2014年新的漏洞不断的披露，心脏滴血漏洞、破壳漏洞、SSLv3协议的漏洞，在这些新的漏洞面前，我们投资重金打造的传统防御体系无法应对，每个漏洞的暴露都对应着安全及运维人员的辛苦不眠之夜。这些漏洞在“地下”隐藏了多长时间，被利用了多少次，才被暴露出来，暴露的时间点是否做了精确选择，这些都是一系列的问号。有个朋友提过说“挖漏洞”就像“摘蘑菇”一样，永远也挖不完。

　　利用新漏洞攻击，可以说是信息安全行业的“阳谋”，你明知道对手会这么做，但是你没有更好的办法来破解。所谓天下武功，无坚不破，唯快不破。用一句更通俗的话说“我们能预测到风险的发生，但是我们无法预测发生的时间点。”

　　从防守方的角度，该如何来认识安全攻击的特点对抗唯快不破的漏洞攻击呢？

　　（一）、像攻击者一样来思考

　　个人做应急响应有很多年，以前碰到安全事故，基本的目标是找到攻击者利用的漏洞修复漏洞，防止再出事即达到目标。在当前形势下，在安全事件处理时，仅仅知道攻击不是最重要的，面对层出不穷的安全攻击，重要的是知道被谁攻击？攻击的动机？攻击者的位置？被攻击的对象？攻击者都做了哪些破坏？需要更深入的分析攻击者的动机、攻击者的位置等信息才能更好的处置攻击。

　　经过多次事件的总结，攻击者的动机其实很多，有泄愤型的（对企业不满的离职员工、对企业领导个人有意见的攻击者）、获利型的（有竞争对手或竞争对手雇佣的攻击者）、有政治目的的攻击等。了解攻击的动机对处理事件很重要。

　　2、认清当前攻击“隐而不发”的特点

　　当前的安全攻击主要以控制为目的达到未来战略优势，而非快速摧毁制造事故或灾难。近年来很多安全事件都是以“控制”目标为基础，不着急去篡改、偷窃数据。网站被篡改的事情虽然多，但这些攻击者其实不是真正的对手。现在看到网页防篡改的软件，我个人觉得用处真不大，只是防范了一些恶作剧的小“黑客”而已。真正的攻击者进入到系统后，会尽一切可能把自己隐藏起来，企图躲过各种监测系统的监控，其目的只是在关键时刻进行破坏行为。思科的设备有没有后门？这个目前已经是显而易见的了，但如果不是斯诺登的爆料，我们仅仅在网络上监控其实是很难发现的，因为这些后门平时根本没有任何动作，不做任何的信息传递等，几乎是发现不了的。我们做过多次的应急响应，比如有些网站在某一天被黑，但是在应急过程中网站上的webshell已经被放了一年多，黑客早已控制就等着在某个时间点的引爆。

　　用句话总结：你的系统没有问题没有漏洞，不代表真没有被人攻击或控制，只是对手更高明你没有发现而已。

　　3、“安全失效假设、缓冲的理念”的原则

　　安全是对抗，不可能防范，基于预警、响应的缓冲时间差更关键。0day漏洞、更高对抗技术的出现，都会使得常规安全控制手段逐渐失效，真是“道高一尺魔高一丈”，在实际的安全工作中，一定要考虑到防护措施失效的情况下该如何处理。预警、响应等等缓冲的措施就非常关键了。

　　如果我们从抢金库人的角度看。作为入侵者不惧怕墙和门，墙和门是死的，可以钻可以炸。入侵者惧怕的是检测和响应。金库的墙、门、锁实际上提供了一个防护时间。在防护时间内，可以及时地发现入侵行为并且做出足够的响应，那么被保护的金库就是安全的。

　　某些攻击越过传统的封锁与安全防护机制时，在这种情况下，最重要的就是要尽可能在最短时间内迅速察觉入侵，将黑客可能造成的损害或泄露的敏感信息降至最低。

　　安全情报其实就是预警、响应很重要的一个有效措施。Gartner公布2014年十大信息安全技术专门谈到了安全情报。用了张ppt如下：

　　（简单点说就是可以通过在扫描、监控、检测、防护等软硬件的自动化应用，提供更高的准确性、更广泛的覆盖面、新的能力，同时也为改进信息集成和协同、风险和业务决策提供助力。）借用了nuke同学微信公众号的图。

　　4、“安全是人和人的对抗”

　　安全的效果是对手（敌人）评价你的，不是自己评价的？

　　系统漏洞一定是会不断发现的，目前的防护措施主要是从对业务系统和信息（安全客体）的层层安全加码，后期一定转而实现对人（安全主体）的控制。同时对客体、主体的控制才能达到效果。Gartner 2014年信息安全趋势与总结有一个趋势“从以控制为中心的安全演进至以人为核心的安全”

　　安全是人和人的对抗，我们不可能靠一堆安全设备来对抗人。再先进的武器也不能决定战争的胜负。人的意识、策略、技能、动态对抗能力是信息安全的决定性因素。

　　5、“以不变应万变”强身健体，做好基础工作，提高信息安全免疫力，可以在风险事故中将损失降到最低。

　　信息系统只有两种状态：已经被攻破的，即将被攻破的。那么安全工作该如何投入？工作的效果如何体现呢？其实做安全工作就像我们锻炼身体一样，一定有病毒会侵害我们的身体，但是身体免疫力强的、身体好的人病毒可能就感染不了或者感染后很快能康复。SARS、埃博拉等这种在当时都没有针对药物的情况下，我们能做的就是强身健体，提高免疫力，2003年的SARS期间多少人依然认真的锻炼身体。信息安全一样，把一些基本工作做好，在事故来临的时候造成的损失一定小很多。做与没做还是有很明显的效果。

　　信息安全领域有一些基本的安全措施，或者称作事半功倍的措施，这些基础工作做踏实了会切实提供安全免疫力。

　　以下列举了一些常见的“提高免疫力”的基础安全工作。

　　5.1访问控制

　　访问控制是信息安全永恒的主题，Gartner公布2014年十大信息安全技术，第七大技术为“以遏制和隔离为基础的信息安全策略”虚拟化、隔离、提取及远程显示技术，都能用来建立这样的遏制环境，来处理不信任的内容和应用程序。虚拟化与遏制策略将成为企业系统深度防御策略普遍的一个环节，尽管目前使用情况较少，但预计2016年普及率会达到20%。对攻击者隔离、遏制、消灭。网上有一篇文章针对零散的攻击者《捻乱止于河防——浅谈企业入侵防御体系建设》，实质也是访问控制，步步设防，逐步推进，再集中优势兵力歼灭对手之。

　　5.2、弱口令

　　弱口令是典型的知易行难的安全措施，都知道口令安全很重要，但是一个管理员面对很多口令的时候，靠人力确实无法让口令都做到安全。同时随着地下产业的发展，哪些口令算安全哪些算不安全都是动态变化的。重要的系统尽量采用其他的认证方式，比如双因素认证、生物特征等。

　　设备的口令很多

　　社工库攻击也在发展

　　5.3 执行SDL，做好应用安全的基础工作，降低漏洞出现的概率

　　借用了Gartner 2014年信息安全趋势与总结的关于应用安全的ppt。

　　其他的基础工作包括漏洞管理、权限管理、变更控制和响应管理等。

　　天下武功 无坚不摧 唯快不破！信息安全对抗是一场持久战！写完，收工。