当你不知道如何进攻时，你如何知道如何防守？五种主动防御策略，以子之矛攻子之盾

当你不知道如何进攻时，你如何知道如何防守？

五种主动防御策略，以子之矛攻子之盾

策略一：布置前线

如上所述，攻击的本质是信息收集。收集的情报越详细，攻击就越隐蔽、速度更快、范围更广。因此，让攻击团队收集信息变得更加困难，可以增加攻击团队的攻击成本并减少攻击面。

可以采用以下五种方法来组织战线，减少攻击面。

- 敏感信息排查：安全意识培训，提高员工安全意识，对信息进行分级，禁止敏感文件和信息转移到个人账户或开源平台。定期收集可能在网上暴露或发布的敏感信息的服务，发现泄露的敏感信息或源代码，提前采取应急措施。

- 攻击线路梳理：定期梳理各业务系统的网络接入线路和路径，包括对外开放的边缘系统、内部接入系统、测试系统以及未使用的缺失系统。上下级单位之间的互联也整理出了各种系统。

- 互联网入口梳理：网站管理后台、测试系统、无人网站或系统、计划下线但未下线的系统、高风险服务端口、开放互联网系统以及不纳入保护范围的资产。

- 外部接入网络排序：上级、下级单位网络互联接入排序；供应商技术支持网络接入排序。

- 隐藏接口排序：未授权的API接口、近源私有WiFI、未使用的VPN接口等。

策略二：纵深防御

安全防御没有任何一招。不可能依靠一种安全设备或一种安全措施来防止所有安全攻击或漏洞。如果有，只需关闭电源并关上门即可。面对攻击者利用不同类型的漏洞攻击方式进行的层层攻击，您可以参考并结合战争中的纵深防御理论来提升和部署自己的安全防御能力。从资产梳理和防御策略梳理、互联网侧防御、内外网访问控制策略、主机防护、上下网互通防御、供应链及访问防御、各种不安全入口等方面形成纵深防御前线防御。到了核心，由远到近，通过层层防御和消耗，降低攻击者的攻击力。

纵深防御体系可以分为以下四个层次：

- 梳理资产和防御策略：清晰的资产和清晰的现有防御策略是所有防御策略的前奏。需要对所有资产系统、使用过的系统、应用软件、版本信息、补丁信息、IP地址（公网、内网）、网络设备、安全设备、数据库、接口调用信息等进行梳理。明确所有安全防御和访问策略，列出的安全设备的配置策略，以及互联网入口等不同安全域之间、内外网之间、各业务系统、主机、集中系统、供应商之间的访问策略链。入口和网络接入点的所有安全策略禁止使用所有访问策略以及专用网络和服务。结合一线整理工作结果，形成清晰的资产清单和相应的资产安全保护策略。

- 互联网侧防御：这是流量的入口点，也是攻击的起点。这是最重要的保护区。此时可以防御和过滤90%以上的攻击流量。这种区域防御可以从网络安全防护设备和漏洞检测两个方面进行部署。部署的安全防护设备包括：下一代防火墙、动态防御设备、Web防御网关、防病毒网关、全流量分析设备、反垃圾邮件网关、入侵防御等。在漏洞检测方面，可以提供完整的渗透定期测试服务，清楚了解自身的漏洞和防御策略，及时修复现有漏洞并加强防御。

- 主机加固保护：攻防的最终目的是主机权限。主机防御是最后一道屏障。如果主机被拿下，所有的工作可能都白费了。在这方面的防御，我们可以实施主机白名单和最小权限访问原则，结合堡垒机实现多因素认证登录访问，最小化应用安装，关闭不必要的服务和端口，基线扫描和加固，及时打补丁漏洞和与主机相关的修改。弱口令、定期对主机进行渗透测试、部署相关蜜罐设备；部署主机安全防护设备，实时监控重要文件目录和应用进程，启用各种安全审计日志功能。

- 供应链及下属单位网络安全：与供应链厂商及下属单位建立相应的安全防御机制和应急响应机制。供应链厂商对其提供的产品以及接入的网络线路都有一定的安全措施和应急措施。产品的开发和发布需要提供应有的安全保障，例如相应的安全测试以及针对漏洞采取的补救措施。下属单位的专线接入也需要一定的安全防御和攻击流量监控。

策略三：核心防御

简单来说，这个策略就是集中力量办大事，用好钢在刀刃上。在攻防对抗和日常安全运营中，根据真实网络攻防对抗经验和资产重要性划分防御中心，找到核心系统集中防御和加固。主要包括这三类：目标系统、中心化系统、有重要数据的业务系统等。

目标体系是攻防对抗的重中之重，也是最终目标。失败就意味着失败；中心化系统包括所有具有特殊权限的重要系统，如堡垒机、VPN服务器、SOC平台、核心安全设备等； important 如果业务系统被拿下，它也可能是通往目标系统的重要通道。对于这些核心系统，应加强防御力量部署，实施定制化访问策略、白名单机制、最低访问权限、多因素访问措施、漏洞检测、日志实时监控分析等。在真正的网络攻防前和日常安全运维过程中，对这些关键系统进行资产梳理和安全措施整改。可以定期对这些系统进行单独的安全评估。

策略四：全面监控

在过去两三年的攻防对抗中，进攻方的手段变得越来越简单直接，但也越来越隐蔽。尤其是0-Day攻击越来越频繁。越来越多的漏洞和系统故障是由0Day 和NDay 造成的。有些甚至直接获得对主机系统的控制。既然是0day，就意味着不存在现有的攻击特征，很难被发现和捕获，否则就不会被称为0day了。如何防御此类攻击也是重中之重。建立完善的安全监控体系是防御者最有力的武器，从中可以发现并追踪0day攻击的线索。建立有效的安全监控体系可以从以下几个方面着手。

- 全程流量监控：如果有任何请求或攻击经过网络线路，就会产生网络流量。恶意攻击流量必须与正常数据不同。通过安全工程师对网络流量的全程监控和分析，是目前发现和捕获异常流量最有效的方法。有效的安全措施之一。

-主机监控：最后的防御屏障，任何攻击的最终目标都是获取主机。部署主机安全系统，实时监控恶意命令执行、进程异常启动和停止、非法文件创建、恶意代码或Webshell写入。

- 日志审计：建立完整、独立的日志安全分析机制，对各种系统和软件的日志进行收集和分析，进行有针对性的安全审计，可以帮助防御团队发现意外的攻击信息。

- 部署蜜罐：部署蜜罐伪装目标、保护真实目标，可以引诱敌人，持续消耗攻击团队的资源和耐心，变被动为主动，获得意想不到的好处，捕获0day攻击特征和流量。

- 实时情报：建立实时情报和威胁情报收集系统。很多时候，0day特征和攻击信息并不是第一时间来自于自身网络的攻击流量，而是来自实时情报的及时收集。根据收集到的特征，逆向检索历史攻击日志。或者在请求流量中查询。

- 动态防御：部署不依赖特征匹配的动态防御系统，可抵御99%左右的第一波0day自动扫描检测攻击，可防御90%以上的第二波0day手动利用攻击攻击。

策略五：溯源及对策

在早期的真实网络攻防中，防御者只是被动的，只能进行监控、防御、封锁等措施。随着现实网络攻防的不断演进，溯源对策可以让防御者变被动为主动、由守为攻，可以将防御强度提升到一个更高的水平。

可以采用以下两种方法进行溯源和对策：一是发布代码获取攻击者的社会工程信息或监控脚本，通过秘密诱饵技术获取攻击者的身份信息；另一种是通过渗透技术，反向控制攻击者的系统权限，获取攻击者的身份信息。

除了在攻防演练中制定有效的防御策略外，沙盘推演对于实际的攻防实战也是必不可少的。这是因为攻防演练与真正的国家级对抗还有差距。这就需要在真实网络攻防的基础上继续深入研究，推演出一些在真实网络攻防中很多人不敢做或不能做的设计。通过沙盘模拟，模拟高强度网络攻击，测试评估国家关键信息基础设施抵御攻击的能力，提高应对网络战威胁的能力和水平。