如今，各個行業單位的業務系統經過多年的信息化建設，內部的終端數量也隨之增多，這也導致安全管理的難度成倍增加。由于整個網內終端及其承載的系統、應用、數據的數量非常龐大，且部署架構相對錯綜復雜，所以一旦疏于管理，終端就很容易成為整個信息系統安全體系中的明顯薄弱環節，甚至被攻擊方當作突防入口進行攻擊與利用。特別是在實戰攻防演練活動期間，終端始終都是攻擊方重點攻擊的目標。

《孫子兵法·勢篇》有云“凡治眾如治寡，分數是也；斗眾如斗寡，形名是也”，是指治理大軍團就像治理小部隊一樣有效，是依靠合理的組織、結構、編制；指揮大軍團作戰就像指揮小部隊作戰一樣到位，是依靠明確、高效的信號指揮系統。

在實戰攻防演練對抗場景中，如果把防守單位的終端看作是“大軍團”，那安全管理就必須要是“合理的組織、結構、編制”與“明確、高效的信號指揮系統”，只有這樣，防守方才能提高整個終端的防御能力，確保有效應對攻擊方針對性的攻擊威脅，真正降低失分的風險。

本期為【2023安天攻防演練廟算記】第七章：終端威脅檢查。

安天在“敵已在內”的敵情想定安全思想指導下，針對實戰攻防演練期間，終端可能遭遇的各種攻擊威脅的場景，制定了安天終端威脅檢查專項服務。安天首先會通過開展一系列針對終端威脅的檢測工作，來避免攻擊方在演練前實施預攻擊；其次，是在演練正式開始前清除網內存留的威脅，避免在正式演練過程中，大量與演練無關的告警消耗值守人員精力。同時，通過部署“安天智甲終端防御系統”（以下簡稱“智甲”）和“安天智甲云主機安全監測系統”（以下簡稱“智甲云主機”），能夠現場針對防守客戶單位網絡環境內的信息資產進行實時威脅檢測、威脅取證、威脅清除工作。

智甲管理中心可實現多類型終端一體化管理，能夠實時了解網內終端安全情況，并可查看安全事件詳情。同時，針對主機內的文件、程序行為、網絡流量等支持威脅檢測，可對發現的威脅對象或攻擊行為進行清除和攔截，減少主機風險使用行為。一旦發現可疑威脅行為，可實時對攻擊進行以“人”為主導的調查和反制；針對高水平攻擊方有目的的威脅動作，可快速定位目標主機，并通過多種防護和管控功能進行發現、溯源、反制和形成價值情報，全面保障客戶的信息系統與數據資產安全。

圖 安天終端威脅檢查專項服務示意圖

安天終端威脅檢查專項服務可覆蓋攻防演練全生命周期終端安全防護。

1. 啟動階段

在攻防演練對抗中，攻擊方會使用多種攻擊手段對主機進行入侵，如漏洞利用、暴力破解、擺渡攻擊等，但無論使用何種手段，攻擊方通常都要利用主機的暴露面達成連接，利用資產脆弱性獲得執行攻擊行為的資源。因此，在攻防演練開始前，就要對主機的暴露面、脆弱性、合規性等風險進行排查和處置。

所以，在攻防演練活動的一開始，安天就將為防守客戶單位網內所有主機安裝智甲，通過管理中心實現多類型終端一體化管理，幫助管理人員了解網內終端安全情況，查看安全事件詳情；同時，通過智甲管理中心下發指令統一對網內所有主機進行威脅排查，排查潛伏在主機上的高危文件和行為。

對于網內所有物理服務器、虛機、云主機等工作負載，運用智甲云主機，以前期摸清家底是安全防護的前提，通過自動化資產清點（兼容容器資產），幫助客戶快速追蹤、定位、研判受威脅的資產，協助客戶開展針對性的資產審查。另外，主機內風險排查也是備戰階段不可缺少的一部分，通過智甲云主機持續識別主機的資產脆弱性（兼容容器），如：軟件漏洞、弱口令、關鍵配置錯誤等，分析并管理其中的潛在安全風險，提前防范風險并提高攻擊門檻，可有效減少主機90%被攻擊面。

2. 備戰階段

安全專家將借助以上兩套終端防御系統，為防守客戶單位提供暴露面梳理、脆弱性檢測服務，檢測方法包括基線檢查、漏洞掃描、滲透測試等，同時還提供威脅檢測與處置服務。安全專家基于檢測發現的網絡和系統中的安全隱患，為客戶提供安全加固，即根據客戶的安全風險定制有針對性的安全加固方案，并協助客戶落實。通過上述手段，全面提高主機安全性，使攻擊方的攻擊行為無法輕易達成。

3. 迎戰階段

智甲支持對各類木馬、蠕蟲、宏病毒、WebShell等惡意代碼進行實時安全監測，及時發現并處置在演練期間內網主機新出現的惡意文件和威脅行為。同時，智甲具有內核級防護能力，可對環境篡改、惡意代碼執行、提權、啟動項創建等行為進行攔截，使攻擊方難以利用惡意代碼對主機環境進行入侵和破壞。并將實時針對突發情況，進行事件分析和應急處置。

智甲云主機則提供多維度的入侵檢測，快速發現和定位網絡資產中的入侵事件以及失陷主機，提升安全分析與響應能力。從異常行為維度，通過全量行為檢測引擎梳理出主機內異常文件、異常進程、異常網絡連接等可疑行為：

◆ 從主機日志審計維度，對系統/應用全量日志進行采集分析，為入侵檢測提供數據源；

◆ 從威脅事件維度，通過內置威脅檢測引擎+威脅情報，對采集到的數據做聚合分層分析有效安全數據，實現對工作負載中的各種安全事件與攻擊指標進行快速研判和處置。

針對期間遭受的網絡安全事件，可根據客戶需求開展深度威脅事件響應。首先，根據事件特征以及安全設備監測結果快速定位可能存在風險的主機并進行取證分析；其次，通過預編排事件調查能力對可疑樣本進行動靜態分析、溯源分析、事件威脅評估；最后給出事件處置與體系優化建議。期間將進行持續性的威脅獵殺，威脅獵殺服務主要由五大子服務組成：

1. 威脅檢測子服務：通過終端側數據采集，發現當前設備存在的潛在風險；

2. 威脅巡檢子服務：實時開展人工深度分析，發現網內異常數據，人工甄別研判；

3. 人工調查分析子服務：根據攻擊方動機形成畫像，提供知識情報；

4. 應急處置子服務：針對發現存在的安全威脅，采取緩解、抑制、根除措施；

5. 專殺開發子服務：對發現的威脅分類匯總、危害評估，并進行專殺工具的開發。

4. 總結階段

在演練工作結束后的總結環節，安天將為客戶復盤演練期間的攻防情況，對演練期間攻擊成功的事件和防守成功的事件進行復盤。對事件原因、響應流程、處理方法、造成的后果等進行梳理和分析，并對所有產生的問題和情況提出合理高效安全的解決辦法。全面總結終端威脅檢查服務工作成果，輸出《終端威脅檢查總結報告》。

期間，智甲云主機可通過自主算法將具有關聯的多條告警生成一條入侵事件，按照時間順序還原攻擊過程，并以圖形化的方式呈現攻擊者入侵鏈路全景圖，幫助安全人員識別攻擊方使用的技戰術以及觸發的檢測點，支撐安全事件的溯源調查。

安天終端威脅檢查專項服務客戶價值

1. 技術方面

及時發現終端內的已知威脅與未知威脅；

發現定向終端攻擊，切斷并清除攻擊；

治理網內惡意代碼與網絡攻擊；

通過威脅獵殺、攻擊者畫像、溯源、攻擊動機分析形成私有情報和知識庫；

基于主動防御有效保護客戶信息資產，有效降低失分風險。

2. 管理方面

指導作用：通過獵殺過程，“有的放矢”指導安全管理及技術體系改進。

監督作用：幫助監督安全管理制度的落實情況，發現違法、違規行為。

考核作用：檢查結果作為證據，促進安全管理考核落地。

提升作用：提升客戶安全運營團隊威脅發現與應急響應等能力。

在2022年大型實戰攻防演練活動中，安天終端威脅檢查專項服務為某客戶單位排查發現終端威脅文件200余個（其中遠控木馬18個），并成功清除終端威脅隱患。

附錄：關鍵產品價值簡介

2023年安天產品攻防演練防守實戰價值列表
防護類別	安全產品	產品價值
終端防護	智甲終端防御系統 （EPP+EDR）	智甲擁有資產管理、威脅防護、主機管控、安全響應等多種管控與防護能力，可以有效保障客戶的系統與數據安全。在攻防演練實戰場景中，事前可幫助客戶對主機身份、資產配置、暴露面、脆弱性等關鍵部位進行排查和處置，并通過端點安全統管加固防御能力，使攻擊者難以獲得攻擊入口，無法執行攻擊行為；事中可支撐客戶對主機進行全方位的實時監控，并及時攔截、清除和處置各類惡意代碼、攻擊工具、入侵與破壞行為，致使攻擊難以突防，保障主機不被攻陷。同時，智甲創新升級的可編排調查能力，能快速定位風險主機，實現安全事件的快速響應，縮短風險隱患的窗口時間。
云主機防護	安天智甲云主機安全監測系統	針對各種異構、海量的主機、虛擬主機、容器等工作負載，可提供包含資產清點、風險評估、合規基線、微隔離、入侵檢測、防病毒、威脅獵殺、威脅溯源等多種安全能力的統一安全防護。通過細粒度的資產清點和持續的風險監測與分析，主動發現業務系統的資產脆弱點，并基于微隔離的精細化訪問控制，收斂業務暴露面減小攻擊影響；同時運用多維度的入侵檢測，快速定位發現入侵行為并追蹤還原攻擊入侵路徑，實現自動化入侵檢測響應閉環。在攻防演練實戰場景中，可高效支撐現代混合數據中心架構下的主機安全需求，協助客戶建立符合組織內部規范的云安全管理平臺。
威脅獵殺	持續性威脅獵殺服務	威脅獵殺是深入的以“人”為主導的調查反制過程，旨在針對高能敵對方有目的的投放在關鍵信息資產中潛伏的、隱蔽的威脅攻擊進行發現、溯源、反制并形成價值情報等。是積極防御體系當中的一種主動和迭代的威脅檢測方法，其作用是在攻擊者對關鍵信息資產造成任何損害之前發現并阻止它們。通過部署威脅誘捕設備與終端防護軟件，實時分析信息系統與網絡內的數據，結合設備檢測能力與數據采集能力，對網內的數據不斷進行檢索與分析，發現存在的高級威脅，將高級威脅從網內移除。

下期預告

下期為【2023安天攻防演練廟算記】第八章：威脅誘捕分析。

將分享安天在實戰攻防演練場景中，如何通過逐一拆解攻擊方的攻擊思路與攻擊鏈條，并基于蜜罐等產品進行布防。