因利制权，从孙子兵法看主机安全的攻防艺术 – 作者:杰思安全Majorsec

网络安全的本质是攻防对抗，是一场战争。虚拟的网络安全与现实的国土安全，在攻防对抗上是一样的。有攻防，就有敌我；有敌我，就有动机、有谋略、有战术。被奉为“兵学圣典”的我国古代军事哲学大作《孙子兵法》，对当前的网络信息安全战争，也有着划时代的指导意义。

网络安全的攻防已经呈常态化。无论是日常的安全监测，还是实战化的攻防演练，在网络各处，攻防战争随处可见。攻防双方摩拳擦掌，严阵以待。对攻方来说，蛰伏暗处、攻其不备，随时出击，偶尔还来个0day大招让守方防不胜防；对守方来说，眼观六路、耳听八方，追堵围截，十八般武艺各显神通。道高一尺、魔高一丈的较量，从未间断。

主机，最后的防线，最重要的战场

从整个攻防行动来看，主机，是最后一道防线，也是最重要的战场。这是排兵布阵、攻防作战、突袭埋伏、杀敌对抗等活动的直接发生地，也是攻方最终的目标所在。守住主机，则守住了生机，还能扭转形势，伺机反扑；主机失陷，则目标被推，全线崩溃。

当前，攻防形势已经发生了剧烈的变化，传统的网络攻防已向高级攻防对抗转变，不再是边界一道墙就能固守金汤了。攻击者绕开边界、网络、云侧的防御手段，直指主机要害。

如何保全守住主机这个最后的战场呢？

从攻击者的角度来看，可以将最终目标分解成一个个的小目标，将入侵行为分解成一个个独立的入侵行为，每一个入侵行为基本都由“探测-入侵-实施”三个阶段组成。

–探测，攻击者在攻打目标之前，需要对网络进行前期的探测。通过主动探测或被动探测，搜集关于目标组织及其资产的信息，找到系统的脆弱点，这也是进攻的突破口。

–入侵，攻击者进入目标的过程，常见的有网络安全漏洞、暴力破解、社工等手法。在这一众入侵方式中，最著名的当属0day漏洞。从最近的网络攻击来看，0day漏洞让无数安全防御产品失效。手握0day漏洞，基本就是指哪打哪，无往不利。

–实施，是黑客进入目标后进行的一系列操作，攻击者在这个阶段可以进行很多种破坏行为，比如植入后门、本地提权、获取敏感文件、横向移动等。攻击者要在此收集更多的数据，以获得更高的权限。这也是影响面最大的阶段，

实施完成，获得更高的权限后，便开始进攻下一个小目标，开始新一轮的探测。

通过“收集数据-获得权限-收集更多数据-获得更高权限”这样的螺旋式迭代更新，攻击者得以不断深入系统内部，最终抵达目标主机。

势者，因利而制权也

面对螺旋式的迭代进攻，可以从多个节点去观测，在发现异常时及时阻断入侵链条。杰思将古代兵法智慧与现代安全防御理论相结合，融入新一代主机安全产品，强调因利制权。

势者，因利而制权也，即善于抓住瞬息万变的有利时机，而采取一系列灵活机动的应变措施。

杰思旗下的新一代主机安全响应系统，杰思猎鹰通过对“操作系统持续地检测与响应”，借助EDR、CWPP、自适应微隔离、深度溯源等创新主机安全技术，有效防御0day漏洞、无文件攻击等未知威胁。

通过操作系统定点监控和行为动态跟踪，对主机安全环境进行持续检测，寻找攻击可能进行的迹象，结合意图、上下文、活动序列等，及时察觉主机异动；

发现主动异动的第一时间，实时告警，并进行智能威胁响应，实现操作系统级立体不间断的响应处置；

自适应、细粒度微隔离策略，关联工作负载，可实现基于主机的最小化控制；

深度溯源，能还原攻击发生的时间、地点、影响范围等各个细节，锁定威胁源头，为调查取证提供详实的数据；

针对重大项目的安保，提供专家驻场等服务，形成天时地利人和的纵深防御。

通过一系列多方位的检测与响应，全面覆盖ATT&CK攻击框架各阶段的核心关键攻击指标，尤其是在初始访问、执行、持久化、提权、防御规避、横向移动等阶段，帮助用户因利制权，创造优势，进而全面掌控主机安全，获得攻防战争的主动权。

来源：freebuf.com 2021-03-23 11:26:30 by: 杰思安全Majorsec