本文共 2363 字，大约阅读时间需要 7 分钟。

维度

对于防守方来说，可以针对公司的整个系统架构，在不同的维度采取响应的防守策略，攻击者一般都是通过低维度进行攻击一步一步到达高维度的，比如先寻找业务逻辑找到上传点，然后根据不同的平台制作不同的webshell文件，拿到shell后再利用系统的漏洞进行提权等，一步一步由浅入深。

作为防守方，制定完善的安全策略是必行之路，但如何制定安全策略是一个见仁见智的事情。借鉴xti9er的一句话，基于系统的机制、CGI和协议规范较为有效，比不断用新规则新策略去为之前的策略打“补丁”靠谱的多。因为一切攻击与防守所需的基本功能/基本逻辑均来源于此。

作为防守方尽量采用“降维打击”，举个例子，文件上传点。我们可以不把太多的精力放在掩藏上传点上，而是在服务端多下功夫，让其即使上传了也会上传失败，从原理上直接遏制上传webshell，比掩藏上传点来的好的多，这就是”降维打击“。

制定安全策略的逻辑

制定安全策略不是针对某一个漏洞制定策略，是针对某一种场景制定策略，例如文件上传、木马等。思路应该为先了解漏洞原理，在原理上找到绝对不可能被绕过检测的点，然后再根据这个点来制定安全策略，举例如下：

linux反连的小马一般都会有绑定bash进程的STDIN与STDOUT到socket的这个行为，但普通文件不会有这个行为的，所以针对这种小马可以直接检测标准输入与输出的绑定情况来判定是否是木马。

总的来说要解决一个入侵场景，在制定策略之前需要做好足够的分析并提炼其最核心的技术点，贴近此特征制定策略效果就非常好，且不易被绕过。而且也要在足够了解真实入侵过程的前提下，在每个入侵的关键点上设置一定的防御，层层设防，阻碍黑客的入侵进度，比如针对上传漏洞，可以简单的文件后缀检查或者文件内容检查，在这个基础上可以加上流量的检查，使得黑客即使绕过了文件内容检查也无法绕过流量检查，进而入侵失败。

了解企业的防御

企业的防御可以采取将攻击者控制在一个可控的范围内，然后用丰富的资源打败它。黑客即使入侵进我们的系统，也在我们可控的范围内的话，就不会对企业造成多大的打击，我们无法保证不出现问题，当我们可以尽量去将问题的影响降低到最小。

对于一般的企业来说主要分为两种环境，一种是办公网，也就是员工普通使用的网络，这个网络中一般情况下员工可以访问外网。第二种就是业务网络，一般可以在公网上可以直接访问。

办公网的入侵主要原因是员工的安全意识不足，下载了木马或者被钓鱼等。业务网络入侵主要是因为开发的时候出现了安全漏洞，例如sql注入等，攻击者利用暴露在公网的漏洞来入侵业务网络。因此就可以根据这两个种类的网络来制定防御策略。

腾讯的安全策略如下：

举例

针对于web层漏洞来说，一般情况下WebShell检测做为第一道防线，一旦由于一些原因系统未能发现，进程/端口数据是第二道防线——比如Apache的属主用户执行了命令，就是个典型的WebShell执行命令特征。

总结

安全设备与检测系统布置在合适的维度可以使得防守处于非常有利的位置，同时尽可能的提炼入侵场景的关键环节，则是检测思想的精髓。针对自身业务特点，分析其主要风险，针对性的制定策略。将有限的资源用于对抗清晰的风险场景，才是更为可取且有效率的事。

对于越来越多的互联网Web业务，一定要做好安全加固，简单口诀：“目录默认不可写，可写目录不解析，Web Server非root，管理页面不对外”。

我们尽力将威胁限制在web层面，如果不是业务必须的，那么不要将端口开放到公网上。这样使得我们就可以经历去防护web安全领域，是的工作量会减少很多。这时候一般只需要对员工进行安全培训，然后着重防护web领域的入侵攻击即可基本保证公司的网络安全。

补充

保障企业网络安全需要有不同的安全部门与安全工具相互配合，这里做一个归纳，后续继续补充：

所需要的部门：

1.安全运营组

负责安全事件追踪与关闭，内部的异常检测和处理，和安全事件的应急响应。

2.产品安全组

负责给即将上线的产品做测试，在白盒的视角下发现问题，以及漏洞预警，代码审计等工作。

3.数据安全组

负责内部数据安全建设（DSMM体系建设，数据安全项目的上线实施）、数据安全事件分析及运营。

4.基础安全组

安全域设计和维护；访问控制管控；资产信息维护；蜜罐运维。

5.安全平台组

负责各种安全平台的开发，例如资产管理平台。

6.内部红队

间歇性的对内部网络进行攻击，给其他部门提供技术支持，负责员工的安全意识培训。

7.安全管理

负责内部合规审计、外部安全审计、部门人员管理/团队建设、内部安全意识宣传、安全制度管理。

8.安全开发

开发防火墙等安全工具。

9.应急响应部门

对发生的安全问题进行一个应急响应，尽快去解决问题。

所涉及到的设备或工具:

1.web漏洞扫描器

如果我们可以将公司网络的入口点都控制在web层，那我们的主要精力就可以在防止web攻击上，那么一个web漏洞扫描器就尤为重要，可以极大的减少人工成本。

2.DDos防护设备

游戏公司尤其重要。

3.资产设备管理系统

方便对公司的互联网资产进行管理与查询

4.告警检测系统

用来收集告警信息，并给出对应的风险等级方便运营人员处置。

5.IDS(入侵检测系统)

入侵检测系统生成的告警可以发送到告警系统中作为记录，可以理解成web端的防火墙。

6.工单提交系统

方便不同的业务在上线前提交测试工单，来让产品安全组的同事来进行工单测试。

7.SRC系统

联合白帽子的力量来帮助公司进行漏洞挖掘并修复。

8.EDR(终端安全响应系统)

就是我们一般意义上的防火墙。

9.邮件网关

对发往公司的邮件进行一个检查，配合SPF的设置来剔除掉非法或者恶意邮件。

参考文章

转载地址：http://hmraf.baihongyu.com/