美国NSA的Tutelage系统：构建APT防御中间层的威胁建模与引导监控体系

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

在当今复杂的网络安全形势下，传统商业网络安全设备在面对高级持续性威胁（APT）时往往力不从心。很多现行设备遇到攻击更多的是采取阻断措施，然而这种方式并不能全面有效地应对复杂多变的APT攻击。美国国家安全局（NSA）提出了创新的Tutelage系统，该系统另辟蹊径，其核心思想是对APT组织的攻击行为进行威胁建模，进而实施引流监控，采用迷惑攻击者的策略，而非简单粗暴地立即阻断攻击。这一理念代表了一种全新的网络安全防御思路。

Tutelage系统在整个网络安全防御体系中占据着独特且关键的位置。它犹如一座桥梁，巧妙地承接起商业防御与国家情报之间的空白地带。在网络安全的大框架下，商业防御产品虽能应对一些常见的安全威胁，但面对APT这类高级威胁时常常捉襟见肘。而国家情报层面的工作重点主要在于宏观的战略情报收集与分析。Tutelage系统的出现填补了这一中间地带的空缺，为应对中高复杂度威胁提供了有效的解决方案。它专注于对商业系统难以处理的威胁进行深入分析，通过理解威胁行为，制定出相应的缓解策略，以此来保护国家关键基础设施和国防资产。与常见的主动探测式安全系统不同，TUTELAGE系统不会主动去探测威胁，而是凭借对网络环境的敏锐感知，深入分析威胁行为，为企业或政府机构提供决策辅助，帮助其做出更合理、更有效的响应决策。

在最高层面的全球威胁监控方面，信号情报（SIGINT）发挥着至关重要的作用，它能够形成强大的战略预警能力。SIGINT作为美国国家安全体系中的重要组成部分，承担着为国家决策者和军事力量提供外国信号情报的重任。通过对全球范围内电子信号和系统（如通信系统、雷达以及武器系统等）的监测与分析，SIGINT为美国洞察外国对手的能力、行动及意图打开了一扇关键窗口。NSA通过全球信号监听和复杂的数据分析，能够敏锐地发现极为隐蔽的高端攻击，诸如外国情报机构发起的APT攻击以及零日漏洞攻击等，并及时向美国国家安全团队发出精准预警。在实际运作中，当攻击者试图与美国国防部DoD网络进行通信时，其行为会触发TUTELAGE系统的被动传感器。随后，整个过程会形成一个完整的闭环机制，从网络威胁的发现，到自动化响应的实施，再到与战略情报的联动，各个环节紧密配合。同时，Tutelage系统还能与五眼联盟的信号情报体系协同工作，进一步增强对高级持续性威胁的深度监控与精确打击能力。

Tutelage系统内部具备多个关键模块，每个模块都各司其职，共同保障系统的高效运行。其中一个重要模块负责集中存储传感器收集的原始数据与元数据，这些数据是后续分析、决策和情报任务的基础。Redirect能力是TUTELAGE系统的一大亮点，它不仅能够防御流量、替换命令，还能从战略层面将敌对流量引导至可控区域。通过这种方式，实现了对敌对流量的隔离、监控与欺骗，为深入了解攻击者意图和行为提供了便利。此外，系统还具备强大的边界封锁能力，能够对关键网络资源的边界层进行有效封锁。比如，可以针对可疑国家或者特定地理位置的IP实施地理封锁，阻断已感染主机访问外部网络，从而降低安全风险，防止威胁进一步扩散。TUTELAGE的内联数据包处理器的延迟（Latency）模块同样不容忽视，它能够在不被攻击者察觉的情况下，秘密地调整敌对流量的进出速率。通过降低其通信质量，为执行其他更复杂的防御操作争取宝贵的时间，例如拦截、重定向、分析等。在实际场景中，虽然攻击流量未被完全阻断，但通信过程变得缓慢或不稳定，这不仅降低了攻击者行为的实时性，还为后端系统争取到了充足的决策和响应时间。

通过实际的防御能力实战统计数据，可以更直观地了解Tutelage系统的运作情况和策略使用。当前，TUTELAGE针对28类主要威胁类别开展防御工作，累计实施了794次操作，运用了告警（Alert/Tip）、阻断（Block）、拦截（Intercept）、边线分析（Sidelining）、替换（Substitute）、重定向（Redirect）和延迟干预（Latency）等7种防御能力。在应对不同的威胁时，系统会采用不同的防御组合策略。例如，对于BF组织，在96次操作中，有83次使用了Redirect策略，这表明在应对该组织的威胁时，引导至伪造目标或蜜罐进行控制与误导是主要手段；对于Cross-Domain Violations这类事件，在77次操作中全部采用Alert/Tip策略，说明系统对该类事件优先选择告警和记录，而不打断通信，以便后续深入分析；针对Wdowkey，26次操作中有25次使用Substitute策略，体现出其防护重点在于内容操控，比如伪造指令、篡改命令，以此干扰攻击者的攻击流程；在应对Zeus（银行木马）时，有16次采用Redirect策略，表明系统选择将其重定向进入蜜罐，从而便于观察其行为，掌握其攻击模式；而对于Discovery威胁，Redirect策略的使用次数高达116次，明显呈现出诱导型防御策略的特点。从整体数据可以看出，Tutelage系统在防御攻击时极少使用阻断（Block）策略，仅使用了2次，这充分说明其以“隐蔽控制”为主导思想，不希望过早惊动攻击者，以免打草惊蛇；重定向（Redirect）则是最常用的能力，占比近70%，高达83次，远远高于拦截或阻断策略的使用频率，这进一步证实了TUTELAGE更倾向于采用欺骗性防御策略，通过引诱、观测、分析攻击者的行为，实现对威胁的有效控制。

Tutelage系统为网络安全防御带来了全新的思路和方法。它强调构建欺骗式、引导式的安全响应机制，不仅仅是简单地“阻断”攻击，更注重“观察 + 引导 + 操控”攻击者的行为。在实际操作中，系统会根据威胁程度和具体情境，灵活选择不同的防御策略。例如，Redirect策略将可疑流量引入可控环境，如蜜罐或诱捕网段，以便详细观察攻击者的行为；Substitute策略则通过对攻击者下发伪造指令或内容，巧妙地打断其控制链条；Sideline策略先将威胁隔离分析，再根据分析结果决定是否放行；Latency策略则悄无声息地降低通信速率，有效拖延攻击节奏。此外，Tutelage系统还通过传感器、决策逻辑与情报系统的紧密联动，形成了一个完整的闭环。Sensor传感器负责探测威胁，收集到的数据存储起来供后续分析，决策逻辑依据这些数据进行分析并做出判断，进而触发与SIGINT的联动，最后根据反馈结果调整防御策略。这种闭环机制可以与SOC（安全运营中心）、SIEM（安全信息和事件管理）以及情报平台等进行有效联动，实现对威胁的闭环驱动响应与预判。同时，基于行为与情境的“组合拳”式策略相较于固定规则的防御策略，具有更大的优势。针对不同类型的威胁，系统能够精准地选择合适的防御策略，如针对Discovery类威胁优先采用重定向策略引导扫描者，针对已知工具链（如Zeus）使用替换与欺骗策略，对于疑似C2行为则引入延迟与边线分析策略等。这种灵活多变、针对性强的策略运用，大大提高了系统应对复杂威胁的能力。 

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：美国NSA的Tutelage系统：构建APT防御中间层的威胁建模与引导监控体系