• 应用数量暴增：根据咨询机构IDC预测，到2025年全球将创建7.5亿个云原生应用程序。

• 海量数据产生：根据咨询机构IDC预测，2027年全球新产生的数据量将达到291ZB，近乎2022年的3倍。

• 运维形态变迁：企业上云与大量中间件产品的采用，管理对象呈现出类别多样、虚实融合的新现象。

• 网络边界安全：防火墙、IPS等产品构筑了网络网关侧的第一堵墙。

• 终端设备安全：EDR、HIDS等产品提供了工作负载层面的安全指标监测。

• 业务应用安全：RASP、IAST等产品补足了安全治理在业务层的视角缺失。

近日，青藤云工作负载安全平台凭借其卓越的技术实力和领先的防勒索解决方案，成功通过赛可达实验室新一代勒索病毒防护能力测试系统V2.0认证，中国工程院院士倪光南为青藤颁发了首批“东方之星Starcheck”勒索病毒防护能力证书。

当前，勒索软件仍然是最具影响力的网络攻击形式。为了让企业能快速落地防勒索能力，青藤基于多年勒索软件研究积累，发布了《基于杀伤链的勒索软件防御指南》，报告提供了实战化的勒索攻击防御技术方案，让有效的安全能力快速发挥效果。同时，本报告提出一个系统框架，指导组织采取具体步骤和方法路径，提高对勒索软件攻击的网络弹性。

勒索软件控制框架基于勒索软件攻击杀伤链，分析攻击者端到端的攻击步骤与相互关系，同时我们将ATT&CK策略整合到杀伤链模型中，描述攻击者特定的战术、技术和程序（TTP）。组织通过映射勒索软件杀伤链，了解威胁和风险节点，对其进行层层阻断，建立更加全面有效的防护体系。

图 1：基于杀伤链的勒索软件控制框架

通过“勒索攻击杀伤链”可以发现，应对勒索攻击的关键在于预防，重点在于检测响应，“绝杀手段”为阻断约束，最后底线为恢复重建。

由于不同的安全防护措施在勒索软件攻击的不同阶段发挥不同程度的作用，通过梳理勒索软件典型安全防护措施，与勒索攻击过程形成映射，围绕勒索软件攻击预防、检测响应、阻断约束、恢复重建四个阶段，打造全链路的勒索软件攻击防护技术方案，防范化解勒索软件攻击风险。

图2：端侧勒索软件攻击防御技术方案

按照勒索病毒攻击“事前、事中、事后”三个阶段，从预防、检测响应、阻止约束、恢复重建四个方面防范化解攻击风险，典型勒索病毒攻击安全防护技术措施主要包括以下几个方面。

在勒索攻击预防阶段，主要从资产管理、高风险漏洞管理等方面采取措施，如实现常态化、动态化业务资产管理，进行高危漏洞与弱口令治理等。

1. 建立高价值软件资产清单

建立常态化资产台账和动态化更新机制，覆盖总部和境内外分支附属机构的各类互联网应用系统。构建软件资产自动化收集能力与资产信息及时更新能力，为开展7×24威胁监测和事件处置，常态化开展资产及互联网暴露面管理、漏洞发现及修复工作提供数据资产基础。

图3：常态化&动态化业务资产同步

2. 勒索专项风险检测

公安部启动了“两高一弱”专项行动，旨在检测并修复高风险漏洞、高风险端口及弱密码问题。因此，该方案针对勒索专项风险，实现企业攻击面持续检测、弱口令智能分析、修复进度闭环管理等安全能力，全面治理企业高危漏洞和弱口令风险，减少攻击机会。

图4：高危漏洞与弱口令治理

威胁检测在实战中一般分为已知特征检测、已知行为检测、未知行为检测三个层次，复杂度逐步增加，该方案威胁检测逐层递进，覆盖各类常见威胁攻击场景。

图5：层层递进的完备勒索检测体系

1.已知特征检测

已知特征的勒索检测主要利用多检测引擎实现防病毒查杀，并实现动态落盘查杀+静态扫描查杀，同时针对家族型勒索样本，通过AI函数片段深度识别引擎进行深度识别排查。

图6：家族型勒索AI函数片段深度识别

2.已知攻击行为检测

通过勒索家族软件已知攻击行为的分析，以及大量常规攻击检测能力的积累，针对经常出现的行为提供专项深度检测，基于ATT&CK攻击框架在整个攻击路径中的已知攻击位置设置检测锚点，有效识别和响应勒索攻击行为。

图7：基于ATT&CK攻击框架覆盖已知检测场景

图8：勒索恶意行为识别

3.未知威胁行为检测

未知行为检测主要通过智能诱饵精准定位文件加密阶段行为，并利用行为白名单构建数据库勒索专项模型有效发现异常入侵行为。

图9：静态诱饵+动态诱饵结合方案

图10：行为白名单与数据库勒索专项模型构建

当发现勒索攻击事件时，首先需要进行勒索攻击阻断，通过文件隔离、进程阻断、网络隔离等手段，层层加码精准隔离，防止威胁进一步扩散。在确认勒索事件发生后，可通过勒索加密数据还原，避免企业缴纳高额赎金。

1.勒索攻击阻断

在勒索攻击阻断阶段，企业应强化突发事件应急处置能力，将攻击造成的影响降到最低。企业一旦发生勒索软件攻击事件，立即按照网络和数据安全事件应急处置管理要求和应急处置流程，启动勒索软件攻击应急响应预案，断开网络连接，隔离被感染主机，阻断网络传播途径，修复网络安全漏洞，尽快利用备份系统进行数据恢复，有效降低勒索软件攻击造成的影响。

图11：勒索攻击阻断精准隔离

2.勒索攻击恢复

在勒索攻击恢复阶段，该方案可通过密钥截取和解密，实现勒索加密数据还原。通过安全研究团队对近百种勒索家族的样本分析，在病毒程序启动时进行行为劫持，捕获加密操作或生成秘钥的操作行为，结合安全研究团队维护的勒索家族规则（已知病毒的加密规律、加密位置、加密算法）或加密行为（加密大小、二进制数据等推测加密位置），对已加密的文件进行解密还原。

图 12：密钥截取和解密过程

勒索软件攻击实施阶段，在RSA秘钥加密前，通过注入hook手段，获取病毒程序生成的加密密钥，或者通过在流量层进行秘钥数据劫持，结合维护的病毒规则或者加密行为，即使真正的发生勒索事件，可将劫持后的秘钥进行文件解锁，避免赎金缴纳。

在Black Hat 2023大会上，某跨国企业披露：其EDR系统通过AI行为分析，在30秒内拦截异常进程链，成功阻止勒索攻击。

而同期，国内某制造业巨头却因终端防护滞后，导致核心图纸遭窃，直接损失超5亿元。

这背后折射出一个残酷现实：全球EDR技术已进入“毫秒级响应”时代，而很多中国企业仍在传统杀毒软件的“舒适区”中艰难挣扎。

1. 技术代差：从“规则匹配”到“行为基因分析”

2. 架构鸿沟：云原生VS“伪上云”

3. 生态短板：国产化适配的“最后一公里”

信创浪潮下，统信UOS、华为欧拉等系统装机量激增，但90%的EDR产品对国产芯片、非标API接口的兼容性不足，甚至出现“蓝屏式防护”。

1. 突破“重运维、轻检测响应”的思维桎梏

2. 终结“内外威胁双盲”困局

3. 打破“数据孤岛”：从单点防护到作战网络

1. 轻量化Agent革命：从“资源黑洞”到“隐形卫士”

2. 智能决策革命：AI驱动的“威胁免疫系统”

3. 云边协同革命：分布式流处理引擎

4. 主动防御革命：攻击面自收敛技术

Gartner预测，到2025年，70%的终端防护将基于“检测-响应-预测”三位一体模型。对中国企业而言，EDR不仅是技术升级，更是一场安全思维的范式革命——从“筑墙式防御”转向“动态免疫”，从“单点防护”进化为“智能作战网络”。

此刻，你的终端防线是否已准备好迎接下一场APT风暴？

在WannaCry勒索病毒瘫痪英国医疗系统的72小时后，某跨国制药集团EDR系统成功拦截了第37次横向移动攻击。这个真实场景揭示了现代网络安全战争的残酷本质——当传统防御体系在现代化攻击前节节败退时，智能化的端点检测与响应技术正在重塑攻防规则。

表 1 展示了 EDR 技术的时间演进，呈现出近年来越来越倾向于采用机器学习和人工智能等先进方法的趋势。这一趋势为未来 EDR 研究中选择技术提供了有价值的参考。

早期EDR系统如同拿着通缉令的巡警，依赖特征码匹配进行威胁识别。这种基于签名的检测机制在2017年Mirai僵尸网络攻击中暴露致命缺陷——超过60%的IoT设备因无法识别变异代码而沦陷。转折发生在行为分析技术的突破，安全工程师开始从"查户口"转向"测DNA"。

卡内基梅隆大学的研究表明，将进程树演化、API调用序列等200+行为特征纳入机器学习模型后，未知威胁检出率提升4.2倍。通过内核级行为监控，实现了平均87ms的勒索软件阻断响应，这相当于在子弹击发瞬间完成弹道计算与拦截。

当BlackBerry Cylance用卷积神经网络实现98.5%的恶意软件识别准确率时，安全界迎来了AI赋能的黄金时代。但Darktrace的对抗性攻击实验揭示残酷现实：只需对PE文件头注入3%的噪声，就能使主流检测模型误判率达到41%。这迫使EDR系统必须构建"数字免疫体系"——微软Defender ATP引入对抗训练框架，通过生成式AI模拟超过120种攻击变体进行模型强化。

模型漂移问题同样棘手。Palo Alto Networks的日志分析显示，部署18个月后的EDR系统检测效能普遍衰减22%-35%。这催生了动态学习架构的革新，FireEye提出的在线增量学习方案，使模型能在不中断服务的情况下，每小时吸收150TB新威胁数据完成自我进化。

当SolarWinds供应链攻击穿透200+企业的防线时，暴露了单点防御的致命短板。Gartner数据显示，采用XDR架构的企业平均事件响应时间缩短67%，这源于其三大突破：

实战案例极具说服力：在某金融机构攻防演练中，XDR平台通过关联邮箱登录异常与PowerShell恶意代码注入，在攻击者建立C2通道前完成自动化隔离，整个过程无需人工干预。

在量子计算与生成式AI重塑网络安全格局的前夜，EDR技术的进化早已超越工具范畴。它既是数字世界的免疫系统，更是企业安全战略的核心中枢。当检测响应时延进入纳秒级竞争，真正的胜利者将是那些把安全基因写入组织DNA的企业。这场没有终点的军备竞赛，终将催生出具备自主进化能力的智能防御生命体。

ATT&CK除了版本更新的常规内容外，研究机构、学术界和产业界都有更深入的实践，检测方面的内容有了更多深入的实践和检验，从实际情况“祛魅”了ATT&CK覆盖率这个数字。除了检测工程之外，在威胁预测和威胁情报方面也有亮眼的进展。ATT&CK更像是一个“活框架”，它的源头是各种威胁情报和攻击方法的更新，比如勒索软件的猖獗；也有科技进展带来新的威胁也是ATT&CK可以覆盖的方向，比如ATT&CK的矩阵也扩展到AI安全领域、汽车安全、无人机和卫星安全领域。

紫队测试的基本原理，遵循"知己知彼"的战略思想，结合两个关键方面："了解敌人"：模拟攻击者工具、战术和程序，获取可观察数据；"了解自己"：开发和测试检测机制，识别技术差距和局限性。

图1  紫队的定义

紫队的意义在于大多数攻击者缺乏原创性，主要使用：

1.N-day CVEs（已知漏洞）

2.漏洞利用概念验证(POC)

3."安全审计"工具

防御者需要避免自满：

1.可能缺失关键取证数据

2.SIEM和分析模型可能过度调优

3.EDR/MSSP性能可能存在差异

根据云环境安全事件案例分析

1.Storm-0558 (2023年案例)

（1） 利用了多种技术：私钥窃取、Web凭证伪造、云账户访问等

（2）展示了复杂的攻击链条

2.NOBELIUM (2024年案例)

（1）使用密码喷洒、云账户访问、应用程序访问令牌等技术

（2）影响到联邦机构系统

紫队的知识来源于ATT&CK（红队）和D2FEND（蓝队）的相关内容。

图2  紫队的工作过程

紫队测试流程详解

1.ATT&CK计划制定

（1）利用威胁情报和案例研究

（2）构建红队行动手册

2.模拟环境要求

（1） 网络基础设施

（2）用户角色设置

（3）应用和服务配置

3.取证需求确定

（1）主机级别日志

（2）网络级别数据

（3）应用程序日志

4.对抗性模拟

（1）红队执行技术

（2）跟踪IOC和C2活动

5.蓝队响应

（1）使用现有工具和流程进行威胁狩猎

（2）追踪发现和检测方法

6.紫队测试

（1） ATT&CK覆盖分析

（2）识别已采取/遗漏的D3FEND防御措施

（3）基于完整取证和红队活动知识开发检测机制

（4）识别额外的防御措施

图3  紫队的完整工作流程

Cisco Talos的安全研究人员关于Akira Linux变体勒索软件的分析报告中说明了Linux勒索软件的现状：

 图4  Linux 勒索软件全景

这是一篇2024年USENIX Security 的一篇文章《How does Endpoint Detection use the MITRE ATT&CK Framework?》，主要探讨了端点检测产品如何整合和使用MITRE ATT&CK框架。研究人员分析了Carbon Black、Splunk和Elastic等端点检测产品如何使用ATT&CK框架。围绕3个主要问题:产品如何使用ATT&CK、为什么不能检测所有ATT&CK技术、产品间应用ATT&CK检测的一致性如何。技术覆盖范围并没有告诉我们可以检测到多少程序级威胁，ATT&CK 90% 覆盖率 == 90% ATT&CK 技术至少有 1 个检测规则。

主要发现：

1.产品使用ATT&CK的情况:

（1）产品优先考虑类似的战术和技术

（2）即使把所有产品结合起来,也无法实现100%的技术覆盖率

（3）厂商经常宣传高覆盖率,但这可能给人虚假的安全感

（4）过滤掉低、中严重性/风险规则，Splunk和Elastic的 ATT&CK 技术和覆盖范围均减半

图5  ATT&CK在各个产品的覆盖率和所有产品合并的覆盖率

图6  过滤低、中严重性/风险规则的各产品ATT&CK覆盖率

2.无法全面检测的原因:

（1）某些技术本质上很难检测

（2）约53种技术未在任何商业产品中实现

（3）主要障碍包括:检测方法无效(39.6%)、针对非主机基础设施(24.5%)、需要客户特定知识(17%)等

图7  安全产品的ATT&CK规则

图8  ATT&CK攻击技术无法检测的原因

3.产品间的一致性问题:

（1）即使检测相同的威胁,产品很少使用相同的ATT&CK技术来描述

（2）ATT&CK本身的模糊性和重叠导致了分歧

（3）不同产品可能将相同的系统日志活动归因于完全不同的战术动机

下图可以解释可能得分歧情况，展示了一个与 Meterpreter（一种攻击工具）相关的命名管道模拟行为，具体命令是：cmd.exe /c echo 4 sgryt3436 > \\.\ pipe \5 erg53

Elastic 的检测规则：将其归类为 T1134 (Access Token Manipulation)

Splunk 的检测规则：将同样的行为归类为T1059 (Command and Scripting Interpreter)和T1543 (Create or Modify System Process)

图9  Elastic和Splunk的归类分歧

MITRE的威胁通告防御中心（Center for Threat-Informed Defense）机构为了使用ATT&CK框架可以全面了解攻击者，开发了攻击技术推理引擎 (TIE) ，这个引擎根据一组观察到的技术推断攻击者可能使用的技术。网络防御者可以使用这些数据来确定威胁搜寻特定技术的优先级，事件响应者可以使用这些信息来突出显示对于威胁驱逐和恢复至关重要的重要横向移动和持久行为。

图10  TIE的产品界面：以钓鱼技术为例，预测后续可能得攻击技术

图11  TIE导出的结果通过Navigator可视化

TIE是一种基于机器学习模型的工具，它通过训练在网络威胁情报上，推荐可能的TTPs（战术、技术和程序）基于已知的输入TTP。这种技术能够帮助分析人员快速理解在已知TTP之后可能发生的情况，基于广泛的威胁情报语料库。

2. 应用场景

TIE与传统安全分析相比，更侧重于使用机器学习技术来预测和识别潜在的威胁行为序列，而不是仅仅依赖于已知的攻击模式和签名。这种方法可以更有效地适应不断变化的威胁环境，并能够识别出新的或未知的攻击行为。

攀登金字塔（Summiting the Pyramid）是一个研究项目，来源于痛苦金字塔，专注于工程网络分析，使对手的规避更加困难。该项目由 MITRE 威胁通告防御中心创建和维护，推动全球威胁知情防御的技术水平和实践水平。

金字塔的前四层专注于短暂的值，对手很容易改变这些值。下一个级别的重点是对手在攻击期间尝试使用的工具类型。最后，顶层重点关注对手在攻击期间表现出的行为。

图12  痛苦金字塔和攀登金字塔的的联系

威胁检测规则的质量评估结果，采用了分层的StP(Summiting the Pyramid)框架：

1.分层结构（从上到下）：

（1）StP 5 (年级别): 能检测大多数子技术攻击

（2）StP 4 (月级别): 能检测部分攻击程序

（3）StP 3 (周级别): 能检测一些内部工具滥用

（4）StP 2 (天级别): 能检测常见恶意软件和黑客工具

（5）StP 1 (分钟级别): 容易被绕过的检测规则

图13  攻击者绕过时间示意图

2.整体评估：

这个数据说明当前的检测规则质量普遍较低，大部分规则容易被绕过，而高质量、持久有效的检测规则较少。这表明需要改进检测规则的质量，提升整体防御能力。

图14  检测规则示意图

针对T1003.001（OS凭证转储 - LSASS内存）攻击技术的分层检测规则示例，从StP1到StP5每个层级的具体检测特征：

1.StP5（最高层）- 核心程序级别：

（1）检测针对LSASS的内核函数调用（NtOpenPrecess或ZwOpenProcess）

（2）这层检测最难绕过，因为它监控底层系统调用

2.StP4 - 部分核心程序：

（1）检测CreateToolhelp32Snapshot API调用

（2）监控从特定注册表路径向LSASS加载DLL的行为

（3）关注特定的API和系统交互

3.StP3 - 预置工具：

（1）检测Rundll32.exe执行comsvcs.dll的行为

（2）监控特定的Sysmon事件（EventID 10，权限值0x1010）

（3）关注系统工具的使用方式

4.StP2 - 攻击者工具：

（1）检测特定进程链（父进程windbg.exe/procdump.exe，子进程lsass.exe）

（2）检测Mimikatz工具的特征命令行

（3）关注已知攻击工具的特征

5.StP1（最低层）- 临时特征：

（1）检测特定文件名（mimikatz.exe）

（2）检测特定MD5哈希值

（3）这些特征最容易被攻击者更改

图15  T1003.001的攻击技术在攀登金字塔的示例

人工智能领域：MITRE 人工智能系统对抗威胁格局 (ATLAS)是攻击者的全球可访问的活知识库，基于现实世界攻击的战术和技术，人工观察和真实演示，情报 (AI) 红队和安全小组。人工智能系统中存在越来越多的漏洞，人工智能的结合增加了现有系统的攻击面，超越传统的网络攻击。ATLAS 可以提高对这些独特威胁的认识和准备，更广泛的人工智能保障领域的漏洞和风险。

图16  ATLAS矩阵

航空航天领域：美国航空航天公司创建了太空攻击研究和战术分析 (SPARTA) 矩阵，以解决阻碍空间系统战术、技术和程序 (TTP) 识别和共享的信息和通信障碍。SPARTA 旨在向太空专业人士提供有关航天器如何通过网络和传统反太空手段受到损害的非机密信息。该矩阵对导致航天器受损的常见活动进行了定义和分类。

图17  SPARTA矩阵

汽车领域：以其在汽车网络安全信息共享方面的领先地位而闻名的汽车信息共享和分析中心 (Auto-ISAC) 推出了汽车威胁矩阵 (ATM)。这一创新举措标志着在加强汽车威胁和风险评估以及整个汽车行业网络威胁情报的分类和共享方面取得了重大飞跃。

图18  ATM矩阵

无人机领域：目前有一篇密西西比州立大学发表的论文，说明MITRE ATT&CK框架在无人机(UAV)监视和侦察(S&R)任务中的应用和适配。主要威胁类型分析：

• 信号干扰(Signal  Jamming)

• GPS欺骗(GPS Spoofing)

• 黑客攻击和未授权访问

• 数据拦截和窃听

• 恶意软件攻击

• 拒绝服务攻击(DoS)

• 网络物理攻击

ATT&CK检测工程是个单独的门类最近几年被反复提及，同时紫队测试在CISA的实践也值得学习，同时还有Linux的勒索软件可能也是一种新的攻击思路。

ATT&CK覆盖率“祛魅”的最有说服力的论文就是今年顶会发的这篇文章，覆盖率本身就是一个表面的内容，不要迷信100%的覆盖率，就跟考试100分的学生能力不一定很强。

MITRE威胁通告防御中心将ATT&CK进行了更加深度的研究，包括预测和对痛苦金字塔的最新事件都有很好的防御思路。

ATT&CK最近一年在不同科技领域继续渗透，AI中的ATLAS框架，航空航天的SPARTA框架，汽车领域的ATM框架，都是ATT&CK方法论的延伸，这些框架也有助于安全研究人员体系化的理解新的科技领域面临的安全挑战。

1.https://attack.mitre.org/

2.https://mitre-attack.github.io/attack-navigator/

3.https://attack.mitre.org/resources/attackcon/october-2024/

4.https://redcanary.com/threat-detection-report/trends/by-industry/

5.Apurva Virkud, Muhammad Adil Inam, Andy Riddle, Jason Liu, Gang Wang, and Adam Bates,”How does Endpoint Detection use the MITRE ATT&CK Framework?”, USENIX Security 24

6.https://center-for-threat-informed-defense.github.io/technique-inference-engine/#/

7.https://center-for-threat-informed-defense.github.io/summiting-the-pyramid/

8.https://ctid.mitre.org/projects/secure-ai/

9.https://atlas.mitre.org/

10.https://sparta.aerospace.org/

11.https://atm.automotiveisac.com/

12.Greer, Jeffrey IV, "MITRE Attack framework adaptation in UAV usage during surveillance and reconnaissance missions" (2024). Theses and Dissertations. 6208.

在当今数字化时代，企业面临着日益复杂和多样化的网络安全威胁。云计算和移动设备的普及增加了网络边界的复杂性和模糊性，使传统的边界防护措施疲于应对更复杂的安全攻击手段。比如边界防护难以防止内部员工或恶意攻击者通过获取合法访问权限，绕过边界防护设施，直接访问企业内部网络。

随着近几年攻防对抗演习、安全建设工作和行业安全交流的大力推行，越来越多的行业单位和机构已经认识到传统边界防护的薄弱，将安全治理工作的重心转移到内网安全领域。由于内部网络远比边界网络的情况更加复杂，安全管理员面对理解门槛和运营难度更高的内网安全问题时，难以开展工作。在实际管理工作过程中出现的挑战主要体现在以下几个方面：

随着数字化转型的推进，传统的柜台业务已发展为完全的线上服务或线上线下双线共存的业务形态，带来大量的软件应用开发和部署，数据中心里业务系统的数量爆发性地增长，安全管理对象激增。与此同时，网络空间规划不合理的弊病在数据中心规模化的过程中一并暴露，导致安全管理问题更加复杂。而安全管理人员关于新系统的业务重要性、敏感性、复杂程度、内在通信逻辑、对外暴露面等各个方面的理解却未能一同增长，难以梳理安全管理工作的分类和优先级，安全建设的推进因而迟滞。

内网攻击具有隐蔽性和内部知识的特点，攻击者往往可以利用已存在的合法访问权限，在内部网络中进行活动，从而隐匿其攻击行为。内网攻击行为通常是低调和渐进式的，攻击者往往会在长时间内悄悄地进行活动，以避免被发现。他们可能利用合法的身份、弱密码和漏洞来持续地渗透、侦察和利用内部系统。这种渐进性的攻击行为使得难以及时发现攻击迹象，从而降低了处置的效果。另外，内网攻击行为具有高度的变化性，攻击者可以使用多种技术和工具来隐藏其攻击行为，例如横向移动、欺骗、隐蔽通信等。这使得传统的安全监控和检测系统难以有效应对。对于大型组织而言，内部网络通常庞大而复杂，更是让防护工作难以开展。

许多组织已经采用诸如HIDS之类的主机安全产品来守护内网安全，对这类渗透攻击的识别的确做出了积极贡献，但这类产品主要用于事中发现，缺少事前防护和事后处置的能力。而EDR这类带有主动防御能力的产品不能友好适配业务服务器的特性，其提供的自动处置能力对业务连续性可能造成负面影响。安全管理员缺少能有效、高效处置已知威胁的手段。

由于业务系统的上线时期、功能作用不同，其部署的形态可能有所区别。传统的选择是将应用部署在虚拟机或物理服务器上，随着云计算、大数据的普及，大量应用系统已采用云化部署的方式。在部分行业内还不乏采用了更先进的容器化部署方案的组织，业务系统被拆分为众多细小的微服务，物理位置变得愈发分散。在大型网络中心内，混合部署环境是常态，不同业务环境的安防和运维内容不同，安全策略需要针对性地适配。而且随着业务云化、容器化的加深，安全策略需要随着业务部署形态的改变而调整，这对于安全管理员而言无疑是巨大的负担。

应对内网防护挑战的一个有效工具是微隔离。

自Gartner在2015年提出微隔离以来，对其核心能力的要求聚焦在东西向流量的隔离上（当然对南北向隔离也能发挥作用），一是有别于防火墙的隔离作用，二是满足云计算环境中的真实需求。微隔离顾名思义是细粒度更小的网络隔离技术，能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求，重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。微隔离平台从以下几个方面解决内网流量管控的问题：

以多视角拓扑图展现工作负载之间、业务系统之间的访问关系，提供统计和分析数据，辅助梳理业务应用的暴露面、访问基线和管理优先级。

按业务系统、组件角色等多维度标签对工作负载进行分组管理，基于标签可配置工作负载、业务应用之间的隔离策略，填补区域内管控的空白。对偏离访问基线的异常流量进行告警和记录，可从网络侧对攻击事件进行处置，隔绝失陷工作负载的网络，切断恶意连接。

提供可统一用于纳管对象的策略，计算引擎实现策略转换对接异构的底层环境，将管理员的工作重心从环境适配牵引到业务层面。随着环境变化自动调整策略，保证策略作用的一致性和稳定性，减少人工参与。

从系统架构的角度来看，微隔离技术可以通过三种方式实现：软件定义网络（SDN）、虚拟层防火墙、基于主机探针。

随着SDN的引入，基础设施技术也得到了改进，使得组织能够选择在微隔离中部署和使用SDN控制器。这种选择可以通过与SDN控制器API对接的第三方安全工具实现，也可以通过直接进行SDN编程来实现。这一方法对那些在网络工程中投资于SDN，并希望从单一供应商获取SDN技术的组织尤为有吸引力。

然而，这套基于基础设施技术的实现方案更适合相对静态的私有云部署，而无法有效保护有可移动性、可扩展性的工作负载，比如基于动态混合云环境的工作负载。这种类型的微隔离可能会引入阻塞点，降低网络性能，使网络工程复杂化。

在VMware的NSX中模拟了SDN控制器的功能，可以实现虚拟化层面的微隔离。对于大规模使用VMware的组织非常适用，能保持用户一致的使用习惯和操作流程。然而，这也局限于特定的虚拟化平台，不适合那些同时使用混合云和虚拟化技术的组织，无法跨环境提供保护。

让控制端驻于工作负载上，直接使用主机防火墙，利用其成熟、灵活、完备的访问控制能力，最大程度发挥已有资源的效能。将安全策略与管控对象在物理层面直接绑定，保证了策略可随着工作负载的移动而迁移，对于动态环境的适配是最佳选择。而且探针可兼容适配不同类型的工作负载，轻松适配异构环境。

相较于其他技术路线，基于主机探针的技术实现相对复杂，需要解决大量探针管理、策略分发、动态调整等问题。但其带来的收益也更为可观。

在三种技术形态之中，基于Agent的实现方案占据主流位置，是国内外厂商的首选。其整体架构包含主机探针、计算引擎和控制台。

• 轻量的主机探针可一键安装在物理服务器、虚拟机、云主机和容器上，在混合的IT环境中也可直接适配，管理员无需关注底层部署架构，只用关注业务逻辑。主机探针以低资源消耗的状态持续采集网络流量数据，接收管控中心的指令并向主机防火墙写入网络策略，以及实时监控异常访问。

  
  

• 计算引擎负责策略计算以及可视化渲染。将标签形式定义的策略转换成IP、端口、协议的形式写入主机防火墙中；在工作负载的IP、标签发生变化后，自适应调整防火墙策略以满足相适应的流量管控要求。计算流量数据在拓扑图里的展示逻辑，以及与策略的适配性，为业务梳理提供依据。

  
  

• 控制台在web端呈现。以易读直观的方式呈现业务访问关系和网络策略，提供策略配置和管理能力，让管理员高效简便地管控网络访问。

相较于另外两种技术路线，Agent-based架构主要具备两个方面的优势：

（1）支持混合异构环境下工作负载的统一管控，用形式一致的网络策略进行管理，极大减轻策略运维负担；

（2）分布式网络管控能力，不存在唯一的网络堵点，流量处理效率高，对通信效果的影响可忽略不计。

数据中心业务流量的可视化展示对于管理员深入理解业务，为后续流量管控提供依据有重要意义。

网络拓扑图涉及流量数据存储、数据加工、前端渲染等各环节，模块框架如下图所示：

用户界面层分为拓扑图可视化模块和交互模块。拓扑图可视化模块将从后端获取到的数据，利用可视化库如G6.js及前端框架如React渲染成带有节点（物理机、虚拟机、容器）以及节点之间连线（TCP/UDP访问）的拓扑图，支持视图切换、子图钻取、画布缩放等功能。交互模块负责数据展示、数据过滤、工作负载属性修改等与后端数据交互的功能。

应用层主要进行数据处理和检索，为用户界面层提供数据和API。数据处理模块负责对探针上报的数据在存储之前进行处理，包括策略匹配、聚合等，以及在策略变更时，自适应更新存量数据的策略匹配情况。数据检索模块为用户界面层的交互操作提供API和逻辑实现，如流量数据过滤、视图变换、信息展示等。

基础设施层通过引入数据库及缓存、消息队列等中间件，实现系统各功能模块的解耦，提供数据复用能力，同时提高系统响应效率。

数据中心工作负载数量可能非常庞大，导致拓扑图需渲染大量节点和连线，给系统内部的数据存储、检索和传输，以及前端浏览器的性能都造成巨大的压力。如何有效应对大规模数据，给管理员提供流畅的使用体验，是需要重点解决的问题。

在数据库选择方面，要考虑高性能、可扩展的数据库。比如MongoDB。MongoDB是一个功能强大、灵活且易于使用的数据库管理系统，适用于各种类型的应用程序，尤其适合需要处理大量非结构化数据和需要高可用性、可扩展性的场景，其在数据分片方面的优良特性，让检索效率更高。若使用传统的MySQL存储，则会存在查询效率低下、分库分表实现复杂等问题。

而在数据结构方面，为了减轻存储压力，应对数据进行适当的聚合，比如源IP、目的IP、目的端口、协议、进程等五元组相同的流量数据被聚合在同一条记录上并计数。同时建立合适的索引，进一步提高查询效率。

为降低系统内部的网络访问开销，可使用分布式内存缓存，如Guava Cache + Redis。Guava Cache是一个功能丰富且易于使用的缓存库，它能够帮助开发人员简化内存缓存的管理和使用，并提供灵活的配置选项和并发支持，以提升应用程序的性能和响应速度。Redis的发布/订阅模式提供了一种简单而强大的消息通信机制，具有实时性、扩展性和解耦性的优势。二者结合保证在高可用环境下各节点内存数据一致。

在UI层可以通过特殊的技巧来优化性能表现。

（1）通过减少非必要图元的渲染来提升性能。拓扑图由各类图元构成，图元可以是节点、连线或标签等。在执行界面交互时，展示关键图元并隐藏其他图元，可降低性能压力。比如拖拽画布时，只显示节点图元而隐藏连线图元。

（2）通过视图的设计，将拓扑图拆分成若干子拓扑图的组合，子拓扑图内部的细节需下钻之后展示，以此减少同一界面中图元的数量。

（3）为避免数量过大导致页面卡顿不可用，可对渲染数量做边界限制，并引导使用者进行筛选以降低渲染数量。

主机探针将工作负载的出入站流量上报至计算引擎，用于流量可视化和策略计算。区别于流量型分析产品，微隔离关注的是访问关系，即IP、端口、协议、进程等信息，并不解析数据包内容。当前主流的流量采集方式有如下几种。

对于一个工作负载，固定时间间隔使用 Netlink 从内核获取当前NetWork NameSpace的网络连接信息，生成快照。前后两次快照的差异代表在这段时间内产生的新连接。这种方式实现简单，但缺点是数据精度不高，如果采样频率过低，采样间隔之间的流量会丢失。

PCAP (Packet Capture) 是一种网络数据包捕获技术，用于在计算机网络中捕获、分析和存储网络数据包。具有实时、灵活、安全等诸多优点，缺点是抓包粒度只能到主机端口，不能抓取进程信息。需要再根据端口关联与监听端口绑定的进程，来获取进程数据。

NFLOG（Netfilter Logging）是一个Linux内核功能，它允许用户空间程序捕获和处理网络数据包。NFLOG通常与Netfilter（Linux防火墙框架）一起使用，用于在数据包经过网络堆栈时将特定的数据包流量传递到用户空间程序进行进一步处理。在Netfilter的链表中写入NFLOG规则，将满足指定条件的流量记录成日志信息，再读取并向服务端上传日志数据，实现流量采集效果。其弊端同样是无法直接获取进程信息，需要通过其他途径关联。

ETW（Event Tracing for Windows）是一种在Windows操作系统中实现高性能事件日志记录和跟踪的机制。它提供了一种可靠的方式来收集和分析系统和应用程序生成的事件数据，以帮助开发人员进行故障排除、性能分析和系统监控。ETW机制基于事件提供者（Event Provider）和事件消费者（Event Consumer）的模型。事件提供者是生成事件数据的组件，可以是操作系统、应用程序、驱动程序或其他软件组件。事件消费者则是收集和处理事件数据的组件，可以是日志记录器、跟踪工具、分析工具或自定义应用程序。网络连接事件是ETW支持的众多事件类型中的一种，可用于微隔离平台的流量数据输入。

数据中心内部东西向流量隔离采用覆盖（Overlay）模式，以基于IP的基础网络技术为主，在对基础网络不做大规模修改的条件下，实现微隔离在网络上的承载，并与其他网络业务分离。

基于主机探针的微隔离平台并不提供软件防火墙，而是借助主机防火墙实现网络控制效果，下面介绍两个主流系统平台的防火墙。

iptables是Linux系统上的一个强大的防火墙工具，可以通过配置iptables规则来控制网络流量的传输和访问。通过在iptables“四表五链”中设置不同规则来实现不同的访问控制效果，如放行、拦截、转发、包修改等。所谓四表指的是：raw、mangle、nat、filter，五链指的是 PREROUTING，INPUT，FORWARD，OUTPUT，POSTROUTING链。

Windows Filtering Platform（WFP）是Windows操作系统中的一个网络包过滤框架。它提供了一种在操作系统级别进行网络流量过滤和检测的机制，通过其提供的API向防火墙内核写入控制策略，实现对网络流量的细粒度管控。

在云化和容器化普遍的现代数据中心里，工作负载的IP不再是一个稳定属性，以IP为直接管理媒介的传统访问控制方式采用静态策略，当工作负载扩容、缩容或漂移的时候，原有的策略不再适用新的业务环境，由人工调整运维策略负担巨大，难以持续管理。微隔离平台在IP之上增加一层Overlay，暴露给使用者的是标签、分组等代表工作负载身份的属性，基于这些属性配置的策略经计算引擎转换成防火墙可识别的IP形式策略。这样的做法带来两方面好处：

（1）由于使用自然语言描述的标签，策略含义容易理解；

（2）工作负载业务性质发生改变后，调整标签、分组即可继承控制策略，显著降低运营成本。

当然，这样一层转换设计对系统的计算能力提出了高要求，策略转换的稳定性、效率要有严格保障。

为了进一步减轻对存量业务的策略构建以及后续运营的负担，系统应当具备根据所采集的流量批量、快速、自动生成策略的能力。首先，应能将访问行为一致的流量聚合在一起，对原始流量数据进行归纳压缩，如应用服务器对数据库集群各节点的多条访问流量，可聚合为应用服务器访问数据库集群这一条访问关系。然后，系统能根据聚合流量推荐合适的策略形式并最终生成策略，免去管理员手动配置策略参数的繁冗工作。

不完整的策略可能导致业务故障，因此在策略真正生效之前应当有模拟测试阶段。系统将流量与策略进行匹配比对，对偏离策略的流量进行标记，而不对其进行拦截，管理员由此调整策略以确保完美贴合业务要求。直到策略调校完善后再真正以阻断效果运行。

策略自适应指的是通过对工作负载IP、标签、分组等属性的持续监控，当属性发生变化时可自动计算相适应的新策略，及时调整防火墙管控行为。主要场景有：

（1）由于网络运维的需要或容器漂移现象导致工作负载IP发生变化，主机探针通过定时获取系统IP或监听IP变更事件，发现IP变化并将其上报给计算引擎，后者向相关工作负载重新下发新的策略。

（2）虚机迁移或集群扩缩容，系统根据工作负载标签的变化计算新的策略，实现策略的及时调整。

微隔离平台一般以接管主机防火墙的模式运行，防火墙中已存在的规则将被执行优先级更高的微隔离策略屏蔽，这样的做法将防火墙管理权限集中收回到微隔离平台，达到统一管理及防止私自篡改的目的。但这样的模式也可能导致原本用于特殊业务目的的规则失效，反而影响业务，比如对流量进行转发的特殊规则被屏蔽后导致流量无法正常转发。因此系统应能检测防火墙中已有的规则并分析是否可能和微隔离策略有冲突隐患，这一特性可能依赖识别规则库，效果取决于规则库的丰富程度。

但也不乏需要在保证原有规则发挥作用的前提下执行微隔离管控逻辑的情况，系统应额外提供防火墙兼容模式，通过调整规则的优先级或写入位置来实现规则共存。典型的场景是运行Kubernetes（k8s）的宿主机，其防火墙被k8s规则重度占用，缺少兼容模式将无法在保证容器正常通信的同时管控宿主机的网络服务。

在业界已有不少微隔离实践方案，帮助企业单位清扫了业务不可视的障碍，建立起可靠的内网防护围栏。下面以某证券单位的实践过程和效果为例，深入了解内网拓扑可视化和控制技术产生的重要价值。

实施对象包含生产及测试环境共近1万台主机，涉及虚拟化平台、云平台、本地数据中心，涵盖Linux和Windows主流操作系统。在部署微隔离平台之前，内网隔离手段主要依靠防火墙，实现区域间隔离，隔离粒度粗，同属一个网络区域的业务系统和工作负载之间没有做任何隔离控制。安全管理员希望实现细粒度的管控效果，对工作负载和业务系统级别的流量进行限制。

（1）资产梳理

在评估实施方案阶段，发现资产管理混乱，不清楚工作负载所属业务系统，缺少基本的先验知识会导致后续策略配置受阻。所以优先梳理工作负载所属的业务系统，通过流量数据定位有紧密联系的工作负载，通过和运维部门、业务部门的协作明确归属关系，在微隔离平台中对工作负载按照业务部门、安全等级、业务系统等多层级进行分组。

（2） 流量学习及暴露面分析

所有工作负载经过3周的流量学习，工作负载之间的访问关系绘制基本稳定。基于流量学习的结果主要完成两方面的分析：定位互联网暴露系统、定位空闲端口。从流量方向可找到与互联网直接相连的业务系统，优先对这部分系统进行管控。筛选出存在无流量端口的工作负载，核实这部分资产是否有风险敞口过大的问题，可通过策略屏蔽不应开放的端口。

（3）策略配置

基于主动学习到的IP、端口、协议等信息，协同业务部门对采集到的访问关系进行核对，判断是否符合正常的业务要求。基于工作负载的分组、标签配置访问控制策略，定义受信的访问基线。由于管理对象数量庞大，分阶段完成策略配置，第一阶段仅对存在高危攻击风险的端口进行管控，在后续阶段逐步完善所有业务端口的策略配置。

（4）测试及阻断

以告警模式运行策略，对偏离基线的访问进行告警反馈，优化调整策略以保证完整贴合业务流量。在这个阶段流量不被阻断，以防不完整的策略影响业务连续性。经过1个月的模拟测试，将策略切换至阻断状态，真正对流量进行受信管控。

（5）策略运营

建立业务变更和上下线的线下申报流程，审批通过后，在业务系统发生变更之前调整策略，再实施变更，以保证流量管控效果和业务访问要求的同步。

通过在混合环境下实施细粒度的微隔离管控，结合流量可视化能力完成资产从无序到有序的梳理、对内网隔离工作划分执行优先级，配置系统级别、工作负载级别、端口级别的细粒度策略，有效阻断横向移动路径，提升纵深防御能力。

-完-

RASP 技术：应用安全的终极防线

• 网络隔离：通过VLANs和微隔离技术，减少攻击者的潜在移动路径。
• 入侵检测系统：部署NIDS以监控网络流量，检测异常通信模式。

• 不受限制的出站访问：不受限制的互联网出站访问会让坏人利用缺乏限制和工作负载保护的漏洞，从云平台中外泄数据。
• 禁用日志记录：有效记录云安全事件对检测恶意行为至关重要。如果禁用日志记录，就没有事件记录，也就无法检测潜在的恶意行为。日志记录应作为最佳实践启用和管理。

• 实施自动化的配置检查和合规性审计。
• 使用云安全态势管理工具，以实时监控和警报配置错误。

• 高达47%云配置错误与身份和权限管理状况不良有关。
• 在 67% 的云安全事件，是因为权限提升超出了要求导致，从而入侵环境并横向移动。

• 利用合法用户账户进行初始访问。
• 通过修改认证过程或攻击身份信息进行权限提升。

• 强化身份和访问管理策略，包括最小权限原则和定期的权限审查。
• 实施多因素认证以增加账户安全性。

• 原因：攻击者利用云身份作为完成初始访问。
• 建议：利用云原生应用保护平台（CNAPP）审核和删除具有账户访问权限的旧用户/旧凭证。

• 原因：云错误配置使企业面临数据丢失的风险。

• 建议：利用可视性和实时洞察力，在错误配置成为问题之前发现它们。内部和外部应用程序安全测试也可提供对潜在危险漏洞和错误配置的洞察力。

• 为多云和混合云计算基础设施（虚拟机、容器、Kubernetes）提供运行时威胁检测

• 防御无文件攻击、勒索软件和0Day漏洞

• 保留工作负载遥测数据，包括短暂的工作负载

• 促进事件响应

• 便捷的CWPP部署、配置和管理

• 满足监管合规要求

• CWPP的功能都支持API化

相比之下， CWPP Agent可针对云工作负载的运行时威胁提供实时保护、检测和响应。实时性是一个关键点，因为勒索软件等运行时威胁可以在几秒钟内对云工作负载进行攻击并渗透数据。

• CWPP 解决方案是否提供实时威胁检测？
• CWPP 解决方案是否能检测勒索软件、0day、无文件和加密挖矿？
• 它能保护虚拟机、容器、Kubernetes上的工作负载吗？
• 响应操作是自动化的吗？它们可以被修改吗？
• 如果需要云连接，判断检测的往返SLA是什么？

• 云虚拟机
  

• 容器化工作负载和Kubernetes
  

• 多云和混合云
  

• 您的CWPP支持哪些云供应商？
• 它能保护包括虚拟机、容器和 K8s 在内的私有云工作负载吗？
• 你们是否同时支持自助管理和托管K8s服务？
• Agent能否作为K8s pod、Docker容器运行，或者直接安装在主机操作系统上？
• 支持哪些Linux发行版？
• 支持哪些容器运行时？
• Windows服务器怎么样？

• 存储了哪些工作负荷遥测数据？
• 默认数据保留期限是多长？
• 延长数据保留期限有哪些选择？
• 数据能否触发自动回复？
• 遥测技术是否以任何方式得到丰富？如果是，如何进行？
• 如何才能最好地利用这些安全数据来优化事件响应和威胁狩猎？

• 查看供应商网站和同行评审平台上的公开参考资料。
• 是否有私人推荐人，可供询问他们使用你们解决方案的经验？(部署、安全性能、稳定性、可扩展性、支持等方面。

• 在哪里可以获取你们的API文档？
• 是否有预制集成？

• 创新性：国内首个主机安全品类的落地产品
• 市场占有率：Gartner、Frost&Sullivan、赛迪等咨询机构报告排名第一
• 稳定性：超细粒度资产清点，超低资源占用，稳定性高达99.9999%
• 客户认可度：为1000+各行业头部客户，800万+核心服务器提供安全防护
• 功能丰富度：1个Agent可实现资产清点、风险发现、入侵检测、合规基线、病毒查杀等多个功能
• 兼容性：主机安全产品中，主机操作系统及处理器适配种类国内第一

热门动态推荐