防實戰也必不可少。這是因為攻防演練距離真正意義上的國家級對抗仍有差距，這就需要在實網攻防的基礎上繼續深入，推演一些實網攻防中很多不敢做、不能做的設計。透過沙盤推演，模擬高強度網路攻擊，檢驗評估國家關鍵資訊基礎設施抗擊打能力，提升應對網路戰威脅的能力和水平。