“知己知彼,百战不殆;不知彼而知己,一胜一负;不知彼,不知己,每战必殆。”
上文摘自《孙子兵法》,即使我们对其含义不做任何解释,相信大家也都非常了解。这段话不只适用于古代战争,也同样适用于现代战争,包括当今社会中的网络战、信息战等。
从攻击者的角度而言,了解被攻击对象是后续所有攻击行为的第一步。如图1-1所示,在整个攻击链中,侦察是第一步,当然,侦察的范围非常广泛,对于攻击者而言,凡是和被攻击目标相关的信息都是非常重要的,例如被攻击目标的互联网暴露面、相关资产、可以利用的漏洞,甚至还包括员工的爱好、经常访问的网站等辅助信息。
从一个有可能成为被攻击目标的企业的角度来看,更需要做到知己知彼。其实,现在很多企业之所以信息安全做得不够好,信息安全事故频发,其中一个原因就是在信息安全这个战场上,企业做不到知己知彼。对于企业而言,首先需要做的就是知己,即对企业自身有一个清醒的、全方面的认识;其次,再考虑知彼,即如何在日常的安全运维过程中,从蛛丝马迹中发掘线索,譬如攻击者是谁、攻击目标是什么、攻击手段是什么、处于哪个攻击阶段等。
图1-1 攻击链
企业最简单、快速的知己方式就是扫描。对于企业来讲,扫描就好比个人的年度体检,通过对不同层面或目标进行扫描,对企业的安全现状有一个整体的了解。通常来讲,扫描主要可分为4类:资产扫描、漏洞扫描、网站扫描和安全配置核查,有时还包括代码扫描等。
·资产扫描:也叫资产核查,主要以发现企业内部资产和互联网暴露面为主。现在,资产扫描在很多情况下都已经包括在漏洞扫描范围内,不过,因为这个环节非常重要,所以此处还是把它单独列出来。
·漏洞扫描:主要以发现不同资产的漏洞为主。
·网站扫描:主要以发现网站应用的漏洞为主。
·安全配置核查:主要以发现不同资产在配置中的安全隐患为主。
扫描只是一个手段,并不是最终的目的。企业做扫描的大目标是知己,并且在此前提下,制定相应的计划,尽可能降低安全风险。当然,为了达到知己这个大目标,还需要完成一些小目标,如图1-2所示。
图1-2 风险优先级
·资产重要度:为了达到这个小目标,企业需要回答一些问题。例如,企业中有哪些资产?企业的核心资产是什么?
·漏洞严重度:企业不仅需要对资产有全面的了解,还需要对每种资产的漏洞、脆弱性有全面的了解,其中包括每个漏洞的严重程度等。
·网络暴露度:除此之外,企业还需要了解资产在互联网的暴露程度,也就是通过互联网能够直接访问的程度。通常来讲,企业资产在互联网上暴露度越高,企业的安全风险也就越高;反之,企业资产如果处在一个与互联网隔离的网段,那么企业的安全风险也就相对低很多。
·风险优先级:基于对以上3方面因素的综合考虑,可以梳理出企业面临的各种安全风险,并排列出风险优先级。根据安全风险的具体内容及优先级别,采用不同的方式进行处理,例如接受风险、避免风险、控制风险、转移风险等。