【2023安天攻防演練廟算記】回顧

【攻防演練廟算記一】五事具足

【攻防演練廟算記二】十處必救必守

?

攻守雙方必須有對彼此敵情、行動、意圖等的分析，在行動中才能知得失之計(jì)。在《孫子兵法·行軍篇》中講，兵非貴益多也，唯無武進(jìn)，足以并力、料敵、取人而已。也就是說在作戰(zhàn)前，必須對彼此所處的位置和可能的行動做到胸中有數(shù)。

《孫子兵法·用間篇》有云：成功出于眾者，先知也。意指之所以一出手就能戰(zhàn)勝敵人，功業(yè)超越眾人，就在于能預(yù)先掌握敵情；同時，又補(bǔ)充到：先知者，不可取于鬼神，不可象于事，不可驗(yàn)于度，必取于人，知敵之情者也。是說要事先了解敵情，不可求神問鬼，也不可用相似的現(xiàn)象作類比推測，不可用日月星辰運(yùn)行的位置去驗(yàn)證，一定要取之于人，從那些熟悉敵情的人的口中去獲取。

在實(shí)戰(zhàn)攻防演練活動持續(xù)對抗場景中，所謂的“先知”即指威脅情報(bào)；“必取于人”中的“人”即是經(jīng)受過實(shí)戰(zhàn)考驗(yàn)的可靠的威脅情報(bào)產(chǎn)品，以及擁有豐富經(jīng)驗(yàn)的專家。

?

本期為【2023安天攻防演練廟算記】第三章：情報(bào)先行。

?

威脅情報(bào)正是網(wǎng)絡(luò)攻防戰(zhàn)場上“知己知彼”“掌控?cái)城椤钡年P(guān)鍵，特別是在攻防對抗中，防守方在明處，防護(hù)的資產(chǎn)則是一個不能移動和隱藏的靶標(biāo)；而攻擊方躲在暗處，利用攻擊行動匿名性、攻擊針對性、攻擊自由度、人性弱點(diǎn)等，總是可以找到突防機(jī)會。依靠威脅情報(bào)作為支撐，在提前掌握攻擊方的攻擊技術(shù)、攻擊手法、攻擊意圖等方面“敵情”的基礎(chǔ)之上，可有效縮短防御響應(yīng)周期并提高針對性，對攻擊方的攻擊行為和攻擊動作上進(jìn)行阻斷，驅(qū)動決策完善安全防御體系，提前部署防御策略，從而提高防御能力。

同時，在這個過程中，時間是非常重要的因素，因?yàn)楣シ离p方都會在指定時間內(nèi)，模擬更接近于戰(zhàn)時的對抗?fàn)顟B(tài)，投入足夠多的攻防資源參與對抗。因此，制勝的防守不僅僅取決于技術(shù)，還取決于組織的協(xié)作和應(yīng)急響應(yīng)的能力；落實(shí)到威脅情報(bào)，即其供給的精準(zhǔn)性和快速性至關(guān)重要。

所以，安天專項(xiàng)威脅情報(bào)服務(wù)立足于攻防對抗實(shí)戰(zhàn)場景，打磨團(tuán)隊(duì)的戰(zhàn)時情報(bào)作業(yè)流程，不斷提升戰(zhàn)時狀態(tài)下的情報(bào)生產(chǎn)能力，通過提供更有價(jià)值的威脅情報(bào)和更專業(yè)的解決方案，以提高防守客戶單位的安全保障能力，幫助客戶更好地應(yīng)對攻防演練的安全挑戰(zhàn)。

安天實(shí)戰(zhàn)攻防演練專項(xiàng)威脅情報(bào)服務(wù)，主要通過以下４種手段達(dá)成客戶有效安全價(jià)值：

1. 提供實(shí)時最新匯聚的情報(bào)（包含機(jī)讀情報(bào)和情報(bào)交換組件產(chǎn)品），支撐客戶提前將情報(bào)更新到防御阻斷策略，讓情報(bào)價(jià)值真正落實(shí)進(jìn)防護(hù)體系中，避免遭受相關(guān)威脅源攻擊

2. 提供分析輔助工具，把情報(bào)順暢地提供給安全分析人員使用。針對發(fā)現(xiàn)的威脅線索，如可疑IP、域名、URL、郵箱、文件HASH等，可在線查詢到詳盡的威脅情報(bào)信息，幫助安全分析人員溯源并得分；

3. 針對攻防演練過程中暴露出的0Day、1Day等，收集樣本信息，驗(yàn)證樣本和漏洞，發(fā)布最新的查殺方法、修補(bǔ)建議；

4. 提供客戶本地的情報(bào)生產(chǎn)和消費(fèi)能力，包括對抗?fàn)顟B(tài)下的情報(bào)生產(chǎn)能力，同時支持多種方式的生成和分發(fā)流程，以滿足客戶各類實(shí)戰(zhàn)場景需求。

安天針對部分客戶網(wǎng)絡(luò)策略更為嚴(yán)格的場景，進(jìn)行了專門的設(shè)計(jì)：考慮了隔離網(wǎng)不能第一時間更新情報(bào)庫的情況，基于近23年反病毒引擎技術(shù)的耕耘，安天為客戶提供了惡意執(zhí)行體的特異性向量情報(bào)，基于執(zhí)行體的惡意行為和同源特征，即使在隔離網(wǎng)絡(luò)條件下，也有良好的能力展現(xiàn)。

在實(shí)戰(zhàn)攻防演練場景中，防守方需要面對攻擊方持續(xù)多維的攻擊，所以，充分地了解攻擊方的整體情況，才能根據(jù)攻擊特點(diǎn)建立完善的、能有效抵御攻擊威脅的安全防護(hù)體系。針對攻防演練各個階段中，專項(xiàng)威脅情報(bào)服務(wù)的價(jià)值如下。

?

01啟動階段：資產(chǎn)清查，暴露面情報(bào)收集

安天將基于防守客戶單位的業(yè)務(wù)場景為客戶做資產(chǎn)梳理和網(wǎng)絡(luò)安全防護(hù)調(diào)研，并對客戶的網(wǎng)絡(luò)安全架構(gòu)進(jìn)行評估，給出優(yōu)化方案。

期間可運(yùn)用安天捕風(fēng)蜜罐系統(tǒng)在互聯(lián)網(wǎng)部署ERP、OA、VPN系統(tǒng)、虛擬化桌面系統(tǒng)、郵件服務(wù)系統(tǒng)等高交互蜜罐資產(chǎn)，并選擇部分蜜罐資產(chǎn)預(yù)置不同的弱口令、漏洞等誘騙攻擊者；即使攻擊方掃描蜜罐資產(chǎn)并進(jìn)行漏洞利用，捕風(fēng)蜜罐系統(tǒng)亦可無感知反制攻擊方。同時，散播虛假信息“蜜餌”，干擾攻擊者收集情報(bào)，使其選擇攻擊目標(biāo)時產(chǎn)生誤判，指數(shù)級地增加攻擊者的攻擊成本，延緩攻擊進(jìn)程的同時，將攻擊者不斷誘導(dǎo)引入蜜罐陷阱，從而誘捕攻擊者，保護(hù)真實(shí)資產(chǎn)。

?

02備戰(zhàn)階段：結(jié)合脆弱性情報(bào)進(jìn)行加固，并把情報(bào)消費(fèi)能力落實(shí)進(jìn)防護(hù)體系

安天會通過基線檢查、漏洞掃描、滲透測試等各種方式對目標(biāo)系統(tǒng)進(jìn)行安全檢測和安全加固，并通過威脅檢測與處置服務(wù)分析漏洞。

同時，還可利用排查到的資產(chǎn)及系統(tǒng)信息，通過威脅情報(bào)查詢系統(tǒng)找到目標(biāo)系統(tǒng)的暴露面，從而有針對性地進(jìn)行加固。如交互式查詢了解已知的威脅線索，包括可疑IP、可疑域名、可疑URL、可疑郵箱，以及可疑的文件HASH，安天威脅情報(bào)綜合分析平臺（ATID）將展示詳盡的威脅相關(guān)情報(bào)。幫助分析人員縮短情報(bào)搜集與分析處理的時間，提升工作效率。

·????? 查詢IP：支持對億級的互聯(lián)網(wǎng)IP地址詳細(xì)信息進(jìn)行查詢，包括IP的相關(guān)情報(bào)、地理位置、開放服務(wù)和端口信息、IP反向解析域名等信息；

·????? 查詢域名：支持對數(shù)十億的域名詳細(xì)信息進(jìn)行查詢，包括域名的相關(guān)情報(bào)、Whois信息、子域名、域名解析記錄和開源情報(bào)等信息；

·????? 查詢URL：支持對億級的URL威脅情報(bào)進(jìn)行查詢；

·????? 查詢郵箱：支持對數(shù)千萬左右的郵箱威脅情報(bào)進(jìn)行查詢；

·????? 查詢文件HASH：支持對數(shù)十億的樣本詳細(xì)信息進(jìn)行查詢，包括了樣本的相關(guān)威脅情報(bào)、靜態(tài)信息、動態(tài)行為信息、多引擎檢測結(jié)果、數(shù)字證書等等。

?

03迎戰(zhàn)階段：在外部打通情報(bào)視野，在內(nèi)部落實(shí)情報(bào)生產(chǎn)分發(fā)

正式進(jìn)入實(shí)戰(zhàn)攻防演練對抗階段時，安天將基于自身的威脅情報(bào)平臺和蜜罐為防守客戶單位提供威脅情報(bào)服務(wù)，協(xié)助客戶全方位掌握演練期間的攻擊相關(guān)威脅情報(bào)：

1.? 攻擊IP情報(bào)

防守客戶單位可以通過安天云端威脅情報(bào)中心實(shí)時獲取最新的攻擊IP威脅情報(bào)，同時可以將這些攻擊IP更新到防御阻斷策略里，起到提前防御阻斷的作用，有效避免被使用這些攻擊IP的攻擊方入侵。

2.? 攻擊手段情報(bào)

每日提供最新的攻擊手段威脅情報(bào)，包括0Day漏洞、遠(yuǎn)程控制木馬、物理接觸攻擊手段、釣魚攻擊手段等，防守客戶單位獲得情報(bào)后可以提前防御，有效避免因這些攻擊導(dǎo)致系統(tǒng)被攻陷，進(jìn)而造成被持續(xù)扣分出局的情況。

3.? 溯源分析查詢

當(dāng)監(jiān)測到可疑IP、可疑域名、可疑URL、可疑郵箱、未知文件時，可以通過安天追影威脅情報(bào)平臺（TIP），快速查詢分析得到詳盡的威脅情報(bào)信息，幫助分析人員縮短情報(bào)搜集與分析處理的時間，提升工作效率。

?

04總結(jié)階段：匯總情報(bào)

在實(shí)戰(zhàn)攻防演練活動結(jié)束后的總結(jié)環(huán)節(jié)，安天將為防守客戶單位復(fù)盤活動期間的攻防情況，對活動期間攻擊成功的事件和防守成功的事件進(jìn)行復(fù)盤。安天將根據(jù)活動過程中的工作記錄，回顧演練工作的全過程，整理與安全事件相關(guān)的各種信息，進(jìn)行總結(jié)，除了為客戶提供網(wǎng)絡(luò)安全方面的措施和建議，還將協(xié)助客戶建立自己威脅情報(bào)庫，完善安全防御機(jī)制，優(yōu)化安全防護(hù)體系。

專項(xiàng)威脅情報(bào)服務(wù)價(jià)值

1.? 全量威脅情報(bào)獲取，通過與安天威脅捕獲系統(tǒng)聯(lián)動，在發(fā)現(xiàn)攻擊前期行為后，對攻擊樣本進(jìn)行情報(bào)檢索查詢和關(guān)聯(lián)，發(fā)現(xiàn)更多攻擊線索。

2.基于威脅情報(bào)關(guān)聯(lián)分析與惡意代碼同源性分析方法，結(jié)合海量威脅知識庫，還原威脅事件和攻擊手法等信息，支撐安全分析人員對事件追蹤溯源。

在2022年大型實(shí)戰(zhàn)攻防演練活動中，安天專項(xiàng)威脅情報(bào)服務(wù)為某客戶單位監(jiān)測并阻斷網(wǎng)絡(luò)攻擊高達(dá)近4萬起，溯源加分500分。

?

附錄：關(guān)鍵產(chǎn)品價(jià)值簡介

下期預(yù)告

下期為【2023安天攻防演練廟算記】第四章：無通其使。

將分享安天如何針對釣魚社工郵件提供針對性的防護(hù)措施，有效支撐防守客戶單位網(wǎng)絡(luò)郵件系統(tǒng)，提升防御能力。