本文为证券行业特约观点，由多名资深行业专家共同完成。全文篇幅较长，将分为多篇，陆续在安全村发布，敬请期待。在此特别感谢华泰证券张嵩先生对安全村的信任与支持。

信息系统生命周期安全管理体系的研究与实践

—证券信息技术研究发展中心（上海）、华泰证券、兴业证券联合课题组

课题主持人：叶婧 张嵩 王玥

课题组成员：雷兵 庄飞 吴佳伟 倪文亮 胡晓明 孙增 徐丹

证券行业业务开展高度依赖于信息系统的稳定、安全运行，伴随互联网和移动互联网的快速发展，传统信息系统的网络边界逐渐向互联网延伸，导致所面对的外部威胁进一步增加；同时，在现有信息系统的开发运维管理模式下，系统的安全性并没有在系统初始阶段得到应有的规划，导致系统在运行阶段的弹性较差，容易成为被攻击对象，影响系统的完整性和可用性。

同时，由于证券行业自身特点，数据资产（客户数据、经营机构数据等）已经成为证券经营机构的核心竞争力，但是，由于信息系统生命周期内缺乏对各类数据资产的保护意识和保护机制，行业内也缺少保密性标准和具体要求，导致在系统运行阶段，利用系统在各阶段的漏洞批量获取客户或经营机构的事件日渐增多，在破坏系统机密性的同时，严重影响经营机构的声誉和竞争力，引发了客户纠纷。

在此背景下，华泰证券、兴业证券参与了证券信息技术研究发展中心（上海）2017年课题《信息系统生命周期安全管理体系的研究与实践》的联合研究工作。课题研究着眼于信息系统的全生命周期各阶段，借鉴国内外成熟可靠的标准、方法和实践，结合行业信息系统的开发和运维现状，以漏洞管理为主线，以风险识别、评价和跟踪为手段，为证券行业探索了一套可行性高、实操性强、注重实效的信息系统生命周期安全管理体系，通过将信息安全的要求、标准和实践融入到系统生命周期的各个阶段，主动防御外部威胁、有效的管理漏洞，实现经济、合理管理安全风险的目标。

在课题研究过程中，课题组对30多家行业机构进行了调研，深入了解行业的安全现状和安全痛点；同时，组织了多次课题研讨会，明确了课题研究要点和方向。课题组基于业界软件安全生命周期管理的方法论，并结合华泰证券、兴业证券等有代表性的证券经营机构在信息系统安全生命周期管理的经验，总结出适用于证券行业特点、具备行业推广性的信息系统生命周期安全关键安全控制措施框架，并重点阐述了框架中适合证券行业业务特点的安全态势感知与情报应用、安全需求分析、DevSecOps、开源组件安全风险、生命周期安全管理框架及关键活动、软件安全成熟度、互联网攻击面资产与漏洞管理运营、平台组件配置标准化、网络安全防御架构、数据安全与业务安全共10大最佳安全实践和演进路线。

证券经营机构受限余IT人员规模，专职安全人员非常有限，在安全上的人力投入无法和互联网公司相比，但却又和互联网公司面临一样的安全风险，因此，形成能够良好运转的安全管理体系，将有限的安全资源投入到最有价值的领域对大多数证券经营机构都有着非常重要的现实意义。课题的10大最佳安全实践覆盖了信息系统的全生命周期各阶段，全面提高了信息系统的安全性，对证券行业经营机构具有极大的借鉴意义，有利于提高行业的信息安全水平，在行业中具有推广意义。

课题研究报告及附件参考：
https://mp.weixin.qq.com/s/Xka-HZl5PGdyUt5whvcSmA
https://github.com/DefenseTeam/SharedSecurityPractice/tree/master/ITRDC-SH-2017008

《信息系统生命周期安全管理体系的研究与实践》课题研究成果，将重点分享如下四个实践：

1.  安全分析与情报应用
2.  证券公司信息系统安全需求实践
3.  开源组件安全风险与实践
4.  DevSecOps实践

      下面实践作为候补，如有需要可以提供：

• 软件生命周期安全管理框架及安全成熟度评估实践
• 安全运营之资产与漏洞运营管理及组件标准化
• 网络安全纵深防御框架演进实践
• 证券行业信息系统生命周期安全管理现状调研报告

---

第1篇：安全分析与情报应用

一、网络态势感知背景下安全分析能力

(一) 态势感知的背景与要求

根据百度百科的整理，“态势感知^【1】（Situation Awareness,SA）”严格说并不是一个新名词。早在20世纪80年代，美国空军就提出了态势感知的概念，覆盖感知（感觉）、理解和预测三个层次。90年代，态势感知的概念开始被逐渐被接受，并随着网络的兴起而升级为“网络态势感知（Cyberspace Situation Awareness，CSA）”，是指在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测，而最终的目的是要进行决策与行动。随着网络安全重要性的凸显，态势感知开始在网络安全领域展露头角。2009年，美国白宫在公布的网络空间安全战略文件中明确提出要构建态势感知能力，并梳理出具备态势感知能力和职责的国家级网络安全中心或机构。

习近平总书记在去年的419座谈会上提出：“安全是发展的前提，发展是安全的保障，安全和发展要同步推进。要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，全天候全方位感知网络安全态势，增强网络安全防御能力和威慑能力。”，随着《网络安全法》和《国家网络安全战略》的相继出台，态势感知被提升到了战略高度，国家和行业都在全面倡导和积极应用态势感知概念，建设系统和完善网络安全能力，以应对网络空间安全严峻挑战。

(二) 安全分析的概念

剖析态势感知的核心能力–“安全要素的获取、理解和显示”和“决策与行动”，这与Gartner定义的Security Analytics(安全分析)有异曲同工之处。Gartner认为,Security Analytics指“Some advanced analysis of some data to achieve some useful security outcome”(对一些数据进行高级分析，以达到某种有用的安全结果)。Gartner解释说，advanced(高级的)指Anything better than known good/bad rule matching and basic statistics, not only machine learning(比规则匹配和基本的统计更好的，不仅限于机器学习);Gartner进一步解释，Data(数据)指任何的数据，从日志到流、会话，到用户的各种背景信息。^【2】

Gartner的观点说，“安全分析”尚未形成一个市场，且并不存在特定的（大数据）安全分析技术，安全分析是个“概念”（笔者注：就像是态势感知），各种商业工具往往都会应用安全分析。而且，完全可以建设自己的安全分析工具或平台，而不是一味的购买商业化“NGSOC”。本章节的目的是，阐述实践摸索出的安全分析方法和安全分析平台架构，以帮助行业机构和从业人员建设自主可控、持续迭代优化、具备充分灵活性的安全分析平台和能力，武装安全分析师和调查、响应人员。

实践经验表明，想成功实践安全分析，需要具备几方面的要素：

• 数据驱动的意识
• 探究数据的兴趣和意愿
• 具备多样化的优质数据源，收集和保存数据的能力，同时掌握科学的数据分析方法和可视化展现技术
• 具备合适的人力资源去开发、使用工具和分析数据
• 具备外部专家资源和数据资源（如威胁情报），以持续提高安全分析效率和能力

(三) 威胁情报的概念

Gartner定义^【3】，威胁情报是针对一个硬存在或者显露的威胁或危害资产的行为的，包括机遇证据知识的，包含情境、机制、影响和应对建议的，用于帮助解决威胁或危害进行决策的知识。(Evidence-based, including context,mechanisms,indicators,implications and actionable advice,about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject’s
response to that menace or hazard.)

iSIGHT定义^【4】，网络威胁情报是关于已经收集、分析和分发的，针对攻击者和其动机、目的和手段的，用于帮助所有级别的安全和业务员工用于保护其企业核心资产的知识。

威胁情报一般包括以下8个价值依次降低的关键要素：

1. 可观察行为(Observable)。

2. 指示器(Indicator)。

3. 事件(Incident)。

4. 战技过程(TTP)。

5. 动机(Campaign)。

6. 被攻击系统(Exploit Target)。

7. Course of Action(应对行动)。

8. 威胁源。

威胁情报分战略级情报和战术级情报两类：战略威胁情报指关于威胁源及其意图、同盟、兴趣、能力、计划、动机等的供人读的报告或产品；战术级情报(有时称机读情报MRTI)一般指指示器、IP、URL、hash等用于比对系统产生数据的技术要素的数据订阅。威胁情报可以通过不同途径进行交换：

1. Consortiums-情报组合形式，类似市场，提供多个源可以选,比如Check Point的威胁情报商店；

2. Threat Intelligence Alliances-(厂家间的)威胁情报联盟,如Cyber Threat Alliance,Microsoft Interflow；

3. Circle of Trust Exchange Platforms-(组织间)互信交换平台形式,如Active Trust Platform；

4. Intelligence Exchange Services Platforms-威胁交换服务平台形式(多源汇聚),如Alien Vault,ThreatConnect。

主流的威胁情报标准包括Structured Threat Information eXpression(STIX),Trusted Automated eXchange of Indicator Information(TAXII),Cyber Observable eXpression(CybOX)等。其中，作为两大标准，STIX和TAXII的发展得到了主要安全行业机构的大力支持，在此基础上，我国也在建立国产威胁情报标准。

威胁情报不仅仅是单纯的数据，更是一个生产过程，即从对象定义、采集、处理、分析、交付到反馈的闭环生成过程。在实践中，情报更多被应用于机读场景，帮助安全设备（如NGFW）或者分析平台感知威胁，并产生下一步的告警或阻断等动作。

(四) 新的威胁环境驱动传统安全防护到分析与响应的转变

近两年，安全威胁的发展呈现出新的特征和形势，持续增长黑色产业规模和全业务链条，攻击者更加缜密、资源丰富、技能精湛，可以精心策划针对特定行业或组织的具有特定经济或政治目的的攻击，一般称之为高级持续威胁（Advanced Persistent Threat）。为了提高效率、扩大攻击面，攻击者也开始针对性地利用行业软件与供应链安全等影响面广的问题或漏洞，实施犯罪，甚至网络攻击与电信诈骗配合，黑色产业链配合。这些较以往更高级的威胁，也呈现出新的行为和技术特征，如广泛撒网搜寻和利用已被攻陷主机，Exploit Kit的采用，“免杀”型木马，绕过和逃逸技术演变，社会工程的使用，漏洞公布到利用工具在野时间大幅缩短，使用检测难度高的Webshell，远控端使用相对干净、无C2威胁情报规则的IP，DGA域名的使用增加C2检测难度，利用DNS、SMTP、HTTP等常用通道，加密技术的使用保护远控通道，勒索软件中包括“永恒之蓝”等大面积漏洞利用代码和蠕虫技术，更不要说0-day漏洞的利用。

在当前的威胁环境(threat landscape)下，防御措施本身不足以抵御坚定、持续的攻击者或高级威胁，传统4层墙为主流的安全边界防御措施，可以轻易被突破，一些组织准备不足甚至完全不具备对成功入侵和窃取数据的感知能力。威胁环境对安全分析的应用、理解攻击者技术和战术，并做出合适的应对措施，最终实现主动防御、动态对抗，提出了高要求。

在新的威胁环境下，越来越重要的是组织敢于、主动接受，入侵和数据泄露要么已经发生，要么迟早而且必然会发生。根据权威报告Verizon《2015 Data Breach Investigation Report》^【5】收录的80000多起安全事件，其中2122起证实存在数据泄露，其中，金融服务行业，43%的安全事件在几天到几周内发现，38%的事件需要数个月甚至更长的时间才能发现。63%的事件中，攻击者只需要花费几分钟甚至几秒钟就可以攻陷系统。

所以，在国家领导人号召建立全天候网络安全态势感知能力的大背景下，情报驱动的安全分析能力提升已成为必须：首先，踏实做好、完善基础安全；然后，在各种渠道采集数据并进行安全分析，战略上假设攻陷，检测可能的攻陷或偷取数据行为；之后，持续提升安全分析能力，将重复的人工分析过程尽可能自动化；下一步，使用威胁情报、人工智能等技术，提升分析效率；进一步，对各个源的数据进行自动关联分析，全面可视化资产、漏洞、网络攻击和已攻陷态势，为事件响应的指挥者提供基于优先级的信息，以采取合理的应对措施。

二、安全分析的参考模型和方法

(一) 杀伤链

洛克希德–马丁公司于2011年在一篇关于情报驱动的计算机网络防御的论文中（Intelligence-Driven Computer Network DefenseInformed by Analysis of Adversary Campaigns andIntrusion Kill Chains）^【6】首次提出专门针对网络入侵的杀伤链模型（Intrusion Kill Chain）。论文指出，网络入侵的本质是攻击者必须开发出攻击载荷并突破可信边界，在可信边界内部出现，并进一步达到攻击者最终的目标；杀伤链将网络入侵模型化，有助于理解入侵并系统性地采取合适的措施。目前，洛克希德–马丁公司的Cyber Kill Chain®框架已发展成情报驱动防御(Intelligence Driven Defense®)的一部分，用于识别和防御网络入侵活动。该模型定义了攻击者为达到目标必须要完成的阶段，之所以称之为链（chain）是因为攻击者必须完整地通过全部的六个阶段才能成功达到目标，而防御者在任意一个阶段打破链条，就可以阻止入侵者的攻击尝试。

现在网络安全实践中，防御者的最终目标是理解入侵者的动作和行为，而“理解”恰恰又是态势感知“能够引起网络态势发生变化的安全要素进行获取、理解、显示”的核心要求。为了具备理解入侵者行为的能力，安全分析就是必备的技能，威胁情报是可以帮助防御者理解、提高分析效率的加速器。

入侵杀伤链定义为:reconnaissance, weaponization, delivery, exploitation, installation, command and control (C2),and actions on objectives七个阶段，每个阶段都有特定的攻击手段^【7】，七个阶段常被翻译为侦查跟踪、武器构建、载荷投递、漏洞利用、安装植入、命令与控制和目标达成，如图1.1所示。

图1.1 洛克希德–马丁公司提出的杀伤链模型^【8】

1.  侦查跟踪

攻击者处在攻击行动的计划阶段，了解被攻击目标，搜寻目标的弱点。常见手段包括收集钓鱼攻击用的凭证或邮件地址信息，互联网主机扫描和嗅探，搜集员工的社交网络信息，收集媒体信息、会议出席名单等。

2.  武器构建

攻击者处在攻击行动的准备和过渡阶段，攻击者使用自动化工具将漏洞利用工具和后门制作成一个可发送的武器载荷。常见手段包括先获取一个武器制作工具，为基于文件的利用代码选择诱饵文件，如flash，office文件，诱导被攻击对象认为是正常的文件，选择待植入的远控等程序并武器化。

3.  载荷投递

将武器载荷向被攻击系统投递，攻击者发起了攻击行动。常见的手段包括直接向web服务器投递，比如webshell，和通过电子邮件、USB介质、社交软件和媒体的交互、水坑等间接渠道投递。

4.  漏洞利用

攻击利用系统上的漏洞，以便进一步在目标系统上执行代码。常见的手段包括，攻击者可以购买或者挖掘零日漏洞，或更多地利用公开漏洞，攻击者可以直接利用服务器侧的漏洞，或诱导被攻击用户执行漏洞利用程序，如打开恶意邮件的附件，点击链接。

5.  安装植入

攻击者一般会在目标系统上安装恶意程序、后门或者其他植入代码，以便获取对目标系统的长期访问途径。常见手段包括在web服务器上安装webshell，在失陷系统上安装后门或植入程序，通过添加服务或AutoRun键值增加持久化能力，或者伪装成标准的操作系统安装组成部分。

6.  命令与控制

恶意程序开启一个可供攻击者远程操作的命令通道。常见手段包括建立一个与C2基础设施的双向通信通道，大多数的C2通道都是通过web、DNS或邮件协议进行，C2基础设施可能是攻击者直接所有，或者是被攻击者控制的其他失陷网络的一部分。

7.  目标达成

在攻陷系统后，攻击者具有像直接操作目标主机的高级权限，进一步执行和达成攻击者最终的目标，如收集用户凭证、权限提升、内部网络侦查、横向移动、收集和批量拖取数据、破坏系统、查看、破坏或篡改数据等。

(二) 打破杀伤链等应对行动

了解了攻击者必须完整执行的操作步骤后，作为防御者，一个好的实践是结合杀伤链的每个阶段针对性的部署安全控制措施，度量控制措施的相对有效性，帮助明晰安全投入的方向和演进路线。更重要的，采集控制措施产生的日志，进行后续的关联分析和响应。下图是洛克希德-马丁在提出杀伤链时，建议的防御应对思路，即明确每个阶段的不同类措施，如检测(Detect)、拒绝(Deny)、中断(Disrupt)、降级(Degrade)、欺骗(Deceive)和毁坏(Destroy),如图1.2所示。

图1.2 洛克希德–马丁公司建议的应对行动参考方法^【6】

实践中，市场上的应用最广的主流安全产品(假设开启全功能)，如新版终端安全软件(EPP)、下一代防火墙(NGFW)，的功能模块已经演变到可以针对性作用杀伤链的各个阶段，各功能协同打破链条。对于防御者，需要在合理部署措施的基础上，充分了解各个措施具备的打破杀伤链的能力，并建立自身的防御和分析策略，如表1.1所示。

表1.1 杀伤链、防御措施与分析策略矩阵

(三) MITRE ATT&CK

较杀伤链模型更进阶和详细的模型是MITRE的ATT&CK模型。ATT&CK指Adversarial Tactics,Techniques,and Common Knowledge(ATT&CK™) ^【9】，是研究网络攻击者行为的知识库。ATT&CK有助于理解已知的攻击者行为，技术、战术，准备检测措施，验证防御基础设施和分析策略的有效性。

该模型可以被用于更好的归类资产被攻陷后攻击者的行为，有助于识别需要优先检测的战术、技术和过程(tactics，techniques and procedure-TTP)。ATT&CK的10个战术类别是对杀伤链后C2阶段后的细化，对攻击者获取权限后的行为提供了更精细的粒度描述。每一个战术类别包括了一系列的攻击技术，这些技术可以被选择用于执行该类战术。ATT&CK提供了对每一项技术的细节描述，指示器，有用的检测数据和分析方法，以及可能的缓释措施。在行业应用中，该模型有助于让分析和响应人员更好的了解攻击者，尤其是APT攻击者的技战术，熟悉真实环境的对抗技巧，增强实战能力，从而更好的组织防御。

图1.3 MITRE的攻击者技术、战术知识库和模型^【9】

三、安全分析平台架构与数据源

(一) 安全分析平台功能架构

安全分析平台的功能架构如图1.4所示。

图1.4 安全分析平台功能架构图

(二) 安全分析平台技术栈

基于开源组件搭建安全分析平台，包括BRO，ELK（Elastic，Logstash，Kibana），Flink，Suricata，Kafka，TensorFlow等，常用技术栈如图1.5所示。

图1.5 安全分析平台技术栈

(三) 安全分析需要的数据源

     安全分析所需的数据源如图1.6所示。

图1.6 安全分析与情报数据源

四、10个可实践的安全分析场景

正如前面提到的，安全分析是一个概念，没有固定分析对象和分析过程的约束。实践中，安全分析一般是场景化的，每个分析场景达到特定的分析目的，也需要特定的数据源和相应的规则、算法支持。经过一段时间的摸索后发现，威胁情报有助于大幅提升分析效率，是安全分析的必备催化剂，但威胁情报本身又不足以独立地有效分析和检测。

附件包括了10个大的分析场景，每个场景有多个实践中应用过的分析技巧或方法。场景的划分，按攻陷前、攻陷中和攻陷后划分：攻陷前分析场景主要包括攻击尝试的态势感知与分析相关场景，攻陷后分析场景主要是为了对失陷主机进行事件追溯，攻陷中场景则重点通过分析技术发现正在发生的远控行为。描述每个场景时，区分了场景相应的杀伤链阶段，依赖的数据源，分析目的，集成技术和参考资料等，抛砖引玉。

威胁情报是实践安全分析中重要的催化剂，有助于提升效率、丰富情境。我们在日常交流中发现，用户在应用威胁情报的过程总存在一定的局限和误区，在此专门阐述观点，以及提出未来可能的主流应用场景和方法。

(一) 威胁情报IOC数据应用的局限性

威胁情报中的网络域名IOC是相对最早广泛应用的情报数据，通常用于识别失陷主机的外联C2基础设施的行为，数据源可以来自DNS服务日志或协议流量，或实际web访问的域名、URI等。该应用场景因其部署相对容易，对分析技能要求相对低的原因，已被大量应用在初期的分析实践和下一代边界防护NGFW设备中。但是，在实战分析中发现，网络域名IOC的应用有其固有的局限性，如情报厂商的历史数据积累和供产生情报的样本数据收集的局限性，如情报交换机制的局限性，如因攻击者快速更换C2基础设施导致的情报失效的局限性，情报自动化产生的局限性等。网络域名IOC的诸多局限性导致在实战中会出现攻陷主机外联不会命中情报的情况，因概率不确定，高度依赖网络域名IOC进行攻陷检出的风险就不确定，对于率先应用情报的行业机构而言，这种风险是无法接受的。甚至，可能因网络域名IOC的不恰当宣传，用户因知识技能不足而理解不到位等原因，造成“应用了网络域名IOC等于有效的失陷检测”的误区和安全假象。

(二) 使用多源信誉情报实现出站全流量分析

鉴于IOC应用的局限性，我们在实践中摸索出分析所有出站外联流量分析和检测杀伤链命令控制或载荷投递阶段的可疑连接。分析的目的是希望可以将出站流量按黑、灰、白分类，借助信誉威胁情报提高过滤和分析效率，过滤出白名单类的目的地址，从而让分析团队将精力优先聚焦在黑色（已知恶意站点，如C2基础设施或木马下载站）和灰色（可疑或历史上发生事件的IP）。

具体方法上，使用NTA工具监测网络流量，获取出站连接的源地址、源端口、目的地址、目的端口、通信协议、应用事件、数字证书等关键信息，使用商业威胁情报库的信誉情报数据和机构备案的出站访问互联网的可信或业务允许规则关联比对，综合判断出站连接的恶意度（白、灰、黑）。判断的结果可用于建立和维护机构自主可控的精确威胁情报库，载日常运营中，定时获取新产生的出站连接，与情报库进行关联比对，将其中从未出现过的新增出站连接进行判断后再扩充入库。同时定期对情报库整体进行数据更新（与商业威胁情报再次比对），以保证情报库的时效性。定期对组织威胁情报库中的纯灰连接进行人工判断，具体结合证书、whois、服务器管理员问询等进行综合判断，降低情报库中纯灰连接数量。定期对新增的灰偏黑（没有命中C2域名和IP，但目的IP近期关联安全事件或情报厂商观察到恶意行为）或者和纯黑（C2域名或恶意程序下载站）的连接进行响应，查明事件原因，排除事件隐患。

参考文献

【1】百度百科：态势感知

https://baike.baidu.com/item/%E6%80%81%E5%8A%BF%E6%84%9F%E7%9F%A5

【2】RSA Conference
2016: Demystifying security-analytics

https://www.rsaconference.com/writable/presentations/file_upload/air-t09-demystifying-security-analytics-data-methods-use-cases-final.pdf

【3】Gartner: Definition:
Threat Intelligence

https://www.gartner.com/doc/2487216/definition-threat-intelligence

【4】FireEye iSIGHT
Intelligence

https://www.cybersecurity.cz/data/FireEye_Zelazo.pdf

【5】The Verizon DBIR

http://www.verizonenterprise.com/verizon-insights-lab/dbir/

【6】Intelligence-Driven
Computer Network Defense Informed by Analysis of Adversary Campaigns and
Intrusion Kill Chains

https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf

【7】GAINING THE
ADVANTAGE Applying Cyber Kill Chain® Methodology to Network Defense

https://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

【8】Cyber Kill Chain

https://www.lockheedmartin.com/us/what-we-do/aerospace-defense/cyber/cyber-kill-chain.html

【9】Adversarial
Tactics, Techniques & Common Knowledge

https://attack.mitre.org/wiki/Main_Page

---

附件：10个可实践的安全分析场景

场景一：网络攻击的趋势分析与告警

态势感知与分析阶段：攻陷前。

攻杀链/Kill Chain阶段：Reconnaissance + Exploitation。

目的：分析网络IPS/NGFW/WAF/主机IPS的告警数据，分析网络流量找出其中的攻击流量，进行攻击趋势的统计和阈值告警。

应用该场景的原因：每天会有大量攻击流量到达部署在互联网边界的安全基础设施（网络IPS/NGFW/WAF），由此产生巨量的告警；其中会有少部分攻击流量绕边界防御到达内部网络，这类攻击流量会在主机IPS上产生记录；通过对网络流量的建模分析可以找出其中的攻击流量。使用日志分析平台、可视化工具对这些数据进行处理，展示网络攻击的整体趋势，并且可以通过设定告警阈值，从海量告警中找出需要重点处理的攻击源。

技术前提：网络IPS、NGFW、WAF、主机IPS、流量监控。

数据源：网络IPS、NGFW、WAF和主机IPS的告警数据、流量日志。

可选的集成技术：

（1）对网络IPS、NGFW、WAF、主机IPS这四类设备，通过机器学习整体告警数量的正常范围，当告警数量异常时生成提示消息。将告警送到日志分析平台进行处理，并使用可视化工具对攻击流量做可视化的趋势分析和统计。

（2）设置相同攻击源IP的告警阈值，当告警阈值被触发时，通过邮件和微信将告警信息发送给安全管理员。

（3）对于特定攻击源IP，特别是触发阈值的攻击源IP，通过日志分析平台查询其在网络IPS、NGFW、WAF和主机IPS上的告警记录，并通过可视化工具进行呈现。

（4）通过日志分析平台上的IP地理位置插件，可以统计攻击源IP 地理分布。

（5）通过威胁情报API查询攻击源IP的信息，进一步了解攻击源的情报画像，如来自僵尸网络、运营商等。

（6）对于监控的网络流量进行告警建模，找出其中的攻击流量，将日志记录送到日志分析平台处理，并通过可视化工具呈现。

场景二：高风险应用的异常访问检测

态势感知与分析阶段：攻陷前。

攻杀链/Kill Chain阶段：Reconnaissance。

目的：通过流量监控，借助情报中的非IOC数据，分析特权、邮件、IM、内网办公系统等高风险应用的异常源访问，识别其中的密码盗用、撞库。

应用该场景的原因：企业中很多包含敏感信息的高风险应用存在部分单因素认证应用，员工密码可能已经被盗用，并被用于进一步攻击。

技术前提：流量监控（Inbound）、防火墙5元组日志、应用访问日志。

数据源：入站流量、防火墙日志、应用日志。

可选的集成技术：

（1）在入站流量中筛选出访问高风险应用的流量，分析访问源IP。通过威胁情报的API查询这些源IP信息，建立访问源画像，掌握多大比例的访问尝试来自于僵尸网络。根据此数据选择提升防护措施，如使用双因素认证、移动安全方案等。

（2）进一步分析应用日志中成功连接的帐号的访问源IP，并结合威胁情报，识别被窃取的帐号。

（3）识别被窃取的帐号后，向用户提供风险提示或阻断措施。

（4）借助统一身份与验证平台日志，可进一步分析业务系统日志，为客户提供风险提示。

（5）进一步借助深度学习算法，实现分析过程的自动化。

场景三：识别恶意程序的投递

态势感知与分析阶段：攻陷前。

攻杀链/Kill Chain阶段：Delivery。

目的：识别试图投递至终端的恶意程序。

应用该场景的原因：大量服务器因“担心影响性能或稳定性”而没有安装最新版终端安全软件或未开启所有最新功能，只启动“传统杀毒”，造成对于恶意程序投递的识别能力不足；同时除了终端安全软件，在安全防护的其他各个环节也需要加强对恶意程序投递的识别和防御。

技术前提：NGFW开启Antivirus/沙盒/上传控制功能，邮件网关具备沙箱和防病毒功能、终端安全软件、Sysmon、流量监控、多病毒引擎API、日志分析平台、Webshell检测工具。

数据源：Sysmon日志、流量日志、NGFW告警、终端安全软件日志、邮件网关日志。

可选的集成技术：

（1）邮件网关通过沙箱和防病毒功能，判断邮件中是否存在恶意程序。

（2）NGFW的Antivirus/沙盒/上传控制功能可以辨识并阻止试图从互联网上传至服务器的恶意程序。

（3）Sysmon将生成文件的Hash送给多病毒引擎API进行分析，判断是否为恶意程序。

（4）流量监控工具生成抓取的网络传输文件的Hash，将HASH送给多病毒引擎API进行分析，判断是否为恶意程序。

（5）最新的终端的安全软件使用信誉查询和机器学习，可以判断下载文件是否为恶意程序，并对恶意程序进行处置。相关告警送到日志分析平台分析，并通过可视化工具呈现。

（6）流量监控工具抓取网络传输文件，对抓取文件进行多种方式的分析：可以将抓取文件送多病毒引擎API、终端安全软件、Webshell检测工具进行分析，判断是否为为恶意程序或Webshell。

场景四：识别恶意程序的安装植入

态势感知与分析阶段：攻陷前。

攻杀链/Kill Chain阶段：Installation。

目的：识别恶意程序的安装行为。

应用该场景的原因：这个环节恶意程序已经被投放到受害终端，恶意程序要发挥作用就需要进行安装植入，这个环节防御方依靠终端安全软件进行防御与监控。

技术前提：终端安全软件开启了最新的防病毒功能。

数据源：终端安全软件日志。

可选的集成技术：

（1）最新的终端安全软件可以通过防病毒扫描和仿真模拟方式对恶意软件的安装植入行为进行检测和防护。我们可以将终端安全软件日志发送给日志分析平台进行处理，然后通过可视化工具进行呈现。

场景五：近地高危攻击检测

态势感知与分析阶段：攻陷前。

攻杀链/Kill Chain阶段：Exploitation, Installation。

目的：分析绕过NGFW、网络IPS和WAF的“近地高危攻击”。

应用该场景的原因：实战对抗演习发现，对于一些高危攻击，如针对Struts, JBOSS框架的，特定漏洞的攻击代码可以同时绕过NGFW、IPS和WAF，但攻击会在HTTP日志中留下痕迹。

技术前提：流量监控、日志规则化、Web
Server日志或HTTP流量事件日志、Yararule工具，Agent类型的Webshell检测工具。

数据源：流量日志、Web Server和HTTP流量事件日志、Webshell检测日志。

可选的集成技术：

（1）可使用流量监控工具，设置日志规则后将日志送给日志分析平台，并通过可视化工具呈现。流量监控工具可以设置特定的攻击规则然后进行告警。

（2）可统计一段时间访问量最少且响应码200的几个asp/jsp/php文件，同时统计一段时间unique访问来源ip最少的且响应码200的asp/jsp/php文件，对这两类文件所在终端通过Yararule工具和Webshell检测工具检测文件是否为Webshell。

（3）将HTTP流量事件日志和Web Server日志送到日志分析平台，在其中查找HTTP request中的特定攻击特征，并将结果通过可视化工具进行呈现。

（4）HTTP流量事件日志可以替代Web Server日志，后者缺点是跨版本正规划开销大，post body需要额外开启才可以记录响应码等。

（5）利用可视化工具能快速识别API接口特征，精细化资产管理，这些接口可能遭受SQL注入等攻击，但Web扫描器一般很难自动发现。可以和研发了解客户数据、认证等高风险API接口特征，或查找如clientid, pass, passwd参数，或者在日志中识别；同时统计返回页面大小和返次数，识别非法利用API获取数据的攻击。

场景六：基于威胁情报IOC和机器学习的攻陷检测

态势感知与分析阶段：攻陷前，攻陷中。

攻杀链/Kill Chain阶段：Delivery，C&C。

目的：借助威胁情报中的IOC和机器学习识别攻陷后被远控的终端。

应用该场景的原因：互联网边界如果没有新一代的防御措施比如NGFW，或者没有在边界防火墙设置出站访问白名单，将无法识别攻陷主机的外联，可以使用威胁情报IOC来帮助判断攻陷主机的外联（被远控或者下载木马等恶意程序）；DGA（域名生成算法）生成的随机域名不易被传统检测方法发现，需要通过机器学习进行辨识；DNS通道不易被发现，需要建模设置规则进行查找。

技术前提：流量监控（outbound）、DNS日志、防火墙五元组日志、Web访问日志。

数据源：出站流量、DNS日志、防火墙日志、Web访问日志。

可选的集成技术：

（1）威胁情报IOC一般包括了黑客基础设施（含C&C和恶意程序下载基础设施）。

（2）有商业威胁情报IOC和开源（免费）威胁情报IOC两个主要来源，后者误报较多。

（3）既需要将当前威胁情报与出站流量数据比对，也需要将更新后的威胁情报与历史出站流量数据比对。

（4）需要和IOC比对的域名、URI、IP可从流量统一采集或者从DNS、墙、代理等分别采集数据。

（5）领先的NGFW中往往包含威胁情报，提供僵尸网络等攻陷外联告警，可送到日志分析平台进行汇聚。

（6）可利用商业威胁情报汇聚平台，将开源和商业化的威胁情报汇聚后送到日志分析平台进行分析。

（7）商业威胁情报平台可支持流量监控或DNS日志接收能力，平台集成了威胁情报、IOC比对分析和告警功能。

（8）对于特定事件，如Xshell, WannaCry, Hao123等，根据威胁情报提供商的IOC比对历史数据，可评估攻陷程度和范围、设置开关或是在NGFW上设置阻断应急。

（9）部分远控域名通过DGA（域名生成算法）随机生成，传统检测方法难以发现出此类域名，可以利用域名字符长度过滤或深度学习等技术，识别出其中的异常域名。

（10）为识别DNS通道, 可利用日志分析平台汇聚某一域名的下一级子域名的数量，设置阈值告警；可计算DNS Request的长度，识别长域名（如利用编码后的hostname发送数据的）；可以分析DNS请求的频率，如对某hostname A单位时间请求数量激增，则存在异常；可以分析特定Pattern，如URL中包含较多数字，则存在异常；可以分析DNS Server，如有不熟悉DNS Server出现，则存在异常；或者使用其他日志分析平台内置的检测插件进行DNS通道检测。

场景七：出站流量黑白灰化

态势感知与分析阶段：攻陷中，攻陷后。

攻杀链/Kill Chain阶段：C&C，Actions on
Objectives。

目的：借助威胁情报，将出站外联流量进行黑白灰化。

应用该场景的原因：威胁情报IOC基于已知特征，具有滞后性、无法全自动化、漏报与误报平衡、供应商资源和专业差异等因素，导致一些攻陷后远控域名或IP并没有被IOC库收录，实战证明不可一味依赖IOC。分析一个公司的出站流量，并将出站流量黑白灰化，形成该公司自己的威胁情报库，是快速识别潜在攻陷后外联、被远控的一个有效的方法。

技术前提：流量监控（outbound）、DNS日志。

数据源：出站流量、DNS日志。

可选的集成技术：

（1）出站流量连接的目的IP与公司威胁情报库（初始该库为空）进行比对，判断恶意度，命中IP维持原有判断，未命中ip进入流程2；

（2）未命中IP与公司互联网侧相关资源库进行比对，判断恶意度，命中IP判断为白并进入流程4，未命中IP进入流程3；

（3）未命中IP从商业威胁情报库获取信息后，根据判断规则，综合判断恶意度（白、灰、黑）并进入流程4；

（4）判断完毕后的IP扩充录入公司威胁情报库。

（5）对于同一个IP，N家商业威胁情报库均判断为白，则判断该IP为白。

（6）对于同一个IP，只要有1家商业威胁情报库判断为黑，则判断该IP为黑。

（7）对于同一个IP，不符合（5）（6）的任何一种情况，则需要进行灰度判断。灰度判断时，查询N家威胁情报库的IP信誉库，最近半年每出现一项恶意行为分值加1，取整[N/2]分及以下判断为偏白，取整[N/2]分（不含）至N分（含）判断为纯灰，N分（不含）以上判断为偏黑。

场景八：被攻陷WINDOWS系统的行为识别

态势感知与分析阶段：攻陷后。

攻杀链/Kill Chain阶段：Actions on Objectives。

目的：通过SYSMON日志找出被攻陷的终端主机。

应用该场景的原因：微软Sysmon在国外应用十分广泛，大量国外技术文章介绍了Sysmon与日志分析平台的协同，JPCERT文章《Detecting Lateral Movement through Tracking Event Logs》则系统性阐述了常见黑客攻击技术对应的Sysmon日志特征。

技术前提：主机部署Sysmon、日志采集工具、日志分析平台、黑客攻击技术对应Sysmon日志特征的文档、Sysmon技术文章、分析人员对操作系统技术基础的掌握、能检测TTPs/Tools级别的Indicators，对攻击时序和技术路径的溯源能力，了解MITRE模型攻陷后的十种攻击战术和数十种技术。

数据源：Sysmon日志。

可选的集成技术：

（1）JPCERT: Detecting Lateral Movement through Tracking Event Logs

（2）Mark Russinovich在RSAC会上关于Sysmon的一系列演讲 + Google “Sysmon”

（4）MITRE: Finding Cyber Threats with ATT&CK™-Based Analytics

（5）Sqrrl: Hunt Evil-Your Practical Guide to Threat Hunting

（6）The ThreatHunter-Playbook @github by Roberto Rodriguez

（7）Florian Roth’s Sigma Project @github

（8）Tom Ueltschi’s Advanced-Incident-Detection-and-Threat-Hunting-using-Sysmon

场景九：内部威胁检测与反欺诈

态势感知与分析阶段：攻陷后。

攻杀链/Kill Chain阶段：Actions on Objectives。

目的：识别异常、异地访问重要业务系统（如柜台、CRM），识别高风险操作（如客户数据查询），利用机器学习等技术提升检测效率。

应用该场景的原因：经常有媒体报道“内鬼”贩卖公民个人信息，而DBIR2017统计发现25%的数据泄露事件是由于内部威胁导致。

技术前提：重要系统日志，日志分析平台，用来实现异常检测的机器学习技术，网络设备日志，数据库审计分析平台，UEBA平台。

数据源：重要系统日志、网络设备日志。

可选的集成技术：

（1）收集重要系统日志，或将帐号登录部分的日志抽取处理后发送到日志分析平台，识别登录源IP数量最高的帐号。

（2）重要系统需要开启日志来记录登录的MAC、IP，尤其是后者，否则会需要与网络设备日志关联识别登录源物理位置。

（3）可进一步查询对某客户号访问次数多的帐号。

（4）可利用机器学习建模，分析异常访问某类客户数量激增的行为。

（5）与商业化UEBA集成可提高分析效率、质量和可视化程度。

场景十：识别内部渗透的攻击流量

态势感知与分析阶段：攻陷后。

攻杀链/Kill Chain阶段：Actions on Objectives。

目的：识别从已经被攻陷的终端或服务器发起二次攻击的行为。

应用该场景的原因：终端往往是一个脆弱且不被重视的环节，尤其是分支机构的终端。APT一般利用终端的应用程序漏洞、用户不好的电脑使用习惯等作为突破点。一般而言，传统网络架构中，终端访问与服务器区，最多只有4层防火墙隔离，内网侧漏洞管理较互联网侧滞后很多。

技术前提：服务器区域与终端区域间使用带恶意代码防御和入侵防御的NGFW等技术隔离，开启IPS功能的终端安全软件，互联网边界NGFW，Sysmon，蜜罐系统，内网IDS，终端安全软件，流量监控。

数据源：重要系统日志、网络设备日志、NGFW日志、Sysmon日志、终端安全软件日志，流量日志。

可选的集成技术：

（1）NGFW日志送日志分析平台。

（2）终端安全软件日志送日志分析平台，尤其是IPS日志。

（3）Sysmon日志送日志分析平台，可识别二次攻击恶意软件的使用。

（4）检测终端被远控软件（比如RA）的连接，从中识别恶意的内部人员非授权（或利用内部人员终端）访问他人终端及其数据的行为。

（5）使用流量监控或内网NGFW监控区域间和区域内的流量，识别端口扫描和IP扫描类流量。

（6）内网各区域部署开启了各类服务、存在各种漏洞的虚机，使用内网IDS工具监听对这些服务的访问。

（7）内网部署专业蜜罐工具，对蜜罐工具的日志进行分析，找出已被攻陷的终端或服务器。