【2023安天攻防演練廟算記】回顧

【攻防演練廟算記一】五事具足

【攻防演練廟算記二】十處必救必守

【攻防演練廟算記三】情報(bào)先行

【攻防演練廟算記四】郵件安全

【攻防演練廟算記五】網(wǎng)站防護(hù)

【攻防演練廟算記六】邊界防御

?

如今，各個(gè)行業(yè)單位的業(yè)務(wù)系統(tǒng)經(jīng)過(guò)多年的信息化建設(shè)，內(nèi)部的終端數(shù)量也隨之增多，這也導(dǎo)致安全管理的難度成倍增加。由于整個(gè)網(wǎng)內(nèi)終端及其承載的系統(tǒng)、應(yīng)用、數(shù)據(jù)的數(shù)量非常龐大，且部署架構(gòu)相對(duì)錯(cuò)綜復(fù)雜，所以一旦疏于管理，終端就很容易成為整個(gè)信息系統(tǒng)安全體系中的明顯薄弱環(huán)節(jié)，甚至被攻擊方當(dāng)作突防入口進(jìn)行攻擊與利用。特別是在實(shí)戰(zhàn)攻防演練活動(dòng)期間，終端始終都是攻擊方重點(diǎn)攻擊的目標(biāo)。

?

《孫子兵法·勢(shì)篇》有云“凡治眾如治寡，分?jǐn)?shù)是也；斗眾如斗寡，形名是也”，是指治理大軍團(tuán)就像治理小部隊(duì)一樣有效，是依靠合理的組織、結(jié)構(gòu)、編制；指揮大軍團(tuán)作戰(zhàn)就像指揮小部隊(duì)作戰(zhàn)一樣到位，是依靠明確、高效的信號(hào)指揮系統(tǒng)。

?

在實(shí)戰(zhàn)攻防演練對(duì)抗場(chǎng)景中，如果把防守單位的終端看作是“大軍團(tuán)”，那安全管理就必須要是“合理的組織、結(jié)構(gòu)、編制”與“明確、高效的信號(hào)指揮系統(tǒng)”，只有這樣，防守方才能提高整個(gè)終端的防御能力，確保有效應(yīng)對(duì)攻擊方針對(duì)性的攻擊威脅，真正降低失分的風(fēng)險(xiǎn)。

?

本期為【2023安天攻防演練廟算記】第七章：終端威脅檢查。

安天在“敵已在內(nèi)”的敵情想定安全思想指導(dǎo)下，針對(duì)實(shí)戰(zhàn)攻防演練期間，終端可能遭遇的各種攻擊威脅的場(chǎng)景，制定了安天終端威脅檢查專項(xiàng)服務(wù)。安天首先會(huì)通過(guò)開(kāi)展一系列針對(duì)終端威脅的檢測(cè)工作，來(lái)避免攻擊方在演練前實(shí)施預(yù)攻擊；其次，是在演練正式開(kāi)始前清除網(wǎng)內(nèi)存留的威脅，避免在正式演練過(guò)程中，大量與演練無(wú)關(guān)的告警消耗值守人員精力。同時(shí)，通過(guò)部署“安天智甲終端防御系統(tǒng)”（以下簡(jiǎn)稱“智甲”）和“安天智甲云主機(jī)安全監(jiān)測(cè)系統(tǒng)”（以下簡(jiǎn)稱“智甲云主機(jī)”），能夠現(xiàn)場(chǎng)針對(duì)防守客戶單位網(wǎng)絡(luò)環(huán)境內(nèi)的信息資產(chǎn)進(jìn)行實(shí)時(shí)威脅檢測(cè)、威脅取證、威脅清除工作。

?

智甲管理中心可實(shí)現(xiàn)多類(lèi)型終端一體化管理，能夠?qū)崟r(shí)了解網(wǎng)內(nèi)終端安全情況，并可查看安全事件詳情。同時(shí)，針對(duì)主機(jī)內(nèi)的文件、程序行為、網(wǎng)絡(luò)流量等支持威脅檢測(cè)，可對(duì)發(fā)現(xiàn)的威脅對(duì)象或攻擊行為進(jìn)行清除和攔截，減少主機(jī)風(fēng)險(xiǎn)使用行為。一旦發(fā)現(xiàn)可疑威脅行為，可實(shí)時(shí)對(duì)攻擊進(jìn)行以“人”為主導(dǎo)的調(diào)查和反制；針對(duì)高水平攻擊方有目的的威脅動(dòng)作，可快速定位目標(biāo)主機(jī)，并通過(guò)多種防護(hù)和管控功能進(jìn)行發(fā)現(xiàn)、溯源、反制和形成價(jià)值情報(bào)，全面保障客戶的信息系統(tǒng)與數(shù)據(jù)資產(chǎn)安全。

?

?

安天終端威脅檢查專項(xiàng)服務(wù)可覆蓋攻防演練全生命周期終端安全防護(hù)。

1. 啟動(dòng)階段

在攻防演練對(duì)抗中，攻擊方會(huì)使用多種攻擊手段對(duì)主機(jī)進(jìn)行入侵，如漏洞利用、暴力破解、擺渡攻擊等，但無(wú)論使用何種手段，攻擊方通常都要利用主機(jī)的暴露面達(dá)成連接，利用資產(chǎn)脆弱性獲得執(zhí)行攻擊行為的資源。因此，在攻防演練開(kāi)始前，就要對(duì)主機(jī)的暴露面、脆弱性、合規(guī)性等風(fēng)險(xiǎn)進(jìn)行排查和處置。

?

所以，在攻防演練活動(dòng)的一開(kāi)始，安天就將為防守客戶單位網(wǎng)內(nèi)所有主機(jī)安裝智甲，通過(guò)管理中心實(shí)現(xiàn)多類(lèi)型終端一體化管理，幫助管理人員了解網(wǎng)內(nèi)終端安全情況，查看安全事件詳情；同時(shí)，通過(guò)智甲管理中心下發(fā)指令統(tǒng)一對(duì)網(wǎng)內(nèi)所有主機(jī)進(jìn)行威脅排查，排查潛伏在主機(jī)上的高危文件和行為。

?

對(duì)于網(wǎng)內(nèi)所有物理服務(wù)器、虛機(jī)、云主機(jī)等工作負(fù)載，運(yùn)用智甲云主機(jī)，以前期摸清家底是安全防護(hù)的前提，通過(guò)自動(dòng)化資產(chǎn)清點(diǎn)（兼容容器資產(chǎn)），幫助客戶快速追蹤、定位、研判受威脅的資產(chǎn)，協(xié)助客戶開(kāi)展針對(duì)性的資產(chǎn)審查。另外，主機(jī)內(nèi)風(fēng)險(xiǎn)排查也是備戰(zhàn)階段不可缺少的一部分，通過(guò)智甲云主機(jī)持續(xù)識(shí)別主機(jī)的資產(chǎn)脆弱性（兼容容器），如：軟件漏洞、弱口令、關(guān)鍵配置錯(cuò)誤等，分析并管理其中的潛在安全風(fēng)險(xiǎn)，提前防范風(fēng)險(xiǎn)并提高攻擊門(mén)檻，可有效減少主機(jī)90%被攻擊面。

2. 備戰(zhàn)階段

安全專家將借助以上兩套終端防御系統(tǒng)，為防守客戶單位提供暴露面梳理、脆弱性檢測(cè)服務(wù)，檢測(cè)方法包括基線檢查、漏洞掃描、滲透測(cè)試等，同時(shí)還提供威脅檢測(cè)與處置服務(wù)。安全專家基于檢測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)和系統(tǒng)中的安全隱患，為客戶提供安全加固，即根據(jù)客戶的安全風(fēng)險(xiǎn)定制有針對(duì)性的安全加固方案，并協(xié)助客戶落實(shí)。通過(guò)上述手段，全面提高主機(jī)安全性，使攻擊方的攻擊行為無(wú)法輕易達(dá)成。

3. 迎戰(zhàn)階段

智甲支持對(duì)各類(lèi)木馬、蠕蟲(chóng)、宏病毒、WebShell等惡意代碼進(jìn)行實(shí)時(shí)安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)并處置在演練期間內(nèi)網(wǎng)主機(jī)新出現(xiàn)的惡意文件和威脅行為。同時(shí)，智甲具有內(nèi)核級(jí)防護(hù)能力，可對(duì)環(huán)境篡改、惡意代碼執(zhí)行、提權(quán)、啟動(dòng)項(xiàng)創(chuàng)建等行為進(jìn)行攔截，使攻擊方難以利用惡意代碼對(duì)主機(jī)環(huán)境進(jìn)行入侵和破壞。并將實(shí)時(shí)針對(duì)突發(fā)情況，進(jìn)行事件分析和應(yīng)急處置。智甲云主機(jī)則提供多維度的入侵檢測(cè)，快速發(fā)現(xiàn)和定位網(wǎng)絡(luò)資產(chǎn)中的入侵事件以及失陷主機(jī)，提升安全分析與響應(yīng)能力。從異常行為維度，通過(guò)全量行為檢測(cè)引擎梳理出主機(jī)內(nèi)異常文件、異常進(jìn)程、異常網(wǎng)絡(luò)連接等可疑行為：

◆從主機(jī)日志審計(jì)維度，對(duì)系統(tǒng)/應(yīng)用全量日志進(jìn)行采集分析，為入侵檢測(cè)提供數(shù)據(jù)源；

?◆從威脅事件維度，通過(guò)內(nèi)置威脅檢測(cè)引擎+威脅情報(bào)，對(duì)采集到的數(shù)據(jù)做聚合分層分析有效安全數(shù)據(jù)，實(shí)現(xiàn)對(duì)工作負(fù)載中的各種安全事件與攻擊指標(biāo)進(jìn)行快速研判和處置。

?

針對(duì)期間遭受的網(wǎng)絡(luò)安全事件，可根據(jù)客戶需求開(kāi)展深度威脅事件響應(yīng)。首先，根據(jù)事件特征以及安全設(shè)備監(jiān)測(cè)結(jié)果快速定位可能存在風(fēng)險(xiǎn)的主機(jī)并進(jìn)行取證分析；其次，通過(guò)預(yù)編排事件調(diào)查能力對(duì)可疑樣本進(jìn)行動(dòng)靜態(tài)分析、溯源分析、事件威脅評(píng)估；最后給出事件處置與體系優(yōu)化建議。期間將進(jìn)行持續(xù)性的威脅獵殺，威脅獵殺服務(wù)主要由五大子服務(wù)組成：

?

1. 威脅檢測(cè)子服務(wù)：通過(guò)終端側(cè)數(shù)據(jù)采集，發(fā)現(xiàn)當(dāng)前設(shè)備存在的潛在風(fēng)險(xiǎn)；

2. 威脅巡檢子服務(wù)：實(shí)時(shí)開(kāi)展人工深度分析，發(fā)現(xiàn)網(wǎng)內(nèi)異常數(shù)據(jù)，人工甄別研判；

3. 人工調(diào)查分析子服務(wù)：根據(jù)攻擊方動(dòng)機(jī)形成畫(huà)像，提供知識(shí)情報(bào)；

4. 應(yīng)急處置子服務(wù)：針對(duì)發(fā)現(xiàn)存在的安全威脅，采取緩解、抑制、根除措施；

5. 專殺開(kāi)發(fā)子服務(wù)：對(duì)發(fā)現(xiàn)的威脅分類(lèi)匯總、危害評(píng)估，并進(jìn)行專殺工具的開(kāi)發(fā)。

4. 總結(jié)階段

在演練工作結(jié)束后的總結(jié)環(huán)節(jié)，安天將為客戶復(fù)盤(pán)演練期間的攻防情況，對(duì)演練期間攻擊成功的事件和防守成功的事件進(jìn)行復(fù)盤(pán)。對(duì)事件原因、響應(yīng)流程、處理方法、造成的后果等進(jìn)行梳理和分析，并對(duì)所有產(chǎn)生的問(wèn)題和情況提出合理高效安全的解決辦法。全面總結(jié)終端威脅檢查服務(wù)工作成果，輸出《終端威脅檢查總結(jié)報(bào)告》。

期間，智甲云主機(jī)可通過(guò)自主算法將具有關(guān)聯(lián)的多條告警生成一條入侵事件，按照時(shí)間順序還原攻擊過(guò)程，并以圖形化的方式呈現(xiàn)攻擊者入侵鏈路全景圖，幫助安全人員識(shí)別攻擊方使用的技戰(zhàn)術(shù)以及觸發(fā)的檢測(cè)點(diǎn)，支撐安全事件的溯源調(diào)查。

?

安天終端威脅檢查專項(xiàng)服務(wù)客戶價(jià)值

1.?技術(shù)方面

?

·?????? 及時(shí)發(fā)現(xiàn)終端內(nèi)的已知威脅與未知威脅；

?

·?????? 發(fā)現(xiàn)定向終端攻擊，切斷并清除攻擊；

?

·?????? 治理網(wǎng)內(nèi)惡意代碼與網(wǎng)絡(luò)攻擊；

?

·?????? 通過(guò)威脅獵殺、攻擊者畫(huà)像、溯源、攻擊動(dòng)機(jī)分析形成私有情報(bào)和知識(shí)庫(kù)；

?

·?????? 基于主動(dòng)防御有效保護(hù)客戶信息資產(chǎn)，有效降低失分風(fēng)險(xiǎn)。

?

2.?管理方面

?

·?????? 指導(dǎo)作用：通過(guò)獵殺過(guò)程，“有的放矢”指導(dǎo)安全管理及技術(shù)體系改進(jìn)。

?

·?????? 監(jiān)督作用：幫助監(jiān)督安全管理制度的落實(shí)情況，發(fā)現(xiàn)違法、違規(guī)行為。

?

·?????? 考核作用：檢查結(jié)果作為證據(jù)，促進(jìn)安全管理考核落地。

?

·?????? 提升作用：提升客戶安全運(yùn)營(yíng)團(tuán)隊(duì)威脅發(fā)現(xiàn)與應(yīng)急響應(yīng)等能力。

?

在2022年大型實(shí)戰(zhàn)攻防演練活動(dòng)中，安天終端威脅檢查專項(xiàng)服務(wù)為某客戶單位排查發(fā)現(xiàn)終端威脅文件200余個(gè)（其中遠(yuǎn)控木馬18個(gè)），并成功清除終端威脅隱患。

?

附錄：關(guān)鍵產(chǎn)品價(jià)值簡(jiǎn)介

?

下期預(yù)告

下期為【2023安天攻防演練廟算記】第八章：威脅誘捕分析。

將分享安天在實(shí)戰(zhàn)攻防演練場(chǎng)景中，如何通過(guò)逐一拆解攻擊方的攻擊思路與攻擊鏈條，并基于蜜罐等產(chǎn)品進(jìn)行布防。

?