绝知此事要躬行——落地实践视角下的安全有效性验证

从两个故事说起

1.1 故事一

某银行在针对勒索攻击防护进行的内部演练中，发现办公终端针对经典勒索组织的常见样本都无法查杀，终端防病毒形同虚设。演练结束后的复盘中，定位到原因是一个月前，驻场安全运营人员接到员工反馈终端操作卡顿、怀疑是防病毒全盘扫描导致后，修改全盘扫描时间时误操作，将落盘查杀策略关闭。

后续，该银行基于离朱安全验证平台进行了如下动作，以确保终端防病毒策略保持有效：

用例准备：挑选了100个能够稳定检测的恶意样本用例作为基线验证用例。
常态化验证：在离朱安全验证平台上创建了每天执行一次的周期性验证任务，通过基线用例能否在5分钟内被有效查杀，判断防病毒控制台的落盘查杀策略。
运营闭环：配置了验证结果的syslog外发，当上述任务出现验证失效、即落盘查杀策略失效时，立即通过syslog外发到态势感知感知平台，以“安全防护策略失效事件”的形式给到运营人员，在规定的SLA内完成处置。
定期汇报：建立了防病毒策略有效性周报，每周五下午将过去7天的验证结果以邮件的形式发送给防病毒管理员和安全运营负责人。

1.2 故事二

某央企针对内部攻击队上报的无法防护的payload，在WAF上添加了针对这一payload的单条拦截规则。但是，在下一季度的内部攻防中，依然被攻击队上报了相同类型的变种payload无法拦截。安全团队由此发现，WAF设备上存在防护策略的整体缺失，难以通过单点payload规则的补充来修复。因此，该央企使用安全验证平台针对所有边界防护策略进行了一轮全面排查：

第一阶段：全面策略验证

使用离朱安全验证平台上的边界验证用例，以OWASP TOP10、Webshell上传、近三年高危漏洞等专项场景，选取每台WAF设备范围内的典型站点进行全量验证。
基于用例的标签信息，通过离朱安全验证平台进行自动分析，得到“针对所有同类型payload都无法防护”的攻击和绕过手法组合、即对应的防护策略整体缺失。
对上述缺失的防护策略进行调整和补充，并进行多轮复验，以确保问题修复。

第二阶段：全量站点的策略覆盖验证

针对上述专项场景，在每个场景下选取10个基线用例，用来判断对应的防护策略是否开启。
对互联网边界侧的所有站点，使用基线用例进行验证，目的是确认所有站点的防护策略覆盖情况。
对发现有安全防护策略未覆盖的站点，结合具体的实际业务进行策略调整。

第三阶段：常态化运营

后续，上述动作形成了每季度一次的固定动作，内部攻防上报的无法拦截问题减少了50%以上。

在这两个实际例子中可以发现，安全有效性验证工具在实际落地的过程中，并非简单的任务执行，而是包含了一系列的具体场景、思路方案、和运营动作。那么，离朱安全验证平台是如何一步步从单点验证用例，到面向整个纵深防御体系开展验证，通过安全验证实现安全运营闭环管理，并进而成为企业安全运营中的重要组成部分的呢？且听我们一一道来。

验证用例的诞生——既知攻、更知防

作为国内验证用例覆盖最全面的安全验证产品，离朱安全验证用例遍布边界防护、流量安全、主机安全、终端安全、邮件安全、数据安全、容器安全、云原生安全、信创安全、运行时防护RASP、AD域安全、开发安全、网络策略等维度。海量用例的背后是“攻”和“防”两个维度的投入和积累，并不仅仅是对“如何攻击”的模拟，更包含对“如何防御”的深入理解和分析，以及多年来在有效性验证落地中的经验：

除了基于攻击模拟的“攻击利用”类用例外，离朱还内置了“策略绕过”类用例，用于验证基线策略是否保持有效。例如：

跨网络区域隔离策略的验证、高权限重要系统访问控制策略的验证。
GitHub代码泄露监测的验证。
禁用远程桌面和共享、开启日志日志服务等终端基线的验证。

并不仅仅关注攻击载荷与样本，我们更关注实际企业针对每个用例的普遍防御水平、站在防御的维度该用例对应的防护策略、主流安全设备对该用例的防护效果等信息，并将其转化为用户可见的用例信息，例如：

用例标签：包括但不限于用例的攻击手法、绕过方式、权限要求、环境要求、相关组件等等，这些标签既可以用来筛选用例，也作为用例能力等级的计算依据。
用例能力等级：针对不同类型的攻击用例，给出高、中、低的能力等级参考。
行业水位参考：离朱提供两个维度的行业水位指标——行业平均防护水平和行业较高防护水平，分别对应所在行业所有甲方对这一类用例的平均防护效果、所在行业头部甲方对这一类用例的防护效果。

离朱用例上线前都必须经过严格的内部质检，目的是确保所有用例是现有安全产品可以拦截或告警，且日志闭环结果符合预期。

典型使用场景——绝知此事要躬行

在200+售后客户、600+售前客户对安全验证平台的实际使用过程中，我们总结出了几类典型的使用场景。这些典型场景也在离朱产品上落地成了标准化功能，帮助更多客户将安全验证平台“用起来”。

与此同时，这些典型使用场景在客户侧落地实践中发现的失效问题，也符合我们提出的“721”原则：

在第一部分我们提到的两个案例中，恰好分别对应了核心策略的“常态化巡检”和纵深防护的“全面体检”这两个典型场景：

使用场景一：防护体系的“全面体检”

顾名思义，在“全面体检”场景下，用户会使用离朱全量验证用例，针对纵深防护体系下各维度的安全防护策略进行验证。离朱用户通常每个季度、每半年、或者在攻防演习开始前进行一次全面体检。

在全量用例的验证中，相较于针对单个验证用例的结果、修复单点防护能力的不足，离朱更关注企业安全纵深防护存在的共性问题。这里列举三种离朱能够发现的防护共性失效问题：

问题类型一：针对某一类型所有攻击或绕过手法的防护策略未开启

对单点攻击特征/payload的检测规则补充，无疑是“头痛医头、脚痛医脚”的问题修复方式。我们认为，在现阶段，相较于于无止尽的补充单点检测规则，更有价值的是通过安全验证平台已有的海量用例验证结果，分析发现共性的防护策略缺失，进而通过修复共性问题来提升整体防护水平。
造成这一类共性防护策略缺失的原因，往往是在安全设备上未正确开启和配置防护策略、或者功能模块整体失效。

典型的例子如：在边界防护验证中，仅SQL注入一类攻击就可以产生海量变种payload，离朱给出的答案是“针对base64编码的注入防护缺失”、“针对延时注入的防护缺失”这一类共性的防护策略缺失问题。在第二个案例中，正是运用这样的思路来批量解决防护失效问题。

问题类型二：针对某一类型攻击的防护效力明显低于所在行业的平均水平

对于“如何评价安全防护效果”这一问题，离朱是从同行业水位对比的视角来回答。具体来看，针对每个具体的验证场景，都可以参考两个维度的行业水位指标——行业平均防护水平和行业较高防护水平。对于安全投入有限的企业，建议以行业平均防护水平为目标；对于安全投入较高的企业，则建议对标行业较高防护水平。
相较于行业平均水平不能防护的验证用例，通常都并非能力不足，而是“使用不当”导致的。因此，这一类用例通常被我们定义为“基础级”用例。

问题类型三：经过纵深防护的多道防线，依然无法有效抵御的攻击类型

企业通常会部署由多种安全设备和策略构成的纵深防护体系。因此，对于防护有效性的验证，既需要针对单点设备和策略的“切片式”验证，也需要针对纵深的“漏斗式”验证——即前一层防线已经能够有效防护的攻击用例，不再作为下一层验证的分母，最终得到经过所有防线依然无法防护的风险点。例如，针对互联网边界测的Webshell防护，通常至少包含WAF类拦截设备、旁路流量检测设备、DMZ区的主机防护设备三道防线，发现的目标就是穿过这三道防线都无法拦截或告警的Webshell。

使用场景二：核心策略的“常态化巡检”

离朱用户会基于产品构建评估安全防护是否保持有效的指标，并根据指标建立常态化的巡检任务，形成自动化的失效事件工单、验证周报和月报。典型的常态化巡检指标包括：

覆盖度指标

重点评估边界WAF防护、互联网流量检测对所有站点的覆盖率。
离朱用户通常每周或每月进行一次全量覆盖度验证。
覆盖度巡检中常见的失效点包括：互联网部分业务域名没有在WAF的防护范围内、内网区域网络变更导致NTA流量监测缺失部分网段等。

健康度指标

重点评估核心的防护策略、告警链路是否保持正常，对基线验证用例是否保持防护有效。
离朱用户通常每天进行一次全量健康度验证，针对高度依赖的核心策略，可以每小时进行一次验证。
健康度巡检中常见的失效点包括：检测引擎异常、运维变更导致关键策略误关闭、安全设备原始告警到SIEM/SOC平台的链路中断或延迟等。

稳定性指标

重点评估边界防护和流量检测类设备是否存在漏包漏检。
离朱用户通常在每天不同业务时段各进行一次稳定性验证。
稳定性巡检中常见的失效点包括：业务高峰时段流量检测存在漏包、被封禁IP发起大量请求时IP封禁策略存在漏过等。

使用场景三：事件链路的“真题演练”

安全验证平台还有一个重要的使用场景是，在真实网络环境中低成本发起一次小规模的“攻防演习”：即模拟真实安全事件、过往大规模演习中被打穿的攻击链路，验证是否存在相同的防护失效和防护薄弱问题。“真题演练”的背后是灵活的自定义编排用功能，既能使用开箱即用的经典事件模板，也能够通过对链路的攻击阶段、攻击顺序、执行条件、分支动作，结合不同种类的自定义用例，构建专属的验证链路。

验证结果的持续运营——任务执行远非终点

除了验证结果和量化指标外，深度使用的离朱用户还会关注针对验证结果的运营动作，以确保将适配实际环境的、准确的、可运营提升的验证数据纳入安全运营整体闭环流程中。离朱用户常见的运营动作包括：

针对验证结果的校准：适用于无法完全自动获取验证结果的场景，这是需要运营任务手动对部分验证任务修改结果进行校准，例如部分特殊类型的安全设备不支持通过告警日志的自动外发。
针对失效问题的复验：当失效问题已经被修复时，不需要重复执行全量验证用例的“全面体检”，只需要对上一次验证发现的失效部分重新验证，并且使用重新验证之后的结果自动重新生成统计指标。
针对失效点的加白：

针对单个任务/子任务结果的加白，我们通常称之为临时加白，适用于策略调试、网络波动等特殊场景下，单个任务的结果不具备普遍代表性，因此选择不纳入后续统计中；
针对验证用例的加白，我们通常称之为长期加白，适用于暂时不关注、不纳入验证范围的攻击类型或具体攻击手法，例如用例对应的组件在企业内已经全面禁止使用，使得该用例对应的攻击手法不具备成功执行的条件时。

离朱用户的验证数据并不会仅停留在平台上，而是会通过多种形式嵌入安全运营的整体流程之中，“将安全验证作为安全体系的重要部分”才不会成为一句空话：

基于常态化周期性验证任务的结果，自动形成安全有效性周报和月报，汇总统计一周/一月内各类设备的核心策略有效情况，通过邮件定时外发至对应安全设备管理员、安全运营负责人。

对核心防护策略的有效性结果，结合包括网络区域、核心资产、安全设备等要素的企业实际安全布防图，形成和传统攻击视角的态势感知并行的“防御态势感知”。

通过syslog、API等形式和SOC、工单系统对接，将验证发现和安全失效问题作为安全告警的一种类型，纳入到统一的安全事件处置流程中，形成对应的标准运营动作SOP、响应时间MTTR要求等。

总结

越来越多的甲方用户，通过离朱安全验证工具：

离朱安全验证工具，成为承载甲方安全运营体系落地的平台。在200+遍布各行业的售后客户中，安全验证正在释放出越来越大的能量，持续创造价值。客户的专业度和热情，也一直激发着安全验证的潜能，让离朱产品持续迸发出新的活力。通过和客户的持续共建，离朱和安全有效性验证的想象空间还远未到达尽头，我们也会不断将更新的、更高水平的安全运营产品和使用实践分享出来。畅想远未结束，变革正在发生，我们永远在路上。

安全验证，让安全创造价值。

精彩回顾