战斗在每一间房屋、每一片瓦
时间:2022-03-23 21:09:01 | 来源:行业动态
时间:2022-03-23 21:09:01 来源:行业动态
斯大林格勒战役还有第三个启示。
受到极寒天气影响,德国人在进攻莫斯科的时候遇到了严重的补给困难,机械化部队难以发挥作用,士气也非常低落。尽管苏联军队在莫斯科城下挫败了德国人的进攻,但依然没有扭转敌强我弱的局面。
因此,面对德国人向斯大林格勒发起的夏季攻势,想要复制莫斯科的胜利,把德军拦在城下是非常困难的,打巷战几乎无法避免。
巷战是惨烈的,但防守方在面对优势敌军时,很多时候却不得不如此。
就像不能迷信边界防御一样,做好了战前准备,就以为服务器安全可以高枕无忧。要能够在服务器内部的每一个角落,随时同攻击行为展开巷战。尤其是在攻防演习这种战时状态,面对攻击方高频度的攻击行为和变幻莫测的攻击技巧,单纯的资配漏补很难奏效,必须要利用技术手段与攻击方做持续对抗。
巷战有一个明显的特点:未知性,你不知道敌军会从哪一片墙后面突然跑出来给你一枪。想要占据主动权,实时掌握敌军视野,并适时发起局部进攻非常重要。喜欢玩游戏的人都知道,不管是FPS、RPG还是MOBA类游戏,拥有全图视野是多么爽。
云锁另外一个强大的功能,就是通过布满服务器内部的眼睛,帮防守方开全图视野。业界习惯把这双眼睛叫做探针。
云锁的探针有四种。
第一种是IN-APP WAF探针。它的工作原理和普通WAF类似,部署在Web应用上,监控所有进入Web应用的流量。一旦发现坏人混迹在正常流量中,即可发出告警。它的优势在于,云锁对于加密流量(可以理解为伪装后的坏人)检测能力更强。
第二种RASP探针。RASP中文全称是应用运行时自我保护,其目的在于让应用程序拥有自我免疫和防御的能力。它主要的主要能力是hook网络流量,细粒度的监控应用脚本的行为及函数调用上下文信息(程序员都懂的),及时发现恶意代码和漏洞利用行为。
说点大白话。假如云锁发现躲在墙后的敌人举枪向你瞄准,他就会通知你危险并及时躲避;假如云锁发现敌方通信兵和长官通话,它会通知你敌方通信兵可能正在汇报你方部署情况,要及时干掉他。也就是云锁从敌方肢体语言(在IT环境中就是机器语言)中发现危险信号,为你下一步反制行动提供参考。
第三种是内核加固探针。内核到底是什么?简单来说就是底层环境,也就是操作系统、内存这些东西。攻击者在服务器内每发起一次攻击行为,就会在内核上留下一些痕迹(当然攻击者也可以清除痕迹),就像敌人每走一步就会在地上留下脚印,每开一枪就会留下弹壳一样。云锁的内核加固探针就是在系统层,通过观察这些痕迹来进行黑客行为画像,监控攻击者的攻击行为。
同时,这个内核加固探针还能起到为内核加固的作用,增强操作系统自身对抗黑客攻击和恶意代码的能力,限制漏洞利用后的下一步行为。不然攻击者不知道从什么地方打个地道跑到我后面,岂不是满盘皆输?
第四种是Webshell动态检测探针。针对Web服务器有一种非常常见的攻击类型叫Webshell攻击,它是一种后门文件,攻击者将其上传到服务器后,就通过运行它获取控制服务器的权限。但通常而言,Webshell文件并不会在自己脑门上写着坏人俩字,相反还会进行各种伪装、加密,防守者可能直到被拿站了才恍然大悟。
那怎么办?还记得《亮剑》里老李让国民党暂七师师长常乃超跑那五公里吗?当时常乃超被俘后混在普通俘虏中,最后因为跑不动五公里露馅了。没有那五公里,就没有后来南京军事学院的常教员。没有常教员的润色,老李的毕业论文可能也没有那么气壮山河。
话说回来。云锁也会进行全盘扫描,把包括Webshell在内的脚本文件扔到沙箱里跑五公里,一旦发现非法行为就标记出来,并把检测结果同步给WAF和RASP探针,下次再发现一样的脚本文件,直接干掉就行了。