2023-2024安服安全技术研究白皮书

2023-2024 安服安全技术研究白皮书 WhitePaperonSecurityServicesSecurityTechnologyResearch 安恒信息官方微信安恒信息安全服务公众号官方微信公众号 主编 副主编执行主编 美术编辑 范渊 袁明坤韦国文刘蓝岭 徐礼庄文生王盛昱陈彦羽张续腾罗泽林陈冠宇马俊李康柏马可王拓张建盛张斌郑毓波钱智成 2023-2024 安服安全技术研究白皮书 WhitePaperonSecurityServicesSecurityTechnologyResearch 前言Preface 目录Contents 2022年6月，我们首次发布了《2021-2022安服安全技术研究白皮书》，围绕彩虹九维技术体系对2021年间安服团队各实验室技术研究成果进行了简约的呈现。白皮书内容主要包含彩虹九维：红队(突破)、橙队(赋能)、黄队(建设)、绿队(改进)、青队(处置)、蓝队(防御)、紫队(优化)、暗队(情报)、白队(流程)的理念和实践积累介绍。同时也对2022年的研究计划做了简约的指向，包括：反APT安全能力建设、攻防能力成熟度评估、软件供应链安全建设、反0day安全能力建设等，以及具体的红队、蓝队、紫队、青队、绿队、暗队技术栈等打造。 2023年4月，我们再次更新了《2022-2023安服安全技术研究白皮书》，围绕彩虹九维技术体系对2022年间安服团队各实验室技术研究成果进行了内容更新呈现。不同于上一版本的简约，这次我们进行了内容丰富，并特别介绍了我们围绕反APT技术栈的一些研究和想法，通过该技术栈的积累扩展了更多的安全能力，包括对攻击生命周期本身的认知、攻击和防御技战术、分析模型逻辑，软件供应链安全解决方案等，更多内容可以探讨并展现。 2023年，AI的应用爆发式涌现，从大模型厂商的应用生态（比如OpenAIGPTs）到无需遵守法规和道德的自训练暗黑大模型（WormGPT），各行业都在争相恐后的投入布局做垂直领域模型应用。有些行业的技术栈彻底被改变了（比如文化传媒行业），在网络安全行业，由于其专业性，有待开发的空间虽然还是很大，但留给我们的时间也不多了。团队内部在攻防领域也尝试过大模型的效果，对攻击样本和威胁分析逻辑进行了训练。同时也对AI安全建设进行了技术框架的梳理。 2024年4月，按既定规划，我们再次更新了 摘要《2022-2023安服安全技术研究白皮书》 03反APT技术栈特别介绍 04技术研究和最佳实践 27 攻击生命周期 39 研究成果输出和能力介绍 29 攻击技战术 41 软件供应链安全 31 防御技战术 45 反APT和未知威胁 33 分析模型逻辑 47 反0day和漏洞对抗 35 技术实践记录 51 攻防能力成熟度评估 53 攻防演练之红蓝对抗 55 大运亚运安保特别介绍 57 AI建设安全特别介绍 63 安服赋能体系特别介绍 65 关于我们 67 版本更新 《2023-2024安服安全技术研究白皮书》，对2023年间安服团队各实验室技术研究成果进行了内容刷新。我们深知，在网络安全领域，既有攻防对抗的现实需求、数据安全等合规要求、也需要面对AI对抗的新挑战。我们不惧挑战，一直在成本可控的条件下进行技术探索，和聚焦提升安全能力的降本增效实践。欢迎正在阅读的您多提宝贵意见和建议，助力内容和阅读体验的提升，谢谢您的支持。 01 各安全研究实验室 03分子实验室介绍 04星火实验室介绍 04水滴实验室介绍 04千钧实验室介绍 02 彩虹九维专项实践 07彩虹红队、彩虹橙队 11彩虹黄队、彩虹绿队 15彩虹青队、彩虹蓝队 19彩虹紫队、彩虹暗队 23彩虹白队、更多方向 关于安全服务，我们提供的技术类服务清单，包括但不限于...... ·合规安全建设咨询服务 ·安全开发和运维咨询服务 ·安全能力成熟度评估服务 ·数据安全风险评估和咨询服务 ·安全意识培训服务 ·细粒度资产管理服务 ·常态化漏洞扫描监测服务 ·常态化威胁检测分析服务 ·安全设备配置建议服务 ·常态化攻击威胁分析服务 ·常态化安全运营服务 ·红队攻击测试服务 ·红蓝对抗演练服务 ·攻防能力成熟度评估服务 ·系统上线前安全测试服务 ·细粒度安全加固服务 ·网络钓鱼测试服务 ·安全技能培训服务 ·日志安全分析服务 ·应急流程建设服务 ·应急响应演练服务 ·攻击溯源分析服务 ·威胁情报平台建设服务 ·威胁情报通告服务 ·供应链安全评估服务 ·威胁狩猎响应服务（反入侵） ·定向漏挖掘服务（反0day） ·攻防武器平台建设服务（自建红队）·高级威胁分析服务(反APT) 包括：研发安全建设咨询（SDL流程优化、安全需求咨询、安全设计咨询、安全编码咨询、安全测试咨询、安全评审咨询、应急响应咨询、DevSecOps自动化安全测试体系建设，软件供应链安全建设咨询等），攻防能力成熟度咨询 （细粒度红队测试+蓝队安全设备策略优化的紫队优化等）的技术落地服务； 提升威胁防御能力 包括：Web、APP应用，CS架构组件，工控、车联网，区块链等多种网络架构和业务形态的白盒（源代码）、黑盒（无源代码）、灰盒（白+黑方式）安全测试服务，输出安全测试报告（包含安全加固建议）； 聚焦技术栈构建和落地 提升安全合规能力 提升威胁态势感知能力 技术类咨询服务 安全测试类服务 聚焦安全漏洞的缓解 提升威胁溯源能力 红蓝攻防演练服务 包括：攻防演练前准备阶段（总体防御体系优化建议、事件处置流程演练、攻防实战演练、安全加固建议等），攻防演练正式防守阶段（威胁监测专家支持、溯源专家支持、应急响应专家支持、威胁情报支持等），攻防演练结束阶段（技战术报告编写、复盘报告编写等）的主防和协防服务； 聚焦攻防实战能力建设 根据需求定制服务 包括：单次服务（测试类、演练类、任意服务项单次需求），年度服务（驻场服务、安全运营、任意多项服务组合），根据现状评估建议服务（培训服务、测试服务、演练服务、安全建设咨询服务、应急溯源服务等）; 聚焦快速安全能力建设 求 定制 包括：对应IPDRO模型各阶段技术的MSS&SaaS服务（互联网暴露面检测、资产威胁检测与分析，安全事件处置，远程应急响应，威胁情报订阅等远程支撑服务，输出服务报告），远程和本地结合的安全运营服务。 MSS安全运营服务 提升威胁对抗能力 聚焦安全运营效能提升 17年专业安全服务经验积累，助力客户提升安全能力。 各安全研究实验室 白皮书内容包含各实验室成果的精选 分子实验室 软件供应链安全研究团队，方向主要以软件供应链安全建设为主，同时覆盖安全和攻防能力成熟度评估，反入侵和反APT安全能力建设，以及反0day安全能力建设等；并负责定期发布引领业界安全运营能力和安全服务技术能力方向的，网络安全运营能力指南-九维彩虹安全能力系列丛书，以及安全服务技术研究能力白皮书。 赋能中心运营和安全研究白皮书发布 反APT技术栈打造 彩虹九维体系打造 红队 突破 橙队 赋能 黄队建设 暗队 情报 白队 流程 绿队改进 紫队 优化 蓝队 防御 青队处置 星火实验室 紫队攻防演练研究团队：主要方向以攻击模拟(AttackSimulation)和威胁狩猎(ThreatHunting)的研究为主，研究成果有基于ATT&CK的攻击模拟平台，以及紫队视角的实战安全运营防护体系。分析全球数以千计的红蓝对抗成果，将其威胁场景模型化，实战化，运用于度量企业安全风险，持续提升安全运营能力。 千钧实验室 专注以内部工具开发，以客户端小工具为主，致力于安全服务一线交付工具的研究、开发工作，提高一线交付效率、质量。 具体包括Web安全测试辅助工具、比如SQL注入工具、跨平台WebShell管理工具、多种弱口令爆破工具、免杀平台等，同时负责分子实验室内部定期原创工具开发的成果发布。 水滴实验室 红队渗透技术研究团队，主要方向以研究攻防红队技术为主，百场以上国家级，省级攻防对抗优秀攻击队称号，以红队视角评估客户安全防护体系薄弱点，为高端客户提供专业的红队评估服务。实验室成员均为从业多年攻防实战的红队选手，拥有非常完善的攻防经验，为客户的安全防御能力检测提供了强有力的保障。 木牛实验室 攻防武器化研究团队，主要方向以研究攻防实战武器为一线服务，武器化沉淀工具成果主要有红队自动化攻击平台、互联网攻击面梳理、彩虹能力攻防知识库、漏洞情报资讯、应急分析平台为主；致力于帮助一线攻防人员提升工作效能的同时，为客户解决在新的攻防场景出现的各类安全攻防问题。 彩虹九维体系介绍 在今天的网络安全领域，攻防对抗的深度不断演进，一些APT案例显示，高级别的威胁所能感知的痕迹越来越少，对于国家级的攻击行动来说早已经进入跨越维度的对抗。这对拥有重要数据和业务的客户来说，安全需求的宽度和深度变得更加迫切，需要从全景的角度审视自身企业、单位的网络安全风险，对业界来说，这需要各种安全能力的人才齐心协作共同打 造攻防对抗体系。在具体的技能方面，基于我们需要应对挑战的安全能力，可以通过以下彩虹九维知识体系来具象化概述，比如红队要帮客户挖出各种可能的攻击路径，除了攻击队员个人经验，就是武器积累，包括：0day漏洞、免杀马、代理和C2等资源，这些不光需要技术研究还需要经济投入。 基于这个背景，在安服内部我们通过彩虹九维知识体系的细分，聚焦研究方向、着力深耕，深度解析彩虹九维体系各细分领域实战技术，助推各方向知识拓展、提升安服团队攻防实战能力、打造专家成长之路。2023年间，我们在各维度上持续积累，在橙队我 们支撑了全年的常态化技术赋能任务；在红队除了实际参与红队任务，还输出了大量实用的知识库物料， 也更新了红队作战手册；在绿队方向结合平台的更新我们刷新了售前和交付物料；在青队方面更新了应急溯源指南，在蓝队、暗队等方向也更新了技术栈，在紫队、黄队、白队等方面，都有项目积累。 红队突破 橙队赋能 黄队建设 绿队改进 青队处置 蓝队防御 紫队优化 暗队情报 白队流程 围绕网络杀伤链、攻击生命周期、ATT&CK战术等打造细粒度知识体系，研究方向人员可以聚焦0day漏洞挖掘、红队工具开发、内网漫游和社工实战技术积累做输出。技术框架摘取：CyberKillChain（网络杀伤链）、CyberAttackLifecycle（网络攻击生命周期）、MITREATT&CK 围绕彩虹九维知识体系打造内部赋能计划，梳理新人到专家的知识路线图，拉通各颜色知识大纲的互补，避免各自重复造轮子。阶段性开展红队、蓝队、青队、绿队系列等赋能计划，安服内部实战靶场建设等。技术框架摘取：BTPE模型基本理论（Basic）、自学习实操（Training）、项目标准（Project）、考核标准（Examination） 围绕国家法规和标准、结合最佳实践进行合规体系细粒度解读，用于打造实战化的解决方案和标准化物料输出，从行业到细分领域的安全建设能力成熟度评估标准输出，以及一些行业新标准和动态跟踪等。技术框架摘取：COBIT、ITIL、C2M2、等级保护要求、关键信息基础设施保护合规体系建设 围绕研发安全体系打造流程咨询和安全一体化产品解决方案，输出细粒度的各种安全测试技术栈、以及自动化工具链组合方案、软件供应链安全解决方案，提供研发安全流程建设咨询服务和安全产品，同时也参与行业标准的主编等。技术框架摘取：SDL（安全开发生命周期）、DevSecOps（开发安全运维一体化）、OWASP软件供应链安全 围绕应急响应流程最佳实践、打造细粒度的技术体系，在应急工具、应急溯源能力，溯源情报积累等方面做输出，物料包括恶意样本分析基本操作流程手册、应急响应现场勘查取证信息收集指导手册等。技术框架摘取：PICERS（准备、识别、遏制、根除、恢复、总结）Prepare、Identify、Contain、Eradicate、Restore、Summarize 围绕积极防御理念打造蓝队细粒度的知识体系，对防御体系中涉及的产品、服务进行综合的解决方案设计，同时聚焦