更主动的安全防御

防御这个词好像天然是被动性的，别人来攻击，你来防守，要处处防着对方，小心被对方渗透进来。

因为攻击者在暗，防守方在明，只有攻击者出手的份，防守方对攻击者似乎做不了什么。

但事实上却不是，作为防守方，作为企业的安全人员，你也可以“主动”一点，但有多“主动”就要看你有多OPEN能耐了。

比如，你可以提前想到对方所有的招式，做好所有防备，不那么“被动”，这是低程度的；还可以从对方招式中总结出一个姿势模式，以不变应万变，这个有点厉害了；甚至还可以主动诱惑对方，然后来个反杀，猎捕攻击者。

笔者从安全防御的 “主动性” 角度，总结了企业安全建设的三个层次，这三层不是演进替代的关系，而是叠加：

1. 第一层是筑牢基本防线，建立运营流程

安全的基本防线构建大概分为三块：

1）安全套件

• 互联网边界上标准安全架构：部署异构防火墙、IPS、WAF、IDS等安全检测手段，额外还有流量分析；
• 终端上（包括办公设备和服务器）的安全基础组件，包括杀毒、DLP、基本的日志采集等、基本配置管理等。

2）运营机制

• 具备对漏洞的发现跟踪机制，比如定期对不同区域的漏洞扫描和运营；
• 基本的开发安全介入，比如上线前的安全评审、安全测试等；
• 有一定的安全运营和应急响应能力，事件发生后能及时进行止血等处置动作。

3）安全制度和培训

• 必要的安全制度和审计机制；
• 在关键节点上嵌入安全培训。

以上是企业安全建设的基本防线布置，也可以说具备了PPDR（Policy安全策略、Protection防护、Detection检测、Response响应）动态安全模型的的基本形态——有策略、有防护、有检测、有响应。

2. 第二层是体系化、协同化的建设，加上自动化、智能化的运营，使整个安全堡垒能够自适应、自“学习”

1）一方面，基于前期部署的安全套件，通过协同和运营，形成一个安全机制，比如：

• 零信任安全办公体系，基于“终端-网络-身份-行为”持续验证的体系；
• 基于DevSecOps的应用安全流程设计，包括敏捷开发过程中的需求设计、安全扫描/测试、安全评审、供应链安全等；
• SOAR 安全编排、自动化和响应，安全人员基于标准工作流程，通过自动/半自动化的对威胁进行处置和响应，实现团队、工具和流程的整合与协同联动；
• 漏洞的“情报-定位-工单推送-跟踪”的运营机制，以及信息资产的常规化梳理，对外部攻击行为能够快速定位到资产、管理员、归属项目；
• 敏感数据的分布测绘，以及基于此对相关泄露的“情报-数据资产定位-真实性分析-使用者溯源”等自动溯源机制
• ......

2）另一方面，通过前期积累的数据和专家经验，结合人工智能算法、规则和RPA技术，能够在事前或者攻击早期完成攻击行为的预测，及时进行处置，包括：

• 基于专家经验的规则集；
• 基于大量数据喂出来的机器学习模型；
• 基于无监督算法的模式发现和异常检测；
• 以上组合搭建出来的防控体系，以及定期的模型retrain，自适应机制。

3. 第三层是强化溯源研判的软硬实力，部署威胁猎捕工具，协同外部执法力量对攻击者进行打击

前面2层还是“防御”层次，只是对攻击行为能够更主动的防御。而第三层，则开始对攻击源开始反制。

反制的一个重要工具是蜜罐，也就是威胁猎捕系统，通过部署一些仿真、但具备可入侵漏洞的服务，比如有弱口令的后管登录页面、没打补丁的SMB协议、有未授权访问漏洞的redis服务等，诱使攻击方对其实施攻击，从而对攻击行为进行捕捉。

1）轻度反制：画像

通过攻击者留下的痕迹，如IP、设备指纹、上传的文件、用户名等，结合外部查询工具，逐步溯源到攻击者的真实身份。

2）中度反制：设备

诱使攻击者在蜜罐内下载专门的工具做进一步渗透，比如包含木马的VPN，或者在已知攻击者是谁的情况下，通过社工方式让攻击者接受病毒文件，最终黑掉攻击者的计算机。

3）重度反制：人

结合已掌握的攻击者信息，以及入侵证据，联合外部执法资源进行专案打击，从线上反制溯源走向线下打击。

本文是从安全防御的 “主动性”角度梳理的企业安全建设的层次，主动性未必代表成熟度。作为企业安全人员，应该根据安全建设的目标、资源情况，综合进行考虑。