做好打巷戰(zhàn)的準(zhǔn)備

時間：2022-03-23 21:00:01 | 來源：行業(yè)動態(tài)

時間：2022-03-23 21:00:01 來源：行業(yè)動態(tài)

既然不能迷信邊界防御，防守方就要時刻做好和入侵者打巷戰(zhàn)的準(zhǔn)備，逐臺服務(wù)器展開爭奪。

做好準(zhǔn)備首先就是要知己，這也是斯大林格勒戰(zhàn)役中的第二點啟示。

事實上，在戰(zhàn)役之初，朱可夫元帥并不夠了解自己的部隊，以至于抵達(dá)前線后才發(fā)現(xiàn)他們處于缺糧少彈的狀態(tài)。

就網(wǎng)絡(luò)安全防御而言，CIO或者CISO們也可能沒有掌握自己單位服務(wù)器情況的全貌，例如有多少臺服務(wù)器，各臺服務(wù)器上都裝什么版本的操作系統(tǒng)和應(yīng)用軟件，存儲了哪些數(shù)據(jù)，更不要說軟硬件配置是否正確、都有哪些漏洞、漏洞是否已經(jīng)安裝補丁了。

在這種情況下，防守方很難組織起有效的抵抗。攻擊者在突破網(wǎng)絡(luò)邊界后，就可以任選一臺防守薄弱的服務(wù)器下手，并以此為據(jù)點，向其他服務(wù)器橫向滲透。

那把自己服務(wù)器的這點事情梳理清楚容易嗎？說難那肯定難。

在云計算出現(xiàn)以前，大家多用的是物理服務(wù)器，簡而言之就是一臺性能極強(qiáng)的電腦。那么大一臺機(jī)器擺在那里，想搞不清楚都難。現(xiàn)在不一樣了，在云計算模式下，一臺物理機(jī)可以生成很多臺虛擬服務(wù)器或者云服務(wù)器，創(chuàng)建他們只需要用戶在控制臺點幾下，前后也就不過一分鐘時間，這讓管理難度加大了許多。

并且，云服務(wù)器看不見也摸不著，這讓管理員十分頭疼，經(jīng)常會發(fā)現(xiàn)莫名其妙多了幾臺服務(wù)器，也不知道是誰創(chuàng)建的，上面跑著什么應(yīng)用，用的還是123456這種弱口令。

不過，這件事情說容易也容易，和大象放進(jìn)冰箱一樣總共也就三步：放一雙眼睛盯著他們記下來。

那么問題來了，這雙眼睛從何而來？簡單，交給研發(fā)就好了。一行行代碼背后噼里啪啦的鍵盤聲，工程師們卻掏出了一把鎖，叫做云鎖，全稱是奇安信云鎖服務(wù)器安全管理系統(tǒng)。

顧名思義，這就是給服務(wù)器上鎖的一款產(chǎn)品，看就要把服務(wù)器給看得清清楚楚。

云鎖能深度洞察，包括都有哪些服務(wù)器，登錄口令是不是弱口令，上面裝了什么操作系統(tǒng)、跑著什么應(yīng)用，開放了哪些端口，都有什么樣的漏洞，這些漏洞是不是都有補丁，補丁是不是都安裝了等等這些情況，凡是能被黑客利用的弱點，云鎖都要看到，并把他們記在小本本上，不安全的地方就給出整改建議，沒打補丁的地方給打上補丁。

這個過程，業(yè)界習(xí)慣叫做資配漏補，也就是資產(chǎn)、配置、漏洞和補丁。

但服務(wù)器并不是靜止不動的，上面有有網(wǎng)絡(luò)在連接、有應(yīng)用在運行、還有數(shù)據(jù)在傳輸，因此在看的基礎(chǔ)上，云鎖還能把看到的行為學(xué)習(xí)下來，也記在一個小本本上，形成用戶行為畫像，這個小本本就是大家口中的白名單。

凡是不在白名單上的，都可以認(rèn)為是可疑的。

這有什么用呢？一臺服務(wù)器上面運行的程序、經(jīng)常訪問的IP地址基本上是固定的，就那么幾類，如果突然運行了一個從來沒見過的應(yīng)用，或者訪問了從來沒訪問的IP地址，那就可能出問題了，就需要后續(xù)進(jìn)行研判是否中招。

比如你知道你的一個朋友從來不喝酒，但有一天晚上他喝的酩酊大醉，那他沒準(zhǔn)就遇到了什么不如意的事情。