ADconf 2023安全大会｜圆桌对话实录

那我们首先从攻击角度聊一下近几年一些攻击趋势变化，首先从情报方面来看，那赵总这边是微步在线技术合伙人，可以率先分享一下相关的趋势

我们属于防守方，能看到各位攻击大佬每年的攻击动作，我们能看到的较多的是首先是钓鱼和社工，之后类似供应链也比较热门，内网打身份，目前攻击身份和集权系统很常见，例如中安网星做的身份防护，包括工控。我们现在看到的趋势是红队的同学现在越来越摸索业务，这点非常好，只有了解业务、组织架构后才可以了解打哪怎么打、缝隙在哪等。

今天很多嘉宾分享了针对集权、权限管控这些身份类攻击，各位嘉宾在一线非常资深的专家，这其实代表了一个大的攻击方向：身份、集权管控。这些年，攻防这块的对抗性水平是一年比一年高，现在包括0day漏洞的利用，特别是针对特定业务系统来发现0day对国产化，这也是我们目前发现的一个趋势。

站在甲方角度，首先从我们抓到的一些日常的攻击，还有在蜜罐里发现的一些问题，其实大部分的攻击，从原来的利用漏洞或者是利用框架性的问题攻击，现在逐渐转到了对0day的攻击，还有比如钓鱼邮件这种针对身份的攻击，身份的攻击主要是拿到高级运维人员的权限一些重点的攻击，针对于网络层和应用层的0day的攻击是为了拿到更多的集权设备的攻击，这两类最终整合到一起，其实是为了拿到内网核心的权限。这样攻击者可以更随心地拿到内网更多的权限。在我们日常的溯源中，比如说来源IP、身份、整体的攻击工具方式，都是多种多样的，原来定位非常快，拿到一个IP就可以定位到，现在可能我们对于溯源非常困难，身份很难识别，整个这个利用的攻击方式也不一样，原来的覆盖面比较小，拿到一个业务，现在业务参差不齐，只要有漏洞就都能覆盖到，说明现在攻击规模比较大，攻击者能力比较强。整体来看，未来的攻击趋势是 攻击0day化，还有针对人的这方面攻击，大规模的身份识别很难发现，这些是我们目前发现总结的一些问题。

首先我们观察到的两个趋势，第一个是攻击链路会更长，为什么这么讲呢，可能以前我们只需要攻击到边界，我们叫渗透测试点到为止，那么在现在这么一个实网攻防，我们发现我们逐渐的会去做集权横向移动，然后还有做更多权限控制，最终拿到靶标的控制权，我们看到现在又出现，我们会逐渐不再控制权限，而是会去控制数据或者业务，这个攻击链路会越来越长，对于人员的挑战更大。

第二个我们看到的是隐匿，隐匿这个和身份特别挂钩，比如我们在这个观察的趋势里面，假如说我们边界被突破之后，那终端里面不会再进行一些大规模的扫描之类的，比如无感攻击，在这个无感攻击里面，攻击者不再去利用漏洞，他会采集终端里面现有的和这个终端建立过链接或者正在建立链接的计算机，我去绕过蜜罐或者监测，其次我会看到历史用户的行为，这些和身份相关，比如说会找到历史的访问记录等，我去访问这些系统一般不会碰到蜜罐，这是一个隐匿，不会使用漏洞而是更多利用权限。这个是我们认为在未来觉得比较大的两个趋势。

刚刚各位专家提到了0day Nday还有身份，其实从历届的hw能够发现，排在TOP级的是撞库、弱口令，它存在默认密码弱口令，拿到一个合法身份整个贯穿。为什么这些现有的设备发现不了呢，是因为我们有些盲区和不足，所以我们应该关注到身份里面，我们应该把账号、设备、网络身份化。比如分享一个场景，拿到一个VPN、拿到一个账号，正常登录到一个堡垒机、一个IAM里面，其实是一个未知的设备，它的IP、登录信息和正常的可信的身份是不一样的，包括提到一些身份的攻击，这是一般网络传统监测和防御设备识别不到的，因为不认识业务的流量身份的流量。针对身份协议的漏洞，这个盲区不会一下子迅速解决，所以需要一个新的东西来做这方面。

关于攻防演练这块，像传统的漏洞攻防这块，攻守双方的讨论都比较熟悉，那真正做一些攻击的时候，会想一些更新颖的攻击或者绕过，所以身份这块会是未来很大的一个风险点。大家刚刚也都提到一个：“集权设施”，我们深入聊一下攻击者为什么喜欢攻击集权设施？

那针对集权设施攻击有什么更好的防范方法吗？

这个问题问的是很有深度，我来谈谈我的理解。集权设备的为什么要去打它，我让它集权，他的权限是最大，我拿到一个合法的账号，或者通过其他方式，我拿到攻击他的漏洞，我就能去控制他，我能控制是数千万个这种资产所有资产我都拿到了。我来讲我为什么他是感知不到他，或者怎么去防。第一就是我们的集权类设备，我们不管说是传统的安全设备，还是 IAM、堡垒机等等，不限于是或者是云底座，它其实这个设备业务系统，它关注的是它的核心业务。比如我是提供虚拟机的，我是提供防火墙业务的，我是提供身份认证的业务的，这个是他的老本行，这是基本功，他不会在检测攻击，他只是需要做一个基本的东西，它本身是没有这些能力的。而且它本身是带 HTTPS 证书，大家都是谁都无法感知，它也自身没有这个基因，那怎么来去做？我们的这样一个理解，就是把身份交给具备身份的威胁检测的这样一个系统，或者是基于它的这种日志来去做。身份由身份来去做，身份认证的过程中的时候来检测和响应，我简单是这样的一种理解。

讲集权这个点，为什么大家喜欢攻击，我认为会和整个攻防活动的性质会有一些关联。因为在攻防活动当中需要强调了一个字是“快”。和我们平时做的攻防可能不太一样。比如我们如果真的是国家级的对抗，可能我是需要长年累月，可能半年或者一年，都是以年来论。获取一个目标的信息，系统的权限或者数据也好。在攻防活动或者攻防对抗的演习过程当中，通常来说时间限度为 7 天或者 14 天。要在这个时间点里面要去获取到大量的这样的一个系统的权限。通常来说是不现实的，因为你通过自身的比如一台计算机，这样去获取权限，这个时间成本是非常高的，而且人力成本也非常高。所以在这样的一个环境下面，我认为其实是倒逼各个攻击队去做。不管是漏洞的积累也好，还是攻击方法的积累也好，是因为它的背景决定了这样的一个攻击思路和攻击方法，同时它又有一定的这样的一个权限。刚才其实也介绍到了网络权限广，存储凭据多，这也是一个如果要防御它，首先我们认为集权里面存储的凭据包括用户使用特别广，一旦这些系统失陷之后，任何一个用户或任何这样的计算机有可能就实现了。在这样背景下面，我们进行防御，可能更多的不仅是要做这样的一个基于规则的去防御，可能更多的是包括用户的行为的分析，因为这样集权系统的所有用户的行为分析，包括我们会去融入一些欺骗防御的思想，可能更多像身份欺骗这些理念会融合在防御事项里面。大概是这样的一个情况。

因为我们做防御肯定会用到这些集权设备，比如我们做准入，它肯定是集合了一部分的这种权限授予在这个设备上。准入上面可能就是大部分的内网认证，比如堡垒机，大部分都是这种服务器的全员授权。还有比如AD，各种各样的域控信息都在这种设备上。攻击集权设备。首先，第一个可以拿到这些权限。第二个集权设备有一个非常非常大的好处，就是因为它要鉴权，所以它的网络是互通的。拿到这个设备就等于突破了大部分的 ACL 限制，等于我们内网部的 ACL 就失效了。所以对于攻击者来讲，它有两个优势。第一个就是拿到这个东西，剩下的账户就轻而易举，可以很容易地横向渗透。

第二个就是可以突破部分的限制，达到我们内网的一些深层的网络。所以大部分人喜欢攻击这种集权设备。还有一些重要高权限人的这种身份防御。

我觉得现在行业里边炒的沸沸扬扬的叫零信任体系，我觉得搭建这种零信任体系是非常重要的，因为它是边界的问题，不只是外网和内网的边界，也有内网和内网之间的边界，服务器和 IDC ，办公网等等这些边界。所以如果是零信任做得好，边界做得好，身份验证做得好，可能一个节点被突破了，它也不影响其他的节点。所以零信任肯定是未来发展的趋势。身份验证也是未来发展的一个趋势。因为攻击的方式的转移，慢慢地从网络层、应用层、设备层慢慢就变成身份验证的对抗，这样战场就变了。所以甲方或者是蓝队防守方也好，肯定会大量的人力物力投入到身份鉴权的验证上去，或者零信任的覆盖上去。所以整体的我觉得防御集权设备的攻击，还有内部的攻击上，主要表现在这两个点上。

前面三位专家的第一个问题，为什么大家喜欢攻击集权设备？讲了两点，然后我再补充一点。其实从攻击者的角度来看，攻击一个集权设备，可能它的攻击面反而会比攻击一个普通的设备，比如一台半攻击，它的攻击点反而会更多一点。也很好理解，因为集权设备通常包含很复杂的功能，具备很庞大的代码量。比如一个 vCenter，它可能里面有很大的这样一个 Java 的这样一个框架，有各种各样的插件，这里面出各种漏洞也好，或者出各种问题的概率其实反而比一般的机器更大一点，可能攻击的手段反而也会更丰富一点，我想这个也是大家比较喜欢攻击这类集权设备的可能的一个原因之一。

第二个问题，如何去防范这样的一种威胁？我觉得不管是身份的威胁也好，或者其他类型的网络威胁，漏洞也好，病毒木马也好，我想一个方案，无非他可能要分事前、事中、事后这样的阶段。可能一个好的方案，他可能在每个阶段都需要有他的这样一个能力在里面。这三个阶段，我觉得总结起来，核心还是有这样一个看见的能力。如果你去解决身份相关的威胁，你还是需要具备这样一个看见和身份相关的所有的这些事件的这样一个能力。这可能里面会需要去对你说多种身份协议的这样一个深入的研究，这样一个解析的能力去看到这些问题，这样可能才能在事先去事前可能能够发现一些已知的风险，事中或者事后至少能够去做这样一个快速的响应。同时我觉得身份的解决方案，可能如果能跟传统的安全产品，像这种响应，编排这些产品去做这样一个联动，有一个这样的实时的反应，阻断的能力也会比较好。

最本质的原因。第一个是它是一个高杠杆率的事情，因为这里边有很大量的，不管是凭据也好，账号密码也好，你在攻击的时候，你要做动作尽量小，所以它是个高杠杆率，是你把它攻击下来之后，基本上四通八达。其次是它很好搞，它大部分情况下是比较容易攻击的。第二点是它足够隐匿，这点很关键。你比如你进了内网之后，你很大动作扫描，对吧？你很容易暴露自己了，你通过别人的身份往里走，其实你跟别人动作是一样的时候，其实很难被发现。

大家想到各种各样的方式，比如我只扫网段，我不扫跨网段，你总要扫下个网段。再比如我只扫单端口，再比如ping头ping尾，大家想各种各样的方式，比如我在本地搜集，我抓包对吧？我拿身份，我通过身份往里走，拿到身份往里走的时候，他的身份和别人身份是一样的，你很难判断出他是不是恶意的动作，你很难识别出来，怎么做防护？在中安网星之前，其实有各种各样的方式，比如你可以有很多笨方法，比如你可以做隔离对吧？但是你依然不能防范。中安网星方案我觉得是最好的。我觉得身份的防御本质上是防御的升级。比如你现在，你之前封个 IP 对吧？你过来个IP，你说我把 IP 封了好。大家现在有了类似于像什么云函数的方式，怎么去走云函数去扫描？有了挂各种各样的匿名代理池对吧？有了各种 proxy 代理。

大家就更多的是用了很多这种绕过的方式。说你不是封 IP ，你不是周期的，我 IP 成本高，刚开始封包，我可以绕，你封 IP 我就找代理池，我找云函数去搞。身份本质上是防御的升级，我封你身份，你达到一个身份的成本要高于你，拿到一个 IP 要高于你，我封你一个包，所以它本质上是防御升级。

而刚才佳峰也说了，在你在身份的防御里边，你能做各种各样的事情，比如刚才说了一点，他说我们可以做伪造，对吧？进主机，通过搜集信息来去横移，我就在这里边造类似这样的伪造的这种信息，来做欺骗，我告诉你这是我内网的，比如MySQL这种。

想拓展一下未来，我自己是有一点感觉是零信任的发展。也许其实对于 ITDR 身份赛道其实它是一个加分项，它会促进赛道的发展。我不知道各位怎么看，请各位嘉宾主动自己来聊聊就好了。

零信任其实我们之前也有接触比较多，因为会做身份，肯定会联想到零信任这个点。首先第一个我们认为零信任这个背景包括远程办公，以及还有像疫情以来这样的一个是远程办公。另外还有像各种理念的一个出现，比如云化这样的一个理念出现，把整个服务、整个我们的 IT 架构做了很大的改变。因为原来我们可能可以通过网络来决定一个人员能否访问我们企业的资源，比如我们企业的员工，他能否访问我们企业内部的资源，是通过网络来隔离的。比如你在公司肯定是接内网，但你不在公司，你可以通过 VPN 来介入。但现在因为如果远程办公过多，或者是各种微服务的出现等等，我们没有办法去通过网络来进行隔离了。很多时候网络更侧着我们去做这样一件事情。所以在现在的这样的一个架构上面，没有一个比身份更好地去替代原来的这样一场景。我们如果可以通过身份来替代，很简单，我们可以只需要通过一个人员他所拥有的信息，不管是虹膜也好，指纹也好等等这些信息来去判定是否是他真人。在授权之后我们再进行，比如他能够访问我们企业资源，比如我们的服务在云上，我们没有办法去控制这个员工，他不能访问云，我只能员工通过云的鉴权之后，他能够访问到对应的资源就可以了。在这样的背景下面，我们发现身份他成为新的边界了，这样其实零信任就是在这样的一个重塑边界的过程当中，所以我觉得零信任的发展肯定会带来整个身份的变革，这是第一个。另外我认为在零信任里面有很多概念，比如我们现在讲零信任，肯定第一个支柱叫身份，因为没有身份，后面的不管是设备也好，还是其他的也好，肯定都没法建立。包括里面有一些底座。比如现在讲零信任战略，可能讲美国的零信任战略可能会更多一些，因为美国把零信任战略作为他的类似于中国的等保，属于一种基础设施，基础的保护。在这样的背景下面，我们发现里面不管是治理也好，还是用户身份可见性也好，以及身份作为底座基础也好，它里面提了大量的身份，同时有一句口号叫什么永不信任对吧？还有实时验证等等，等等这些点。在这些点里面我们发现，比如实时验证，你要去永不信任的过程当中，比如要实时阻断它，你需要有设备或者有方法，有技术有方案去发现它。它只是一个理念。我们在这样的理念下面，需要有对应的方案去发现或者看见身份上面的威胁，才能够做到对应的。基于身份的微隔离，或者是叫做不管是隔离也好，还是这样的阻断也好，才有这样的基础，使用率还是比较重要的。

对零信任这个东西，我觉得佳峰刚才说的有一点比较好，就叫微隔离。因为现在的大部分攻击，首先就是简单总结，这就三个步骤，第一个就是突破边界，第二个拿到核心权限，第三个就是控制内网突破边界。它可能有几种方法，比如 VPN 钓鱼或者一些攻击手段。突破了边界之后，目标肯定就是这种集权系统或者核心系统。再通过大量的用户权限伪造真的个人身份去这种伪造，用这种假的行为伪造真的人去操作，获取一些权限或者一些个数据等等。零信任解决的一个问题，他不只是在这种身份鉴别上，他还可以从这种人的行为上判断事件的风险，判断整体的这种网络之间互访的隔离上面去判断，可能它包含了ACL，包含了这种各种的这种赋能。可能它不只是一种工具，它可能是一个体系化的东西，里边可能有身份鉴权，有网络隔离，有一些风险识别，身份的风险识别等等的这一类东西在里边。所以他最开始可以保障的一点，如果一个节点被攻破了，他的下一个行为会被识别出来。我们可以看到还是看到那个问题，可以看到之后我们发现风险就可以处理风险。

单一节点被攻破之后，其他不受影响。首先第一个集权系统不会有问题，第二个内网波及的不是很大，第三个攻击成本会提升。他可能利用其他的扫描或者突破零信任，或者做在身份对抗这过程中就可能被发现了，但对于防守方是一个非常好的点，提高攻击者的成本。还有一点就是零信任在整个市场上现在的呼吁也比较高，大家都在做，可能做各个网络验证，入网的方法都不一样。但是对于整体上来讲，第一他离不开身份验证，第二他离不开网络鉴别。所以我觉得零信任未来肯定是一个大的发展趋势。

本次大会主办方中安网星是聚焦到ITDR。我们为什么现在要定位到这条赛道？因为我们知道中安网星现在是业内应该算是首家把自己定到这条赛道的安全企业。所以我们是怎么战略上怎么考虑的，以及我们未来可能会还会做一些什么事情，跟大家分享一下

第一个我觉得从 ITDR 上，我觉得其实匹配上我们公司现在定义的使命，因为我们是期望创造一个防御者比攻击者更有优势的这样一个网络世界。在这样的背景下面，我们认为选择的点不多。我觉得身份是一个非常好的切入点，因为做身份，你可以不用再去关注非常多的细节的，叫做基于规则的对抗，或者叫基于漏洞上面，比如漏洞有各种各样的变化行为，我觉得它是一个非常好的选择。可能在短期我们没有办法摆脱这样的情况。我觉得在长远的时间来看，身份是一个不错的选择点，因为现在常说做难而正确的事情。但是我们认为身份是一个比较好的点，因为我们可以从人的角度去发现威胁，因为黑客的行为它是具有一定的固定性的，或者有一定的延续性的。比如我获取一台计算机的权限之后，我大概要做什么事，我是比较清楚的。如果能够从会话级别或者从用户级别能够定位到他的一些操作，我们就可以从用户或者身份角度去给他做一些威胁的分析，不再需要去做。这个叫做基于很多规则的去对抗，我们就可以做。

我们以前叫UEBA，当然现在我们期望是能够在 UEBA 只是作为一种技术去辅助我们做好这件事情。所以我们在整个 ITDR 的这样的一个延续性，包括理念上，我们就涉及到几个点。第一个是我们涉及到了一个比较完整的闭环逻辑，一个是事前，一个是事中事后。刚才古老师应该已经讲过了。我觉得逻辑是一个对甲方负责的态度，在发现问在真正出事之前有一次这样的，至少实时的监控，我能知道我现在的一个安全现状是如何的。在事中也能够做到实时的一个发现。因为我做完加固或者做完发现以后，有可能我不太清楚现在有没有攻击，或者是否有攻击正在发生，我需要去了解，包括我的攻防趋势之类的。

在事中环节我会去引入一些很多的概念，就不细讲了。在事后其实就是针对事前我们事中发现的一些威胁去做处置，包括去做调查等等。这整个环节里面，我们认为是一个一个比较闭环的逻辑，在这里面涉及到其实有非常多的这样的一个技术，也期望和各位一起讨论。比如这里面可能会涉及到有情报的支持，对吧？也有可能会涉及到一些漏洞的支持，包括其他厂商做了一些其他的方案，我们可以互相补足等等。我觉得这其实都是和其他整个产业上做一些联动。其次再大一些，比如和零信任联动，因为我们也和一些零信任公司就做一些合作。在威胁发现这些领域上，以及包括和现有的这些 IAM 的身份的一些领域，这些企业做一些协作，其实能够去慢慢地发展成一个在特定的领域。我们去做这样的一些事情之后，会和上下游一起合作，来达到一个更好的效果。