上图是本人对所从事的网络安全工作的概要总结，也算是笔者入行几年的一个心得。做网络安全，本质上还是要减少乃至避免安全事件的发生，以保障系统业务正常运作，避免或者减少客户利益的损失。

（一）“事前安全”

“事”前安全，算是网络安全领域中给人最直观感受的方面，也是笔者大学课堂中学习知识的核心所在，通俗来说就是“排除安全隐患”。给操作系统升级打补丁以及安装防病毒软件都属于“事”前安全的范畴。另外，在业务系统中，“事”前安全当然也包含下述方面：

1. 漏洞发掘，通过测试或者代码审计等手段发现系统可能存在的安全问题，避免被攻击者所使用。
2. 授权与认证，主要用于明确“谁/可以做什么”的问题，确保相关发生在业务系统中的操作合法，并且有迹可寻。
3. 边界防护，如防火墙/WAF、IPS/IDS以及VPN等网络边界的安全防护设施，本质上就像在房子周边修了一圈围墙，外加上几个摄像头监控围墙周边情况。当然，这一切都是建立在边界防护设备“安全”的基础上。
4. 容灾建设。这里的容灾，除了数据以及服务外，个人还需强调关键系统设置独立的日志服务器，便于出现问题时及时排查原因。

当然，上述几点主要针对的是系统层面的安全防控，这也是传统安全领域的关注点。此外，由于业务系统中“人”是无法避免的，而“人”的问题很有可能就成为了“事”前安全中的薄弱环节，基于此而引发的社会工程学问题也是“事”前安全需要予以考虑的。针对社工问题，除了给予充分的安全知识培训，日常中也需要经常打打“抗体”，比如模拟攻击者对关注对象实施社会工程学测试(如模拟钓鱼)，以帮助关注对象提高社工攻击的防御意识。

此外，近来较为热门的威胁情报概念，虽然笔者多于“事”后安全中用到相关工具，“事”前安全里也需要予以同样重视。毕竟大部分的威胁情报来自于专业网络安全机构或者“事”后安全总结，对“事”前安全可是有着事半功倍的指导功效。

（二）“事”后安全

“事”后安全，通俗点说可以理解为应急响应，目的是在安全事件发生后尽可能将事件造成的损失降到最低，同时找出事件源头以及与事件相关的电子证据，修复事件造成的损害，这也是笔者目前接触最多的网络安全相关工作。由于“事”前安全暂不能面面俱到，攻击者尤其是APT攻击者往往只需一个点位就能有所突破，造成网络安全事件。目前，笔者主要接触过下述几类事件源：

1. 0day/nday漏洞。常见于使用了开源组件的业务系统中，亦有个例针对闭源系统，这类问题往往迅速导致安全事件的产生，效果一针见血。若攻击者属于APT级别，则往往会在事件发生后相当长的一段时间里难以被发现。此外，诸如Shadow Broker放出的“方程式”组织针对防火墙使用的相关0day，更是让上述“事”前安全中的边界防护直接变为摆设。
2. 鱼叉邮件/短信。目前，笔者所处理的安全事件中大部分来源于鱼叉邮件，有用于群发抓鸡型的(如勒索软件)，当然也有精准针对型的。鱼叉邮件/短信实际上是一种社工的利用，这也是在“事”前安全中我强调要关注社工攻击的原因。
3. 弱口令。此类问题多见于各种黑产的网络“抓鸡”中，多为网管人员安全意识淡薄所致，不幸中枪的系统大部分沦为了黑产手中的子弹。

对于已经发生的安全事件，首先要做的就是隔离现场，毕竟减轻损失才是首要任务。其次，要如同对待犯罪现场一般，决不能简单暴力的对问题设备断电或者重启了事，内存取证或者磁盘取证必不可少。若有独立的日志服务器，则此时可以同步进行日志审计，用于查找出安全事件的源头。

此外，对攻击者的溯源，往往也是事件响应的另一个重要部分，毕竟作为受害者，自己只是被批量“肉”了，还是有组织有预谋，理解这些点对日后安全决策亦很重要。溯源的基础，主要来自取证环节得到的数据，包括可能存在的网络数据(如C&C域名或者IP)和恶意软件程序。在对已有数据充分分析的基础上，充分利用互联网数据(如VirusTotal)或者私有威胁情报数据，调研攻击源头，对攻击背景进行研判。

（三）“事”前与“事”后关系

显然，“事”前“事”后安全体系是相辅相成的，这也是笔者在安全圈子“打杂”多时的心得体会。就说“事”前安全里边提到的漏洞发掘，可为“事”后安全中的事件来源分析提供技术储备，而笔者接触到的多起与鱼叉邮件/短信相关的安全事件处理中，认为“事”前安全需要加强社工方面的防御意识。“事”前与“事”后两者的关系，绝对不是孤立存在的。