第3章 攻擊面管理

曾經與一個安全廠商的朋友聊天，他抱怨市場低估了他們的價值，他們很厲害的技術沒有得到應有的重視。筆者對這件事的理解是：對于許多企業來說，他們很可能走得太快了。

現在行業里好多公司紛紛推出各種黑科技，幾乎可以蹭到所有熱點。蹭熱點的方式本身無可厚非，但其中核心的問題是，很多企業可能都還用不到這些黑科技。換句話說，如果企業中一些基礎的安全問題都解決不了，再好的安全產品和服務都不能保障企業安全。沒有漏洞修復的機制，掃描器就沒有價值；沒有邊界安全基線的要求，防火墻也沒有存在的價值。當然解決基礎安全問題是非常困難的，對于網絡安全工作的困難性，一直流傳著這樣一段話，大意是：安全團隊的處境很尷尬。因為我們要防守的是個面，甚至是一個“體”。但黑客只需要一個點就可以完成最初的突破。例如，在一個攻城戰中，守城方需要將兵力分配到每個門，但進攻方只需要攻下一個城門就可以拿下城市。

但筆者認為技術體系的攻防與古代戰爭中的攻防是有本質區別的，主要有三個方面。

1）最大的區別就是技術體系的攻防是可以利用自動化工具輔助的，在自動化工具的加持下，并不存在多攻擊面分散兵力的問題，真正關鍵的是對資產的梳理。

2）對攻擊面的管理權限在防守一方，防守的城市有幾個門，分別都是什么，這個決定權在防守方手中，這也是本章討論的重點。

3）我們還可以充分利用信息不對稱的客觀事實，以及類似蜜罐之類的誘騙工具提高入侵者的難度（這方面的問題在第4章中會詳細闡述）。

有了這么多優勢，相信大家不會再沉浸在被動的悲傷中了吧。網絡攻防的防守方相比傳統攻城戰最大的優勢是可以自由縮減攻擊面，從而使安全防御和檢測能力更加集中，我們先了解什么是攻擊面。