1、基于情报驱动的实战化运营体系绿盟科技 曹嘉2021年对抗趋势2021年攻防演练攻击方“从成长期走向成熟期”2021年攻防演练防守方“孤军奋战已不适应攻防趋势”共监测到148个有效漏洞，69个0day漏洞，79个Nday漏洞，漏洞数量相较去年增长147%，应急的63起钓鱼事件中，包含热点事件钓鱼、利用浏览器内核漏洞对微信PC用户钓鱼等更多资源投入漏洞挖掘、收集购买0day漏洞，以争取正面突破得分；愈趋成熟的钓鱼攻击结合0day漏洞利用，更加难以防护。0day为王，“人”者无敌零日漏洞接收到的恶意样本中反沙箱占19.5%，免杀占78%，流量伪造占46.3%，开展溯源的501个真实对象中，使用CDN

2、/云函数相关隐蔽技术的达113个，同比往年大幅度增加免杀、伪装、隐匿技术发展趋成熟，技术开放使相关技术得到更加广泛应用伪装通信，隐匿行踪隐蔽隐匿基于情报的联防联控机制，完成了121个真实攻击者画像，形成了13个攻击组织画像，其中包括5个蓝军，并成功追踪多个APT/黑灰产组织实战对抗瞬息万变，基于情报的联防联控机制，主动狩猎，提前防控，是应对规模化、武器化、自动化的攻击集团及境外势力的有效手段情报驱动，主动狩猎联防联控对全国防守单位的现状分析中发现，超过90%的单位未建立起成熟的安全运营体系，采取临时突击，或堆砌防护的方式应对实战，投入大量资金与人力均未能达到预期效果有体系的建立起企业安全运营能

3、力，通过运营实现对抗能力的常态化，在实战当中不断推动能力优化实战出发，归于常态运营三化自动化能力资产信息搜集边界突破内网信息搜集斩获靶标基础工具集平台自动化隐匿技战术基础工具NTI-资产/漏洞/信息情报库FireBox-攻击辅助工具集（字典/免杀/个人信息生成）C2-后渗透工具集Movekit-横向移动工具Elevatekit-提权工具Staykit-驻留工具ExecuteassemblyEx-工具执行载体Artifactkit/SharpObf-免杀处理工具IP/域名资产搜集端口/服务/通用系统指纹识别实战漏洞主动发现Titan-分布式对抗自动化平台EZ-内网应用/端口/漏洞探测互联网资产搜

4、集服务指纹识别源代码泄露自动分析OSINT自动化资产分析平台信息构造邮件/短信钓鱼站点伪造社工辅助平台目录CONTENTS驻留时间博弈攻击者希望延长在目标网络的驻留时间以更好进行内网漫游，主要手段：主动对抗（Anti）：针对防护技术进行主动出击，避免查杀检测绕过（Bypass）：从自身特征出发绕过查杀行为隐匿（Undetect）：避免防御者发现样本行为主动对抗权限提升与修改防护配置通信协议与内容GET/jquery-3.3.2.min.js行为隐匿检测绕过内存webshell(加密)Webshell加密通信演练期间：样本中反沙箱占19.5%，免杀占78%，流量伪造占46.3%溯源501个真实对

5、象中，使用CDN等隐蔽技术的达113个，同比往年大幅度增加非A.B.U.通常驻留时间约4小时，A.B.U.通常驻留时间约4天或更久Subdomain takeover通信进程进程注入域前置权限进程文件行为文件驻留的攻防博弈将会愈演愈烈合法证书内存使用率检测远程开关重点关注权限，监控以防护软件文件、进程、配置为目标的操作合法性设备主要依赖于行为特征（进程）、流量学习、威胁情报进行狩猎进行行为特征识别，依赖威胁情报指导静态特征识别（包括内存、文件特征）钓鱼攻击使用自动化工具，能够短时间内发送大量恶意邮件 团队作战，囊括话术、漏洞（如Chromium漏洞）、免杀等部分，扩大钓鱼成功概率钓鱼趋势变化

6、今年供接收59起钓鱼事件，占应急事件46%钓鱼事件数与总数趋势基本一致，针对目标倾向于优先使用钓鱼攻击 捕获钓鱼攻击相关样本共108个，较2020年68个上升58.8%钓鱼成功23起占比21%，较20年6起多近3倍，多起客户内部转发钓鱼事件，单次传播范围达1000+人参演客户安全意识仍有待提高钓鱼攻击是攻击主要手段钓鱼攻击专业化、专职化社区疫苗接种68549884322273295401214161820钓鱼事件发生趋势图应急事件数量钓鱼事件数量钓鱼攻击溯源以及钻石模型 逆向分析 使用了分发网络隐匿通信 AgentTesla为攻击载荷 联合威胁情报实

7、验室进行溯源与情报关联分析得到大量该攻击组织信息对手（Adversary）基础设施（Infrastructure）功能（Capacity）受害者（Victim）13个IP208.91.199.224.10个域名.2个邮箱.国家：中国行业：金融SSGToolzDozzyCeeCeeBossTMT16个恶意代码3466FDDCB*69CEEDB0C728984*D8B72A6CE1295E2D*67918AB7A1C6CF*D2BE4BC.1个攻击工具AgentTesla0个公开漏洞在钓鱼事件中，我们发现存在境外组织对客户进行钓鱼，但是因为邮件通篇英文而被识别可能存在问题。姓名网名身份Onuegw

8、u IfeanyiSSGToolz负责人，主要开发者Ikechukwu OhanedozieDozzy成员，受害者筛选Onwuka Emmanuel ChidiebereCeeCeeBossTMT成员，提供攻击目标典型打点和内网环境下的钻石模型 应急响应分析得到入侵路径 将黑IP作为情报进行下发 客户B进行流量告警回溯发现攻击队攻击 进一步扩展情报（域名、IP）整合情报再次下发，结合溯源前置方案捕获到攻击者真实身份对手（Adversary）基础设施（Infrastructure）功能（Capacity）受害者（Victim）除了钓鱼，攻击团队依然热衷于外围打点进行边界突破，以进入目标内外包括了

9、使用漏洞、弱口令进行正面破防，针对供应链企业、兄弟企业侧面破防再漫游至目标内网。国家：中国行业：制造业GJD005（代号）分支机构集团VPN关键信息收集精准钓鱼边界安全设备（代理）内网横移靶标2个恶意代码（CS beacon）4F7E0D*E4DB667D7*DB94个攻击工具FRPCobaltStrikeFscan自改冰蝎（内存马）1个公开漏洞Fastjson 反序列化2个非公开漏洞某安全防护设备远程命令执行某办公系统远程命令执行9个IP地址（多个同B段地址）139.*.*.253139.*.*.217139.*.*.221139.*.*.186139.*.*.56223.*.*.5939.

10、*.*.627.*.*.12747.*.*.861个攻击域名*0个邮箱账号高烈度攻防对抗的决胜点，在于信息差全网情报捕获本地安全运营威胁情报中心溯源反制专家溯源前置诱捕一体化平台IoAIoC恶意软件漏洞利用代码漏洞IP代码执行持久驻留隐蔽通信横向移动核心对抗产品可靠情报渠道情报分级分类威胁情报降噪溯源产品孵化诱饵投放运营事件运营流程威胁情报运营查询沉淀下发捕获诱捕工单基于情报和威胁狩猎的实战化运营体系漏洞情报舆情通告恶意IP情报其他情报观点如何有效的进行情报的消费（分析和使用）是 运营能力提升的银弹，盲目消费情报是运营能力提升的毒药；一个企业面临的威胁五花八门 多种多样，但对于一个具有庞大项目

11、群体 庞大客户基础的安全生态，威胁的总量和攻击的手法相对稳定；基于事件数据进行威胁狩猎异常行为类异常登录类恶意扫描类特征关联IP及域名关联威胁评分威胁画像命令执行类威胁调研溯源反制交叉验证行为分析关联分析威胁研判情报联动威胁威胁事件情报情报告警告警防护修复基于情报&事件驱动的威胁狩猎云地协同，事件、情报闭环率100%联防联控，甄别4526个高可信威胁IP，捕获并画像121名攻击者完成12个攻击画像，其中发现2个APT组织/黑灰产情报捕获云端基于情报驱动的威胁狩猎Weblogic反序列化漏洞PoC分析假设云端NTI 测绘T3数据快速工具化打击收割特征分析情报下发云端漏洞检测与修复方案攻击流量回溯

12、脚本/语句防护规则情报消费本地防护修复攻击调查诱捕更新调研反馈云地威胁调研结果反馈持续狩猎云地应急处置添加特征本地回顾云端溯源转换事件情报实战化运营指标情报产品应急溯源传递传递研判支撑传递传递攻防对抗全生命周期覆盖率覆盖率策略完整率准确率响应效率闭环率闭环率事件研判产品防护情报处置应急响应溯源分析保障人员保障人员保障人员保障人员保障人员研判效率威胁狩猎画像完成率漏洞回溯中台一体化平台情报推送临时防护缺陷优化规则补丁应急支撑样本分析溯源支撑反制支撑威胁狩猎消息接收自动化噪音率功能满足率研判传递能力类型指标底座能力已覆盖核心能力数/总核心能力数流程能力SOP关键流程自动化理论覆盖度流程能力自动研判

13、规则对MDR分析规则集（有效）覆盖度流程能力SOAR剧本对MDR分析规则集（有效）覆盖度执行效果特定环境平均分析时长执行效果处置剧本有效性=某事件有效处置/该事件总数执行效果实际分析时长/预期分析时长执行效果特定流程使用自动化功能的项目数量/总项目数量需求响应平均需求实现周期基于OODA运营自动化 执行效果 流程覆盖率 需求接受 实现周期平台告警数据查询场景扩充能力优化平台SIEM：导向（O）分析告警研判查询关联外源情报内源情报行为分析多源日志平台SOAR：决策（D）事件升级信息富化事件缓解取证分析自动化剧本人工剧本/工单响应节点：执行（A）取证内存注册表沙箱防御性封堵中止查杀告警信息环境信息

14、行为信息指令结果 信息源覆盖 信息量覆盖 逻辑判断能力 信息处理与理解 交互性 查询逻辑 研判规则覆盖 及时 完整 规范 准确/漏报 信息完整度 环境适配能力 自定义能力 特例处理 编排自定义逻辑 跟踪闭环 预设剧本覆盖 可视化与通知 调用能力覆盖 富化信息充分性 及时 可靠 精准 能力完备性 及时、完整、规范 查询覆盖检测节点：观测（O）主动情报告警蜜罐捕获诱饵命中被动特征匹配行为记录语义分析 转化率 有效率 人工干涉1、MTT（D）R2、Playbook覆盖度3、自动研判覆盖度4、标准化程度5、人力资源优化6、对抗性1、MTT（D）R2、Playbook覆盖度3、自动研判覆盖度4、标准化程

15、度5、人力资源优化6、对抗性1、驻留/检测/响应时间2、Playbook覆盖度3、自动研判覆盖度4、标准化程度5、人力资源优化6、对抗性实战化运营和常态化运营的差异短时间长时间开始、结束时间明确，可预先准备实际对抗仅15天，个别问题可以“克服”安全问题随时可能发生，需时刻警惕无法一直“克服”问题，必须解决问题投入大性价比为出成绩而在短期投入大量资源，力求“绝对安全”获取跨团队合作、支持更容易需考虑安全投入的性价比，达到“相对安全”安全服务于业务，不应给业务造成过大阻力突击持续突击式安全建设，见效快，但细节难以照顾全面基础薄弱，体系、制度的问题无法靠突击解决可以持续完善安全能力可以有计划、有节奏

16、地建设、改进安全体系显性成果隐性成果有“分数”这一直观的结果建设成果一目了然“安全”即为最终工作成果难以直观体现出价值有规则无规则规则明确，可针对性“押题”“刷分”“弃车保帅”攻击队受到约束，风险可控真实战，没有“得分技巧”，需直面真实风险攻击者不受约束，安全事故将造成真正的业务损失攻防演习 v.s.常规安全工作常规安全工作需要以一种常态化、实战化、体系化的方式开展，以合理的投入达到相对安全，并直观展示出工作成果常态化和实战化的转化借助安全运营服务将突击性的演习保障工作转化为常态化、实战化、体系化的安全运营能力。运营工作覆盖演习保障范围，并扩充规划、建设与持续运营能力。在演习成果的基础上进一步

17、提升安全水平，保障业务安全，并顺利应对各级演习、重保及安全检查。常态化体系化实战化演习保障团队规划塑团队 建共识梳路径 铸铁壁砺精兵 强实战严防守 重对抗精复盘 优总结攻防演习基本同步网络架构分析调优互联网暴露面治理内网资产发现梳理攻击路径分析布防安全设备能力优化高频高危专项检查口令安全风险治理历史入侵痕迹排查管控设备安全核查敏感信息风险清查对抗场景仿真演练红蓝对抗实战演练安全意识专项强化战时保障安全巡查战时情报联防联控攻击事件监控研判攻击事件处置应急攻击事件溯源反制演习缺陷补充闭环演习保障工作总结清资产 理边界排风险 除隐患启动备战演练保障总结演习保障安全运营服务运营应用安全开发生命周期运营

18、管理安全培训运营服务培训安全意识培训企业安全培训方案设计安全产品培训安全服务培训企业安全规划安全运营中心设计信息安全风险评估安全运营能力度量安全运营管理安全演练网络架构分析安全演练服务钓鱼邮件演练服务建设资产梳理紧急漏洞预警设备维保资产上线安全检查资产上线安全检查紧急事件预警安全加固服务设备策略优化代码审计资产管理脆弱性管理安全设备管理威胁管理威胁分析周期性资产稽查Websafe网站安全监测服务平台及探针策略优化漏洞扫描&配置核查应急响应互联网暴露面资产稽查弱口令扫描漏洞验证&渗透测试紧急漏洞响应云WAF/云清洗网站后门扫描威胁事件建模设备巡检平台系统加固服务MSS安全设备云端托管服务设备策略

19、优化响应检测防护预测自动化编排与响应安全咨询规划常态化安全运营模式服务运营体系全景图渗透测试应急响应漏洞管理代码审计等保咨询安全规划风险评估意识评估基线核查安全基础服务威胁狩猎溯源反制网站监测专家研判情报预警云沙箱云WAF云等保威胁情报SaaS服务绿盟安全云绿盟城市运营中心合作伙伴绿盟科技各分公司安全规划项目驻场项目实战保障项目安全合规项目SIEM安全服务项目常态化运营实战化运营威胁分析工具运营敏感信息泄露监控服务标准化服务交付能力风险评估安全意识评估数据研判情报运营指标客户画像最佳实践服务方法对抗社区运营知识库运营实战靶场运营自动化能力运营运营体系自动化能力7x24小时集约化服务能力数据能力方案化能力情报预警实战运营常态运营成熟度运营项目管理客户管理运营能力分析研判威胁分析事件响应溯源反制风险管理流程建设攻击面分析数据安全运营指标度量事件响应