攻防兼备-是安全的基本要求 — 对《“未知攻 焉知防”是伪命题》的不同看法

    对于“真理”，百度给出的定义是：人们对于客观事物及其规律的正确反映。觉得抽象？没关系，还有一句地球人都知道的话是这么说的“实践是检验真理的唯一标准”！大家没异议吧，那接下来小编就带大家来探讨一下“未知攻 焉知防”的真理依据。

实践是检验真理的唯一标准

    今天看了篇《“未知攻 焉知防”是伪命题》的文章，此处应有链接『http://www.sec-un.org/do-not-know-know-prevention-of-attack-is-a-false-proposition.html』
    作者所言有其道理，正所谓“1000个人就有1000个哈姆雷特”，正是不同的思想才能碰撞出更多精彩的火花。在下虽学识浅薄，也还是斗胆提出自己的观点，避免一家之言，混淆视听。

    首先小编需要点出该文章太过理论化，缺乏思考实际可行性。作者结语首先点出“良好的防护应了解攻击，但更直接的应掌握系统本身的安全特征、安全理论，分析系统的脆弱性及其成因，这才是根本。”——小编想说：没错，但成本放哪了？即使达到了安全等级很高，在0day面前依旧无能为力。那么有多少家企业能做到这“根本”的程度？他们需要对“安全”消费多少资金？本来安全就是高消费品，普通企业消费不起，那么他们就不能享受到安全给他们带来的福利吗？
    不知攻焉知防这句话恰恰是普通企业对安全投入的一种兼容模式，平衡价值和安全投入的兼容模式。简单的说——通过将已知的攻击方式封堵，可以直接减少大量的攻击，让小黑觉得无从下手、无能为力；大黑阔觉得投入太多无利可图。这也是取易不取难之说也。
    作者拿盗墓贼与工匠做攻防的例子确实不错，但墓穴在投入使用之后除非被破坏，否则不会进行二次加固，最多维持表面的日常维护，因为怕打扰先人。再者，现今开发工程师有多少能兼顾安全，技术总监有多少能达到“根本”的程度？目前市场安全人才本来就短缺，金字塔顶层人才企业都想要、技术人员都想自己能达到，但前者需要成本高、后者需要时间积累，每爬一层都是一道道的坎。对开发人员或研发团队而言，功能、性能都已经符合需求标准时即是可以验收的时候。然而提出安全需求时（即系统脆弱性），何以得知薄弱之处？何以证明已无薄弱之处？若不拿出实例做证明怎么服众？答案呼之欲出：“不知攻焉知防”。
    攻击不是信息安全的全部，然而抛开攻击，只会将安全成本拉高，导致企业对安全望而却步，本末倒置。一辆飞机300-500万个零件，若有一个是劣质，短板效应就能体现出来。安全不能普及化何以谈安全？

    下面咱不来虚的，说什么大家可能听不明白的“病毒、漏洞”，简单的给大家提供一些各国的网络攻防实践案例，大家自行判断网络攻击对防护是不是真的很重要！

    相信大家心里已经对网络攻击对防御的重要性有了基础的认知。所谓“未知攻焉知防”，要做好防御，需要站在攻击者的角度进行逆向学习，实用、有效的防御方案很大程度上依赖于对攻击技术的深入了解。原因何在？

1.攻击技术 师夷长技以治夷
在攻击和防御的对抗中,攻击方通常掌握着主动性,而防御方必须具备能够和攻击方相抗衡的智能。因此，掌握攻击者的入侵方法和手段,发现信息系统的潜在脆弱性,分析攻击的规律及轨迹，以此作为防范依据就会大大提升防范的效果。
黑客攻击手段日益精进、多变是不可否认的现实，如今，我们不敢妄言有哪个安全产品是永远不会被攻破的。安全是一个博弈对抗的过程，网络安全的本质是攻防对抗。攻击者会不断寻找防护方的弱点，防护方也会不断探索对付新攻击的手段。在这种真实的对抗中，安全保障的水平和能力才会得到不断提升。
“未知攻焉知防”，想做坚盾就要研究清楚利矛的攻击套路。洞悉敌情，即在第一时间了解自身信息资产所面临的新漏洞（老漏洞新攻击方法）、新攻击工具和方法、威胁环境变化等，这是安全活动和决策的重要依据。不了解攻击技术，只是采取传统“老三样”（防火墙、入侵监测、病毒防范）的防御措施，显然防御就等同于“皇帝的新装”；不了解对手的攻击能力，构建的防护体系也只能是“马奇诺防线”。
历史证明，最好的防御一定是最懂的攻击的人设计的，因为安全是个木桶原理，攻只要找一个点，而防却要全面，只有站在攻的角度才能更全的知道该怎么防。

2.像黑客一样思考 抢占先机
除了要了解对手的能力、特点和动机，更要像对手那样思考。而要像黑客一样思考，就不仅仅是要考虑技术方面的攻击，还要考虑以下一些其他方面的事情：
1）黑客要对我们进行攻击的动机是什么？他们想得到什么？
2）黑客是否会有针对性对我们发起攻击，还是投机取巧分子在网上胡打乱撞，碰巧发现我们的应用程序有漏洞，才会对我们发起攻击？
3）黑客会如何对我们的应用程序发起攻击？
4）黑客会在什么时候对我们的应用程序发起攻击？
只有“知己知彼”，思想上抢先一步了解攻击者的能力、意图、手段，才能在行动中占得先机，提前构建有针对性的防护措施，避免无知引发的灾难。

3.从攻击中提升安全防范意识
我们民众网络安全意识淡薄已是不争的事实，企业内部员工由于意识淡薄、失误操作带来的安全事故也是频频发生。由此，不少企业不约而同的选择内部组织“网络钓鱼”的攻击形式，来锻炼员工的防范能力，培养员工的防范意识。让员工真是的体验一次网络攻击，知其攻，后知其防。
其实，越来越多的信息泄露事件最主要的原因是人们普遍存在的“侥幸心理”引发的，因为不觉得攻击会发生在自己身上，“未知攻”，所以不晓得去防范，不觉得需要进行防范。

4.网络攻防技术应用 大势所趋
1）安全游戏及安全模拟
在2016年网络安全发展趋势的预测中，几大全球领先的安全公司及研究机构都不约而同的提出“安全游戏机制和安全模拟将迎来发展机遇”的预言。
所谓“安全游戏”以及“安全模拟”，其存在原理就是通过模拟网络攻击，锻炼人们的防范意识和能力。安全游戏机制能够培养人们警惕应对钓鱼邮件，并帮助用户生成、记住和使用强大的密码。安全模拟，利用模拟和安全“战争游戏”加深对防御的理解。
2015 年 1 月，英国首相大卫·卡梅隆和美国总统巴拉克·奥巴马同意对彼此实施“战争游戏”网络攻击。许多公司或将在2016年以此为榜样，通过网络攻击的方式，找出未知威胁，提升网络防御能力。
2）国家网络靶场
包括美国、英国、澳大利亚、日本、韩国、俄罗斯、以色列、德国等在内的众多国家已经或正在开展国家网络靶场项目。其建设目标是为模拟真实的网络攻防作战提供虚拟环境，制造各种可能遭遇的网络攻击场景，针对敌方电子攻击和网络攻击等电子作战手段进行试验，以提升本国整体对抗防御能力。
3）网络攻防竞赛及网络攻防演练平台
网络攻防演练平台以及各类攻防大赛也应运而生，迅速发展，用于人员技能培训和意识培养。通过了解攻击手段、过程等，树立正确的安全防范意识，建立有效的安全防范措施。最大限度的规避安全风险，保障资产安全。

结语：
人们常说时间是最好的证明，历史发展的轨迹告诉我们“未知攻 焉知防”的网络攻防对抗模式已经成功的实践在全球网络安全各个领域，并呈现持续增长，不断升温的趋势。如果你还坚持说这是悖论，那我也不置可否……
“无论是黑猫还是白猫，能抓住老鼠的就是好猫”，“未知攻 焉知防”的提出者已无可考证，其想表达的根本含义也无从获知，但历史正用一个个事实像我们证明：网络攻防对抗是大势所趋，是网络安全研究、发展的必然选择。