多少道防線才能擋住頂尖黑客？

語言: CN / TW / HK

時間 2022-08-28 12:54:47 特大號

主題: 黑客防火牆木馬網路安全

先看一下這張圖，這是歐洲中世紀非常典型的稜堡。

稜堡

在十字軍東征期間，代表基督教世界的醫院騎士團佔領了義大利羅德島，在島上修建了這樣的稜堡，用7000多人抵禦奧斯曼帝國，而對方，派出400艘戰艦和10萬人的軍隊發起攻擊。

城堡分外城和內城，城牆設計成凹陷形狀，外面還挖了壕溝，這樣，不管是敵軍從哪個方向進攻，守方都可以在兩個面上對來犯者進行打擊。

奧斯曼帝國使用火炮、挖地道、正面攻堅等方式下，兩個月後，終於攻破了外牆。騎士團依靠內牆，又抵禦了3個月，最後，雙方由於精疲力盡，缺乏補給，誰也再耗不起，最終通過和談方式才結束了戰爭。騎士團攜帶財產完美退出。

顯然， 縱深防禦思維作為人類戰爭中最樸素的思維，在網路安全領域一樣適用。 但專門研究網路安全縱深防禦的文章非常少見，人們通常覺得說說就可以了。

對於一個企業或單位，要構築多少道防線，以及怎樣的防線，才能抵擋中國頂尖級別的黑客團隊？

我認為至少要五道。

第一道：邊界防禦

邊界防禦是最基礎、最常用，也是最管用的。

一個單位，即便人力和資源再有限，也會在邊界上投入的。

這其中， 防火牆是最基礎的 。注意一點，對於比較大的單位，建議僅使用防火牆的網路封禁能力，不要使用其他那些花裡胡哨的功能，這主要是從效能角度考慮，讓防火牆做單一的事，其他功能讓其他裝置做。

防火牆封禁應儘可能做到自動化、簡單化、減少誤操作，使得操作員簡單填入IP就可以封禁，而不需要登入防火牆操作。具體參見《如何封禁大量惡意IP》。

第二類產品是 IDS/IPS ，這個比較古老，而且多年來一直以海量報警而聞名，所以形象比較差，一般而言不是監控防禦的主力選手。

WAF 是一道防線的重要組成部分，可以抵禦常見的WEB攻擊，這類產品已經比較成熟，通過返回HTTP錯誤的形式攔截攻擊。由於其自動化攔截能力，WAF是一道防線必不可少的。

K01 這類產品，結合情報資訊，可以實時阻斷進犯IP，而且不用串接，也是很有力的工具。它通過傳送TCP reset包分別到訪問端和服務端，有很好的攔截效果。

還有一類工具叫 “動態安全” ，這類產品，可以自動識別訪問者是自然人還是黑客工具。如果發現是後者，則自動阻斷（返回HTTP錯誤），這讓慣用工具的黑客非常頭疼。

它的基本原理是：裝置以中間人形式串接在服務端和訪問端之間，當服務端返回響應頁面時，裝置在返回頁面中插入js，要求訪問端（瀏覽器或黑客工具）執行js並計算出token放入cookie返回，裝置收到token後進行判斷，判斷對方是否為黑客工具並採取相應動作。

這類產品還可以對頁面中的指定內容（比如頁面中的url或是表單內容）做加密。雖然從理論上講，這種加密難不倒一個意志堅定的密碼學愛好者（因為客戶端和服務端之間並沒有實現一個完美的金鑰建立機制），但對付那些熟練的滲透工具使用者已經足夠。

部署時，對於HTTPS應用，這類產品應放在SSL閘道器之後，如果並沒有SSL閘道器，要把服務端的證書和私鑰匯入產品，總之，產品要能看得見明文。

一道防線主要部署在企業邊界和DMZ區。一般來說，會有這樣的複雜性：入站的流量經過一層層的安全裝置，在邏輯上呈現出糖葫蘆狀，在部署和維護時，需要清晰梳理關係和路由，比較麻煩。

使用 流量編排裝置 ，可以通過SDN技術將流量進行靈活、簡單地配置，原先串接的安全裝置放入安全資源池中，流量經過誰，不經過誰，先過誰，後過誰，經過一臺，還是多臺，都可以通過Web介面做比較容易的編排，這就輕鬆多了。

流量編排使得安全結構和網路拓撲解耦，在部署和維護上會帶來很多便利。 這篇文章《網路智慧流量編排探索》很好，感興趣可以看看。

第二道：監測響應

第二道防線的名字不太好取，我反覆思考以後，將其命名為監測響應。

二道防線中的重點不是攔截，而是能準確發現正在發生的攻擊，不管是從外部還是內部發起的。

像 NTA、NDR ，都屬於這類工具，為確保安全，一個單位應至少部署兩到三家這樣的產品，互相彌補對方的不足：即便一家發現不了，另一家也可能發現。當然，最好的情況下，這類產品可以和防火牆聯動。

很多產品僅分析訪問單向來包，並不做雙向的分析。 WEBIDS 做得比較好，它能夠對http請求和響應進行綜合分析，服務端是否已經被控，很有價值。

蜜罐/蜜網 主要用來引誘攻擊者，內網的蜜罐如果被觸發，不是誤觸就是攻擊者已經進來。通常應在各個網路區域都開啟蜜罐，只要是不用的IP都放入蜜罐。可以購買專門的產品，也可以利用負載均衡的功能來設定。

抗APT工具 這裡不多說了，它的側重點和優勢在於發現木馬。

在檢測木馬（包括隱蔽通道）方面，還有一種比較新的產品是 加密流量檢測 。現在，幾乎所有木馬都採用了加密方式，沒有私鑰是無法解開分析的，這類產品可以通過特徵匹配、行為識別和機器學習的方法，在不解密的情況下，分析一個加密流量是不是木馬流量。

總之，這道防線的產品很多，而且往往會用到很多先進技術，但能力和易用性參差不齊，能否買到好的產品，既考驗判斷力，也考驗運氣，如果條件允許，多部署一些總是對的。

從基礎設施上講，單位最好能建設一個 流量匯聚平臺 ，該平臺可以採集各個網路區域的流量，然後匯聚和處理，最終輸出到需要流量的裝置，這樣，各類安全裝置不用到處接流量，集中部署並享用流量輸出就可以了。這篇文章《資料中心流量如何整合應用》就是講這個的，有興趣可以一看。

第三道：訪問控制

基本上，內網裡面的一切訪問控制措施都可以認為是第三道防線。

這道防線體現一個單位的安全基本功，也體現一個單位的資訊科技實力。

訪問控制其實就是給攻擊者處處設卡，讓攻擊者寸步難行。

從網路訪問的角度看 ，網路分割槽，系統間的隔離，終端間的隔離，以及網路准入、DNS安全等，都是非常有效的防護手段。

從資源訪問的角度看 ，使用虛擬桌面、堡壘機、特權管理這些工具，使得伺服器、網路裝置、資料庫不能被隨便訪問，結合口令管理、認證管理（包括雙因素）、審計管理（錄屏取證）等，不僅防外部攻擊，也防內部人員攻擊。

從應用訪問的角度看 ，通過開發安全、認證授權、加密通訊、加密儲存、漏洞管理等這些工作，來保障應用系統的安全性。這方面內容很多，這裡不細說了。

值得一提的是， 看似不起眼的口令管理，應該格外重視 ，很多所謂著名黑客的著名攻擊，並沒有什麼技術含量，僅僅是口令的竊取和嘗試成功而已。一個單位的口令管理應儘可能自動和嚴格，強制口令複雜度、強制定期修改，對於重要系統強制雙因素認證（簡訊或動態口令）。 這些看上去不難，但能做好的很少，只有很懂安全的單位才能做好這件事。

從安全的本質講，第三道防線是最重要的。 一道和二道防線在很大程度上都是在幫助三道，如果一個應用系統自身不安全，前兩道防線能擋一擋，但終究是擋不住的。

如果應用系統很安全，即便沒有前兩道防線，攻擊者也無計可施。

看過我寫的《區塊鏈安全和傳統安全的區別》都知道，安全說到底，是程式的問題。

開發安全能力，是真正的實力。

第四道：端點安全

端點通常是攻擊者最想拿到的據點，拿下一個機器就代表著一種勝利。

這道防線建立在伺服器或使用者終端上，從技術上講，這已經是最後的防線了。

這道防線最基本的一個功能是 防病毒 ，這裡不多說了，主要說說 EDR （端點檢測和響應）。

EDR 的重要功能是異常發現，主要是通過對主機的網路、程序、檔案等資源的監控。比如通過 網路監測 ，可以發現正在開展的網路攻擊、網路掃描以及可疑的外聯；通過 程序監測 ，可以發現一些異常的程序建立和執行；通過 檔案監測 ，可以發現一些惡意檔案的讀寫。

EDR可以對這些網路異常、程序異常、檔案異常進行阻攔和處置，這在一定程度上可以防範0day攻擊。

此外，通過監測日誌，EDR可以發現正在開展的暴力破解；通過離線破譯，可以發現常見應用的弱口令；其他如資產管理、漏洞管理等能力也很實用。

總體而言，這類產品是非常有力和有效的。

第五道：人的防線

上述這些工具，都需要人的使用和維護。 人就是第五道防線。

所以你看在搞安全演習時，滿滿一屋子都是人（至少30、40人起）。

組織層面不多說了，大多數單位在組織層面做得都還不錯，因為組織技術是通用的，一般而言，就是領導重視、層層壓實、某處牽頭、全域性動員、資產梳理、表格完善、制定方案、安排任務、彙報進度、協調資源、各司其職、檢查確認、問題發現、舉一反三，落實整改，層層請示、高層決策。這和做其他工作沒有什麼不同，屬於管理層面的技術。

但有一點，傳統管理往往不太能注意到，並因此中招，這就是老生常談的安全意識問題。

縱觀網路安全攻擊史，社工一直是攻擊者最重要的手段。（沒有之一）

一個攻擊者想入侵一個單位，100%會採用社工方法，所以一定要在所有員工的意識層面建立起強大的防禦能力。

一封帶有木馬的釣魚郵件，如果躲過了第一層的封禁，逃過了第二層的檢測，一般就會逃過第三層和第四層，那麼這封郵件就展現在員工面前了，這時就靠員工的安全意識防線了。

增強員工意識的方法就是反覆講，反覆說，反覆培訓，反覆測試，看看員工是不是真的掌握了，要通過最真實的案例強化員工意識。

這個工作看上去沒有什麼技術含量，但如果水平不足，往往無法做好這個工作。

反社工需要和社工一樣的能力：洞悉人性。

第一道防線守住大門，及時阻攔可能的攻擊。

第二道防線嚴加監測，一旦發現有異常，立刻處置。

第三道防線堅壁清野，讓攻擊者即便進來也寸步難行，無門可入，或者是處處踩雷。

第四道防線堅守據點，在終端層面第一時間發現異常，然後採取行動。

第五道防線全民皆兵，各司其職，協作有力；人人不中招，不上當。