没有毫无纰漏的安全防卫方式，再严格的入城检查都无法完全保证不会有间谍混进庆典并做出一些危险行为。同样，在网络空间安全防护手段已经十分成熟的今天，攻击者仍然可以通过某些漏洞将我们的系统拿下。此时就需要多层检测手段，进行防御吧。

图：传统防护

攻击者发起的攻击一般都会触发我们的安全设备并产生告警，在IDS、探针、WAF等设备上总是可以发现一些痕迹。但是攻击者一旦发现了防护设备的漏洞，我们的系统便暴露在了攻击者面前。攻击者一旦绕过安全设备的检测，便可能会打入到系统内部。如果攻击者获取shell页面，再来个[find /  -name "*.log" -exec rm -rvf {} \;]，后续我们发现系统出现问题想要取证时，也只能发出：“哦，我的天，发生了什么！！！”。攻击者通过命令删除了攻击痕迹，我们无法找到留存shell文件或其他东西，也就无法溯源取证。

失去了溯源取证的关键证据怎么办？

莫慌！安全运营平台来帮你。

安全运营平台支持收集安全设备日志、web日志以及系统日志，支持每一层防护的单独分析和多层防护的关联分析，即使黑客攻入系统，删除了应用系统的所有log文件，平台依旧可以发现危险并溯源取证。

防御吧要点

如同哼将军指示下属将出入记录收集整理一样，企业需将安全设备以及WEB应用系统的日志全部传输到安全运营平台，保证安全防护的每一环节都有在平台的监视下。即使发生上述日志丢失事故，我们仍可以在安全运营平台找到对应记录。

实现思路

检测要点一：安全设备日志

因为需要保证系统上业务的正常运行，很多安全策略无法做到完全限制，也就造成一部分攻击检测的必然遗漏。安全设备上传的日志当中有访问日志以及告警日志，在告警日志中每一个告警都有处置动作，如Forward（请求转发）、Accept(接受)、deny（拦截请求/响应）、drop（关闭当前连接）等动作。此处我们只需对未拦截处置动作的告警数据进行针对性的分析。

图：配置日志分析策略

图：WAF告警日志

从上图可知：WAF设备上的规则明确检测到了SQL注入攻击，但未进行阻断处置。通过态势平台配置策略，可以做到发现并告警。

检测要点二：WEB日志

在企业安全架构部署完整的情况下，攻击者通常很难直接攻击应用系统。此时，若在平台接收的WEB服务器日志中发现部分攻击指令，一般在此时WAF或其他安全防护设备已经出现了遗漏，企业的WEB应用系统已经暴露在攻击者面前。这种情况下，对WEB日志的分析至关重要！

图：WEB日志分析策略

图：WEB日志

 从上图可知：通过平台策略发现WEB日志中存在SQL注入攻击并产生告警。

检测要点三：关联分析

  通过上述两点，我们已经对每一层防护都进行了检测。若此时我们将WEB日志、WAF日志或其他具有阻断能力的安全设备的告警进行关联分析，就可以明确知道哪些攻击是针对性攻击。

图：日志关联分析策略

三、联动处置

除了以上三点，其他任何一种攻击都有可能对我们产生致命性的结果，此时亟需尽早发现并将其扼杀在摇篮里。又安国的哼将军手中当然也有绝杀利器——SOAR（安全编排自动化与响应技术）。

安全运营平台同样拥有此神功，可以和防火墙等安全设备协调联动，实现自动处置，将攻击者射杀在危害最小的阶段。

图：配置SQL注入事件流转

四、总结

网络技术不断发展，攻击者的目标也越来越明确，早期炫技式的攻击已经淹没在时代的洪流当中，越来越多的攻击朝着盈利方向发展，而企业就成为了他们虎视眈眈的对象。当今攻击者和防护者都可以接触很多在野流传的攻击手段，虽然我们的防御手段在不断提升，可依然会出现一些我们无法完全防御的攻击，这里面包含了系统本身的原因和一些人的因素。因此，不断加强和完善防护手段、防护技术以及网络安全管理制度，真正将网络安全放在首位，才能更好的保护自己的系统，保障业务的正常运转，终得“一方水土”的宁静。