“善动敌者，形之，敌必从之；予之，敌必取之；以利动之，以卒待之”是《孙子兵法·势篇》中的重要战术思想，是指在对抗中善于“调动”敌军的人，向敌军展示一种或真或假的军情，敌军必然据此判断而跟从；给予敌军一点实际利益作为诱饵，敌军必然趋利而来，从而被本方牵制。

随着网络环境日益复杂化，网络攻击行为趋于产业化，攻击手段也愈发多样化，根据经验构建防御策略、部署产品的传统方式在面对层出不穷的新型、持续性、高级威胁时，难以及时有效的检测、拦截、分析和响应。特别是在实战攻防演练这种高烈度的对抗场景中，防守方并有太多的办法可以让攻击方停止攻击，因此，就必须要采用一些“非传统的新型”防护方法来提升攻击方的攻击成本和门槛，或致使其进行无效攻击，从而降低攻击的数量和质量，进而释放出更多的防护资源去做更有针对行的对抗动作。即《孙子兵法·势篇》中同时提到的“凡战者，以正合，以奇胜”，即用“奇兵”去出奇制胜。

在实战攻防演练对抗场景中，防守方通过构建欺骗式防御体系，就是上述两大重要战术思想的落实体现。通过主动投放“利益”作为诱饵，诱导攻击方对设有“陷阱”的仿真虚假资产目标进行攻击，并进行威胁捕获，进而对事件深度分析、研判并反制，以守转攻，实现从被动防御向主动防御的转变，从而有效保护真正资产，即是提升防御能力，降低失分风险的妙计。

本期为【2023安天攻防演练庙算记】第八章：威胁诱捕分析。

安天威胁诱捕分析专项服务，是为满足防守客户单位实战攻防演练高烈度对抗场景需求，基于安天捕风蜜罐系统（以下简称“捕风”）和追影威胁分析系统（以下简称“追影”）制定的欺骗式防御体系。可有效提升防守客户单位的威胁防御能力，及时发现网内未知威胁，争取被攻击后的响应处理时间，掩护真实的信息资产。通过自带的反制措施及溯源分析，形成自有情报的积累；诱捕到攻击方的丰富信息，做到“知彼”。

同时，可从内网、外网、隔离网等场景捕获威胁，生成针对威胁事件、攻击链等攻击行为的溯源信息，协助客户及时发现安全风险、清除威胁，并提供修复建议，保障网络与系统能够安全、稳定、持续的运行。

图1 安天威胁诱捕分析专项服务示意图

安天威胁诱捕分析专项服务可覆盖攻防演练全生命周期信息系统安全防护。

1. 启动阶段

在实战攻防演练对抗场景中，防守方需要面对攻击方持续多维的攻击，因此，充分的了解攻击方的整体情况，才能根据攻击特点建立完善的安全防护体系。所以，需要在事前部署捕风和追影，协助防守客户单位及时获取攻击方的关键性“线索”。

2. 备战阶段

攻击方在入侵攻击之前，通常会制定攻击策略、规划攻击线路、明确分工合作，力争在最短时间内取得最大战果，常见的攻击链条分为三个阶段：

1. 情报收集：攻击者搜集关于目标组织的人员信息、组织架构、网络资产、技术框架及安全措施信息，为攻击决策提供支撑；

2. 建立据点：通过分析漏洞，发起定向攻击，同时也会对目标现有安全措施进行突破；

3. 横向移动：通过在被攻陷的目标内网进行横向移动，尽可能的获得更多权限；同时，对目标进行内网情报收集，主要包括当前主机情报与内网扫描探测情报。

图2 攻击方思路导图

针对上述攻击链条与思路，可利用捕风在互联网部署 ERP、OA、VPN系统、虚拟化桌面系统、邮件服务系统等高交互蜜罐资产，并且选择部分蜜罐资产预置不同的弱口令、漏洞等诱骗攻击方；同时散播虚假信息“蜜饵”，干扰攻击方收集情报，使其选择攻击目标时产生误判，指数级地增加攻击方的攻击成本，延缓攻击进程的同时，将攻击者不断诱导引入蜜罐陷阱，从而诱捕攻击者，保护真实资产。

3. 迎战阶段

在实战攻防演练正式对抗期间，安天将通过五项重要防御动作，有效牵制攻击方。

1. 产品运行及安全状态监测

通过捕风和追影开展周期性的检查，可实时了解整体的网络状况，及时发现网络中存在的问题，快速有效的制定相应的安全处置策略，从而降低网络中的安全威胁。巡检包括但不限于：

• 安全设备状态检查：对网内设备进行健康状态检查，包括系统引擎、CPU占用率、内存占用率、接口状态、证书授权状态等内容。

• 安全日志分析：定期为客户信息系统内安全设备产生的日志进行挖掘和分析，从事件类型分布、事件发展趋势、事件频率、源地址、目的地址等五个维度进行详细梳理，发现潜在的风险点，并提供分析报告，及时掌握网络运行状态和安全隐患。

2. 设备告警分析

对威胁事件深度分析、研判并反制，具体步骤为：

• 事件证据收集

• 事件证据识别

• 事件证据生成

• 事件感知、态势的研判与恶意样本确认

• 事件样本人工深度分析

• 事件溯源与反制

3. 威胁排除

在溯源反制的基础之上，通过事件威胁评估明确防守客户单位信息系统安全情况，对已发生的威胁及时处置，对可能面临的潜在威胁进行预判分析，提前防御。事件威胁评估基于网络威胁事件分析，针对被攻击目标的身份、职责以及其他特别因素，结合

样本功能和被窃信息以及攻击手法，分析攻击方的攻击动机，并提供有针对性的防护方案。

4. 威胁清除

• 分析清除：根据对系统威胁预警的研判结果，进一步开展溯源或策略优化工作。如果威胁预警存在误报则优化其相关安全策略；如果威胁预警真实存在，则根据攻击行为采集功能，确定客户受影响的范围以及主机，并对攻击方遗留的攻击痕迹进行清

除，痕迹包括但不限于后门、启动项修改、命令行修改等。

• 安全加固：根据威胁多维度的展示功能，从多角度、多方位来制定相应合理的安全加固方案，清除客户目前存在的安全风险。方案包括但不限于客户架构、管理方式、人员安全素质、技术手段等。

5. 策略调优

根据网站监测误报情况、近期漏洞通报情况对客户相关安全策略进行优化升级。

4. 总结阶段

在总结环节，安天将对演练期间攻击成功事件和防守成功事件进行复盘，并根据演练过程中的工作记录，回顾演练工作的全过程，整理与安全事件相关的各种信息，全面总结服务工作成果，输出《威胁诱捕分析总结报告》。

安天威胁诱捕分析专项服务客户价值

1. 全网威胁诱捕

对客户目标资产进行探测并利用空闲IP资源自动创建仿真资产，充分扩大威胁感知范围，及时了解客户整体网络安全态势，降低安全风险，保障自身业务可持续性。

2. 保护真实资产

明确业务系统安全现状，分析当前应降低的安全风险，保持蜜罐资产与环境资产高度仿真，使攻击方真假难辨。

3. 增强诱捕能力

检验信息安全基础设施的有效性，针对发现的安全隐患提供专业解决方案，用仿真资产代理取代真实资产暴露在网络中，使攻击认为攻击的是真实系统。

4. 赢得响应处置时间

投放“诱饵”，将攻击方引致蜜罐中，拖延攻击方时间和精力，为安全加固和溯源赢得宝贵时间。

5. 情报生成与溯源能力

对各安全设备进行安全事件日志分析，通过关联分析，使安全事件有理有据，还原安全事件链条。

在2022年大型实战攻防演练活动中，安天威胁诱捕分析专项服务为某客户单位捕获攻击事件70余起，溯源加分900分。

附录：关键产品价值简介

2023年安天产品攻防演练防守实战价值列表
防护类别	安全产品	产品价值
威胁捕获	捕风蜜罐系统	捕风是部署在网络环境中用于诱骗攻击者的设备级主动防御型网络安全系统，内置多种流行服务和漏洞，支持全场景仿真模拟诱骗。捕风创建的仿真环境在吸引攻击者注意力，保护真实资产的同时，可以及时感知攻击并进行预防，能够捕获攻击者利用的攻击工具并记录攻击全过程。在攻防演练实战场景中，捕风可诱捕攻击方的攻击行为，获取攻击者社交ID、设备指纹等信息，建立攻击者画像，为反制攻击方提供有效支撑。
威胁分析	追影威胁分析系统	追影借助包括安天下一代检测引擎在内的多组鉴定机制组合对输入对象进行判定分析，可有效检出分析鉴定各类已知与未知威胁，尤其对基于格式文档的0Day漏洞攻击具备优秀的检出能力，深度揭示威胁行为细节，输出详实报告。在攻防演练实战场景中，追影可有效检出高级威胁，并与安全产品联动，增强整体安全防护能力。

下期预告

下期为【2023安天攻防演练庙算记】第九章：靶标系统防护。

将分享安天在实战攻防演练场景中，通过布防基础安全产品防御能力联动安全专家现场响应能力，构筑动态综合防御体系，保障靶标不被攻陷。