攻守雙方必須有對彼此敵情、行動、意圖等的分析，在行動中才能知得失之計。在《孫子兵法·行軍篇》中講，兵非貴益多也，唯無武進，足以并力、料敵、取人而已。也就是說在作戰前，必須對彼此所處的位置和可能的行動做到胸中有數。

《孫子兵法·用間篇》有云：成功出于眾者，先知也。意指之所以一出手就能戰勝敵人，功業超越眾人，就在于能預先掌握敵情；同時，又補充到：先知者，不可取于鬼神，不可象于事，不可驗于度，必取于人，知敵之情者也。是說要事先了解敵情，不可求神問鬼，也不可用相似的現象作類比推測，不可用日月星辰運行的位置去驗證，一定要取之于人，從那些熟悉敵情的人的口中去獲取。

在實戰攻防演練活動持續對抗場景中，所謂的“先知”即指威脅情報；“必取于人”中的“人”即是經受過實戰考驗的可靠的威脅情報產品，以及擁有豐富經驗的專家。

本期為【2023安天攻防演練廟算記】第三章：情報先行。

威脅情報正是網絡攻防戰場上“知己知彼”“掌控敵情”的關鍵，特別是在攻防對抗中，防守方在明處，防護的資產則是一個不能移動和隱藏的靶標；而攻擊方躲在暗處，利用攻擊行動匿名性、攻擊針對性、攻擊自由度、人性弱點等，總是可以找到突防機會。依靠威脅情報作為支撐，在提前掌握攻擊方的攻擊技術、攻擊手法、攻擊意圖等方面“敵情”的基礎之上，可有效縮短防御響應周期并提高針對性，對攻擊方的攻擊行為和攻擊動作上進行阻斷，驅動決策完善安全防御體系，提前部署防御策略，從而提高防御能力。

同時，在這個過程中，時間是非常重要的因素，因為攻防雙方都會在指定時間內，模擬更接近于戰時的對抗狀態，投入足夠多的攻防資源參與對抗。因此，制勝的防守不僅僅取決于技術，還取決于組織的協作和應急響應的能力；落實到威脅情報，即其供給的精準性和快速性至關重要。

所以，安天專項威脅情報服務立足于攻防對抗實戰場景，打磨團隊的戰時情報作業流程，不斷提升戰時狀態下的情報生產能力，通過提供更有價值的威脅情報和更專業的解決方案，以提高防守客戶單位的安全保障能力，幫助客戶更好地應對攻防演練的安全挑戰。

圖 安天實戰攻防演練專項威脅情報服務示意圖

安天實戰攻防演練專項威脅情報服務，主要通過以下４種手段達成客戶有效安全價值：

1. 提供實時最新匯聚的情報（包含機讀情報和情報交換組件產品），支撐客戶提前將情報更新到防御阻斷策略，讓情報價值真正落實進防護體系中，避免遭受相關威脅源攻擊；

2. 提供分析輔助工具，把情報順暢地提供給安全分析人員使用。針對發現的威脅線索，如可疑IP、域名、URL、郵箱、文件HASH等，可在線查詢到詳盡的威脅情報信息，幫助安全分析人員溯源并得分；

3. 針對攻防演練過程中暴露出的0Day、1Day等，收集樣本信息，驗證樣本和漏洞，發布最新的查殺方法、修補建議；

4. 提供客戶本地的情報生產和消費能力，包括對抗狀態下的情報生產能力，同時支持多種方式的生成和分發流程，以滿足客戶各類實戰場景需求。

安天針對部分客戶網絡策略更為嚴格的場景，進行了專門的設計：考慮了隔離網不能第一時間更新情報庫的情況，基于近23年反病毒引擎技術的耕耘，安天為客戶提供了惡意執行體的特異性向量情報，基于執行體的惡意行為和同源特征，即使在隔離網絡條件下，也有良好的能力展現。

在實戰攻防演練場景中，防守方需要面對攻擊方持續多維的攻擊，所以，充分地了解攻擊方的整體情況，才能根據攻擊特點建立完善的、能有效抵御攻擊威脅的安全防護體系。針對攻防演練各個階段中，專項威脅情報服務的價值如下。

1.啟動階段：資產清查，暴露面情報收集

安天將基于防守客戶單位的業務場景為客戶做資產梳理和網絡安全防護調研，并對客戶的網絡安全架構進行評估，給出優化方案。

期間可運用安天捕風蜜罐系統在互聯網部署ERP、OA、VPN系統、虛擬化桌面系統、郵件服務系統等高交互蜜罐資產，并選擇部分蜜罐資產預置不同的弱口令、漏洞等誘騙攻擊者；即使攻擊方掃描蜜罐資產并進行漏洞利用，捕風蜜罐系統亦可無感知反制攻擊方。同時，散播虛假信息“蜜餌”，干擾攻擊者收集情報，使其選擇攻擊目標時產生誤判，指數級地增加攻擊者的攻擊成本，延緩攻擊進程的同時，將攻擊者不斷誘導引入蜜罐陷阱，從而誘捕攻擊者，保護真實資產。

2.備戰階段：結合脆弱性情報進行加固，并把情報消費能力落實進防護體系

安天會通過基線檢查、漏洞掃描、滲透測試等各種方式對目標系統進行安全檢測和安全加固，并通過威脅檢測與處置服務分析漏洞。

同時，還可利用排查到的資產及系統信息，通過威脅情報查詢系統找到目標系統的暴露面，從而有針對性地進行加固。如交互式查詢了解已知的威脅線索，包括可疑IP、可疑域名、可疑URL、可疑郵箱，以及可疑的文件HASH，安天威脅情報綜合分析平臺（ATID）將展示詳盡的威脅相關情報。幫助分析人員縮短情報搜集與分析處理的時間，提升工作效率。

查詢IP：支持對億級的互聯網IP地址詳細信息進行查詢，包括IP的相關情報、地理位置、開放服務和端口信息、IP反向解析域名等信息；

查詢域名：支持對數十億的域名詳細信息進行查詢，包括域名的相關情報、Whois信息、子域名、域名解析記錄和開源情報等信息；

查詢URL：支持對億級的URL威脅情報進行查詢；

查詢郵箱：支持對數千萬左右的郵箱威脅情報進行查詢；

查詢文件HASH：支持對數十億的樣本詳細信息進行查詢，包括了樣本的相關威脅情報、靜態信息、動態行為信息、多引擎檢測結果、數字證書等等。

3.迎戰階段：在外部打通情報視野，在內部落實情報生產分發

正式進入實戰攻防演練對抗階段時，安天將基于自身的威脅情報平臺和蜜罐為防守客戶單位提供威脅情報服務，協助客戶全方位掌握演練期間的攻擊相關威脅情報：

1. 攻擊IP情報

防守客戶單位可以通過安天云端威脅情報中心實時獲取最新的攻擊IP威脅情報，同時可以將這些攻擊IP更新到防御阻斷策略里，起到提前防御阻斷的作用，有效避免被使用這些攻擊IP的攻擊方入侵。

2. 攻擊手段情報

每日提供最新的攻擊手段威脅情報，包括0Day漏洞、遠程控制木馬、物理接觸攻擊手段、釣魚攻擊手段等，防守客戶單位獲得情報后可以提前防御，有效避免因這些攻擊導致系統被攻陷，進而造成被持續扣分出局的情況。

3. 溯源分析查詢

當監測到可疑IP、可疑域名、可疑URL、可疑郵箱、未知文件時，可以通過安天追影威脅情報平臺（TIP），快速查詢分析得到詳盡的威脅情報信息，幫助分析人員縮短情報搜集與分析處理的時間，提升工作效率。

4.總結階段：匯總情報

在實戰攻防演練活動結束后的總結環節，安天將為防守客戶單位復盤活動期間的攻防情況，對活動期間攻擊成功的事件和防守成功的事件進行復盤。安天將根據活動過程中的工作記錄，回顧演練工作的全過程，整理與安全事件相關的各種信息，進行總結，除了為客戶提供網絡安全方面的措施和建議，還將協助客戶建立自己威脅情報庫，完善安全防御機制，優化安全防護體系。

專項威脅情報服務價值

1. 全量威脅情報獲取，通過與安天威脅捕獲系統聯動，在發現攻擊前期行為后，對攻擊樣本進行情報檢索查詢和關聯，發現更多攻擊線索。

2. 基于威脅情報關聯分析與惡意代碼同源性分析方法，結合海量威脅知識庫，還原威脅事件和攻擊手法等信息，支撐安全分析人員對事件追蹤溯源。

在2022年大型實戰攻防演練活動中，安天專項威脅情報服務為某客戶單位監測并阻斷網絡攻擊高達近4萬起，溯源加分500分。

附錄：關鍵產品價值簡介

下期預告

下期為【2023安天攻防演練廟算記】第四章：無通其使。

將分享安天如何針對釣魚社工郵件提供針對性的防護措施，有效支撐防守客戶單位網絡郵件系統，提升防御能力。