攻守之間

你的網絡和系統安全嗎?你可能會想，我已經裝了最新版本的殺毒軟件，操作系統早上剛剛提醒過我下載3個最新的補丁，對于一些可能含有惡意代碼或釣魚網站從來都是避而遠之……但是，駭客呢?

是的，對于安全來講，最恐怖就是哪怕一個“但是”。

“世界頭號駭客”凱文·米特尼克在他15歲的時候闖入了“北美空中防護指揮系統”的計算機主機，同時他和另外一些朋友翻遍了美國指向前蘇聯及其盟國的民有核彈頭的數據資料，然后又悄然無息的溜了出來。這是駭客歷史上一次經典之作。

從攻方的視角看，是“攻其一點，不及其余”，只要找到一點漏洞，就有可能撕開整條戰線；從守方的視角看，往往發現“千里之堤，毀于蟻穴”。

主動防御技術作為一種新的對抗網絡攻擊的技術，采用了完全不同于傳統防御的思路和技術。以駭客之名，對付駭客，這是一個“觀念上的進步”。美國安全評估及滲透測試公司Immunity負責銷售和市場的副總裁Steven LaskowsM如是說。

傳統的網絡安全防御技術主要采用諸如防火墻、入侵檢測、防病毒網關、災難恢復等手段，但是，它們都存在一些共同的缺點。

首先，傳統安全防御的防護能力是靜態的。傳統防御完全依靠網絡管理員對設備的人工配置來實現，難以應對技術手段越來越高的網絡入侵；其次，防護具有很大被動性。傳統防御技術只能被動地接受入侵者的每一次攻擊，而不能對入侵者實施任何影響；第三，不能識別新的網絡攻擊。大多依靠基于特征庫檢測技術的網絡防御始終落后于網絡攻擊。

魔高一尺，道高一丈。

主動防御可以預測未來的攻擊形式，檢測未知的攻擊。主動防御還具有自學習功能，可以對網絡安全防御系統進行動態的加固，對網絡進行監控，對檢測到的網絡攻擊進行實時的反應。這種效應包括牽制和轉移黑客的攻擊，對黑客入侵方法進行技術分析，對網絡入侵進行取證，對入侵者進行跟蹤甚至反擊等。

如果說防火墻和網絡監控系統還是被動防御手段，那么脆弱性掃描就是一種主動的防范措施。當脆弱性掃描與防火墻、入侵檢測等技術互相配合，在駭客攻擊之前進行防范，就能夠有效提高網絡的安全性。

掃描之外，還有另外一種方法。

滲透測試是通過模擬惡意黑客的攻擊方法來評估計算機網絡系統安全的一種評估方法。它最簡單直接的解釋就是：完全站在攻擊者角度對目標系統進行的安全性測試過程。

這個過程包括對系統的人的弱點、技術缺陷或漏洞的主動分析。這個分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置條件主動利用安全漏洞。滲透測試是一個漸進的、逐步深入的過程，是選擇不影響業務系統正常運行的攻擊方法進行的測試。

以Immunity的安全漏洞檢測工具Canyas為例，Immunity’s CANVAS為全球的測試人員和安全專家提供了數以百計的漏洞資源、自動搜索系統和利用漏洞開發框架。它包含150個以上的漏洞利用，其中不乏操作系統、應用軟件等大量的安全漏洞。

另外，Canvas也常被用于對IDS和IPS的檢測能力的測試。每個月Canvas會把穩定的版本及時發布，通過Web站點進行更新，同時更新漏洞利用模塊和引擎程序，并且會及時發郵件提醒用戶使用。基于主動防御的思想，canvas在全球第一個發現了針對VMware的漏洞攻擊。

以攻為守，以守為攻。主動防御是一種前攝性防御，由于一些防御措施的實施，使攻擊者無法完成對目標的攻擊，或者使系統能夠在無需人為被動響應的情況下預防安全事件。隨著技術的向前推進，主動防御時代已經來臨。

而在未來，技術將可能會演變到常人難以想象的程度——你難以分清“駭客”的真正身份，他將隨著自己的喜好或者心情來決定攻守，軟件廠商的任務不僅包含主動防御，甚至還要時時謹防善意的“駭客”叛變。攻守的角色將在二者之間傳遞，而攻守之間的界限也越來越模糊了。