1.3 威脅形勢的演進

在互聯網面世之前，與遠程計算機系統進行通信是人們夢寐以求的目標，這通常是通過公共電話系統實現的：用戶和計算機系統通過撥號連接到遠程計算機，并將數據編碼為音頻信號進行傳輸。在那個時候，撥號接口是最常見的攻擊向量，因為與此相比，物理接觸計算機要困難得多。

組織將其主機連接到互聯網后，攻擊方式從通過電話網絡發起變成了從互聯網發起，攻擊態勢發生了翻天覆地的變化。通過撥號接口發起攻擊會占用電話線，而通過互聯網發起攻擊只需建立TCP連接，因此前者很容易被發現，而后者要隱蔽得多，攻擊者可長時間地嘗試發起漏洞利用和暴力破解攻擊而不會引起懷疑。另外，攻擊方式的轉變還催生了更有影響力的攻擊方式：利用惡意代碼監聽網絡流量。

20世紀90年代末，第一款特洛伊木馬程序問世并四處傳播。通常，特洛伊木馬欺騙用戶安裝惡意軟件，從而打開特定的端口并等待連接請求。攻擊者可連接到這個打開的端口，進而遠程控制目標計算機。

人們很快就認識到，需要對面向互聯網的主機加以保護，為此，最佳的方式是使用硬件防火墻（那時大多數操作系統沒有提供基于主機的防火墻）。硬件防火墻執行安全策略，確保只有位于白名單中的“安全”互聯網流量能夠通過。如果管理員無意間安裝了暴露開放端口的軟件（如特洛伊木馬），除非有顯式規則允許訪問該端口，否則防火墻將在物理上阻斷到該端口的連接。同樣，對于從內部主機到面向互聯網的服務器之間的流量，也可加以控制，確保內部用戶能夠與這種服務器通信，但反過來不行。這有助于防止攻擊者利用隔離區中已被攻陷的服務器進入內部網絡。

雖然隔離區出入站的流量受到嚴密控制，使得經由隔離區進入內部網絡困難重重，但鑒于隔離區服務器是面向互聯網的，它們無疑是主要的攻擊目標。攻擊者必須先攻陷由防火墻保護的服務器，再安裝用于隱蔽通信的應用，以便從內部網絡竊取數據。要訪問內部網絡，利用撥號接口發起攻擊依然是最容易得逞的。

這里發生了一個有趣的轉折。NAT最初被引入，是為了讓內部網絡中的客戶端能夠訪問互聯網。雖然內部客戶端或許能夠自由地訪問外部資源，但鑒于NAT采取的機制以及對現實安全的擔憂，網絡管理人員依然對入站流量進行了嚴格控制。在部署了NAT和沒有部署NAT的網絡之間，有一個重要的區別，那就是前者對出站網絡流量的控制策略比較寬松。

這導致網絡安全模型發生了翻天覆地的變化：位于可信的內部網絡中的主機能夠直接與不可信的互聯網主機通信，這讓不可信的互聯網主機能夠利用想與自己通信的客戶端，雪上加霜的是，能夠利用惡意代碼從內部網絡向互聯網主機發送消息，這種攻擊方式現在被稱為回連（Phoning Home）。

回連在大多數現代攻擊方式中扮演著重要角色，讓攻擊者能夠從受保護的網絡中竊取數據，但更重要的是，鑒于TCP連接是雙向的，回連也讓攻擊者能夠向受保護的網絡注入數據。典型的攻擊包含多個步驟，如圖1-6所示。首先，攻擊者需要攻陷內部網絡中的一臺計算機，為此可在用戶訪問特定網頁時利用瀏覽器存在的漏洞，也可向用戶發送電子郵件，其中的附件可利用用戶本地安裝的某個軟件存在的漏洞。漏洞利用程序的有效負載很小，能夠連接遠程互聯網主機并執行接收到的響應中的代碼即可。這種有效負載有時被稱為撥號器。

撥號器會下載并安裝真正的惡意軟件。惡意軟件的作用通常是建立到遠程互聯網主機的新連接，而該主機是由攻擊者控制的。攻擊者使用這個連接向惡意軟件發送指令、竊取敏感數據甚至建立交互式會話。攻擊者可將這個“零號病人”（內部網絡中被攻陷的主機）作為跳板，在網絡內部發起進一步的攻擊。

內部網絡中的主機的攻擊能力是強大的，因為這些主機幾乎都具備訪問當前安全區域內其他主機的權限（橫向移動），甚至能夠訪問比當前安全區域更安全的區域內的主機。因此，攻擊者會先攻陷內部網絡中安全等級較低的區域內的主機，再在網絡中移動，最終獲得進入安全等級較高的區域的權限。

從前面的介紹可知，這種攻擊方式從根本上瓦解了邊界安全模型。其關鍵漏洞雖微妙卻顯而易見：安全策略是基于網絡區域制定的，只在區域邊界執行，且判斷依據僅包含源信息和目標信息。

近年來，隨著互聯網的普及，出現了一些其他類型的攻擊。由于自帶設備（Bring Your Own Device，BYOD）的普及，現在很多公司允許員工使用自己的設備辦公，這提高了員工的工作效率，因為在家辦公的情況比以往任何時候都普遍。然而，這也增大了攻擊面，因為相比于給單臺設備打上最新的安全補丁，給大量設備打上這樣的補丁要難得多。在這些新興的攻擊類型中，有一種零點擊攻擊，它甚至不需要與用戶進行交互（下面對此做了更詳細的介紹）。在這種攻擊中，攻擊者尋找沒有安裝最新安全補丁的設備，以便利用安全漏洞來獲得對這些設備的未授權訪問權限。有關安全補丁的影響以及如何自動提高設備的可信度，將在第5章詳細介紹。