臨近中秋佳節，接著又有國慶長假，各行各業享受假期的同時，安全從業者卻不能放鬆。尤其是政府機構、大型國企、重點高校更要做好重保時期的安全防護。

Web應用承載了每個企業單位的核心資產資料，敏感時期發生被篡改或資訊洩露，不單要遭受名譽、經濟上的損失，更要承受法律甚至政治上的責任。在資訊保安人員視角下：

如何抵禦網際網路上無處不在的惡意攻擊？

如何在與駭客攻防對抗中中佔據主動？

如何安穩度過重保時期不發生安全事件？

本文就以Web站點的視角介紹重保全週期會遭受的威脅，並給出一套有效的應對之策。

1. 重保期間駭客吹起進攻的號角

萬事萬物皆有其道，網路攻擊不是請客吃飯，有自己的一套規範思路和打法。資訊系統存在漏洞（漏洞永遠存在，永遠不會被消滅）的前提下，攻擊有了利用的可能，現實中網路攻擊有如下幾個階段：資訊收集——嘗試攻擊——攻陷——擴散——黑產牟利，每個階段都有多種攻擊手段，並且靈活組合直指目標。

1.1. 不打無準備之仗，資訊收集先行

現實中的駭客並不像電影裡那樣，一開始就找準了目標針對性的對資訊系統做突破。通常都是採用遍地撒網重點撈魚的策略，先在網際網路上發起資訊收集工作。使用一些列工具如namp發起IP、埠、系統、應用等掃描，或者用爬蟲爬取網站上的資訊，針對得到的資料做分析，找到那些暴漏了高危埠（rdp、ssh、資料庫）的IP、使用低版本元件或語言的網站。有了這些資訊，下一步就有十八般兵器來襲。

上圖是對一個網站每天遭受攻擊型別做的統計，可以看到超過50%的攻擊屬於目錄資訊洩露，還有近30%的攻擊屬於檔案限制，都是駭客在資訊收集時使用的手段。

1.2. 對症下藥，定製化高階持續攻擊

拿到了獲取到的IP等資訊，就可以用工具指令碼對IP做口令暴力破解嘗試登入，獲取網站伺服器後臺目錄或站點敏感資訊如phpinfo，對獲得的低版本元件存在的通用漏洞進行攻擊。SQL注入或命令執行獲取後臺敏感檔案或資料庫的資料。上傳一句話木馬到後臺目錄，菜刀攻擊連線shell，後面就可以接管檔案管理、shell命令，進行提權和控制。控制了機器後就可以竊取資料、篡改網站、加密勒索、橫向擴散等等為所欲為。

下圖是資訊保安人員必備知識OWASP十大應用安全風險（OWASP Top 10），可以看到現網中流行的攻擊手段。

1.3. 道高一尺魔高一丈，變種攻擊0day漏洞

大多人所謂的創新，都是前人的重複。駭客並不一定都是大神，類似指令碼小子的才是這些攻擊人群的主流，使用的攻擊手段都是別人製作好的工具指令碼，也很容易被壓制。但總有人會研究出新的攻擊手段，尤其是當前網路環境中惡意程式數量呈指數增長，各類新型的攻擊方式層出不窮，隨著惡意程式碼技術 發展，傳播過程中會進行多次變形躲避安全產品的追殺。0day（零日攻擊）的出現更是突破了現有安全產品基於已知威脅的防護體系，攻擊目標相當於裸奔，隨時被攻陷。攻擊者動用這些新型攻擊和0day，在攻防作戰中佔據了主動地位。

1.4. 魚死網破，流量型攻擊

如果以上攻擊還不奏效，駭客往往還有最後一個大殺器—流量型攻擊。流量型攻擊通常是DDoS（分散式拒絕服務），利用大量的請求佔滿攻擊目標的出口頻寬或伺服器效能。現在更流行的是應用層的DDoS—CC攻擊，這種攻擊會模擬正常訪問者的行為，對網站發起的應用層請求，緩慢而堅定的耗盡伺服器的快取和併發連線等，最終無法給正常的請求者提供服務。這種拒絕服務攻擊的除了能癱瘓業務，也可以用來明修棧道暗度陳倉。透過流量攻擊讓目標安全裝置失效或迫使安全管理員關閉某些高階防護功能，駭客可以將真正的攻擊夾雜在海量請求中繞過防護直達目標。

尤其是當前網路中存在的攻擊即服務（Attack as a Service ）甚至分散式拒絕攻擊即服務（DDoS as a Service）變得越來越流行，這種服務的加個也非常低廉，按次計費和長期租用的形式，每小時攻擊成本不到10美元，成本低很容易被使用。

1.5最後的希望，迂迴攻擊

當用盡以上所有攻擊結果還不生效時，攻擊者就要考慮行動的價效比，一般會及時止損尋找下一個受害者。但出於尊嚴也好或當前付出的沉沒成本也罷，攻擊者還有別的途徑可用。有句話叫“硬的不行來軟的”，既然攻擊目標防護這麼嚴密，那是不是可以繞過目標轉而攻擊同使用者的其他資產。通常一個企業對外提供不止一個業務，不通業務安全水平也參差不齊，每一個暴漏在網際網路的業務都是潛在的攻擊進入點。駭客可以挑選防護能力較弱的資產重點攻破，然後作為跳板機在內部橫向威脅最初的目標，而資產對內的暴漏面遠遠大於對外網的，一些主機層的脆弱性對內暴漏，使攻擊難度大大降低。

當然除了透過各種技術直接攻擊，社會工程學也是很有效的進攻手段。在資訊保安這個鏈條中，人的因素是最薄弱的一環節。社會工程就是利用人的薄弱點，透過欺騙手段而入侵計算機系統的一種攻擊方法。這就涉及資訊系統人員的安全意識和防範手段，本文不在詳述。

2. 如何應對

從上文我們已經瞭解到駭客常見的攻擊路徑以及每一步詳細的技術動作，在和駭客常年累月的對抗中，英勇不屈的安全人員也發展出一些列的技術、理念、產品和方案，有了這些工具可以見招拆招，遊刃有餘的應對攻擊者的挑戰。

2.1       自檢加固

重保前，需要做一次完整的資產暴漏面梳理。通常使用監測掃描類產品，從外網或內網對主機或Web做一次體檢，梳理出資產存在的脆弱性。不重要的系統，重保期間可以關閉系統。不允許關閉的重要系統，優先修復漏洞，無法修復的透過調整WAF、防火牆策略等方式，先減少漏洞存在的影響。當然針對網站也有一些特殊的應對方法，使用反向代理或接入雲WAF，可以隱藏業務資訊和源站地址，永久線上（Always Online）透過學習源站流量偽造一個映象站，使用者直接訪問映象站，源站不對外服務自然免疫攻擊，結合這些技術手段為迎接後面的攻擊做好準備。

2.2       全頻道阻斷

攻防過程中雙方地位其實是不對等的，攻擊方往往佔據主動，防守方只能被動等待。但如果對現有的防護手段進行合理組合排布，可以構建一個嚴密有效的防禦體系。

第一步，應對資訊洩露攻擊，透過前期的自檢加固減少了對網際網路IP埠暴漏，可以過濾一大部分的攻擊。而針對業務埠的掃描探測需要配合專門的防掃描產品如WAF，阻止訪問敏感檔案和目錄，隱藏含有伺服器和應用資訊的回顯資料。同時搭配防Bots功能，精確識別自動、半自動化攻擊工具的行為特徵進行攔截。駭客找不到有價值的利用點，自然不會啃這塊硬骨頭。

第二步，對大流量攻擊使用DDoS模組做清洗，針對小流量、應用層的DDoS 攻擊採用CC 防護功能做識別攔截。

第三步，清洗完大流量攻擊後，剩餘的資料交給機器學習模組。機器學習演算法結合語義分析對無害資源、正常訪問行為、誤報行為進行分析，透過一定的模型訓練，將安全流量進行線速轉發，提升應用層檢測效率。

第四步，針對剩餘的非安全流量透過已知攻擊檢測模組進行過濾，包括機器學習+規則雙重檢測演算法識 別並攔截注入、跨站、協議違規、Webshell、盜鏈、元件漏洞、CSRF、資訊洩露等攻擊。

 最後是應對變種攻擊和0day漏洞未知攻擊通常危害大，隱蔽性強，採用威脅情報+虛擬補丁方式進行識別和攔截。

2.3       威脅情報

還有一個大殺器威脅情報，網上對威脅情報定義是：某種基於證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用於資產相關主體對威脅或危害的響應或處理決策提供資訊支援。

威脅情報最簡單的功能是透過之前對駭客發起過的攻擊，現網正在發起的攻擊、高階持續性威脅（APT）做跟蹤，得到一系列的資料比如惡意IP、攻擊樣品資訊等。駭客廣撒網的攻擊方式，其攻擊資訊被裝置收集到並上傳給威脅情報，雲端處理後將這些情報共享給給所有接入的裝置。這樣在駭客剛連線上網路時，直接打斷三次握手，或者剛提交一個本地裝置無法識別的攻擊樣本就被雲端檢測出惡意程式碼給攔截，有點不講道理但效果非常顯著。

2.4場外援助

資訊保安對技術、產品、人員能力和管理制度要求很高，最好的辦法是將專業的事交給專業的人，各安全廠商應對重保也紛紛推出了自己的解決方案，重保期間將服務進行託管可以以獲全天候更安全的保護。

3. 小結

重保期間透過前期自檢加固，調整最佳化安全裝置策略，使用新技術搭配威脅情報應對攻擊威脅，啟用重保服務由安全人員7*24小時監測響應，可以安心放假重保無憂。