2022-2023 安服安全技术 研究白皮书 White Paper on Security Services Security Technology Research 安恒信息官方微信 公众号 安恒信息安全服务 官方微信公众号 2022-2023 安服安全技术 研究白皮书 White Paper on Security Services Security Technology Research 前言 Preface 目录 Contents 2022年6月，我们首次发布了《2021-2022安服 2022年9月，服务中心内部更新发布了《2022安 安全技术研究白皮书》，围绕彩虹九维技术体系对 服赋能分享白皮书（9月）v1.5》，系统的阐述了为什 2021年间安服各实验室技术研究成果进行了简约的呈 么要围绕彩虹九维体系来构建细分的技术方向。背景 现。白皮书内容主要包含彩虹九维：红队(突破)、橙队 如下：近年来，在网络安全领域，攻防对抗的深度不 (赋能)、黄队(建设)、绿队(改进)、青队(处置)、蓝队( 断演进，对于防守方来说已有各种方法论和技术框架 防御)、紫队(优化)、暗队(情报)、白队(流程)的理念和 可供知识体系打造，比如Cyber Kill Chain、MITRE 实践积累介绍。同时也对2022年的研究计划做了简约 ATT&CK等，但威胁总是动态的，高级别的威胁所能 的指向，包括：反APT安全能力建设、攻防能力成熟 感知的痕迹越来越少，对于国家级的攻击行动来说早 度评估、软件供应链安全建设、反0day安全能力建设 已经进入跨越维度的对抗。这对拥有重要数据和业务 等，以及具体的红队、蓝队、紫队、青队、绿队、暗 的客户来说，安全需求的宽度和深度变得更加迫切， 队技术栈等打造，以下是该版白皮书的章节摘录。 需要从全景的角度审视自身企业、单位的网络安全风 险，对业界来说，这需要各种安全能力的人才齐心协 作共同打造攻防对抗体系。基于这个背景，在安服内 部我们通过彩虹九维架构知识体系的细分，聚焦研究 方向、着力深耕，深度解析彩虹九维体系各细分领域 实战技术，助推各方向知识拓展、提升安服团队攻防 实战能力、打造专家成长之路。 2023年4月，我们按计划更新《2022-2023安 服安全技术研究白皮书》，围绕彩虹九维技术体系对 2022年间安服各实验室技术研究成果进行了内容更新 呈现。不同于上一版本的简约，这次我们进行了内容 丰富，欢迎正在阅读的您多提宝贵意见和建议，助力 内容和阅读体验的提升，谢谢您的支持。 摘要《2021-2022安服安全技术研究白皮书》 01 02 03 分子实验室介绍 07 彩虹红队、彩虹橙队 04 星火实验室介绍 11 彩虹黄队、彩虹绿队 04 水滴实验室介绍 15 彩虹青队、彩虹蓝队 04 千钧实验室介绍 19 彩虹紫队、彩虹暗队 各安全研究实验室 彩虹九维专项实践 23 彩虹白队 03 04 27 攻击生命周期 37 软件供应链安全 29 攻击技战术 39 反APT和未知威胁 31 防御技战术 41 反0day和漏洞对抗 33 分析模型逻辑 43 攻防能力成熟度评估 35 技术栈实践记录 45 攻防演练之红蓝对抗 反APT技术栈特别介绍 技术研究和最佳实践 47 关于我们 49 版本更新 01 技术类服务清单 安服安全技术研究白皮书 在安服，我们提供的技术类服务清单， 包括但不限于 DevSecOps自动化安全测试体系建设咨询等），攻防能力成熟度咨询（细粒 度红队测试+蓝队安全设备策略优化的紫队优化等）的技术落地服务； 安全测试服务，输出安全测试报告（包含安全加固建议）； 家支持、溯源专家支持、应急响应专家支持、威胁情报支持等），攻防演练结 束阶段（技战术报告编写、复盘报告编写等）的主防和协防服务； 务、测试服务、演练服务、咨询服务、应急服务等）; 告），远程和本地结合的安全运营服务。 聚焦安全运营效能提升 16年专业安全服务经验积累，助力客户提升安全能力。 根提 据升 需威 求胁 定对 制抗 服能 务力 期安全测试、渗透测试、威胁情报、应急响应等远程支撑服务，输出服务报 远程托管服务 包括：对应IPDRO模型各阶段技术的MSS服务（互联网暴露面检测、周 聚焦快速安全能力建设 提升威胁溯源能力 驻场服务、安全运营、任意多项服务组合），根据现状评估建议服务（培训服 根据需求定制服务 包括：单次服务（测试类、演练类、任意服务项单次需求），年度服务（ 聚焦攻防实战能力建设 提升威胁防御能力 练、攻防实战演练、安全加固建议等），攻防演练正式防守阶段（威胁监测专 红蓝攻防演练服务 包括：攻防演练前准备阶段（总体防御体系优化建议、事件处置流程演 聚焦安全漏洞的缓解 提升威胁态势感知能力 架构和业务形态的白盒（源代码）、黑盒（无源代码）、灰盒（白+黑方式） 安全测试类服务 包括：Web、APP应用，CS架构，物联网、车联网，区块链等多种网络 聚焦技术栈构建和落地 提升安全合规能力 咨询、安全编码咨询、安全测试咨询、安全评审咨询、应急响应咨询、 技术类咨询服务 包括：研发安全建设咨询（研发安全流程优化、安全需求咨询、安全设计 · 合规安全建设咨询服务 · 安全开发和运维咨询服务 · 安全能力成熟度评估服务 · 数据安全和隐私保护咨询服务 · 安全意识培训服务 · 细粒度资产管理服务 · 安全设备配置建议服务 · 常态化漏洞扫描服务 · 常态化攻击威胁分析服务 · 定期黑盒渗透测试服务 · 常态化安全运营服务 · 红队攻击测试服务 · 红蓝对抗演练服务 · 攻防能力成熟度评估服务 · 系统上线前安全测试服务 · 应急流程建设服务 · 应急响应演练服务 · 攻击溯源分析服务 · 细粒度安全加固服务 · 网络钓鱼测试服务 · 安全技能培训服务 · 威胁情报通告服务 · 供应链安全评估服务 · 威胁狩猎监测服务（反入侵） · 定向漏挖掘服务（反0day） · 攻防知识库建设服务（自建红队） · 高级威胁分析服务（反APT） 02 03 安全研究实验室 安服安全技术研究白皮书 04 各安全研究实验室 白皮书内容包含各实验室成果的精选 分子实验室 反APT技术栈打造 软件供应链安全研究团队，方向主要以软件供应 链安全建设为主，同时覆盖安全和攻防能力成熟度评 异常威胁分析模型 分析组件 估，反入侵和反APT安全能力建设，以及反0day安全 能力建设等；并负责定期发布引领业界安全运营能力 和安全服务技术能力方向的，网络安全运营能力指南九维彩虹安全能力系列丛书，以及安全服务技术研究 能力白皮书。 1.异常登录 1.资产探查 2.异常协议 2.安全配置 3.恶意高仿 3.日志存储 4.特定系统 4.域控制器 5.特定目标 5.DNS请求 6.有限协议 6.邮件服务 7.漏洞识别 7.HTTP请求 8.工具识别 8.用户行为 9.孤立行为 9.管理记录 10.异常感知 10.软件组件 星火实验室 水滴实验室 紫队攻防演练研究团队：主要方向以攻击模拟 红队渗透技术研究团队，主要方向以研究攻防红 (Attack Simulation)和威胁狩猎(Threat Hunting)的 队技术为主，百场以上国家级，省级攻防对抗优秀攻 研究为主，研究成果有基于ATT&CK的攻击模拟平 击队称号，以红队视角评估客户安全防护体系薄弱 台，以及紫队视角的实战安全运营防护体系。分析全 点，为高端客户提供专业的红队评估服务。实验室成 球数以千计的红蓝对抗成果，将其威胁场景模型化， 员均为从业多年攻防实战的红队选手，拥有非常完善 实战化，运用于度量企业安全风险，持续提升安全运 的攻防经验，为客户的安全防御能力检测提供了强有 营能力。 力的保障。 彩虹九维体系打造 红队 橙队 黄队 突破 赋能 建设 暗队 情报 白队 流程 绿队 改进 紫队 蓝队 青队 优化 防御 处置 11.后门程序 可以在已有的大数 12.程序行为 据分析类平台上进行， 也可以部署额外的存储 赋能中心运营和安全研究白皮书发布 和计算资源用于专项高 13.服务日志 14.样本分析 级威胁分析，以发现深 潜的攻击痕迹。 15.综合分析 16.案例复盘 千钧实验室 木牛实验室 专注以内部工具开发，以客户端小工具为主，致 攻防武器化研究团队，主要方向以研究攻防实战 力于安全服务一线交付工具的研究、开发工作，提高 武器为一线服务，武器化沉淀工具成果主要有红队自 一线交付效率、质量。 动化攻击平台、互联网攻击面梳理、彩虹能力攻防知 具体包括Web安全测试辅助工具、比如SQL注入 识库、漏洞情报资讯、应急分析平台为主；致力于帮 工具、跨平台Webshell管理工具、多种弱口令爆破工 助一线攻防人员提升工作效能的同时，为客户解决在 具、免杀平台等，同时负责分子实验室内部定期原创 新的攻防场景出现的各类安全攻防问题。 工具开发的成果发布。 05 彩虹九维体系 安服安全技术研究白皮书 06 彩虹九维体系介绍 正如前言所说，在网络安全领域，攻防对抗的深 动来说早已经进入跨越维度的对抗。这对拥有重要数 基于这个背景，在安服内部我们通过彩虹九维知识 2022年6月，在《网络安全运营服务能力指南-- 度不断演进，对于防守方来说已有各种方法论和技术 据和业务的客户来说，安全需求的宽度和深度变得更 体系的细分，聚焦研究方向、着力深耕，深度解析彩虹 九维彩虹团队系列丛书》发布同时，服务中心多部门 框架可供知识体系打造，比如Cyber Kill Chain、 加迫切，需要从全景的角度审视自身企业、单位的网 九维体系各细分领域实战技术，助推各方向知识拓展、 一起共创彩虹能力图书馆全景图，物料内容包括：工 MITRE ATT&CK等，但威胁总是动态的，高级别的 络安全风险，对业界来说，这需要各种安全能力的人 提升安服团队攻防实战能力、打造专家成长之路。 具、经典书籍、社区组织、追随大师等，通过知识共 威胁所能感知的痕迹越来越少，对于国家级的攻击行 才齐心协作共同打造攻防对抗体系。 P 创致力于打造更具生命力的技术能力社区。 07 彩虹红队-突破 安服安全技术研究白皮书 08 彩虹红队（突破） 2022年间，仅分子实验室成员就有50位成员投入 在红队的实战技术研究中，其中之一依然