2022HW溯源反制手冊(cè)

2022HW溯源反制手冊(cè)目錄TOC\o"1-3"\h\u31897一.戰(zhàn)略 448851.關(guān)于反殺傷鏈的思考 4164862.入侵殺傷鏈 7315753.實(shí)戰(zhàn)指南 135804.一文看懂框架以及使用場(chǎng)景實(shí)例 2512635.論溯源反制之思想 33149886.(五)：威懾反制能力建設(shè) 365383二.戰(zhàn)術(shù) 37140961.定向網(wǎng)絡(luò)攻擊追蹤溯源層次化模型研究 3746642.HW｜藍(lán)隊(duì)實(shí)戰(zhàn)溯源反制手冊(cè)分享 37317203.安全攻擊溯源思路及案例 44206264.紅藍(lán)對(duì)抗中的溯源反制實(shí)戰(zhàn) 47214585.攻防對(duì)抗+溯源反制，蜜罐實(shí)戰(zhàn)分享實(shí)錄 47253496.態(tài)勢(shì)感知與攻擊檢測(cè)溯源 62216407.基于攻擊溯源圖的威脅評(píng)估技術(shù) 6294388.藍(lán)隊(duì)視角下的朔源與反制 66324289.如何防止溯源以及反溯源 709342三.技術(shù) 8477481.APT攻擊檢測(cè)與反制技術(shù)體系的研究 8483072.HW防守｜溯源反制攻擊方的服務(wù)器 84306773.記一次反制追蹤溯本求源 8847544.溯源反制指北 100285775.溯源反制之MySQL蜜罐研究 101247856.反制中常見(jiàn)技術(shù)點(diǎn) 1179207.記一次反制追蹤溯本求源 124189218.記一次蜜罐溯源 141301979.記一次攻防演習(xí)中的溯源反制 146512710.攻擊機(jī)溯源技術(shù) 1531372811.反攻的一次溯源--項(xiàng)目實(shí)戰(zhàn)3 1543023412.藍(lán)隊(duì)溯源與反制 1681505213.安全技術(shù)|利用OpenVpn配置文件反制的武器化探索 1721446514.防溯源防水表——APT滲透攻擊紅隊(duì)行動(dòng)保障 17937015.HW 18312319四.案例 193226671.紅藍(lán)對(duì)抗中的溯源反制實(shí)戰(zhàn) 19338742.米觀乘勝追擊，尋跡溯源反制 211133713.HW平安夜:一場(chǎng)心態(tài)和體力的較量 21384544.反黑逆向溯源追蹤之：某某某局入侵事件分析 21625171五.產(chǎn)業(yè)項(xiàng)目案例 235295871.總行2021年溯源反制服務(wù)項(xiàng)目 23515308六.工具 235155921、IP定位工具 2358082、威脅情報(bào)工具 2353802七.產(chǎn)品: 23624291蜜罐總結(jié) 23610783網(wǎng)絡(luò)蜜罐技術(shù)探討 2396227數(shù)世咨詢(xún)：蜜罐誘捕市場(chǎng)指南 2426190企業(yè)安全建設(shè)之蜜罐技術(shù)的應(yīng)用 26219116攻防對(duì)抗+溯源反制，創(chuàng)宇蜜罐實(shí)戰(zhàn)分享實(shí)錄 27110420基于蜜罐技術(shù)的攻擊反制實(shí)現(xiàn)系統(tǒng)及方法與流程 27119204攻防對(duì)抗+溯源反制，蜜罐實(shí)戰(zhàn)分享實(shí)錄 271一.戰(zhàn)略關(guān)于反殺傷鏈的思考\h/reflections-on-anti-anti-chain/殺傷鏈（killchain）最初源于軍事中的C5KISR系統(tǒng)中的K（kill），后由洛克希德-馬丁公司提出網(wǎng)絡(luò)安全殺傷鏈七步模型（見(jiàn)下圖）。那么，有了殺傷鏈，自然就有反殺傷鏈^_^。反殺傷鏈，我更傾向用“發(fā)現(xiàn)-定位-跟蹤-瞄準(zhǔn)-打擊-評(píng)估”的F2T2EA模型。整的檢測(cè)體系。對(duì)于大型企業(yè)而言，要實(shí)現(xiàn)反殺傷鏈的構(gòu)建，發(fā)現(xiàn)能力是先決條件。定位則是判斷攻擊者所處的位置，包括在網(wǎng)絡(luò)內(nèi)的入侵深度和廣度，可能的話(huà)還應(yīng)該包括入侵入口位置。跟蹤：在完成定位后，防護(hù)者需要根據(jù)定位信息，判斷是否進(jìn)行跟蹤。一般對(duì)大型企業(yè)而言，APT之間，仍有一定的“時(shí)間窗口”（大多數(shù)在內(nèi)網(wǎng)發(fā)現(xiàn)的攻擊行為都處于這一階段），因此只要時(shí)間、條件允許，防護(hù)者是可以進(jìn)行跟以讓對(duì)手前功盡棄，至此再也無(wú)從下手。瞄準(zhǔn)：瞄準(zhǔn)實(shí)際和殺傷鏈第二步的武器構(gòu)建（Weaponization）擊，還有就是確定打擊點(diǎn)，以確保能“一擊致命”。只不過(guò)這個(gè)武器不再是攻擊性武器，而是防御性武器。鎖IP，或是采取訪(fǎng)問(wèn)控制措施阻斷其進(jìn)入敏感區(qū)域等等。當(dāng)然，在跟蹤和瞄準(zhǔn)階段所獲取的信息足夠多的情況下，還可以進(jìn)行反制，進(jìn)行反向溯源或借助法律等途徑進(jìn)行“反向打擊”。評(píng)估：這個(gè)評(píng)估在軍事上是“戰(zhàn)損評(píng)估”的概念，在這里，我想應(yīng)該是效果評(píng)估。在評(píng)估階段，我們要對(duì)打擊效果進(jìn)行評(píng)估，一是要確進(jìn)行分析建檔并納入相應(yīng)的威脅情報(bào)庫(kù)中，找到整個(gè)反殺傷鏈運(yùn)作中的不足之處加以?xún)?yōu)化補(bǔ)正。第五、第六階段。而第三、第四階段的防御，也將成為之后的重點(diǎn)。反殺傷鏈和殺傷鏈的對(duì)抗關(guān)系大致用下圖來(lái)表述。要實(shí)現(xiàn)這個(gè)反殺傷鏈，還需要以下幾個(gè)關(guān)鍵支持：1、情報(bào)（Intelligence）關(guān)于情報(bào)，NUKE同學(xué)等大牛已經(jīng)講過(guò)很多，我就不班門(mén)弄斧太多。這里需要補(bǔ)充的是，在反殺傷鏈中，情報(bào)可以分為戰(zhàn)略、戰(zhàn)區(qū)、戰(zhàn)術(shù)三個(gè)層次。戰(zhàn)略威脅情報(bào)。實(shí)際是一種威脅態(tài)勢(shì)情報(bào)。我并不想把戰(zhàn)略威脅情報(bào)上升到JP1-02企業(yè)或一個(gè)行業(yè)而言的威脅態(tài)勢(shì)情報(bào)。這類(lèi)情報(bào)包括兩個(gè)層面，一個(gè)是企業(yè)或行業(yè)對(duì)自己的認(rèn)知和評(píng)估，包括“我們有什么是別人想要的”，“它到底有多重要”，“多達(dá)的損失”，以及“我們?cè)撏度攵嗌儋Y源去保護(hù)它”等等，這方面的情報(bào)來(lái)源包括風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)評(píng)估及企業(yè)高層決策。二是帶對(duì)威脅環(huán)境的評(píng)估，包括“盯著我們的對(duì)手有哪些人”，“他們對(duì)哪些目標(biāo)感興趣”，“他們擁有哪些可利用的手段”，“本的接受程度如何”等等。這些情報(bào)源于大量的案例分析、威脅動(dòng)態(tài)跟蹤，以及對(duì)攻擊者行為模式、攻擊成本的分析研究等等。威脅情報(bào)是高度濃縮的情報(bào)精華，肯定是高水平的專(zhuān)家進(jìn)行綜合性人工分析的結(jié)果。當(dāng)然，擴(kuò)展來(lái)看，商業(yè)競(jìng)爭(zhēng)情報(bào)也算是此類(lèi)情報(bào)的一種。戰(zhàn)區(qū)威脅情報(bào)。如果我們將一個(gè)公司或行業(yè)看作一個(gè)戰(zhàn)略主體，那各個(gè)戰(zhàn)區(qū)實(shí)際就是按業(yè)務(wù)、系統(tǒng)的細(xì)分。在戰(zhàn)區(qū)威脅情報(bào)層以形成一個(gè)趨向全集的攻擊生成樹(shù)。當(dāng)然，機(jī)器學(xué)習(xí)等最近很熱的威脅情報(bào)概念，大多在這一層面開(kāi)始有了用武之地。估、代碼審計(jì)等安全服務(wù)和安全眾測(cè)廠商帶來(lái)機(jī)會(huì)。單條殺傷鏈，分析攻擊工具、攻擊手法、攻擊來(lái)源、攻擊目標(biāo)、威脅影響等的特征。戰(zhàn)術(shù)威脅情報(bào)可以認(rèn)為是戰(zhàn)區(qū)威脅情報(bào)的基礎(chǔ)?？梢哉f(shuō)，在戰(zhàn)術(shù)層面構(gòu)建的殺傷鏈條數(shù)越多，整個(gè)威脅情報(bào)體系起的作用就越大。2、監(jiān)視（Surveillance）必殺一擊（也就是狙擊）的，再在殺傷鏈的關(guān)鍵節(jié)點(diǎn)進(jìn)行狙擊（阻斷），切斷整個(gè)殺傷鏈條，重創(chuàng)對(duì)手。這就是監(jiān)視的作用。當(dāng)然，提到監(jiān)視，就必須考慮反殺傷鏈的“時(shí)間窗口”效應(yīng)。對(duì)于小型企業(yè)或系統(tǒng)而言，殺傷鏈的時(shí)效性很短，此時(shí)的監(jiān)視幾乎等同于檢測(cè)，強(qiáng)調(diào)一經(jīng)發(fā)現(xiàn)立即阻斷。而對(duì)大型復(fù)雜網(wǎng)絡(luò)而言，殺傷鏈普遍更長(zhǎng)，監(jiān)視的“時(shí)間窗口”也可以隨著拉長(zhǎng)。所以，監(jiān)視的“口”受威脅場(chǎng)景的時(shí)敏性影響。同時(shí)，監(jiān)視的“時(shí)間窗口”還需要依托對(duì)殺傷鏈場(chǎng)景的構(gòu)建，和狙擊點(diǎn)（或者阻斷點(diǎn)）的定義。防護(hù)者需要依靠經(jīng)驗(yàn)，對(duì)發(fā)現(xiàn)的入侵行景，為高效率、致命的狙擊做準(zhǔn)備。但切忌因?yàn)楸O(jiān)視，錯(cuò)失狙擊的時(shí)機(jī)，中間的度需要仔細(xì)衡量。3、指揮、控制與協(xié)同（CommandandControlandCombat，3C）3C是整個(gè)反殺傷鏈最重要，也最難構(gòu)建的組成部分，也是確保反殺傷鏈打擊效果的前提。目前，大型企業(yè)都有了自己的安全運(yùn)營(yíng)團(tuán)隊(duì)，例如各類(lèi)SRC、SOC。但是，能具備真正有效的3C下幾點(diǎn)：系統(tǒng)。國(guó)外軍方已經(jīng)有相應(yīng)的理論研究基礎(chǔ)，并在逐步發(fā)展此方面的能力，值得借鑒?？刂茖?shí)際可以算是指揮系統(tǒng)中的一個(gè)模塊，是確保指揮指令得到有效的具體執(zhí)行的集中管控后臺(tái)。這方面的問(wèn)題存在于兩點(diǎn)：一業(yè)就必須以大量的人力來(lái)補(bǔ)缺，且往往吃力不討好。以上這些只是根據(jù)個(gè)人的興趣寫(xiě)的，肯定還有問(wèn)題，歡迎拍磚。入侵殺傷鏈\h/p/174b5a081b51原文鏈接：\h洛克希德-馬丁公司的七步網(wǎng)絡(luò)殺傷鏈白皮書(shū)智能驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御-通過(guò)對(duì)敵對(duì)方的運(yùn)動(dòng)與入侵的殺傷鏈分析Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChainsEricM.Hutchins?,MichaelJ.Cloppert?,RohanM.Amin,Ph.D.?LockheedMartinCorporationHutchins,Eric&Cloppert,Michael&Amin,Rohan.(2011).Intelligence-DrivenComputerNetworkDefenseInformedbyAnalysisofAdversaryCampaignsandIntrusionKillChains.LeadingIssuesinInformationWarfare&SecurityResearch.1.CyberKillChain\h圖片來(lái)源：/content/dam/lockheed-martin/rms/photo/cyber/THE-CYBER-KILL-CHAIN-body.png.pc-adaptive.full.medium.png摘要常規(guī)的網(wǎng)絡(luò)防御工具（如入侵檢測(cè)系統(tǒng)和防病毒軟件）絡(luò)入侵的目標(biāo)和復(fù)雜程度的發(fā)展使得這些方法對(duì)于某些參與者而言不夠。一類(lèi)新的威脅被稱(chēng)為“高級(jí)持續(xù)威脅”（APT）的攻擊者代表驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御的基礎(chǔ)（CND）產(chǎn)生了性能和有效性的相關(guān)指標(biāo)。高級(jí)持續(xù)威脅的發(fā)展需要基于情報(bào)的模型，因?yàn)樵诖四Ｐ椭?，防御者不僅可以緩解脆弱性，還可以緩解風(fēng)險(xiǎn)的威脅部分。1簡(jiǎn)介只要存在全球計(jì)算機(jī)網(wǎng)絡(luò)，惡意用戶(hù)就有意利用漏洞。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)威脅的早期演變涉及自傳播代碼。隨著時(shí)間的推移，防病毒技術(shù)的進(jìn)步顯著降低了這種自動(dòng)化的風(fēng)險(xiǎn)。最近，旨在損害數(shù)據(jù)以促進(jìn)經(jīng)濟(jì)或軍事發(fā)展的新一類(lèi)威脅已成為某些行業(yè)面臨的最大風(fēng)險(xiǎn)要素。此類(lèi)威脅被稱(chēng)為AdvancedPersistentThreat”（高級(jí)持續(xù)威脅，及APT）相關(guān)的風(fēng)險(xiǎn)而實(shí)施的技術(shù)和流程，而這些技術(shù)沒(méi)有充分解決專(zhuān)注的、手動(dòng)操作的APT入侵。傳統(tǒng)的事件響應(yīng)方法無(wú)法緩解APT帶來(lái)的風(fēng)險(xiǎn)，因?yàn)樗鼈冏龀隽藘蓚€(gè)錯(cuò)誤的假設(shè)：應(yīng)該在妥協(xié)之后進(jìn)行響應(yīng)，而妥協(xié)是因?yàn)槟硞€(gè)固定的缺陷（Mitropoulos等人，2006家標(biāo)準(zhǔn)與技術(shù)研究院）2008）。最近，行業(yè)和美國(guó)政府都對(duì)APT進(jìn)行了觀察和表征。2005年6月和2005年7月，英國(guó)國(guó)家基礎(chǔ)設(shè)施安全協(xié)調(diào)中心（UK-NISCC）和美國(guó)計(jì)算機(jī)緊急響應(yīng)小組（US-CERT）發(fā)布了技術(shù)警報(bào)公告，描述了針對(duì)性的、社會(huì)工程化的電子郵件，其中植入了特洛伊木馬，以提取敏感信息。這些入侵經(jīng)歷了相當(dāng)長(zhǎng)的一段時(shí)間，規(guī)避了傳統(tǒng)的防火墻和防病毒功能，并使攻擊者能夠收集敏感信息（UK-NISCC，2005；US-CERT，2005）?！渡虡I(yè)周刊》的Epstein和Elgin（2008）描述了對(duì)NASA和其他政府網(wǎng)絡(luò)的大量入侵，在這些網(wǎng)絡(luò)中，未發(fā)現(xiàn)APT參與者，并成功刪除了敏感的高性能火箭設(shè)計(jì)信息。在2010年2月，iSecPartners指出，當(dāng)前的方法（例如防病毒和補(bǔ)丁程序）不夠有效，最終用戶(hù)直接成為攻擊目標(biāo)，威脅行動(dòng)者則追求敏感的知識(shí)產(chǎn)權(quán)（Stamos，2010年）。在美國(guó)眾議院武裝部隊(duì)委員會(huì)恐怖主義，非常規(guī)威脅和能力小組委員會(huì)之前，戰(zhàn)略與國(guó)際研究中心的詹姆斯·安德魯·劉易斯（JamesAndrewLewis）作證說(shuō)，2007年，包括國(guó)防部，國(guó)務(wù)院和商務(wù)部在內(nèi)的各個(gè)政府機(jī)構(gòu)都發(fā)生了入侵事件。意圖收集信息（劉易斯，2008年）。據(jù)報(bào)道，中國(guó)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)營(yíng)的性質(zhì)有特殊規(guī)定，因此，2008年和2009年向美中經(jīng)濟(jì)和安全審查委員會(huì)的國(guó)會(huì)報(bào)告總結(jié)了針對(duì)美國(guó)軍方，政府的針對(duì)性入侵的報(bào)告。同樣，對(duì)手是出于收集敏感信息的動(dòng)機(jī)（美中經(jīng)濟(jì)與安全審查委員會(huì)，2008年，2009年）。最后，為美中經(jīng)濟(jì)與安全審查委員會(huì)準(zhǔn)備的報(bào)告，克雷克爾（2009）對(duì)高級(jí)入侵進(jìn)行了詳細(xì)介紹，充分證明了APT和精心設(shè)計(jì)的本質(zhì)?；A(chǔ)架構(gòu)管理工具的進(jìn)步實(shí)現(xiàn)了企業(yè)范圍內(nèi)修補(bǔ)和強(qiáng)化的最佳實(shí)踐，從而減少了網(wǎng)絡(luò)服務(wù)中最容易訪(fǎng)問(wèn)的漏洞。但是，APT參與者通過(guò)使用高級(jí)工具，自定義的惡意軟件和防病毒和補(bǔ)丁無(wú)法檢測(cè)或緩解的“零時(shí)差”漏洞，不斷展示出破壞系統(tǒng)的能力。對(duì)APT入侵的響應(yīng)需要分析，流程和技術(shù)方面的發(fā)展。基于對(duì)威脅的了解，可以預(yù)測(cè)和減輕將來(lái)的入侵。以威脅為重點(diǎn)的方法來(lái)研究入侵。入侵的每個(gè)離散階段都映射到操作過(guò)程中，以進(jìn)行檢測(cè)，緩解和響應(yīng)。術(shù)語(yǔ)“殺傷鏈”施會(huì)破壞連鎖店和對(duì)手。通過(guò)情報(bào)驅(qū)動(dòng)的響應(yīng)，防御者可以在APT口徑對(duì)手中獲得優(yōu)于攻擊者的優(yōu)勢(shì)。絡(luò)防御模型（computernetworkdefense，CND），該模型結(jié)合了針對(duì)特定威脅的入侵分析和防御緩解措施。第四部分介紹了該新模型在實(shí)際案例研究中的應(yīng)用，第五部分概述了本文并提出了對(duì)未來(lái)的一些思考研究。相關(guān)工作雖然APT的建模和使用殺傷鏈的相應(yīng)響應(yīng)是獨(dú)特的，但存在防御和對(duì)策策略的其他基于階段的模型。美國(guó)國(guó)防部聯(lián)合研究中心的出版物描述了一個(gè)殺傷鏈，其發(fā)現(xiàn)，修復(fù)，跟蹤，目標(biāo)，交戰(zhàn)和防御階段評(píng)估（美國(guó)國(guó)防部，2007年）。美國(guó)空軍已使用此框架來(lái)確定情報(bào)，監(jiān)視和偵察（ISR）能力方面的差距，并優(yōu)先考慮所需系統(tǒng)的開(kāi)發(fā)（Tirpak，2000年）。威脅鏈也已用于對(duì)簡(jiǎn)易爆炸裝置攻擊進(jìn)行建模（國(guó)家研究委員會(huì)，2007年）。IED交付鏈對(duì)從敵方資金到攻擊執(zhí)行的所有過(guò)程進(jìn)行建模。協(xié)同情報(bào)和防御措施以簡(jiǎn)易爆炸裝置威脅鏈的每個(gè)階段為重點(diǎn)，是應(yīng)對(duì)這些攻擊的理想方法。該方法還通過(guò)將現(xiàn)有功能映射到鏈上，為基礎(chǔ)研究需求的識(shí)別提供了一個(gè)模型?；陔A段的模型也已用于反恐計(jì)劃。美國(guó)陸軍將恐怖分子的行動(dòng)計(jì)劃周期描述為一個(gè)七個(gè)步驟的過(guò)程，作為評(píng)估恐怖組織意圖和能力的基線(xiàn)（美國(guó)陸軍訓(xùn)練和主義司令部，2007年）Hayes（2008）將此模型應(yīng)用于軍事設(shè)施的反恐計(jì)劃過(guò)程，并確定了原則，以幫助指揮官確定保護(hù)自己的最佳方法。Sakuraba等人（2008年）描述了對(duì)策的基于攻擊的順序分析（theAttack-BasedSequentialAnalysisofCountermeasures，ABSAC）ABSAC法所包含的反應(yīng)性強(qiáng)的妥協(xié)性對(duì)策比對(duì)非持久對(duì)手運(yùn)動(dòng)的早期發(fā)現(xiàn)能力要強(qiáng)。在基于階段的模型對(duì)內(nèi)部威脅的應(yīng)用中，Duranet等人（2009年）Willison和Siponen（2009）還通過(guò)改編稱(chēng)為“情境預(yù)防”（SCP）的SCP從犯罪者的角度模擬犯罪，然后將控件映射到犯罪的各個(gè)階段。最后，安全公司Mandiant提出了一個(gè)“剝削生命周期”。但是，Mandiant模型并未繪制防御行動(dòng)的路線(xiàn)圖，而是基于妥協(xié)后的行動(dòng)（Mandiant，2010年）。對(duì)打擊APT參與者而言，將檢測(cè)和緩解措施移至入侵殺傷鏈的早期階段至關(guān)重要。智能驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御情報(bào)驅(qū)動(dòng)的計(jì)算機(jī)網(wǎng)絡(luò)防御（CND）性的分析。這必然是一個(gè)連續(xù)的過(guò)程，需要利用指標(biāo)來(lái)發(fā)現(xiàn)新活動(dòng)，而還要利用更多指標(biāo)。它需要對(duì)入侵本身有新的了解，而不是非常規(guī)事件，而是逐步發(fā)展。本文提出了一種新的入侵消滅鏈模型，用于分析入侵并推動(dòng)防御行動(dòng)。情報(bào)驅(qū)動(dòng)的CND的安全態(tài)勢(shì)。APT參與者本質(zhì)上會(huì)在入侵之后嘗試入侵，并根據(jù)每個(gè)嘗試的成功或失敗來(lái)調(diào)整其操作。在“殺死鏈”模型中，只有一個(gè)緩解措施會(huì)打破鏈條并挫敗對(duì)手，因此，對(duì)手的任何重復(fù)都是防御者必須認(rèn)識(shí)和利用的責(zé)任。如果防御者實(shí)施對(duì)策的速度超過(guò)了對(duì)手的發(fā)展速度，則將增加對(duì)手為實(shí)現(xiàn)其目標(biāo)而必須花費(fèi)的成本。該模型表明，與傳統(tǒng)觀點(diǎn)相反，這些侵略者沒(méi)有防御者固有的優(yōu)勢(shì)。指標(biāo)和指標(biāo)生命周期該模型中情報(bào)的基本要素是指標(biāo)（indicator）。出于本文的目的，指示符是客觀描述入侵的任何信息。指標(biāo)可細(xì)分為三種類(lèi)型：?Atomic原子-原子指示器是不能分解成更小的部分，并在入侵的情況下保持其含義的指示器。此處的典型示例是IP址和漏洞標(biāo)識(shí)符。?Computed計(jì)算的-計(jì)算的指示符是從事件中涉及的數(shù)據(jù)派生的那些指示符。常見(jiàn)的計(jì)算指示符包括哈希值hashvalues和正則表達(dá)式regularexpressions。?Behavioral行為-行為指標(biāo)是計(jì)算指標(biāo)和原子指標(biāo)的集合，通常要經(jīng)過(guò)數(shù)量和組合邏輯的鑒定。例如，“門(mén)以[somefrequency]到[someIPaddress]的速率生成網(wǎng)絡(luò)流量匹配[regularexpression]，然后,一旦建立訪(fǎng)問(wèn)權(quán)限將其替換為匹配MD5hash[value]的語(yǔ)句。”形成了圖1中所示的指示器生命周期。這不分青紅皂白地適用于所有指示器，無(wú)論其準(zhǔn)確性或適用性如何。如果沒(méi)有足夠的跟蹤，跟有注意，分析人員可能會(huì)發(fā)現(xiàn)自己將這些技術(shù)應(yīng)用于并非針對(duì)其設(shè)計(jì)的威脅參與者，或者完全將其視為良性活動(dòng)。入侵殺傷鏈殺傷鏈?zhǔn)且粋€(gè)系統(tǒng)的過(guò)程，該過(guò)程以目標(biāo)為目標(biāo)并與對(duì)手互動(dòng)，以創(chuàng)建所需的效果。美國(guó)的軍事目標(biāo)學(xué)說(shuō)將這一過(guò)程的步驟定義為：find發(fā)現(xiàn)，fix修復(fù)，track跟蹤，target目標(biāo)，engage交戰(zhàn)，assess評(píng)估（F2T2EA）：找到適合交戰(zhàn)的對(duì)手目標(biāo)；固定他們的位置；跟蹤觀察；用合適的武器或資產(chǎn)瞄準(zhǔn)以產(chǎn)生所需的效果；招敵評(píng)估效果（美國(guó)國(guó)防部，2007年）稱(chēng)為“鏈”，因?yàn)槿魏尾蛔愣紩?huì)中斷整個(gè)過(guò)程。完整性或可用性。入侵殺傷鏈定義為reconnaissance偵察，weaponization武器化，deliveryexploitation利用，installation安裝，commandandcontrol命令和控制（C2）以及actionsonobjectives對(duì)目標(biāo)采取的行動(dòng)。關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)攻擊（CNA）或計(jì)算機(jī)網(wǎng)絡(luò)間諜活動(dòng)（CNE），對(duì)這些殺傷鏈階段的定義如下：Reconnaissance偵察-郵件列表。Weaponization武器化-通常通過(guò)自動(dòng)化工具（武器化工具）將遠(yuǎn)程訪(fǎng)問(wèn)木馬與對(duì)可交付有效載荷的利用相結(jié)合。諸如Adobe文檔格式（PDF）或MicrosoftOffice文檔之類(lèi)的客戶(hù)端應(yīng)用程序數(shù)據(jù)文件越來(lái)越多地用作可交付使用的武器。Delivery交付-將武器傳輸?shù)侥繕?biāo)環(huán)境。洛克希德·馬丁計(jì)算機(jī)事件響應(yīng)團(tuán)隊(duì)（LM-CIRT）在2004年至2010年間觀察到，APT對(duì)武器有效載荷的三種最普遍的傳遞媒介是電子郵件附件，網(wǎng)站和USB可移動(dòng)媒體。Exploitation漏洞利用-洞，但也可以更簡(jiǎn)單地利用用戶(hù)自身或利用可自動(dòng)執(zhí)行代碼的操作系統(tǒng)功能。Installation安裝-在受害系統(tǒng)上安裝遠(yuǎn)程訪(fǎng)問(wèn)特洛伊木馬或后門(mén)程序可使攻擊者在環(huán)境中保持持久性。CommandandControl命令和控制（C2）-通常，受感染的主機(jī)必須向Internet控制器服務(wù)器發(fā)送信標(biāo)，以建立C2APT件尤其需要手動(dòng)交互，而不是自動(dòng)進(jìn)行活動(dòng)。一旦建立了C2通道，入侵者就可以在目標(biāo)環(huán)境中“手動(dòng)操作”鍵盤(pán)。Actionsonobjectives針對(duì)目標(biāo)的行動(dòng)-只有在經(jīng)過(guò)前六個(gè)階段之后，入侵者才能采取行動(dòng)以實(shí)現(xiàn)其原始目標(biāo)。通常，此目標(biāo)是數(shù)據(jù)受害者盒，以用作跳躍點(diǎn)來(lái)危害其他系統(tǒng)并在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)。CoursesofActionTable1:CoursesofActionMatrixIntrusionReconstructionFigure3:LatephasedetectionFigure4:EarlierphasedetectionCampaignAnalysisCaseStudyIntrusionAttempt1IntrusionAttempt2IntrusionAttempt35小結(jié)將投資優(yōu)先考慮為能力缺口，并充當(dāng)衡量防御者行動(dòng)有效性的框架。當(dāng)防御者考慮風(fēng)險(xiǎn)的威脅部分以增強(qiáng)對(duì)APT的抵御能力時(shí)，他們可以將這些行為者的堅(jiān)持變成責(zé)任，從而降低對(duì)手每次入侵嘗試成功的可能性。計(jì)算機(jī)間諜活動(dòng)下的入侵殺傷鏈模型。入侵可能代表了更廣泛的問(wèn)題類(lèi)別。這項(xiàng)研究可能與其他學(xué)科（例如IED對(duì)策）強(qiáng)烈重疊。實(shí)戰(zhàn)指南\h/articles/14991作者：程度ATT&CK框架作為安全領(lǐng)域繼承KillChain的安全攻防框架，在全世界的信息安全領(lǐng)域正在如火如荼的發(fā)揮著影響。通過(guò)GoogleTrends可以看出在最近兩年的熱度呈指數(shù)級(jí)增長(zhǎng)。圖1：ATT&CK框架的熱度增長(zhǎng)趨勢(shì)ATT&CK框架早在2014年就已提出，但當(dāng)時(shí)的框架還比較簡(jiǎn)單。圖2：2014年時(shí)的ATT&CK框架目前，這個(gè)框架還在不斷演進(jìn)，在今年10月份的ATT&CKcon2.0大會(huì)上，披露的更新內(nèi)容如下：圖3：ATT&CK框架的新增內(nèi)容（數(shù)字解讀）值得一提的是，ATT&CK框架中加入了云相關(guān)方面的一些支持：圖4：ATT&CK新增云支持該框架不像其它理論只是提供理論指導(dǎo)作用，這個(gè)框架的可落地性很強(qiáng)。理論學(xué)習(xí)使用ATT&CK?Navigator項(xiàng)目對(duì)于的學(xué)習(xí)是第一步的，首先需要介紹的就是ATT&CK?Navigator給人的壓力更小，而且具有良好的交互性。通過(guò)簡(jiǎn)單地點(diǎn)擊鼠標(biāo)，就能學(xué)習(xí)到很多知識(shí)，這個(gè)項(xiàng)目主要是為之后的工作有很好的標(biāo)記作用。這個(gè)項(xiàng)目比較好用的幾個(gè)功能都是篩選類(lèi)的功能，比如你可以根據(jù)不同的APT組織以及惡意軟件進(jìn)行篩選，可以看出組織和惡意軟件使用的Technique，并進(jìn)行著色，這樣就可以很明顯看出來(lái)這個(gè)組織的攻擊使用技術(shù)。圖5：APT29使用的攻擊技術(shù)同時(shí)也可以根據(jù)不同的需求，保存為其它格式導(dǎo)出，包括Json、Excel以及SVG，也支持根據(jù)平臺(tái)和階段進(jìn)行選擇。圖6：根據(jù)平臺(tái)和階段進(jìn)行選擇從上圖可以看出，ATT&CK框架支持三種常見(jiàn)系統(tǒng)Windows、Linux和MacOS，最近還新增了對(duì)云安全的支持，包括了國(guó)外主流的三個(gè)公有云、Azure和GCP，同時(shí)還加入了一些SaaS安全框架AzureAD、Office365SaaS。雖然框架中有關(guān)云計(jì)算的內(nèi)容并不多，但也是一種有價(jià)值的嘗試。云安全的這塊針對(duì)云平臺(tái)更像是CSPM產(chǎn)品解決的問(wèn)題，SaaS安全的是CASB題。這里不詳細(xì)描述，之后會(huì)有另外一篇文章說(shuō)明。這個(gè)項(xiàng)目主要關(guān)注的是pre-attack和attack-enterprise的內(nèi)容，包括mobile這塊是有單獨(dú)的項(xiàng)目支持。守結(jié)果。圖7：紅藍(lán)對(duì)抗攻守圖還有一種用法是對(duì)目前安全產(chǎn)品的技術(shù)有效性進(jìn)行coverage的評(píng)估，如下圖所示：圖8：EDR產(chǎn)品安全技術(shù)覆蓋度ATT&CK?的CARET項(xiàng)目CARET項(xiàng)目是CAR（CyberAnalyticsRepository）項(xiàng)目的演示版本，有助于理解CAR這個(gè)項(xiàng)目表達(dá)的內(nèi)容。CAR這個(gè)項(xiàng)目主要是分析攻擊行為，并如何檢測(cè)的一個(gè)項(xiàng)目，在BlueTeam中詳細(xì)介紹。這里，介紹一下CARET的網(wǎng)絡(luò)圖。該圖從左到右分為五個(gè)部分：APT團(tuán)體、攻擊技術(shù)、分析技術(shù)、數(shù)據(jù)模型、Sensor或者Agent。APT組織從左到右，安全團(tuán)隊(duì)從右到左，在“分析”這一列進(jìn)行交匯。APT組織使用攻擊技術(shù)進(jìn)行滲透，安全團(tuán)隊(duì)利用安全數(shù)據(jù)進(jìn)行數(shù)據(jù)分類(lèi)并進(jìn)行分析，在“分析”環(huán)節(jié)進(jìn)行碰撞。圖9：CARET網(wǎng)絡(luò)圖最左側(cè)兩列已在上文有所介紹，此處不再贅述。我們從最右側(cè)的Sensor開(kāi)始分析。Sensor主要是用于數(shù)據(jù)收集，基本是基于sysmon、autoruns等windows下的軟件來(lái)收集信息。數(shù)據(jù)模型受到CybOX威脅描述語(yǔ)言影響，對(duì)威脅分為三元組（對(duì)象、行為和字段）進(jìn)行描述，對(duì)象分為9種：驅(qū)動(dòng)、文件、流、模塊、進(jìn)程、注冊(cè)表、服務(wù)、線(xiàn)程、用戶(hù)sessionsensor或者agent要收集哪些數(shù)據(jù)、怎樣組織數(shù)據(jù)，也為安全分析奠定了基礎(chǔ)。“分析”有偽代碼表示。Red使用RedCanary?AtomicRedTeam項(xiàng)目紅隊(duì)使用框架是比較直截了當(dāng)?shù)膱?chǎng)景，可以根據(jù)框架的技術(shù)通過(guò)腳本的自動(dòng)化攻擊，這里重點(diǎn)推薦RedCanary公司的AtomicRed項(xiàng)目，也是目前Github上Star最多的關(guān)于的項(xiàng)目。MITRE與RedCanary的關(guān)系已經(jīng)非常密切，MITRE的項(xiàng)目CALDERA也是類(lèi)似的項(xiàng)目，但是場(chǎng)景和腳本的豐富度離這家新興的MDR公司還是有差距，在今年SANS的CTI以看出。圖10：MITRE與RedCanary的用例數(shù)量示意圖這個(gè)項(xiàng)目使用起來(lái)也好上手，首先搭建相關(guān)環(huán)境，然后選擇相關(guān)的測(cè)試用例，包括Windows、Linux以及MacOS的用例，然后可以根關(guān)入侵技術(shù)，如果沒(méi)有發(fā)現(xiàn)需要進(jìn)行檢測(cè)技術(shù)的改進(jìn)情況。最后，可以根據(jù)這個(gè)過(guò)程反復(fù)操作，能夠得到一個(gè)入侵檢測(cè)進(jìn)步的進(jìn)展圖，最終可以更好的覆蓋的整個(gè)攻擊技術(shù)圖。圖11：入侵檢測(cè)進(jìn)展示意圖其它紅隊(duì)的模擬攻擊項(xiàng)目更新較少，也可以參考Endgame的RTA項(xiàng)目、Uber的Metta項(xiàng)目。比較好的實(shí)踐是自己的攻擊測(cè)試庫(kù)，可以基于RedCanary的項(xiàng)目，然后結(jié)合其它的測(cè)試項(xiàng)目，同時(shí)可以結(jié)合自身來(lái)完善這個(gè)自己的紅隊(duì)攻擊測(cè)試庫(kù)，可以根據(jù)實(shí)際情況不斷進(jìn)行測(cè)試和回歸測(cè)試，可以讓安全攻擊水準(zhǔn)達(dá)到一個(gè)比較好的水平。ATTACK-Tools項(xiàng)目這個(gè)項(xiàng)目有兩個(gè)重要作用：第一是用作模擬攻擊的計(jì)劃工具；第二是用作擬攻擊的計(jì)劃工具這個(gè)角度來(lái)介紹。以APT3為例（好尷尬，是美國(guó)分析中國(guó)的APT組織），先不考慮地緣政治因素，只考慮技術(shù)層面。首先，分析一個(gè)APT組織的行為報(bào)告就較為復(fù)雜，國(guó)內(nèi)也是只有為數(shù)不多的幾個(gè)比較有技術(shù)實(shí)力的公司每年在分析APT為；然后，基于這些攻擊技術(shù)抽象成模擬這些組織攻擊的內(nèi)容更是復(fù)雜。從下圖可以看出，模擬APT3有三個(gè)步驟，但其實(shí)前面還有個(gè)重要的步驟——工具選擇。圖12：APT3模擬計(jì)劃示意圖簡(jiǎn)單，但該項(xiàng)目根據(jù)框架，充分展示了對(duì)APT組織的模擬攻擊計(jì)劃覆蓋了哪些技術(shù)。圖13：ATT&CK?View示意圖這類(lèi)示意圖可以很好地將APT組織或者軟件的行為按照ATT&CK框架表示出來(lái)，能夠做好更全面的模擬攻擊。關(guān)于ATT&CK?DataModel這個(gè)內(nèi)容更多的是把ATT&CK的內(nèi)容根據(jù)關(guān)系數(shù)據(jù)庫(kù)設(shè)計(jì)模式導(dǎo)入，以便按照不同維度進(jìn)行查詢(xún)和篩選。BlueTeam使用ATT&CK?CAR項(xiàng)目CAR（CyberAnalyticsRepository）安全分析庫(kù)項(xiàng)目主要是針對(duì)的威脅檢測(cè)和追蹤。上面的CARET項(xiàng)目就是CAR的UI可視化項(xiàng)目，可以更利于CAR項(xiàng)目的理解。這個(gè)項(xiàng)目主要基于四點(diǎn)考慮：根據(jù)擊者行為確認(rèn)要收集的數(shù)據(jù)；確認(rèn)數(shù)據(jù)收集主體sensor的數(shù)據(jù)收集能力。后面三個(gè)方面與CARET項(xiàng)目圖示中的Analytics、DataModel、Sensor相對(duì)應(yīng)。這個(gè)分析庫(kù)是由對(duì)每一項(xiàng)攻擊技術(shù)的具體分析構(gòu)成的。我們以該分析庫(kù)中最新一條的分析內(nèi)容為例：CAR-2019-08-001:CredentialDumpingviaWindowsManager（通過(guò)Windows任務(wù)管理器進(jìn)行憑據(jù)轉(zhuǎn)儲(chǔ)），轉(zhuǎn)儲(chǔ)任務(wù)管理器中的授權(quán)信息這一安全問(wèn)題進(jìn)行檢測(cè)。分析中還包含單元測(cè)試部分：圖14：?jiǎn)卧獪y(cè)試示例分析中還包括三種檢測(cè)方式：偽代碼、splunk下的sysmon的代碼實(shí)現(xiàn)、及EQL大增強(qiáng)藍(lán)隊(duì)的檢測(cè)能力。圖15：實(shí)現(xiàn)方式示例CAR這個(gè)架構(gòu)可以作為藍(lán)隊(duì)很好的內(nèi)網(wǎng)防守架構(gòu)，但是畢竟是理論架構(gòu)，內(nèi)容豐富度上比較欠缺。Endgame?EQL項(xiàng)目EQL（EventQueryLanguage）是一種威脅事件查詢(xún)語(yǔ)言，可以對(duì)安全事件進(jìn)行序列化、歸集及分析。如下圖所示，該項(xiàng)目可以進(jìn)行事件日志的收集，不局限于終端數(shù)據(jù)，還可以是網(wǎng)絡(luò)數(shù)據(jù)，比如有國(guó)外使用sysmon這種windows下的原生數(shù)據(jù)，也有osquery類(lèi)型的基本的緩存數(shù)據(jù)，也有BRO/Zeek的開(kāi)源NIDS的數(shù)據(jù)，這些數(shù)據(jù)對(duì)接個(gè)EQL語(yǔ)言進(jìn)行統(tǒng)一分析。圖16：EQL語(yǔ)言示意圖這個(gè)語(yǔ)言的形式有shell類(lèi)型PS2，也有l(wèi)ib類(lèi)型。比較局限的是要輸入Json為sql語(yǔ)言和shell的結(jié)合體。既有sql的條件查詢(xún)和聯(lián)合查詢(xún)，也有內(nèi)置函數(shù)，同時(shí)也有shell的管道操作方式，有點(diǎn)類(lèi)似于splunk的SPL（SearchProcessingLanguage）語(yǔ)言。這個(gè)語(yǔ)言本質(zhì)上屬于ThreatHunting（威脅捕獲）領(lǐng)域，因?yàn)檫@個(gè)領(lǐng)域目前也比較受關(guān)注，后面還會(huì)有文章專(zhuān)門(mén)講解。該語(yǔ)言在開(kāi)源領(lǐng)域影響力較大，尤其是跟ATT&CK的結(jié)合比較好，除了提供語(yǔ)言能力外，還有很多跟TTPs結(jié)合的分析腳本。DeTT&CT項(xiàng)目DeTT&CT（DEtectTechniques&CombatThreats）項(xiàng)目，主要是幫助藍(lán)隊(duì)利用框架提高安全防御水平。用于幫助防御團(tuán)隊(duì)評(píng)估日志質(zhì)量、檢測(cè)覆蓋度的工具，可以通過(guò)yaml文件填寫(xiě)相關(guān)的技術(shù)水平，通過(guò)腳本進(jìn)行評(píng)估，自動(dòng)導(dǎo)出Navigator以識(shí)別的文件，導(dǎo)入之后可以自動(dòng)標(biāo)記，也可以通過(guò)excel導(dǎo)出，很快的看出關(guān)于數(shù)據(jù)收集、數(shù)據(jù)質(zhì)量、數(shù)據(jù)豐富度（透明度）、檢測(cè)方式等的覆蓋度。圖17：數(shù)據(jù)收集質(zhì)量示意圖CTI（CyberThreatIntelligence）Team使用框架的創(chuàng)建及更新都是來(lái)源于威脅情報(bào)?？蚣苁峭{情報(bào)抽象的最高層次，從戰(zhàn)術(shù)、技術(shù)和步驟（TTPs）攻擊層面。下圖是威脅情報(bào)內(nèi)容對(duì)于黑客的“痛苦金字塔”?？傮w來(lái)講，威脅情報(bào)分析得越透徹，黑客攻擊繞過(guò)的難度就越高。最高級(jí)別是TTP的檢測(cè)，這是因?yàn)槿绻軌驅(qū)崿F(xiàn)黑客行為的檢測(cè)，基本就很容易定位黑客組織；如果只是能夠?qū)崿F(xiàn)hash、IP、DNS則很容易被黑客繞過(guò)。圖18：痛苦金字塔威脅情報(bào)項(xiàng)目分為四個(gè)部分：戰(zhàn)略級(jí)、戰(zhàn)術(shù)級(jí)、運(yùn)營(yíng)級(jí)和技術(shù)級(jí)。我們目前的技術(shù)主要集中在運(yùn)營(yíng)級(jí)和技術(shù)級(jí)。而各個(gè)級(jí)別都具有重大指導(dǎo)作用。圖19：ENISA的CTI項(xiàng)目圖Sigma項(xiàng)目Sigma項(xiàng)目是一個(gè)SIEM的特征庫(kù)格式項(xiàng)目。該項(xiàng)目可以直接使用sigma格式進(jìn)行威脅檢測(cè)的描述，可以進(jìn)行共享，也可以進(jìn)行不同SIEM系統(tǒng)的格式轉(zhuǎn)換。下圖展示了simga主要解決的問(wèn)題場(chǎng)景。圖20：Sigma用途示意圖Sigma的描述方式是使用yaml格式表示，比較容易理解。比如windows下使用sysmon檢測(cè)webshell，如下圖所示。圖21：使用sysmon檢測(cè)webshell的示例還有專(zhuān)門(mén)針對(duì)sigma的editor，可以方便地編寫(xiě)相關(guān)的威脅檢測(cè)規(guī)則。Sigma還可以將自身格式的規(guī)則轉(zhuǎn)換到一些主流的SIEM系統(tǒng)中直接使用，這個(gè)工具目前可以支持的系統(tǒng)如下圖所示：圖22：Sigma支持的系統(tǒng)Sigma的規(guī)則在ATT&CK框架中的覆蓋度如下圖所示，也是覆蓋了一部分的檢測(cè)規(guī)則：圖23：Sigma規(guī)則在ATT&CK框架中的覆蓋度MISP項(xiàng)目惡意軟件信息共享平臺(tái)MISP（MalwareInformationSharingPlatform）歐盟在資助這個(gè)項(xiàng)目。使用這個(gè)系統(tǒng)是通過(guò)安裝一個(gè)實(shí)例達(dá)到的，可以理解為，威脅情報(bào)中心會(huì)定期同步威脅事件給每個(gè)實(shí)例。每個(gè)子節(jié)點(diǎn)的實(shí)例也可以創(chuàng)建新的事件，形成新的威脅情報(bào)發(fā)送到威脅情報(bào)中心。也可以查看歷史的威脅情報(bào)記錄，也可以導(dǎo)出相關(guān)的數(shù)據(jù)，同時(shí)也支持API方式。雖然這個(gè)項(xiàng)目相對(duì)比較復(fù)雜，但功能較多，適合比較成熟使用威脅情報(bào)的單位。圖24：MISP威脅情報(bào)平臺(tái)示意圖misp-galaxy這個(gè)項(xiàng)目中目前已經(jīng)集成了ATT&CK框架，可以將MISP中的數(shù)據(jù)映射到ATT&CK框架中。CSO使用CSO作為安全的最終負(fù)責(zé)人，當(dāng)然上面3個(gè)組的工作內(nèi)容都得大致清晰，更重要的是知道如何評(píng)估，并且利用安全防護(hù)能力。AtomicThreatCoverage項(xiàng)目該項(xiàng)目的重點(diǎn)組成部分其實(shí)是上面提到的兩個(gè)項(xiàng)目——RedCanary?AtomicRed和Sigma檢測(cè)。響應(yīng)使用ES和Hive進(jìn)行分析。這個(gè)項(xiàng)目更像是個(gè)組織型項(xiàng)目，真正看重在企業(yè)的落地情況。當(dāng)然這個(gè)架構(gòu)不一定是最優(yōu)的架構(gòu)，可能我會(huì)在響應(yīng)方面要加上EQL的內(nèi)容。圖25：AtomicThreatCoverage項(xiàng)目示意圖這個(gè)架構(gòu)更像是某個(gè)企業(yè)內(nèi)部的一種使用場(chǎng)景：紅隊(duì)模擬攻擊，藍(lán)隊(duì)檢測(cè)攻擊并做出響應(yīng)，此外還有一些緩解措施。CSO可以利用ATT&CK框架在內(nèi)部不斷演練，按照ATT&CK的覆蓋度來(lái)看到安全能力的改進(jìn)情況。與以往每個(gè)團(tuán)隊(duì)的消息不對(duì)稱(chēng)，各司其職又沒(méi)有統(tǒng)一的目標(biāo)相比，該框架將3個(gè)團(tuán)隊(duì)結(jié)合起來(lái)，讓其按照升安全防護(hù)能力的目的。ATT&CK的常見(jiàn)使用場(chǎng)景這里就介紹到這里了，如下圖所示：圖26：ATT&CK的常見(jiàn)使用場(chǎng)景常見(jiàn)的內(nèi)容是模擬攻擊、評(píng)估和提高防御能力、威脅情報(bào)提取和建模、威脅評(píng)估和分析。ATT&CK框架涵蓋的內(nèi)容還有很多沒(méi)有介紹，比如Pre-ATT&CK、mobile、ICS、Evaluation、SOCAssessment及Sightings等等。我們希望與大家攜手努力，共同研究這個(gè)來(lái)源于真實(shí)場(chǎng)景的安全框架，為提高安全能力、維護(hù)網(wǎng)絡(luò)安全貢獻(xiàn)綿薄之力。\hanquanneican@163.com。一文看懂框架以及使用場(chǎng)景實(shí)例\h/post/id/187998Google趨勢(shì)顯示，這個(gè)帶著奇怪的“＆”符號(hào)的詞語(yǔ)——ATT＆CK非常受歡迎。但是，MITREATT＆CK?的內(nèi)涵是什么呢？為什么網(wǎng)絡(luò)安全專(zhuān)家應(yīng)該關(guān)注ATT＆CK呢？過(guò)去12個(gè)月中，對(duì)MITREATT＆CK的搜索熱度顯著增長(zhǎng)一、ATT&CK框架背景介紹MITRE是美國(guó)政府資助的一家研究機(jī)構(gòu)，該公司于1958年從MIT分離出來(lái)，并參與了許多商業(yè)和最高機(jī)密項(xiàng)目。其中包括開(kāi)發(fā)中交通管制系統(tǒng)和機(jī)載雷達(dá)系統(tǒng)。MITRE在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所（NIST）的資助下從事了大量的網(wǎng)絡(luò)安全實(shí)踐。MITRE在2013年推出了模型，它是根據(jù)真實(shí)的觀察數(shù)據(jù)來(lái)描述和分類(lèi)對(duì)抗行為。表，將這些已知的行為匯總成戰(zhàn)術(shù)和技術(shù)，并通過(guò)幾個(gè)矩陣以及結(jié)構(gòu)化威脅信息表達(dá)式（STIX）、指標(biāo)信息的可信自動(dòng)化交換（TAXII）他機(jī)制都非常有用。MITRE的目標(biāo)是創(chuàng)建網(wǎng)絡(luò)攻擊中使用的已知對(duì)抗戰(zhàn)術(shù)和技術(shù)的詳盡列表。在過(guò)去的一年中，MITRE業(yè)中廣受歡迎。簡(jiǎn)單來(lái)說(shuō)，ATT&CK是MITRE提供的“對(duì)抗戰(zhàn)術(shù)、技術(shù)和常識(shí)”框架，是由攻擊者在攻擊企業(yè)時(shí)會(huì)利用的12種戰(zhàn)術(shù)和244種企業(yè)技術(shù)組成的精選知識(shí)庫(kù)。會(huì)詳細(xì)介紹每一種技術(shù)的利用方式，以及為什么了解這項(xiàng)技術(shù)對(duì)于防御者來(lái)說(shuō)很重要。這極大地幫助了安全人員更快速地了些內(nèi)容，才能減輕或檢測(cè)由于入侵技術(shù)濫用造成的影響。這時(shí)候，ATT&CK場(chǎng)景示例就派上用場(chǎng)了。針對(duì)每種技術(shù)都有具體場(chǎng)景示例，說(shuō)明攻擊者是如何通過(guò)某一惡意軟件或行動(dòng)方案來(lái)利用該技術(shù)的。每個(gè)示例都采用Wikipedia安全研究團(tuán)隊(duì)發(fā)表的文章。因此如果中沒(méi)有直接提供內(nèi)容，通?？梢栽谶@些鏈接的文章中找到。因此，現(xiàn)在很多企業(yè)都開(kāi)始研究ATT&CK，在這一過(guò)程中通常會(huì)看到企業(yè)組織采用兩種方法。首先是盤(pán)點(diǎn)其安全工具，讓安全廠商提供一份對(duì)照覆蓋范圍的映射圖。盡管這是最簡(jiǎn)單、最快速的方法，但供應(yīng)商提供的覆蓋范圍可能與企業(yè)實(shí)際部署工具的方式緩解其中一部分技術(shù)，并不意味著攻擊者無(wú)法以其它方式濫用這項(xiàng)技術(shù)。二、MITREATT＆CK與KillChain的對(duì)比總體來(lái)說(shuō)，ATT&CK模型是在洛克希德-馬丁公司提出的KillChain目前模型分為三部分，分別是PRE-ATT&CK，ATT&CKforEnterprise和forMobile。其中PRE-ATT&CK覆蓋KillChain模型的前兩個(gè)階段，包含了與攻擊者在嘗試?yán)锰囟繕?biāo)網(wǎng)絡(luò)或系統(tǒng)漏洞進(jìn)行相關(guān)操作有關(guān)的戰(zhàn)術(shù)和技術(shù)。forEnterprise覆蓋KillChain的后五個(gè)階段，ATT&CKforEnterprise由適用于Windows、Linux和MacOS系統(tǒng)的技術(shù)和戰(zhàn)術(shù)部分。forMobile包含適用于移動(dòng)設(shè)備的戰(zhàn)術(shù)和技術(shù)。但是，ATT&CK的戰(zhàn)術(shù)跟洛克希德·目標(biāo)。沒(méi)有一種戰(zhàn)術(shù)比其它戰(zhàn)術(shù)更重要。企業(yè)組織必須對(duì)當(dāng)前覆蓋范圍進(jìn)行分析，評(píng)估組織面臨的風(fēng)險(xiǎn)，并采用有意義措施來(lái)彌合差距。除了在KillChain戰(zhàn)術(shù)上更加細(xì)化之外，ATT＆CK還描述了可以在每個(gè)階段使用的技術(shù)，而KillChain則沒(méi)有這些內(nèi)容。三、ATT＆CK框架的使用從視覺(jué)角度來(lái)看，MITRE矩陣按照一種易于理解的格式將所有已知的戰(zhàn)術(shù)和技術(shù)進(jìn)行排列。攻擊戰(zhàn)術(shù)展示在矩陣頂部，每列下面列出了單獨(dú)的技術(shù)。一個(gè)攻擊序列按照戰(zhàn)術(shù)，至少包含一個(gè)技術(shù)，并且通過(guò)從左側(cè)（初始訪(fǎng)問(wèn)）向右側(cè)（影響）了一個(gè)完整的攻擊序列。一種戰(zhàn)術(shù)可能使用多種技術(shù)。例如，攻擊者可能同時(shí)嘗試魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊中的釣魚(yú)附件和釣魚(yú)鏈接。ATT＆CK矩陣頂部為攻擊戰(zhàn)術(shù)，每列包含多項(xiàng)技術(shù)戰(zhàn)術(shù)按照邏輯分布在多個(gè)矩陣中，并以“初始訪(fǎng)問(wèn)”的一項(xiàng)技術(shù)。中的每種技術(shù)都有唯一的ID號(hào)碼，例如，此處所使用的技術(shù)。矩陣中的下一個(gè)戰(zhàn)術(shù)是“執(zhí)行”。在該戰(zhàn)術(shù)下，有“用戶(hù)執(zhí)行/T1204”技術(shù)。該技術(shù)描述了在用戶(hù)執(zhí)行特定操作期間執(zhí)行的惡意代碼。在矩陣中后面的階段中，您將遇到“提升特權(quán)”、“橫向移動(dòng)”和“滲透”之類(lèi)的戰(zhàn)術(shù)。攻擊者無(wú)需使用矩陣頂部所示的所有12發(fā)現(xiàn)的幾率。例如，對(duì)手使用電子郵件中傳遞的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鏈接對(duì)CEO行政助理的憑據(jù)進(jìn)行“初始訪(fǎng)問(wèn)”。獲得管理員的憑據(jù)后，攻擊者將在“發(fā)現(xiàn)”階段尋找遠(yuǎn)程系統(tǒng)。接下來(lái)可能是在Dropbox文件夾中尋找敏感數(shù)據(jù)，管理員對(duì)此也有訪(fǎng)問(wèn)權(quán)限，因此無(wú)需提升權(quán)限。然后攻擊者通過(guò)將文件從Dropbox下載到攻擊者的計(jì)算機(jī)來(lái)完成收集。攻擊示例（攻擊中使用了不同戰(zhàn)術(shù)中的技術(shù)）導(dǎo)航工具是一個(gè)很有用的工具，可用于映射針對(duì)技術(shù)的控制措施?？梢蕴砑硬煌膶樱瑏?lái)顯示特定的檢測(cè)控制措施久化的解決方案。下文，筆者將針對(duì)ATT&CK框架中的12種戰(zhàn)術(shù)的中心思想以及如何緩解和檢測(cè)戰(zhàn)術(shù)中的某些技術(shù)進(jìn)行一些解讀。01、初始訪(fǎng)問(wèn)盡管ATT&CK并不是按照任何線(xiàn)性順序排列的，但初始訪(fǎng)問(wèn)是攻擊者在企業(yè)環(huán)境中的立足點(diǎn)。對(duì)于企業(yè)來(lái)說(shuō)，該戰(zhàn)術(shù)是從PRE-ATT&CK到ATT&CK的理想過(guò)渡點(diǎn)。攻擊者會(huì)使用不同技術(shù)來(lái)實(shí)現(xiàn)初始訪(fǎng)問(wèn)技術(shù)。例如，假設(shè)攻擊者使用Spearphishing（魚(yú)叉式）附件。附件本身將利用某種類(lèi)型的漏洞來(lái)實(shí)現(xiàn)該級(jí)別的訪(fǎng)問(wèn)，例如PowerShell或其技術(shù)和方法可用于減輕和檢測(cè)每種技術(shù)的濫用情況。此外，安全人員也可以將和CIS控制措施相結(jié)合，這將發(fā)揮更大作用。對(duì)于初始訪(fǎng)問(wèn)這種戰(zhàn)術(shù)，我認(rèn)為其中三項(xiàng)CIS能發(fā)揮極大作用?？刂拼胧?：控制管理員權(quán)限的使用。如果攻擊者可以成功使用有效帳戶(hù)或讓管理員打開(kāi)spearphishing加輕松?？刂拼胧?：電子郵件和Web瀏覽器保護(hù)。由于這些技術(shù)中的許多技術(shù)都涉及電子郵件和、Web瀏覽器的使用，因此，控制措施7中的子控制措施將非常有用?？刂拼胧?6測(cè)網(wǎng)絡(luò)中有效帳戶(hù)濫用的功能。初始訪(fǎng)問(wèn)是攻擊者將在企業(yè)環(huán)境中的落腳點(diǎn)。想要盡早終止攻擊，那么“初始訪(fǎng)問(wèn)”了CIS控制措施并且正在開(kāi)始采用的方法，這將會(huì)很有用。02、執(zhí)行在對(duì)手在進(jìn)攻中所采取的所有戰(zhàn)術(shù)中，應(yīng)用最廣泛的戰(zhàn)術(shù)莫過(guò)于“執(zhí)行”。攻擊者在考慮現(xiàn)成的惡意軟件、勒索軟件或APT攻擊時(shí)，他們都會(huì)選擇“執(zhí)行”松查找其惡意可執(zhí)行文件。此外，對(duì)于命令行界面或PowerShell術(shù)。這些類(lèi)型的技術(shù)對(duì)攻擊者的威力在于，終端上已經(jīng)安裝了上述技術(shù)，而且很少會(huì)刪除。系統(tǒng)管理員和高級(jí)用戶(hù)每天都依賴(lài)其中一些內(nèi)置工具。中的緩解控制措施甚至聲明了，這些控制措施也無(wú)法刪除上述技術(shù)，只能對(duì)其進(jìn)行審計(jì)。而攻擊者所依賴(lài)的就是，終端上安裝采用了這些技術(shù)，因此要獲得對(duì)攻擊者的優(yōu)勢(shì)，只能對(duì)這些技術(shù)進(jìn)行審計(jì)，然后將它們相關(guān)數(shù)據(jù)收集到中央位置進(jìn)行審核。可能犯錯(cuò)。如果企業(yè)當(dāng)前正在應(yīng)用CIS關(guān)鍵安全控制措施，該戰(zhàn)術(shù)與控制措施2——無(wú)法防護(hù)自己未知的東西，因此，第一步是要了解自己的財(cái)產(chǎn)。要正確利用ATT&CK，企業(yè)不僅需要深入了解已安裝的應(yīng)用程序。還要清楚內(nèi)置工具或附加組件會(huì)給企業(yè)組織帶來(lái)的額外風(fēng)險(xiǎn)。在這個(gè)環(huán)節(jié)中，可以采用一些安全廠商的資產(chǎn)清點(diǎn)工具，例如青藤等主機(jī)安全廠商都能提供詳細(xì)的軟件資產(chǎn)清單。03、持久化人員采取重啟、更改憑據(jù)等措施后，持久化仍然可以讓計(jì)算機(jī)再次感染病毒或維護(hù)其現(xiàn)有連接。例如注冊(cè)表Run鍵、啟動(dòng)文件夾是最常用的技術(shù)，這些注冊(cè)表鍵或文件系統(tǒng)位置在每次啟動(dòng)計(jì)算機(jī)時(shí)都會(huì)執(zhí)行。因此攻擊者在啟動(dòng)諸如Web瀏覽器或MicrosoftOffice等常用應(yīng)用時(shí)開(kāi)始獲得持久化。此外，還有使用“鏡像劫持（IFEO）注入”的原理添加鍵值，實(shí)現(xiàn)系統(tǒng)在未登錄狀態(tài)下，通過(guò)快捷鍵運(yùn)行自己的程序。在所有戰(zhàn)術(shù)中，筆者認(rèn)為持久化是最應(yīng)該關(guān)注的戰(zhàn)術(shù)之一。如果企業(yè)在終端上發(fā)現(xiàn)惡意軟件并將其刪除，很有可能它還會(huì)重技術(shù)相比，使用持久化攻擊應(yīng)該相對(duì)容易一些。04、提升權(quán)限所有攻擊者都會(huì)對(duì)提權(quán)愛(ài)不釋手，利用系統(tǒng)漏洞達(dá)到root使用，Hooking和進(jìn)程注入就是兩個(gè)示例。該戰(zhàn)術(shù)中的許多技術(shù)都是針對(duì)被攻擊的底層操作系統(tǒng)而設(shè)計(jì)，要緩解可能很困難。提出“應(yīng)重點(diǎn)防止對(duì)抗工具在活動(dòng)鏈中的早期階段運(yùn)行，并重點(diǎn)識(shí)別隨后的惡意行為?！边@意味著需要利用縱深防御來(lái)防止感染病毒，例如終端的外圍防御或應(yīng)用白名單。對(duì)于超出基線(xiàn)。例如CIS基線(xiàn)提供了詳細(xì)的分步指南，指導(dǎo)企業(yè)如何加固系統(tǒng)，抵御攻擊。應(yīng)對(duì)此類(lèi)攻擊戰(zhàn)術(shù)另一個(gè)辦法是審計(jì)日志記錄。當(dāng)攻擊者采用其中某些技術(shù)時(shí)，它們將留下蛛絲馬跡，暴露他們的目的。尤其是針對(duì)主機(jī)側(cè)的日志，如果能夠記錄服務(wù)器的所有運(yùn)維命令，進(jìn)行存證以及實(shí)時(shí)審計(jì)。例如，實(shí)時(shí)審計(jì)運(yùn)維人員在服務(wù)器上操作步驟，一旦發(fā)現(xiàn)不合規(guī)行為可以進(jìn)行實(shí)時(shí)告警，也可以作為事后審計(jì)存證。也可以將數(shù)據(jù)信息對(duì)接給SOC系統(tǒng)。05、防御繞過(guò)到目前為止，該戰(zhàn)術(shù)所擁有的技術(shù)是MITREATT&CK框架所述戰(zhàn)術(shù)中最多的。該戰(zhàn)術(shù)的一個(gè)有趣之處是某些惡意軟件，例如勒索軟件，對(duì)防御繞過(guò)毫不在乎。他們的唯一目標(biāo)是在設(shè)備上執(zhí)行一次，然后盡快被發(fā)現(xiàn)。一些技術(shù)可以騙過(guò)防病毒文件刪除和修改注冊(cè)表都是可以利用的技術(shù)。當(dāng)然防御者可以通過(guò)監(jiān)視終端上的更改并收集關(guān)鍵系統(tǒng)的日志將會(huì)讓入侵無(wú)處遁形。06、憑據(jù)訪(fǎng)問(wèn)毫無(wú)疑問(wèn)，攻擊者最想要的憑據(jù)，尤其是管理憑據(jù)。如果攻擊者可以登錄，為什么要用0Day入房子，如果能夠找到鑰匙開(kāi)門(mén)，沒(méi)人會(huì)愿意砸破窗戶(hù)方式進(jìn)入。在明文文件、數(shù)據(jù)庫(kù)甚至注冊(cè)表中。攻擊者入侵一個(gè)系統(tǒng)、竊取本地哈希密碼并破解本地管理員密碼并不鮮見(jiàn)。監(jiān)視有效帳戶(hù)的使用情況。在很多情況下，是通過(guò)有效賬戶(hù)發(fā)生的數(shù)據(jù)泄露。當(dāng)然最穩(wěn)妥辦法辦法就是啟用多因素驗(yàn)證。即使存在針對(duì)雙重驗(yàn)證的攻擊，有雙重驗(yàn)證（2FA）可以確保破解密碼的攻擊者在訪(fǎng)問(wèn)環(huán)境中的關(guān)鍵數(shù)據(jù)時(shí)，仍會(huì)遇到另一個(gè)障礙。07、發(fā)現(xiàn)“發(fā)現(xiàn)”戰(zhàn)術(shù)是一種難以防御的策略。它與洛克希德·馬丁網(wǎng)絡(luò)KillChain的偵察階段有很多相似之處。組織機(jī)構(gòu)要正常運(yùn)營(yíng)業(yè)務(wù)，肯定會(huì)暴露某些特定方面的內(nèi)容。到對(duì)手的活動(dòng)。通過(guò)監(jiān)視，可以跟蹤用戶(hù)是否正在訪(fǎng)問(wèn)不應(yīng)訪(fǎng)問(wèn)的文檔。正?，F(xiàn)象，并為預(yù)期行為設(shè)定基準(zhǔn)時(shí)，會(huì)在嘗試使用這一戰(zhàn)術(shù)時(shí)有所幫助。08、橫向移動(dòng)尋找其它攻擊目標(biāo)。攻擊者通常會(huì)先尋找一個(gè)落腳點(diǎn)，然后開(kāi)始在各個(gè)系統(tǒng)中移動(dòng)，尋找更高的訪(fǎng)問(wèn)權(quán)限，以期達(dá)成最終目標(biāo)。也將有助于限制橫向移動(dòng)。遵循CIS控制措施14——基于需要了解受控訪(fǎng)問(wèn)是一個(gè)很好的切入點(diǎn)。除此之外，還應(yīng)遵循控制措施4——控制管理員權(quán)限的使用。正在濫用有效憑據(jù)。除了監(jiān)視身份驗(yàn)證日志外，審計(jì)日志也很重要。域控制器上的事件ID4769表示，Kerberos黃金票證密碼已重置兩次，這可能表明存在票據(jù)傳遞攻擊?；蛘?，如果攻擊者濫用遠(yuǎn)程桌面協(xié)議，審計(jì)日志將提供有關(guān)攻擊者計(jì)算機(jī)的信息。09、收集“收集”這些技術(shù)的實(shí)際指導(dǎo)。實(shí)際上，大多數(shù)都是含糊其辭，稱(chēng)使用應(yīng)用白名單，或者建議在生命周期的早期階段阻止攻擊者。上的敏感數(shù)據(jù)以及網(wǎng)絡(luò)上其它地方的數(shù)據(jù)。了解企業(yè)存儲(chǔ)敏感數(shù)據(jù)的位置，并采用適當(dāng)?shù)目刂拼胧┘右员Ｗo(hù)。這個(gè)過(guò)程遵循CIS控制措施14——基于需要了解受控訪(fǎng)問(wèn),防止數(shù)據(jù)落入敵手。對(duì)于極其敏感的數(shù)據(jù)，可查看更多的日志記錄，了解哪些人正在訪(fǎng)問(wèn)該數(shù)據(jù)以及他們正在使用該數(shù)據(jù)做什么。10、命令和控制于每種命令和控制，攻擊者都是從遠(yuǎn)程位置訪(fǎng)問(wèn)網(wǎng)絡(luò)。因此了解網(wǎng)絡(luò)上發(fā)生的事情對(duì)于解決這些技術(shù)至關(guān)重要。使用80和443等端口來(lái)嘗試混入網(wǎng)絡(luò)噪音中。在這種情況下，企業(yè)需要使用邊界防火墻來(lái)提供威脅情報(bào)數(shù)據(jù)，識(shí)別惡意URL和IP地址。雖然這不會(huì)阻止所有攻擊，但有助于過(guò)濾一些常見(jiàn)的惡意軟件。分析。例如Splunk等工具為識(shí)別惡意命令和控制流量提供了良好的方案。11、數(shù)據(jù)滲漏通常對(duì)數(shù)據(jù)逐漸滲出沒(méi)有興趣。與“收集”戰(zhàn)術(shù)一樣，該戰(zhàn)術(shù)對(duì)于如何緩解攻擊者獲取公司數(shù)據(jù)，幾乎沒(méi)有提供指導(dǎo)意見(jiàn)。在數(shù)據(jù)通過(guò)網(wǎng)絡(luò)滲漏的情況下，建立網(wǎng)絡(luò)入侵檢測(cè)或預(yù)防系統(tǒng)有助于識(shí)別何時(shí)傳輸數(shù)據(jù)，尤其是在攻擊者竊取大量數(shù)據(jù)（庫(kù)）的情況下。此外，盡管DLP成本高昂，程序復(fù)雜，但可以確定敏感數(shù)據(jù)何時(shí)會(huì)泄露出去。IDS、IPS和DLP都不是100%準(zhǔn)確的，所以部署一個(gè)縱深防御體系結(jié)構(gòu)以確保機(jī)密數(shù)據(jù)保持機(jī)密。如果企業(yè)組織機(jī)構(gòu)要處理高度敏感的數(shù)據(jù)，那么應(yīng)重點(diǎn)關(guān)注限制外部驅(qū)動(dòng)器的訪(fǎng)問(wèn)權(quán)限，例如USB限，即可禁用他們裝載外部驅(qū)動(dòng)器的功能。要正確地解決這個(gè)戰(zhàn)術(shù)，首先需要知道組織機(jī)構(gòu)的關(guān)鍵數(shù)據(jù)所在的位置。如果這些數(shù)據(jù)還在，可以按照CIS控制措施14——基于需要了解受控訪(fǎng)問(wèn)，來(lái)確保數(shù)據(jù)安全。之后，按照CIS控制措施13——數(shù)據(jù)保護(hù)中的說(shuō)明了解如何監(jiān)視試圖訪(fǎng)問(wèn)數(shù)據(jù)的用戶(hù)。12、影響但可能已經(jīng)更改為有利于對(duì)手的目標(biāo)。這些技術(shù)可能被對(duì)手用來(lái)完成他們的最終目標(biāo)，或者為機(jī)密泄露提供掩護(hù)。文件或數(shù)據(jù)使存儲(chǔ)的數(shù)據(jù)無(wú)法恢復(fù)。針對(duì)這類(lèi)破壞可以考慮實(shí)施IT災(zāi)難恢復(fù)計(jì)劃，其中包含用于進(jìn)行可用于還原組織數(shù)據(jù)的常規(guī)數(shù)據(jù)備份的過(guò)程。四、ATT&CK使用場(chǎng)景在各種日常環(huán)境中都很有價(jià)值。開(kāi)展任何防御活動(dòng)時(shí)，可以應(yīng)用分類(lèi)法，參考攻擊者及其行為。不僅為可以使用多種方式來(lái)使用MITRE。下文是一些常見(jiàn)的主要場(chǎng)景：對(duì)抗模擬ATT＆CK可用于創(chuàng)建對(duì)抗性模擬場(chǎng)景，測(cè)試和驗(yàn)證針對(duì)常見(jiàn)對(duì)抗技術(shù)的防御方案。紅隊(duì)/滲透測(cè)試活動(dòng)紅隊(duì)、紫隊(duì)和滲透測(cè)試活動(dòng)的規(guī)劃、執(zhí)行和報(bào)告可以使用ATT＆CK，以便防御者和報(bào)告接收者以及其內(nèi)部之間有一個(gè)通用語(yǔ)言。制定行為分析方案ATT＆CK可用于構(gòu)建和測(cè)試行為分析方案，以檢測(cè)環(huán)境中的對(duì)抗行為。防御差距評(píng)估ATT＆CK可以用作以行為為核心的常見(jiàn)對(duì)抗模型，以評(píng)估組織企業(yè)內(nèi)現(xiàn)有防御方案中的工具、監(jiān)視和緩解措施。在研究MITREATT＆CK時(shí)，大多數(shù)安全團(tuán)隊(duì)都傾向于為Enterprise矩陣中的每種技術(shù)嘗試開(kāi)發(fā)某種檢測(cè)或預(yù)防控制措施。雖然這并不是一個(gè)壞主意，但是的所有可能方法。由于某種工具阻止了用另一種形式來(lái)采用這種技術(shù)，而組織機(jī)構(gòu)已經(jīng)適當(dāng)?shù)夭捎昧诉@種技術(shù)，這可能導(dǎo)致產(chǎn)生一種虛假的安全感。但是，攻擊者仍然可以成功地采用其他方式來(lái)采用該技術(shù)，但防御者卻沒(méi)有任何檢測(cè)或預(yù)防措施。SOC成熟度評(píng)估可用作一種度量，確定SOC在檢測(cè)、分析和響應(yīng)入侵方面的有效性。SOC團(tuán)隊(duì)可以參考和戰(zhàn)術(shù)。這有助于了解防御優(yōu)勢(shì)和劣勢(shì)在哪里，并驗(yàn)證緩解和檢測(cè)控制措施，并可以發(fā)現(xiàn)配置錯(cuò)誤和其他操作問(wèn)題。網(wǎng)絡(luò)威脅情報(bào)收集對(duì)于網(wǎng)絡(luò)威脅情報(bào)很有用，因?yàn)槭窃谟靡环N標(biāo)準(zhǔn)方式描述對(duì)抗行為。可以根據(jù)攻擊者已知利用的中的技術(shù)和戰(zhàn)術(shù)來(lái)跟蹤攻擊主體。這為防御者提供了一個(gè)路線(xiàn)圖，讓他們可以對(duì)照他們的操作控制措施，查看對(duì)某些攻擊主體而言，他們?cè)谀男┓矫嬗腥觞c(diǎn)，在哪些方面有優(yōu)勢(shì)。針對(duì)特定的攻擊主體，創(chuàng)建MITRE導(dǎo)航工具內(nèi)容，是一種觀察環(huán)境中對(duì)這些攻擊主體或團(tuán)體的優(yōu)勢(shì)和劣勢(shì)的好方法。還可以為STIX2.0中。ATT＆CK提供了將近70個(gè)攻擊主體和團(tuán)體的詳細(xì)信息，包括根據(jù)開(kāi)放源代碼報(bào)告顯示，已知他們所使用的技術(shù)和工具。使用的通用語(yǔ)言，為情報(bào)創(chuàng)建過(guò)程提供了便利。如前所述，這適用于攻擊主體和團(tuán)體，但也適用于從SOC觀察到的行為。也可以通過(guò)介紹惡意軟件的行為。任何支持的威脅情報(bào)工具都可以簡(jiǎn)化情報(bào)創(chuàng)建過(guò)程。將CK人員或管理人員變得容易得多了。如果運(yùn)營(yíng)人員確切地知道什么是強(qiáng)制驗(yàn)證，并且在情報(bào)報(bào)告中看到了這一信息，則他們可能確切地知道應(yīng)該對(duì)該情報(bào)采取什么措施或已經(jīng)采取了哪些控制措施。以這種方式，實(shí)現(xiàn)對(duì)情報(bào)產(chǎn)品介紹的標(biāo)準(zhǔn)化可以大大提高效率并確保達(dá)成共識(shí)。寫(xiě)在最后MITRE為大家提供了法并避免傳統(tǒng)安全工具的檢測(cè)，因此防御者不得不改變檢測(cè)和防御方式。改變了我們對(duì)IP地址和域名等低級(jí)指標(biāo)的認(rèn)知，并讓我們從行為的視角來(lái)看待攻擊者和防御措施。與過(guò)去“一勞永逸”的工具相比，檢測(cè)和預(yù)防行為之路要困難得多。此外，隨著防御者帶來(lái)新的功能，攻擊者肯定會(huì)作出相應(yīng)調(diào)整。新步伐。論溯源反制之思想\h/posts/OLZg進(jìn)論溯源反制之思想2016年4月，國(guó)家領(lǐng)導(dǎo)人在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上發(fā)表重要講話(huà)指出，“網(wǎng)絡(luò)安全的本質(zhì)是對(duì)抗，對(duì)抗的本質(zhì)是攻防兩端能力的較量。”是我國(guó)核心競(jìng)爭(zhēng)力的一種優(yōu)勢(shì)；本質(zhì)上是人與人之間的對(duì)抗，而網(wǎng)絡(luò)終端、網(wǎng)絡(luò)設(shè)備、介質(zhì)以及各種工具和平臺(tái)僅僅是作為輔助手段而存在。因此如何使網(wǎng)絡(luò)安全人員合理的利用手中的各種工具和策略來(lái)提高網(wǎng)絡(luò)安全對(duì)抗水平，是培養(yǎng)“才隊(duì)伍”安全再上新高度。同年，《網(wǎng)絡(luò)安全法》頒布，出臺(tái)網(wǎng)絡(luò)安全演練相關(guān)規(guī)定：關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)“練”。自此實(shí)戰(zhàn)化的“HW行動(dòng)”成為慣例。結(jié)合四年來(lái)HW的經(jīng)驗(yàn)，以及對(duì)近年來(lái)國(guó)內(nèi)外實(shí)戰(zhàn)對(duì)抗的總結(jié)后，我認(rèn)為要想把HW和小規(guī)模網(wǎng)絡(luò)對(duì)抗的防御工作做好，必須解決兩個(gè)問(wèn)題：第一、在實(shí)戰(zhàn)對(duì)抗方案中，大部分的方案都在做“點(diǎn)”戰(zhàn)對(duì)抗中的效果，主要是將以往安全建設(shè)的方案進(jìn)行重新包裝，即：新壇裝老酒；第二、以往的方法論，包括：等保、ISMS、ITIL略及直接有效的操作方針來(lái)阻擋攻擊者。戰(zhàn)型網(wǎng)絡(luò)攻擊；具體操作指南需要根據(jù)實(shí)際業(yè)務(wù)場(chǎng)景和IT環(huán)境進(jìn)行細(xì)化。就目前而言，各種網(wǎng)絡(luò)安全的法律法規(guī)的出臺(tái)，網(wǎng)絡(luò)安全大檢驗(yàn)一個(gè)企業(yè)安全能力的手段。那什么樣的戰(zhàn)略戰(zhàn)術(shù)和反制手法是值得借鑒的呢，這也是對(duì)處于攻防演練中的防守方是一種考驗(yàn)。部署，常規(guī)出現(xiàn)的、容易被用戶(hù)感知的異常點(diǎn)舉例如下：網(wǎng)頁(yè)被篡改、被掛上了黑鏈、web文件丟失等數(shù)據(jù)庫(kù)被篡改、web系統(tǒng)運(yùn)行異常影響可用性、web用戶(hù)密碼被篡改等主機(jī)出現(xiàn)運(yùn)行異常反應(yīng)卡頓、文件被加密、主機(jī)系統(tǒng)出現(xiàn)其他用戶(hù)等主機(jī)流量層出現(xiàn)大量異常流量根據(jù)用戶(hù)現(xiàn)場(chǎng)的情況往往還需要做一些信息收集的工作比如，出現(xiàn)異常的時(shí)間點(diǎn)(非常重要)、異常服務(wù)器的主要業(yè)務(wù)情況、大致的一個(gè)網(wǎng)絡(luò)拓?fù)涫遣皇窃贒MZ區(qū)、是否可以公網(wǎng)訪(fǎng)問(wèn)、開(kāi)放了那些端口、是否有打補(bǔ)丁、使用了怎么樣的一個(gè)web技術(shù)、最近是否做過(guò)什該規(guī)避風(fēng)險(xiǎn)，采取何種策略；一個(gè)web服務(wù)器公網(wǎng)可以訪(fǎng)問(wèn)出現(xiàn)了被掛黑鏈的事件使用框架類(lèi)，那么初步可以懷疑是命令執(zhí)行漏洞了；如果一臺(tái)公網(wǎng)服務(wù)器沒(méi)有安裝補(bǔ)丁又沒(méi)有防火墻防護(hù)，administrator的密碼為P@sswrod功；后面的工作主要就是收集各種資料證明這一猜想即可。一般web類(lèi)的安全事件在web常見(jiàn)幾個(gè)中間件的日志如下：apache的日志路徑一般配置在httpd.conf的目錄下或者位于/var/log/httpIIS的日志默認(rèn)在系統(tǒng)目錄下的Logfiles下的目錄當(dāng)中tomcat一般位于tomcat安裝目錄下的一個(gè)logs文件夾下面Nginx日志一般配置在nginx.conf或者vhost的conf文件中工欲善其事必先利其器，一般日志量都比較大?；ヂ?lián)網(wǎng)上還是有很多的日志檢測(cè)工具，個(gè)人不是很喜歡用主要工具還是notepad++和SublimeText跟進(jìn)收集的信息比如時(shí)間點(diǎn)這種情況，對(duì)時(shí)間點(diǎn)前后的請(qǐng)求日志進(jìn)行分析，一般都都能發(fā)現(xiàn)一些異常。為了方便的識(shí)別一些日志，github多，一檢查往往也會(huì)發(fā)現(xiàn)很多無(wú)效的攻擊，篩選起來(lái)反而感覺(jué)更麻煩。推薦一個(gè)小工具：web-log-parser為開(kāi)源的分析web日志工具，采用python多，實(shí)在不行就自己定義好規(guī)則搞一個(gè)。連接如下：\h/JeffXue/web-log-parser在處理一些訪(fǎng)問(wèn)訪(fǎng)問(wèn)、網(wǎng)頁(yè)更改的時(shí)候、上傳路徑、源IP息往往都能定位到入口點(diǎn)。常見(jiàn)的一些入口點(diǎn)舉例如下：一些CMS的EXP，比如DiscuzEmpireSpring涉及面相對(duì)較廣。編輯器的上傳漏洞，比如知名的FCK編輯器、UEditor之類(lèi)。功能性上傳過(guò)濾不嚴(yán)格，比如頭像上傳資料上傳界面一些過(guò)濾嚴(yán)格導(dǎo)致的上傳漏洞。Webadmin賬戶(hù)、或者是tomcat的managerAxis2弱口令用戶(hù)、Openfire弱口令等等同時(shí)web系統(tǒng)往往容易存在一些webshell的情況，經(jīng)常在一些上傳目錄里面找到一些webshell、明明是個(gè)JSP的網(wǎng)頁(yè)還出現(xiàn)了一個(gè)的一句話(huà)。一般需要重點(diǎn)關(guān)注一下。推薦用D盾對(duì)web系統(tǒng)的目錄進(jìn)行掃描。掃描出來(lái)的webshell時(shí)間上傳時(shí)間、文件創(chuàng)建時(shí)間、文件修改時(shí)間往往準(zhǔn)確性都比較高，一般不會(huì)去更改這個(gè)時(shí)間，用來(lái)在日志當(dāng)中排查就相對(duì)容易的多。以前一直覺(jué)得一些蠕蟲(chóng)病毒都挺逗的很多傳播方法居然只是依靠暴力破解和MS17-010之類(lèi)的漏洞傳播，感覺(jué)波及面應(yīng)該比較小后面才發(fā)現(xiàn)這個(gè)方法簡(jiǎn)單粗暴反而最有效。對(duì)于Linux平臺(tái)相對(duì)安全性偏高一些，常見(jiàn)的幾個(gè)病毒如XorDDOS、DDG、XNote/var/log/auth.log包含系統(tǒng)授權(quán)信息，包括用戶(hù)登錄和使用的權(quán)限機(jī)制等信息/var/log/lastlog記錄登錄的用戶(hù)，可以使用命令lastlog查看/var/log/secure記錄大多數(shù)應(yīng)用輸入的賬號(hào)與密碼，登錄成功與否/var/log/cron記錄crontab命令是否被正確的執(zhí)行g(shù)rep,sed,sort,awk幾個(gè)命令靈活運(yùn)用、關(guān)注Accepted、Failedpassword、invalid特history命令，黑客的操作了?？梢灾攸c(diǎn)看一下還剩下那些日志、或者關(guān)注一下網(wǎng)絡(luò)層面是不是還有其他的安全設(shè)置可以在流量層進(jìn)行溯源分析的。源于Linux一切皆文件與開(kāi)源的特性，在溯源的過(guò)程中也有好處也有壞處，rootkit就是最麻煩的一件事情了。由于系統(tǒng)一些常用的命令明文都已經(jīng)被更改和替換，此系統(tǒng)已經(jīng)變得完全不可信，在排查溯源的過(guò)程中往往不容易發(fā)覺(jué)對(duì)安全服務(wù)的人員就有較高的技術(shù)要求了。Windows平臺(tái)下面的溯源就相對(duì)容易一些當(dāng)然主要還是依靠windows的日志一般用eventvwr命令打開(kāi)事件查看器。默認(rèn)分為三類(lèi)：應(yīng)用程序、安全、性統(tǒng)以evt文件形式存儲(chǔ)在%systemroot%\system32\config目錄；合理使用篩選器往往可以幫助我們更好的排查日志，比如懷疑是暴力破解入侵的篩選事件ID==4625審核失敗的日志，后續(xù)通過(guò)對(duì)時(shí)間的排查、以及源IP地址、類(lèi)型與請(qǐng)求的頻率進(jìn)行分析來(lái)判斷是否是來(lái)源于內(nèi)網(wǎng)的暴力破解通過(guò)系統(tǒng)內(nèi)部的日志來(lái)判斷是否是惡意進(jìn)程的運(yùn)行狀態(tài)，對(duì)logontype的數(shù)值確認(rèn)就可以確認(rèn)到底是通過(guò)什么協(xié)議進(jìn)行暴力破解成功的；相對(duì)的數(shù)值關(guān)系如下：localWINDOWS_RDP_INTERACTIVE="2"localWINDOWS_RDP_UNLOCK="7"localWINDOWS_RDP_REMOTEINTERACTIVE="10"localWINDOWS_SMB_NETWORK="3"Windows系統(tǒng)的補(bǔ)丁相對(duì)重要一些，一些關(guān)鍵的補(bǔ)丁沒(méi)有打很容易遭受到攻擊成功的事件。重點(diǎn)就關(guān)注一些常見(jiàn)的比如ms17-010ms08-067ms16-032等安全補(bǔ)丁都是內(nèi)網(wǎng)滲透常用的攻擊包?？梢酝ㄟ^(guò)sysintemfo可以查看到當(dāng)前系統(tǒng)當(dāng)中已經(jīng)安裝的補(bǔ)丁。此外windows下面還包括很多域控的安全日志，因?yàn)閮?nèi)容太多就不再展開(kāi)敘述，溯源主要還是想還原攻擊路徑，通過(guò)windows訪(fǎng)問(wèn)關(guān)系攻擊者的攻擊鏈條，給用戶(hù)一個(gè)交代就好。數(shù)據(jù)庫(kù)系統(tǒng)也是攻擊者入口點(diǎn)的一些重災(zāi)區(qū)，常見(jiàn)的比如msssqlserver由于數(shù)據(jù)往往在window環(huán)境下安裝后具有較高的權(quán)限，一些用戶(hù)經(jīng)常安裝完成之后也不會(huì)怎么去加固數(shù)據(jù)庫(kù)，基于庫(kù)站分離的原則很多mssql公網(wǎng)直接就可以訪(fǎng)問(wèn)訪(fǎng)問(wèn)控制策略比較弱，弱口令的問(wèn)題尤為突出。比如下對(duì)于mssql的sa用戶(hù)暴力破解日志，里面也記錄著客戶(hù)端的IP地址如果沒(méi)有配置相關(guān)的鎖定策略在密碼不夠嚴(yán)格的情況下容易被攻陷。攻擊者爆破成功之后啟動(dòng)xp_shell往往就可以以高權(quán)限執(zhí)行系統(tǒng)命令，拿到了一個(gè)windows的shell豈不是為所欲為。Linux平臺(tái)下面還有一個(gè)redisDDG挖礦、WatchDog挖礦等病毒都主要利用redis未授權(quán)訪(fǎng)問(wèn)執(zhí)行命令，從互聯(lián)網(wǎng)拉取挖礦程序?qū)懭雜sh的公鑰等功能?？匆?jiàn)本地開(kāi)放了6379端口的時(shí)候還是需要重點(diǎn)關(guān)注這個(gè)問(wèn)題，多向用戶(hù)咨詢(xún)一下使用情況查看一下默認(rèn)配置。還有一些常用的系統(tǒng)比如mysql數(shù)據(jù)庫(kù)暴力破解提權(quán)一套裝、未授權(quán)訪(fǎng)問(wèn)漏洞、釣魚(yú)郵件、破解軟件后門(mén)、惡意的office宏、office碼執(zhí)行漏洞、郵箱缺陷、VPN配置缺陷等情況都可能是攻擊者的入口點(diǎn)具體情況需要結(jié)合用戶(hù)當(dāng)前的情況具體進(jìn)行排查。和競(jìng)爭(zhēng)奠定了基礎(chǔ)。欺騙方面蜜罐本身就是一個(gè)欺騙類(lèi)的產(chǎn)品，攻擊對(duì)抗中蜜罐可以模仿各種各樣的網(wǎng)站-俗稱(chēng)高仿真，可以將客戶(hù)的網(wǎng)站系統(tǒng)復(fù)制或者“克隆”方式來(lái)欺騙黑客從而保護(hù)了真實(shí)的業(yè)務(wù)系統(tǒng)，還可以在業(yè)務(wù)系統(tǒng)的同一網(wǎng)段上進(jìn)行部署蜜罐來(lái)達(dá)到混淆欺騙黑客的作用。真所謂“真亦假，真若假時(shí)假亦真”;誘捕方面利用人們慣用的方式“大面積撒網(wǎng)，重點(diǎn)撈魚(yú)”的思維，在網(wǎng)絡(luò)上廣發(fā)“誘餌”么媒體平臺(tái)上發(fā)布一些信息，從而來(lái)增加被捕獲并且進(jìn)行攻擊的概率。因?yàn)楹诳驮谛畔⑹占臅r(shí)候，一定會(huì)對(duì)目標(biāo)機(jī)器進(jìn)行大量的信息收集之后再去確認(rèn)收集到的信息是否準(zhǔn)確，而收集到信息有真有假包含了“誘餌”信息，黑客如果沒(méi)有辨別清楚隨意觸發(fā)信息地址或者誘餌所設(shè)計(jì)的機(jī)制，容易導(dǎo)致落入蜜網(wǎng)。seo搜索引擎刷排名，使得誘餌文件內(nèi)容可以在百度上排名靠前，增加攻擊概率，可以值得一試。其他誘餌比如Pdf、rar等格式的文件，rar格式的文件的某軟件可以設(shè)置下載自動(dòng)解綁木馬等。拖延方面業(yè)務(wù)系統(tǒng)各方面的不足爭(zhēng)取到了寶貴空間，也為“大部???的撤離”爭(zhēng)取了最后的時(shí)間。干擾方面然而，在毛主席《論持久戰(zhàn)》一書(shū)中比較分析了敵我雙方的差異，如敵人武器先進(jìn)我們武器落后、敵人退步我們進(jìn)步、敵人寡助我們多助等，在面對(duì)抗日戰(zhàn)爭(zhēng)中敵我雙方矛盾基本特點(diǎn)及其在戰(zhàn)爭(zhēng)進(jìn)程中強(qiáng)弱優(yōu)劣的互相轉(zhuǎn)化過(guò)程中蘊(yùn)含和貫穿著一個(gè)基本思想，即戰(zhàn)爭(zhēng)力量強(qiáng)弱優(yōu)劣的互相轉(zhuǎn)化和戰(zhàn)爭(zhēng)是否能夠勝利，要靠人的努力才能實(shí)現(xiàn)，即要發(fā)揮人的主觀能動(dòng)性。所以，《論持久戰(zhàn)》在講武器與人的關(guān)系時(shí)明確指出：“武器是戰(zhàn)爭(zhēng)的重要的因素，但不是決定的因素，決定的因素是人不是物。即藍(lán)方（防守方），御狀態(tài)，現(xiàn)如今欺騙防御理念的提出，推動(dòng)了網(wǎng)絡(luò)安全事業(yè)又邁入了一個(gè)新階段，闡述了該思想下防守方由戰(zhàn)略被動(dòng)防御轉(zhuǎn)為戰(zhàn)略主動(dòng)防御的角色轉(zhuǎn)換。而該理念的推動(dòng)下產(chǎn)生的產(chǎn)物就是蜜罐技術(shù)的推進(jìn)，讓更多的企業(yè)和廠商等看到了新的春天，新的希望，所謂的是“柳暗花明又一村”。蜜罐的使用不斷地突出其優(yōu)勢(shì)所在，將拖延戰(zhàn)術(shù)、欺騙戰(zhàn)術(shù)、反制戰(zhàn)術(shù)等等靈活應(yīng)用；同時(shí)也考驗(yàn)設(shè)計(jì)部署者的能力和對(duì)敵方是否了解“知己知彼，百戰(zhàn)不殆”；敵方的取向決定了防守的動(dòng)向，目前一些企業(yè)都會(huì)買(mǎi)一些流量檢測(cè)設(shè)備、日志設(shè)備、還有蜜罐的設(shè)備等等。在正式攻防對(duì)抗之前敵方（攻擊方）那么這個(gè)時(shí)候防守方自然也是盡己可能排查自己內(nèi)外環(huán)境所存在的漏洞點(diǎn)進(jìn)行修復(fù)加固。攻擊過(guò)程一般都是由小到大、由淺入深的形式展開(kāi)，基本上都是先是探測(cè)站點(diǎn)信息，逐次進(jìn)行打點(diǎn)升級(jí)。那這個(gè)時(shí)候呢，防守方的設(shè)備上一定會(huì)顯示相關(guān)檢測(cè)的日志信息。逐條分析濾出敵方的攻擊思維，還可以根據(jù)所爆出的漏洞利用的名稱(chēng)，大致判斷對(duì)方常用的攻擊手法。根據(jù)對(duì)方攻擊的頻率感知平臺(tái)、情報(bào)平臺(tái)等等。當(dāng)敵方攻擊防守方時(shí)候肯定不會(huì)使用真實(shí)的IP地址，所以當(dāng)防守方的設(shè)備上留下的IP不盡然是真實(shí)IP，需要不停地去明辨真實(shí)IP不斷分析進(jìn)行精準(zhǔn)狠的定位打擊，防守方可以根據(jù)敵方IP進(jìn)行反制溯源。根據(jù)日志信息精準(zhǔn)判斷不斷地進(jìn)行攻擊敵方的攻擊IP直到敵方不在攻擊為止，為什么這樣說(shuō)呢，因?yàn)閿撤讲辉诠舻臅r(shí)候可能已經(jīng)更換了IP防守再次攻擊也沒(méi)有任何意義了，除非能找到與之相關(guān)的一些信息來(lái)增添敵方畫(huà)像的可能?！墩摮志脩?zhàn)》中的十六字方針戰(zhàn)略：“我退,敵駐我擾敵僻我打,敵退我追”具有借鑒意義。使用不斷干擾敵方戰(zhàn)略戰(zhàn)術(shù)的手段，讓敵方不能夠從容鎮(zhèn)定地完成攻擊路徑和攻擊鏈條，那么防守方的目的就達(dá)到了，一定程度上延緩了敵方進(jìn)攻的思路和思維方式，打破了敵方既定的戰(zhàn)略部署，使得敵方不得不重新調(diào)整方案。此時(shí)敵方的心理已經(jīng)被徹底打破了，會(huì)不停地攻擊來(lái)自防守方攻擊的地址，這樣很容易形成膠著之勢(shì)。比如：撒一些“苗”即誘餌，待山花爛漫之時(shí)，綻放出最美的“笑魘”，有心栽花花不開(kāi)，無(wú)心插柳柳成蔭。。。誘餌的設(shè)置無(wú)疑就是天上掉下來(lái)的大肥肉或者大毒藥，敵方需要“火眼金睛”來(lái)區(qū)別對(duì)待它的到來(lái)，否則等來(lái)的是一顆斃命的??；在反制愈演愈烈的今天，由被動(dòng)到主動(dòng)的角色轉(zhuǎn)換，由保守到開(kāi)放的姿態(tài)。蜜罐的發(fā)展彌補(bǔ)了這一優(yōu)勢(shì)不足的弱點(diǎn)，增添了這一亮點(diǎn)屬于錦上添花。發(fā)揮蜜罐反制優(yōu)勢(shì)的特點(diǎn)在于或者說(shuō)利用一些反制的木馬、JS、XSS、PDF、Word等等，遠(yuǎn)控?cái)撤匠銎洳灰夤テ洳粋?；還可以給敵方種馬沒(méi)事的時(shí)候瞎逛逛啥的，還可以扔給敵方一個(gè)炸彈或者鎖機(jī)馬、鎖文件等等，“思想有多遠(yuǎn)就能走多遠(yuǎn)”；蜜罐像地雷，讓敵人處處驚心動(dòng)魄；蜜罐像陷阱，讓敵方步步為營(yíng)。抗日戰(zhàn)爭(zhēng)中的地雷戰(zhàn)，看似一馬平川其實(shí)前進(jìn)道路充滿(mǎn)驚悚；還有獵人捕捉獵物時(shí)候會(huì)設(shè)置各種各樣的陷阱便命。暗示，給我方隊(duì)員以鼓舞和信心。所以在網(wǎng)絡(luò)攻防對(duì)抗中挑戰(zhàn)的不僅僅是戰(zhàn)略戰(zhàn)術(shù)的配合更多的是心理學(xué)的范疇。(五)：威懾反制能力建設(shè)\h/articles/10044南京，孝陵衛(wèi)。2018年12月美國(guó)網(wǎng)絡(luò)威懾與溯源反制能力建設(shè)階段跨越年～2018年，在這個(gè)階段美國(guó)的國(guó)家戰(zhàn)略逐漸從“積極防御”轉(zhuǎn)變?yōu)椤肮敉亍眰€(gè)階段，美國(guó)政府不但發(fā)布了多個(gè)網(wǎng)絡(luò)威懾相關(guān)戰(zhàn)略政策，同時(shí)也開(kāi)展了一系列的相關(guān)具體行動(dòng)項(xiàng)目。、網(wǎng)絡(luò)威懾與反制相關(guān)政策年7月14日美國(guó)國(guó)防部發(fā)布首份《網(wǎng)絡(luò)空間行動(dòng)戰(zhàn)略》。盡管?chē)?guó)防部強(qiáng)調(diào)新戰(zhàn)略重在防御，即加強(qiáng)美軍及重要基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安能導(dǎo)致網(wǎng)絡(luò)空間軍事化，并引發(fā)網(wǎng)絡(luò)軍備競(jìng)賽。2015年4月23日，美國(guó)公布了國(guó)防部新版網(wǎng)絡(luò)戰(zhàn)略。作為年7月首版《網(wǎng)絡(luò)行動(dòng)戰(zhàn)略》的升級(jí)版，這份文件旨在劃定未來(lái)5網(wǎng)絡(luò)行動(dòng)的新目標(biāo)，而其中最值得關(guān)注的3個(gè)關(guān)鍵詞——威懾、進(jìn)攻、同盟，則代表了美軍網(wǎng)絡(luò)力量的發(fā)展方向。新戰(zhàn)略聲稱(chēng)，為阻止網(wǎng)絡(luò)攻擊，必須制定實(shí)施全面的網(wǎng)絡(luò)威懾戰(zhàn)略，“在網(wǎng)絡(luò)惡意行為發(fā)生前威懾此類(lèi)行為”。為有效實(shí)施威懾，美應(yīng)具備以下能力：一是通過(guò)政策宣示展現(xiàn)反擊態(tài)度；二是形成強(qiáng)大的防御能力，保護(hù)國(guó)防部和整個(gè)國(guó)家免受復(fù)雜網(wǎng)絡(luò)攻擊，實(shí)現(xiàn)“拒止”威懾；三是提高網(wǎng)絡(luò)系統(tǒng)的恢復(fù)能力，確保國(guó)防部網(wǎng)絡(luò)即使遭受攻擊后也能繼續(xù)運(yùn)轉(zhuǎn)，以降低對(duì)手網(wǎng)絡(luò)攻擊的成功幾率。2018年9月18日，美國(guó)國(guó)防部公布了《2018出了建立更具殺傷力的力量、網(wǎng)絡(luò)空間競(jìng)爭(zhēng)及威懾、強(qiáng)化聯(lián)盟和合作伙伴關(guān)系、改革國(guó)防部、以及培養(yǎng)人才等五條具體戰(zhàn)略方針?！?018相互促進(jìn)的活動(dòng)將使國(guó)防部能夠在網(wǎng)絡(luò)空間領(lǐng)域競(jìng)爭(zhēng)、威懾并取勝。北京，軟件園深秋。2018年11月、溯源與反制主要行動(dòng)在網(wǎng)絡(luò)進(jìn)攻方面，存在美國(guó)國(guó)家全局（NSA）和美國(guó)中央情報(bào)局（CIA）身影的Stuxnet工業(yè)病毒和WannaCry勒索病毒都對(duì)全球網(wǎng)絡(luò)Mitre開(kāi)發(fā)KillChain和Att&CK模型，促進(jìn)威脅情報(bào)標(biāo)準(zhǔn)Stix/Ta