安全有效性验证能力白皮书（文末附下载）

2024年12月23日，知其安召开新品发布会，期间，联合数世咨询，发布《安全有效性验证能力白皮书》。

现将报告部分内容摘要如下。

0x1 行业需求

不同行业，其特点和能力价值不同。

行业	特点	能力价值
金融行业	基于行业最佳实践的有效性验证自动化渗透仿真靶场	降本增效 → 降损增值对已有验证手段（人工渗透）的全面补充指导来年安全建设预算方向量化防御能力
政府监督行业	国家级网络攻防对抗风险 All in One 形式依托于安全运营平台建设项目	对CII标准化防护能力的检查评估深层次问题潜在隐患

0x2 八大关键成功因素

安全有效性验证需要确保第三方中立性
懂攻防更要懂安全运营
安全有效性验证必须实现无害化
安全有效性验证应高度自动化
安全有效性验证需要包含攻防对抗和规则策略绕过的验证
基于最佳实践的验证用例积累
安全有效性验证攻击用例的持续更新迭代
针对验证结果的策略优化

0x3 与传统验证方式差异

0x4 核心能力

逻辑核心

逻辑流程

功能架构

用例设计

0x5 八大应用场景

验证场景是对安全验证诉求最直接的反映，是为了满足实现安全验证应用价值而组成的整合方案。安全验证场景是由安全验证用例组成，但不是单纯的安全验证用例的排列组合。根据验证应用场景下的需要，除了需具备基本的安全验证用例外，还需要对不同的部署架构、验证环境、数据条件、结果判断方式等差异进行设计。

5.1 防御态势感知

现在的态势感知都是基于攻击视角，识别攻击行为，针对攻击事件进行处置。缺乏防御视角的可视化展示，无法快速了解防御体系的现状和问题，没办法知道防御体系的改善。

现在，依据既定的批量计划任务，安全团队可以每十分钟或每小时执行一次预设的验证场景，以此持续监控不同场景下的安全性能，并及时发现潜在问题，例如“安全设备短暂中断”、“实时检测功能延迟”以及“功能模块异常”等。每月，通过在现网环境中使用攻击验证节点对靶标验证节点发起模拟攻击，并借助自动化闭环分析来评估结果，运营团队能够根据验证报告为失效策略制定改进计划并进行优化调整。这样就形成了常态化安全有效性运营。

通过常态化的有效性验证，可以检验安全策略在真实环境中的效能和稳定性，形成基于攻击效果的度量评价验证结果。将这些结果数据以图形化的方式展现；每一个真实的防御部署可看到动态变化的防御能力，形成基于防护场景的总览视图，基于真实防护拓扑的大屏视图，实施掌握全网内的安全防御能力，实现“一张网、一张图”的布防态势展示。

5.2 勒索防护

在勒索防护能力提高方面，已经加强终端、网络、边界侧的针对性防护措施，例如增加了防勒索模块、增加了漏洞排查的频率等，防护能力有了一定的提高，但效果如何？还需要建立常态化、自动化的检查机制，不断的发现脆弱点，及时的修正，形成螺旋式上升的局面，不断的提高防护能力。通过模拟勒索软件从感染植入、传播扩散到加密勒索这三个关键阶段的多种行为模式，系统地收集已部署防御体系的拦截与告警数据。随后，利用自动化比对技术，对这些拦截和告警结果进行深入分析，量化评估防御体系对勒索组织各类动作与行为的有效拦截率及告警准确性。真实反映企业的勒索防护能力，为达到如上效果，有效性验证工作分为三个阶段：

1.感染植入阶段验证

在感染植入阶段，全面模拟勒索软件入侵的初始步骤，以检验防御体系的初步响应能力。在边界防护层面，通过勒索常见的高危漏洞的攻击，模拟黑客利用这些漏洞对边界进行验证。同时，在邮件安全方面，模拟多种形式的勒索病毒邮件攻击，包括伪装成合法邮件、附带恶意附件或链接等，验证邮件安全效果。此外，在终端和主机层面，通过多种勒索软件家族样本和域名请求模拟，验证终端安全防护和主机安全防护的真实防护能力。

2.传播扩散阶段验证

进入传播扩散阶段，重点模拟勒索软件在企业内部网络中的扩散和蔓延能力。这包括模拟勒索软件利用横向移动技术、RDP3389 端口进行爆破攻击模拟，验证访问控制策略。此外，模拟勒索组织通过域名请求下载恶意样本、建立持久化驻留以及与C2 服务器建立通讯的行为，以评估防御体系对勒索软件持续威胁的监测和阻断能力。同时，我们还加入了模拟批处理脚本的执行，如移除防病毒软件、关闭数据备份服务、拷贝敏感数据等，以测试防御体系对恶意操作的识别和响应能力。

3.加密勒索阶段验证

在加密勒索阶段，模拟勒索软件的核心破坏行为，以评估防御体系在最后一道防线上的表现。这包括模拟勒索软件对目标文件系统的加密操作、模拟锁定与破坏、模拟数据销毁或篡改，以验证终端/主机的防护能力；通过这些模拟攻击，全面揭示防御体系在应对勒索软件攻击时的真实能力和潜在失效点。

5.3 自动化安全巡检和监控

在参与国家级、省级、行业的网络攻防工作时，渗透测试和红蓝对抗演练已经成为常规化的关键验证手段，用来检验自身的防御效能。然而，这些手段主要集中在有限的攻击路径上，难以全面覆盖并评估整个防御体系，因此存在缺乏有效全面评估方法的问题。

为了验证防御策略的有效性，须从纵深防御体系的角度出发，审视同一攻击手段在纵深防御各个层面的检测能力，从而识别防御体系中的薄弱环节。应当特别关注验证演练中频繁使用的攻击手段和关键环节，并根据目前所使用的设备，精心设计相应的验证场景和测试用例。在正式演练开始之前，对自我安全防御的有效性进行严格验证，是一个至关重要的步骤。

5.4 分支机构检查

面对集团型企业拥有众多分支机构的复杂场景，通过集团部署的验证平台，实现对分支机构统一化、标准化验证动作的执行，基于验证结果直观呈现出不同分行防护真实情况，及时发现失效，有针对性的补强。

统一标准化验证：区别于传统人工渗透和检验的非标准化，基于平台实现统一、标准化攻击验证，实现各分行验证结果的统一标准化对比呈现。

体系化评价考核：基于平台，实现对不同攻击类型、绕过方式、漏洞利用等多维度攻击向量，体系化的验证，能够实现对各个分支机构基于数据实现体系化评价考核。

提高全集团防护水平基线：通过标准化验证手段，实现对分支机构的防护能力摸排，及时暴露防护风险和问题，有针对性的提高或补强，全面提升全集团防护水平基线。

5.5 对驻场厂商的安全监测能力进行检查和验证

通过有效性验证平台发起的各类社工攻击构造，在企业内组织人员安全意识演练，及时暴露风险，可视化评估输出，统计安全意识薄弱人员，并针对性提供防钓鱼意识培训，从而降低因钓鱼邮件攻击造成的破坏或损失。

5.6 纵深防御

通过模拟常见的APT组织手法、实战攻防入侵手法等，让安全运营人员了解在完整的攻击链路中安全防护的缺失点，能够以真实事件的方式展示防御效果，让企业管理层对安全防御有更直观的感知。同时，可以通过手动创建多链路的用例场景，验证用户在SOC上建立的基于多维度判断规则，避免策略调整后出现非预期的失效问题。

5.7 数据防泄露

通过对各类型敏感数据文件通过不同渠道的外发、及外发过程中各类变形和绕过手法的模拟，验证数据防泄漏的策略状态、提升对敏感数据外发的检测能力。以评估现有数据防泄漏安全策略在防止内部威胁方面的有效性。通过持续的数据泄露模拟和验证，企业能够不断优化其数据防泄露策略，提高整体安全防护水平。

5.8 信创安全

伴随信创的推进落地，企业所部署的系统、网络、安全等产品陆续进行信创改造的同时，也引入了信创相关的安全风险。以网络安全防护为例，信创环境下的安全防护是否与之前的部署防护效力一致是需要企业重点关注的方向。通过信创安全验证，可实现对信创终端防病毒/EDR、信创终端数据安全产品、信创主机安全产品等的有效性验证。帮助企业第一时间发现和优化信创安全产品防护效力不一致、兼容性问题导致的告警延迟甚至丢失漏报、面对新的信创系统/组件漏洞、攻击工具的防御能力受限等问题。

《安全有效性验证能力白皮书》全文获取方式如下：

1、关注“知其安”公众号

2、后台回复“白皮书”获取下载链接