2021年4月持续了3周的渗透测试行动终于结束了。在渗透测试行动行动中，红蓝双方全身解数，开展了攻击和反击的终极战争。作为蓝方管理人员，不仅感受到了过去防御技术在这次渗透测试行动中的出彩表现，还感受到了积极防御技术在渗透测试行动中发挥的巨大作用，在我看来最常见的是蜜罐，红方管理人员误进蜜罐，被蓝方管理人员抓住身份画像。

从被动防御到主防，长期以来，被动防御是对已知结构特征的危害，根据结构特征库的正确匹配发现可疑行为，逐一比较目标程序和结构特征库，监视和阻断异常行为，这些结构特征库是根据已经发生的，很好地说明被动防御为什么是事后行为。常见的工艺有防火墙、入侵检测等。但是，对于未知的攻击，如0day，结构特征库匹配的防御是无法有效应对的，为了应对这种攻击不正确等结构，出现了积极的防御技术，常见的技术有网络环境的拟态防御等。

引入自主防御战略。随着进攻技术的进一步提高，越来越多的方法能够绕过过去的被动防御技术对目标系统开展攻击，过去的被动防御技术也引入了主防战略。比如，各个厂商发表的AI防火墙、思科下一代防火墙、网御星云的AI防火墙、人工智能技术引进防火墙，积极发现恶意行为。除此之外，沙箱、蜜罐等新式主防技术相继出现，进一步弥补了攻防不对称的局面。这种技术主要解决知名的未知危害。比如，蜜罐通过构建伪装业务积极引诱攻击者，捕捉行为。渗透测试行动期间，将蜜罐伪装成某件衣服的VPN映射到外部网络诱惑攻击者的攻击，迷惑攻击者，通过抓住IP堵塞来提高攻击者的时间成本，也可以跟踪攻击者，但蜜罐技术无法应对0day。沙箱技术源自软件异常隔离技术。TRI的主要思想是隔离。沙盒选用虚拟化等技术结构隔离的运行环境，为其中运行的程序提供基本的计算资源抽象，对目标程序开展检查分析，正确发现程序中的恶意代码等，达到保护宿主机的目的。比如，默安的用kvm，长亭选用docker。

由于砂箱具有隔离性，恶意程序不会影响砂箱隔离外的系统，而且砂箱还具有检测分析的功能，分析程序是否是恶意程序。然而，仍有隐患。沙箱只监控常见的操作系统应用程序，使一些恶意代码能够轻松绕过，从而攻击宿主外的环境。根据虚拟机的沙盒为不可信资源提供了虚拟化的运行环境，在保证原有功能的同时提供了相应的安全防护，不会影响宿主机。根据虚拟机的沙盒选用虚拟化和恶意行为检测2种技术，恶意行为无损检测技术方法选用结构特征代码检测法和行为检测法开展检测，结构特征代码检测对检测0day束手无策，行为检测能够检测0day，但误报率高。