楊麗麗，劉 果，戚大強，張 彬，高貫銀（中訊郵電咨詢設(shè)計院有限公司，北京 100048）

0 前言

企業(yè)為了滿足各項等保要求和自身安全風(fēng)險控制，在建設(shè)完備企業(yè)安全防御體系的同時，也在持續(xù)地對其進行有效性驗證，不斷縱深安全防御體系，保障業(yè)務(wù)安全運行。

隨著業(yè)務(wù)復(fù)雜度提升、防御工具的多樣化，有效性的驗證方式從基礎(chǔ)的基線檢查再到實戰(zhàn)演練的紅藍對抗，無一例外都著眼企業(yè)安全防御的有效性。常規(guī)的安全有效性驗證手段幫助企業(yè)解除了一定的安全隱患，但是也暴露了不同程度的問題。比如:基線檢查奠定了企業(yè)網(wǎng)絡(luò)信息建設(shè)的安全基礎(chǔ)，但缺少實時、動態(tài)、自動化的驗證能力；滲透測試高度依賴于滲透人員的經(jīng)驗，帶來了有效性驗證覆蓋面的不確定性；實戰(zhàn)化的紅藍對抗對企業(yè)暴露面進行全面驗證，但是受限于時間、成本，驗證過程很難持續(xù)，且漏洞利用的關(guān)聯(lián)性隨著驗證活動結(jié)束容易被忽略。

從以上有效性驗證手段來看，驗證過程是靜態(tài)的，并且?guī)砹烁采w面不確定、活動難持續(xù)、知識遺失等問題，但紅藍對抗活動的紅方攻擊行為是接近真實環(huán)境的攻擊形式，所以紅方的攻擊技術(shù)、路徑、思路是本方案中建立有效性驗證的原型基礎(chǔ)。以紅方視角的有效性驗證進行全量攻擊面及攻擊向量的管理有利于驗證過程中快速發(fā)現(xiàn)新的攻擊面和新漏洞利用。以藍方視角將資產(chǎn)的豐富性，組織的豐富性，合作伙伴納入到擴展的攻擊面管理中，通過攻擊模擬模型學(xué)習(xí)新的攻擊場景知識，持續(xù)地對系統(tǒng)暴露面進行驗證，發(fā)現(xiàn)系統(tǒng)防御“死角”和評估風(fēng)險嚴重程度。

智能化的有效性驗證方案需要依靠準確的攻擊面管理、全面的攻擊場景知識庫、自動化的調(diào)度攻擊模擬模型，持續(xù)地、自動化地對企業(yè)的安全防御體系進行驗證，讓更多的未知變已知，已知為未知提供更多的探索樣本。

1 整體方案

如圖1 所示，本方案是從攻防演練中紅藍雙方視角出發(fā)，首先通過系統(tǒng)臺賬以及智能化的資產(chǎn)發(fā)現(xiàn)工具收集系統(tǒng)暴露面，進行全量的攻擊面和攻擊向量管理和量化評估；通過攻防演練時紅方對目標滲透時的方法、技術(shù)和路徑形成業(yè)務(wù)系統(tǒng)攻擊場景知識庫，情報信息積累形成通用型攻擊知識庫；通過自動化的調(diào)度算法，對攻擊模擬模型中的不同類型的攻擊模型進行調(diào)度，從信息對稱和信息不對稱2個維度，分別對模型進行有監(jiān)督和無監(jiān)督的驗證訓(xùn)練；信息不對稱的攻擊模擬主要實現(xiàn)未知攻擊面的挖掘和新型漏洞的驗證和利用。信息對稱的攻擊模擬主要基于完全已知的系統(tǒng)基礎(chǔ)建設(shè)、系統(tǒng)漏洞等信息進行攻擊面覆蓋和威脅程度的確認。針對雙重視角的驗證結(jié)果進行每一輪復(fù)盤，為豐富知識庫和優(yōu)化攻擊模擬模型提供依據(jù)。

a）攻擊面管理：通過系統(tǒng)臺賬、智能爬蟲、指紋識別等技術(shù)對多類型、廣泛的資產(chǎn)范圍進行識別，基于識別的資產(chǎn)范圍進行漏洞掃描、漏洞驗證，對漏洞的真實性以及風(fēng)險指數(shù)進行初步評估，再利用攻擊模擬模型進行場景化的漏洞利用驗證，最后形成以資產(chǎn)為橫軸、漏洞為縱軸，風(fēng)險評價指標量化的系統(tǒng)攻擊面管理。

b）攻擊場景知識庫：知識庫的積累來源于企業(yè)主動的有效性驗證（紅藍對抗等）活動或者企業(yè)被動攻擊（黑客入侵案例）事件。在紅藍對抗活動中通過紅方成功提權(quán)結(jié)果進行痕跡溯源，自動識別新知識，添加進系統(tǒng)業(yè)務(wù)攻擊知識庫。另外收錄一些情報組織的安全攻擊事件，這些攻擊模式相對固定，且具有較明顯的可識別性，形成系統(tǒng)通用攻擊知識。

c）攻擊模擬模型：攻擊模擬模型旨在以黑客的攻擊視角驗證系統(tǒng)防御的有效性。本模型中引入入侵和攻擊模擬（Breach Attack Simulation，BAS）技術(shù)實現(xiàn)對真實業(yè)務(wù)目標進行攻擊模擬，通過控制對目標發(fā)送payload，避免對目標的業(yè)務(wù)運行產(chǎn)生影響。以信息對稱視角進行有監(jiān)督模型訓(xùn)練，不對稱視角進行無監(jiān)督模型訓(xùn)練，建立各自的攻擊場景劇本。

d）攻擊報告及復(fù)盤：通過攻擊報告展示整體系統(tǒng)風(fēng)險評估、攻擊漏洞及單漏洞利用或聯(lián)合利用的路徑，為用戶提供修復(fù)建議，以攻擊者視角幫助用戶提升網(wǎng)絡(luò)安全防護能力。同時通過對攻擊報告的復(fù)盤，補充系統(tǒng)的幽靈資產(chǎn)以及新形態(tài)的攻擊場景知識。

2 核心功能

2.1 攻擊面管理

攻擊面管理是企業(yè)資產(chǎn)面臨的所有攻擊向量的總和，攻擊向量是攻擊者對系統(tǒng)進行的攻擊方法，比如病毒傳播、弱口令、釣魚郵件等，通過二維坐標（橫坐標為資產(chǎn)，縱坐標為攻擊向量）描繪出系統(tǒng)攻擊面和風(fēng)險形勢，系統(tǒng)攻擊面管理是系統(tǒng)有效性驗證的物理基礎(chǔ)和邊界。同時通過系統(tǒng)自動化的攻擊模擬驗證從不同維度對資產(chǎn)風(fēng)險量化和再評估，形成了可直接了解風(fēng)險形勢的安全視角。系統(tǒng)攻擊面管理示意如圖2所示。

圖2 系統(tǒng)攻擊面管理示意

a）搜集系統(tǒng)的資產(chǎn)信息IP、域名、主機、服務(wù)等，標記風(fēng)險相關(guān)的數(shù)據(jù)分類，如暴露面類型、網(wǎng)絡(luò)區(qū)域、資產(chǎn)歸屬方、南北向交互訪問安全策略、開放端口。通過資產(chǎn)發(fā)現(xiàn)、智能爬蟲、指紋識別發(fā)現(xiàn)關(guān)聯(lián)資產(chǎn)并補充資產(chǎn)更細維度的信息，包括開放端口、操作系統(tǒng)、應(yīng)用程序、插件、網(wǎng)絡(luò)設(shè)備、應(yīng)用供應(yīng)鏈等信息。

b）基于識別的資產(chǎn)進行漏洞掃描、漏洞驗證（多源掃描器交叉驗證、poc 驗證），完成單漏洞的確認和初步風(fēng)險值評估，繪制攻擊面管理的二維坐標基礎(chǔ)數(shù)據(jù)。

水樣的主要測定項目為COD、pH、水溫，其中COD測定方法參照《水質(zhì) 化學(xué)需氧量快速消解分光光度法（HJ/T399-2007）》，pH測定方法參照《水質(zhì)pH值的測定 玻璃電極法（GB/T6920-1986）》。

c）通過系統(tǒng)持續(xù)的攻擊模擬模型，對漏洞聯(lián)合利用和驗證，進行漏洞多維度的風(fēng)險評價，更新系統(tǒng)二維坐標中系統(tǒng)漏洞的風(fēng)險評估等級及量化指標。

d）隨著系統(tǒng)攻擊面信息的挖掘，以及漏洞風(fēng)險多維度持續(xù)疊加評估，系統(tǒng)的攻擊面管理范圍不斷收斂，防止防御體系建設(shè)過度蔓延。

2.2 攻擊場景知識庫

通過每一次攻防演練，收錄成功滲透目標的思路和專業(yè)黑客組織的攻擊特征，并進行高度總結(jié)形成場景知識。攻擊場景知識庫為攻擊模擬模型提供漏洞利用的樣本數(shù)據(jù)和原型，同時為系統(tǒng)防御的有效性驗證人員提供豐富的攻擊案例和漏洞利用的方法思路。知識庫積累過程如圖3所示。

圖3 知識庫的積累過程

a）確立攻擊場景的劃分維度，可按攻擊目標（終端、應(yīng)用、APP、API、內(nèi)網(wǎng)等）、漏洞利用的方式（弱口令、單漏洞、聯(lián)合利用等）、漏洞利用的技術(shù)手段（口令爆破、php 漏洞木馬上傳、傳輸數(shù)據(jù)篡改等）、攻擊場景是否必須攜帶payload對業(yè)務(wù)有無影響等進行分類，合理的維度劃分對知識庫精準匹配和攻擊模擬模型的迭代升級至關(guān)重要。

b）系統(tǒng)自動收集攻擊成功案例生成知識庫知識數(shù)據(jù)，從攻防對抗活動中自動搜集紅隊人員每一次的移動路徑、方法、攻擊成果信息進行數(shù)據(jù)存儲，當(dāng)紅方人員成功提權(quán)時系統(tǒng)自動反向匹配判斷是否為新知識，新知識需要通過信息溯源生成方法、路徑、關(guān)鍵結(jié)果等。

c）知識庫通過對接情報組織，及時發(fā)現(xiàn)新的攻擊案例和攻擊行為。

2.3 攻擊模擬模型

系統(tǒng)安全防御的有效性驗證從以人工為主，逐漸轉(zhuǎn)變?yōu)橐詸C器為主，人工為輔的形式。通過對漏洞利用和驗證方法的模型抽象，生成攻擊模擬引擎，通過智能調(diào)度算法與關(guān)聯(lián)分析模塊對當(dāng)前和歷史產(chǎn)出的攻擊結(jié)果分析，進行漏洞的迭代和聯(lián)合驗證，以達到具備一定專業(yè)水平滲透人員的思考方式。攻擊模擬的調(diào)度及實現(xiàn)思路如圖4所示。

圖4 攻擊模擬的調(diào)度及實現(xiàn)架構(gòu)

a）攻擊模擬引擎引入BAS 技術(shù)，模擬自動攻擊，類似于滲透人員使用各種滲透工具的過程，針對漏洞的理解、錯誤配置、用戶特權(quán)，關(guān)聯(lián)到一起形成攻擊模擬引擎嘗試的各種方案。通過對關(guān)鍵資產(chǎn)的攻擊路徑，確認關(guān)鍵的攻擊點。

b）攻擊模擬引擎的調(diào)度依賴于智能化的調(diào)度算法和對產(chǎn)出結(jié)果精確判斷，在攻擊過程中進行知識迭代，從而發(fā)現(xiàn)聯(lián)合利用的知識項。采用PSO 算法對驗證結(jié)果進行信息共享，并通過攻擊模擬引擎間的協(xié)作，對漏洞的深入理解和聯(lián)合利用驗證，以達到單點漏洞利用無法發(fā)現(xiàn)的業(yè)務(wù)風(fēng)險點。

d）從攻擊場景知識庫中提取信息不對稱的攻擊場景劇本，進行無監(jiān)督訓(xùn)練。對系統(tǒng)目標進行特定重點漏洞滲透，此時攻擊模擬的過程全程黑盒，通過攻擊模擬過程中的主動探測和分析，完成對目標的滲透。

2.4 攻擊報告及復(fù)盤

攻擊報告中包含攻擊目標的全景信息，包括攻擊的覆蓋鏈路，發(fā)送的攻擊報文以及回顯信息等，針對攻擊報告中產(chǎn)生的新的攻擊面以及攻擊知識進行標記，補充完善攻擊面管理和場景知識庫。

攻擊報告不僅為使用者展示系統(tǒng)漏洞以及漏洞利用的全風(fēng)險鏈路提供修復(fù)建議。更重要的是，以攻擊者的視角驗證系統(tǒng)的安全防御能力，以防御者的視角審視系統(tǒng)安全風(fēng)險，實現(xiàn)未卜先知，防患于未然。

3 方案對比分析

3.1 系統(tǒng)風(fēng)險管控

常規(guī)的有效性驗證手段從靜態(tài)驗證到接近真實攻擊的紅藍對抗活動，通過系統(tǒng)臺賬逐一檢查確認，驗證的過程高度依賴人員的滲透經(jīng)驗，隨著活動持續(xù)時間的限制，驗證的覆蓋面也會隨之縮減，系統(tǒng)風(fēng)險的度量指標沒有標準化，無法合理有效管控風(fēng)險。

智能化的有效性驗證通過系統(tǒng)主動探測、分析形成攻擊面管理的資產(chǎn)數(shù)據(jù)范圍，通過智能調(diào)度算法對目標進行攻擊模擬驗證，實現(xiàn)多維度、動態(tài)的風(fēng)險的量化評估，對資產(chǎn)的漏洞進行分類分級管理，使系統(tǒng)風(fēng)險度量準確和管理可控。

3.2 知識的傳播

常規(guī)的驗證手段通過滲透人員的知識儲備、縝密的滲透思路、完備的滲透工具來完成對特定攻擊目標驗證，尤其對于新的攻擊方法的大面積驗證需要人力、物力、環(huán)境等，客觀限制條件不利于攻擊驗證知識的傳播。

智能化的有效性驗證通過無監(jiān)督的攻擊模擬模型的學(xué)習(xí)探索，發(fā)現(xiàn)新的攻擊知識，并通過有監(jiān)督的攻擊模擬模型的持續(xù)驗證，新的攻擊知識可以在環(huán)境中無約束地大面積應(yīng)用，對系統(tǒng)攻擊知識的信息進行快速核驗。

3.3 驗證的持續(xù)性

常規(guī)的驗證手段需要向目標發(fā)送大量的模擬攻擊報文，對目標可用性、系統(tǒng)配置以及系統(tǒng)數(shù)據(jù)有所影響，驗證活動的時間、范圍嚴重受限，驗證活動無法持續(xù)。

智能化的有效性驗證根據(jù)業(yè)務(wù)系統(tǒng)的可用性要求以及重要程度，控制攻擊報文攜帶的payload，通過攻擊模擬過程中對目標的配置和產(chǎn)生臟數(shù)據(jù)記錄，驗證動作結(jié)束時對上述配置和數(shù)據(jù)回滾，避免對業(yè)務(wù)系統(tǒng)產(chǎn)生影響，使驗證的活動可持續(xù)。

4 總結(jié)

企業(yè)隨著系統(tǒng)復(fù)雜度的提升，安全防御體系的管理難度也隨之提升。對防御體系的有效性驗證如果沒有自動化的驗證工具輔助或持續(xù)性的驗證，系統(tǒng)的防御體系的有效性驗證也將成為另一種負擔(dān)。本文將BAS 進行系統(tǒng)性的應(yīng)用和組織，實現(xiàn)有效性驗證的覆蓋面可控、活動的可持續(xù)、攻擊過程的可視化。

無論BAS 還是其他的攻擊模擬技術(shù)，技術(shù)的成熟度仍面臨著巨大的挑戰(zhàn)，如何適應(yīng)日新月異的技術(shù)與業(yè)務(wù)環(huán)境，構(gòu)建出完整的面向企業(yè)實際場景的防御的有效性驗證，仍需要無數(shù)安全人的持續(xù)努力，但是智能化的有效性驗證技術(shù)顯然是未來發(fā)展趨勢。