背景

經(jīng)歷過最近幾年的勒索行業(yè)的暴利與虛擬貨幣的繁榮后，許多的行業(yè)從業(yè)人員對(duì)入侵檢測(cè)的認(rèn)知明顯加強(qiáng)了甚至不少組織也深受其害，在數(shù)字化業(yè)務(wù)快速增長的同時(shí)，安全風(fēng)險(xiǎn)的暴露面同時(shí)也是快速的增長，在日趨完善的法律合規(guī)與攻擊者的虎視眈眈的背景下也迫使組織人員對(duì)安全體系建設(shè)問題嚴(yán)陣以待。

安全建設(shè)的主要方向粗略的看主要也分成二個(gè)大類，安全合規(guī)與反入侵;合規(guī)的驅(qū)動(dòng)力為首要業(yè)務(wù)典型類似于ISO27001、等級(jí)保護(hù)等維度。而在反入侵的方向是以保護(hù)現(xiàn)有業(yè)務(wù)的CIA屬性為主要的出發(fā)點(diǎn)，以攻擊者的視角審視當(dāng)前的風(fēng)險(xiǎn)并加以防護(hù)與檢測(cè)，相比于法律合規(guī)當(dāng)中明確了各項(xiàng)指標(biāo)與參數(shù)的checklist，反入侵的工作開展難度明顯要復(fù)雜的多，面臨的挑戰(zhàn)與技術(shù)的積累也要求更高。安全工作的本質(zhì)上還是攻防雙方之間人與之間的對(duì)抗、攻擊技術(shù)與檢測(cè)技術(shù)的對(duì)抗、流程與組織架構(gòu)之間的對(duì)抗。

常見的攻擊場(chǎng)景

知己知彼百戰(zhàn)不殆，如果很多反入侵人員對(duì)黑客的常見入侵手法都不理解，最后往往會(huì)陷入了一個(gè)”自high”的圈子里面，想當(dāng)然的認(rèn)為只要我利用XXX的熱門技術(shù)做了XXXX功能、就應(yīng)對(duì)XXXX的場(chǎng)景，最后還是脫離了安全建設(shè)的本質(zhì);從對(duì)應(yīng)的場(chǎng)景來看個(gè)人習(xí)慣往往可以簡單的分為3類主要的攻擊場(chǎng)景：

• 以挖礦、DDOS僵尸網(wǎng)絡(luò)、網(wǎng)站惡意掛馬SEO、黑鏈菠菜為主的黑灰產(chǎn)場(chǎng)景下的流程化攻擊;
• 以勒索、定向攻擊、竊密軟件為主的高持續(xù)隱蔽的攻擊團(tuán)伙;
• 以數(shù)據(jù)重放、惡意爬蟲、優(yōu)惠券活動(dòng)、撞庫為主的業(yè)務(wù)安全攻擊團(tuán)伙。

挖礦、僵尸網(wǎng)絡(luò)與黑鏈

從自己安全運(yùn)營的反饋數(shù)據(jù)來看第一類的挖礦、僵尸網(wǎng)絡(luò)的流程化攻擊流量基本上可以占到到惡意攻擊70%以上，其中以熱門的幾個(gè)挖礦團(tuán)伙最為活躍如8220挖礦團(tuán)伙、Bluehero挖礦團(tuán)伙、H2Miner、Myking等團(tuán)伙的攻擊流量。

由于目前挖礦幾乎按照了蠕蟲模式的流程化攻擊，導(dǎo)致中毒的主機(jī)也成為了發(fā)起攻擊的來源，部分企業(yè)的資產(chǎn)尤其一些邊緣資產(chǎn)中毒之后沒有感知導(dǎo)致繼續(xù)傳播。這些挖礦的攻擊方式也相對(duì)比較簡單主要以一些熱門的Nday的RCE漏洞、各類應(yīng)用暴力破解、webshell上傳、未授權(quán)訪問等攻擊場(chǎng)景為主，典型的如Docker、Jenkins、Redis、K8sAPI、Spark、Hadoop Yarn REST API未授權(quán)訪問;Shiro/Fastjson的反序列化、S2全系列的RCE、weblogic的全系列RCE;暴力破解主要為一些SSH、RDP、web應(yīng)用、數(shù)據(jù)庫應(yīng)用的的弱口令為主。部分盡職盡責(zé)的團(tuán)伙往往也比較內(nèi)卷，也會(huì)快速的融入一些新的EXP以提高成功率，前不久剛剛披露的log4j很快就被安排上了。

除了搶占先機(jī)之外，由于大部分都是存量市場(chǎng)，除了新的武器庫之外，此類場(chǎng)景的攻擊者往往還普遍從四個(gè)思路上出發(fā)：

• 干掉同行、排除異己獨(dú)占資源;
• 增長持久化方法、防止被基礎(chǔ)的操作給清理掉;
• 增加雙平臺(tái)的支持、不滿足于window的場(chǎng)景也要兼容linux場(chǎng)景;
• 擴(kuò)大攻擊目標(biāo)，主戰(zhàn)場(chǎng)放在了安全建設(shè)相對(duì)脆弱的內(nèi)網(wǎng)環(huán)境。

目前此類攻擊場(chǎng)景技術(shù)維度上相對(duì)比較單一，常規(guī)的手法都是通過各類手法獲取到一個(gè)shell之后執(zhí)行一些下載命令從互聯(lián)網(wǎng)的一個(gè)地址上拉取對(duì)應(yīng)的挖礦套件(包含挖礦的配置文件、挖礦程序主體、內(nèi)向傳播的payload、資產(chǎn)發(fā)現(xiàn)模塊、互聯(lián)網(wǎng)探測(cè)模塊等)、有腳本類類的Powershell、bat以及l(fā)inux下的shell腳本，也有PE類的文件與ELF的程序主體。

部分攻擊者為了躲避查殺還會(huì)利用一些系統(tǒng)白進(jìn)程進(jìn)行惡意代碼的執(zhí)行，典型的如一些mshta.exe、certifi.exe的程序往往payload甚至可以做到不落盤;根據(jù)最近幾年的技術(shù)觀察不得不承認(rèn)做黑灰產(chǎn)也是一項(xiàng)很內(nèi)卷的行業(yè)，稍微不注意技術(shù)上就容易掉隊(duì)。

從排除異己的角度出發(fā)，畢竟挖礦的主要依靠的還是計(jì)算資源，臥榻之上豈容他人鼾睡，很多Linux的樣本普遍就是在腳本里面內(nèi)置很多其他同行的挖礦文件的路徑和腳本，運(yùn)行之前就先清理戰(zhàn)場(chǎng)歷史痕跡，甚至利用Iptables將現(xiàn)存在的風(fēng)險(xiǎn)基于訪問控制進(jìn)行封堵，防止后面別的團(tuán)伙再次入侵，少數(shù)團(tuán)伙甚至還會(huì)利用preload做一些進(jìn)程的隱藏(這個(gè)的確有點(diǎn)卷)。

從持久化的方法出發(fā)，各種操作就更多一些如一些計(jì)劃任務(wù)、系統(tǒng)服務(wù)、WMI、開機(jī)啟動(dòng)的常規(guī)操作，之前還偶然間接觸過部分團(tuán)伙利用MSSQL CLR寫后門的處理起來還真的是挺棘手的，重要數(shù)據(jù)在手里每一條sql的查詢命令都是小心翼翼的敲，就擔(dān)心后續(xù)的攻擊者如果都開始嘗試用rootkit、文件替換、甚至驅(qū)動(dòng)文件來進(jìn)行做后門隱藏就真心有點(diǎn)麻煩了。

DDOS的僵尸網(wǎng)絡(luò)遇見的概率也小了很多，不知道的是流量清洗技術(shù)的成熟、還是CDN、云抗D的已經(jīng)應(yīng)用更加廣泛，抑或是自身的安全數(shù)據(jù)匱乏一些，此類型的僵尸網(wǎng)絡(luò)除了少數(shù)的XorDDos、XnoteDDos、billgates的樣本之外也沒有太熱門的樣本，此類攻擊手法普遍還是比較簡單且純粹，以SSH的暴力破解為主要的入侵手法。

之前一時(shí)好奇曾在互聯(lián)網(wǎng)上搞了一個(gè)VP_S測(cè)試一下cowrie的蜜罐，結(jié)果意外的抓到了不少此類的樣本。對(duì)于很多對(duì)業(yè)務(wù)連續(xù)性、可用性要高的業(yè)務(wù)除了常規(guī)的DDOS之外，還有很大部分是請(qǐng)求正常的高并發(fā)流量與BOT流量的管理對(duì)抗場(chǎng)景。從web業(yè)務(wù)場(chǎng)景來也同時(shí)存在大量的web入侵進(jìn)行批量掛馬、輪鏈、黑鏈、菠菜類的攻擊流量，此類攻擊場(chǎng)景普遍攻擊手法也比較單一主要依靠webshell的上傳漏洞為主，網(wǎng)頁木馬的質(zhì)量與功能都異常豐富，環(huán)環(huán)相扣。

從應(yīng)對(duì)措施的角度來思考，此類場(chǎng)景下的攻擊手法雖然較多但總體上的技術(shù)門檻并不是很高，從安全風(fēng)險(xiǎn)的維度的來主要主要是二個(gè)關(guān)鍵問題：漏洞與弱口令。都是安全建設(shè)當(dāng)中二個(gè)繞不開的問題，漏洞的存在一方面來源與自身的開發(fā)過程當(dāng)中的的疏忽，另一方面來源于外部的風(fēng)險(xiǎn)輸入。

自身的安全開發(fā)可以通過安全開發(fā)的基線、代碼的審查、流程規(guī)范與借助于相應(yīng)的安全檢測(cè)工具(IAST、DAST)進(jìn)行規(guī)避，對(duì)于很多明顯的上傳漏洞、存在安全風(fēng)險(xiǎn)的配置項(xiàng)目，已經(jīng)存在高危風(fēng)險(xiǎn)的框架與組件都能積極的影響。同時(shí)借助于人工的滲透測(cè)試，從源頭上能盡可能的減少存在的明顯風(fēng)險(xiǎn);對(duì)于很多新披露的漏洞能做到的一個(gè)及時(shí)的修復(fù)或者緩解。

伴隨著當(dāng)前安全檢測(cè)技術(shù)的成熟，從一定程度上來講以現(xiàn)有的防火墻、入侵檢測(cè)與防御、web防火墻、以及各種概念包裝后各不相同的態(tài)勢(shì)感知，對(duì)此類攻擊的行為的檢出率基本上都沒有什么挑戰(zhàn)(及時(shí)更新規(guī)則庫)。經(jīng)過了3年的攻防演練之后，普遍能夠?qū)σ恍衢T的攻擊事件進(jìn)行有效的應(yīng)對(duì)，如當(dāng)前熱門的自動(dòng)化聯(lián)動(dòng)響應(yīng)(SOAR)通過多個(gè)安全產(chǎn)品的共同舉證與處置，在此類場(chǎng)景下反而存在一些天然的優(yōu)勢(shì)(攻擊劇本的paybook相對(duì)比較固定)也可較大程度上的減少安全運(yùn)營的工作量。

所以這種廣撒網(wǎng)的收割方式看似進(jìn)攻猛烈異常，實(shí)際有效性的成功案例相對(duì)較少，少部分缺少安全防御與邊緣資產(chǎn)、歷史遺留的那部分資產(chǎn)反而是成為一個(gè)主要的受害群體中毒后對(duì)原本安全的內(nèi)網(wǎng)造成了較大的威脅，所以最近一個(gè)關(guān)于ASM(攻擊資產(chǎn)暴露面)的新品類出現(xiàn)，主要從互聯(lián)網(wǎng)側(cè)以紅隊(duì)的思路去發(fā)現(xiàn)更多未在防護(hù)清單內(nèi)的”帶病上線”資產(chǎn)。

勒索、定向攻擊與竊密

大多數(shù)時(shí)候都喜歡把挖礦勒索放在一起討論，都是一些常見的黑產(chǎn)的一種能力變現(xiàn)的方式，從遇見的頻率和所用的技術(shù)層面來區(qū)分的話，二者之間的入侵思路與模式都有著較大的區(qū)別。區(qū)別于廣撒網(wǎng)的收割模式，目前大量的勒索團(tuán)伙采取的方式更加趨近于APT的模式，針對(duì)性的廣泛信息收集、步步為營的入侵模式、摸清家底后的快速攤牌。

從熱門的wannacry廣泛的使用MS17-010與RDP、SMB暴力破解進(jìn)行傳播擴(kuò)散、后續(xù)部分GlobeImposter開始利用mimikatz抓取密碼后的批量勒索、到現(xiàn)在熱門的勒索phobos家族的爆發(fā)，可以明顯的感知到勒索的過程當(dāng)中人工參與的成分逐漸增大。之前參與過多起勒索的事件的溯源與復(fù)盤，印象深刻的一次發(fā)現(xiàn)攻擊者入侵時(shí)間長達(dá)5個(gè)月之久，并在內(nèi)網(wǎng)當(dāng)中廣泛的收集各類信息尋找核心的業(yè)務(wù)資產(chǎn)與服務(wù)器，內(nèi)網(wǎng)橫向階段逐漸拋棄了低級(jí)的RDP爆破方式取而代之的是慢速的內(nèi)網(wǎng)探測(cè)與基于主機(jī)信息收集后的定向RDP登錄，甚至還有清理痕跡刪除日志的習(xí)慣。

針對(duì)部分安裝有終端殺毒的終端便是更加簡單粗暴的用一些驅(qū)動(dòng)層面的工具進(jìn)行卸載，以至于在多數(shù)被勒索的主機(jī)的回收箱與操作記錄當(dāng)中，都有一些應(yīng)急工具的痕跡。禍患常積于忽微，對(duì)比批量的RCE與漏洞探測(cè)，伴隨大部分的惡意行為脫離了原本的攻擊特征之后以至于市面上大部分的安全產(chǎn)品與方案顯得心有余而力不足。從一定程度來講當(dāng)前的勒索產(chǎn)業(yè)鏈(勒索即服務(wù))后端的入侵路徑和定向攻擊的的手法別無二致，技術(shù)上也更加難以識(shí)別期望依靠單個(gè)產(chǎn)品或者方案，想一勞永逸的避免這類事件的發(fā)現(xiàn)就顯得有些的盲目自信了。

之所以把勒索、定向攻擊與竊密場(chǎng)景歸類在一起，是從入侵的手法來看具有高度的一致性，只是在最后目的各有其表;由于最近連續(xù)3年的攻防演練的活動(dòng)，直接把對(duì)抗這件很專業(yè)的事件擺上了明面上來對(duì)比，很多參演方最后都發(fā)現(xiàn)很多安全產(chǎn)品的能力在真實(shí)的對(duì)抗場(chǎng)景當(dāng)中的易用性、安全能力、場(chǎng)景適配上都存在較大的差距。簡單總結(jié)一下，目前相對(duì)成功率較高的主要打點(diǎn)途徑為：

• 存在高危漏洞、未在安全防護(hù)出的邊緣資產(chǎn)，借此跳板接入內(nèi)網(wǎng)網(wǎng)絡(luò);
• 針對(duì)辦公網(wǎng)的員工發(fā)起的釣魚、釣鯨郵件攻擊;
• 針對(duì)熱門/行業(yè)性的應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的0-day利用;
• 結(jié)合信息收集與配置不當(dāng)、泄露賬號(hào)的業(yè)務(wù)層面攻擊。

另外一個(gè)比較大的特點(diǎn)在于安全廠商針對(duì)每一年的攻防演練進(jìn)行復(fù)盤的的時(shí)候，也會(huì)結(jié)合一些典型案例進(jìn)行專項(xiàng)的提升，也就變相的推動(dòng)攻擊手法的推陳出新，之前使用過的手法不加以改良的話在后續(xù)的活動(dòng)當(dāng)中的成功率會(huì)下降很多，甚至直接暴露自己。

于是可以看到當(dāng)前很多攻擊的隱蔽性得到了明顯的提升，比如當(dāng)前熱門的DOH域前置技術(shù)、webshell的變形對(duì)抗、基于TCP/UDP的隧道通信、白進(jìn)程遠(yuǎn)程/本地加載惡意dll、基于Java增強(qiáng)字節(jié)碼的內(nèi)存馬后門、無文件攻擊、CS馬的bypassEDR、各類自定義加密的webshell通信流量、TV向日葵做遠(yuǎn)程軟件等過手法已經(jīng)屢見不鮮，即使在真實(shí)的打點(diǎn)過程當(dāng)中，也可構(gòu)造一些惡意的漏洞探測(cè)流量以瞞天過海，分散運(yùn)營人員的精力。

還需要時(shí)刻提防來自于針對(duì)應(yīng)用的各類0day、從安全建設(shè)方的角度來看，在此類場(chǎng)景下始終還是處于一個(gè)被動(dòng)防守的過程，甚至不知道攻擊者來自何處、使用什么攻擊方式、攻擊那些資產(chǎn)，雖然短時(shí)間也主推過欺騙防御技術(shù)卻無法解決好二個(gè)主要的問題(業(yè)務(wù)仿真、漏洞反制)。

在大多數(shù)的群體當(dāng)中安全人員往往投入的精力是資源相對(duì)有限，對(duì)網(wǎng)絡(luò)資產(chǎn)的梳理都不甚清晰，在業(yè)務(wù)快速增長的背景下風(fēng)險(xiǎn)出現(xiàn)的更加頻繁，僅僅依靠目前主流的安全設(shè)備進(jìn)行監(jiān)測(cè)在應(yīng)對(duì)高隱蔽的攻擊場(chǎng)景還存在較大的差距，現(xiàn)在很多場(chǎng)景開始主推威脅狩獵(Threat hunting)本著主動(dòng)發(fā)現(xiàn)威脅的思路從蛛絲馬跡處定位這些高級(jí)威脅。

業(yè)務(wù)安全

安全建設(shè)的比較麻煩的一個(gè)問題在于如何去體現(xiàn)工作帶來的價(jià)值，不出事的時(shí)候感覺沒有什么存在感，有點(diǎn)安全問題的時(shí)候就顯得日常的工作不完善，年底總結(jié)的時(shí)候比較常規(guī)的方式是總結(jié)一年的時(shí)間里面抵御了多少次XXX攻擊，發(fā)現(xiàn)XXX個(gè)病毒、應(yīng)急了XXX個(gè)事件;但是從業(yè)務(wù)安全的角度去思考的方式，就逐漸清晰了很多如果能說幫助業(yè)務(wù)減少了XXXX的經(jīng)濟(jì)損失，保護(hù)了XXX用戶的信息安全、是不是就量化的比較明顯了，從一定程度上說業(yè)務(wù)安全的建設(shè)比基礎(chǔ)的安全建設(shè)更容易體現(xiàn)價(jià)值。

從web安全的的視角看，基礎(chǔ)的web漏洞如sql Inject、XSS、文件包含類的出現(xiàn)的頻率也逐步減少，伴隨著開發(fā)人員的安全意識(shí)提升、各類框架提供的安全組件、安全廠商的設(shè)備覆蓋，SDL的流程限制、以及少部分的開源RASP與基于Nginx類中間件的安全模塊加持，此類漏洞的危害度被逐步減少。以至于在比較多的滲透測(cè)試場(chǎng)景更加偏好于對(duì)業(yè)務(wù)安全的漏洞挖掘、典型如賬號(hào)撞庫、越權(quán)訪問、請(qǐng)求包重放、條件競爭、任意賬號(hào)密碼重置、短信驗(yàn)證碼爆破等場(chǎng)景。

但是此類攻擊往往造成的損失是在應(yīng)用層面，典型的就是在前幾年很多起步階段的電商平臺(tái)，很多都存在身份校驗(yàn)不嚴(yán)格導(dǎo)致的任意訂單取消、支付漏洞、遍歷訂單的安全風(fēng)險(xiǎn)，此類場(chǎng)景下的安全建設(shè)往往需要貼合具體的業(yè)務(wù)場(chǎng)景進(jìn)行剖析。

從技術(shù)的角度看，業(yè)務(wù)安全的視角最關(guān)鍵還是需要解決流程自動(dòng)化攻擊的問題，需要確認(rèn)當(dāng)前提交請(qǐng)求的發(fā)起對(duì)象是個(gè)人還是機(jī)器，個(gè)人用戶在終端上的操作頻率與輸入都相對(duì)有限，解決好很多掃描工具、數(shù)據(jù)包發(fā)起工具、爬蟲也能減少較多沒有實(shí)際價(jià)值的告警噪聲;同時(shí)在應(yīng)對(duì)各類貓池、分布式的請(qǐng)求、養(yǎng)號(hào)等細(xì)分領(lǐng)域的背景下也依賴業(yè)務(wù)處不同地方的埋點(diǎn)與行為分析，定位隱藏在正常的業(yè)務(wù)邏輯下的惡意請(qǐng)求。

應(yīng)對(duì)入侵-威脅檢測(cè)

當(dāng)前主要的入侵檢測(cè)類設(shè)備主要的形態(tài)有三大類，基于網(wǎng)絡(luò)流量類、終端檢測(cè)類、日志分析類;典型的網(wǎng)絡(luò)流量類主要覆蓋由Snort、Suricata衍生系列的各類IPS/IDS/FW/NTA類、終端檢測(cè)類主要覆蓋一些世面上常見的殺毒軟件(啟發(fā)式文件查殺、Yara特征)、行為檢測(cè)類(IOA)，依靠對(duì)操作系統(tǒng)層面的網(wǎng)絡(luò)行為(發(fā)起、接收)、進(jìn)程/服務(wù)行為(拉起、創(chuàng)建)、文件行為(打開、寫入、更新、刪除)進(jìn)行采集分析。

日志分析類常見的如splunk、日志易或者基于ES的二次開發(fā)的SIEM分析平臺(tái)，主要數(shù)據(jù)源可以分析不同的安全設(shè)備的告警日志、部分web應(yīng)用的日志、操作系統(tǒng)的日志等。除開熱門的三大類之外還有一些專項(xiàng)的能力比如威脅情報(bào)、沙箱、蜜罐類的產(chǎn)品有等不同的產(chǎn)品形態(tài)。

稍微總結(jié)一些可以發(fā)現(xiàn)，此類安全產(chǎn)品主要的工作原理基本上都比較類似，基本上都是采集數(shù)據(jù)、處理數(shù)據(jù)、分析數(shù)據(jù)(場(chǎng)景分析、特征工程)、產(chǎn)生安全告警。區(qū)別在于不同的產(chǎn)品采集的數(shù)據(jù)對(duì)象并不相同，并且有不同的優(yōu)勢(shì)場(chǎng)景，比如在識(shí)別SSH暴力破解的場(chǎng)景，流量層的產(chǎn)品往往無法識(shí)別此類加密流量的數(shù)據(jù)內(nèi)容因此只能從行為側(cè)判斷，但是在終端側(cè)通過登錄日志的分析可以輕易的獲取到攻擊者的源IP、登錄的賬號(hào)、時(shí)間等信息。

在數(shù)據(jù)泄露的場(chǎng)景依靠流量層的數(shù)據(jù)對(duì)保護(hù)對(duì)象的外發(fā)流量，從上行包、下行包的大小、頻率進(jìn)行統(tǒng)計(jì)或者異常檢測(cè)時(shí)，相對(duì)于終端層面的開銷與易用性層面就存在明顯的優(yōu)勢(shì)。但是換一個(gè)思路的話可以發(fā)現(xiàn)，無論是終端數(shù)據(jù)的分析抑或是流量層的數(shù)據(jù)分析，最后需要識(shí)別的攻擊場(chǎng)景基本上都是保持高度一層，花開兩朵各表一枝，本身攻擊行為就無法離開終端、網(wǎng)絡(luò)與日志而獨(dú)立存在至少之前缺少對(duì)應(yīng)的探針(Sensor)進(jìn)行采集，做安全運(yùn)營、分析、溯源的人員都應(yīng)該都知道，采集到的數(shù)據(jù)越全面描述一個(gè)攻擊行為就越細(xì)致越準(zhǔn)確，從安全效果的術(shù)語描述即高檢出、低誤報(bào)。

采集數(shù)據(jù)雖然各不相同，處理數(shù)據(jù)的思路卻基本一致分字段進(jìn)行拆解形成多個(gè)維度的key-value的鍵值對(duì)進(jìn)行存儲(chǔ)，數(shù)據(jù)量較少的時(shí)候以ES為主，單節(jié)點(diǎn)的ES經(jīng)過性能優(yōu)化EPS差不多在2W左右，少數(shù)數(shù)據(jù)量的場(chǎng)景可應(yīng)用集群場(chǎng)景，針對(duì)海量數(shù)據(jù)普遍無論是分布式的存儲(chǔ)還是當(dāng)前熱門的數(shù)據(jù)湖的概念，都是針對(duì)于格式化數(shù)據(jù)的存儲(chǔ)方案(部分商業(yè)產(chǎn)品以流式引擎為主不存儲(chǔ)原始數(shù)據(jù))。

而呈現(xiàn)在用戶面前的安全效果的價(jià)值，就更加依賴于對(duì)安全檢測(cè)的人員具體能從這一批原始的數(shù)據(jù)當(dāng)中能夠提取到那些有用的信息;分析數(shù)據(jù)是比較能夠體現(xiàn)一個(gè)人/團(tuán)隊(duì)安全能力與工程化能力的階段，首要階段是需要先確定具體應(yīng)該識(shí)別怎么樣的安全問題，以及過程中需要用什么那些數(shù)據(jù)、使用什么樣的檢測(cè)方法、預(yù)期達(dá)到什么樣的效果。

關(guān)于具體的安全場(chǎng)景選擇本身就是一個(gè)關(guān)鍵點(diǎn)，需要了解當(dāng)前白帽子常用的攻擊手法有那些，有一些的衍生的出來的變種，是在什么樣的場(chǎng)景下會(huì)選擇怎么樣的攻擊方式。比如從今年的攻防演練當(dāng)中發(fā)現(xiàn)攻擊者普遍大量的使用釣魚郵件作為主要的攻擊手法，就需要剖析一下這個(gè)場(chǎng)景我們需要采集到什么樣的數(shù)據(jù)。

流量層的SMTP、Pop3、HTTP-webmail等內(nèi)容、如果是加密的https的webmail或者私有協(xié)議，很大可能性就無法通過標(biāo)準(zhǔn)化的流量sensor獲取到相關(guān)信息，終端的sensor能夠識(shí)別到新增文件的執(zhí)行并能對(duì)樣本做進(jìn)一步的查殺、卻無法獲取到郵件正文的內(nèi)容，是否可以從流量側(cè)去識(shí)別中毒后主機(jī)的C2過程?應(yīng)對(duì)的免殺的樣本是否有新的方法作為補(bǔ)充?等等一系列問題，都有依賴于安全研究的人員去思考，拿出一套切實(shí)可行的方案出來。

安全檢測(cè)的思路

安全檢測(cè)主要思路粗略分基本就二種：基于模式匹配的誤用檢測(cè)、基于算法基線的異常檢測(cè)。當(dāng)前使用范圍較廣的依然是誤用檢測(cè)的邏輯，安全研究人員通過對(duì)已知黑樣本/攻擊手法當(dāng)中提取對(duì)應(yīng)的特征字段、可能是某一個(gè)特定傳輸協(xié)議的某一個(gè)特定的字符串內(nèi)容、字符串集合，典型的如開源的yara規(guī)則識(shí)別惡意樣本的場(chǎng)景。

由于攻擊者的手法普遍變化較快導(dǎo)致一些規(guī)則過于嚴(yán)格的策略，無法識(shí)別到變種的攻擊行為，從而在犧牲誤報(bào)率的同時(shí)，提升檢出率。單個(gè)特征的檢測(cè)模式雖然準(zhǔn)確、快速有效但依然面臨著較大的安全挑戰(zhàn)，尤其是特征維度增加的時(shí)候(多條件判斷)，針對(duì)于每個(gè)不同維度的特征的權(quán)重就尤為重要了，手工去調(diào)整存在較大的誤差性，那是否可以交給代碼去完成了?答案是肯定的，目前很多的AI+安全思路本質(zhì)上是解決了此類問題，以代碼化的方式表示設(shè)定的好特征，通過大量的已分類的優(yōu)質(zhì)樣本訓(xùn)練，最后將抽象的判斷轉(zhuǎn)化了多維向量的相乘(安全的盡頭竟然是數(shù)學(xué)?)。

但由此以來也增加了很多的不確定性，導(dǎo)致很多安全問題最后無法被得到了一個(gè)準(zhǔn)確的描述;而且此類方案有一個(gè)非常致命的問題，現(xiàn)有的安全能力是通過對(duì)已知的攻擊手法的整理而得出的，也就意味著如果是一個(gè)全新的攻擊方式，或者不在特征規(guī)則范圍的行為將會(huì)被漏掉，而目前大量的已知的攻擊同樣也在衍生出更多的新的特點(diǎn)，導(dǎo)致安全研究人員需要不斷的增加的知識(shí)，提取新的規(guī)則、識(shí)別新的風(fēng)險(xiǎn)，從這個(gè)背景看的話在對(duì)抗的過程中依然處于弱勢(shì)地位，單純的被動(dòng)響應(yīng)。

我們更加希望能夠一個(gè)主動(dòng)出擊的方式，去應(yīng)對(duì)各類威脅，通過對(duì)被保護(hù)的資產(chǎn)從細(xì)的顆粒度進(jìn)行一定的時(shí)間的學(xué)習(xí)定位”出廠配置”的標(biāo)準(zhǔn)行為，只要后續(xù)的行為符合滿足基線的訪問即為正常、反之則為異常?；谶@種思路即使對(duì)于各類變化多端的攻擊行為，依然能夠作為不變以應(yīng)對(duì)萬變，思路的確是相對(duì)新穎，但過程中對(duì)于百行為基線的建立、以具體場(chǎng)景和行為去建立基線卻是當(dāng)前最為主要的挑戰(zhàn)，同時(shí)針對(duì)業(yè)務(wù)復(fù)雜/變更頻繁的保護(hù)對(duì)象適用性也相對(duì)較差。長期來看二類不同的檢測(cè)思路最終依然會(huì)走向一個(gè)統(tǒng)一的方向，以適應(yīng)當(dāng)前日益加劇的攻防不對(duì)等的思路。

很多做紅隊(duì)的大佬普遍思維比較活躍、奇思妙想且出人意料用安全行話說就是：表哥姿勢(shì)真多，但如何將個(gè)人能力轉(zhuǎn)化成一個(gè)產(chǎn)品的能力，將攻擊的能力轉(zhuǎn)化成防守的能力卻依然有很多的挑戰(zhàn)需要去面對(duì)。

最后一個(gè)話題是關(guān)于安全效果的評(píng)估的，感覺前幾年的確是缺少一個(gè)合理的方式或者工具去評(píng)估現(xiàn)有安全產(chǎn)品的能力的，普遍都是各個(gè)產(chǎn)品或者廠家提供一批”公平公正”的優(yōu)勢(shì)POC的樣本集，最后無論怎么測(cè)試反正都是自己最強(qiáng)，其他的都不行。直到最近的攻防演練反而成為一個(gè)最佳的實(shí)踐方法，頗有一個(gè)不服跑個(gè)分的錯(cuò)覺，應(yīng)該沒有什么比實(shí)戰(zhàn)的環(huán)境下的能力評(píng)估更有效、也更有說服力了。

安全效果依賴于運(yùn)營，安全運(yùn)營的發(fā)現(xiàn)的問題(誤報(bào)、漏報(bào))能夠反作用于安全效果的改進(jìn)，大家都試圖在檢出率與誤報(bào)率之間尋求一個(gè)相對(duì)合理的平衡點(diǎn)，也頗有一種生成對(duì)抗網(wǎng)絡(luò)的邏輯只是安全運(yùn)營的工作更加依賴于白帽子的努力。

總結(jié)

無論是在甲方(單場(chǎng)景)還是在安全廠商的乙方(多場(chǎng)景)目標(biāo)都是保護(hù)業(yè)務(wù)免受安全風(fēng)險(xiǎn)，保護(hù)的業(yè)務(wù)可能有較大差異，但在面臨的攻擊手法與檢測(cè)技術(shù)領(lǐng)域卻是高度相似，從安全源頭出發(fā)減少開發(fā)階段出現(xiàn)的風(fēng)險(xiǎn)、上線后加以對(duì)應(yīng)的安全防護(hù)與檢測(cè)、出現(xiàn)安全問題的響應(yīng)與溯源復(fù)盤，安全是一件很專業(yè)的事情，本質(zhì)從來都是攻防技術(shù)的對(duì)抗。

由于今年寫了比較多的內(nèi)部文檔頗有一些身心俱疲的無力感，剛好元旦三天有些許空閑時(shí)間總結(jié)自己一些對(duì)于反入侵技術(shù)的一些個(gè)人理解與趨勢(shì)，文檔之中頗有疏漏煩請(qǐng)各位斧正，如果有不同見解或思路，歡迎提出討論。