比如,我们禁止这个攻击源,可能把IP地址就给封了,但是这个IP地址有可能是伪造,有可能是动态,简单封了反制就不够精准,你用别的方法,比如再加别的一点信息进行反制,这样就更精准。
我们主动防御对安全最大贡献就是有震慑作用,现在为了网站为什么这么不安全,随便一个小黑客,可能才学了3天黑客知识就下载了一个工具到处扫描网站,多半还真能找到一个网站漏洞,上去玩一会就走了。其实我们对网站没有真的震慑作用,大家害怕不大,我们主动防御就会有很大震慑作用,一旦他一开始扫描一个什么东西,或者说我们强悍一点,直接去抓他们,或者我们低调一点,直接给他一个警告,这是无法行为之类的,他可能对震慑作用是相当大的。
还有一个对零日漏洞的影响,我们有很多防御手段都号称能够防零日漏洞,这是一个挺宽泛的说法,确实有时候因为零日漏洞特征比较像,为了防御漏洞,整个把零日漏洞给防住了,从这个角度来说你的被动防御是很难防御零日漏洞的。我们主动防御并不是能够完全防御零日漏洞,在我们主动防御中,在攻击探索阶段咱们可能就能识别,或者把整个攻击源阻断,不让有继续进攻的机会,或者说我不阻断他,我可以跟踪他来学习,我跟踪他的日志看看他到底干了什么,可能就学到零日漏洞了,等你学到就不再是零日漏洞了。
我们可以对比一下被动防御和主动防御,表面上好象都差不多,都是我们去感知,但是具体做还是有差别,他对安全会有很大促进性。因为,我们可以做一个体会,我们每次公布中国互联网排名的时候会说有多少网站被篡改,或者被泄露,这就说明这个网站很不安全。一个安全网络他公布,咱们中国政府网站有多少被扫描了,有多少来进攻,但是基本上没有一个生效的,这才是一个比较精通方式,这样我们国防安全,我们说美国过了东海要来进攻我们就要通报,不能说已经占了一个省再通报,那肯定是不安全的。我们用主动防御的概念,特别在网站WEB安全这部分来进行主动防御,这就提高整体安全是非常有帮助的。
那么,安全产品怎么具体来支持主动防御呢?我们也提倡主动防御,确实主动防御不光是一个产品问题,也需要执法配合,需要一些管理,比如我们报案能不能快一点。但是,具体产品我们来看看是怎么支持的,这个可能更现实一点。第一是监控类产品,我们作为监控类产品,作用就是提高感知度,如果我们要做一个一个监控,首先不是一个点监控,是一个综合监控,是指基于所有网站的综合监控,而不是基于整体网络综合监控,因为基于整体网络综合监控就太复杂了,就像上午讲到云感知一样,大家可能都挺云里雾里,挺难的。
我们把各种网站集中在一个平台上,这样才能实现一个好的监控。那么,一个强大的综合监控是我们一个主动防空技术,你要感觉不到进攻你的主动防御就无从谈起了。第二防护类产品升级,我们已经对防护类产品要求比较低的,就是要求被动防御,发现进攻阻断就完了。那么,我们希望提高一个识别能力,和一个反制能力,这两个是相辅相成的,如果你识别不准,你也不敢轻易反制,你一识别动不动所有IP都封了,你的网站就没办法活了,只有这个识别准,反制的比较准才是一个很好的主动防御。
我们再来讲一讲综合监控,我们再跟刺猬学一下,刺猬受惊的时候是全身棘刺竖起,卷成如刺球状,比如你有多少网站需要监控,需要多少忍受,网站自身有哪些缺陷,这些缺陷怎么解决,最重要这些网站正在遭受哪些外部威胁,有外部威胁的时候多长时间才能知道这个外部威胁,如果我们对一个网站提升了他的安全措施,其他网站是不是同时也在提升。当然,还有一些别的我们也是应该了解的,比如网站当时的状况,可用性怎么样,性能怎么样,还有多少设备在提供网络状况,他的实际作用在哪里,还有一些所谓报表,这都是我们的管理需要。
也就是说,我们要尝试构造一个综合监控平台,他才能在一个路口基于各方面因素立体监控,多个网站共享,这样才能使多个网站监控真正可行。我们现在都知道监控,其实手段都不可行,可行,可控,才可以谈到持续改进。这个综合监控就是实现主动防御的基础,这是一个典型综合监控架构,在上面是一些监控引擎,这些引擎去具体监控网站各个要素,包括漏洞是否被篡改,是否有WebShell,是否有恶意代码,不是病毒是指网络惯码,包括攻击信息监控。当然,还需要做很多内容,还需要满足攻击日记采集,这也有一个限制,我们以前为什么不做主动防御呢?一做主动防御就牵扯到海量数据,进行分析数据太大做不下来。
