如今，各个行业单位的业务系统经过多年的信息化建设，内部的终端数量也随之增多，这也导致安全管理的难度成倍增加。由于整个网内终端及其承载的系统、应用、数据的数量非常庞大，且部署架构相对错综复杂，所以一旦疏于管理，终端就很容易成为整个信息系统安全体系中的明显薄弱环节，甚至被攻击方当作突防入口进行攻击与利用。特别是在实战攻防演练活动期间，终端始终都是攻击方重点攻击的目标。

《孙子兵法·势篇》有云“凡治众如治寡，分数是也；斗众如斗寡，形名是也”，是指治理大军团就像治理小部队一样有效，是依靠合理的组织、结构、编制；指挥大军团作战就像指挥小部队作战一样到位，是依靠明确、高效的信号指挥系统。

在实战攻防演练对抗场景中，如果把防守单位的终端看作是“大军团”，那安全管理就必须要是“合理的组织、结构、编制”与“明确、高效的信号指挥系统”，只有这样，防守方才能提高整个终端的防御能力，确保有效应对攻击方针对性的攻击威胁，真正降低失分的风险。

本期为【2023安天攻防演练庙算记】第七章：终端威胁检查。

安天在“敌已在内”的敌情想定安全思想指导下，针对实战攻防演练期间，终端可能遭遇的各种攻击威胁的场景，制定了安天终端威胁检查专项服务。安天首先会通过开展一系列针对终端威胁的检测工作，来避免攻击方在演练前实施预攻击；其次，是在演练正式开始前清除网内存留的威胁，避免在正式演练过程中，大量与演练无关的告警消耗值守人员精力。同时，通过部署“安天智甲终端防御系统”（以下简称“智甲”）和“安天智甲云主机安全监测系统”（以下简称“智甲云主机”），能够现场针对防守客户单位网络环境内的信息资产进行实时威胁检测、威胁取证、威胁清除工作。

智甲管理中心可实现多类型终端一体化管理，能够实时了解网内终端安全情况，并可查看安全事件详情。同时，针对主机内的文件、程序行为、网络流量等支持威胁检测，可对发现的威胁对象或攻击行为进行清除和拦截，减少主机风险使用行为。一旦发现可疑威胁行为，可实时对攻击进行以“人”为主导的调查和反制；针对高水平攻击方有目的的威胁动作，可快速定位目标主机，并通过多种防护和管控功能进行发现、溯源、反制和形成价值情报，全面保障客户的信息系统与数据资产安全。

图 安天终端威胁检查专项服务示意图

安天终端威胁检查专项服务可覆盖攻防演练全生命周期终端安全防护。

1. 启动阶段

在攻防演练对抗中，攻击方会使用多种攻击手段对主机进行入侵，如漏洞利用、暴力破解、摆渡攻击等，但无论使用何种手段，攻击方通常都要利用主机的暴露面达成连接，利用资产脆弱性获得执行攻击行为的资源。因此，在攻防演练开始前，就要对主机的暴露面、脆弱性、合规性等风险进行排查和处置。

所以，在攻防演练活动的一开始，安天就将为防守客户单位网内所有主机安装智甲，通过管理中心实现多类型终端一体化管理，帮助管理人员了解网内终端安全情况，查看安全事件详情；同时，通过智甲管理中心下发指令统一对网内所有主机进行威胁排查，排查潜伏在主机上的高危文件和行为。

对于网内所有物理服务器、虚机、云主机等工作负载，运用智甲云主机，以前期摸清家底是安全防护的前提，通过自动化资产清点（兼容容器资产），帮助客户快速追踪、定位、研判受威胁的资产，协助客户开展针对性的资产审查。另外，主机内风险排查也是备战阶段不可缺少的一部分，通过智甲云主机持续识别主机的资产脆弱性（兼容容器），如：软件漏洞、弱口令、关键配置错误等，分析并管理其中的潜在安全风险，提前防范风险并提高攻击门槛，可有效减少主机90%被攻击面。

2. 备战阶段

安全专家将借助以上两套终端防御系统，为防守客户单位提供暴露面梳理、脆弱性检测服务，检测方法包括基线检查、漏洞扫描、渗透测试等，同时还提供威胁检测与处置服务。安全专家基于检测发现的网络和系统中的安全隐患，为客户提供安全加固，即根据客户的安全风险定制有针对性的安全加固方案，并协助客户落实。通过上述手段，全面提高主机安全性，使攻击方的攻击行为无法轻易达成。

3. 迎战阶段

智甲支持对各类木马、蠕虫、宏病毒、WebShell等恶意代码进行实时安全监测，及时发现并处置在演练期间内网主机新出现的恶意文件和威胁行为。同时，智甲具有内核级防护能力，可对环境篡改、恶意代码执行、提权、启动项创建等行为进行拦截，使攻击方难以利用恶意代码对主机环境进行入侵和破坏。并将实时针对突发情况，进行事件分析和应急处置。

智甲云主机则提供多维度的入侵检测，快速发现和定位网络资产中的入侵事件以及失陷主机，提升安全分析与响应能力。从异常行为维度，通过全量行为检测引擎梳理出主机内异常文件、异常进程、异常网络连接等可疑行为：

◆ 从主机日志审计维度，对系统/应用全量日志进行采集分析，为入侵检测提供数据源；

◆ 从威胁事件维度，通过内置威胁检测引擎+威胁情报，对采集到的数据做聚合分层分析有效安全数据，实现对工作负载中的各种安全事件与攻击指标进行快速研判和处置。

针对期间遭受的网络安全事件，可根据客户需求开展深度威胁事件响应。首先，根据事件特征以及安全设备监测结果快速定位可能存在风险的主机并进行取证分析；其次，通过预编排事件调查能力对可疑样本进行动静态分析、溯源分析、事件威胁评估；最后给出事件处置与体系优化建议。期间将进行持续性的威胁猎杀，威胁猎杀服务主要由五大子服务组成：

1. 威胁检测子服务：通过终端侧数据采集，发现当前设备存在的潜在风险；

2. 威胁巡检子服务：实时开展人工深度分析，发现网内异常数据，人工甄别研判；

3. 人工调查分析子服务：根据攻击方动机形成画像，提供知识情报；

4. 应急处置子服务：针对发现存在的安全威胁，采取缓解、抑制、根除措施；

5. 专杀开发子服务：对发现的威胁分类汇总、危害评估，并进行专杀工具的开发。

4. 总结阶段

在演练工作结束后的总结环节，安天将为客户复盘演练期间的攻防情况，对演练期间攻击成功的事件和防守成功的事件进行复盘。对事件原因、响应流程、处理方法、造成的后果等进行梳理和分析，并对所有产生的问题和情况提出合理高效安全的解决办法。全面总结终端威胁检查服务工作成果，输出《终端威胁检查总结报告》。

期间，智甲云主机可通过自主算法将具有关联的多条告警生成一条入侵事件，按照时间顺序还原攻击过程，并以图形化的方式呈现攻击者入侵链路全景图，帮助安全人员识别攻击方使用的技战术以及触发的检测点，支撑安全事件的溯源调查。

安天终端威胁检查专项服务客户价值

1. 技术方面

及时发现终端内的已知威胁与未知威胁；

发现定向终端攻击，切断并清除攻击；

治理网内恶意代码与网络攻击；

通过威胁猎杀、攻击者画像、溯源、攻击动机分析形成私有情报和知识库；

基于主动防御有效保护客户信息资产，有效降低失分风险。

2. 管理方面

指导作用：通过猎杀过程，“有的放矢”指导安全管理及技术体系改进。

监督作用：帮助监督安全管理制度的落实情况，发现违法、违规行为。

考核作用：检查结果作为证据，促进安全管理考核落地。

提升作用：提升客户安全运营团队威胁发现与应急响应等能力。

在2022年大型实战攻防演练活动中，安天终端威胁检查专项服务为某客户单位排查发现终端威胁文件200余个（其中远控木马18个），并成功清除终端威胁隐患。

附录：关键产品价值简介

2023年安天产品攻防演练防守实战价值列表
防护类别	安全产品	产品价值
终端防护	智甲终端防御系统 （EPP+EDR）	智甲拥有资产管理、威胁防护、主机管控、安全响应等多种管控与防护能力，可以有效保障客户的系统与数据安全。在攻防演练实战场景中，事前可帮助客户对主机身份、资产配置、暴露面、脆弱性等关键部位进行排查和处置，并通过端点安全统管加固防御能力，使攻击者难以获得攻击入口，无法执行攻击行为；事中可支撑客户对主机进行全方位的实时监控，并及时拦截、清除和处置各类恶意代码、攻击工具、入侵与破坏行为，致使攻击难以突防，保障主机不被攻陷。同时，智甲创新升级的可编排调查能力，能快速定位风险主机，实现安全事件的快速响应，缩短风险隐患的窗口时间。
云主机防护	安天智甲云主机安全监测系统	针对各种异构、海量的主机、虚拟主机、容器等工作负载，可提供包含资产清点、风险评估、合规基线、微隔离、入侵检测、防病毒、威胁猎杀、威胁溯源等多种安全能力的统一安全防护。通过细粒度的资产清点和持续的风险监测与分析，主动发现业务系统的资产脆弱点，并基于微隔离的精细化访问控制，收敛业务暴露面减小攻击影响；同时运用多维度的入侵检测，快速定位发现入侵行为并追踪还原攻击入侵路径，实现自动化入侵检测响应闭环。在攻防演练实战场景中，可高效支撑现代混合数据中心架构下的主机安全需求，协助客户建立符合组织内部规范的云安全管理平台。
威胁猎杀	持续性威胁猎杀服务	威胁猎杀是深入的以“人”为主导的调查反制过程，旨在针对高能敌对方有目的的投放在关键信息资产中潜伏的、隐蔽的威胁攻击进行发现、溯源、反制并形成价值情报等。是积极防御体系当中的一种主动和迭代的威胁检测方法，其作用是在攻击者对关键信息资产造成任何损害之前发现并阻止它们。通过部署威胁诱捕设备与终端防护软件，实时分析信息系统与网络内的数据，结合设备检测能力与数据采集能力，对网内的数据不断进行检索与分析，发现存在的高级威胁，将高级威胁从网内移除。

下期预告

下期为【2023安天攻防演练庙算记】第八章：威胁诱捕分析。

将分享安天在实战攻防演练场景中，如何通过逐一拆解攻击方的攻击思路与攻击链条，并基于蜜罐等产品进行布防。