前言

"We're in the endgame now." 恭喜我終於來到了倒數第三天啦！！！

Marvel Movie —— The Avengers：終局之戰

為什麼我們要同時理解攻擊與防禦面？

在資訊安全的領域裡面，單純知道「如何防禦」其實是不夠的。因為站在攻擊者的角度，他們總是在尋找新的攻擊手法、漏洞來突破；而防禦方若不了解攻擊流程、作案手法、動機等等，就難以預測分析威脅、設計對策。這就是為什麼我們常說：理解攻擊，不代表你成為攻擊者 → 而是讓你更懂得「如何有效地做出防禦」。

這也是我系列文章一直想帶出的理念，也是 Ethical Hacking 的主要宗旨！

攻擊者視角（Red Team）

我們前面的文章已經講過攻擊的流程，讓我們來簡單 Recap 一下 Red Team（紅隊，模擬攻擊者）的各個攻擊階段：

• 資訊收集（Reconnaissance）：蒐集目標的公開資訊，像是 IP、服務、社交工程等等，來更好的找到目標的漏洞以及弱點 → 知己知彼方能百戰百勝！😏
• 掃描（Scanning）：使用工具（如 nmap、Shodan）確認哪些服務或 port 是開放的。
• 弱點利用（Exploitation）：利用已知漏洞（如 CVE）或弱密碼來滲透（Pentest）系統。
• 維持存取（Persistence）：放置後門、建立隱藏帳號，確保下次能繼續進來攻擊。
• 橫向移動與擴散（Lateral Movement）：一旦拿到一個節點，嘗試橫向滲透到其他伺服器或資料庫，像病毒一樣擴散攻擊。

👉 以上就是典型的攻擊鏈。如果沒有做出對應的防禦措施，每一步都可能對系統、伺服器造成巨大的資安風險！😱😱😱

防禦者視角（Blue Team）

講完攻擊者攻擊的流程後，我們就需要做出對應的防禦措施，那我們防禦方可以做什麼呢？

• 監控日誌（Log Analysis）：偵測異常登入、流量突增的 Log 以及對應 IP，及早發現異常行為，並有對應的通報、防禦機制。
• 防火牆規則（Firewall）：限制不必要的流量，只允許正常的 Port 通訊，進而阻擋可疑的流量進入！
• IDS/ IPS（入侵偵測與防禦系統）：自動比對惡意流量特徵，以此阻斷攻擊。
• 存取控制（Access Control）：確保「最小權限原則」，避免一個帳號成功入侵就整鍋完蛋。
• 去識別化與隱私防護（De-identification & Privacy）：萬一資料不幸被盜，也不必擔心敏感資訊被外洩風險 → 前幾天的文章內容，算是一個 Data Loss Prevention（DLP）的技術！

👉 這是一種 一一對應的攻防思維，防禦者理解攻擊步驟，才能設計出更有針對性的防護。

Red vs. Blue

簡單來說，沒有絕對的攻擊以及絕對的防禦，意即每種攻擊一定都有其破解的辦法；如果沒有，就只是沒有被找到而已！

以下為各式攻擊對應的防禦：

• 攻擊者掃描服務 → 防禦者透過防火牆和流量監控阻擋。
• 攻擊者利用漏洞 → 防禦者依靠漏洞管理與補丁（patch management）。
• 攻擊者嘗試橫向移動 → 防禦者透過權限控管與網段隔離阻止。

總結

理解攻擊 ≠ 成為駭客

真正的資安思維，是能夠站在雙方的角度思考：

• 從攻擊者視角，你能找到防禦盲點。
• 從防禦者視角，你能預判攻擊行為。

攻防其實就像貓咪咪捉老鼠的遊戲，沒有永遠的勝利方，但卻能透過不斷的演練以及學習，我們才能讓系統更安全、做出更有效地防護！