对抗中的主动防御——攻防演练及小规模网络对抗的战术

下图放上了关于此模型的大致思路，但详细细节比这些丰富很多。在此需要特别提醒的是，仍然需要以“人”作为关注对象，无论是攻击者，还是受攻击资产，还是网络安全设备和策略，背后都是“人”，他们是：黑客、IT管理员、网络安全工程师。制定策略要考虑人及其操作的可落实性。

比如可以利用仿真虚假的业务系统的交互（例如邮件注册或加载插件），精心构建针对攻击者进行的鱼叉或水坑攻击。

图/安全牛

九、所有安全设备和策略都要用最简单有效的方法进行策略制定

很多方案中会堆叠一系列产品、设备、流程、管理制度等等，但是在网络对抗中要明确一个宗旨：越简单越有效。具体即：非白即黑。

一切阻断类型的防御手段和策略，在使用和操作时，都是越直接越好。

在很多组织中，由于业务需要、测试需要、跨部门和跨网段管理的设备通讯需要、甚至是因为IT管理不清晰等原因，都可能出现类似“拒绝所有通讯，但A分组除外，B分组除外，c资产除外，d资产除外，e资产的X端口除外，f资产的X和XX端口除外，同时e资产属于B分组，d资产属于A分组”等等规则，或者出现类似“如果发现A行为则阻断，如果发现B行为则提交给X设备进行分析，如果发现其他行为由XX人进行处理”的流程。

上面列出的例子只是很少一部分，只是要说明，这种分类不清、分组不清、“你中有我、我中有你”，这种有流转、无闭环、流程岗职不清晰、意外事件太多的规则、流程和管理指南，在实际的操作层面很难执行，或者执行效率低下。

如果真的想在对抗中“立竿见影”，必须采取“非白即黑”的技术策略和管理手段。

想做到这一点，必须由安全管理和责任的一把手发起，并全力支持。由安全专家依据该宗旨制定管理规范、执行流程、技术策略和操作指南。

十、只要有可能，就要利用自查措施并修复缺陷

安全性自查，就是最重要的“知己”措施。前文提到过“木桶原理”、PDCA等，并没有对其进行否认，仅仅说到了它们在实际操作中在关注点上的局限性。本节需要强调，在“知己”方面，它们仍然很重要，也是对抗工作中的一个重要组成部分。

只要是时间允许，人手、资源允许，无论在任何阶段，尽量进行安全自查。按照GB/T 20984中的指导要求，其应该包含：IT系统规划阶段、设计阶段、实施阶段、运行维护阶段、废弃阶段的全生命周期。

对于自查的要求、管理和技术点，可参考ISO 27001、等级保护、GB/T 20984等。

特别要重点提出的是，针对网络对抗，还应在以下方面进行着重关注：

渗透测试：对于业务系统、APP（不仅是iOS和安卓客户端，也要包括与服务端的接口）、微信公众号、小程序等的技术渗透测试，这里的渗透也应该包含业务逻辑渗透和查找高交互时暴露出的漏洞，而不仅仅是通用性技术渗透；

白盒代码审计：如果有可能，对于重要的业务系统最好进行白盒代码审计，因为这可以帮助审查到渗透测试难以发现的漏洞。很多攻击者是依靠各种手段（例如通过GitHub）找到源代码，并审计其0day漏洞予以利用和攻击的；

内网漫游测试：针对内网的全面渗透测试，模拟攻击者成功进入组织内部或内网后，进行内网漫游，以获取最多、最高权限、最敏感数据或某个指定目标为目的的技术测试，该测试应该也包含跨网段穿透尝试，包含对于网络边界设备（包括防火墙、网闸等）的安全性和穿透性测试，对于工控网络也应该尽量进行协议分析和安全性测试（尤其是对于已知漏洞的测试，因为工控网络通常缺少防护与升级措施，攻击者可能仅利用成本低廉的已知漏洞即可攻击成功）；

物理攻击尝试：使用物理手段，例如通过门禁弱点、WIFI缺陷、办公场所弱点、人员意识缺陷等，尝试进行攻击并获取敏感数据；

社交攻击尝试：使用社交手段，例如电话、微信、企业QQ、人肉搜索、社工库等方式进行社会工程学攻击尝试并获取敏感信息或数据；

鱼叉与水坑攻击测试：利用鱼叉攻击和水坑攻击等手段，对指定或全体目标进行攻击尝试，以确定在组织内部是否存在因安全意识引发的巨大隐患。

十一、周期性进行资产测绘，侦察暗资产

对于一个大型组织，资产的测绘就像绘制地图，本单位的所有资产，就是对抗中的战场，只有做到精准的地图标识、无信息遗漏，才能避免在战场中处于被动。例如：如果在打仗时，有一条可以被用来迂回的小路没有被发现，部队就可能遭到偷袭。而在信息化战场中，由于信息资产可能因为各种原因有变化，所以定期进行资产测绘，才能保证资产地图的准确性。

对于信息资产的测绘，应该兼顾以下三点：

快速。快速绘制出资产，对于前期的准备，以及定期的大规模更新有极大的帮助。大型组织往往资产数量能达到几万、几十万、甚至上百万，涉及到的公网和内网网段能达到几个B段（一个B段的资产探测数量在6万以上）、甚至几个A段（一个A段的资产探测数量在1600万以上），要对常用的服务进行探测，则要在此探测基础上乘以几十左右。对于海量资产的快速测绘，才能绘制出资产地图框架。

精准。如果说快速绘制是1:100000的地图，那么精准绘制就是1:500，快速绘制的地图更适合做决策，精准绘制的地图重在操作层面。目前大部分用于快速绘制的网络测绘产品都是基于zmap等底层开发的，它们在快速的同时，受到网络波动和配置等影响，会在精准性上有局限性，所以还要考虑使用nmap等可以进行真实链接的产品，甚至是依靠P0F、suricata（部分功能）这类能够进行被动测绘的自动化工具或者产品；

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!