i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御( 二 ) 01

只有将目标聚焦到攻击者、聚焦到对“人”的对抗上，才能在网络攻防中取得胜利。
主动防御或机动防御理念，是在入侵成功之前通过精确预警，有针对性、机动地集中资源重点防御并伺机进行反击。在网络安全领域，目前其方法论和技术方案尚不成熟。
在小规模对抗中，攻击者可能来自于任何地方，但具备攻击能力的人群总数是有限的，对有生力量的精力和时间的打击和消耗，以及进行可能的自然人溯源，是目前我认为的主动防御思想的核心。

文章图片
在传统安全模型中经常提到“木桶原理”、PDCA、PDRR等概念，旨在强调加强短板建设、形成周期性闭环等等，这些理论是正确的，但这些理论的出发点更多的是考虑通过“知己”及“内建” ，以应对外界威胁，更适合用来作为指导性思想，进行常态化和持久化信息安全建设。而在主动防御理论中，更优先考虑的是“知彼” ，依据攻击者可能的手段及弱点协调资源进化自己。
所以在整体资源有限、时间周期不长、攻击者相对较明确的网络攻防中，应将资源用于主动防御对抗中，这样能更加明显地实现预期效果并取得更优的成果。
主动防御的出发点应该围绕“敌人” ，方案应该更强调“立竿见影” 。
以下部分将进行主动防御思想体系下，应对攻防演练及小规模网络对抗的战术方法介绍。
04
如果内部安全人员有限，可以更多地使用自动化工具或外采人工服务
包括政府、事业单位、央企、国企、大中型企业等在内的大部分组织中，受内部信息安全岗位编制、人员专业技能等的局限，往往对于突发性或阶段性高强度的网络对抗感到资源有限、力不从心。在这种情况下，长期或阶段性使用自动化工具会让工作事半功倍。
这里指出的自动化工具，包括：网络资产测绘、漏洞扫描器、IDS/IPS、防火墙、防病毒、云防御、WAF、堡垒机、日志审计、蜜罐、SOC等等常态化信息安全产品，更重要的是需要使用SOAR（安全编排自动化响应工具）。
SOAR是Gartner缔造及推广的。一个好的SOAR ，在网络对抗中应该可以做到以下两方面：
可以进行综合数据处理和分析，这些数据应该包括资产、风险、威胁、日志、防御状态等等，如果有可能，最好是能够内置或挂载一些开源情报和秘密情报，能够快速构建及调整数据处理和分析模型。高效、准确地处理和分析数据，与各类情报数据进行匹配，可以在攻击初始即发现其动机，甚至可以预知攻击的方向及强度，再配合人性化的UI界面、大屏展示和趋势分析图，可以达到“态势感知”的效果；
可以进行设备联动处理，并能够进行一定针对安全工作的流程处理，以简化安全事件响应流程，极大地缩短事件处理时间。在网络对抗中，至为关键的因素就是平均检测时间（MTTD）和平均修复时间（MTTR）。越准确地发现自己的薄弱点、越高效地发现攻击行为、越快速地进行修复、越简化的工作流程，就能使攻击者浪费更多的时间和精力，进而耗尽其有生力量。而需要达到这样的效果，必须依托于自动化处理手段；
以上，一方面可以进行小规模网络对抗，在建设完成后，也可以完善常态化网络安全建设。

文章图片
不过在SOAR建设初期，由于其专业性及需要与所在组织和流程进行磨合，以达到默契，所以这方面工作更建议阶段性使用安全服务？？，以期能够快速打造出初始效果，并在之后进行阶段性调整，以完善其效果。这部分一般是需要人工服务的。
另一方面，在进行正常流程之外遇到突发事件，包括一些无法完全自动化和工具化的工作中，例如：黑客入侵中后期的应急响应、反制和溯源等等，以及在完善的SOAR建设起来之前和建设中，是需要人工专家服务的，如果资源较少可以使用阶段性服务，这样可以集中优势资源迅速占领对抗中的制高点。