那些年防入侵的二三事WEB安全

那些年防入侵的二三事WEB安全（通用1篇）

篇1：那些年防入侵的二三事WEB安全

企业越大，可能被入侵的途径越多，

各种漏洞，开发安全流程的和安全规范的缺失，基础安全配置检查的疏忽，敏感信息泄露，各种细节的问题都有可能使千里之堤溃于蚁穴。

如何在如此多的繁杂的安全问题中如何归根i源，找到一个根本上的解决思路，这些年每每看到入侵事件我都会反思这个安全体系到底出了什么问题。

在几年之前我在考虑防入侵的时候更多的是考虑如何直接防御攻击。

比如在边界上的ACL网络隔离，部署堡垒机控制登陆权限。

禁止反连，让 无法反弹SHELL。

比如针对WEB应用去直接上WAF防御各种web攻击。

通过SDL去解决代码中的各种弱点，包括漏洞检测，白盒检测和各种代码REVIEW。

后来我觉得还不够，因为不是每种攻击我们都一定能够防御的，那些看似毫无破绽的防御产品，并不会直接被 挑战，入侵者不喜欢硬碰硬，他只会找软柿子去捏，你的一个弱点可能让你全盘皆输。

为了进一步占领这场战争的制高点：

我尝试是做一些后门检测的产品。

或者做一些主机入侵行为检测的产品。

尝试去分析访问日志监控一些可能的攻击请求。

又或者在 通往成功的路上继续设置各种障碍，SQL注入检测,拖库检测等等。

那这样真的够了吗，这场战争我就会赢吗，面对APT，邮件钓鱼，内外结合的各种风险，发现我们仍然处于一个敌我不分的乱世之中，我发现这样依然无法彻底解决问题。

现在我又在想不断的梳理系统权限，控制系统权限，收集各种系统日志，做各种业务异常风险监测模型，

尝试实时的去在LOGIN点检测各种帐号的异常行为。

去记录每个用户的操作，去审计操作的合法性。

去申请预算，做XXSRC发动群众的力量来给自己找漏洞。

还发展到要去我们以为安全的各种内部系统做深度的安全检查。

还要去做敏感信息防泄露，防撞库。

我们越来越往下做，发现防入侵真的是一个无底之洞，那些安全永远只是相对的。

到今天我归纳我所做的防入侵其实是有三个步骤。

第一阶段:防御

第二阶段:检测

第三阶段:审计

有一天我突然想算算我做的这些事情的价值几何，我算出来发现。

防御阶段-》解决了70%的入侵问题

检测阶段-》 解决了剩下20%的入侵问题

审计阶段-》 解决了剩下的9%的入侵问题

还有1%是你永远也无法解决并预料到的，或许XXSRC能帮到你。

其实就是一个倒金字塔。

说到这里，似乎事情并没有完全搞定，为什么没有搞定，这个问题其实就像博弈一样，没有永远的赢家也没有永远的输家，作为一个安全工作者，如果忘了自己是一名刀尖上的舞者，而把自己当成一名太平侍卫，那么其实坏事也就将近了。

虽然我们默默无闻，但我们弥足珍贵，敬所有白帽子。

​