攻防對抗主要是三個層面的對抗:信息對抗、技術對抗、運營能力對抗,如果我們在這三個層面可以做到趨於完美,那麼防守體系趨於固若金湯之勢是可期待的。
1.信息對抗
信息對抗的目的是知己知彼,從兩方面進行:數據化和社會化。
數據化指的是企業自身安全風險數據建設與分析,需要根據基線數據、拓撲數據、業務數據梳理清楚可能存在的攻擊路徑與攻擊面,針對性設防。攻擊者得手的原因往往並非我們沒有設防,而是不清楚存在哪些攻擊面與路徑。同時需要注意的是,這些數據是動態變化的,需要持續運營,對於業務環境變更帶來的新的攻擊面與路徑需要及時補防,往往紕漏也出現在對業務變更跟進不夠及時的情況下。
2.技術對抗
在攻防技術對抗方面,業界通常是一片悲觀情緒,認爲防守方總是處於劣勢。在通用的安全技術方面確實如此,因爲防守者面對的是一個開放性的安全防禦難題,建設的防禦體系往往如同“馬其諾防線”一樣被攻擊者繞開。
但如果我們的防守體系解決的是一個相對固定的企業和業務,或者說根據前述信息對抗環節中梳理出清晰的防守環節,那麼我們的防守體系是可以做到閉環的。
在攻防技術維度,單點設防的方式往往讓防守者陷入疲於應付的境地。但戰場在我們的地盤,不需要與對手在同一個維度作戰,針對攻擊者,每個突破點可以在更高維度以及多維度進行檢測與防守,這才能扭轉攻防的頹勢。
所以諸如 HIDS API hook於命令注入和系統橫向滲透,RASP於Web漏洞,行爲監測模型於0day攻擊,是我們扭轉攻防優勢的手段。
方案有了,接下來就是工程能力,把方案落地優化纔能有最終的效果。這包括代碼能力、海量數據運營、規則的優化。特別是在BAT這類超大型網絡中,往往決定效果的不是攻防技術,工程化反而成了壓垮安全項目的最後一根稻草。項目失敗就不要提什麼防守體系建設了。
3.運營能力對抗
貌似技術做好了,防守體系應該完美了?並非如此!據統計,在所有未能阻斷和發現的入侵案例中,僅有1/3不到是因爲諸如0day漏洞等技術原因,那麼剩下的一半是系統故障,另一半是運營工作沒跟上。
運營能力主要體現在兩方面:
①風險閉環。簡單說就是“一個問題不能犯兩次”,通過閉環運營讓企業自身安全能力不可逆地走向更好。
②執行力。這涉及管理方面,就不細說了。