HW行动中网络检测的十大误区

1、忽视加密流量

这一条一定要排在首位，全球互联网的Https占比在90%以上，具体到某个企业对外的服务，Https的占比一般也在七八成以上，很多人想把自己新买的0 Day防御技术用起来，却忽视了自己对外的业务几乎都是https，因为加密架构的问题可能会导致安全产品无法拿到明文流量，所谓的全流量检测形同空中楼阁。

2、不知道XFF

传统网络架构中的CDN、本地或云WAF都让代理的情况相当普遍，新兴的微服务/API环境更加剧了代理的应用，而我们在观察攻击IP的过程中，可能并没有完全去理解XFF，取哪个位置的XFF，甚至拿表面的入站IP去碰撞IP信誉情报，最后得到的一大堆无效信息，更谈不上溯源。

3、没正确看待漏洞修复和漏洞防御的关系

现有流行的漏洞无效化，虚拟补丁等技术让不少从业人员似乎以为，有了这些就可以不去处理难缠的漏洞修补了，某些厂商过于夸大的宣传也一定程度的影响了用户的判断，请问，我们上一台这样的设备可以覆盖所有的攻击入口和所有的漏洞吗，只要你利用的合适，本地漏洞未必比远程漏洞弱很多，一旦攻击进来了，那个坏蛋是不是就可以在内网横着走了。

4、只看威胁标签不看场景

现在流行封禁，好像看到就封就是万能的法宝，甚至还没看到，但我觉得他黑就封禁，但对于一个真正重要的业务系统来说，封禁是需要审慎的，简单粗暴地封掉一个藏在网关IP/基站IP背后的攻击者可能会误杀一大片，对于出站也一样，域前置的一个木马让你也不敢像以前那样封禁。

5、放在靠外的位置保护靠内的资产

至少从防病毒那个年代开始，遵循的一个法则是，尽量把你的安全措施放在靠近你要保护的资产附近，但现在貌似已经没人关注这个法则了，很多流量检测设备被放在安全防御栈的最外侧，好像越往外就可以看到越全的攻击，越远离自己就越安全，这将导致可能无法真正看到被攻击的我方资产IP，给定位处置带来的麻烦，也无法看清资产是否真正和外面建立了连接。我们当然要从外边去一些诸如攻击面发现的动作，但并不是所有的安全措施都适合靠外放，我是想更多看到攻击还是想更多看到我的资产收到的攻击，需要做个判断。

6、只看攻击不看脆弱性

一个很普遍的情况，很多企业已经做了不错的流量检测，也做了不错的漏洞管理，但把资产、脆弱性、威胁三要素关联起来的案例，很少。一个弱口令或者一个有缺陷的安全配置甚至都不需要对方做什么攻击动作，大多数厂家的检测产品上可能都不会有明显的告警，行动优先级更无从谈起。

7、来自内部的混淆视听

流量检测到内部大量的诸如FRP内网穿透、todesk远程工具等等事件， 但存在所谓的无法处理。攻击也是一种网络访问行为，系统无法区分善恶，当攻击者用同样的工具进来的时候，人已经难以区分哪些是攻击哪些是内部员工的善意行为了。

8、简陋的网络访问控制

经典的网络防火墙技术沦为了合规产品和VPN服务提供者，一条条允许的策略罗列上去，也许对服务器区域做了略有成效的控制，但为了方便员工的远程管理，SSH、RDP端口简陋地设置成了any 到 any，办公网的就更为方便了，出站都放行。

9、消失的网络边界

来自银企专线、企企专线的接入，很久不用的遗留资产，Git、NPM等开源社区的供应链投毒，让主机走向失陷的法子多了太多，网络威胁已经不仅是走我们心目中的那个网络的威胁了。更不用说在今天，各种走微信的木马投递已经成功绕过了传统的边界安全网关包括邮件安全措施。现在的网络可以是5G，可以蓝牙或者Airdrop。一致的安全策略并不意味着要用一模一样的安全策略配置，对于不同的位置、不同的资产、不同安全意识的员工，有必要使用不同的安全策略配置实现一致的目标强度，或许可以感受下Windows安全中心的默认设置，其在很多年前已经包含了不同网络位置的策略配置。

10、不堪重负的检测设备

我们非常希望使用全流量的检测设备接入尽可能多的流量，但实现理想总是需要成本的，过多的内部东西向流量、不可解析协议或极低风险协议的接入，使得检测设备不堪重负，丢包降低了本来可以做到的检出率，界面的卡顿又拖延了事件调查的时间，而攻防最为集中的南北交火点却无法得到保证，有必要分析一下接入的流量成分和覆盖情况。

最后，拒绝杠精——这样做就安全了吗🤣

声明：本文来自无限手套Infinity Gauntlet，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。