背景

經(jīng)歷過最近幾年的勒索行業(yè)的暴利與虛擬貨幣的繁榮后，許多的行業(yè)從業(yè)人員對入侵檢測的認(rèn)知明顯加強了甚至不少組織也深受其害，在數(shù)字化業(yè)務(wù)快速增長的同時，安全風(fēng)險的暴露面同時也是快速的增長，在日趨完善的法律合規(guī)與攻擊者的虎視眈眈的背景下也迫使組織人員對安全體系建設(shè)問題嚴(yán)陣以待。

安全建設(shè)的主要方向粗略的看主要也分成二個大類，安全合規(guī)與反入侵;合規(guī)的驅(qū)動力為首要業(yè)務(wù)典型類似于ISO27001、等級保護等維度。而在反入侵的方向是以保護現(xiàn)有業(yè)務(wù)的CIA屬性為主要的出發(fā)點，以攻擊者的視角審視當(dāng)前的風(fēng)險并加以防護與檢測，相比于法律合規(guī)當(dāng)中明確了各項指標(biāo)與參數(shù)的checklist，反入侵的工作開展難度明顯要復(fù)雜的多，面臨的挑戰(zhàn)與技術(shù)的積累也要求更高。安全工作的本質(zhì)上還是攻防雙方之間人與之間的對抗、攻擊技術(shù)與檢測技術(shù)的對抗、流程與組織架構(gòu)之間的對抗。

常見的攻擊場景

知己知彼百戰(zhàn)不殆，如果很多反入侵人員對黑客的常見入侵手法都不理解，最后往往會陷入了一個”自high”的圈子里面，想當(dāng)然的認(rèn)為只要我利用XXX的熱門技術(shù)做了XXXX功能、就應(yīng)對XXXX的場景，最后還是脫離了安全建設(shè)的本質(zhì);從對應(yīng)的場景來看個人習(xí)慣往往可以簡單的分為3類主要的攻擊場景：

• 以挖礦、DDOS僵尸網(wǎng)絡(luò)、網(wǎng)站惡意掛馬SEO、黑鏈菠菜為主的黑灰產(chǎn)場景下的流程化攻擊;
• 以勒索、定向攻擊、竊密軟件為主的高持續(xù)隱蔽的攻擊團伙;
• 以數(shù)據(jù)重放、惡意爬蟲、優(yōu)惠券活動、撞庫為主的業(yè)務(wù)安全攻擊團伙。

挖礦、僵尸網(wǎng)絡(luò)與黑鏈

從自己安全運營的反饋數(shù)據(jù)來看第一類的挖礦、僵尸網(wǎng)絡(luò)的流程化攻擊流量基本上可以占到到惡意攻擊70%以上，其中以熱門的幾個挖礦團伙最為活躍如8220挖礦團伙、Bluehero挖礦團伙、H2Miner、Myking等團伙的攻擊流量。

由于目前挖礦幾乎按照了蠕蟲模式的流程化攻擊，導(dǎo)致中毒的主機也成為了發(fā)起攻擊的來源，部分企業(yè)的資產(chǎn)尤其一些邊緣資產(chǎn)中毒之后沒有感知導(dǎo)致繼續(xù)傳播。這些挖礦的攻擊方式也相對比較簡單主要以一些熱門的Nday的RCE漏洞、各類應(yīng)用暴力破解、webshell上傳、未授權(quán)訪問等攻擊場景為主，典型的如Docker、Jenkins、Redis、K8sAPI、Spark、Hadoop Yarn REST API未授權(quán)訪問;Shiro/Fastjson的反序列化、S2全系列的RCE、weblogic的全系列RCE;暴力破解主要為一些SSH、RDP、web應(yīng)用、數(shù)據(jù)庫應(yīng)用的的弱口令為主。部分盡職盡責(zé)的團伙往往也比較內(nèi)卷，也會快速的融入一些新的EXP以提高成功率，前不久剛剛披露的log4j很快就被安排上了。

除了搶占先機之外，由于大部分都是存量市場，除了新的武器庫之外，此類場景的攻擊者往往還普遍從四個思路上出發(fā)：

• 干掉同行、排除異己獨占資源;
• 增長持久化方法、防止被基礎(chǔ)的操作給清理掉;
• 增加雙平臺的支持、不滿足于window的場景也要兼容linux場景;
• 擴大攻擊目標(biāo)，主戰(zhàn)場放在了安全建設(shè)相對脆弱的內(nèi)網(wǎng)環(huán)境。

目前此類攻擊場景技術(shù)維度上相對比較單一，常規(guī)的手法都是通過各類手法獲取到一個shell之后執(zhí)行一些下載命令從互聯(lián)網(wǎng)的一個地址上拉取對應(yīng)的挖礦套件(包含挖礦的配置文件、挖礦程序主體、內(nèi)向傳播的payload、資產(chǎn)發(fā)現(xiàn)模塊、互聯(lián)網(wǎng)探測模塊等)、有腳本類類的Powershell、bat以及l(fā)inux下的shell腳本，也有PE類的文件與ELF的程序主體。

部分攻擊者為了躲避查殺還會利用一些系統(tǒng)白進程進行惡意代碼的執(zhí)行，典型的如一些mshta.exe、certifi.exe的程序往往payload甚至可以做到不落盤;根據(jù)最近幾年的技術(shù)觀察不得不承認(rèn)做黑灰產(chǎn)也是一項很內(nèi)卷的行業(yè)，稍微不注意技術(shù)上就容易掉隊。

從排除異己的角度出發(fā)，畢竟挖礦的主要依靠的還是計算資源，臥榻之上豈容他人鼾睡，很多Linux的樣本普遍就是在腳本里面內(nèi)置很多其他同行的挖礦文件的路徑和腳本，運行之前就先清理戰(zhàn)場歷史痕跡，甚至利用Iptables將現(xiàn)存在的風(fēng)險基于訪問控制進行封堵，防止后面別的團伙再次入侵，少數(shù)團伙甚至還會利用preload做一些進程的隱藏(這個的確有點卷)。

從持久化的方法出發(fā)，各種操作就更多一些如一些計劃任務(wù)、系統(tǒng)服務(wù)、WMI、開機啟動的常規(guī)操作，之前還偶然間接觸過部分團伙利用MSSQL CLR寫后門的處理起來還真的是挺棘手的，重要數(shù)據(jù)在手里每一條sql的查詢命令都是小心翼翼的敲，就擔(dān)心后續(xù)的攻擊者如果都開始嘗試用rootkit、文件替換、甚至驅(qū)動文件來進行做后門隱藏就真心有點麻煩了。

DDOS的僵尸網(wǎng)絡(luò)遇見的概率也小了很多，不知道的是流量清洗技術(shù)的成熟、還是CDN、云抗D的已經(jīng)應(yīng)用更加廣泛，抑或是自身的安全數(shù)據(jù)匱乏一些，此類型的僵尸網(wǎng)絡(luò)除了少數(shù)的XorDDos、XnoteDDos、billgates的樣本之外也沒有太熱門的樣本，此類攻擊手法普遍還是比較簡單且純粹，以SSH的暴力破解為主要的入侵手法。

之前一時好奇曾在互聯(lián)網(wǎng)上搞了一個VP_S測試一下cowrie的蜜罐，結(jié)果意外的抓到了不少此類的樣本。對于很多對業(yè)務(wù)連續(xù)性、可用性要高的業(yè)務(wù)除了常規(guī)的DDOS之外，還有很大部分是請求正常的高并發(fā)流量與BOT流量的管理對抗場景。從web業(yè)務(wù)場景來也同時存在大量的web入侵進行批量掛馬、輪鏈、黑鏈、菠菜類的攻擊流量，此類攻擊場景普遍攻擊手法也比較單一主要依靠webshell的上傳漏洞為主，網(wǎng)頁木馬的質(zhì)量與功能都異常豐富，環(huán)環(huán)相扣。

從應(yīng)對措施的角度來思考，此類場景下的攻擊手法雖然較多但總體上的技術(shù)門檻并不是很高，從安全風(fēng)險的維度的來主要主要是二個關(guān)鍵問題：漏洞與弱口令。都是安全建設(shè)當(dāng)中二個繞不開的問題，漏洞的存在一方面來源與自身的開發(fā)過程當(dāng)中的的疏忽，另一方面來源于外部的風(fēng)險輸入。

自身的安全開發(fā)可以通過安全開發(fā)的基線、代碼的審查、流程規(guī)范與借助于相應(yīng)的安全檢測工具(IAST、DAST)進行規(guī)避，對于很多明顯的上傳漏洞、存在安全風(fēng)險的配置項目，已經(jīng)存在高危風(fēng)險的框架與組件都能積極的影響。同時借助于人工的滲透測試，從源頭上能盡可能的減少存在的明顯風(fēng)險;對于很多新披露的漏洞能做到的一個及時的修復(fù)或者緩解。

伴隨著當(dāng)前安全檢測技術(shù)的成熟，從一定程度上來講以現(xiàn)有的防火墻、入侵檢測與防御、web防火墻、以及各種概念包裝后各不相同的態(tài)勢感知，對此類攻擊的行為的檢出率基本上都沒有什么挑戰(zhàn)(及時更新規(guī)則庫)。經(jīng)過了3年的攻防演練之后，普遍能夠?qū)σ恍衢T的攻擊事件進行有效的應(yīng)對，如當(dāng)前熱門的自動化聯(lián)動響應(yīng)(SOAR)通過多個安全產(chǎn)品的共同舉證與處置，在此類場景下反而存在一些天然的優(yōu)勢(攻擊劇本的paybook相對比較固定)也可較大程度上的減少安全運營的工作量。

所以這種廣撒網(wǎng)的收割方式看似進攻猛烈異常，實際有效性的成功案例相對較少，少部分缺少安全防御與邊緣資產(chǎn)、歷史遺留的那部分資產(chǎn)反而是成為一個主要的受害群體中毒后對原本安全的內(nèi)網(wǎng)造成了較大的威脅，所以最近一個關(guān)于ASM(攻擊資產(chǎn)暴露面)的新品類出現(xiàn)，主要從互聯(lián)網(wǎng)側(cè)以紅隊的思路去發(fā)現(xiàn)更多未在防護清單內(nèi)的”帶病上線”資產(chǎn)。

勒索、定向攻擊與竊密

大多數(shù)時候都喜歡把挖礦勒索放在一起討論，都是一些常見的黑產(chǎn)的一種能力變現(xiàn)的方式，從遇見的頻率和所用的技術(shù)層面來區(qū)分的話，二者之間的入侵思路與模式都有著較大的區(qū)別。區(qū)別于廣撒網(wǎng)的收割模式，目前大量的勒索團伙采取的方式更加趨近于APT的模式，針對性的廣泛信息收集、步步為營的入侵模式、摸清家底后的快速攤牌。

從熱門的wannacry廣泛的使用MS17-010與RDP、SMB暴力破解進行傳播擴散、后續(xù)部分GlobeImposter開始利用mimikatz抓取密碼后的批量勒索、到現(xiàn)在熱門的勒索phobos家族的爆發(fā)，可以明顯的感知到勒索的過程當(dāng)中人工參與的成分逐漸增大。之前參與過多起勒索的事件的溯源與復(fù)盤，印象深刻的一次發(fā)現(xiàn)攻擊者入侵時間長達5個月之久，并在內(nèi)網(wǎng)當(dāng)中廣泛的收集各類信息尋找核心的業(yè)務(wù)資產(chǎn)與服務(wù)器，內(nèi)網(wǎng)橫向階段逐漸拋棄了低級的RDP爆破方式取而代之的是慢速的內(nèi)網(wǎng)探測與基于主機信息收集后的定向RDP登錄，甚至還有清理痕跡刪除日志的習(xí)慣。

針對部分安裝有終端殺毒的終端便是更加簡單粗暴的用一些驅(qū)動層面的工具進行卸載，以至于在多數(shù)被勒索的主機的回收箱與操作記錄當(dāng)中，都有一些應(yīng)急工具的痕跡。禍患常積于忽微，對比批量的RCE與漏洞探測，伴隨大部分的惡意行為脫離了原本的攻擊特征之后以至于市面上大部分的安全產(chǎn)品與方案顯得心有余而力不足。從一定程度來講當(dāng)前的勒索產(chǎn)業(yè)鏈(勒索即服務(wù))后端的入侵路徑和定向攻擊的的手法別無二致，技術(shù)上也更加難以識別期望依靠單個產(chǎn)品或者方案，想一勞永逸的避免這類事件的發(fā)現(xiàn)就顯得有些的盲目自信了。

之所以把勒索、定向攻擊與竊密場景歸類在一起，是從入侵的手法來看具有高度的一致性，只是在最后目的各有其表;由于最近連續(xù)3年的攻防演練的活動，直接把對抗這件很專業(yè)的事件擺上了明面上來對比，很多參演方最后都發(fā)現(xiàn)很多安全產(chǎn)品的能力在真實的對抗場景當(dāng)中的易用性、安全能力、場景適配上都存在較大的差距。簡單總結(jié)一下，目前相對成功率較高的主要打點途徑為：

• 存在高危漏洞、未在安全防護出的邊緣資產(chǎn)，借此跳板接入內(nèi)網(wǎng)網(wǎng)絡(luò);
• 針對辦公網(wǎng)的員工發(fā)起的釣魚、釣鯨郵件攻擊;
• 針對熱門/行業(yè)性的應(yīng)用軟件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備的0-day利用;
• 結(jié)合信息收集與配置不當(dāng)、泄露賬號的業(yè)務(wù)層面攻擊。

另外一個比較大的特點在于安全廠商針對每一年的攻防演練進行復(fù)盤的的時候，也會結(jié)合一些典型案例進行專項的提升，也就變相的推動攻擊手法的推陳出新，之前使用過的手法不加以改良的話在后續(xù)的活動當(dāng)中的成功率會下降很多，甚至直接暴露自己。

于是可以看到當(dāng)前很多攻擊的隱蔽性得到了明顯的提升，比如當(dāng)前熱門的DOH域前置技術(shù)、webshell的變形對抗、基于TCP/UDP的隧道通信、白進程遠(yuǎn)程/本地加載惡意dll、基于Java增強字節(jié)碼的內(nèi)存馬后門、無文件攻擊、CS馬的bypassEDR、各類自定義加密的webshell通信流量、TV向日葵做遠(yuǎn)程軟件等過手法已經(jīng)屢見不鮮，即使在真實的打點過程當(dāng)中，也可構(gòu)造一些惡意的漏洞探測流量以瞞天過海，分散運營人員的精力。

還需要時刻提防來自于針對應(yīng)用的各類0day、從安全建設(shè)方的角度來看，在此類場景下始終還是處于一個被動防守的過程，甚至不知道攻擊者來自何處、使用什么攻擊方式、攻擊那些資產(chǎn)，雖然短時間也主推過欺騙防御技術(shù)卻無法解決好二個主要的問題(業(yè)務(wù)仿真、漏洞反制)。

在大多數(shù)的群體當(dāng)中安全人員往往投入的精力是資源相對有限，對網(wǎng)絡(luò)資產(chǎn)的梳理都不甚清晰，在業(yè)務(wù)快速增長的背景下風(fēng)險出現(xiàn)的更加頻繁，僅僅依靠目前主流的安全設(shè)備進行監(jiān)測在應(yīng)對高隱蔽的攻擊場景還存在較大的差距，現(xiàn)在很多場景開始主推威脅狩獵(Threat hunting)本著主動發(fā)現(xiàn)威脅的思路從蛛絲馬跡處定位這些高級威脅。

業(yè)務(wù)安全

安全建設(shè)的比較麻煩的一個問題在于如何去體現(xiàn)工作帶來的價值，不出事的時候感覺沒有什么存在感，有點安全問題的時候就顯得日常的工作不完善，年底總結(jié)的時候比較常規(guī)的方式是總結(jié)一年的時間里面抵御了多少次XXX攻擊，發(fā)現(xiàn)XXX個病毒、應(yīng)急了XXX個事件;但是從業(yè)務(wù)安全的角度去思考的方式，就逐漸清晰了很多如果能說幫助業(yè)務(wù)減少了XXXX的經(jīng)濟損失，保護了XXX用戶的信息安全、是不是就量化的比較明顯了，從一定程度上說業(yè)務(wù)安全的建設(shè)比基礎(chǔ)的安全建設(shè)更容易體現(xiàn)價值。

從web安全的的視角看，基礎(chǔ)的web漏洞如sql Inject、XSS、文件包含類的出現(xiàn)的頻率也逐步減少，伴隨著開發(fā)人員的安全意識提升、各類框架提供的安全組件、安全廠商的設(shè)備覆蓋，SDL的流程限制、以及少部分的開源RASP與基于Nginx類中間件的安全模塊加持，此類漏洞的危害度被逐步減少。以至于在比較多的滲透測試場景更加偏好于對業(yè)務(wù)安全的漏洞挖掘、典型如賬號撞庫、越權(quán)訪問、請求包重放、條件競爭、任意賬號密碼重置、短信驗證碼爆破等場景。

但是此類攻擊往往造成的損失是在應(yīng)用層面，典型的就是在前幾年很多起步階段的電商平臺，很多都存在身份校驗不嚴(yán)格導(dǎo)致的任意訂單取消、支付漏洞、遍歷訂單的安全風(fēng)險，此類場景下的安全建設(shè)往往需要貼合具體的業(yè)務(wù)場景進行剖析。

從技術(shù)的角度看，業(yè)務(wù)安全的視角最關(guān)鍵還是需要解決流程自動化攻擊的問題，需要確認(rèn)當(dāng)前提交請求的發(fā)起對象是個人還是機器，個人用戶在終端上的操作頻率與輸入都相對有限，解決好很多掃描工具、數(shù)據(jù)包發(fā)起工具、爬蟲也能減少較多沒有實際價值的告警噪聲;同時在應(yīng)對各類貓池、分布式的請求、養(yǎng)號等細(xì)分領(lǐng)域的背景下也依賴業(yè)務(wù)處不同地方的埋點與行為分析，定位隱藏在正常的業(yè)務(wù)邏輯下的惡意請求。

應(yīng)對入侵-威脅檢測

當(dāng)前主要的入侵檢測類設(shè)備主要的形態(tài)有三大類，基于網(wǎng)絡(luò)流量類、終端檢測類、日志分析類;典型的網(wǎng)絡(luò)流量類主要覆蓋由Snort、Suricata衍生系列的各類IPS/IDS/FW/NTA類、終端檢測類主要覆蓋一些世面上常見的殺毒軟件(啟發(fā)式文件查殺、Yara特征)、行為檢測類(IOA)，依靠對操作系統(tǒng)層面的網(wǎng)絡(luò)行為(發(fā)起、接收)、進程/服務(wù)行為(拉起、創(chuàng)建)、文件行為(打開、寫入、更新、刪除)進行采集分析。

日志分析類常見的如splunk、日志易或者基于ES的二次開發(fā)的SIEM分析平臺，主要數(shù)據(jù)源可以分析不同的安全設(shè)備的告警日志、部分web應(yīng)用的日志、操作系統(tǒng)的日志等。除開熱門的三大類之外還有一些專項的能力比如威脅情報、沙箱、蜜罐類的產(chǎn)品有等不同的產(chǎn)品形態(tài)。

稍微總結(jié)一些可以發(fā)現(xiàn)，此類安全產(chǎn)品主要的工作原理基本上都比較類似，基本上都是采集數(shù)據(jù)、處理數(shù)據(jù)、分析數(shù)據(jù)(場景分析、特征工程)、產(chǎn)生安全告警。區(qū)別在于不同的產(chǎn)品采集的數(shù)據(jù)對象并不相同，并且有不同的優(yōu)勢場景，比如在識別SSH暴力破解的場景，流量層的產(chǎn)品往往無法識別此類加密流量的數(shù)據(jù)內(nèi)容因此只能從行為側(cè)判斷，但是在終端側(cè)通過登錄日志的分析可以輕易的獲取到攻擊者的源IP、登錄的賬號、時間等信息。

在數(shù)據(jù)泄露的場景依靠流量層的數(shù)據(jù)對保護對象的外發(fā)流量，從上行包、下行包的大小、頻率進行統(tǒng)計或者異常檢測時，相對于終端層面的開銷與易用性層面就存在明顯的優(yōu)勢。但是換一個思路的話可以發(fā)現(xiàn)，無論是終端數(shù)據(jù)的分析抑或是流量層的數(shù)據(jù)分析，最后需要識別的攻擊場景基本上都是保持高度一層，花開兩朵各表一枝，本身攻擊行為就無法離開終端、網(wǎng)絡(luò)與日志而獨立存在至少之前缺少對應(yīng)的探針(Sensor)進行采集，做安全運營、分析、溯源的人員都應(yīng)該都知道，采集到的數(shù)據(jù)越全面描述一個攻擊行為就越細(xì)致越準(zhǔn)確，從安全效果的術(shù)語描述即高檢出、低誤報。

采集數(shù)據(jù)雖然各不相同，處理數(shù)據(jù)的思路卻基本一致分字段進行拆解形成多個維度的key-value的鍵值對進行存儲，數(shù)據(jù)量較少的時候以ES為主，單節(jié)點的ES經(jīng)過性能優(yōu)化EPS差不多在2W左右，少數(shù)數(shù)據(jù)量的場景可應(yīng)用集群場景，針對海量數(shù)據(jù)普遍無論是分布式的存儲還是當(dāng)前熱門的數(shù)據(jù)湖的概念，都是針對于格式化數(shù)據(jù)的存儲方案(部分商業(yè)產(chǎn)品以流式引擎為主不存儲原始數(shù)據(jù))。

而呈現(xiàn)在用戶面前的安全效果的價值，就更加依賴于對安全檢測的人員具體能從這一批原始的數(shù)據(jù)當(dāng)中能夠提取到那些有用的信息;分析數(shù)據(jù)是比較能夠體現(xiàn)一個人/團隊安全能力與工程化能力的階段，首要階段是需要先確定具體應(yīng)該識別怎么樣的安全問題，以及過程中需要用什么那些數(shù)據(jù)、使用什么樣的檢測方法、預(yù)期達到什么樣的效果。

關(guān)于具體的安全場景選擇本身就是一個關(guān)鍵點，需要了解當(dāng)前白帽子常用的攻擊手法有那些，有一些的衍生的出來的變種，是在什么樣的場景下會選擇怎么樣的攻擊方式。比如從今年的攻防演練當(dāng)中發(fā)現(xiàn)攻擊者普遍大量的使用釣魚郵件作為主要的攻擊手法，就需要剖析一下這個場景我們需要采集到什么樣的數(shù)據(jù)。

流量層的SMTP、Pop3、HTTP-webmail等內(nèi)容、如果是加密的https的webmail或者私有協(xié)議，很大可能性就無法通過標(biāo)準(zhǔn)化的流量sensor獲取到相關(guān)信息，終端的sensor能夠識別到新增文件的執(zhí)行并能對樣本做進一步的查殺、卻無法獲取到郵件正文的內(nèi)容，是否可以從流量側(cè)去識別中毒后主機的C2過程?應(yīng)對的免殺的樣本是否有新的方法作為補充?等等一系列問題，都有依賴于安全研究的人員去思考，拿出一套切實可行的方案出來。

安全檢測的思路

安全檢測主要思路粗略分基本就二種：基于模式匹配的誤用檢測、基于算法基線的異常檢測。當(dāng)前使用范圍較廣的依然是誤用檢測的邏輯，安全研究人員通過對已知黑樣本/攻擊手法當(dāng)中提取對應(yīng)的特征字段、可能是某一個特定傳輸協(xié)議的某一個特定的字符串內(nèi)容、字符串集合，典型的如開源的yara規(guī)則識別惡意樣本的場景。

由于攻擊者的手法普遍變化較快導(dǎo)致一些規(guī)則過于嚴(yán)格的策略，無法識別到變種的攻擊行為，從而在犧牲誤報率的同時，提升檢出率。單個特征的檢測模式雖然準(zhǔn)確、快速有效但依然面臨著較大的安全挑戰(zhàn)，尤其是特征維度增加的時候(多條件判斷)，針對于每個不同維度的特征的權(quán)重就尤為重要了，手工去調(diào)整存在較大的誤差性，那是否可以交給代碼去完成了?答案是肯定的，目前很多的AI+安全思路本質(zhì)上是解決了此類問題，以代碼化的方式表示設(shè)定的好特征，通過大量的已分類的優(yōu)質(zhì)樣本訓(xùn)練，最后將抽象的判斷轉(zhuǎn)化了多維向量的相乘(安全的盡頭竟然是數(shù)學(xué)?)。

但由此以來也增加了很多的不確定性，導(dǎo)致很多安全問題最后無法被得到了一個準(zhǔn)確的描述;而且此類方案有一個非常致命的問題，現(xiàn)有的安全能力是通過對已知的攻擊手法的整理而得出的，也就意味著如果是一個全新的攻擊方式，或者不在特征規(guī)則范圍的行為將會被漏掉，而目前大量的已知的攻擊同樣也在衍生出更多的新的特點，導(dǎo)致安全研究人員需要不斷的增加的知識，提取新的規(guī)則、識別新的風(fēng)險，從這個背景看的話在對抗的過程中依然處于弱勢地位，單純的被動響應(yīng)。

我們更加希望能夠一個主動出擊的方式，去應(yīng)對各類威脅，通過對被保護的資產(chǎn)從細(xì)的顆粒度進行一定的時間的學(xué)習(xí)定位”出廠配置”的標(biāo)準(zhǔn)行為，只要后續(xù)的行為符合滿足基線的訪問即為正常、反之則為異常。基于這種思路即使對于各類變化多端的攻擊行為，依然能夠作為不變以應(yīng)對萬變，思路的確是相對新穎，但過程中對于百行為基線的建立、以具體場景和行為去建立基線卻是當(dāng)前最為主要的挑戰(zhàn)，同時針對業(yè)務(wù)復(fù)雜/變更頻繁的保護對象適用性也相對較差。長期來看二類不同的檢測思路最終依然會走向一個統(tǒng)一的方向，以適應(yīng)當(dāng)前日益加劇的攻防不對等的思路。

很多做紅隊的大佬普遍思維比較活躍、奇思妙想且出人意料用安全行話說就是：表哥姿勢真多，但如何將個人能力轉(zhuǎn)化成一個產(chǎn)品的能力，將攻擊的能力轉(zhuǎn)化成防守的能力卻依然有很多的挑戰(zhàn)需要去面對。

最后一個話題是關(guān)于安全效果的評估的，感覺前幾年的確是缺少一個合理的方式或者工具去評估現(xiàn)有安全產(chǎn)品的能力的，普遍都是各個產(chǎn)品或者廠家提供一批”公平公正”的優(yōu)勢POC的樣本集，最后無論怎么測試反正都是自己最強，其他的都不行。直到最近的攻防演練反而成為一個最佳的實踐方法，頗有一個不服跑個分的錯覺，應(yīng)該沒有什么比實戰(zhàn)的環(huán)境下的能力評估更有效、也更有說服力了。

安全效果依賴于運營，安全運營的發(fā)現(xiàn)的問題(誤報、漏報)能夠反作用于安全效果的改進，大家都試圖在檢出率與誤報率之間尋求一個相對合理的平衡點，也頗有一種生成對抗網(wǎng)絡(luò)的邏輯只是安全運營的工作更加依賴于白帽子的努力。

總結(jié)

無論是在甲方(單場景)還是在安全廠商的乙方(多場景)目標(biāo)都是保護業(yè)務(wù)免受安全風(fēng)險，保護的業(yè)務(wù)可能有較大差異，但在面臨的攻擊手法與檢測技術(shù)領(lǐng)域卻是高度相似，從安全源頭出發(fā)減少開發(fā)階段出現(xiàn)的風(fēng)險、上線后加以對應(yīng)的安全防護與檢測、出現(xiàn)安全問題的響應(yīng)與溯源復(fù)盤，安全是一件很專業(yè)的事情，本質(zhì)從來都是攻防技術(shù)的對抗。

由于今年寫了比較多的內(nèi)部文檔頗有一些身心俱疲的無力感，剛好元旦三天有些許空閑時間總結(jié)自己一些對于反入侵技術(shù)的一些個人理解與趨勢，文檔之中頗有疏漏煩請各位斧正，如果有不同見解或思路，歡迎提出討論。