我说的是网络安全，而且说的是企业安全！（不感兴趣的可以划走了。）

做好安全，能让你省多少事！

因为一旦出现安全事件，会给你带来很多麻烦。

即便不是你的责任，你也要为此煞费心力！（光报告可能就要写好几份，更不要说各种整改了！）

我总结了几点，做到了，你会轻省很多。

1、密码永远要弄成复杂的。

密码（口令）和认证方式从来都是最最重要的。

因为攻击者通常也就那么两下，如果系统没有漏洞，攻击者只能去搞密码。

毕竟这个最省力最见效嘛！

所有系统，自身应该带有强密码策略和定期更换要求，这样就不需要用管理手段，就不会有一再要求但仍有人违规的问题。

系统不应该提供相同的初始口令，初始口令应该是随机的，每人不一样的。

企业应该有发现弱口令的方法。

企业应该有发现暴力猜解口令的方法。

2、重要系统应该有二次、多次认证方式

光靠一层密码是不够的。

即便是强密码，攻击者仍然可能采用种种手段搞到手。

重要系统应配合短信、OTP等等方式，增加攻击者的难度，毕竟一层保护的力度太弱。

如果必要，还可以弄三次认证，比如把邮箱认证也加上。

像邮箱这种系统，是攻击者务必会使劲搞的，所以邮箱的web登录一定要上二次认证。

另外，邮箱通常都会支持客户端登录协议（SMTP、POP3、IMAP等），为了防止暴力猜解，客户端最好用专用密码（弄成强度很高的，每人不一样的，用户不能改的，和web登陆口令不一样的），可以极大降低某个用户邮箱被攻破的概率。

双因子、多因子认证是业界经过多少年反复实践反复检验过的方法，用就是了。

3、留心保护好你的API密钥

现在很多系统都提供API接口，而API接口的认证密钥，通常都是写在源代码里。

如果是写在源代码里，就很可能会在Github、GItee这类仓库中发现。

有人没事就在各种地方搜access key，access secret这种东西。

所以即便你用，也要给它改个名；即便放在github上，也只是放个测试的secret。

4、不要用危险的东西

不要用名声不好的、漏洞多的，攻击者早就虎视眈眈的东西。

尤其是不要使用域管理，有域就会有域控，就可能被拿下。

攻击者最喜欢域控攻击（如黄金票据、Pass the HASH攻击等），拿到域控就能拿到大量机器和信息。

如果你已经用了，趁早换掉吧。

再如struts2，出了多少漏洞了，别用了。

5、使用各种隐藏和混淆，让对方摸不着头脑

攻击者最喜欢的就是他们熟悉的信息。

所以Banner信息之类，能改尽量改了。

后台如果有/admin这种URL的，尽量改成攻击者想不到的。

管理员尽量不叫administrator、admin、root 之类的名字。

总之，让攻击者各种懵逼就对了。

如果条件允许，加上“动态安全”防御，每次HTTP响应都做动态的URL混淆和javascript注入。

攻击者将会非常懊恼。

6、永远保护好主机安全，机器拿下了，那就很危险了

攻击者如果控制了机器，就可以控制内存，就可以获取内存中密码（mimikatz），可以搜索内存中的连续字符串（strings），或导出内存镜像（jmap），然后慢慢分析（volatility）。

虚拟机是一样的，由于虚拟化技术的设计和实现都会有漏洞，攻击者在攻下的虚拟机上，可能逃逸并控制所在的物理宿主机，进而控制该宿主机上的所有虚拟机。

7、尽可能使用白名单增强安全性

比如防火墙尽可能使用白名单控制（不用说）；

比如只允许特定的进程访问特定的存储（防止木马读取写入）；

比如只允许从特定的操作位置登录特定的设备（只能是法定的运维人员可以登陆）；

比如只允许员工访问特定的白名单互联网网站（避免员工中招）；

比如只允许特定的电脑入网（网络准入，避免社工入网）。

虽然麻烦，但是安全。

8、安全监测系统上的越多越好

为什么大银行的网络安全明显比其他单位强？

主要是钱花得到位，人配得充分，工具上得齐全。

各种检测、监控、发现类工具要尽可能多，同一种工具都可以买上两、三家的，因为总会有漏报。

而且你第一次买的，总可能不是最好的。那就再买几个。直到保留下两个最好的。

比如内存型木马虽然没有文件落地， 但木马行为都会有的：反弹、列目录、命令执行（cmd、whoami、ipconfig）等。好的主机监测工具就能发现。

后记

以上这些措施，看起来都不难，实际上都挺难。（如果你做过，你就知道。）

安全管理者必须有定力，把这些措施一一实现。

（像漏洞修补、开发安全、渗透测试、网络隔离、意识教育这类我就不说了）

然后在重大攻防演练时，可以安心睡个好觉。

文 | 卫剑钒图 | 斯巴达300勇士