写点什么

防守体系建设三部曲

作者:阿泽🧸
  • 2022-11-01
    北京
  • 本文字数:899 字

    阅读完需:约 3 分钟

防守体系建设三部曲

攻防对抗主要是三个层面的对抗:信息对抗技术对抗运营能力对抗,如果我们在这三个层面可以做到趋于完美,那么防守体系趋于固若金汤之势是可期待的。


1.信息对抗

信息对抗的目的是知己知彼,从两方面进行:数据化社会化


数据化指的是企业自身安全风险数据建设与分析,需要根据基线数据、拓扑数据、业务数据梳理清楚可能存在的攻击路径与攻击面,针对性设防。攻击者得手的原因往往并非我们没有设防,而是不清楚存在哪些攻击面与路径。同时需要注意的是,这些数据是动态变化的,需要持续运营,对于业务环境变更带来的新的攻击面与路径需要及时补防,往往纰漏也出现在对业务变更跟进不够及时的情况下。

2.技术对抗

在攻防技术对抗方面,业界通常是一片悲观情绪,认为防守方总是处于劣势。在通用的安全技术方面确实如此,因为防守者面对的是一个开放性的安全防御难题,建设的防御体系往往如同“马其诺防线”一样被攻击者绕开。


但如果我们的防守体系解决的是一个相对固定的企业和业务,或者说对抗环节中梳理出清晰的防守环节,那么我们的防守体系是可以做到闭环的。


在攻防技术维度,单点设防的方式往往让防守者陷入疲于应付的境地。但战场在我们的地盘,不需要与对手在同一个维度作战,针对攻击者,每个突破点可以在更高维度以及多维度进行检测与防守,这才能扭转攻防的颓势。


所以诸如 HIDS API hook 于命令注入和系统横向渗透,RASP 于 Web 漏洞,行为监测模型于 0day 攻击,是我们扭转攻防优势的手段。


方案有了,接下来就是工程能力,把方案落地优化才能有最终的效果。这包括代码能力、海量数据运营、规则的优化。特别是在 BAT 这类超大型网络中,往往决定效果的不是攻防技术,工程化反而成了压垮安全项目的最后一根稻草。项目失败就不要提什么防守体系建设了。

3.运营能力对抗

貌似技术做好了,防守体系应该完美了?并非如此!据统计,在所有未能阻断和发现的入侵案例中,仅有 1/3 不到是因为诸如 0 day 漏洞等技术原因,那么剩下的一半是系统故障,另一半是运营工作没跟上。运营能力主要体现在两方面:

1)风险闭环。简单说就是“一个问题不能犯两次”,通过闭环运营让企业自身安全能力不可逆地走向更好。

2)执行力。这涉及管理方面,就不细说了。

发布于: 刚刚阅读数: 6
用户头像

阿泽🧸

关注

还未添加个人签名 2020-11-12 加入

还未添加个人简介

评论

发布
暂无评论
防守体系建设三部曲_11月月更_阿泽🧸_InfoQ写作社区