2023-2024安服安全技术研究白皮书
AI智能总结
安服安全技术研究白皮书 White Paper on Security ServicesSecurity Technology Research 范渊袁明坤韦国文刘蓝岭徐礼庄文生王盛昱陈彦羽张续腾罗泽林陈冠宇马俊李康柏马可王拓张建盛张斌 郑毓波钱智成主编副 主 编执行主编美术编辑 2023-2024 安服安全技术研究白皮书 White Paper on Security ServicesSecurity Technology Research 前言Preface 目录Contents 2022年6月,我们首次发布了《2021-2022安服安全技术研究白皮书》,围绕彩虹九维技术体系对2021年间安服团队各实验室技术研究成果进行了简约的呈现。白皮书内容主要包含彩虹九维:红队(突破)、橙队(赋能)、黄队(建设)、绿队(改进)、青队(处置)、蓝队(防御)、紫队(优化)、暗队(情报)、白队(流程)的理念和实践积累介绍。同时也对2022年的研究计划做了简约的指向,包括:反APT安全能力建设、攻防能力成熟度评估、软件供应链安全建设、反0day安全能力建设等,以及具体的红队、蓝队、紫队、青队、绿队、暗队技术栈等打造。 2 0 2 4 年 4 月 , 按 既 定 规 划 , 我 们 再 次 更 新 了《2023-2024安服安全技术研究白皮书》,对2023年间安服团队各实验室技术研究成果进行了内容刷新。我们深知,在网络安全领域,既有攻防对抗的现实需求、数据安全等合规要求、也需要面对AI对抗的新挑战。我们不惧挑战,一直在成本可控的条件下进行技术探索,和聚焦提升安全能力的降本增效实践。欢迎正在阅读的您多提宝贵意见和建议,助力内容和阅读体验的提升,谢谢您的支持。 01各安全研究实验室 彩虹九维专项实践 彩虹红队、彩虹橙队彩虹黄队、彩虹绿队彩虹青队、彩虹蓝队彩虹紫队、彩虹暗队彩虹白队、更多方向0711151923 分子实验室介绍星火实验室介绍水滴实验室介绍千钧实验室介绍03040404 2023年4月,我们再次更新了《2022-2023安服安全技术研究白皮书》,围绕彩虹九维技术体系对2022年间安服团队各实验室技术研究成果进行了内容更新呈现。不同于上一版本的简约,这次我们进行了内容丰富,并特别介绍了我们围绕反APT技术栈的一些研究和想法,通过该技术栈的积累扩展了更多的安全能力,包括对攻击生命周期本身的认知、攻击和防御技战术、分析模型逻辑,软件供应链安全解决方案等,更多内容可以探讨并展现。 04 反APT技术栈特别介绍 技术研究和最佳实践 研究成果输出和能力介绍软件供应链安全反APT和未知威胁反0day和漏洞对抗攻防能力成熟度评估攻防演练之红蓝对抗大运亚运安保特别介绍AI建设安全特别介绍安服赋能体系特别介绍关于我们版本更新3941454751535557636567 攻击生命周期攻击技战术防御技战术分析模型逻辑技术实践记录2729313335 2023年,AI的应用爆发式涌现,从大模型厂商的应用生态(比如OpenAI GPTs)到无需遵守法规和道德的自训练暗黑大模型(WormGPT),各行业都在争相恐后的投入布局做垂直领域模型应用。有些行业的技术栈彻底被改变了(比如文化传媒行业),在网络安全行业,由于其专业性,有待开发的空间虽然还是很大,但留给我们的时间也不多了。团队内部在攻防领域也尝试过大模型的效果,对攻击样本和威胁分析逻辑进行了训练。同时也对AI安全建设进行了技术框架的梳理。 关于安全服务,我们提供的技术类服务清单,包括但不限于......技术类咨询服务 包括:研发安全建设咨询(SDL流程优化、安全需求咨询、安全设计咨询、安全编码咨询、安全测试咨询、安全评审咨询、应急响应咨询、DevSecOps自动化安全测试体系建设,软件供应链安全建设咨询等),攻防能力成熟度咨询(细粒度红队测试+蓝队安全设备策略优化的紫队优化等)的技术落地服务; 17年专业安全服务经验积累,助力客户提升安全能力。 各安全研究实验室 白皮书内容包含各实验室成果的精选 水滴实验室 星火实验室 分子实验室 紫队攻防演练研究团队:主要方向以攻击模拟(Attack Simulation)和威胁狩猎(Threat Hunting)的研究为主,研究成果有基于ATT&CK的攻击模拟平台,以及紫队视角的实战安全运营防护体系。分析全球数以千计的红蓝对抗成果,将其威胁场景模型化,实战化,运用于度量企业安全风险,持续提升安全运营能力。 软件供应链安全研究团队,方向主要以软件供应链安全建设为主,同时覆盖安全和攻防能力成熟度评估,反入侵和反APT安全能力建设,以及反0day安全能力建设等;并负责定期发布引领业界安全运营能力和安全服务技术能力方向的,网络安全运营能力指南-九维彩虹安全能力系列丛书,以及安全服务技术研究能力白皮书。 红队渗透技术研究团队,主要方向以研究攻防红队技术为主,百场以上国家级,省级攻防对抗优秀攻击队称号,以红队视角评估客户安全防护体系薄弱点,为高端客户提供专业的红队评估服务。实验室成员均为从业多年攻防实战的红队选手,拥有非常完善的攻防经验,为客户的安全防御能力检测提供了强有力的保障。 木牛实验室 千钧实验室 攻防武器化研究团队,主要方向以研究攻防实战武器为一线服务,武器化沉淀工具成果主要有红队自动化攻击平台、互联网攻击面梳理、彩虹能力攻防知识库、漏洞情报资讯、应急分析平台为主;致力于帮助一线攻防人员提升工作效能的同时,为客户解决在新的攻防场景出现的各类安全攻防问题。 专注以内部工具开发,以客户端小工具为主,致力于安全服务一线交付工具的研究、开发工作,提高一线交付效率、质量。 反APT技术栈打造 具体包括Web安全测试辅助工具、比如SQL注入工具、跨平台 Web Shell 管理工具、多种弱口令爆破工具、免杀平台等,同时负责分子实验室内部定期原创工具开发的成果发布。 彩虹九维体系介绍 在今天的网络安全领域,攻防对抗的深度不断演进,一些APT案例显示,高级别的威胁所能感知的痕迹越来越少,对于国家级的攻击行动来说早已经进入跨越维度的对抗。这对拥有重要数据和业务的客户来说,安全需求的宽度和深度变得更加迫切,需要从全景的角度审视自身企业、单位的网络安全风险,对业界来说,这需要各种安全能力的人才齐心协作共同打 造攻防对抗体系。在具体的技能方面,基于我们需要应对挑战的安全能力,可以通过以下彩虹九维知识体系来具象化概述,比如红队要帮客户挖出各种可能的攻击路径,除了攻击队员个人经验,就是武器积累,包括:0day漏洞、免杀马、代理和C2等资源,这些不光需要技术研究还需要经济投入。 也更新了红队作战手册;在绿队方向结合平台的更新我们刷新了售前和交付物料;在青队方面更新了应急溯源指南,在蓝队、暗队等方向也更新了技术栈,在紫队、黄队、白队等方面,都有项目积累。 基于这个背景,在安服内部我们通过彩虹九维知识体系的细分,聚焦研究方向、着力深耕,深度解析彩虹九维体系各细分领域实战技术,助推各方向知识拓展、提升安服团队攻防实战能力、打造专家成长之路。 2023年间,我们在各维度上持续积累,在橙队我们支撑了全年的常态化技术赋能任务;在红队除了实际参与红队任务,还输出了大量实用的知识库物料, 彩虹红队(突破) 2023年间,安服各实验室继续参与红队项目支撑,仅分子实验室就投入超过400+人次的攻防演练和80+人次的裁判担任,其中获得前三名成绩综合占比40%左右,过程中完成了《红队作战手册》的版本更新和优化。 在红队的实战技术研究中,其中之一依然聚焦在短期攻防演练的攻击快速突破技术方面,包括0day漏洞挖掘、内网自动化渗透、工具武器开发、社会工程学等,从而为快速获得攻防演练加分提供必要的技术支撑。 2023年间,安服各实验室为红队任务储备了必要的0day漏洞,仅分子实验室成员全年共挖掘0day漏洞150+个,其中绝大部分为白盒源码审计方式挖掘,小部分为黑盒测试方式挖掘。 漏洞类型主要为任意文件上传、SQL注入、远程代码执行、反序列化、任意文件读取、任意文件下载、越权逻辑漏洞、权限绕过、任意文件写入等。 除了红队项目支撑、漏洞挖掘和武器开发,红队成员在红队标准化能力建设中也同步展开知识库打造。参考ATT&CK框架,比如针对外网打点中经常遇到的常用组件漏洞利用介绍,并配套输出对应工具包,按照攻击类型分类,整合工具包及使用介绍截图。2023年间,其中红队北分团队更新物料包涉及知识体系包括:边界权限26篇,约40万字,漏洞挖掘25篇,约15万字,内网渗透70篇,约35万字。 已更新的内容包括边界权限、内网渗透、漏洞挖掘 等 技 术 框 架 。 比 如 在 漏 洞 挖 掘 中 梳 理 高 危 函 数CheckList,及写法样式,使其更直观易懂。 2024年,安服红队将继续进行实战攻防需要的0day储备、工具打造,以及红队战术手册刷新,针对各种场景的攻击技战术打磨,并通过内部实战靶场进行常态化演练等方式沉淀攻防对抗的经验。 今天,安服内部已经积累了大量的专题课件,并已分类投放到安恒学堂上,以视频+PPT的组合供一线服务伙伴参考和充电。在课件的规划上,安服赋能中心协同安服、服务中心内部资深专家细粒度打造彩虹九维各方向知识体系,比如红队,又细分为0day挖掘能力、内网渗透能力、工具开发能力、社工实施能力等专家能力画像,对标打造专家成长之路的知识体系,从框架体系到方法论、到技术实践的全面赋能,目前安恒学堂安服相关课件积累已经超过550+。 彩虹橙队(赋能) 2023年安服内部共发起了60+议题的分享,从2-6月的春耕培训和延伸计划开始,以彩虹主题专场继续,具体有:7月暗队专场,8-9月绿队专场,10月蓝队专场,11月青队专场,12月黄队专场。持续构建和展示知识体系的搭建。 在安服内部,常态化的赋能组织工作主要有彩虹橙队运营,具体事务包括:适用于新伙伴(实习同学、社招新伙伴等)入职后90天内的自学习课程规划,安服大部门每周常态化知识分享、年度培训计划等组织规划和实施。 2024年4月,赋能中心内部发布了新一版本的《2024安服赋能分享白皮书v2.5》,除了课件的更新,更聚焦新人成长和专家技术栈的打造,同时启动实战靶场的应用,为安服全员提供更丰富的红队、蓝队、青队等实践体验。 安恒自己全流量进行回溯分析;青队(应急):在内网渗透结束后,上服务器对攻击痕迹进行排查应急处置 等 。 部 署 的 安 全 设 备 包 括 : 防 火 墙 、 堡 垒 机 、APT、WAF、SOC、AiLPHA、EDR、AXDR、HD-BAS等。同时在2024年将持续更新和优化。 通过搭建内网域渗透实战靶场环境,并和研发中心-安全能力研发部一起在内网环境中部署安恒安全设备,开启对红队(攻击)、蓝队(防守)、青队(应急)能力的实战训练;具体包括红队(攻击):进行内网渗透攻击;蓝队(防守):对内网渗透中,基于 彩虹黄队(建设) 2023年间,彩虹黄队通过研究行业需求、解决方案、实施方法,通过项目实践陆续转化为服务标准化工具包,持续应用于项目攻坚与交付。在项目支撑工作同时,展开安全咨询能力研究和传递的工作,主要交付合 规体系技术服务标准化工具包,目前已经完成27类安全合规技术体系服务工具包的开发工作。包括安全运营、数据安全、开发合规和规划等技术交付物。 彩虹黄队主要聚焦于合规体系的技术落地,比如在安全运营的技术体系方面,对运营集成架构进行设计,将业务场景需求,转化为产品和服务的解决方案;针对AiLPHA模型设计,通过整体架构分析和特定业务场景模型设计,在告警阶段实现降噪。通过模型配置,提升原有安全风险监测能力;以及SOAR业务分析,分析SOAR与关联系统的接口,设计流程,编排剧本,实现业务联动。 合规体系包括:安全合规方面,比如关键基础设施安全、基于ITIL的运维管理体系建设、业务连续性管理体系建设、等级保护2.0等;安全运营方面,比如安全
