九色国产,午夜在线视频,新黄色网址,九九色综合,天天做夜夜做久久做狠狠,天天躁夜夜躁狠狠躁2021a,久久不卡一区二区三区

同年，《網(wǎng)絡安全法》頒布，出臺網(wǎng)絡安全演練相關規(guī)定：關鍵信息基礎設施的運營者應“制定網(wǎng)絡安全事件應急預案，并定期進行演練”。結合在知道創(chuàng)宇四年來的經(jīng)驗，以及對近年來國內(nèi)外網(wǎng)絡對抗的總結后，我認為要想把攻防演練和小規(guī)模網(wǎng)絡對抗的防御工作做好，必須解決兩個問題：在網(wǎng)絡對抗方案中，大部分的方案都在做“點”的堆疊，這些堆疊往往是基于方案廠商自有的產(chǎn)品和服務能力，并沒有考慮到網(wǎng)絡對抗中的效果，主要是將以往安全建設的方案進行重新包裝，即：新壇裝老酒；以往的方法論，包括：等保、ISMS、ITIL等等，在目標、宏觀、指導性層面上雖然極具參考性，但在實際中卻缺乏落地策略及直接有效的操作方針來阻擋攻擊者。對此，本文將參考一部專門針對小規(guī)模對抗的著作提出的戰(zhàn)術中心思想，落實在實際的網(wǎng)絡攻防中，利用主動防御進行黑客對抗。本文重在提出對抗方針，即：在已經(jīng)進行了基礎的信息安全建設后（例如，已經(jīng)通過等保、分保、ISO 27001、Cobit、SOX404等等），應該從哪些方面入手和加強，以防御真正的網(wǎng)絡攻擊。具體操作指南需要根據(jù)實際業(yè)務場景和IT環(huán)境進行細化。本文不求像綱領性文件、要求或一些方法論中做到的全面，僅從最有效的方面進行闡述。02 對抗，對抗，對抗實際的小規(guī)模網(wǎng)絡攻防中，面對的攻擊對象，主要包括國內(nèi)外敵對勢力、商業(yè)和民間黑客以及執(zhí)行攻防演練行動中進行安全性檢測的攻擊隊等。攻擊對象不乏有使用1day，甚至是0day的攻擊手段，在某些特定對象和場景中，也可能會遇到APT攻擊。面對這些攻擊時，一味地進行被動防御，即使不斷提高防御手段，往往只是增加資源投入和成本，并不能起到更好的效果。例如：防火墻或網(wǎng)閘買得再多、訪問控制策略做得再細致和規(guī)范，若它們自身就存在0day漏洞或1day漏洞未修補，則直接可被攻破；業(yè)務系統(tǒng)接入了云防御，即使云端防御再好，一旦攻擊者找到了未做信任策略的源站地址，一切防御將全部失效；內(nèi)網(wǎng)部署了很好的防御產(chǎn)品和策略，包括防病毒、反垃圾郵件等，但內(nèi)部員工被魚叉攻擊，依然會泄露重要和敏感信息；業(yè)務系統(tǒng)防范嚴密，卻在某個具有出口的測試環(huán)境中存在暗資產(chǎn)，或者在GitHub上泄露了數(shù)據(jù)，導致其成為跳板甚至被進行內(nèi)網(wǎng)漫游或使攻擊者直接獲得了某些重要資料和信息；等等場景，不勝枚舉。大圖模式大圖模式被動防御永遠在亡羊補牢?；诰W(wǎng)絡安全發(fā)展史的經(jīng)驗來看，面對攻擊，是可以進行如下兩個判斷的：對每種攻擊手段、防御措施的資源投入，平均下來一定遠遠大于攻擊成本；每個攻擊者的攻擊手段可能無限多。所以得出的結論是：僅考慮防御，將會耗盡無限多的資源，而即使如此，也未必能做到最好。所以強調(diào)指出：網(wǎng)絡安全的本質(zhì)是對抗。對抗，不是被動防御。對抗的目標是“敵人”，是攻擊者，防御方案不僅是為了免責和心里安慰，目的是在實際的小規(guī)模網(wǎng)絡中保護自己的業(yè)務系統(tǒng)，保護社會數(shù)據(jù)，保護國家信息資產(chǎn)。03 不管資源多少，要將資源盡可能用于主動防御對抗中只有將目標聚焦到攻擊者、聚焦到對“人”的對抗上，才能在網(wǎng)絡攻防中取得勝利。主動防御或機動防御理念，是在入侵成功之前通過精確預警，有針對性、機動地集中資源重點防御并伺機進行反擊。在網(wǎng)絡安全領域，目前其方法論和技術方案尚不成熟。在小規(guī)模對抗中，攻擊者可能來自于任何地方，但具備攻擊能力的人群總數(shù)是有限的，對有生力量的精力和時間的打擊和消耗，以及進行可能的自然人溯源，是目前我認為的主動防御思想的核心。大圖模式在傳統(tǒng)安全模型中經(jīng)常提到“木桶原理”、PDCA、PDRR等概念，旨在強調(diào)加強短板建設、形成周期性閉環(huán)等等，這些理論是正確的，但這些理論的出發(fā)點更多的是考慮通過“知己”及“內(nèi)建”，以應對外界威脅，更適合用來作為指導性思想，進行常態(tài)化和持久化信息安全建設。而在主動防御理論中，更優(yōu)先考慮的是“知彼”，依據(jù)攻擊者可能的手段及弱點協(xié)調(diào)資源進化自己。所以在整體資源有限、時間周期不長、攻擊者相對較明確的網(wǎng)絡攻防中，應將資源用于主動防御對抗中，這樣能更加明顯地實現(xiàn)預期效果并取得更優(yōu)的成果。主動防御的出發(fā)點應該圍繞“敵人”，方案應該更強調(diào)“立竿見影”。以下部分將進行主動防御思想體系下，應對攻防演練及小規(guī)模網(wǎng)絡對抗的戰(zhàn)術方法介紹。04如果內(nèi)部安全人員有限，可以更多地使用自動化工具或外采人工服務包括政府、事業(yè)單位、央企、國企、大中型企業(yè)等在內(nèi)的大部分組織中，受內(nèi)部信息安全崗位編制、人員專業(yè)技能等的局限，往往對于突發(fā)性或階段性高強度的網(wǎng)絡對抗感到資源有限、力不從心。在這種情況下，長期或階段性使用自動化工具會讓工作事半功倍。這里指出的自動化工具，包括：網(wǎng)絡資產(chǎn)測繪、漏洞掃描器、IDS/IPS、防火墻、防病毒、云防御、WAF、堡壘機、日志審計、蜜罐、SOC等等常態(tài)化信息安全產(chǎn)品，更重要的是需要使用SOAR（安全編排自動化響應工具）。SOAR是Gartner締造及推廣的。一個好的SOAR，在網(wǎng)絡對抗中應該可以做到以下兩方面：可以進行綜合數(shù)據(jù)處理和分析，這些數(shù)據(jù)應該包括資產(chǎn)、風險、威脅、日志、防御狀態(tài)等等，如果有可能，最好是能夠內(nèi)置或掛載一些開源情報和秘密情報，能夠快速構建及調(diào)整數(shù)據(jù)處理和分析模型。高效、準確地處理和分析數(shù)據(jù)，與各類情報數(shù)據(jù)進行匹配，可以在攻擊初始即發(fā)現(xiàn)其動機，甚至可以預知攻擊的方向及強度，再配合人性化的UI界面、大屏展示和趨勢分析圖，可以達到“態(tài)勢感知”的效果；可以進行設備聯(lián)動處理，并能夠進行一定針對安全工作的流程處理，以簡化安全事件響應流程，極大地縮短事件處理時間。在網(wǎng)絡對抗中，至為關鍵的因素就是平均檢測時間（MTTD）和平均修復時間（MTTR）。越準確地發(fā)現(xiàn)自己的薄弱點、越高效地發(fā)現(xiàn)攻擊行為、越快速地進行修復、越簡化的工作流程，就能使攻擊者浪費更多的時間和精力，進而耗盡其有生力量。而需要達到這樣的效果，必須依托于自動化處理手段；以上，一方面可以進行小規(guī)模網(wǎng)絡對抗，在建設完成后，也可以完善常態(tài)化網(wǎng)絡安全建設。大圖模式不過在SOAR建設初期，由于其專業(yè)性及需要與所在組織和流程進行磨合，以達到默契，所以這方面工作更建議階段性使用安全服務？？，以期能夠快速打造出初始效果，并在之后進行階段性調(diào)整，以完善其效果。這部分一般是需要人工服務的。另一方面，在進行正常流程之外遇到突發(fā)事件，包括一些無法完全自動化和工具化的工作中，例如：黑客入侵中后期的應急響應、反制和溯源等等，以及在完善的SOAR建設起來之前和建設中，是需要人工專家服務的，如果資源較少可以使用階段性服務，這樣可以集中優(yōu)勢資源迅速占領對抗中的制高點。05 盡量先使用自動化探測工具大部分組織都會建立資產(chǎn)臺賬，但組織越大、越復雜，資產(chǎn)臺賬越不準確，這包括組織架構變動、資產(chǎn)轉移、臨時他用、利舊使用等等多方面因素，也可能包括管理不到位等因素。為了保證對風險的可預測性以及被利用的可能性，需要在現(xiàn)有已了解資產(chǎn)的狀態(tài)下，對以下三個方面進行主動探測：盡量對組織的所有相關聯(lián)資產(chǎn)進行盤點，繪制網(wǎng)絡空間資產(chǎn)地圖，這應該是包括暴露在互聯(lián)網(wǎng)上以及內(nèi)網(wǎng)的所有資產(chǎn)，重點應放在暗資產(chǎn)（資產(chǎn)臺賬中沒有的或不明晰的）、灰色資產(chǎn)（歸屬不清或管理職責不清的）。這里需要注意的是，不要遺漏進行域名反查，不要遺漏在云防御體系下是否能追溯到源站，不要遺漏是否有敏感路徑暴露在互聯(lián)網(wǎng)上。另外比較棘手的地方在于，有些資產(chǎn)或域名并不歸屬總部管轄，要想全部查找出它們往往并不容易，但它們可能會成為防御死角，迅速被攻擊者攻破。以上這些關注點，有些地方需要依靠一些人工手段或半自動化手段進行探測，盡量不要遺漏。但依然應該是優(yōu)先使用自動化探測，輔以人工。盡量對所有資產(chǎn)進行漏洞探測，尤其是對暗資產(chǎn)、灰色資產(chǎn)，它們往往因為管理不明晰或者管理人員不知道它們的存在而變成攻擊的突破口。另外，應該時刻關注1day漏洞情報，大部分攻擊者仍然比較介意使用0day攻擊（當使用0day時，很可能該exp被捕獲而造成此0day暴露，關于0day的處理方法在后續(xù)章節(jié)敘述），他們通常更傾向于使用1day爆發(fā)與修補的時間差進行攻擊。更重要的是對弱口令的探測，無論是設備、操作系統(tǒng)、中間件、管理后臺、登陸前臺等等的弱口令，通常都是攻擊者最快速攻擊進來的渠道（當然，這些也可以被我們用于主動反擊，具體后續(xù)章節(jié)會進行敘述）。所以使用自動化漏洞探測工具，尤其是對1day漏洞和弱口令的迅速探測和修復，是非常重要的。盡量對可能暴露出來的信息進行查找，包括GitHub、百度云盤、暗網(wǎng)等等有可能泄露資料的地方。歷史證明，很多安全方面做得非常好的國內(nèi)外公司最終在這些不起眼的地方翻了船。06 先發(fā)制人，取得勝利預先采集相關情報和主導戰(zhàn)場，是取得勝利的前提。我們應該盡可能預先采集相關情報信息，包括：有可能的攻擊者身份，比如他們是來自于某些勢力組織或者某些特定攻擊隊等；攻擊者所受到的限制，比如他們可能所在的時區(qū)、他們的真實地理位置、他們有可能的跳板總數(shù)量級、他們的攻擊時限（有些攻擊行為是有時間限制要求的）、他們被賦予的攻擊強度要求（例如商業(yè)黑客往往以竊取數(shù)據(jù)為出發(fā)點，所以不會進行DDoS攻擊，攻防演練攻擊隊會被要求不得進行破壞性攻擊）等；我們還應該盡可能通過秘密情報和開源情報建立一些數(shù)據(jù)庫，例如：社交網(wǎng)絡數(shù)據(jù)庫、威脅情報庫、漏洞情報庫等等，如果有可能，還應該建立敵對陣地/地區(qū)設備和指紋庫（越精細越好）。提前設置一些誘捕網(wǎng)絡和陷阱，將初始戰(zhàn)場轉移到我們預設的地方，反客為主。在誘捕網(wǎng)絡和陷阱中提前知道攻擊，了解攻擊手段，甚至追溯攻擊者。07 只要有可能，就要采取欺騙措施“兵行詭道”。由“蜜罐”組成的“蜜網(wǎng)”系統(tǒng)能達到真真假假、虛虛實實的效果。部署一個由大量高交互和高仿真蜜罐組成的蜜網(wǎng)系統(tǒng)，將會帶來諸多好處：正常訪問者不會訪問蜜罐系統(tǒng)，攻擊者在不斷尋找攻擊入口時會訪問到蜜罐，所以蜜罐不像IDS/IPS等流量設備會產(chǎn)生海量報警，凡是蜜罐的報警，幾乎全都是真實攻擊嘗試的報警，大大降低誤報率（實際上幾乎沒有誤報，即使不是實質(zhì)性攻擊報警，也是偵查或攻擊嘗試）和降低數(shù)據(jù)分析工作的難度；當建立起蜜網(wǎng)后（建議蜜網(wǎng)中蜜罐的數(shù)量盡量達到真實業(yè)務系統(tǒng)數(shù)量的10倍以上），對于攻擊者來說，無疑使其陷入了一個迷宮，極大地延緩了攻擊進度（理論上攻擊時長應會以數(shù)量級延長）；高交互和高仿真的蜜罐，一方面可以迷惑攻擊者，使其在蜜罐中停留很長時間，極大地消耗他們的時間，另一方面可以利用高交互獲取更多攻擊者的攻擊手法、第一手自然人信息（例如真實IP、瀏覽器信息等等）、甚至是他們使用的一些1day和0day，使其暴露；即使蜜罐模仿的業(yè)務系統(tǒng)被攻破，攻擊者也無法獲取任何有價值的信息，當攻擊者90%以上的攻擊嘗試和努力都是針對蜜罐的，將會消耗他們大量的精力，打擊他們的信心；諸多好處不一列舉。大圖模式大圖模式大圖模式一個精心布置、能產(chǎn)生對抗效果的蜜罐和蜜網(wǎng)系統(tǒng)，應該包含如下能力：可以快速大量部署，并對正常業(yè)務不造成影響；應該是仿真的，只有這樣才有迷惑效果，才能最大化的拖延攻擊者，并使其難以發(fā)現(xiàn)；應該是高交互的，高交互一方面可以消耗攻擊者的精力，另一方面可能捕獲到攻擊者的攻擊信息，甚至是一些自然人信息（例如精心構建的登陸認證、郵件認證等，均可以考慮反向釣魚）；可以保護自身的安全性，一方面蜜罐本身可以包含（也可不含）一些精心構建的漏洞，另一方面要考慮到如果蜜罐失陷，不應使攻擊者可以用于跳板或他用；好的蜜罐應該自帶一些1day甚至0day，用于進行溯源反制，這些1day或者0day應該至少包含針對于瀏覽器、社交平臺等方面的，而不僅局限在進行攻擊規(guī)則匹配以及對瀏覽器、主機信息和攻擊日志等進行記錄，這樣才能對溯源到真實的自然人有幫助；好的蜜罐應盡可能內(nèi)置或可以與一些外置數(shù)據(jù)和情報信息進行聯(lián)動和對接，例如：通過獲取的一些自然人信息與前文提到的社交網(wǎng)絡數(shù)據(jù)庫聯(lián)合查詢以得到攻擊者真實自然人身份；通過得到的攻擊源信息進行匹配后可以得到跳板范圍并進行阻攔等等，這將直接達到減少攻擊有生力量的效果。08 在所有對抗中，都要考慮攻擊者的場景并加以利用在實際的網(wǎng)絡對抗中，既然已經(jīng)明確了以攻擊者——“人”為關注點，就要從攻擊行為、習慣、可能的手段作為出發(fā)點進行考慮，往往可以事半功倍。在“七步網(wǎng)絡殺傷鏈”理論中，最有參考價值的是2011年洛克希德馬丁發(fā)布的網(wǎng)絡殺傷鏈模型，在其模型中更為關注“人”的因素。由于七步網(wǎng)絡殺傷鏈理論模型相對已經(jīng)比較完善，同時它們也是目前攻擊場景中公認最成熟的，在此就不進行累述了，進行對抗方案和操作指南制定時，請查閱和參考該模型來制定詳細的反制措施。下圖放上了關于此模型的大致思路，但詳細細節(jié)比這些豐富很多。在此需要特別提醒的是，仍然需要以“人”作為關注對象，無論是攻擊者，還是受攻擊資產(chǎn)，還是網(wǎng)絡安全設備和策略，背后都是“人”，他們是：黑客、IT管理員、網(wǎng)絡安全工程師。制定策略要考慮人及其操作的可落實性。比如可以利用仿真虛假的業(yè)務系統(tǒng)的交互（例如郵件注冊或加載插件），精心構建針對攻擊者進行的魚叉或水坑攻擊。大圖模式圖/安全牛09所有安全設備和策略都要用最簡單有效的方法進行策略制定很多方案中會堆疊一系列產(chǎn)品、設備、流程、管理制度等等，但是在網(wǎng)絡對抗中要明確一個宗旨：越簡單越有效。具體即：非白即黑。一切阻斷類型的防御手段和策略，在使用和操作時，都是越直接越好。在很多組織中，由于業(yè)務需要、測試需要、跨部門和跨網(wǎng)段管理的設備通訊需要、甚至是因為IT管理不清晰等原因，都可能出現(xiàn)類似“拒絕所有通訊，但A分組除外，B分組除外，c資產(chǎn)除外，d資產(chǎn)除外，e資產(chǎn)的X端口除外，f資產(chǎn)的X和XX端口除外，同時e資產(chǎn)屬于B分組，d資產(chǎn)屬于A分組”等等規(guī)則，或者出現(xiàn)類似“如果發(fā)現(xiàn)A行為則阻斷，如果發(fā)現(xiàn)B行為則提交給X設備進行分析，如果發(fā)現(xiàn)其他行為由XX人進行處理”的流程。上面列出的例子只是很少一部分，只是要說明，這種分類不清、分組不清、“你中有我、我中有你”，這種有流轉、無閉環(huán)、流程崗職不清晰、意外事件太多的規(guī)則、流程和管理指南，在實際的操作層面很難執(zhí)行，或者執(zhí)行效率低下。如果真的想在對抗中“立竿見影”，必須采取“非白即黑”的技術策略和管理手段。想做到這一點，必須由安全管理和責任的一把手發(fā)起，并全力支持。由安全專家依據(jù)該宗旨制定管理規(guī)范、執(zhí)行流程、技術策略和操作指南。10 只要有可能，就要利用自查措施并修復缺陷安全性自查，就是最重要的“知己”措施。前文提到過“木桶原理”、PDCA等，并沒有對其進行否認，僅僅說到了它們在實際操作中在關注點上的局限性。本節(jié)需要強調(diào)，在“知己”方面，它們?nèi)匀缓苤匾?，也是對抗工作中的一個重要組成部分。只要是時間允許，人手、資源允許，無論在任何階段，盡量進行安全自查。按照GB/T 20984中的指導要求，其應該包含：IT系統(tǒng)規(guī)劃階段、設計階段、實施階段、運行維護階段、廢棄階段的全生命周期。對于自查的要求、管理和技術點，可參考ISO 27001、等級保護、GB/T 20984等。特別要重點提出的是，針對網(wǎng)絡對抗，還應在以下方面進行著重關注：滲透測試：對于業(yè)務系統(tǒng)、APP（不僅是iOS和安卓客戶端，也要包括與服務端的接口）、微信公眾號、小程序等的技術滲透測試，這里的滲透也應該包含業(yè)務邏輯滲透和查找高交互時暴露出的漏洞，而不僅僅是通用性技術滲透；白盒代碼審計：如果有可能，對于重要的業(yè)務系統(tǒng)最好進行白盒代碼審計，因為這可以幫助審查到滲透測試難以發(fā)現(xiàn)的漏洞。很多攻擊者是依靠各種手段（例如通過GitHub）找到源代碼，并審計其0day漏洞予以利用和攻擊的；內(nèi)網(wǎng)漫游測試：針對內(nèi)網(wǎng)的全面滲透測試，模擬攻擊者成功進入組織內(nèi)部或內(nèi)網(wǎng)后，進行內(nèi)網(wǎng)漫游，以獲取最多、最高權限、最敏感數(shù)據(jù)或某個指定目標為目的的技術測試，該測試應該也包含跨網(wǎng)段穿透嘗試，包含對于網(wǎng)絡邊界設備（包括防火墻、網(wǎng)閘等）的安全性和穿透性測試，對于工控網(wǎng)絡也應該盡量進行協(xié)議分析和安全性測試（尤其是對于已知漏洞的測試，因為工控網(wǎng)絡通常缺少防護與升級措施，攻擊者可能僅利用成本低廉的已知漏洞即可攻擊成功）；物理攻擊嘗試：使用物理手段，例如通過門禁弱點、WIFI缺陷、辦公場所弱點、人員意識缺陷等，嘗試進行攻擊并獲取敏感數(shù)據(jù)；社交攻擊嘗試：使用社交手段，例如電話、微信、企業(yè)QQ、人肉搜索、社工庫等方式進行社會工程學攻擊嘗試并獲取敏感信息或數(shù)據(jù)；魚叉與水坑攻擊測試：利用魚叉攻擊和水坑攻擊等手段，對指定或全體目標進行攻擊嘗試，以確定在組織內(nèi)部是否存在因安全意識引發(fā)的巨大隱患。11 周期性進行資產(chǎn)測繪，偵察暗資產(chǎn)大圖模式對于一個大型組織，資產(chǎn)的測繪就像繪制地圖，本單位的所有資產(chǎn)，就是對抗中的戰(zhàn)場，只有做到精準的地圖標識、無信息遺漏，才能避免在戰(zhàn)場中處于被動。例如：如果在打仗時，有一條可以被用來迂回的小路沒有被發(fā)現(xiàn)，部隊就可能遭到偷襲。而在信息化戰(zhàn)場中，由于信息資產(chǎn)可能因為各種原因有變化，所以定期進行資產(chǎn)測繪，才能保證資產(chǎn)地圖的準確性。對于信息資產(chǎn)的測繪，應該兼顧以下三點：快速?？焖倮L制出資產(chǎn)，對于前期的準備，以及定期的大規(guī)模更新有極大的幫助。大型組織往往資產(chǎn)數(shù)量能達到幾萬、幾十萬、甚至上百萬，涉及到的公網(wǎng)和內(nèi)網(wǎng)網(wǎng)段能達到幾個B段（一個B段的資產(chǎn)探測數(shù)量在6萬以上）、甚至幾個A段（一個A段的資產(chǎn)探測數(shù)量在1600萬以上），要對常用的服務進行探測，則要在此探測基礎上乘以幾十左右。對于海量資產(chǎn)的快速測繪，才能繪制出資產(chǎn)地圖框架。精準。如果說快速繪制是1:100000的地圖，那么精準繪制就是1:500，快速繪制的地圖更適合做決策，精準繪制的地圖重在操作層面。目前大部分用于快速繪制的網(wǎng)絡測繪產(chǎn)品都是基于zmap等底層開發(fā)的，它們在快速的同時，受到網(wǎng)絡波動和配置等影響，會在精準性上有局限性，所以還要考慮使用nmap等可以進行真實鏈接的產(chǎn)品，甚至是依靠P0F、suricata（部分功能）這類能夠進行被動測繪的自動化工具或者產(chǎn)品；直接匹配。在大規(guī)模資產(chǎn)的組織中，如果有1day漏洞爆發(fā)，或者需要針對某一特定漏洞進行探測時，整體探測的效率太低，最好是能夠依靠已有的資產(chǎn)地圖直接進行漏洞版本匹配。這就需要存留一份完整的漏洞庫，以及一份完整的資產(chǎn)（包括詳細版本）地圖，并且需要能快速地將兩者進行匹配。所以在繪制資產(chǎn)地圖時，要以快速為目標，周期性進行高速測繪；再用精準的模式時刻補充、修正和更新；對1day和特定漏洞可以進行資產(chǎn)精確版本的直接匹配，以做到第一時間發(fā)現(xiàn)和處理可能存在的風險。12 組建應急小組，實時處理突發(fā)事件應急響應小組，在對抗中起到“消防隊員”的作用和效果，他們應該能夠快速處理攻擊中后期的各類緊急事件。應急響應小組只有由最高責任領導擔任總指揮才能發(fā)揮其快速響應和貫穿多部門協(xié)調(diào)資源的效果。應急響應小組應該包括總協(xié)調(diào)人、安全技術專家、安全工程師、各業(yè)務接口人等組成。在前期，應急響應小組應該建立好應急響應流程和安全事件定義。關于應急響應的指導性建設，可參考GB/Z 20985和GB/Z 20986，相關針對應急響應的各類方案在業(yè)界也比較成熟，在這里不進行累述。在操作層面，比較推薦參考YD/T 1799，其中涉及到對于人員、工具、職責、質(zhì)量等要求具有很高的操作指導價值。同時它對于準備階段、檢測階段、抑制階段、根除階段、恢復階段、總結階段的詳細階段描述和操作要求，極具指導性和實操性，建議根據(jù)其要求進行規(guī)范和使用，制定操作指南。13 對抗過程中盡量不要驚動攻擊者在實際與攻擊者的對抗中，有兩個時間，盡量不要驚動攻擊者：對攻擊行為進行采集和分析時；對攻擊者進行溯源時。在對攻擊行為進行采集和分析時，可以使用旁路流量監(jiān)視和分析，也可以在不驚動攻擊者的情況下做其他的檢測?？梢詫⒉僮飨到y(tǒng)、中間件、各類訪問日志，各類安全設備日志，各類流量分析結果統(tǒng)一匯總到非DMZ區(qū)或者業(yè)務區(qū)的分析平臺進行分析，將攻擊事件進行關聯(lián)。在進行攻擊者溯源時，使用的JS、釣魚等技術和手段，應該盡量加密、混淆、仿真、偽裝和反溯源，盡量不要引起攻擊者懷疑，盡量提高其分析難度，盡量使其難以進行反溯源。在抓取足夠數(shù)據(jù)時，立刻進行封堵、反擊等操作，使其措不及防。14 只要有業(yè)務系統(tǒng)變更或模塊升級，就應進行安全測試業(yè)務系統(tǒng)經(jīng)常會有變更和模塊升級，包括網(wǎng)絡架構、Web業(yè)務系統(tǒng)、APP、工控系統(tǒng)、小程序、各類接口等等，只要有變更，或者某些功能模塊的升級，都應該對變更部分進行安全性測試，以保證新上線的功能沒有安全隱患。更好的辦法是在它們集成到現(xiàn)有業(yè)務系統(tǒng)之前，在測試階段就進行安全性測試。但是測試環(huán)境和真實環(huán)境仍然是有差別的，有時在測試環(huán)境中沒有發(fā)現(xiàn)問題，在真實環(huán)境下會出現(xiàn)問題。所以最好是能夠在正式上線前的測試環(huán)境和正式上線后都進行一次安全性測試。另外，應該在新系統(tǒng)或者新功能設計時就考慮到安全性，并將其設計在其中。如果有可能，建議建立統(tǒng)一威脅和漏洞管理。15溯源能力越強，自查和修補措施越完善，被攻破的可能性越小在網(wǎng)絡對抗方案設計階段，應該考慮到以上各部分的內(nèi)容，考慮得越詳盡，越貼合業(yè)務場景，約有實操性，對抗能力越強。大圖模式在實際環(huán)境中，往往要建設一個完善的主動防御體系，是需要分階段、分步驟進行的。如果之前沒有進行過這方面的建設，我建議按照如下步驟考慮，這里包括了對于成本、實施難度、立竿見影的效果等多方面的因素：組織建設一支高效的應急小組，他們可以負責在前期進行必要的風險評估和修補，也負責在發(fā)生事件時進行處置；全面進行弱口令排查；建立一個“非白即黑”的處理機制，在確定發(fā)現(xiàn)攻擊后，馬上進行封堵。這里面有可能因為分析能力的不完善出現(xiàn)漏判和誤判，需要應急小組能夠進行緊急響應；對1day漏洞進行專項跟蹤，并對有可能受其影響的設備進行排查和修補；采購或租用蜜罐/蜜網(wǎng)，他們能極大地減緩攻擊成功的時間，消耗攻擊者的精力，好的蜜罐還能進行溯源?？梢詾榉烙鶆?chuàng)造更多的時間，為反擊提供可能；采購各類自動化工具，協(xié)助和武裝安全管理員和應急小組，使他們能夠更快速、更高效地發(fā)揮戰(zhàn)斗力。自動化工具的采購步驟，請依據(jù)實際的預算和安全基礎建設成熟度逐步采購；組建或租用安全服務團隊，一方面進行安全性測試或者紅藍對抗測試，另一方面更有體系的長期進行安全事件處置和規(guī)劃動態(tài)安全防御體系。16信息安全負責人和項目經(jīng)理既要積極主動，又要堅決果斷信息安全負責人和項目經(jīng)理是整個網(wǎng)絡對抗的總負責人，在整個工作中起到至關重要的作用。自古既有“物勒工名，以考其誠；工有不當，必行其罪”的說法。總負責人既然要負起全部責任，就必須被賦予相應的權利。經(jīng)常會遇到這樣的場景：某些業(yè)務系統(tǒng)有極大的安全隱患，但是安全負責人不敢或者無法有效協(xié)調(diào)業(yè)務部門負責人，最終導致該業(yè)務系統(tǒng)被攻破。如果希望在網(wǎng)絡對抗中達到效果，就需要組織高層在這些方面賦予相應的權利。另外我曾經(jīng)經(jīng)常遇到的場景，也是特別需要注意的，在組織協(xié)調(diào)中，往往會出現(xiàn)“@甲、@乙、@丙，你們處理一下”這種情況。在這種工作安排下，一般被安排到的那個部門或者責任人都不會去很好地處理，這種工作安排實際上是一種“懶政”的表現(xiàn)。合理的安排應該是“@甲，授權全權負責該事情，@乙和@丙全力配合”。17 結尾感謝看到結尾。以上寫到的內(nèi)容，都是從實操出發(fā)，針對小規(guī)模的攻擊和攻防演練提出的。對于“小規(guī)?！钡睦斫猓何艺J為小規(guī)模大致應該是持續(xù)數(shù)月、商業(yè)黑客或敵對組織攻擊級別（非國家級）、會少量使用0day（具備一定的0day挖掘能力）、較大量使用社工手段（包括釣魚等）和1day漏洞、不以DDoS為目的、具備完善的Web、APP和內(nèi)網(wǎng)攻擊等能力，具備一定的工控網(wǎng)絡攻擊能力，具備一定APT能力，不具備定向攻擊能力（例如專門針對某一設備或工業(yè)組織），不具備全網(wǎng)攻擊0day（例如某骨干網(wǎng)基礎傳輸協(xié)議或設備的0day等），不具備通殺型0day（例如某常見操作系統(tǒng)遠程溢出root權限0day等），不具備復雜工具制作能力，以竊取某些特定資料、信息或取得某些權限為目的的有組織的攻擊行為。「黑馬商圈」 正式上線啦！