企业动态

    “以攻促防”连载系列终于迎来了收官之作，攻击方（蓝队）经历了侦察、武器构建、载荷投递、目标植入、权限提升与横向移动等步骤之后，开始实施第六步：目标达成。

    到这一步，攻击方（蓝队）通常已经获取足够权限、感染了足够机器。此时，攻击方通常会通过命令与控制服务器（C2），与感染机器实现通信并下发命令，执行窃取数据、破坏等一系列操作，并将窃取的数据回传至自身服务器中。该环节对于防守方而言，一方面要守住靶标，避免失陷，实现“零失分”；另一方面，需要积极溯源反击，反客为主，获得丰厚加分奖励。

    本文重点从溯源反制角度，来分析防守方如何能够通过各种海量告警和攻击行为，准确研判分析，快速定位到真正有威胁的攻击者，完成大逆转。

    01

    防守队难点

    攻击高手善于隐藏海量告警疲于奔命

    电影《黑衣人》有这样一个情节：几位层层选拔、万里挑一的精英，到了最后的考试环节。大家走进一个怪物乱飞的黑屋子里，所有人都在慌忙射击各种外星人模型，只有史密斯扮演的主角，不紧不慢，一枪崩了小女孩，成为唯一通过考试选拔的黑衣人。

    史密斯的逻辑是，哪些怪物看似张牙舞爪，但或健身，或打喷嚏，并没有威胁，只有这个8岁的小女孩，深夜在满是怪物的大街上，拿着本《量子物理》，不合常理，因此最具威胁。

    在实战攻防演习中也是如此，所谓“明枪易躲，暗箭难防”，要从各种海量复杂的攻击告警中，排除表面干扰、识破伪装，找出真正有威胁的攻击者，这对防守队的各方面能力具有极高的挑战。

    首先，所有高明的攻击者都是隐藏高手。他们每次攻击行为都异常隐蔽，不易被发现，即便留下线索，也是零碎的细枝末节，依据现有数据无法全面还原攻击者来源、身份、使用的基础设施、攻击手法等技战术能力水平，难以实现对攻击者的精准画像和溯源分析。

    其次，事件响应和调查往往都是后知后觉，容易延误战机。当攻击行为发生之后，经过一系列的告警、分析、研判、响应、处置等流程，才能获得更多的数据信息，这些造成时间的之后，往往会失去溯源反制的最好时机。

    第三，海量告警会给研判分析带来极大的压力。拿北京冬奥期间为例，平均每分钟4400次、共计3.8亿次的网络攻击，如果没有强大的分析研判体系，这样海量的攻击会让有限的安全运营人员，将精力淹没在处理无效告警之中。

    02

    白泽平台

    精准画像锁定真正有威胁的攻击者

    奇安信攻防专家认为，防守方需要再攻击者目标达成的阶段，快速进行精准的溯源反制，其中最核心的工作就是：一旦发现攻击行为，防守方要能够及时发现，并基于全量日志和外部数据的补充，实现对攻击行为以及幕后攻击者的精准画像。

    要实现这个能力，看清是第一步，也是最重要的一步。按照奇安信集团态势感知首席研判专家赵晋龙的观点，“网络安全告警的本质是存在一个明确的威胁主体怀着一定的意图，对一个网络系统发起各种手段的攻击尝试所引发的现象。研判系统就是要将存在高威胁可能的威胁主体从海量的威胁告警中判断出来，因此，如何评估‘高威胁可能’是研判工作的重中之重。”

    基于白泽平台的研判系统，通过对基础设施、攻击能力与攻击目的进行分析的基础分析框架，根据攻击者历史上展现的攻击手段、攻击频度、掌握基础设施数量等多维度数据对其能力进行评估，将高威胁可能的主体从海量报警中找出，对既遂的安全事件进行有效应急处置，并针对高风险的未遂安全事件采取针对性防御和分析措施，进而全面提升面对海量报警时的分析研判能力与水平。

    白泽平台负责人林子翔认为，“看清攻击者后，排除掉所有‘明面上’的攻击者，藏在黑暗处的‘未知攻击者’自己就会浮出水面。这时候安全工作就可以极具针对性，有的放矢。”

    林子翔分享了一个故事：2月11日，北京冬奥期间，在日常分析过程中，一组新出现的境外攻击IP引起了奇安信安全团队的注意。其攻击手段和历史攻击行为具有较强的针对性，有可能是境外高级黑客组织的前期侦查类活动。奇安信A-TEAM团队立刻联系了冬奥现场安全运营组进行升级观测。2月12日，在经过多方查证后，基本确认该组织为海莲花APT组织，其使用了多款自研的扫描工具和人工探测的方式尝试对冬奥相关设施进行渗透。由于奇安信在其前期阶段已经准确发现并识别，该组织的所有攻击尝试已经无法构成安全威胁，最终将该分析简报上报给国家有关部门。

    在北京冬奥保障过程中，以白泽平台为基础的态势感知研判系统，为攻击研判提供了快、准、稳的有效支撑。尤其在开幕式前，得益于白泽平台数年来积累的过亿量级的攻击者库，系统仅使用了1个人天，就把全部存量攻击来源IP完成了分级和分类。从数以千万计的攻击中，快速筛查掉不需要关注的攻击主体，并确定了15个高价值的攻击者。

    03

    Alpha平台

    情报用的好加分少不了

    兵马未动，情报先行。要准确分析出攻击行为是否恶意，还要依赖于奇安信Alpha威胁分析平台（点击阅读原文查看网址）。根据奇安信威胁情报专家王胜利介绍，该平台是面向安全分析师、事件响应人员的综合性威胁情报分析平台，可以提供告警研判、攻击定性、黑客画像等功能。

    其中，阿瑞斯武器库特有的攻防演习IP情报箱，在攻防演习期间，收集奇安信专业的驻场安服分析师和用户实时上报的恶意IP，经过威胁情报中心的过滤和富化以后，输出至各类安全检测与响应设备，共同打造精准实时的与攻防演习密切相关的IP情报共享机制。而分析任务管理模块支持将攻防演习中的攻击事件共享，丰富线索及攻击者画像，有效对事件进行管理。

    依托威胁情报中心的专家团队，Alpha平台还针对在攻防演习中产生的恶意样本等信息进行追踪溯源及关联定性，并实时同步共享给各地平台使用方，实现协同防御，帮助防守方有效阻断攻击，优化防守方式。

    两军相争，兵贵神速。Alpha平台还提供业界知名的红雨滴云沙箱，自动化高对抗样本分析，30秒生成专业分析报告，基于Alpha平台完备的威胁情报和互联网基础数据，以及数据覆盖度、信息种类、数据的时间/空间跨度的多重优势，通过专家级的自动化日志分析，快速锁定真正有威胁的攻击者，快速进行画像、持续跟踪，揪出背后隐藏的攻击者，保障了攻防期间研判分析的精准性。

    04

    助力溯源反制

    奇安信安服提供强大后盾

    为了帮助防守队在溯源反制环节，变被动为主动，守住靶标拿高分。奇安信安服团队在2022年实战攻防演习中，推出了多项举措，尤其强化了溯源力量。其中包括建立专业的二线溯源团队，建立一、二线溯源工作流程，同时集中集团级优势力量，专注溯源工作，解决一线项目溯源资源不足的问题。而在产品方面，基于天眼等产品的云端数据分析和白泽溯源平台得能力，全面提升二线溯源团队力量，并汇聚多渠道数据来源，增强多项目关联分析能力。

    同时，威胁情报也将充分运用于溯源反制的环节之中。通过安服团队和威胁情报中心的紧密合作，基于每个项目防守团队发现的攻击队相关情报信息，都通过Alpha威胁情报平台实现情报共享。而一线收集、共享的情报信息和二线情报关联分析，对一线提供情报支撑和可视化结果展示，再加上一线和二线团队协同，通过攻击样本分析进行攻击者聚类识别，精准锁定攻击者，助力防守队2022年实战攻防演习拿到格外加分、取得优异成绩。