攻防演练第四年的一些碎碎念

0x0 关于趋势洞察

        年初在做攻防趋势的总结的时候，就曾提到一个观点在日趋成熟的对抗体系下真正的有效攻击场景(打点成功)粗略可以分为四个主要的场景：

• 1.常见Web应用、OA/CMS、网络/安全设备的0day或者Nday
• 2.基于社交网络的钓鱼/鲸、包括微信、邮箱(web/SMTP)、支付宝、脉脉、招聘网站等多途径
• 3.基于失陷账号/凭据的入侵、典型场景如一些Github/CSDN的code中的敏感信息、弱口令、规律性密码等
• 4.基于农村包围城市的思路，从防护相对比较弱的边缘出发，例如下属单位、云上资产等；

        从今年的hvv情况来看，总体结论符合预期；同时今年的hvv情况，整体有效攻击的占比大幅度降低，而明显的漏洞探测反而会导致攻击资源IP被封堵，导致很多蓝队Blueteam在值守的过程中出现了安全设备"静悄悄"的情况；

0x1 攻击手法总结

        一些不一样的是攻防场景变化是攻击手法形成二级分化的现象，有效攻击基本无法检测(0day、钓鱼、账号凭据)，能够检测到的大部分都是无效攻击的扫描尝试(各类RCE的攻击)；并且伴随着防守方普遍的异构、多技术类的安全产品、专业的安全服务配合，导致在RedTeam红队需要花费大量的精力来构造攻击路径与绕过手法，且被溯源的风险很高；

        从有效的攻击手法0day与钓鱼的技术分析来看，目前已经面临几个比较大的窘境：

• 1.0day的价值正在递减，“一次性效应”十分明显；攻击者即使有0day、数量也相对有限；要么舍不得用、要么一用就必须能够产生最大效应；否则在当前的环境下，一个0day很快就会被蓝队给分析出来；后续就无法再产生更加的价值了;
• 2.钓鱼的场景的复现、目前来看是缺少新的套路，钓到"大鱼"的概率越来越小；钓鱼场景的模板/套路缺少更新，结合HW的特殊的时期与用户侧的宣贯，安全意识的提升，“上饵"的鱼价值呈现边际效应递减；

        从用户的反馈来看参与国家级hvv的客户群体能够接受、当前的安全设备无法检测0day、钓鱼、账号、数据泄露普所导致的成功攻击事件的事实；但是用户期望的是能够一个平台和方案，可以实现快速/便捷的调查功能，可以辅助他对攻击入口、影响面、重点资产、攻击链路径进行有效的判断；基于此背景、此类用户群体的调查场景会成为最关注的功能项；

        今年的HW也同时新增了一些变化的点，尤其是在数据安全的范畴；从这个维度出发有5点需要重点关注：

• 1.首先是需要保障已泄露的数据不会被二次利用；该场景主要是历史的数据泄露之后，攻击者获取到相关的信息之后能够进行加工，推测、钓鱼等；
• 2.能够识别到针对于数据库账号的暴力破解、持久化后门的攻击场景
• 3.其次是保障、查询调用数据查询的账号不会被接管(take over)，通过获取到一些特殊用户的权限即可以查看到到全部/部分的数据；
• 4.确保受限的用户只能查看到受限的数据，关注越权访问、恶意拖库、遍历接口等情况
• 5.最后是设置所有的数据查询，都需要凭据，避免未授权访问数据的情况出现；

0x2 防守方蓝队的变化

        安全厂商普遍都已经参与过3-4次的护网，当前各家安全产品针对hvv特殊场景都进行了一定的技术倾斜，故整体安全能力侧在未出现真实的入侵成功的场景(0day、钓鱼、凭证窃取)，产品与产品之间很难从用户感知上拉开较大的差距、尤其是在hvv场景下用户往往更多的关注于失陷事件(外联、横向)、攻击成功事件(RCE攻击成功)这二类，而且目前攻击成功状态标签(结果)各厂家都基本已经具备、用户很难一下子看清楚差异；失陷外联、横向的事件往往以业务误报的情况较多；基于此背景、从产品侧来看用户普遍认为各家产品的安全能力同质化情况严重，各有千秋的情况会长期存在；

        由于安全产品出现成熟、易用性、安全能力、交互体验的提升，用户或多或少自己能够进行简单的研判和分析，部分用户甚至能达到专家层面；故对仅能监测研判处置的蓝队需求呈现下降趋势，对攻击背景的变化、能够调查取证、溯源得分甚至能够协助做安全查漏补缺的专家蓝队需求量大幅度增加；产品的易用性，专业性的提升、进一步促进了用户的成长；