攻守之間

你的網(wǎng)絡(luò)和系統(tǒng)安全嗎?你可能會(huì)想，我已經(jīng)裝了最新版本的殺毒軟件，操作系統(tǒng)早上剛剛提醒過我下載3個(gè)最新的補(bǔ)丁，對于一些可能含有惡意代碼或釣魚網(wǎng)站從來都是避而遠(yuǎn)之……但是，駭客呢?

是的，對于安全來講，最恐怖就是哪怕一個(gè)“但是”。

“世界頭號駭客”凱文·米特尼克在他15歲的時(shí)候闖入了“北美空中防護(hù)指揮系統(tǒng)”的計(jì)算機(jī)主機(jī)，同時(shí)他和另外一些朋友翻遍了美國指向前蘇聯(lián)及其盟國的民有核彈頭的數(shù)據(jù)資料，然后又悄然無息的溜了出來。這是駭客歷史上一次經(jīng)典之作。

從攻方的視角看，是“攻其一點(diǎn)，不及其余”，只要找到一點(diǎn)漏洞，就有可能撕開整條戰(zhàn)線；從守方的視角看，往往發(fā)現(xiàn)“千里之堤，毀于蟻穴”。

主動(dòng)防御技術(shù)作為一種新的對抗網(wǎng)絡(luò)攻擊的技術(shù)，采用了完全不同于傳統(tǒng)防御的思路和技術(shù)。以駭客之名，對付駭客，這是一個(gè)“觀念上的進(jìn)步”。美國安全評估及滲透測試公司Immunity負(fù)責(zé)銷售和市場的副總裁Steven LaskowsM如是說。

傳統(tǒng)的網(wǎng)絡(luò)安全防御技術(shù)主要采用諸如防火墻、入侵檢測、防病毒網(wǎng)關(guān)、災(zāi)難恢復(fù)等手段，但是，它們都存在一些共同的缺點(diǎn)。

首先，傳統(tǒng)安全防御的防護(hù)能力是靜態(tài)的。傳統(tǒng)防御完全依靠網(wǎng)絡(luò)管理員對設(shè)備的人工配置來實(shí)現(xiàn)，難以應(yīng)對技術(shù)手段越來越高的網(wǎng)絡(luò)入侵；其次，防護(hù)具有很大被動(dòng)性。傳統(tǒng)防御技術(shù)只能被動(dòng)地接受入侵者的每一次攻擊，而不能對入侵者實(shí)施任何影響；第三，不能識(shí)別新的網(wǎng)絡(luò)攻擊。大多依靠基于特征庫檢測技術(shù)的網(wǎng)絡(luò)防御始終落后于網(wǎng)絡(luò)攻擊。

魔高一尺，道高一丈。

主動(dòng)防御可以預(yù)測未來的攻擊形式，檢測未知的攻擊。主動(dòng)防御還具有自學(xué)習(xí)功能，可以對網(wǎng)絡(luò)安全防御系統(tǒng)進(jìn)行動(dòng)態(tài)的加固，對網(wǎng)絡(luò)進(jìn)行監(jiān)控，對檢測到的網(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)的反應(yīng)。這種效應(yīng)包括牽制和轉(zhuǎn)移黑客的攻擊，對黑客入侵方法進(jìn)行技術(shù)分析，對網(wǎng)絡(luò)入侵進(jìn)行取證，對入侵者進(jìn)行跟蹤甚至反擊等。

如果說防火墻和網(wǎng)絡(luò)監(jiān)控系統(tǒng)還是被動(dòng)防御手段，那么脆弱性掃描就是一種主動(dòng)的防范措施。當(dāng)脆弱性掃描與防火墻、入侵檢測等技術(shù)互相配合，在駭客攻擊之前進(jìn)行防范，就能夠有效提高網(wǎng)絡(luò)的安全性。

掃描之外，還有另外一種方法。

滲透測試是通過模擬惡意黑客的攻擊方法來評估計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全的一種評估方法。它最簡單直接的解釋就是：完全站在攻擊者角度對目標(biāo)系統(tǒng)進(jìn)行的安全性測試過程。

這個(gè)過程包括對系統(tǒng)的人的弱點(diǎn)、技術(shù)缺陷或漏洞的主動(dòng)分析。這個(gè)分析是從一個(gè)攻擊者可能存在的位置來進(jìn)行的，并且從這個(gè)位置條件主動(dòng)利用安全漏洞。滲透測試是一個(gè)漸進(jìn)的、逐步深入的過程，是選擇不影響業(yè)務(wù)系統(tǒng)正常運(yùn)行的攻擊方法進(jìn)行的測試。

以Immunity的安全漏洞檢測工具Canyas為例，Immunity’s CANVAS為全球的測試人員和安全專家提供了數(shù)以百計(jì)的漏洞資源、自動(dòng)搜索系統(tǒng)和利用漏洞開發(fā)框架。它包含150個(gè)以上的漏洞利用，其中不乏操作系統(tǒng)、應(yīng)用軟件等大量的安全漏洞。

另外，Canvas也常被用于對IDS和IPS的檢測能力的測試。每個(gè)月Canvas會(huì)把穩(wěn)定的版本及時(shí)發(fā)布，通過Web站點(diǎn)進(jìn)行更新，同時(shí)更新漏洞利用模塊和引擎程序，并且會(huì)及時(shí)發(fā)郵件提醒用戶使用?；谥鲃?dòng)防御的思想，canvas在全球第一個(gè)發(fā)現(xiàn)了針對VMware的漏洞攻擊。

以攻為守，以守為攻。主動(dòng)防御是一種前攝性防御，由于一些防御措施的實(shí)施，使攻擊者無法完成對目標(biāo)的攻擊，或者使系統(tǒng)能夠在無需人為被動(dòng)響應(yīng)的情況下預(yù)防安全事件。隨著技術(shù)的向前推進(jìn)，主動(dòng)防御時(shí)代已經(jīng)來臨。

而在未來，技術(shù)將可能會(huì)演變到常人難以想象的程度——你難以分清“駭客”的真正身份，他將隨著自己的喜好或者心情來決定攻守，軟件廠商的任務(wù)不僅包含主動(dòng)防御，甚至還要時(shí)時(shí)謹(jǐn)防善意的“駭客”叛變。攻守的角色將在二者之間傳遞，而攻守之間的界限也越來越模糊了。