攻防演习中的红方总参谋部到底有几个“作战参谋”?

时间:2022-08-25 作者:奇安信集团

分享到:

攻防演习中的红方总参谋部到底有几个“作战参谋”?

    17世纪中叶,法国路易十四的军队中首先出现了参谋长这一职务,主要负责搜集、掌握与军事工作有关的情报,为军事行动提供指导。

    随着战争烈度的不断加大,军事情报的搜集与研判工作变得愈加重要,参谋长一职在世界各国的军队中流行开来。

    说起参谋长,让所有中国人印象最为深刻的,应该非左权莫属了。

    1942年5月,时任八路军副总参谋长的左权,在指挥部队突围的过程中不幸中弹牺牲,年仅37岁,是抗日战争中八路军牺牲的最高级别的将领。

    为纪念左权将军,原山西辽县也因此改名为左权县。

    作家刘白羽在文章中说:“左权同志的确是个最繁忙的人,除了重大的事由朱德总司令、彭德怀副总司令决定之外,一般的工作都由他来处理。他的军事理论修养、作战经验、指挥能力,都是我们部队参谋工作中不可多得的人才。”

攻防演习中的红方总参谋部到底有几个“作战参谋”?

攻防演习中的红方总参谋部到底有几个“作战参谋”?

    由此可见,一位优秀的参谋长领导的参谋工作,对于一支部队有多么重要。

    刚好就在前不久,红(防守方)蓝(攻击方)双方进行了一场轰轰烈烈的实战攻防演习。在参谋长的统一指挥下,红方总参某部里的四位“参谋”可谓是八仙过海各显神通。

    只不过这场实战演习,发生在赛博空间。

    01

    攻击者情报参谋——白泽平台

    与常规战争不同的是,常规战争的对手看得见摸得着,所以情报工作可以很有针对性;赛博空间可不一样,对手是谁、长啥样、来自哪里、实力如何,这些通通都不知道。

    不掌握这些情况,防守方很难从若干个告警中,准确判断背后的真实意图,也就不好针对性布置下一步应对措施。

    同样一个攻击动作,其背后的攻击者很可能各怀鬼胎。

    例如一个勒索组织,他们的主要目的很可能是通过勒索病毒来勒索金钱;一个有政治背景的情报组织,则很可能为了窃取敏感数据;而一个安全厂商的白帽子,则可能主要是为了进行安全测试;甚至部分完全正常的行为,也会在某些特定场景下,触发检测设备的告警规则。

    这给防守方带来了巨大的研判压力。

    为了能更准确判断攻击者背后的真实能力和意图,作为专门研究攻击者情报的参谋,白泽平台必须能够对攻击者进行全面、长期地跟踪。

    好在奇安信的探针帮了大忙,它们就像是网络空间的侦察员一样,被部署在了大大小小数十万个互联网应用及蜜罐节点上,能够从每天数亿的数据量中,获取超过10万条攻击者信息。

    这些信息详细记载了攻击者在历次攻击中,使用了哪些IP、哪些样本、哪些漏洞等等,甚至十多年前的情报都能被检索到。

    有了这样一个丰富的攻击者情报库,白泽就可以跳出行为之外,直达网线那头的威胁主体——到底是人畜无害的白帽子,还是穷凶极恶的网络犯罪团伙。

    为此,白泽平台专门设计了一套研判逻辑:检测设备负责分析威胁行为产生告警,白泽平台则将这些告警收集起来后,生成一条条事件,同时基于自身数据库对这些事件进行攻击者分析,并将最终分析结果输出。

    在本次实战攻防演习中,白泽平台立了大功。

    攻防演习期间,奇安信检测设备多次捕获到来自同一IP地址段的高频度攻击。

    经初步研判,该IP地址段并没有出现在标记过的攻击IP中。

    显然,这个IP地址段是新出现的。

    但细心的分析师通过白泽平台对背后的攻击者分析时发现,在数万个告警IP中,其中少量攻击IP的同源资产,在演习开始后就出现了针对防守方的攻击行为,并被标记为演习攻击队。

    显然,这是一伙人使用不同IP地址针对不同目标的一系列攻击行为。

    在获取该情报后,某企业驻场分析师利用NGSOC(态势感知与安全运营平台)对该IP地址进行回溯,发现其中一个IP地址曾向该企业发过一封以求职简历为主题的邮件。

    经验告诉分析师,特点的时间来自特定的IP,这封邮件十之八九有问题。

    但令人意外的是,常规的安全检测手段,并没有发现异常。

    出于对邮件内容的怀疑,分析师再次对邮件附件进行了深度分析。

    不出所料,这份附件是攻击者利用某办公软件0day漏洞,能够让用户在特定情况下打开附件时,悄无声息地下载预先编写好的木马。

    于是乎,这封邮件立马在企业内部被控制了起来,并没有造成企业内部机器的大量感染。

    02

    装备情报参谋——补天漏洞响应平台

    除了针对攻击者本身外,搜集攻击者可能会使用什么装备的情报也至关重要,这样就可以针对性的研发一些克制对手的装备。

    毫无疑问,漏洞就是攻击者手中最犀利的进攻武器。尤其是0day漏洞,如果使用得当,他们可以到达任何他们想到达的地方。

    为了克制漏洞,美国政府可谓是不遗余力:就在前几天曝出的《2023财年国防授权法案》规定,对于新签和现有政府合同,软件供应商应保证“提交软件物料清单中列出的所有项目,均不存在影响最终产品或服务安全性的已知漏洞或缺陷,并给出证明。

    尽管该项法案已通过了众议院审议,但在安全圈却饱受批评:虽然出发点是好的,但在实际过程中却很难执行,没有任何一家厂商能确保自己的产品不包含任何已知漏洞。

    所以,该项法案也给出了一定的回旋余地:如果厂商能够给出修复或者缓解的方法,则采购可以继续进行。

    这些方法就是防守方对付漏洞攻击最有效的武器。

    当然,想要找到修复或者缓解方法的前提,就是知道漏洞到底在哪,而这正是补天平台最擅长的事情。

    白帽子可以把挖到的漏洞提交到补天平台上,补天平台再根据漏洞评级,给予白帽子一定的现金奖励,并把漏洞提交给对应的机构,协助他们完成修复。

    根据补天平台官网的最新数据显示,目前平台已经汇集了超过十万名白帽子,累计向上级监管单位和相关组织报送漏洞超过九十万枚,为超过六千家入驻企业提供了漏洞SRC、渗透测试等相关服务。

    有人测算了一下,经由补天报送的漏洞,企业漏洞平均空窗期降低了约90%,为接下来的漏洞修复,预留了充足的时间。

    补天平台的使命还不止于此,他们希望有着更多身怀绝技的白帽子,能够参与到这项伟大的事业中,并且能够在平台上不断成长。

    校园专项、攻防社区、白帽沙龙、白帽大会……补天为白帽子打造了一个接着一个的学习场所,让“菜鸟”可以跟着“老鸟”一起飞。

    这些为网络安全带头冲锋的的人,也在补天平台上获得了一个亲切的称呼——带头大哥。

    在实战攻防演习期间,带头大哥们在补天平台上也是“大杀四方”,提交了不少漏洞,为指导防守方进行漏洞防护,作出了巨大贡献。

攻防演习中的红方总参谋部到底有几个“作战参谋”?

    补天运营的奇安信攻防社区截图

    03

    作战情报参谋——Alpha威胁分析平台

    好几年前,知名安全厂商卡巴斯基曾经发布了一份网络安全应急响应指南,其中明确指出,IOC是触发应急响应流程的最核心来源,没有之一。

    IOC作为最常见、应用最广泛的威胁情报,全称IndicatorsofCompromise,中文翻译为失陷指示器,这也就是说一旦和IOC匹配,就意味着已经有机器失陷了,组织必然会启动应急响应流程——针对攻击方的一系列反制作战行动。

    比如当你发现一台办公电脑频繁和一个攻击IP发生通信,那很可能就代表该电脑已经被攻击者控制了,需要及时将其隔离起来,防止批量感染其他电脑。

    从这一点来看,IOC类的威胁情报准确展现了对手的攻击来源、主要攻击目标等攻击态势。

    在奇安信提出的威胁情报金字塔模型中,IOC位于最下面两层,主要包括攻击者使用的恶意文件、IP地址、域名等。

攻防演习中的红方总参谋部到底有几个“作战参谋”?

    威胁情报金字塔模型

    把所有这些情报整合到一个平台上,并按照一定的规则进行关联分析,这正是Alpha威胁分析平台一直在做的事情。

    该平台汇集了全球数百个威胁情报源和奇安信多个安全研究团队的网络攻击事件发现、跟踪成果,为威胁发现、反制作战提供情报依据。

    任何关于攻击者的蛛丝马迹,都可以在Alpha平台上进行查询,并通过不断的关联拓展,形成一条完整的情报链条。

    当分析师发现一个可疑样本之后,很大概率能够通过DNS解析记录,追踪到该软件外连的域名,再通过检索到的域名注册信息,进一步关联到其他相关的域名,而这些相关的域名又可以通过DNS解析信息,追踪到更多尚未被捕获的恶意软件……最终将所有攻击活动查个水落石出。

    举个非常形象的例子:当你发现一张桌子的时候,你可以通过技术手段找到这张桌子的主人是谁;再通过询问主人,发现他不仅有其他桌子,还有不少椅子,并且这些桌子和椅子都有谁用过。

    找到了这些信息之后呢?敌军的动向都摆在这里了,该包围包围,该打援打援,全军出击就完事了。

    04

    反特情报参谋——猎鹰平台

    除了正面对抗之外,防守方还要随时担心对方渗透进来的“特务”,防止攻击者通过终端的防御薄弱点或利用人性的弱点用钓鱼、社工等方式攻陷终端打入企业内部,然后再以此内网终端为跳板直捣目标系统。

    众所周知,特务是最擅长伪装自己的。在电视剧《风筝》里,国共双方的高级特工影子和风筝,各自潜伏在对方阵营数十年之久,穷尽半生才最终发现了对方的真实身份。

    在攻防演练和黑客攻击中,攻击者构建的攻击工具和恶意代码一定是过杀软免杀的,一般的防病毒产品还真发现不了。告警?不存在的。

    更让人头疼的是,不少参加攻防演习的单位,动辄拥有数万甚至十数万台办公终端,总有一些防护相对薄弱的直接暴露在互联网上。

    因此,“特务”可以从容选择薄弱点进行渗透,然后以此为跳板去往想要到达的位置。想要第一时间在这么大范围内把他找出来,是一件非常困难的事情。

    但是狐狸终究会漏出尾巴,就看猎人的本事是不是足够精道。

    猎鹰平台就是来解决这个问题的:所有终端上的行为日志都可以接入到猎鹰平台上,结合多维度的分析模型进行智能研判,最终输出一条条安全事件,也就是什么时间、在哪台终端上、都有什么特务干了什么可疑的事情。

    猎鹰这个名字,听起来就很犀利。而且它和老鹰也有着共通点:眼睛特别毒辣,别人看不过来的日志,我来看我来分析。

    据统计,整个攻防演习期间,仅奇安信天擎终端安全管理系统接入猎鹰平台的日志量,平均每天就超过了200亿条,峰值更是突破了300亿条。

    如此海量的终端日志,猎鹰平台依旧保持了平稳高速运行,而运维人员也不过寥寥数人。当然猎鹰也不负众望,两周的攻防演习,猎鹰总共抓到了超过500名“特务”,没有一个是被冤枉的。

    猎鹰平台已经在后台默默服务了近1年,发现了1151起攻击事件并帮助客户溯源了315起安全事件。目前猎鹰平台还只接入了天擎主动防御和六合引擎的行为日志,所以其承担的主要任务还是肃清潜藏在终端上的特务。随着接入的数据越来越多,猎鹰平台的舞台也会越来越宽广。

    05

    “无处不在”的参谋长

    至此,奇安信防守队总参谋部四大参谋已悉数亮相。有人会有疑问,参谋长是谁呢?

    其实,参谋长无处不在。任何精明的安全设备,都离不开优秀的安全专家,网络攻防最终还是人与人之间的较量。

    所以,优秀的安全分析师才是总参谋部的参谋长。

攻防演习中的红方总参谋部到底有几个“作战参谋”?

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们