入侵防御是企业防护的第一道防线，尽可能的拦截更多的潜在威胁，为后端减轻压力。

　　入侵方式

　　入侵前需要经过侦察找到目标，然后经过各种攻击方法和技术进行渗透，从而达到控制目标系统，投放勒索软件的目的，这些方法和技术包括但不限于钓鱼邮件、网页挂马、暴力破解、漏洞渗透、社工等等。

　　侦察侦察为所有攻击的最开始部分，就是想尽一切办法和技术获取攻击目标的信息，包括信息资产、组织结构、技术架构等，目的是搜集到足够的信息用于下一步的入侵动作。常见的侦察技术包括利用互联网信息、调查研究、通过主动扫描等;这里举几个常见的方式，比如：

　　利用互联网信息：通过对目标组织的域名进行Whois信息查询，获取IP地址等信息资产;通过对网站的网页代码进行分析，包括采用的技术，甚至在HTML源码注释中发现更有价值的信息;通过社交媒体等获取目标公司信息;通过搜索引擎获取公开的信息，并把这些所有信息片段组合成有价值的信息，为下一步动作做准备。

　　通过主动扫描：知道了目标组织的主机等暴露面信息，有太多公开的方法和工具来进一步探测开启的服务以及可利用的漏洞信息，比如Nessus、Acunetix、Nmap等商业或者免费的工具。

　　除了上面常见的方法，还有很多可利用的技术，比如被动监测获取组织的网络及应用信息，通过社会工程学获取有价值的信息，防不胜防。

　　钓鱼邮件钓鱼邮件是攻击者最喜欢使用的一个社工方式了，钓鱼邮件指利用伪装的电邮，欺骗收件人将账号、口令等信息回复给指定的接收者;或引导收件人链接到特制的网页，这些网页通常会伪装成和真实网站一样，如银行或理财的网页，令登录者信以为真，输入信用卡或银行卡号码、账户名称及密码等而被盗取;或者诱导用户打开恶意附件或者点击邮件中的恶意链接下载恶意软件，进而控制用户的主机，如果这些恶意软件是勒索软件，直接就被勒索了，短平快。

　　挂马网页挂马网页同钓鱼邮件一样，在用户不知情的情况下，点击访问了一个被挂马的恶意网页，稍有不慎网页就可通过浏览器把病毒植入用户主机，达到控制用户主机的目的;挂马网页可以利用浏览器的漏洞来控制系统，也可以诱导用户直接下载恶意软件来使用户中招。

　　暴力破解暴力破解也是攻击者优先尝试的一个攻击手段之一，也是最经济有效的攻击手段之一，顾名思义，暴力破解就是不断用已经准备好的用户名/密码(业内叫字典)来尝试登录远端系统，包括远程桌面、Linux服务器的SSH管理口、数据库等，并且可以通过自动化工具(如Hydra)来进行暴力破解，甚至通过僵尸网络、代理服务器集群来进行分布式的暴力破解，防不胜防。

　　漏洞渗透漏洞渗透就是利用系统、软件等漏洞，构造特殊的流量，达到静悄悄渗透到目标系统，从而控制系统的目的。漏洞最常见的标识就是CVE编号，是由NIST维护，在中国各个漏洞的统一编号是CNNVD，由中国信息安全测评中心运营维护。下图为CVE漏洞数量趋势图，从图上可以看出，近年漏洞数量呈快速增长趋势。虽然不是每个CVE都可被利用或者造成严重后果，如控制主机等，但即使有10%可以被利用，这数量也是很大的，更何况还有一些系统、软件漏洞被没有被收录到CVE或者CNNVD，尤其是一些网站的逻辑漏洞，如SQL注入漏洞，详细可参考OWASPTOP10项目。

　　说到利用漏洞进行渗透利用，各个攻击者就各显神通了，准备攻击工具的阶段叫武器化，有各种自动化工具，比如流行的Metasploit可使用;还有强大的如EquationGroup组织的工具，掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其发现的EternalBlue漏洞被利用的成果。

　　其他除了上述提到入侵手段，还有其他各种意想不到方法和技术，比如通过U盘把木马病毒传递进去，通过泄露的账号密码进入，通过替换供应链进入等等。

　　防御方案

　　针对上述五花八门的入侵方式，首先企业自身要进行安全防护措施的加固，包括管理和技术：

　　限制公开的企业信息，包括网络架构、人员组织、技术等

　　关闭未使用的公开端口、服务

　　隐藏返回的服务器错误信息

　　及时对企业系统、软件打补丁

　　部署防火墙、入侵防护设备

　　其中，防火墙、入侵防护(IPS)等网关设备作为抵挡攻击的第一道防线，发挥着重要作用。