临近中秋佳节，接着又有国庆长假，各行各业享受假期的同时，安全从业者却不能放松。尤其是政府机构、大型国企、重点高校更要做好重保时期的安全防护。

Web应用承载了每个企业单位的核心资产数据，敏感时期发生被篡改或信息泄露，不单要遭受名誉、经济上的损失，更要承受法律甚至政治上的责任。在信息安全人员视角下：

如何抵御互联网上无处不在的恶意攻击？

如何在与黑客攻防对抗中中占据主动？

如何安稳度过重保时期不发生安全事件？

本文就以Web站点的视角介绍重保全周期会遭受的威胁，并给出一套有效的应对之策。

1. 重保期间黑客吹起进攻的号角

万事万物皆有其道，网络攻击不是请客吃饭，有自己的一套规范思路和打法。信息系统存在漏洞（漏洞永远存在，永远不会被消灭）的前提下，攻击有了利用的可能，现实中网络攻击有如下几个阶段：信息收集——尝试攻击——攻陷——扩散——黑产牟利，每个阶段都有多种攻击手段，并且灵活组合直指目标。

1.1. 不打无准备之仗，信息收集先行

现实中的黑客并不像电影里那样，一开始就找准了目标针对性的对信息系统做突破。通常都是采用遍地撒网重点捞鱼的策略，先在互联网上发起信息收集工作。使用一些列工具如namp发起IP、端口、系统、应用等扫描，或者用爬虫爬取网站上的信息，针对得到的数据做分析，找到那些暴漏了高危端口（rdp、ssh、数据库）的IP、使用低版本组件或语言的网站。有了这些信息，下一步就有十八般兵器来袭。

上图是对一个网站每天遭受攻击类型做的统计，可以看到超过50%的攻击属于目录信息泄露，还有近30%的攻击属于文件限制，都是黑客在信息收集时使用的手段。

1.2. 对症下药，定制化高级持续攻击

拿到了获取到的IP等信息，就可以用工具脚本对IP做口令暴力破解尝试登录，获取网站服务器后台目录或站点敏感信息如phpinfo，对获得的低版本组件存在的通用漏洞进行攻击。SQL注入或命令执行获取后台敏感文件或数据库的数据。上传一句话木马到后台目录，菜刀攻击连接shell，后面就可以接管文件管理、shell命令，进行提权和控制。控制了机器后就可以窃取数据、篡改网站、加密勒索、横向扩散等等为所欲为。

下图是信息安全人员必备知识OWASP十大应用安全风险（OWASP Top 10），可以看到现网中流行的攻击手段。

1.3. 道高一尺魔高一丈，变种攻击0day漏洞

大多人所谓的创新，都是前人的重复。黑客并不一定都是大神，类似脚本小子的才是这些攻击人群的主流，使用的攻击手段都是别人制作好的工具脚本，也很容易被压制。但总有人会研究出新的攻击手段，尤其是当前网络环境中恶意程序数量呈指数增长，各类新型的攻击方式层出不穷，随着恶意代码技术 发展，传播过程中会进行多次变形躲避安全产品的追杀。0day（零日攻击）的出现更是突破了现有安全产品基于已知威胁的防护体系，攻击目标相当于裸奔，随时被攻陷。攻击者动用这些新型攻击和0day，在攻防作战中占据了主动地位。

1.4. 鱼死网破，流量型攻击

如果以上攻击还不奏效，黑客往往还有最后一个大杀器—流量型攻击。流量型攻击通常是DDoS（分布式拒绝服务），利用大量的请求占满攻击目标的出口带宽或服务器性能。现在更流行的是应用层的DDoS—CC攻击，这种攻击会模拟正常访问者的行为，对网站发起的应用层请求，缓慢而坚定的耗尽服务器的缓存和并发连接等，最终无法给正常的请求者提供服务。这种拒绝服务攻击的除了能瘫痪业务，也可以用来明修栈道暗度陈仓。通过流量攻击让目标安全设备失效或迫使安全管理员关闭某些高级防护功能，黑客可以将真正的攻击夹杂在海量请求中绕过防护直达目标。

尤其是当前网络中存在的攻击即服务（Attack as a Service ）甚至分布式拒绝攻击即服务（DDoS as a Service）变得越来越流行，这种服务的加个也非常低廉，按次计费和长期租用的形式，每小时攻击成本不到10美元，成本低很容易被使用。

1.5最后的希望，迂回攻击

当用尽以上所有攻击结果还不生效时，攻击者就要考虑行动的性价比，一般会及时止损寻找下一个受害者。但出于尊严也好或当前付出的沉没成本也罢，攻击者还有别的途径可用。有句话叫“硬的不行来软的”，既然攻击目标防护这么严密，那是不是可以绕过目标转而攻击同用户的其他资产。通常一个企业对外提供不止一个业务，不通业务安全水平也参差不齐，每一个暴漏在互联网的业务都是潜在的攻击进入点。黑客可以挑选防护能力较弱的资产重点攻破，然后作为跳板机在内部横向威胁最初的目标，而资产对内的暴漏面远远大于对外网的，一些主机层的脆弱性对内暴漏，使攻击难度大大降低。

当然除了通过各种技术直接攻击，社会工程学也是很有效的进攻手段。在信息安全这个链条中，人的因素是最薄弱的一环节。社会工程就是利用人的薄弱点，通过欺骗手段而入侵计算机系统的一种攻击方法。这就涉及信息系统人员的安全意识和防范手段，本文不在详述。

2. 如何应对

从上文我们已经了解到黑客常见的攻击路径以及每一步详细的技术动作，在和黑客常年累月的对抗中，英勇不屈的安全人员也发展出一些列的技术、理念、产品和方案，有了这些工具可以见招拆招，游刃有余的应对攻击者的挑战。

2.1       自检加固

重保前，需要做一次完整的资产暴漏面梳理。通常使用监测扫描类产品，从外网或内网对主机或Web做一次体检，梳理出资产存在的脆弱性。不重要的系统，重保期间可以关闭系统。不允许关闭的重要系统，优先修复漏洞，无法修复的通过调整WAF、防火墙策略等方式，先减少漏洞存在的影响。当然针对网站也有一些特殊的应对方法，使用反向代理或接入云WAF，可以隐藏业务信息和源站地址，永久在线（Always Online）通过学习源站流量伪造一个镜像站，用户直接访问镜像站，源站不对外服务自然免疫攻击，结合这些技术手段为迎接后面的攻击做好准备。

2.2       全频道阻断

攻防过程中双方地位其实是不对等的，攻击方往往占据主动，防守方只能被动等待。但如果对现有的防护手段进行合理组合排布，可以构建一个严密有效的防御体系。

第一步，应对信息泄露攻击，通过前期的自检加固减少了对互联网IP端口暴漏，可以过滤一大部分的攻击。而针对业务端口的扫描探测需要配合专门的防扫描产品如WAF，阻止访问敏感文件和目录，隐藏含有服务器和应用信息的回显数据。同时搭配防Bots功能，精确识别自动、半自动化攻击工具的行为特征进行拦截。黑客找不到有价值的利用点，自然不会啃这块硬骨头。

第二步，对大流量攻击使用DDoS模块做清洗，针对小流量、应用层的DDoS 攻击采用CC 防护功能做识别拦截。

第三步，清洗完大流量攻击后，剩余的数据交给机器学习模块。机器学习算法结合语义分析对无害资源、正常访问行为、误报行为进行分析，通过一定的模型训练，将安全流量进行线速转发，提升应用层检测效率。

第四步，针对剩余的非安全流量通过已知攻击检测模块进行过滤，包括机器学习+规则双重检测算法识 别并拦截注入、跨站、协议违规、Webshell、盗链、组件漏洞、CSRF、信息泄露等攻击。

 最后是应对变种攻击和0day漏洞未知攻击通常危害大，隐蔽性强，采用威胁情报+虚拟补丁方式进行识别和拦截。

2.3       威胁情报

还有一个大杀器威胁情报，网上对威胁情报定义是：某种基于证据的知识，包括上下文、机制、标示、含义和能够执行的建议，这些知识与资产所面临已有的或酝酿中的威胁或危害相关，可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。

威胁情报最简单的功能是通过之前对黑客发起过的攻击，现网正在发起的攻击、高级持续性威胁（APT）做跟踪，得到一系列的数据比如恶意IP、攻击样品信息等。黑客广撒网的攻击方式，其攻击信息被设备收集到并上传给威胁情报，云端处理后将这些情报共享给给所有接入的设备。这样在黑客刚连接上网络时，直接打断三次握手，或者刚提交一个本地设备无法识别的攻击样本就被云端检测出恶意代码给拦截，有点不讲道理但效果非常显著。

2.4场外援助

信息安全对技术、产品、人员能力和管理制度要求很高，最好的办法是将专业的事交给专业的人，各安全厂商应对重保也纷纷推出了自己的解决方案，重保期间将服务进行托管可以以获全天候更安全的保护。

3. 小结

重保期间通过前期自检加固，调整优化安全设备策略，使用新技术搭配威胁情报应对攻击威胁，启用重保服务由安全人员7*24小时监测响应，可以安心放假重保无忧。