防守体系建设三部曲

攻防对抗主要是三个层面的对抗：信息对抗、技术对抗、运营能力对抗，如果我们在这三个层面可以做到趋于完美，那么防守体系趋于固若金汤之势是可期待的。

1．信息对抗

信息对抗的目的是知己知彼，从两方面进行：数据化和社会化。

数据化指的是企业自身安全风险数据建设与分析，需要根据基线数据、拓扑数据、业务数据梳理清楚可能存在的攻击路径与攻击面，针对性设防。攻击者得手的原因往往并非我们没有设防，而是不清楚存在哪些攻击面与路径。同时需要注意的是，这些数据是动态变化的，需要持续运营，对于业务环境变更带来的新的攻击面与路径需要及时补防，往往纰漏也出现在对业务变更跟进不够及时的情况下。

2．技术对抗

在攻防技术对抗方面，业界通常是一片悲观情绪，认为防守方总是处于劣势。在通用的安全技术方面确实如此，因为防守者面对的是一个开放性的安全防御难题，建设的防御体系往往如同“马其诺防线”一样被攻击者绕开。

但如果我们的防守体系解决的是一个相对固定的企业和业务，或者说对抗环节中梳理出清晰的防守环节，那么我们的防守体系是可以做到闭环的。

在攻防技术维度，单点设防的方式往往让防守者陷入疲于应付的境地。但战场在我们的地盘，不需要与对手在同一个维度作战，针对攻击者，每个突破点可以在更高维度以及多维度进行检测与防守，这才能扭转攻防的颓势。

所以诸如 HIDS API hook 于命令注入和系统横向渗透，RASP 于 Web 漏洞，行为监测模型于 0day 攻击，是我们扭转攻防优势的手段。

方案有了，接下来就是工程能力，把方案落地优化才能有最终的效果。这包括代码能力、海量数据运营、规则的优化。特别是在 BAT 这类超大型网络中，往往决定效果的不是攻防技术，工程化反而成了压垮安全项目的最后一根稻草。项目失败就不要提什么防守体系建设了。

3．运营能力对抗

貌似技术做好了，防守体系应该完美了？并非如此！据统计，在所有未能阻断和发现的入侵案例中，仅有 1/3 不到是因为诸如 0 day 漏洞等技术原因，那么剩下的一半是系统故障，另一半是运营工作没跟上。运营能力主要体现在两方面：

1）风险闭环。简单说就是“一个问题不能犯两次”，通过闭环运营让企业自身安全能力不可逆地走向更好。

2）执行力。这涉及管理方面，就不细说了。