i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御( 三 ) 01

05
尽量先使用自动化探测工具
大部分组织都会建立资产台账，但组织越大、越复杂，资产台账越不准确，这包括组织架构变动、资产转移、临时他用、利旧使用等等多方面因素，也可能包括管理不到位等因素。
为了保证对风险的可预测性以及被利用的可能性，需要在现有已了解资产的状态下，对以下三个方面进行主动探测：
尽量对组织的所有相关联资产进行盘点，绘制网络空间资产地图，这应该是包括暴露在互联网上以及内网的所有资产，重点应放在暗资产（资产台账中没有的或不明晰的）、灰色资产（归属不清或管理职责不清的）。这里需要注意的是，不要遗漏进行域名反查，不要遗漏在云防御体系下是否能追溯到源站，不要遗漏是否有敏感路径暴露在互联网上。另外比较棘手的地方在于，有些资产或域名并不归属总部管辖，要想全部查找出它们往往并不容易，但它们可能会成为防御死角，迅速被攻击者攻破。以上这些关注点，有些地方需要依靠一些人工手段或半自动化手段进行探测，尽量不要遗漏。但依然应该是优先使用自动化探测，辅以人工。
尽量对所有资产进行漏洞探测，尤其是对暗资产、灰色资产，它们往往因为管理不明晰或者管理人员不知道它们的存在而变成攻击的突破口。另外，应该时刻关注1day漏洞情报，大部分攻击者仍然比较介意使用0day攻击（当使用0day时，很可能该exp被捕获而造成此0day暴露，关于0day的处理方法在后续章节叙述），他们通常更倾向于使用1day爆发与修补的时间差进行攻击。更重要的是对弱口令的探测，无论是设备、操作系统、中间件、管理后台、登陆前台等等的弱口令，通常都是攻击者最快速攻击进来的渠道（当然，这些也可以被我们用于主动反击，具体后续章节会进行叙述）。所以使用自动化漏洞探测工具，尤其是对1day漏洞和弱口令的迅速探测和修复，是非常重要的。
尽量对可能暴露出来的信息进行查找，包括GitHub、百度云盘、暗网等等有可能泄露资料的地方。历史证明，很多安全方面做得非常好的国内外公司最终在这些不起眼的地方翻了船。
06
先发制人，取得胜利
预先采集相关情报和主导战场，是取得胜利的前提。
我们应该尽可能预先采集相关情报信息，包括：
有可能的攻击者身份，比如他们是来自于某些势力组织或者某些特定攻击队等；攻击者所受到的限制，比如他们可能所在的时区、他们的真实地理位置、他们有可能的跳板总数量级、他们的攻击时限（有些攻击行为是有时间限制要求的）、他们被赋予的攻击强度要求（例如商业黑客往往以窃取数据为出发点，所以不会进行DDoS攻击，攻防演练攻击队会被要求不得进行破坏性攻击）等；
我们还应该尽可能通过秘密情报和开源情报建立一些数据库，例如：社交网络数据库、威胁情报库、漏洞情报库等等，如果有可能，还应该建立敌对阵地/地区设备和指纹库（越精细越好）。
提前设置一些诱捕网络和陷阱，将初始战场转移到我们预设的地方，反客为主。在诱捕网络和陷阱中提前知道攻击，了解攻击手段，甚至追溯攻击者。
07
只要有可能，就要采取欺骗措施
“兵行诡道” 。由“蜜罐”组成的“蜜网”系统能达到真真假假、虚虚实实的效果。
部署一个由大量高交互和高仿真蜜罐组成的蜜网系统，将会带来诸多好处：
正常访问者不会访问蜜罐系统，攻击者在不断寻找攻击入口时会访问到蜜罐，所以蜜罐不像IDS/IPS等流量设备会产生海量报警，凡是蜜罐的报警，几乎全都是真实攻击尝试的报警，大大降低误报率（实际上几乎没有误报，即使不是实质性攻击报警，也是侦查或攻击尝试）和降低数据分析工作的难度；
当建立起蜜网后（建议蜜网中蜜罐的数量尽量达到真实业务系统数量的10倍以上），对于攻击者来说，无疑使其陷入了一个迷宫，极大地延缓了攻击进度（理论上攻击时长应会以数量级延长）；