2020年网络安全行业报告

1、前言 AT THE BEGINNING,2020，戏剧化的开年，悲伤的消息几乎将人淹没,在已有一段成长经历的人看起来，这是一个相当有科幻感的年份。然而抽离个体至回顾视角来 看，经历了2000的千禧交替，2012的末日之年，我们都还好好的活着。相信当前的阴霾也会很快 过去，春暖花开之际，就在不远处,2020，对网络安全来说似乎也是一个轮回之年,刚刚过去的RSAC，其年度主题似乎进入了老生常谈的瓶颈Human Element。网络安全热 轰轰烈烈绕场几年，各类高级概念频出，各种要求重视的急迫喊话后终究发现，要真正解决问题， 还是不得不回归本质,网络安全问题追根溯源，还是解决攻防问题,而真实世界的攻

2、防，无论发生在物理世界，还是网络的虚拟空间，操纵各类系统、数据、应用 等等工具的背后因素，终归还是人。这是在具备了同样资源的情况下，能把安全问题解决得高下立 见的决定因素,2020，长亭季度漏洞观察报告正式更名漏洞威胁分析报告，从旁观者视角的定量数据 展示，开始逐步走向分析数字背后的意义。更重要的是，基于数字背后的逻辑，梳理安全从业人员 的操作方法论，将漏洞关注优先级和修复的经验复制成能力象限，可以帮助企业/机构安全从业人员 的部分能力碎片找平水位,积少成多，集腋成裘，也是老生常谈的自我激励，用日拱一卒的态度对待任何问题，期待将漏 洞这一网络世界永恒的存在，以更稳妥、更游刃有余的姿势解决,目录

3、,CONTENTS,上篇：年度漏洞威胁回顾与反思 03,01,漏洞视角企业威胁观察,04,1/1 Web漏洞,04 08,1/2 移动端漏洞,02,漏洞威胁应对,11,2/1 渗透测试，真的是合理需求吗 2/2 自动化扫描，能力边界在哪里,11 15,下篇：攻防对抗现状与防御改进 19,03,攻击路径概览,20,3/1 常见攻击路线总结 3/2 防护建议,21 22,04,事与人，未来安全的尺度,24,4/1 全局视角，构建体系化防御思路 4/2 回归本源，探讨网络安全人才培养,24 28,A,上篇,年度漏洞威胁回顾与反思,我们在以何种网络安全姿态进入2020s,报告上篇围绕“漏洞（Vulne

4、rability）”这一网络安全永恒的关键词， 以及人工、自动化工具两类漏洞发现方法进行思考，在分析安全风险 的同时，剖析当前各类解决方案的演进和发展,年度漏洞威胁分析与安全展望 04,Threat Landscape and Management: An Annual Review of Vulnerabilities,01,漏洞视角企业威胁观察,2019年，我国国家级漏洞库平均新增漏洞约一万七千个。国家信息安全漏洞库（CNNVD）共,1,采集17820个，超危与高危漏洞合计约41.1%，中危漏洞占比50.5%；国家信息安全漏洞共享平台,2,CNVD）共收集整理16208个，高危、中危漏洞依

5、次占比30.2%与59.8%，全部漏洞中合计约有,87.4%可用于远程攻击,聚焦至行业案例，2019年全年，长亭科技安全服务团队累计面向金融、互联网、通信、能源、 医疗、教育、传媒等多个行业的数百家企业/机构展开研究。本报告抽取其中的223家进行数据统 计，试图从企业/机构的安全视角，呈现年度漏洞威胁状况,1/1 Web漏洞,在被抽样的企业/机构中，Web漏洞安全威胁数量达6000余个。其中，严重与高危漏洞占比高,3,达40.3%，中危漏洞占比25.7%。回顾全年数据，业务逻辑漏洞与越权漏洞 依旧是出现频率最高的,漏洞类型，两者合计占到了全年Web漏洞总数的36.0%；此外敏感信息泄露与XSS

6、漏洞数量占比分 别为15.2%与13.3,1.数据来源：CNNVD信息安全漏洞月通报,2.数据来源：CNVD漏洞信息月度通报,3. 说明：本质上，越权漏洞也是业务逻辑漏洞中的一种，但由于其漏洞影响较为明确且出现频率较高，故单独列出,年度漏洞威胁分析与安全展望 05,Threat Landscape and Management: An Annual Review of Vulnerabilities,3.2% 0.8,严重,高危,中危,低危,无威胁,30.8,39.5,25.7,数据来源：长亭科技安全服务团队,图1 Web漏洞危害等级,漏洞出现频率和威胁程度决定响应速度,首先解决威胁更大的漏洞

7、，还是消除某类数量更多的威胁，是企业安全人员在衡量工作优先级,4,5,时经常遇到的问题。报告综合考虑了“出现频率”与“威胁程度”两维度水平，绘制了“漏洞威胁象 限”，用于展现在2019网络安全环境下的各类漏洞威胁状况，并为企业安全人员在解决各种不同类 型漏洞时提供优先级参考。对于四象限中的漏洞类型，报告建议的优先级顺序为：高频*高危低频 *高危高频*低危低频*低危,当纳入所有样本的Web漏洞数据，可以看到在经过了长期努力后，对于那些威胁程度较高的漏 洞类型，安全人员已将其控制在较低的出现频率；而业务逻辑漏洞与越权漏洞虽出现频率较高，但 其威胁程度中等或较低,4.出现频率=类别漏洞总数/抽样企业

8、机构总数,5.威胁程度=各危害程度漏洞占比*威胁级别赋值求和,年度漏洞威胁分析与安全展望 06,Threat Landscape and Management: An Annual Review of Vulnerabilities,命令注入,代码注入,低频x高危 高频x高危,任意文件读取 文件上传,弱口令 SQL注入,威 胁 程 度,低频x高危 高频x低危,越权,SSRF,敏感信息泄漏,运维不当,XXE,CSRF,业务逻辑漏洞,XSS,出现频率,图2 长亭科技全行业Web漏洞威胁象限,对于SQL注入、弱口令、任意文件操作、命令注入、代码注入这类一旦出现，就很可能会带来 高安全风险的漏洞类型，

9、企业安全人员应在发现漏洞后的第一时间采取处置措施，消除安全威胁。 以命令注入为例，2019年长亭科技安全服务团队发现的全部此类漏洞中，有81.9%被评定为高危， 更有8.2%被定义为严重。在长亭科技采用的定级标准中，高危漏洞通常可导致攻击者直接获取业务 敏感数据，且有机会进一步获取业务系统权限，而严重漏洞一般可以被利用直接获取到业务服务器 的操作系统权限，甚至威胁企业核心数据,此外，如业务逻辑漏洞、敏感信息泄露、运维不当、越权漏洞等类别，受业务系统的重要程 度、部署位置影响，它们能够造成的危害程度不同，风险定级没有明显规律。回顾全年数据，这些 漏洞的威胁现状呈图中分布，企业安全人员在日常管理中

10、，可根据具体情况决定响应速度。对于出 现频率最高的业务逻辑漏洞，企业仍需在日常的业务上线及巡检过程中加以关注，借助上线前的安 全检测以及上线后的定期漏洞扫描来发现和减少此类问题的产生,受利用方式以及漏洞出现位置的多样性影响，XSS漏洞的威胁定级主要集中在中危和低危，仅 有少量可以直接被定义为严重和高危。这部分漏洞虽然一般不会构成直接的高风险威胁，但由于其 出现频率较高，企业安全人员仍然要加以关注，把此类漏洞的发现和修复作为一项日常工作来推 进。此外对于CSRF这类一般情况下危害程度较低，出现频率也较低的漏洞类型，也需纳入日常巡检 工作中,年度漏洞威胁分析与安全展望 07,Threat Land

11、scape and Management: An Annual Review of Vulnerabilities,不同行业的安全风险差异,行业特点的不同，导致其安全风险也存在差异。如在银行、保险、证券、通信等行业占比最大的业 务逻辑漏洞，其在政府行业样本的全部Web漏洞中却只占到了5.2%，这可以较大程度上归因于政府网 站功能设计和业务特点较为单一，且网站变更不频繁，所以不易发生由设计不当导致的逻辑安全问题。 聚焦教育和医疗两个基础行业，我们发现运维不当类问题占比非常高，分别占到了各自Web漏 洞的27.1%和34.9%。从统计数据来看，此类行业的基础安全运维仍存改进空间，可能需要增加人 力

12、资源投入,针对在信息化和安全建设上投入相对较多的行业中每一类漏洞的威胁现状如何，我们特别面向 金融、互联网两个行业进行了漏洞类别威胁分析。从象限图中可以发现，两个行业均不存在高频高 危的漏洞类型，此外业务逻辑漏洞和越权漏洞的出现频率均位列前二，它们在象限图中的位置也较 为类似，主要是因为两个行业的业务逻辑都存在一定的复杂度。相比金融行业，互联网行业的漏洞 类型分布更加集中在低频低危象限，可见互联网行业的整体安全水平要更高一些。 金融行业因多采用通用型的成熟框架，受到最近几年反序列化命令执行的影响较大，在威胁程 度上以命令注入和命令执行类漏洞为最高，同样位于低频高危象限的其他4个漏洞类型，即代码

13、注 入、任意文件读取、SQL注入、弱口令也应当优先关注。互联网行业多采用更前沿的技术栈和业务 框架，系统中常出现可被直接审计发现进而用于代码注入的漏洞，通过植入特定的语句，即可改变 系统执行的逻辑。所以在互联网行业中，代码注入的风险最高，同样位于低频高危象限的弱口令漏 洞也应当被重点关注和解决,命令注入,低频x高危,威 胁 程 度,任意文件读取 代码注入,弱口令,高频x高危 低频x高危 高频x低危,SQL注入,文件上传,越权,SSRF,业务逻辑漏洞,敏感信息泄漏 XSS,XXE,运维不当,CSRF,出现频率,图3 长亭科技金融行业Web漏洞威胁象限,年度漏洞威胁分析与安全展望 08,Threa

14、t Landscape and Management: An Annual Review of Vulnerabilities,代码注入,弱口令,低频x高危 高频x高危,威 胁 程 度,命令注入 文件上传,SQL注入,敏感信息泄漏,低频x高危 高频x低危,越权,运维不当,SSRF 任意文件读取,XSS,业务逻辑漏洞,CSRF XXE,出现频率,图4 长亭科技互联网行业Web漏洞威胁象限,1/2 移动端漏洞,抽样同等数量的iOS与Android应用测试案例，研究发现Android平台漏洞数量是iOS平台的1.31 倍。全部抽样案例中，至少存在一个移动端漏洞的企业/机构占比93.9%，至少存在一个

15、高危iOS或 Android应用漏洞的企业/机构占比分别为45.5%和75.8,iOS平台中，高中低危漏洞比例分别为9.9%、43.8%和46.3%；而Android平台的高中低危漏 洞比例依次是47.9%、23.3%和28.8,9.9,47.9,46.3,28.8,高危 中危 低危,iOS,Android,43.8,23.3,数据来源：长亭科技安全服务团队,图5 移动端漏洞危害等级,年度漏洞威胁分析与安全展望 09,Threat Landscape and Management: An Annual Review of Vulnerabilities,对比不同行业的漏洞危害程度，可以发现传媒

16、、交通和医疗行业的移动端安全建设与金融、互 联网相比尚存一定差距,平均 银行,证券,保险,互联网金融 能源,通信,体育,传媒,医疗,交通,区块链,高危,中危,低危,数据来源：长亭科技安全服务团队,图6 各行业移动端漏洞危害对比,漏洞出现频率和威胁程度及其应对措施,不安全的储存,密码学实现问题,低频x高危 高频x高危 低频x高危 高频x低危,业务逻辑漏洞,威 胁 程 度,不正确的证书校验,敏感数据明文传输,URLScheme 滥用,未使用SSL Pinning,不安全的用户认证,未启用键盘记录保护 敏感内容输出到日志,不安全的ATS配置,敏感应用未进行越狱检测,内网IP泄漏,未开启Data Pr

17、otection,敏感信息可被截图,出现频率,图7 长亭科技iOS移动端漏洞威胁象限,年度漏洞威胁分析与安全展望 10,Threat Landscape and Management: An Annual Review of Vulnerabilities,如图7所示，iOS平台出现频率最高的三类问题依然是不安全的ATS配置、未开启Data Protec- tion和未使用SSL证书绑定，占比分别为16.7%、13.3%和12%；出现频率最低的分别是不安全的文 件存储、敏感数据明文传输和URL Scheme滥用，占比分别是0.3%、0.5%和1.3%。可见iOS平台 中敏感信息明文存储问题较少

18、，而同样问题在Android应用漏洞中的占比是2.6%，原因主要是iOS 平台不存在任意应用可以访问的SDCard分区，且它为开发者提供了安全可靠的Keychain服务，而 Android系统存储规范松散，于是滋生了很多的不安全存储漏洞。同时从数据明文传输占比可知， 目前App生态中除极个别仍使用HTTP以外基本已经启用HTTPS，而且金融类应用在采用HTTPS协 议的同时大多数还加入了额外加密甚至是完整性校验。在高频高危象限中暂无漏洞，说明iOS应用 整体而言暂未发现通用型的高危漏洞，但开发者应该注意高危低频漏洞，如不正确的证书校验。证 书校验机制是保证HTTPS协议安全有效的基本保障，开发

19、者不应贸然关闭系统及第三方库的证书安 全校验机制,代码可被重打包,明文储存密码,Activity劫持,应用可以被备份,敏感数据明文传输 密码学实现问题,未缓解CVE-2017-13156攻击,不正确的证书校验,低频x高危 高频x高危 低频x高危 高频x低危,威 胁 程 度,不安全的储存,敏感内容输出到日志,WebView安全漏洞,不安全的用户认证,未使用SSL Pinning 未启用键盘记录保护 业务逻辑漏洞,native代码可被调试 访问控制不当,敏感信息允许使用剪贴板,应用卸载无法删除缓存数据 本地认证绕过,内网IP泄露,广播或意图伪造,敏感应用未进行root检测,客户端跨站脚本 客户端路

20、径穿越 客户端SQL注入,出现频率,图8 长亭科技Android移动端漏洞威胁象限,如图8所示，在Android平台中出现频率最高的三类问题依次是Activity劫持、代码可被重打包 和未缓解CVE-2017-13156攻击，它们的占比分别为9.3%、7.1%和6.5%。对于出现在高频高危象 限的漏洞类别，由于利用Activity劫持依然是目前主流金融木马攻击的主要手段，所以开发者需要 对Activity劫持给予更多关注。代码可被重打包和应用可以被备份这两类问题，自Android安全进入 人们视野起就不断被提及，且修复也相对容易，但据长亭科技安全服务团队的一线研究数据，它们 的出现频率依然居高

21、不下。在位于高危低频象限的漏洞中，明文存储密码的问题是开发者完全可以,年度漏洞威胁分析与安全展望 11,Threat Landscape and Management: An Annual Review of Vulnerabilities,避免的，实现用户自动登录的方法完全可以通过保存Cookie来实现，而无需在本地存储高度敏感的 明文密码，除此业务需求以外更不应该存在保存用户明文密码的情况,02,漏洞威胁应对,2/1 渗透测试，真的是合理需求吗,渗透测试“周边”方案盘点,近些年来，“渗透测试”似乎是目前行业中对攻防类服务需求响应最多的概念。大量企业声称自 己需要渗透测试，安全服务供应商也声

22、称自己能够提供渗透测试，双方一拍即合，很多“渗透测试” 服务项目就此应运而生。然而所有这些“渗透测试”服务真的行之有效么？这些“渗透测试”需求又都 是合情合理么,面对上面的问题，答案明显是否定的。其原因可能在于许多人对“渗透测试”这一概念产生了理 解偏差，导致很大一部分项目都在用模糊的目标和模糊的需求进行以商务关系为基础的合作。本节 中我们将剖析“渗透测试”概念并盘点相关的方案和工具，旨在帮助读者明确攻防类服务需求，正确 选择服务方案或工具，少走弯路,渗透测试不是“银弹,首先我们明确一下渗透测试的概念。这里引用CREST标准中对于“渗透测试”概念的描述：渗透 测试是一种道德的攻击模拟，旨在通过

23、实际利用特定场景中的漏洞来验证控制措施的有效性。即渗 透测试的最终目标从来就不是发现应用中的漏洞，而是发现控制措施或防御手段中的“漏洞”。基于 这个认识，我们平时都在做的手工发现漏洞的工作，其实都称不上是标准的“渗透测试”。真正标准 的“渗透测试”方案应当具备以下特点,年度漏洞威胁分析与安全展望 12,Threat Landscape and Management: An Annual Review of Vulnerabilities,a.目标通常为选定的应用或设备。如果目标设定为一个网络，应该至少是应用和设备的集合； b.测试对象不仅涵盖技术控制手段，也包括管理控制手段,c.所有发现的漏洞

24、都要通过真实利用来证明其实际存在，进而证明控制措施及防御手段失效,但是与此同时，渗透测试的短板和限制也凸显出来,a.目标只能是选定的应用或设备，对于未知资产和过程无能为力,b.针对人员要素的审查充满了运气和局限性（社会工程学）； c.理论上无法发现所有问题，甚至无法发现可能存在的问题； d.真实利用漏洞存在风险,e.渗透测试的实施人员必须是专家型人员。因此没有足够的专家人员能够代替扫描器发现所有 常规安全漏洞即便能够解决，成本也是极不合理的； f.测试结果只是某一个时间点的“快照”，会随着时间推移和资产迭代逐渐失去参考价值； g.提供的结果相对技术性，需要放在业务环境中进一步解释； h.多数时

25、候只能“摸黑”猜测实际的防御手段，在进行建议时会与真实的防守人员产生诸多信息 不对称,所以其实标准定义下的“渗透测试”是如此的干涩、生硬，以致让人难以下咽，而现在大家普遍提 供和接受的都是为了优化上述缺陷和限制所不断演进所产生的“变体”，后面我们会一一为大家盘点,五类变体及其选用场景,1. 高仿真黑客“红队,红队”一词在互联网中可考的来源是1992年一部名为Sneakers的电影，大致的含义是一支授权 的、高度仿真黑客行为的攻击队伍。“红队”与“渗透测试”最大的差异就是目标不确定，即“红队”的 评估范围是整个网络以及所有相关资产。“红队”的实施方法和组织形式相比渗透测试而言会更加松 散，甚至更

26、加接近实际的黑客“红队”的行为方式除了不窃取数据、不破坏系统以外，必须和真 正的黑客保持高度一致，甚至包含选拔和培养方式以及价值观的宣贯。因此“红队”适合企业在具备 并落实了安全基本面（基础安全设备、补丁和脆弱性管理、安全制度、人员配备、基本意识等）的 前提下，磨炼整体安全防控能力的场合引入。否则，请先建设安全基本面。如果在基本面建设高度 不完全的情况下强制引入“红队”，除了以高昂的成本证明自己的网络不堪一击外意义不大,年度漏洞威胁分析与安全展望 13,Threat Landscape and Management: An Annual Review of Vulnerabilities,2.

27、 人员要素审查社会工程评估,一言以蔽之，社会工程评估是围绕“人”这个维度进行的专项评估。一次全面的社会工程评估应 当涵盖和“人”纵向相关的所有内容包括关键岗位的安全背景调查、安全管理制度审查、安全意 识评估等。以安全意识评估为例，评估应首先针对岗位和工作内容构建人员风险决策模型，需要评 估包括对风险本质的认识程度、对风险的关注程度、预知风险的能力、对风险准确识别的能力、面 对风险的决策能力、快速并正确消除风险的能力、提前布局和防范的动机和意识、风险获取的渠道 等各方面因素。通过问卷以及基本社会工程手段（鱼叉、水坑、诱导等基本社工场景）对人员风险 决策模型进行赋值，从而全面系统地了解被评估对象的

28、社会工程属性。目前国内业界能够进行整体 社会工程评估的咨询公司有限，多数都以反钓鱼行为管控（APBM）为主（邮件钓鱼+意识培训）。 然而即便如此，APBM的实际作用远比想象中的大太多。因此在针对人员要素的审查层面，选用专 项的社会工程评估会比包含在渗透测试内的社会工程测试更具备优势,3. 上线与合规应用安全测试,准确的说应用安全测试属于风险评估的一部分。我们目前能够提供以及正在接受的“渗透测试” 多数都属于这个类型。应用安全测试与渗透测试的最大区别如下,a.评估对象为“风险”，即有被利用可能的漏洞也需要指出来。多数情况证明漏洞存在即可，不 需要实际利用（不需要而非不能,b.需要尽可能发现并覆盖

29、常规安全漏洞，因此需要覆盖基本测试项并结合扫描器完成。 应用安全测试是渗透测试本地化以及持续演进的产物。应用安全测试用于补充自动化漏洞扫描 在应用层漏洞发现能力的不足，相对于渗透测试对个人技术要求门槛较低，但对于实施方法以及基 本测试项积累等供应商层面的能力要求反而较高。当前现状是业内富有经验的渗透测试专家有限， 攻防类以及技术评估类需求日益旺盛，因此对监管合规以及安全基本面建设更为友好，且人才资源 相对充裕的应用安全测试逐渐占据了市场主导。此外最重要的是，应用安全测试的收费标准远远低 于渗透测试（标准版渗透测试大致的费用为$315每小时）。如果企业需要进行大量的上线测试以及 合规测试，并且以

30、发现漏洞为目标的话，应用安全测试是目前的不二之选。但随着安全评估自动化 和智能化水平不断提高，介于渗透测试及自动化扫描之间的应用安全测试将逐渐被取代,4. 持续渗透仿真违规与攻击模拟（BAS,违规与攻击模拟（BAS）是Gartner从2017年开始重点推广的热门技术之一，然而由于各类因 素影响，该项技术在国内的推广情况一般。作为“渗透测试”的头号替代品，BAS最大的优势是解决 了手工渗透测试无法持续进行的短板BAS可以通过编排模拟各类攻击和违规行为，并设置时间,年度漏洞威胁分析与安全展望 14,Threat Landscape and Management: An Annual Review

31、of Vulnerabilities,计划让这些攻击能够持续进行。和漏洞扫描器不同的是，BAS不仅可以自动化扫描漏洞，还可以模拟 一些非法访问甚至投放钓鱼网站。但是由于BAS可仿真模拟的技术内容太过庞杂，市场中提供的各类 BAS解决方案差异很大并且各有侧重。然而无论哪种解决方案，BAS期望解决的问题和渗透测试是相 同的希望找出防御和控制手段中的缺陷，因此BAS的推广与应用同样存在安全基本面的问题,5. 高度协作的防御专家“紫队,在常见红蓝对抗场景中，这样情况经常发生：“红队”选用外部人员，“蓝队”选用内部运维人 员。“红队”在某个时间点攻破了“蓝队”人员防守的据点，可能由于防御和检测机制失效，

32、“红队”并 不知道据点曾经设置防御手段，“蓝队”人员在事后分析时才发现防御和检测手段在攻击前已经失 效，但此时距离“案发时间”已经很久。这类典型的红蓝对抗通常会存在下列问题： a.“蓝队”人员的应变防御能力没有得到任何锻炼,b.“红队”由于采用了外部人员，红蓝队之间存在SLA层面的对抗关系。“蓝队”并不会主动告知 “红队”防守细节，“红队”自然也无法对“蓝队”的防守细节做切实可行的建议。同时“红队”在复盘时 也会尽可能隐藏自己的攻击细节，以便攻击手段可多次复用,c.“案发时间”过去已久，难以进行确切复盘,大家不难发现，协作程度成为了多数红蓝对抗无法达成预期效果的关键因素。由于这个原因， 一套基

33、于高度协作的“紫队”（红+蓝=紫）方案应运而生。“紫队”与标准红蓝队之间最重要的区别就 是，其攻击和防御方法都是预先确定的。同时紫队模式是协作而迭代进行的，即在“蓝队”一次防守 失败后，“红队”可以通过重放攻击行为让“蓝队”尝试改变策略再次尝试防守，直至“蓝队”具备快速 决策及处置该问题的能力。此时“红蓝对抗”中的“对抗性”消失，输赢已经变得不再重要了。“紫队” 方案的难点在于如何编制一个能够覆盖大多数攻击场景的攻防预案，以及如何掌控红蓝双方的对抗/ 协作平衡点。但是“紫队”方案不应完全替代“红蓝对抗”，因为“对抗性”具备无法替代的实战价值， 因此“紫队”方案作为“红蓝对抗”的补充方案或二次方

34、案将更具成效,小结,综上，“渗透测试”及其“周边”方案，其实依然没有一样是能够一劳永逸解决一切问题的灵丹妙 药现在不存在，以后也不会存在。“安全是一个持续改进的过程”，这句话适用于这个行业中最 具代表性的技术评估方案，也同样适用于我们的所有工作。我们只有在不断演进并完善这些经典方 案的同时寻找创新的替代方案，方能适配日益开放的网络环境和复杂多变的业务需求,年度漏洞威胁分析与安全展望 15,Threat Landscape and Management: An Annual Review of Vulnerabilities,2/2 自动化扫描，能力边界在哪里,黑盒漏洞检测技术的探索,要使系统固

35、若金汤，首先必须知道系统的弱点位置分布，然后针对性的进行加固或修复，发现 这些弱点的有力工具就是扫描器。然而在现实中的很多情况下，企业部署的一些自动化黑盒检测工 具往往表现得不尽人意。自动化测试与人工渗透测试的差距在哪里，如何去缩小甚至补全这些差 距？面对日益严峻的安全形势，黑盒检测工具应当如何进化来满足企业自动化测试的需求？围绕这 些问题，我们尝试探索黑盒检测技术的改进方法,纵观整个安全测试流程，无论是手工测试还是自动化测试，大致都分为两步，一是资产收集， 二是对资产的漏洞检测。资产收集是漏洞检测的前提，而漏洞检测是资产收集的主要目的。接下 来，我们就从这两部分入手，分别介绍黑盒检测技术在应

36、对复杂多变的企业环境时的解决办法,追求全面的资产收集,所谓“巧妇难为无米之炊”，信息收集,主动式,被动式,越全面，发现漏洞的可能性也就越高。对 于自动化工具而言，在面对体量庞大、应 用框架各异的企业系统时，单一的信息收 集手段很难覆盖全面，这时可以向人类攻 击者学习，从多种途径，对多种数据源进 行解析。从数据源获取方式来看，大致分 为两类，一类是主动式获取，一类是被动 式获取,Web爬虫,HTTP代理,子域名收集 端口探测 服务识别,镜像流量 日志文件 VPN,图9 资产嗅探方式,主动式获取是扫描器根据输入的目标主动发出请求获取信息，包括Web爬虫、子域名收集、端 口探测、服务识别等方式，其中

37、的Web爬虫技术在近几年有了很大进步。随着各类Web开发技术的 出现，越来越多的企业采用了前后端分离的模式构建业务应用，在全球17亿多的网站中更是有95% 的站点使用了JavaScript技术。传统的爬虫在处理这类网站时往往是心有余而力不足，而浏览器爬 虫这时就可以大显身手了。所谓浏览器爬虫，就是结合了浏览器渲染技术的爬虫，浏览器爬虫本身 不是一项新技术，早在十年前就有企业在尝试使用Webkit内核来做页面渲染，但这些工具由于存在 先天性的缺陷一直没有得到广泛使用，不过这些问题随着Chromium无头浏览器的诞生都得到了很 大程度上的改善。在使用无头浏览器时，通过控制CDP（Chrome De

38、vTools Protocol）协议中的,年度漏洞威胁分析与安全展望 16,Threat Landscape and Management: An Annual Review of Vulnerabilities,数据就可使浏览器访问指定的网页并渲染，同时配以合适的页面遍历算法，就可以解决新兴Web应 用的爬取问题了,被动式嗅探这种方式是基于已有的流量、日志等数据去分析资产，常见的形式有HTTP代理、镜 像流量、日志、VPN等。这种模式可以和企业的其他安全机制相配合，方便打造企业自己的 DevSecOps，比如可以下载WAF日志并导入扫描器进行测试，也可以和CI/CD流程相结合，为测试 人员配

39、好代理在业务上线前对资产进行安全测试。除此之外，被动获取还有个优势在于，数据源中 的请求或服务信息大都是真实存在的业务数据，这可以和主动式的资产获取形成互补，达到更为全 面的资产覆盖效果,追求准、全、快的漏洞检测,如果说资产收集是扫描过程的开端，那么针对这些资产的漏洞扫描便是整个扫描过程的核心 点。要想在这一阶段取得更好的效果，可以从三个方面来提升,检 测 精 度,检 测 速 度,漏 洞 覆 盖,图10 漏洞扫描核心维度,1. 使用更加科学的算法，提高漏洞检测准确度,自动化检测插件背后的算法本质上是对安全经验的抽象，因此这个问题的解决其实依赖于检测 算法的优化。传统扫描器最喜欢做的一件事是堆P

40、ayload，但Payload的数量从来不该是评判一个扫 描器好坏的标准。通过一些高阶检测算法，漏洞检测其实可以化繁为简，以不变应万变。以反射型 XSS的检测为例，传统的检测方式是通过发送大量Payload，观察响应中Payload的触发情况，这种 检测方式像是无头苍蝇般没有目标性，扫描效果也完全取决于Payload是否全面，而且还可能因为,年度漏洞威胁分析与安全展望 17,Threat Landscape and Management: An Annual Review of Vulnerabilities,WAF被拦导致漏报。而这一漏洞的检测在使用语义分析技术后，将首先对漏洞输出点进行定位

41、，再 针对性的分析输出点的位置特性、闭合特征等构造一个只适用于当前位置的靶向Payload，这样就 可以完全规避掉Fuzzing过程，整个检测过程可以从数十个请求缩减为35个请求，在检测质量和效 率上均有质的提升,2. 全面覆盖可检测的漏洞,扫描器的漏洞库就像是军人的武器库，覆盖的类型越多在检测时才可能发现更多的漏洞。而扩 充漏洞库的方式有两个，一方面要把常见的通用型漏洞覆盖，如SQL、XSS、OpenRedirect等，这 些检测模块可以以一敌百，甚至具备挖掘“未知”漏洞的能力；另一方面是非通用型漏洞的覆盖，如 框架漏洞、服务漏洞等，可是其中的问题在于，这部分漏洞实在是太多了。2019年共计

42、出现了 18938个CVE漏洞，这些漏洞中可以被通用检测模块扫出来的寥寥无几，而想要手工实现这些漏洞 的检测是一件不可能完成的工作，面对这令人畏惧的数量，有一条捷径是版本匹配技术。简单来 讲，版本匹配就是基于应用版本去漏洞库检查当期版本有无漏洞。这里的漏洞库可以由NVD和CVE 的公开数据构建而来，而版本的识别就需要自行实现了，不同的服务有截然不同的版本获取方式， 在确认版本之后就可以构建CPE信息去漏洞库查询，如此便能实现数万漏洞的快速集成。综合来 看，通过提高漏洞覆盖面，可以在同样的资产下扫出尽可能多的漏洞,3. 提升扫描速度，支撑企业大规模扫描需求,在一家中大型企业中，机器数量成千上万，

43、每日新增业务不计其数。在这种情况下，如果扫描 速度很慢以至于扫不完，那即使算法再高效，漏洞覆盖再全面也无济于事。当高危漏洞爆发时，企 业希望能赶在攻击者之前发现业务薄弱点，那么扫描速度就成了与攻击者赛跑的制胜点。在这种场 景下，可以采用“分布式扫描+增量扫描”的解决方案。分布式扫描通过添加扫描节点，根据调度算 法将任务分配到不同的节点上，整体算力大致与节点数量成正比，如此便能极大提升企业安全巡检 的速度。不过每次都进行全量的扫描不仅浪费资源而且容易产生大量的垃圾数据给业务造成困扰， 增量扫描便有效补足了这个缺陷。增量扫描是指每次只扫描相比上次新增的业务，在这种模式下， 系统管理员需要定期为增量

44、扫描设置“零点”，比如可以每周做一次完整扫描，后续扫描便能以此为 基准只做增量扫描，大大提升整体效率,年度漏洞威胁分析与安全展望 18,Threat Landscape and Management: An Annual Review of Vulnerabilities,回顾全文，我们在资产收集阶段力求“全”，而漏洞检测阶段在“全”的基础上，还提出了“快”和 “准”的要求。那么当一款黑盒检测工具实现了上述所有要求后，能否比肩一名经验丰富的渗透测试 人员？从辩证的角度看，这个问题没有绝对的答案。自动化检测在既定的逻辑下，无法像人一样去 思考和决断，但是自动化工具擅长处理大量重复性任务，在对已知

45、漏洞的快速审查上，人的速度又 落于下风。人工检测与自动化检测都是企业不可或缺的安全保障。未来，自动化工具将不断模仿学 习渗透测试人员的行为，变得更加智能和人性化，同安全测试人员一起为企业安全保驾护航,B,下篇,攻防对抗现状与防御改进,从漏洞引入的点状威胁，到形成实际损失的攻防对抗，下篇旨在阐述长亭科技关 于“防守方应当做哪些事”以及“如何培养合适人选”的思考,具体，本篇首先以典型网络结构为例，概览式地呈现了主流攻击路径；之后从 2019年如火如荼的攻防演练出发，详细阐述企业体系化的纵深防御构思；最后 回到人这一网络安全行业发展的本源因素，探究人才培养的目标与有效路径,年度漏洞威胁分析与安全展望

46、 20,Threat Landscape and Management: An Annual Review of Vulnerabilities,03,攻击路径概览,2019/01 安全公司Proofpoint警告称，最近针对某美国大型银行用户发起的网络钓鱼攻,击使用了伪造字体逃避检测。该网络钓鱼工具包含的混淆技术再次显示出恶意,软件作者的不断创新,2019/03,广东警方打掉一个特大黑客团伙，该团伙入侵破坏某游戏公司计算机信息系统,盗取大量游戏虚拟货币，折合人民币价值约880万元,2019/04,微软工作人员发现黑客组织Fancy Bears试图对流行的物联网设备进行攻击,利用受损的物联网设

47、备作为进入目标内部网络的切入点，他们会进一步扫描其 他易受攻击的系统，以扩大这一最初的立足点,2019/07,据外媒报道，黑客入侵了俄罗斯国家情报部门FSB的承包商SyTech，并从那,里窃取了该公司为FSB服务的内部项目信息，数据量多达7.5TB,近年来，网络发展给人们带来了极大便利，但同时，频频发生的安全事件也为人 们的隐私、财产等带来了巨大的安全风险。攻击手段的丰富和攻击技术的持续发 展，给企业的网络安全建设不断带来新的挑战，也对人员提出了新的需求。 “未知攻焉知防”，长亭科技安全服务团队基于实践经验与案例研究，总结归纳了 常见的攻击途径，帮助读者形成一定了解,年度漏洞威胁分析与安全展望

48、 21,Threat Landscape and Management: An Annual Review of Vulnerabilities,3/1 常见攻击路线总结,Internet,Internet,Internet,边缘业务 区域1,区域2,区域N DMZ,办公网,联网设备,内网服务器,研发测试区,第三方,核心区,图11 长亭科技绘制常见攻击路径图,以上图所示的企业网络简化结构为例，恶意攻击者的入侵路径主要有以下几条,面向主要资产寻求正面突破,通常情况下，在企业进行安全建设时主要资产会受到重点关注，因此系统本身的漏洞相对较 少，围绕此攻击路径的防护设备与安全措施相对更严密，所以攻击难

49、度较大，且易被察觉。但由于 资产重要程度较高，一旦有所突破就能有较大的收益，甚至能够长驱直入，迅速控制核心目标,从边缘资产迂回攻击,鉴于主要资产已受到严密防护，攻击者也可以通过全面的信息搜集，选择防护相对较弱的非重 点资产，甚至是企业自身都不甚清楚的边缘资产进行攻击。由于防御与监控缺失，此类攻击难度较 小，但若要进一步入侵核心层，往往还需要通过在内网进行多次横向和纵向扩展，途经多个网络区 域才能达到目标核心,年度漏洞威胁分析与安全展望 22,Threat Landscape and Management: An Annual Review of Vulnerabilities,从第三方进行侧面

50、入侵,现如今，企业的网络环境早已不是隔离的孤岛，不论是与企业有业务关联的上下游单位，还是 第三方的外包公司，在网络上都可能有着互通之处。有的可能因为外包性质，需要企业的内网办公 权限；有的可能出于业务需求，甚至会有专线直通核心层攻击者可以通过首先入侵这些有关联 的第三方，然后再通过第三方与企业的网络关联性，达到侧面入侵的目的。对于不同类型的企业和 第三方关系，攻击者可以得到不同的网络权限，甚至可能直达核心,从人员角度进行突破,人的隐患永恒存在，即使软硬件防护做得再好，终究需要人来使用。攻击者可以运用社会工程 学手段，瞄准员工的安全意识薄弱点进行突破，此时既可以选择具有服务器管理权限的企业员工进

51、 行精准打击，拿到相对高的权限，也可以广撒网谋求基础的内网权限，然后再以此权限为基础进一 步扩散深入。此方法攻击代价小、收益高，也是APT组织颇为青睐的方法之一,利用联网的硬件设备进行入侵,ATM、门禁系统、叫号系统、智能硬件等等，越来越多的硬件设备开始联网互通，一方面极大 的方便了人们的生活，另一方面也带来了新的安全风险。攻击者可以通过联网的设备，利用其网络 互联、隔离不够等脆弱点，实现对目标的迂回攻击,当然，真实环境中的攻击不局限于这五种途径，也不一定必须入侵到核心才会造成企业损失。 但对于这些攻击途径的了解，有助于我们建构完整的攻击链路概念，从而进行针对性的防御部署,3/2 防护建议,从

52、公开安全事件和攻击路径图可以看到，攻击者进攻的手段和方法是多种多样的，而且随着技 术水平的提高愈加难以防范。作为防守者，我们也应当对此有清醒的认识，直面威胁并做好持续对 抗的准备，从以往寄希望于把攻击者彻底隔离于边界之外，转变为利用纵深式的立体防御体系防止 或减少实际损失的发生,所谓“知己知彼百战不殆”，若要做好安全防护工作，第一步需要明确的是“要保护什么”，于是 资产梳理就显得尤为重要了。只有全面理清了自身资产，才能精确分析企业目前的安全现状，进而 对防护体系做出更好的规划和改进，尤其是对于那些已被忽视许久的边缘资产和联网设备。对于大 中型企业而言，由于资产十分复杂，所以此类工作往往是一个长

53、期而持续的过程，只有通过不断的 搜集和梳理，才能对所有资产情况有更清晰全面的认识,年度漏洞威胁分析与安全展望 23,Threat Landscape and Management: An Annual Review of Vulnerabilities,在做好全面资产梳理的基础上，企业一方面需要优化网络结构，做好网络细分和隔离，形成防 御纵深，使得攻击者即使绕过外层边界，仍需突破内部的层层防护才可能到达核心，亦即利用多道 防线阻挡恶意攻击；另一方面，需要在整个纵深体系和攻击路径的关键节点上，部署相关的检测监 控和防御设备，如防火墙、WAF、IPS、IDS、HIDS等，形成全面的防御体系，日常拦

54、截恶意攻击， 并在发生入侵后的第一时间告警,在日常工作中，安全团队不仅需要重点关注攻击突破口，也需要通过基线检查、漏洞扫描、渗 透测试、攻防演练等尽可能多的手段，多角度探查安全漏洞并进行修复，不断强化企业自身系统安 全，同时注意人员安全意识培训和易被忽视的第三方安全管控。此外，还须训练运维人员和安全人 员的应急分析能力和风险评估能力，设立一套恰当高效的制度流程，以便在第一时间发现入侵并及 时有效处理，通过遏制入侵者的攻击活动，防止实际损失的发生,企业需站在持续发展的动态视角，通过适应新的、不断变化的威胁环境，练就覆盖“预测、防 御、检测、应对、持续性监控与分析”的体系化安全能力,全局性的防御思

55、路及日常工作建议将在下一章节详细介绍,年度漏洞威胁分析与安全展望 24,Threat Landscape and Management: An Annual Review of Vulnerabilities,04,事与人，未来安全的尺度,4/1 全局视角，构建体系化防御思路,构建有效的企业安全防御体系大型攻防演练之后的思考,2019年，攻防演练一度成为了安全圈的热门词汇，大大小小的此类活动接连不断。经历过后， 许多企业都会重新审视自己的安全防御能力，甚至是合作伙伴的保障能力。攻防演练的本质是从攻 击者的视角验证企业安全防御能力的有效性，与当前以发现黑客入侵来源为主要目标的渗透测试不 同。本节

56、将从攻击者视角引入，为面临攻防演练需求，或希望建设有效防御体系的企业提供一些实 践建议,复现攻击链,提到攻击，就不得不提到“Cyber Kill Chain”，根据近年来实际攻防演练中出现的攻击方手法， 报告绘制了如下图所示的“攻击链”,年度漏洞威胁分析与安全展望 25,Threat Landscape and Management: An Annual Review of Vulnerabilities,主机日志 设备日志,内网持续渗透,痕迹清除,持续渗透,暴力破解 扫描嗅探,DNS隧道 C&C通讯 TCP通讯,远程控制,侦察,Web漏洞,系统漏洞,Payload集成,敏感账号,利用,武器化

57、,加壳、伪装,关键文件 数据收集,Webshell混淆,安装,Webshell Rootkit,图12 攻防演练中的攻击链,万事开头难，攻击方在选择攻击目标后遇到的第一个问题往往是查找突破口，他们多数都会结 合域名、IP等资产的扫描对目标业务系统进行踩点和渗透，此时Web仍然是主要的突破口。过去的 Web漏洞层出不穷，攻击者可以通过Web服务器，植入变种的Webshell后进一步入侵，获取服务器 权限，并持续收集内网信息扩大战果。许多企业的Web安全存在安全防御缺失，或者安全防护绕过 的问题。很多Web资产并没有被有效发现，或者WAF的防御被绕过了，那么如何第一时间制定有效 的WAF规则成为了

58、企业迫切需要解决的首要问题，也就是封堵攻击方的入口,通过发现、利用边界服务器的漏洞，攻击者往往会获得入侵的第一个入口，如Webshell，甚至 直接获取了服务器控制权。服务器的控制权是攻防对抗的主战场，企业的业务、数据、核心资产都 在服务器上，攻击者的目标往往是拿到核心资产的数据或者控制核心资产的业务从而进一步渗透。 在被渗透的服务器上，攻击者使用变种的Webshell如“冰蝎”等，甚至Rootkit进一步控制服务器。 在入侵内网后，他们往往会持续收集内网的数据信息，并安装多个后门以实现进一步控制，这些后 门往往会利用DNS隧道通讯、C&C通讯等与控制端连接，一些高水平的攻击者往往会擦除日志甚

59、至 制造假的日志来迷惑防守方。攻击的过程是一个持续不断修正的动态过程，一个优秀的攻击者往往 会结合已经获得的信息，持续对目标进行渗透和分析,防守方在这场攻防演练中会变得被动甚至焦虑，如何有效发现攻击者并进行及时的阻拦成为了 亟需解决的问题。常见的防护方式包括，封锁攻击者的IP，设置防护策略，结合现有的安全产品策 略不断分析以及运营修正现有的防护策略等,年度漏洞威胁分析与安全展望 26,Threat Landscape and Management: An Annual Review of Vulnerabilities,建构防守方防御象限,结合攻击者的攻击链以及需求紧急度，笔者构建了一套基于攻

60、防对抗的防守方防御象限，象限 中不只包含产品，也纳入了运营和服务，希望帮助防守方快速有效的部署安全体系，做好防护,防御,检测,WAF,Honeypot NTA,NGFW HIPS,HIDS,SOAR Information Security Analysts,Vulnerability Scanners Threat lntelligence,安全运营,威胁情报,图13 长亭科技绘制防守方防御象限,防御象限是最重要的象限，包含了企业防护的底线产品，以具有防御阻断黑客攻击能力的产品 为主，在真实世界的攻防对抗中，它们能够将大多数攻击者抵挡在外，这里重点介绍WAF、FW、 HIPS。WAF能够抵挡