网络安全漫山遍野的高大上名词之后的攻防策略本质

我认为网络安全的攻防对抗就是一个十字坐标上的对抗

1）攻击人员关注的就是 source -> sink 的数据流动过程中，是否存在攻击的机会，而攻击时bypass的重点就是sanitize是否足够严密

2）对应的防护人员需要在多个层面构建防护措施，不管是网络层、应用层、主机层架设足够严密的sanitize

3）如上图所示，如果我们把图中蓝色看成坐标系，红色的1 2 3看做是三个函数，而灰色的内容看成函数入参的危险阈值

3.1）函数入参的危险阈值超过了绿线，则安全人员应收到告警，而危险阈值超过了红线则应直接阻断函数调用

3.2）函数调用的顺序（例如 1 2 3 是常见的缓冲区溢出攻击链），满足一定规律应告警或拦截

3.3）函数调用的函数入参以及函数顺序（例如 1 2 3 是常见的缓冲区溢出攻击链并且入参危险阈值达到绿线甚至红线），满足一定规律应告警或拦截

总结：安全防护策略主要是针对入参校验（纵坐标）、逻辑链校验（横坐标）以及入参结合逻辑链的双校验（横纵坐标）

我们把这个思路带入实战：

4）edr、hids、态势感知等产品为何说他们名字不同，但是本质一样呢？是因为他们使用的防护理论一致

4.1）函数入参的危险阈值达到阈值，对应执行某安全行为（告警或拦截）

4.2）函数的调用顺序达到达到阈值，对应执行某安全行为（告警或拦截）

4.3）入参与函数调用达到阈值，对应执行某安全行为（告警或拦截）

参照下图：

5）进一步的我们来看看应用防护RASP产品，其底层逻辑一模一样

5.1）函数入参的危险阈值达到一定标准，对应执行某安全行为（告警或拦截）

参加下图，使用黑名单拦截调用入参：

5.2）函数的调用顺序达到一定标准，对应执行某安全行为（告警或拦截）

5.3）入参与函数调用达到阈值，对应执行某安全行为（告警或拦截）

参加下图，校验调用堆栈的上下文逻辑和入参：

6）至于流量层面也完全一致，只不过流量的实时性过高，很难做到类似于应用侧、主机侧能保障逻辑上下文校验，所以目前流量侧的基本涵盖的只有一种情况

6.1）函数入参的危险阈值达到一定标准，对应执行某安全行为（告警或拦截）

7）最后我们谈谈所谓的拟态防御吧，请先看下图：

如果将图中XY坐标所形成的切面，看成是一个安全策略的覆盖面的话。

那么拟态防御的本质就是将各个覆盖面使用不同逻辑实现方式进行对照并校验完整性。

所有的网络安全防护都维护的是：保密性、完整性、可用性

而其背后的逻辑都能用一个XYZ坐标所解释，所以请不要再造词了，请专心提升行业硬实力。

参考地址：

https://mp.weixin.qq.com/s/cIJTyjusZbM5ndSTMjECUg

https://github.com/baidu/openrasp

禁止转载 谢谢