量子位|如何发现威胁的蛛丝马迹？，网络空间危机四伏( 三 ) 云风发自凹非寺量子位编辑|QbitAI核心

数据源为进程监控，进程命令行参数， API监控， PowerShell日志。
5、ScheduledTask攻击
程度提出，攻击者使?at、schtasks和Windows任务计划程序在某个时间执?程序或脚本。如果使?RPC（通过身份验证），并且?件和打印机共享都被打开的情况下，还可以在远程系统上执?计划任务；在远程系统上执?计划任务通常要求该成员是Administrators组的成员；攻击者可以在计划任务中执?恶意程序，从?实现持久化，获得SYSTEM权限，或者在指定帐户的上下?中运?进程。

文章图片
针对入侵分析，程度提出在Windows系统下，管理员权限，攻击命令为创建计划任务。

文章图片
而针对检测分析，数据源为Windows事件日志，监视进程和命令?参数以了解可?于创建任务的操作。

文章图片
基于以上探讨，程度总结出“威胁狩猎系统=高质量数据+异构数据源的连接+强大的分析引擎+灵活的分析语言” 。
深挖难点：空间测绘精准感知，筑牢安全防御体系
万物互联，攻击无孔不入，战场无处不在。伴随5G、IPv6、人工智能、云计算等新技术的涌入，数以百亿的资产设备暴露在未知威胁之下，世界级安全风险呈超指数级倍增。如何利用网络测绘手段精准、实时、智能的感知网络空间安全态势，及时感知威胁、识别定位资产，成为网络安全防御体系重要一环。
作为威胁分析、安全研究方面的专家，华顺信安联合创始人、首席安全官的邓焕就网络空间测绘技术现状进行了分析，并从攻击者视角分享了来自黑灰产业的真实攻击事件及华顺信安在网络空间测绘技术方面的思考和实践。
邓焕提出，当前，网络空间测绘技术存在攻防体系的不对称，如在技术层面防御通常比攻击慢半拍；信息不对称，攻击者>安全人员等问题，需具备攻击者视角。如以攻击者视角利用全网探索探索引擎快速搜集业务系统ICO、CERT证书、子域名、同IP/IP段信息。
邓焕强调，从攻击者视角来看，如果要入侵一台服务器，要从开放的端口服务、组件下手。那么第一步做的就是网络资产暴露面的梳理，主要围绕企业关键字如域名、IP、logo、ICP备案号、证书进行信息收集，以发现更多的企业资产，寻找突破口拿下目标。

文章图片
邓焕谈到，随着网络资产数字化，用户正面临着监管资产难以快速、全面、精准地管理，传统产品扫描缓慢、无法第一时间发现安全风险及网络威胁等痛点。目前阶段防守方大多抵挡不住来自黑客的攻击，主要是因为攻击者关心的永远不是用户的IP资产，而是用户IP资产上对应的漏洞。

文章图片
攻守有道，攻与守本身作为一对对立统一的矛盾，在互相对抗的同时又互相促进。邓焕认为这就意味着在数字时代局势下要转变以往的网络安全策略。只有实现网络资产的精准扫描，快速补漏，才能立于不败之地。

文章图片

文章图片
邓焕最后强调道，网络空间资产安全防护不足主要原因是我们甚至不知道服务器的存在，而网络空间测绘技术便解决了这个问题。近年来，华顺信安聚焦网络空间测绘技术，旗下的FOFA平台搜索引擎拥有全球联网IT设备更全的DNA信息。可以把全球暴露在公网上设备的端口、协议、应用，甚至漏洞进行纵深的扫描，对资产的安全进行建模刻画。相信未来网络空间测绘技术或将成为网络安全的基础技术。