一、小白剧场
=============
小白:东哥东哥,最近我在看2021年十大网安事件盘点的过程中,我发现了一个很奇怪的现象。
大东:哦?你发现了什么?
小白:我发现在这些事件中,对攻击的手段会比较明确,比如是APT攻击、木马病毒、勒索软件、蠕虫病毒、僵尸网络等,但是对于如何防御却有很多的名词。
大东:那你听说了哪些呢?
小白:比如防火墙、IDS、IPS、零信任、NTA……每出现一个词都要去查,也会又很多专业的介绍,感觉是可以解决当时的攻击问题,但是看到下一篇又会有新的名词出现,就感觉特别繁杂,抓不住重点。
大东:小白你说的问题确实很有价值,也经常听到同学们有类似的反馈,因此我打算对防御进行一些定义来进行一下科普。
小白:太好了,都有哪些定义呢,我一定要好好学习一下。
大东:我把它概括为网络安全“八个打”。
小白:巴格达?伊拉克首都吗?为什么叫巴格达呢,是网络安全的中心地带吗,就像是双奥之城是北京一样,所以网络安全防护的中心叫“巴格达”?
大东:不是,是“八个打”,比如打补丁,打地鼠,打苍蝇,打疫苗……
小白:哦~“打打打打打打打打”,东哥,网络安全防御是怎么和“八个打”联系的呢,又是哪“八个打”呢?
大东:哈哈,别急,先从网络安全防御给你说吧。
小白:好呢,小本本已经准备好开始记了。
二、话说防御
大东:“八个打”是将防御体系分为基础防御和先进防御。基础防御部分可以分为“打补丁”、“打苍蝇”、“打地鼠”、“打疫苗”,而先进防御可以概括为“打埋伏”、“打游击”、“打边鼓”、“打太极”。
小白:基础防御和先进防御是如何区分的呢?
大东:在网络安全中,对立的两方通常叫做攻击方和防御方。
小白:是不是也可以叫做攻击方和被攻击方呢?
大东:你这样说也对,被攻击方经常会采取一些措施来减少或避免攻击,这时就有了防御。
小白:就是防守嘛。
大东:常规的防御就是防守,是基于你现在的城墙,现在的守备撑住,不被攻陷,避免伤亡。关键在于城池固若金汤,这是我所说的基础防御的概念。比如说墨子守城,无论公输班如何攻击,都能牢牢防守。
小白:是不是就是足球守门员,无论你进攻多么猛烈,我只要守住我这个门就可以了。
大东:小白理解得很对,就是这个意思。
小白:那基础防御的“打补丁”、“打苍蝇”、“打地鼠”、“打疫苗”是指的什么呢?
三、大话“巴格达”(上)
1、打补丁
“打补丁”
大东:首先来说打补丁。你看你现在穿的乞丐裤,现在年轻人当作潮流,放在以前,讲究的人家,会用补丁将破损的地方缝补起来。
小白:我之前还以为是网上的段子呢,说是一个人穿着乞丐裤回家然后被奶奶给用补丁给缝起来了。
大东:将衣服用补丁缝起来可以延长衣服的寿命,所以常言道,缝缝补补又三年。
小白:打补丁这个词后来也被用在了网络安全领域。
大东:是的,看来你知道的还挺多,那你说说看,在网络安全领域,打补丁是什么意思呢?
小白:在网络安全领域,当在软件或者系统使用过程中暴露出软件系统存在缺陷或者漏洞,会再编写一个程序使之完善,将漏洞或缺陷的地方补上,这就是所谓的打补丁。
大东:你说的没错,在很多的网络安全攻击事件中,攻击者通常会利用软件或者系统中的漏洞来进行攻击,比如2021年的Log4J,根据国外知名网络安全公司Check Point Research(CPR)发布的一份报告显示,在漏洞被披露后,每小时有数百万次试图利用Log4J漏洞发起的网络攻击。
小白:真的太可怕了。
大东:面对漏洞,通常的防御方式就是通过打补丁来进行完善。
2、打苍蝇
“打苍蝇”
小白:打补丁真的是形象又贴切了,那么什么是打苍蝇呢?
大东:你喜欢苍蝇吗?
小白:不喜欢,夏天嗡嗡嗡的到处飞,真的很烦人,而且总感觉苍蝇消灭不了,无孔不入的,特别讨厌。
大东:因为与苍蝇相同,黑客也是不能完全被消灭的。“打苍蝇”就是针对长期活跃APT组织或黑客的攻击行为进行防御。
小白:这时是怎样进行防御呢?
大东:打苍蝇比起打补丁,已经不再只关注于系统本身漏洞,而是将关注点转移到面向黑客行为的防御。
小白:面向黑客和APT?
大东:就像古代面对游兵铁骑,由于不堪其扰,于是修建了万里长城。
小白:万里长城是网络安全里面的防火墙吧,类似于纱窗,但是其实还是会有苍蝇进入。
大东:你说的对,一层纱窗防不住,那么多加几层呢?
小白:一层纱窗往往可以防住一批,再来一层又能防住一批了。
大东:正如你所说的,最常见的防御比如防火墙,能够防住一部分黑客,但是也有一定概率让黑客进入,那么就多来几层,又能抵御一些。
小白:网络安全领域有这种方式吗?
大东:纵深防御就是这种防御方式,通过多层防御提高防御效果。在网络安全领域,主要通过防火墙和查杀手段的联合建立起“打苍蝇”的防御机制。
小白:查杀?就是大不了苍蝇进来后我用苍蝇拍或者灭蝇药打死它。那“打地鼠”又是什么呢?
3、打地鼠
“打地鼠”
大东:不知道你玩没玩过打地鼠的游戏?地鼠会从一个个地洞中不经意的探出一个脑袋,或者一双眼睛……
小白:玩过玩过,就冒一个砸一个,冒两个砸一双,力求一砸一个准,很考验反应能力。
大东:网络安全防御就像是一个永无休止的“打地鼠”问题,防御者想出了一个应对攻击的防御方法,但是攻击者又会从其他地方进行攻击。
小白:这个地鼠真的深有体会,经常关注网络安全事件,就发现APT/木马、病毒、僵尸网络、蠕虫、勒索病毒等攻击手段层出不穷。
大东:你之前说基础防御就像是一个守门员的游戏,这个“打地鼠”更是如此,对方想方设法的进球,守门员想方设法地拦住。
小白:嗯嗯嗯,我明白了,那“打疫苗”是什么意思呢?
4、打疫苗
“打疫苗”
大东:生活中,通过打流感疫苗预防感冒,经常通过打疫苗的方式生成抗体获得免疫。
小白:小时候真的没少打疫苗,乙肝、乙脑、卡介苗,疫苗真的是至关重要,像新冠疫苗,会对病毒在很大程度上产生防护。
大东:作为一种生物免疫方式,打疫苗已经成为一些疾病预防的重要手段。
小白:其实在很多领域会借鉴生物领域的概念,比如神经网络在计算机领域中达到信息处理的目的,那在网络安全领域,是如何利用生物免疫呢?
大东:业界试图用生物免疫模型来保护数据和系统,这样可以借鉴人类免疫反应和疫苗模型来加强对网络的防护。
小白:像人体使用抗体及免疫机制对外来病毒做出反应?那放到网络安全中,是如何防御的呢?
大东:比如类免疫动态安全框架中,除了传统防御,通过不断的对抗学习中,形成“网络疫苗”,在黑客攻击时快速的检测感知,实时发现网络安全异常。面对病毒威胁,通过“打疫苗”获得抗体,在病毒攻击时就可以产生有效防御。
四、小白内心说
小白:“打补丁”、“打苍蝇”和“打地鼠”都是基于传统的封堵查杀,从形式上疲于应对,感觉这些时候系统的防御好像是有种固守城池的感觉,一直处于被动的防御状态,就怕防不胜防,怕我还没做好措施敌人就来了。好像打疫苗会为相应防御奠定基础,一定程度上让系统的安全能力更强了。
大东:但是“打疫苗”也无法防御新型的漏洞。无论是“打疫苗”,还是“打补丁”、“打苍蝇”、“打地鼠”都是属于基础防御。
小白:有没有更先进的防御呢?
大东:有啊,还有“打埋伏”,“打边鼓”,“打游击”,“打太极”。
小白:他们的先进性体现在哪呢?
大东:面对未知的网络安全威胁与挑战,关键在于如何打破基础防御的被动局面,掌握防御的主动权,估计我说的太多了你也吸收不了了,我下期再给你介绍吧。
小白:好的呀,期待下一期。