i黑马：攻防演练及小规模网络对抗的战术，对抗中的主动防御( 五 ) 01

上面列出的例子只是很少一部分，只是要说明，这种分类不清、分组不清、“你中有我、我中有你” ，这种有流转、无闭环、流程岗职不清晰、意外事件太多的规则、流程和管理指南，在实际的操作层面很难执行，或者执行效率低下。
如果真的想在对抗中“立竿见影” ，必须采取“非白即黑”的技术策略和管理手段。
想做到这一点，必须由安全管理和责任的一把手发起，并全力支持。由安全专家依据该宗旨制定管理规范、执行流程、技术策略和操作指南。
10
只要有可能，就要利用自查措施并修复缺陷
安全性自查，就是最重要的“知己”措施。前文提到过“木桶原理”、PDCA等，并没有对其进行否认，仅仅说到了它们在实际操作中在关注点上的局限性。本节需要强调，在“知己”方面，它们仍然很重要，也是对抗工作中的一个重要组成部分。
只要是时间允许，人手、资源允许，无论在任何阶段，尽量进行安全自查。按照GB/T20984中的指导要求，其应该包含：IT系统规划阶段、设计阶段、实施阶段、运行维护阶段、废弃阶段的全生命周期。
对于自查的要求、管理和技术点，可参考ISO27001、等级保护、GB/T20984等。
特别要重点提出的是，针对网络对抗，还应在以下方面进行着重关注：
白盒代码审计：如果有可能，对于重要的业务系统最好进行白盒代码审计，因为这可以帮助审查到渗透测试难以发现的漏洞。很多攻击者是依靠各种手段（例如通过GitHub）找到源代码，并审计其0day漏洞予以利用和攻击的；
内网漫游测试：针对内网的全面渗透测试，模拟攻击者成功进入组织内部或内网后，进行内网漫游，以获取最多、最高权限、最敏感数据或某个指定目标为目的的技术测试，该测试应该也包含跨网段穿透尝试，包含对于网络边界设备（包括防火墙、网闸等）的安全性和穿透性测试，对于工控网络也应该尽量进行协议分析和安全性测试（尤其是对于已知漏洞的测试，因为工控网络通常缺少防护与升级措施，攻击者可能仅利用成本低廉的已知漏洞即可攻击成功）；
物理攻击尝试：使用物理手段，例如通过门禁弱点、WIFI缺陷、办公场所弱点、人员意识缺陷等，尝试进行攻击并获取敏感数据；
社交攻击尝试：使用社交手段，例如电话、微信、企业QQ、人肉搜索、社工库等方式进行社会工程学攻击尝试并获取敏感信息或数据；
鱼叉与水坑攻击测试：利用鱼叉攻击和水坑攻击等手段，对指定或全体目标进行攻击尝试，以确定在组织内部是否存在因安全意识引发的巨大隐患。
11
周期性进行资产测绘，侦察暗资产

文章图片
对于一个大型组织，资产的测绘就像绘制地图，本单位的所有资产，就是对抗中的战场，只有做到精准的地图标识、无信息遗漏，才能避免在战场中处于被动。例如：如果在打仗时，有一条可以被用来迂回的小路没有被发现，部队就可能遭到偷袭。而在信息化战场中，由于信息资产可能因为各种原因有变化，所以定期进行资产测绘，才能保证资产地图的准确性。
对于信息资产的测绘，应该兼顾以下三点：
快速。快速绘制出资产，对于前期的准备，以及定期的大规模更新有极大的帮助。大型组织往往资产数量能达到几万、几十万、甚至上百万，涉及到的公网和内网网段能达到几个B段（一个B段的资产探测数量在6万以上）、甚至几个A段（一个A段的资产探测数量在1600万以上），要对常用的服务进行探测，则要在此探测基础上乘以几十左右。对于海量资产的快速测绘，才能绘制出资产地图框架。
精准。如果说快速绘制是1:100000的地图，那么精准绘制就是1:500 ，快速绘制的地图更适合做决策，精准绘制的地图重在操作层面。目前大部分用于快速绘制的网络测绘产品都是基于zmap等底层开发的，它们在快速的同时，受到网络波动和配置等影响，会在精准性上有局限性，所以还要考虑使用nmap等可以进行真实链接的产品，甚至是依靠P0F、suricata（部分功能）这类能够进行被动测绘的自动化工具或者产品；