企业动态

    每年的网络安全实战攻防演习，终端都是兵家必争之地。攻击队寻找终端安全的薄弱环节作为跳板，进而渗入内网，继而进行横向攻击，拿下靶标的比比皆是。然而过去，安全运营更多的注重于来自网络侧的威胁，如流量检测、日志分析告警等等，对终端安全运营始终重视不足。

    而且，终端的分散性、运营工作的复杂性，导致很多安全运营人员对其望而却步，更多依赖于终端安全软件自身的被动防守功能，在攻防演习中极其被动，或者被攻击丢分，或者不能溯源无法拿到得分机会。

    该如何扭转这种情况？一个名为奇安信猎鹰服务平台（ESOP-ESFS、简称猎鹰平台）的运营参谋工具，在近年的实战攻防演习中，越来越获得防守队的青睐。猎鹰平台是在天擎云查数据的基础上，通过规则运营与云端运营专家在大量主防数据中分析出的高优先级告警，并最终通过云端服务平台推送给用户的威胁告警服务。它可以提供专业、及时、准确的攻击线索、重要预警、安全建议等等，成为攻防演习期间安全运营最不可或缺的强力助手。2023年尤其如此。

    每日一日报、三日一专报，发现线索3626 次

    兵马未动、情报先行。从2023年实战攻防演习第一天开始，猎鹰平台就开启了“日更”模式，每天产出当天的攻防趋势汇总，包括并不限于攻击手法、攻击来源、冒充对象、钓鱼关键字汇总等等，并给出了安全建议。

    例如：

    第一天——暗流涌动，“漏洞”谣言满天飞

    攻防演习首日攻击队兵不厌诈。各种“漏洞”谣言满天飞，通过舆论制造恐慌，以打乱防守方防护策略。同时攻击队也开始小范围常规手法试探中。建议各防守方不听不信谣，稳步防守策略。

    重要预警：某办公软件安全漏洞（详情略）

    第二天——初具规模，钓鱼手段渐入佳境

    攻防演习第2日攻击方开始用上常规攻击手段：钓鱼。通过钓鱼第一步诱导受害者打开，然后在受害者设备中站稳脚跟。再用该环境作为跳板对内网进一步渗透攻击。除了钓鱼以外，一些业务应用或组件漏洞也开始被利用起来。

    重要预警：钓鱼，攻击队不变的主题

    建议：对员工进行安全教育，教育员工查看接收到的文件的识别方法。减少员工被钓鱼的风险。

    重要预警：平台漏洞，最有效的攻击

    建议：定期对业务系统或业务使用组件进行更新，必要时对业务系统进行加固，坚持非必要不暴露原则。避免给业务系统以及内网造成损失。

    ……

    第九天——群魔乱舞，攻击手段难度上升

    攻防演习第9日工作日，今日攻击继续上升中，猎鹰平台监测奇安信天擎拦截的攻击数量在继续上升。攻击手段方面钓鱼依然是使用率较高的手段。随着演练时间的推进，各种早期被发现的漏洞基本都已经修复完毕。攻击队正在尝试难度更高的攻击手段，如：供应链攻击。

    重要预警：演练后期，警惕供应链攻击

    第十天——与时俱进，攻击队偏爱“利益”类关键词

    攻防演习第10日工作日，今日整体攻击量依然在高位，攻击方式以钓鱼为主。也许是因为经济大环境不太好，近期发现钓鱼样本诱导字眼也逐步趋向于人员企业利益相关关键字，比如：社保调整，补贴，减免，优惠，新规等等。

    重要预警：警惕钓鱼，“利益”类关键词成新宠

    ……

    第十五天——最后一天

    攻防演习第15日工作日，演练最后一天，今日攻击和告警数量减少，各大攻击队主要精力纷纷开始写报告做总结。今日少量的攻击应该来至得分较少的攻击队，在最后一天能挣一分是一分吧。主要攻击途径还是钓鱼。

    从开始到结束，15天攻防演练终于告一段落。在这15天里，猎鹰终端安全分析专家和广大客户一起严防死守，共建防守城墙。并在发现问题后第一时间通知客户，为防守方挽回分数提供了关键线索和有力证据。也在防守的同时帮助我们的客户提供了处置的方法和意见。

    猎鹰终端安全专家认为，演练只是一次演习，演习的根本目的还是希望企业单位客户能够提升企业内网安全防范水平。在日常的工作中做到防范有度，减少网络安全事件的发生。

    经过本次猎鹰平台持续15天的线索统计和研判分析，近年实战期间整体攻防趋势如下：

    在攻击手法方面，本次演练攻击手法、攻击来源、冒充对象、钓鱼关键字汇总如下：

    据统计，2023年整个攻防演习期间，仅奇安信天擎终端安全管理系统接入猎鹰平台的日志量，平均每天均达到了百亿级。猎鹰终端安全分析团队累积发现攻击线索3626 次、猎鹰告警227次，病毒库响应近30万条。同时生成了15篇猎鹰日报，5篇猎鹰专报。

    为什么“猎鹰”能持续提供最有价值线索？

    线索获取千千万，为什么猎鹰平台能获得最有价值的攻击线索，主要得益于以下几个方面：

    首先是识别伪装的能力。经过无数次攻防演习的锤炼，每一个攻击者，都是善于伪装自己的。15天的攻防对抗，都是高手过招，攻击者构建的攻击工具和恶意代码通常是过杀软免杀的，一般的防病毒产品还真发现不了。告警更是无从谈起。

    猎鹰平台，如同它的名字，眼睛特别毒辣，即便最善于伪装自己的攻击，也能明察秋毫的发现。别人看不过来的日志，它也能照单全收。

    其次是全量日志的汇集分析。终端作为跳板，非常分散，“敌我”难分。不少参加攻防演习的单位，动辄拥有数万甚至十数万台办公终端，总有一些防护相对薄弱的直接暴露在互联网上。这些薄弱点一旦被攻击者发现和抓住，就可能利用利用人性的弱点用钓鱼、社工等方式攻陷终端打入企业内部，然后再以此内网终端为跳板直捣目标系统。

    猎鹰平台全面接入了奇安信天擎终端安全管理系统的日志量，演习期间每天能到百亿级，直接将终端遇到的威胁全部洞察。

    最后是强大的安全事件还原能力。终端上的行为日志非常分散、碎片，无法还原成安全事件。对于安全分析人员，无法形成有价值的参考，更不提溯源追踪了。猎鹰平台有非常强大的大脑，敏锐的思考能力。所有终端上的行为日志都可以接入到猎鹰平台上，结合多维度的分析模型进行智能研判，最终输出一条条安全事件，也就是什么时间、在哪台终端上、都有什么攻击者干了什么可疑的事情。

    可以说，猎鹰是运营人员兼具判断力和执行力的最强助手，它将云端威胁情报与本地主防数据相结合，抓取出具有前置性的可疑行为，通过规则与专业运营人员专属分析，将多条日志关联，形成完整攻击链条，并精准的挑选出优先级更高的告警提供给用户以便用户更快响应，且提供处置建议，让安全事件形成处置闭环。

    更重要的是，它的部署也非常容易。猎鹰服务不改变原有天擎的部署架构，轻量化部署云端服务平台，配合专业运营人员帮助用户及时发现终端异常行为和可疑攻击事件，并提供多种通报方式使用户快速获取安全告警以便快速响应处理。

    图 猎鹰服务平台界面图

    图 猎鹰服务架构

    总之，有了猎鹰的辅助，防守队的压力一下子小了很多。毕竟有一个眼疾手快、足智多谋的参谋助手，每天都能分析最新的攻击手段动向和流行趋势，就能有的放矢，有重点的查漏补缺，还能溯源拿分，彻底扭转“易攻难守”的局面，最终为取得演习高分奠定基础。