戰(zhàn)斗在每一間房屋、每一片瓦

時(shí)間：2022-03-23 21:09:01 | 來源：行業(yè)動(dòng)態(tài)

時(shí)間：2022-03-23 21:09:01 來源：行業(yè)動(dòng)態(tài)

斯大林格勒戰(zhàn)役還有第三個(gè)啟示。

受到極寒天氣影響，德國人在進(jìn)攻莫斯科的時(shí)候遇到了嚴(yán)重的補(bǔ)給困難，機(jī)械化部隊(duì)難以發(fā)揮作用，士氣也非常低落。盡管蘇聯(lián)軍隊(duì)在莫斯科城下挫敗了德國人的進(jìn)攻，但依然沒有扭轉(zhuǎn)敵強(qiáng)我弱的局面。

因此，面對(duì)德國人向斯大林格勒發(fā)起的夏季攻勢，想要復(fù)制莫斯科的勝利，把德軍攔在城下是非常困難的，打巷戰(zhàn)幾乎無法避免。

巷戰(zhàn)是慘烈的，但防守方在面對(duì)優(yōu)勢敵軍時(shí)，很多時(shí)候卻不得不如此。

就像不能迷信邊界防御一樣，做好了戰(zhàn)前準(zhǔn)備，就以為服務(wù)器安全可以高枕無憂。要能夠在服務(wù)器內(nèi)部的每一個(gè)角落，隨時(shí)同攻擊行為展開巷戰(zhàn)。尤其是在攻防演習(xí)這種戰(zhàn)時(shí)狀態(tài)，面對(duì)攻擊方高頻度的攻擊行為和變幻莫測的攻擊技巧，單純的資配漏補(bǔ)很難奏效，必須要利用技術(shù)手段與攻擊方做持續(xù)對(duì)抗。

巷戰(zhàn)有一個(gè)明顯的特點(diǎn)：未知性，你不知道敵軍會(huì)從哪一片墻后面突然跑出來給你一槍。想要占據(jù)主動(dòng)權(quán)，實(shí)時(shí)掌握敵軍視野，并適時(shí)發(fā)起局部進(jìn)攻非常重要。喜歡玩游戲的人都知道，不管是FPS、RPG還是MOBA類游戲，擁有全圖視野是多么爽。

云鎖另外一個(gè)強(qiáng)大的功能，就是通過布滿服務(wù)器內(nèi)部的眼睛，幫防守方開全圖視野。業(yè)界習(xí)慣把這雙眼睛叫做探針。

云鎖的探針有四種。

第一種是IN-APP WAF探針。它的工作原理和普通WAF類似，部署在Web應(yīng)用上，監(jiān)控所有進(jìn)入Web應(yīng)用的流量。一旦發(fā)現(xiàn)壞人混跡在正常流量中，即可發(fā)出告警。它的優(yōu)勢在于，云鎖對(duì)于加密流量（可以理解為偽裝后的壞人）檢測能力更強(qiáng)。

第二種RASP探針。RASP中文全稱是應(yīng)用運(yùn)行時(shí)自我保護(hù)，其目的在于讓應(yīng)用程序擁有自我免疫和防御的能力。它主要的主要能力是hook網(wǎng)絡(luò)流量，細(xì)粒度的監(jiān)控應(yīng)用腳本的行為及函數(shù)調(diào)用上下文信息（程序員都懂的），及時(shí)發(fā)現(xiàn)惡意代碼和漏洞利用行為。

說點(diǎn)大白話。假如云鎖發(fā)現(xiàn)躲在墻后的敵人舉槍向你瞄準(zhǔn)，他就會(huì)通知你危險(xiǎn)并及時(shí)躲避；假如云鎖發(fā)現(xiàn)敵方通信兵和長官通話，它會(huì)通知你敵方通信兵可能正在匯報(bào)你方部署情況，要及時(shí)干掉他。也就是云鎖從敵方肢體語言（在IT環(huán)境中就是機(jī)器語言）中發(fā)現(xiàn)危險(xiǎn)信號(hào)，為你下一步反制行動(dòng)提供參考。

第三種是內(nèi)核加固探針。內(nèi)核到底是什么？簡單來說就是底層環(huán)境，也就是操作系統(tǒng)、內(nèi)存這些東西。攻擊者在服務(wù)器內(nèi)每發(fā)起一次攻擊行為，就會(huì)在內(nèi)核上留下一些痕跡（當(dāng)然攻擊者也可以清除痕跡），就像敵人每走一步就會(huì)在地上留下腳印，每開一槍就會(huì)留下彈殼一樣。云鎖的內(nèi)核加固探針就是在系統(tǒng)層，通過觀察這些痕跡來進(jìn)行黑客行為畫像，監(jiān)控攻擊者的攻擊行為。

同時(shí)，這個(gè)內(nèi)核加固探針還能起到為內(nèi)核加固的作用，增強(qiáng)操作系統(tǒng)自身對(duì)抗黑客攻擊和惡意代碼的能力，限制漏洞利用后的下一步行為。不然攻擊者不知道從什么地方打個(gè)地道跑到我后面，豈不是滿盤皆輸？

第四種是Webshell動(dòng)態(tài)檢測探針。針對(duì)Web服務(wù)器有一種非常常見的攻擊類型叫Webshell攻擊，它是一種后門文件，攻擊者將其上傳到服務(wù)器后，就通過運(yùn)行它獲取控制服務(wù)器的權(quán)限。但通常而言，Webshell文件并不會(huì)在自己腦門上寫著壞人倆字，相反還會(huì)進(jìn)行各種偽裝、加密，防守者可能直到被拿站了才恍然大悟。

那怎么辦？還記得《亮劍》里老李讓國民黨暫七師師長常乃超跑那五公里嗎？當(dāng)時(shí)常乃超被俘后混在普通俘虜中，最后因?yàn)榕懿粍?dòng)五公里露餡了。沒有那五公里，就沒有后來南京軍事學(xué)院的常教員。沒有常教員的潤色，老李的畢業(yè)論文可能也沒有那么氣壯山河。

話說回來。云鎖也會(huì)進(jìn)行全盤掃描，把包括Webshell在內(nèi)的腳本文件扔到沙箱里跑五公里，一旦發(fā)現(xiàn)非法行為就標(biāo)記出來，并把檢測結(jié)果同步給WAF和RASP探針，下次再發(fā)現(xiàn)一樣的腳本文件，直接干掉就行了。