大型闪电式红蓝对抗主流攻击行为的研判分析万字总结

要严格区分和正确处理“敌我矛盾“和"内部矛盾”这两类不同性质的矛盾。要灵活运用到整体的战术中去，将有限的“资源”发挥最大的“力量”。努力地限制“矛盾”、控制“矛盾”、引导“矛盾”

————Micropoor

注：该系列共计两篇，上一篇为《论大型闪电式红蓝对抗战术方法论》（攻）

1.网络攻防发展趋势   

1.1.****全球网络空间与数字化发展趋势

在全球网络空间与数据化发展趋势的影响下，全球复合战争形式严峻。无论是数字时代战争的第一枪（俄乌网络战），还是网络空间和物理空间混战下，关键基础设施成为网攻重点，揭示着网络空间安全与国家安全已密不可分。

然而，数字化发展浪潮中也存在的新的挑战：二十大报告中指出：要加快建设网络强风、数字中国；2023年2月，中共中央国务院印发《数字中国建设整体布局规划》；2023年3月，组建国家数据局。

图：数字中国蓝图

网络空间面临的威胁包括：

1、数据安全：各级数据打通后面临的数据泄露、数据共享安全

2、智能网联汽车：人车安全、数据安全

3、新基建安全：5G、移动物联网安全

1.2.国际网络空间发展态势  

国际网络空间发展态势主要体现在五个方面

1、俄乌冲突引爆网络对抗，网络形势严重恶化

2、太空网络建设步入正轨，军民融合大势所趋

3、勒索软件活动日趋猖獗，多国政府深受其害

4、数据泄露事件持续高发，科技行业沦为重灾区

5、漏洞武器化程度加深，供应链漏洞备受关注

1.3.攻防对抗趋于常态化  

常态化攻防对抗持续至今产生了深远影响，攻防化、驱动力、目标性推动着攻防两端的对抗不断升级，并与时俱进关联重点。

Ø攻防化：对真实系统开展攻击红蓝对抗，建立和培养对抗思维

Ø驱动力：安全效果由合规驱动转向能力（实战）驱动，攻防对抗能力成为检验安全防护水平标准；

Ø目标性：攻击手段丰富多样，不限定攻击路径，以突破边界、控制核心系统为目标    

1.4.攻防对抗技战术演进趋势  

图：大型闪电式红蓝对抗已成为网络安全的“高考”

持续至今，每年的大型闪电式红蓝对抗等同于网络安全行业的“高考”。

攻击方的攻击技术能力有了明显的发展，从隐蔽化、专业化，发展到自动化、常态化和体系化。防守一方也从一开始的“不知被攻破”到通过多种手段和能力可以发现、感知攻击行为，再到逐渐专业化的溯源方法与实践，通过主动防御技术发现和捕捉攻击者，至止如今，先进的防守方企业会把视解扩展至攻击方视角，参考攻击方的进攻思路和路线，制订更加积极有效的防御策略。

由此来看，近年来大型闪电式红蓝对抗非常有效并快速的推动了攻防两端能力的进化，这一点是毋庸置疑的。

1.5.攻击技战术发展趋势  

1、攻击战略层面

从攻击技战术的发展趋势来看：战略层面体现在从总部到分支、从目标到供应商人、从目标到第三方的攻击思路    

2、攻击战术层面

从攻击战术层面，体现在信息收集、边界突破、内网横向和夺取目标方面的技战术实践

图：攻击战术发展趋势

从攻击技战术发展趋势来看，在中间件及应用类、商业应用类、边界产品类、运行维护类和操作系统类均有不同程度的发展和演进。

图：攻击技战术发展趋势

          

2.攻击方与防守方技战术应用现状  

主要总结攻、守双方近年来的主流攻击和防护技战术的应用现状。

2.1.攻击方  

2.1.1. 攻击技战术  

攻击战略规划是战前指挥非常重要的工作。红蓝对抗是团队作战，团队作战考虑的是配合，因此，攻击队成员的分工角色就显得尤为重要。小的战役靠个人，大的战役一定是靠机制、流程以及团队合作。好的战法策略，对于一场大的“战役”来讲至关重要。

一般来说攻击可以从五个维度进行实施：

正面突破：最直接的方式。优势是一旦得手收益也是最为直接的，缺点是现在能正面打的防护都较好，不容易得手

侧面迂回：一般是指目标单位的子公司、分支机构等，好处是边缘资产的防护能力较弱，攻击难相对较低，缺点是边缘资产利用价值不大，即使突破了也要从内部再层层突破还能达到核心区域

入侵第三方是近一两年使用非常多的攻击思路：核心、重要的合作伙伴、核心系统的开发商、外包服务商都是潜在的被攻击对象，第三方的防护能力基本为0，容易突破，而且一旦内部有与目标单位可通联的通路就会产生巨大的二次利用价值。

社会工程学：目前最有效、快速的突破防护严密的手段    

物理攻击：近源攻击

2.1.2. 攻击思路与流程  

在对目标进行了解后，就需要有针对性的制定行之有效的攻击流程与路线，这里使用了一个攻击路线图来描述进攻思路和目标。

图：攻击路线图

在对目标进行了解后，就需要有针对性的制定行之有效的攻击流程与路线，这里使用了一个攻击路线图来描述进攻思路和目标。

步骤一：网络空间测绘（对应信息收集）

攻击者搜集关于目标组织的人员、组织信息，网络资产、技术框架及安全措施信息。后期这些信息将为攻击决策提供支撑。攻击者选择目标的原则是会看资产是否与主体公司有关联。

在对信息收集汇总后，确认出关键系统、边界设备、关键人员等信息后，需要选择一个攻击目标，攻击目标可以是社工钓鱼、WFI入侵、子公司/分支机构渗透、互联网边界渗透。目的是要撕开一个口子进入内网。    

步骤二：互联网入侵

利用收集到的信息，通过已掌握的漏洞利用工具、已知的漏洞或0day进行攻击，从而实现互联网入侵突破进入内网。

步骤三：持久化

通过特定的工具，利用初始入侵得到的突破口，建立好进入内网的通道，同时做好免杀等逃避检测机制，防止被发现，在内网中站稳脚跟。

步骤四：内网穿透

通过搭建多条通路的方式，将武器带入内网中，准备下一阶段的行动

步骤五：内网移动

通过对内网信息收集（如网络拓扑、账号密码等）、脆弱性收集（可利用的漏洞），定向攻击核心目标，在内 网中横向移动、渗透，获取到更多的服务器控制权。

内网中攻击者重点攻击目标包括集权类系统、办公系统OA、工单系统、代码库、WIKI知识库这类目标。通过不断渗透以接近最终的目标，完成任务。

2.1.3. 主流攻击姿势  

这里总结了一共五类主流攻击技术，分别是防御手段绕过、自动化工具利用、社会工程学攻击、零日漏洞攻击和入侵第三方这五种方式。    

图：五种主流攻击姿势

2.1.3.1. 主流攻击姿势之防御手段绕过（绕过WAF防御）  

绕过WAF防御，是很多白帽子的必经之路。其原理就是通过构造变形语法实现以对抗防护规则。我们将部分WAF绕过的方法进行了总结：

图：WAF绕过方法不完全总结

2.1.3.2. 主流攻击姿势之自动化工具的利用  

自动化工具是近一年来攻击者最流行的攻击技术。分别有以下三类方向会采用自动化技术：扫描器类、漏洞利用类、远程控制类。    

（一）扫描器类

图：自动化情报收集

攻击方已经掌握了很成熟的目标信息收集体系，并形成了自动化收集及爬取、关联汇总的工具，极大节省了攻击方战前准备工作。

（二）前端爬取类

利用自动化工具对网站的前端进行自动化检测，发现网页前端中泄露的源代码或服务器后台路径，给攻击方下一步利用提供了有利的技术基础。    

图：网站前端源代码泄露

图：网站服务器敏感信息泄露

（三）子域名暴力枚举与爬虫

利用自动化工具也可以实现对子域名的暴力枚举，或通过网页爬虫技术实现大量的信息收集工作，高效代替人工操作    

图：子域名枚举

（四）主流网络空间测绘引擎

目前国内外使用较为主流网络空间测绘引擎，也被不少攻击团队进行了集成拼接，以求最大化收集可利用的一切资源。    

图：N合1引擎

（五）证书类

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，所以SSL/TLS证书通常包含域名、子域名和电子邮件地址。SSL/TLS证书成为了攻击者的切入点。这里可以找到一些隐藏的子域名。

图：证书信息    

（六）供应链（供应商）分支相关

通过自动化工具批量对相关的开发商在互联网的应用进行指纹识别、API接口的识别，找到隐藏的供应链入口。

2.1.3.3. 主流攻击姿势之入侵第三方供应商  

当攻击方对目标系统无法直接突破时，会考虑转向第三方供应商。

主要思路有两个方面：

一是对于针对特定行业，提前了解常用的系统或特定软件进行了解和漏洞储备

二是对第三方系统，在互联网上寻找源代码进行审计，发现零日漏洞并进行攻击

那么入手点有以下几个方面：

Ø对于目标供应商的选择范围：攻击方会从IT（设备及软件）服务商、安全服务商、办公及生产服务商等供应链入手，寻找软件、设备及系统漏洞，发现人员及管理薄弱点并实施攻击。    

Ø对于目标供应商与目标单位主要关联的系统：常见的系统突破口包括：邮件系统、OA系统、安全设备、社交软件等；

Ø对第三方供应商的攻击突破方式：常见的突破方式包括软件漏洞，管理员弱口令等。

2.1.3.4. 主流攻击姿势之零日漏洞攻击  

前期的漏洞挖掘对于打开突破口显得非常重要，在攻防对抗中，可被利用的漏洞越来越少，攻击者只能想尽办法寻找可被利用的零日漏洞。

零日漏洞的挖掘工作一般会聚焦于互联网边界应用、网络设备、办公应用、运维系统、移动办公、集权管控等方面。攻击者最多尝试并突破的切入点及对应的漏洞。

表：攻击者尝试突破的切入点及对应的漏洞

零日漏洞的对抗之道

不要听到零日漏洞就觉得只能缴枪妥协了，其实有一些零日漏洞是可以预防的，另外，还可以通过收紧策略（加白），减少被攻击者访问的可能性，考虑分析溯源则需要部署全流量类产品。以下一些措施有条件也可以优先考虑：

Ø加强以上类型应用和设备的源代码审计是非常必要的，可以从源头解决安全隐患    

Ø有条件的话，可以在该类应用或设备周边设计一些引诱攻击者的蜜罐（要做得逼真，放一些假数据）

Ø考虑业务是否允许，设置白名单收紧访问权限

Ø部署全流量类的工具或产品进行分析溯源

2.1.3.5. 主流攻击姿势之社会工程学  

（一）钓鱼邮件

钓鱼邮件是最经常被使用的攻击手段之一。攻击专家常常会首先通过社工钓鱼或漏洞利用等手段盗取某些安全意识不足的员工邮箱账号；再通过盗取的邮箱，向该单位的其他员工或系统管理员发送钓鱼邮件，骗取账号密码或投放木马程序。由于钓鱼邮件来自内部邮箱，“可信度”极高，所以，即便是安全意识较强的IT人员或管理员，也很容易被诱骗点开邮件中的钓鱼链接或木马附件，进而导致关键终端被控，甚至整个网络沦陷。

（二）客户服务类社工方式

冒充客户进行虚假投诉，是一种常用的社工手法，攻击方会通过单人或多人配合的方式，通过在线客服平台、社交软件平台等，向客户人员进行虚假的问题反馈或投诉，设局诱使或迫使客服人员接受经过精心设计的带毒文件或带毒压缩包。一旦客户人员的心理防线被突破，打开了带毒文件或压缩包，客服人员的电脑就会成为攻击队打入内网的一个“立足点”。    

（三）非技术类目标社工方式

非技术类岗位的工作人员也很容易成为社工攻击的“外围目标”。例如，如给法务人员发律师函，给人力资源人员发简历，给销售人员发送采购需求等，都是比较常用的社工方法。而且往往“百试百灵”。

2.2.防守方  

2.2.1. 攻击技战术  

这是一组非常典型的防守技战术组合现状

攻击面收敛、人海战术、疯狂封堵和补丁式情报，这组常见的防守技战术虽然在一定时期对抗攻击行为效果明显，但仍是“拔苗助长”式的思路，注定只能有限度地产生价值。    

2.2.2. 网络安全的守护者面临的困境  

当前网络安全守护者面临的主要困境有两个，一个是总是被攻击方找到弱点；另一个是传统的安全问题其实还没有解决，新基建引入了新的数字资产，也带来了新的安全问题。

l数字化转型工作近年来取得了卓效的成果，通过Web应用、APP和小程序等多种形式为客户在处理各类证券业务时带来了极大的便利，但也引入了新的安全问题

l在数字化重塑业务服务模式的同时，线上业务的暴露面也在不断扩大，面临的安全风险防护形势也愈发严峻。

l潜伏在暗处的攻击者可能在任何时间从任何方向完成突破、入侵，防守者则需要时刻保持警惕。攻防双方极度不对等的态势对安全建设工作带来了极大的挑战

2.2.3. 攻击方与防守方技战术应用现状  

当前攻、守双方技战术应用现状。从信息收集及弱点识别、攻击武器利用情况、绕过防护突破边界和内网横向夺取目标四个阶段来分析，如下图所示：

（一）攻击方技战术应用现状

Ø对目标全方位的信息收集、弱点分析已实现自动化

Ø获取权限手段丰富多样，0day、1day、社工钓鱼五花八门

Ø绕过防护花招多，语法变形百试百灵

Ø层层突破直抵龙潭

（二）防守方技战术应用现状

Ø在资产底数还存在不清晰的情况下，缺乏有效的监测手段或覆盖面

Ø虽然购买了大量的安全设备，但还在海量告警中寻找异常，缺乏对邮件、即时通讯、DNS系统等对外服务系统的安全监测，使得钓鱼、挖矿等威胁在网络中肆意传播；

Ø产品能力固化严重，缺乏自主模型化手段，导致同一厂商产品，分析研判能力需要蜜罐、态势感知等设备辅助、

Ø单点异常好应对，复合式攻击应对不足；关注网络监测，忽视端点和主机层面的监测，一旦端点和主机层面出现问题而不自知    

3. 复盘攻防对抗中主流的攻击案例  

3.1.事件概况  

在大型红蓝对抗的第三天，接到所属单位XXXX电话，员工反馈：有自称XXXX的员工李某，在下午16时，通过微信添加了我单位二级公司员工张某，并在微信向张某发送了带有zip后缀的申请表文件。张某接收文件时在开会，使用笔记本打开了微信，无意识的点击了该文件，弹出了WPS软件后又自行关闭。张某会议结束后，尝试联系该自称xxxx员工李某，一直无法取得联系。后得知防守目标已拿下，入口就是这个“文件”。

攻击方式：钓鱼社工

攻击难易程度：低

危害影响：高

实际上，这是一个再常规不过的社工行为了，但仔细分析你会发现，被钓鱼的张某也并不是完全无辜的：

•企业办公网、运行维护网和核心生产网虽然是逻辑隔离，但被钓鱼的张某使用的笔记本上，装有可以接入运行维护网的VPN客户端    

•攻击者在控制张某的办公终端后，打开了VPN连接软件，用户名和密码已经自动保存，点击连接后就成功连接到目标的运行维护网中

•攻击者在运行维护网中找到堡垒机，并成功获得权限，在堡垒机中找到了位于核心生产网的靶标系统

3.2.问题分析  

那么我们来分析其中的具体问题，有以下五点：

1、安全意识薄弱、轻易点了不明文件

2、违反安全管理规定，将VPN账号口令直接保存在VPN软件中

3、VPN缺少双因素认证机制，没有对登录行为进行二次验证

4、企业办公网缺乏对终端被植入恶意软件（或疑似恶意软件）的检测和响应机制

5、运行维护网只在入口部署了IDS网络入侵检测设备。在攻击者进入运行维护网，并横向寻找堡垒机、实施漏洞利用时，IDS设备产生了大量的告警，监控人员需要时间进行分析，错过了发现处置的最佳时机    

3.3.攻击者行为分析  

一、样本分析

攻击者首先是对其最近感兴趣的一个事件发送了一个钓鱼文件。攻击载荷（payload）是一个.zip文件，其中包含了一个诱饵WPS文件和一个恶意可执行文件，该恶意文件使用系统上已经安装的WPS办公软件来进行伪装。

图：样本文件

二、运行样本

运行样本文件时，可执行文件将下载第二阶段使用的远程访问工具（RAT）有效负荷，让远程操作员可以访问受害计算机，并可让远程操作员在网络中获得一个初始访问点。然后，攻击者会生成用于“命令控制”的新域名，并通过更改自己的网络用户名，将域发送到受感染网络上的远程访问工具（RAT）。用于“命令控制”的域和IP地址是临时的，并且攻击者会对此进行更改。攻击者通过安装Windows服务——其名称很容易被计算机所有者认为是合法的系统服务名称，从而看似合法地保留在受害计算机上。在部署该恶意软件之前，攻击者可能已经在各种防病毒（AV）产品上进行了测试，以确保它与任何现有或已知的恶意软件签名都不匹配。    

3、为了与受害主机进行交互，攻击者使用RAT启动Windows命令提示符，例如cmd.exe。然后，攻击者使用受感染计算机上已有的工具来了解有关受害者系统和周围网络的更多信息，以便提高其在其它系统上的访问级别，并朝着实现其目标进一步迈进。

也就是说，攻击者使用内置的Windows工具或合法的第三方管理工具来发现内部主机和网络资源，并发现诸如帐户、权限组、进程、服务、网络配置和周围的网络资源之类的信息。然后，远程操作员可以使用Invoke-Mimikatz来批量捕获缓存的身份验证凭据。在收集到足够的信息之后，攻击者可能会进行横向移动，从一台计算机移动到另一台计算机，这通常可以使用映射的Windows管理员共享和远程Windows（服务器消息块[SMB]）文件副本以及远程计划任务来实现。

4、随着访问权限的增加，攻击者会在网络中找到感兴趣的文档。然后，攻击者会将这些文档存储在一个中央位置，使用RAR等程序通过远程命令行shell对文件进行压缩和加密，最后，通过HTTP会话，将文件从受害者主机中渗出，然后在其方便使用的远程计算机上分析和使用这些信息。    

图：样本分析

3.4.分析研判难点  

从上述事件我们得知分析研判的难点，其实是传统检测方案；发无法解决上述攻击场景，主要体现在四个方面，如下图：

1、免杀技术：大多数防病毒应用可能无法可靠地检测到攻击武器，因为攻击者在使用这些工具前，已经对其进行了充分的测试，甚至可能包含一些混淆技术，以便绕开其他类型的恶意软件检测    

2、逃避检测：攻击者还能在他们所攻击的系统上使用合法功能、逃避检测，而且许多检测某些人无法收到足够且充分的数据，从而识别恶意软件使用合法系统的和行为

3、情报失效：当前其的网络安全方面，威胁情报信息共享，可能对于检测攻击基础设施也无济于事，因为攻击者可能变化太快，IP已经抛弃使用并二次分配

4、对于加密流量，目前显然不能做到对期进行逆向分析，非典型的网络流量只能从其攻击流量方面进行参考

          

4.主流攻击行为自动化分析研判思路  

4.1.建立防御体系方法论：网络安全防御理论模型与框架：PPDR  

P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型，也是动态安全模型的雏形，P2DR模型包括四个主要部分：

l策略（P）信息系统的安全策略，包括访问控制策略、加密通信策略、身份认证策略、备份恢复策略等。策略体系的建立包括安全策略的制定、评估与执行等；

l防护（P）通过部署和采用安全技术来提高网络的防护能力，如访问控制、防火墙、入侵检测、加密技术、身份认证等技术；

l检测（D）利用信息安全检测工具，监视、分析、审计网络活动，了解判断网络系统的安全状态。使安全防护从被动防护演进到主动防御，整个模型动态性的体现。主要方法包括：实时监控、检测、报警等；

l响应（R）检测到安全漏洞和安全事件时，通过及时的响应措施将网络系统的安全性调整到风险最低的状态，包括恢复系统功能和数据，启动备份系统等。其主要方法包括：关闭服务、跟踪、反击、消除影响等。

4.2.基于攻击框架（Att&CK）的安全检测框架  

ATT&CK是一个网络对抗行为的知识库，用标准化语言描述攻击行为。

主要分为三类：

ØATT&CK for Enterprise：针对企业IT网络和云    

ØATT&CK for Mobile：针对移动设备

ØATT&CK for ICS：针对工控

ATT&CK矩阵一直动态更新中。

ATT&CK 将真实环境中使用到的对抗技术，组织成了一套策略。他关注的不是单点的威胁指标（IOC），而是威胁指标处于攻击过程中的上下文。

ATT&CK 将这种上下文信息用更加标准的方式总结成了初始访问、驻留、横向移动、命令控制等战术，并且将具体的攻击行为整理成一个字典，常见的战术动作都可以在ATT&CK Enterprise 中找到相应的位置。

图：ATT&CK for Enterprise

4.3.基于大数据平台的威胁建模防御思路  

威胁模型是通过不同的数学逻辑将多种设备、多种维度的日志关联或过滤或者组合，做到快速检测、挖掘安全事件。    

区别于网络安全防御理论模型与框架PPDR模型，威胁模型的防御思路是基于面对外部威胁时如何通过不同的威胁模型来发现并处理掉安全事件，核心是将多种设备、多种维度的日志关联或过滤或者组合，以达到快速检测、挖掘安全事件的目标。

下图是一个比较典型的威胁建模的思路，通过将不同区域的终端、防护设备数据收集至统一的数据分析平台，支撑威胁模型进行分析整理、呈现安全事件，最终产生告警，并能够自动化执行处置预案。当然在这个过程中需要不断有安全专家进行运营才能使模型越来越准确。

图：基于大数据平台的威胁模型建模思路

4.4.常见建模思路与方法  

建模的核心思路是找到各种不同类型的特征，比如：

事件的逻辑特征：当一起攻击事件发生时攻击人员的攻击逻辑，例如比较常见的是：攻击者拿下一台主机之后，接下来通常会执行一些密码抓取、留后门的操作，利用这些攻击逻辑，可以建立起防守模型；    

规则特征：某些漏洞利用过程中在日志和流量会产生不同的特征，这些特征通常在探针已经都包含了，模型在使用过程中可能得定期监控探针特征准确性，及时剔除不准确的规则特征，否则误报事件将越来越多；

事件关联特征：不同源的事件整合到一起之后，可以通过关联分析找到一些攻击者的蛛丝马迹等。

建模的几个关键要素包括：关联分析、基线、统计、威胁等级判断、各类攻击手法结合。

4.5.威胁模式作用和价值  

威胁建模的主要作用和价值主要体现在四个场景：

l监控场景：监控重点事件

l分析场景：提供街区事件的准确率和提升事件分析研判效率

l响应场景：通过建立模型实现自动化响应，带入事先设定好的剧本进行预处置，减少人工投入

l处置场景：跨设备联动分析，提升告警事件的处置效率    

4.6.基于ATT&CK建立安全模型提升安全运营能力的五个步骤  

基于ATT&CK框架，使用大数据平台建立安全模型，提升安全运营能力有五个步骤

1、确定目标

2、数据采集

3、攻击分析

4、场景设计

5、评估效果

图：基于Att&CK建立安全模型提升安全运营能力的五个步骤

4.6.1.步骤一：确定目标  

第一步是确定要检测的对抗行为的目标和优先级。在决定优先检测哪些对抗行为时，需要考虑以下几个因素：

1、哪种行为最常见？

优先检测攻击者最常使用的TTP，并解决最常见的、最常遇到的威胁技术，这会对组织机构的安全态势产生最广泛的影响。拥有强大的威胁情报能力后，组织机构就可以了解需要关注哪些ATT&CK战术和技术。

2、哪种行为产生的负面影响最大？

组织机构必须考虑哪些TTP会对组织机构产生最大的潜在不利影响。这些影响可能包括物理破坏、信息丢失、系统受损或其它负面后果。

3、容易获得哪些行为的相关数据？

与那些需要开发和部署新传感器或数据源的行为相比，对于已拥有必要数据的行为进行分析要容易得多。

4、哪种行为最有可能表示是恶意行为？

只是由攻击者产生的行为而不是合法用户产生的行为，对于防御者来说用处最大，因为这些数据产生误报的可能性较小。    

4.6.2.步骤二：数据采集  

1、确定数据源

(1)探针记录的数据

(2)操作系统记录的日志

(3)调整探针规则与策略以获取更多的数据

(4)安装新工具采集需要的数据

(5)数据的存储架构

2、跨边界的数据采集需求

(1)除互联网边界外，内网不同区域的边界

(2)这些数据攻击者在内网的活动进行监测和分析的基础

由于企业通常在网络入口和出口点部署传感器，因此，许多企业都依赖边界处收集的数据。但是，这就限制了企业只能看到进出网络的网络流量，而不利于防御者看到网络中及系统之间发生了什么情况。如果攻击者能够成功访问受监视边界范围内的系统并建立规避网络保护的命令和控制，则防御者可能会忽略攻击者在其网络内的活动。正如上文的攻击示例所述，攻击者使用合法的Web服务和通常允许穿越网络边界的加密通信，这让防御者很难识别其网络内的恶意活动。    

3、端数据的重要性

这里的“端”特指终端。终端数据对后渗透的行为分析和研判极为重要。

由于使用基于边界的方法无法检测到很多攻击行为，因此，很有必要通过终端（主机端）数据来识别渗透后的操作。

目前，国内外一些新一代主机安全厂商，都是采用在主机端部署Agent方式，比如青藤云安全，通过Agent提供主机端高价值数据，包括操作审计日志、进程启动日志、网络连接日志、DNS解析日志等。

4、重要攻击行为的数据采集

(1)攻击行为上下文的纵深数据

(2)攻击前、后的进程、网络连接与签名变化对比

攻击者可以使用技术将未知的RAT加载到合法的进程（例如explorer.exe）中，然后使用cmd.exe命令行界面通过远程Shell与系统进行交互。攻击者可能会在很短的时间内采取一系列行动，并且几乎不会在任何部件中留下痕迹让网络防御者发现。如果在加载RAT时执行了扫描，则收集信息（例如正在运行的进程、进程树、已加载的DLL、Autoruns的位置、打开的网络连接以及文件中的已知恶意软件签名）的快照可能只会看到在explorer.exe中运行的DLL。但是，快照会错过将RAT实际注入到explorer.exe、cmd.exe启动、生成的进程树以及攻击者通过shell命令执行的其它行为，因为数据不是持续收集的。    

4.6.3.步骤三：过程分析  

有了必要的传感器和数据后，就可以进行分析了。进行分析需要一个硬件和软件平台，在平台上进行设计和运行分析方案，并能够设计分析方案。

分析方法有四种：

（一）行为分析

检测某种特定对抗行为，例如创建新的Windows服务。该行为本身可能是恶意的，也可能不是恶意的。

（二）情景感知

全面了解在给定时间，网络环境中正在发生什么事情。并非所有分析都需要针对恶意行为生成警报。相反，分析也可以通过提供有关环境状态的一般信息，证明对组织机构有价值。诸如登录时间之类的信息并不表示恶意活动，但是当与其它指标一起使用时，这种类型的数据也可以提供有关攻击行为的必要信息     

（三）异常值分析

分析检测到非恶意行为，这类行为表现异常，令人怀疑，包括检测之前从未运行过的可执行文件，或者标识网络上通常没有运行过的进程。和情景感知分析一样，分析出异常值，不一定表示发生了攻击。

（四）取证研判

这类分析在进行事件调查时最为有用。通常，取证分析需要某种输入才能发挥其作用。例如，如果分析人员发现主机上使用了凭据转储工具，进行此类分析会告诉你，哪些用户的凭据受到了损坏。    

4.6.4.步骤四：场景设计  

场景设计包括三个环节：

（一）场景目标；即该场景主要解决什么样的问题，如哪些攻击行为的检测；

（二）流程设计：实现场景目标所需要的必要节点、流程和数据

（三）具体实现：实现场景需要实施的具体操作，这通常需要一些工具实现，如SOAR。

4.6.5.步骤五：评估效果  

在制定并实施好场景设计后，就可以对模型效果进行测试了。这时候可以通过一次红蓝对抗来鉴定模型是否有效，建议关注的效果包括：

（一）受到影响的主机

在大型红蓝对抗时，这通常表示为主机列表以及每个主机视为可疑主机的原因。在尝试补救措施时，这些信息至关重要。

（二）帐户遭到入侵的情况    

防守一方能够识别网络上已被入侵的帐户，这一点非常重要。如果不这样做，则红队或现实生活中的攻击者就可以从其它媒介重新获得对网络的访问权限，以前所有的补救措施也就化为泡影了。

（三）目标是否达成

防守方还需要努力确定攻击方的目标以及他们是否实现了目标。这通常是最难发现的一个内容，因为这需要大量的数据来确定。

（四）使用的攻击技战术

在大型红蓝对抗结束时，要特别注意攻击者使用的的TTP，这是确定未来工作的一种方式。因为攻击方可能已经利用了网络中需要解决的错误配置，或者可能发现了防守一方当前无法识别而无法进一步感知的技术。防守方确定的TTP应该与攻击队所声称的TTP进行比较，识别任何防御差距。

5.成功实践与经验总结  

5.1.国君网络安全“运营观”  

5.2.数字化建设驱动智能化安全运营  

采用 SOAR（安全编排自动化与响应）技术构建安全威胁智能响应平台，提升安全运营能力。

1、将已有的安全能力进行深度整合，比如：防火墙系统、扫描器系统、网络准入系统、态势感知系统、网络交换机、防病毒系统、资产表、IP 地 址库、第三方情报系统等，实现不同品牌不同品类的系统间互操作和数 据共享；

2、日常事务性工作自动化，梳理重复、耗时工作内容，用安全剧本替换人 工操作，实现自动化，比如，交换机和安全设备巡检、典型故常排查，IP 地址和资产定位等；

3、安全事件快速分析、响应和处置，态势感知系统将安全告警事件发送到 安全威胁智能响应平台，完成事件识别、事件分类、事件分析和处置， 比如，秒级恶意攻击 IP 地址自动封禁、安全事件调查取证等；

4、将专家的知识和经验快速转化为线上能力

5.3.安全能力模型仓  

安全能力模型仓包括三大类安全能力模型集，重要性从一至三逐步升高

一级：涉及范围有限、模型较简单，无需或少量关联多个安全原子能力

二级：涉及范围多个跨部门、模型复杂度中等，需要关联多个安全原子能力

三级：涉及全公司、模型复杂度高，需要关联跨区域、所有安全原子能力

5.4.安全模型自动化分析研判成功实践案例分享  

5.4.1.实践案例1:攻击行为自动化分析与封禁  

模型目标：攻击IP自动封禁

模型特点：在现网环境中，外部请求中部分请求包含带有恶意的攻击行为，并被列为高风险情报为了应对该恶意请求，定制了攻击检测模型用于边界流量数据整体清洗，提取恶意的攻击IP地址，将攻击IP地址及时封堵在外部安全设备的防护策略中

模型流程设计

第一步：在安全运营平台中，配置攻击特征的检测告警规则。并配置告警转发；    

第二步：在SOAR中获取恶意攻击IP后，对比情报后，判断情报类型是否为白名单情报；

第三步：如果情报类型为企业专线、数据中心等IP地址，进行邮件通知，由分析师分析告警是否为真实告警

第四步：如果情报类型为恶意类型后，在判断是情报等级是否为低危、中高风险；

第五步：如果是低危时，跳过；

第六步：如果是中高危时，进行安全设备阻断。

5.4.2.实践案例2:账户高风险操作通知与锁定  

模型目标：账户高风险操作的识别、锁定

模型特点：

•在现网环境中，存在账户暴力破解、账户异常登录、账户共用行为

•异常登录判定方式通过时间、地区纬度判定

•检测到行为后，即时进行封禁账户，并提取所登录异常的账户所关联OA邮件进行通知    

流程设计

第一步：在安全运营平台中，通过堡垒机、VPN数据，创建账户暴力破解、账户异常登录、账户共用行为告警规则，并配置关联SOAR剧本；

第二步：告警信息传入剧本后，按照通知和处置进行分流，保证同步进行；

第三步：关联同步的OA信息，查看能否成功获取到改邮件账户；

第四步：如果未定义邮件账户，通知态势管理员，进行完善；如果获取邮件账户成功后，通知管理员与事件负责人后，并确认是否为本人登录；

第五步：关联堡垒机、VPN账户，通过API接口对事件账户进行禁用处置。等待确定后，进行启用。

5.4.3.实践案例3:恶意Web请求分析与响应  

目标：实现对恶意WEB请求的精准分析、研判与响应

模型特点：

该模型将漏扫、蜜罐、封禁设备(WAF、防火墙)等多个系统关联

•通过Web请求的文本或是包含Web请求完整HTTP头的事件，完成对Web请求的分析，如果发现异常内容，将执行一连串的响应动作    

•此外，会将确定存在发起过恶意请对的IP地址做请求重定向，该IP地址后续的请求重定向到蜜罐，一方面进一步分析攻击者的意图，另一方面是为阻止其对何真实业务发起攻击请求：

模型流程设计：

第一步：在安全运营平台中获取告警清单，获取恶意IP、XFF IP、请求头、请求体等信息；

第二步：检查请求源地址源IP或XFF-IP是否已在封禁。已封禁时进行跳过，未封禁时进行检查；

第三步：当首次封禁时，将请求的流量重定向到蜜罐，如果检测未恶意请求，进行封禁IP，并通知运营同事。未检测到恶意请求时，再次匹配情报；

第四步：当蜜罐未检测到恶意请求时，需要匹配情报验证待封禁IP是否为高风险情报。中高风险情报时，进行封禁IP，并通知运营同事。

5.4.4.实践案例4:恶意软件类事件预处置  

模型目标    

实现主机/终端被植入恶意软件时的预处置

模型特点

l该模型集成联动了HIDS服务器、防病毒服务器和资产管理系统

l通过HIDS服务器/防病毒服务器主动将客户端更新、发起扫描等任务推送给客户端

l通过内部的资产管理系统(剧本中为CMDB)查找对应的资产负责人，并将结果通过邮件反馈给资产负责人/所有者/资产组管理员

5.4.5.实践案例5:钓鱼邮件处置      

设计过程：

按照应急预案，编排调度eml邮件解析工具、邮件客户端、邮件网关、微步威胁情报、DNS工具、防火墙、钉钉等能力。把钓鱼邮件作为参数传给剧本就可以开展自动化应急响应。

效果评估

响应的过程和人工干活的方式一致，机器速度更快，而且不依赖人员的经验、情绪和在岗状态，高水平完成应急响应    

5.4.6.实践案例6:攻击告警自动化分析降噪实践  

( 一 ) 基于威胁信息判定的告警分析

判断威胁可以结合威胁情报数据，  在恶意软件感染场景中多用：  提取恶意软 件告警的失陷标识 ( IOC)，  与第三方威胁情报进行对比。

以“Minerd 挖矿木马活动事件”为例，  只需提取告警中的 IOC 数据，  与可靠 度高的第三方威胁情报数据进行比对验证，若查询结果为恶意， 则进入封禁查杀 等处置流程；  反之，直接更改告警的处置状态；  若情报无法识别，  则需转人工任务进行分析研判 。    

      ( 二 ) 基于资产属性识别的告警分析

当告警关联的威胁行为存在明确的资产属性指向时， 从 EDR 系统中查询目标 资产是否具有相关属性，  如不具有，  可直接更改告警处置状态为“不处置”。

以“RDP 账号暴力猜解”为例，  攻击者从互联网发起 RDP 暴力破解扫描 。RDP 服务一般运行在 Windows 操作系统上，  只需查询 EDR 设备，  判断目标资产是否为 Windows 操作系统、是否运行 RDP 服务以及 RDP 服务端 口与告警中的目的端 口是 否匹配，  从而过滤掉不符合资产属性特征的告警 。    

( 三 ) 基于脆弱性识别的告警分析

当告警关联的威胁行为涉及的资产属性指向不明确时，  可联动 EDR 设备或漏 洞扫描设备，  查询目标资产是否具有告警关联的脆弱性，  若不具有，  则告警无需 处置。

以“Apache Struts2 远程代码执行漏洞 (CVE-2021-31805) ”为例，  提取告 警 CVE 编号，  查询 EDR 设备或漏洞扫描设备，  确认目标资产是否存在此漏洞，  若 不存在则直接更改处置状态为“不处置”，  否则进入人工分析处置流程 。    

      ( 四 ) 基于控制措施的分析

当资产存在威胁相关的脆弱性时， 若已对该脆弱性采取有效控制措施，  则告 警无需处置 。控制措施的识别途径多样化，  如读取配置文件、获取网络策略等。

以“Redis 未授权访问”攻击为例，  通过 EDR 查询 Redis 配置文件，  确认目 标主机中的Redis 是否配置了访问控制策略，  若已配置则无需处置 。    

5.4.7.实践案例7:蜜罐狩猎模型      

设计过程：

蜜罐通过 syslog将日志发给 Soar，经 过与威胁情报的比对后，调用防火墙封禁

评估效果

蜜罐威胁狩猎攻击自动防护，整体防御 能力大大提升，动态威 胁对抗效果非常好，后来将蜜罐高危告警也接入了SOAR    

5.5.纵深防御体系落地实践思考分享 

在了解了“数字化”及“数字化转型”的历史后，那么企业网络安全的建设与推进路径也就明朗了，即是15字方针，“看得清、守得住、当沉淀、促发展、赢未来”

•看得清：看得清数字化资产的分布与暴露面，看得清业务场景的风险隐患，看得清“云网端数用边”安全形势，看得清宏观层面跨时间与空间的安全态势，看得清微观层面的攻击线索。抽象总结——“两体一道”，既是访问主体、访问通道、访问客体。

•守得住：守得住数字化资产，守得住客户隐私数据，守得住商业秘密，守得住公司信誉。抽象总结——“四问”，即是外部客户访问、内部客户访问、运维管理访问、系统间访问。

•当沉淀：沉淀安全分析规则、沉淀安全脚本、沉淀安全工具与平台、沉淀安全方法论、沉淀安全标准规范流程、沉淀自有安全人员。抽象即是——基础安全保护沉淀、身份与策略管控沉淀、检测响应与运营沉淀、源生安全集成沉淀。

•促发展：促数据有序流通、促创新业务发展、促数字化转型。    

•赢未来：赢在业务创新，赢在数据开放，赢在数字化人才，赢在安全生态与安全文化，赢在未来。

数字化与数字化转型背景下企业网络安全建设的5个阶段路径

（一）看得清

资产层面

做好资产管理是安全运营最基础性的工作，是安全事件处置、漏洞补丁修复等流程能够顺利开展、精准定位的关键要素。这一阶段，开展多维度全方位的资产探查和测绘，实现资产价值管理和精细化管理。通过明确安全运营资产对象的重要性（包括终端、重要的服务器、核心的业务系统等），并针对资产的不同维度（如类型、IP、端口、组件、组件版本、是否对外发布）进行可视化的展示和维护，提取容易造成混淆或干扰的“噪音”资产（如正向代理、反向代理、扫描器、内部DNS、不规范的应用服务器），动态分析高敏感系统和集权平台（如VPN/OA/邮件/运维监控/堡垒机/财务系统）潜在风险。

流量层面

立体化覆盖边界流量（不限于互联网边界、安全域边界）、横向流量、重要服务器流量（不限于Web/DNS/Email/database服务器）等，精准区分内对外、外对内、内对内流量，充分运用SSL卸载以及加密流量分析引擎，根据规则匹配、语义分析、流量特征、关联分析等技术手段，快速识别漏洞、恶意软件，切实做到流量可见、风险可视。

（二）守得住

在看清安全形势的同时，需要一双火眼睛睛抓住高风险事件，并进行及时、恰当地处置，不断推动安全能力的持续提升，方能守得住    

以威胁狩猎和高效闭环为视角，充分利用当前的安全资源，提升安全监测的有效性、安全响应的高效性，守住网络安全和数据安全

威胁狩猎的首要任务是做好安全数据治理、建立威胁建模。安全数据治理，是对数据理解的过程，包含了数据采集-数据标准化-数据增强-数据分析-响应处置-复盘这个迭代过程中的数据治理部分。依据运营预期、需求、基础设施、预算、客观条件，明确采集范围、采集方式、采集格式、采集目的、数据接口管理、处置接口管理、预估存储大小、明确存储时间、数据源统一监控、变更管理等，明确前端数据源标准，明确数据模型。在贴合业务的场景下，建立威胁规则模型，基于攻防对抗、攻击模拟、历史安全事件、外部情报等，持续进行编排和优化，并利用各种验证框架提升威胁规则模型的有效性。在建立威胁规则模型的基础上，进一步开展数据强化分析，即威胁狩猎工作，利用各种方式区分正常与异常行为，例如分析影响范围和意图，加快事件调查和对根本原因的理解。

高效闭环，需要高效的事件闭环流程，一方面，结合业务特点，制定自动化处置策略，如对业务时段、非业务时段制定不同封禁策略；另一方面，通过标准化的应急处置、通知预警、协同联动流程，辅以可视化的类工单系统进行事件的跟踪与管理，直至事件闭环。

（三）当沉淀

看得清、守得住的最终目标是为了促发展、赢未来，而沉淀是其中必不可少的桥梁

小到沉淀一个安全分析规则、一个安全脚本，大到沉淀一套安全方法论、一套安全体系，都将给企业高质量创新发展注入新动力。

因为沉淀，才能培养高精专的自有人才，打造特色的自有安全团队    

因为沉淀，才能将常态化运营和攻防对抗化经验相结合，转化为可以传承、共享的知识，通过不断地流动与迭代加以完善，形成公司级或者行业级标准、规范、最佳实践等

从赋能一个系统扩展到赋能多个系统，从赋能一个创新业务扩展到赋能多个创新业务，对各个团队、各个业务部门甚至整个行业产生积极的影响

（四）促发展

数字化转型是企业围绕“数据赋能业务”为核心进行全面布局并长期坚持的工作。数字化转型必须从技术、战略和人才的层面去思考，以技术赋能企业运营为起点，以战略重塑商业模式为核心，以人才打造组织能力为根本，实现这三个方面的有机结合。

有了安全技术、安全人才相关的沉淀，方能在各类创新业务飞速发展的当下，不会因为不熟悉的应用组件、多样的API接口、复杂的数据流动而心生恐惧，盲目阻断创新业务的上线；也不会因为缺少有效、可落地的安全管控，而发生数据安全泄露等事件。

以促进数字化转型为视角，通过持续加深对业务安全的理解，建立健全数据安全规范体系，构建确保数据要素有序流通的基础能力，健全数据安全技术保障能力，谋求安全与业务共发展。

（五）迎未来

安全与创新是一个恒久的话题

只有快速适应未来安全形势的变化和细分安全能力的需求，为开放创新提供基础支撑，共建安全开放生态与安全文化，深度赋能业务发展与业务升级，企业才能在快速发展过程中树立行业地位、增强企业自身竞争力，赢在当下，且赢在未来。