隐藏攻击面，改善信息安全防范能力

安全防守方一般基于传统的纵深防御理念，在物理、网络、系统、应用、数据、流程、人员管理等不同维度使用技术和管理手段，对各种攻击行为进行威慑、预防、检测、响应和恢复。针对攻击过程第一阶段的扫描行为，安全防守方可以采取的措施包括梳理并减少对外暴露的攻击面，进行系统和应用的安全基线加固，补丁更新、banner隐藏、日志和网络流量审计等手段，一方面减少和降低攻击者可以发现的风险资产数据，同时对早期的攻击行为及时进行预警。

根据实战经验，攻击者在侦察阶段收获的目标资产数据量多少和风险高低，某种程度上决定了后续攻击行动的难易程度和最终的攻击成果。一些HW行动中，经常会看到红方人员早期的拔线操作，其最终目标就是尽可能减少蓝方可以获取到的攻击面风险资产数据。因此从某种方式来看，最初的攻击面扫描和安全防护，对攻防双方来说有点像争夺滩头阵地。对于攻击者来说，需要尽可能拿到更多的攻击面信息，以便下一步开展武器化攻击活动;对于防守方来说，需要尽可能通过各种方法减少暴露的攻击面信息，以在攻击初期就可以截断攻击者后续的各类攻击行为。

我们可以试着想象一下这种场景：攻击者在攻击第一阶段进行资产漏洞扫描时，如果防守方突然通过某种方式给信息资产穿上了一层隐身衣，会是怎样一种情形?攻击者会发现无论是fping、nmap、zmap又或者是openvas、nessus、wvs等各种扫描工具均无功而返，根本不能和想攻击的服务器或应用建立任何的网络层连接，之前预先准备好的各种攻击工具、POC和0Day漏洞等招数全部落空，一脸郁闷吧。尽管现实中的实际情况不会这么绝对，但如果防守方可以把关键信息资产(如对外开放的公网服务、内部办公应用系统等)进行统一隐身管理，必然可以大大降低公司整体信息资产风险，显著提升公司安全防范能力。

这种隐身方法，除物理断网外，现有的一些安全技术也可以达到类似的攻击面隐藏效果，如Port-knocking、SPA及SDP解决方案。

（编辑：ASP站长网）