在上一篇文章《攻防演练中常见的8种攻击方式及应对指南》中，笔者总体介绍了攻防演练中常见的八种攻击方式及针对各种攻击的响应方式。响应作为遏制攻击、缩小攻击影响面的具体执行阶段，被视为攻防演练中的关键一步。

但在对检测到的事件进行处置之前，有一个对事件从识别到评估的过程。这个过程被称为“攻击研判”，攻击研判相当于整个事件响应流程的“军师”，承担分析判断安全事件和决定处置方式的任务。为了帮助企业组织在攻防演练中更好地理解、部署、实施安全事件响应，本文重点以攻击研判为主题，从团队角色分类、具体实施步骤和创新服务模式3个方面对其进行详细解读。

攻击研判的定义及重要性

网络安全中的攻击研判，可以理解为人工层面对攻击事件进行再分析的行为。安全人员针对安全系统或工具发出的告警，通过结合已有的经验和相关工具，来判断其是否为真实存在的攻击，并根据判断结果做出响应的响应、给出处置建议。

一般来说，对攻击事件的分析研判通常从以下4个维度进行：

• 对已发现攻击的来源进行研判；

• 综合分析攻击技术、工具和路径，判断其威胁性大小；

• 攻击意图研判；

• 处置方式判断。

攻击研判，可以看作安全防护流程最为关键的一环。它上承安全告警的分析，下接安全处置的实施，是安全防护过程中技术含量最高的一步。

一个企业组织，拥有攻击研判能力是至关重要的。这样在发生告警的时候，它可以做出正确的判断，进而实施有效的措施，使情况恢复控制。攻击研判，同时也是事件响应过程中最具挑战性的环节：确定是否发生了事件，事件影响面有多大，后续如何遏制或根除异常、可疑活动。

攻击研判中的团队角色分类

为了有效地处理网络安全事件，企业组织需要一个专门从事攻击研判的团队。这个团队的任务是当安全告警发出时，按照既定计划对事件及时进行分析和判断。

以下是一个组织内进行全面、协调的攻击研判所需的角色列表。用户可以根据企业组织的规模、结构以及监管和行业要求来定制此列表。例如，一个人可以担任几个角色，或者几个人可以协调分担一个角色的责任。

表1 攻击研判中的人员角色与任务

攻击研判团队由专业安全人员组成，每个人在处理事件时都发挥着重要作用。

安全运营中心。对每个安全警报进行分类、收集证据并确定适当的行动。轮班工作的分析师必须对网络安全威胁有广泛的了解，他们能够访问各种安全平台和工具，例如 SIEM和EDR解决方案。这些工具会生大量的警报，安全分析师需要能够理解和解释这些数据。如果事件为高优先级或超出技能范围，则需上报事件管理团队。

研判管理团队。管理团队向相关人员提供证据、建议和意见，并确定事件的节奏，确定需要完成哪些任务、谁来完成，以及应该在什么时候完成。所有事件流转和通信也都由管理团队完成。

安全专家团队。他们只参与重要或高优先级的事件。与运营中心的分析师拥有广泛的技能组合不同，专家团队由具有专业技能的个人组成，例如恶意软件分析师和数字取证专家。该团队提供专家技术建议和分析，并由管理团队分配任务。

威胁狩猎团队。尝试确定事件的根本原因并还原攻击路径，为后续响应工作提供信息。确定对手能够在环境中访问和操作的条件。这些条件将为事件分类和事件后续活动提供信息，以调整网络和系统，使其实现更好的安全防护功能。

攻击研判的6个步骤

攻击研判属于安全事件响应的一部分，为了更好地了解攻击研判在整个事件响应过程中的作用，我们可以把列出包括攻击研判在内的事件响应全流程，其中蓝色部分属于攻击研判的流程部分。

图1 安全事件响应的完整流程

在攻防实战中，根据告警发生后防守方的响应流程，我们可以把攻击研判服务，划分为以下6个步骤：

1.攻击告警真实性研判

在接到告警研判服务请求后，安全专家通过内置的研判溯源模型并结合实际环境，快速分析告警主机的进程和操作审计事件，确认告警的真假以及攻击者还做了其他哪些操作，明确告警主机是不是已被入侵，安全专家进行系统性的梳理并给出详细的研判分析报告。

图2 攻击研判的结果分类

如上图所示，对在系统发出警报后好做出响应的处置以前，需要对警报进行确认，是误报，还是真的有告警事件发生？如果告警是真实的，那么攻击者是正在试图入侵的过程中，还是已经成功入侵？只有确认告警事件为攻击者已经成功入侵后，才会启动响应处置。

告警研判的结果和对应措施也可以用下表直观地展示出来：如上图所示，对在系统发出警报后好做出响应的处置以前，需要对警报进行确认，是误报，还是真的有告警事件发生？如果告警是真实的，那么攻击者是正在试图入侵的过程中，还是已经成功入侵？只有确认告警事件为攻击者已经成功入侵后，才会启动响应处置。

告警研判的结果和对应措施也可以用下表直观地展示出来：

表2 攻击研判的结果分类及响应措施

2. 攻击事件调查

一旦确定了告警的真实性，安全专家要通过主机、流量侧的日志以及系统告警等信息，对攻击事件进行调查。并根据攻击行为特征建立一套通用的方法论，生成《XXX事件调查报告》。用户可以根据这套方法论在自己的安全设备中添加检测规则，以便在下次面对相同攻击的时候快速做出响应。

在这个过程中，请参阅以下关键问题以全面了解攻击事件：

• 最初的攻击媒介是什么？（即，攻击方如何获得对网络的初始访问权限？）

• 攻击方如何访问环境？

• 攻击方是否利用漏洞来获得访问权或特权？

• 攻击方如何维持指挥和控制？

• 攻击方在网络或设备上是否有持久性？

• 持久性的方法是什么（例如，恶意软件后门、webshell、合法凭证、远程工具等）？

• 哪些账户已被盗用，这些账户是什么权限级别（例如，域管理员、本地管理员、用户账户等）？

• 使用什么方法进行侦察？

• 是否发生横向移动？如何进行横向移动（例如，RDP、网络共享、恶意软件等）？

• 数据是否被泄露，如果有，是什么类型的，通过什么机制？

3.失陷范围排查

安全事件发生时，对于横向移动主机，安全专家首先会根据现有信息找出一台确认失陷的主机，然后以这台失陷主机的数据以及它的互联关系为线索，在用户系统中展开内网溯源，确认是否存在被横向渗透的主机，并循环此过程逐步找出所有失陷主机，确认攻击影响面及具体的失陷范围。

图3 根据攻击者TTP确定失陷主机范围

4.攻击过程还原

攻击溯源是事件响应的关键，也是安全能力提升的关键。通过对被攻击资产的分析与溯源，还原攻击路径与攻击手法，用户不仅能够有效提升攻防演练效果，还可增强常态化安全防御能力，将攻击事件转换为防御势能，避免二次攻击事件的发生。

5.防守方成果报告整理

在攻防演练中，防守方在完成攻击确认到调查、还原的整个流程之后，需要整理出一份防守报告，阐述攻击的真实性、攻击的覆盖范围、攻击者的攻击路径及行为。并将报告提交给组织方，即可得分。

6.  攻击清除处置建议

最后，根据对攻击者所用技术和攻击路径的反向梳理结果，安全团队要综合分析对方的攻击动机和意图，以及用户自身的防护水平及目的，给出合理的处置建议。

以上6个步骤是安全专家在攻防演练或日常防护中所要实施的攻击研判流程，不同企业的攻击研判服务都大致如此。但虽然流程基本一致，不同企业组织的攻击研判质量却参差不齐，究其原因，在于研判模式的区别。

攻防演练是实战化的安全能力考验，各种高级、未知、高隐藏型攻击威胁，已成为攻防演练的主流攻击方式。一般情况下，攻防演练中的攻击不可能只持续一次，它一定是长时间、周期性、多IP的攻击。这时候要想在系统发出告警后，实现全面、高效率的研判和处置，研判模式必须由单纯的“服务型”向“产品+服务”型转变，除了专业安全人员的服务以外，还需要高可用、高易用的分析研判工具，两者有机结合，才能在面临不同攻击时实现准确、快速、有效的攻击研判。