当中国功夫遇到信息安全，演绎同样精彩的攻防大战

我至今还清楚地记得自己的第一堂功夫课。那堂课让我真切地体会到什么叫“累到瘫痪”，同时也教会了我一个宝贵的经验，而这个经验后来被证实非常适用于信息安全领域：在课上我总是“本能地”阻断对方所有的“拳打脚踢”，后来我的师父告诉我，这种方式是应对攻击最糟糕的方式，我不应该只是在意对方的攻击落脚点。

起初我并不以为然，以为只是糟糕的功夫电影哲学，但是后来我逐渐了解这一概念的深刻真理。阻断攻击其实有几个“致命的”缺点：如果你阻断失败了，你就会狠狠地挨上一顿；而即便是你成功了，攻击也会通过另外的方式生效（比如挡是挡住了，身子还是青一块紫一块）。

更糟糕的是，如果攻击者的能力很强，贸然阻断可能会面临受伤的结果。最后这种可能已经在我的父亲试图阻止我母亲的回旋踢，结果却弄断自己的手臂时得到了证实。毕竟在这场战争中，胳膊真真的是拧不过大腿的啊！

其实，对于阻断攻击是要讲求方法的，如何在攻击到来前有效地阻止呢？下面有三种方法告诉大家：你可以躲避攻击、你可以远离攻击覆盖的范围或者你可以在第一时间避免争斗的发生。最后一种显然是最好的选择，因为它可以从根本上杜绝所有打斗。

而这些策略在网络安全领域也同样适用。

阻止攻击很像是传统的安全防御方式，我们试图检测攻击行为并阻止其发生。当然，在检测攻击行为或恶意软件的过程中失败是非常常见的，一旦我们没有检测出，阻断行为也就随之错过。就像在阻止攻击过程中发生手臂擦伤的现象一样，检测也可能会出现“假阳性（误报）”的损失。当合法的内容和活动被识别成恶意行为加以控制后，就会损害效率，因为它占用了我们的精力和时间来应对不必要的安全警报。

躲避攻击意味着我们阻止攻击损害我们的基础设施。如果未来你面临的漏洞利用不能够执行，它就不会造成损失或是建立一个立足点。

就目前而言，绝大多数的恶意软件和漏洞利用都是针对Windows和MacOS桌面操作系统以及运行其中的软件端点实施攻击。所以，通过运行一个不同的操作系统，一个不太常见的应用程序或软件，这些攻击就会失败。例如，武器化PDF文件一直以来都是非常常见的攻击向量，在几乎所有的攻击案件中，攻击者都是利用了Adobe Acrobat中的漏洞实施攻击行为。但是，如果文件用其他类型的PDF阅读器进行读取，攻击就会失效。

避免使用主要的浏览器就没那么容易了，因为几乎所有的浏览器都存在高危漏洞，但是改变操作系统可以提供类似的保护。即使你的浏览器已经遭到漏洞利用，为窗口设计的有效载荷却不会在你的iPad或Linux设备上运行。这不需要要求用户运行另外一个操作系统来作为他们的初始桌面（primary desktop）。

然而，逃避并不是一个完美的策略。攻击者可能会找到适应的方式，或者你可能无法成功地躲避风险。相比之下，远离攻击覆盖范围会更为有效。

在中国功夫中，攻击者会被四肢的长度以及攻击的速度所限制。这时候，只要你保持足够远的距离就不会被伤到。同样地，我们可以将有价值的数据和基础设施远离脆弱攻击面。如果将你想保护的东西放在攻击者触不可及的范围，那么这些东西就可以免受任何直接的风险。

通过虚拟化技术隔离端点或远程服务器可以提供这个安全距离。虚拟环境可以保护攻击者无法触及用户的真实桌面。因为这种虚拟技术可以与躲避方法自然结合，防护能力较之上述躲避方法更胜一筹。

我们可以在攻击者破坏又重建虚拟机的过程中保持后退，迫使攻击者回到一个安全范围内。即使在没有检测到攻击的情况下，我们也可以自动执行此类操作。我姑且把这种方式比做“战斗的忍者”，但是可能又有点扯得太远了。

想要从根本上避免在线攻击可谓跟避免在大街上跟人接触一样棘手。许多最具破坏性的攻击活动都具有高度针对性的特征。攻击者选择目标一般是基于价值和明显的漏洞两个方面考虑的。他们试图在避免“旁观者”的情况下触及并攻破已经确定的目标。他们这么做不是因为他们担心附带伤害，而是因为他们不想被发现。

如果他们能够逃避检测，他们就会在受损企业的系统中“潜伏”更久，他们的工具也无需添加进我们的检测系统中。这个目标就像一把双刃剑，如果预期的受害者无法被识别，攻击就不会发生。虽然很多有针对性的攻击者是直接通过发送电子邮件的方式，等待他们的猎物主动上钩。但是一个网站或wifi接入点通常只有在设备满足非常具体的标准时才会启动恶意软件程序。

如果你不符合他们正在寻找的信息（如IP地址、cookies、浏览器指纹、账户名称或个人信息等），什么也不是发生。而这正是我们想要的结果，虽然不能避免所有攻击行为，但是阻止随机网站和设备进行鉴定操作，就可以在敌人采取行动之前防止许多潜在的破坏性事件发生。

现在，无论是在酒吧还是公开场合，在地下暗网还是主流新闻网站，我的师父教给我的一课让我在未来的道路上都能保持安全： 尽可能地完全避免攻击发生是阻止攻击最根本有效的方法，防止有针对性的攻击首先你要看起来不像一个受害者，通过将自身的数据和基础设施远离攻击表面来保持安全距离，通过避免攻击面存在易被恶意软件和攻击者利用的漏洞来躲避攻击，如果所有策略都失败的话，那么恶意软件检测或者移除工具可能会是你最后的一道防线。