攻防演练第四年的一些碎碎念
0x0 关于趋势洞察
年初在做攻防趋势的总结的时候,就曾提到一个观点在日趋成熟的对抗体系下真正的有效攻击场景(打点成功)粗略可以分为四个主要的场景:
从今年的hvv情况来看,总体结论符合预期;同时今年的hvv情况,整体有效攻击的占比大幅度降低,而明显的漏洞探测反而会导致攻击资源IP被封堵,导致很多蓝队Blueteam在值守的过程中出现了安全设备"静悄悄"的情况;
0x1 攻击手法总结
一些不一样的是攻防场景变化是攻击手法形成二级分化的现象,有效攻击基本无法检测(0day、钓鱼、账号凭据),能够检测到的大部分都是无效攻击的扫描尝试(各类RCE的攻击);并且伴随着防守方普遍的异构、多技术类的安全产品、专业的安全服务配合,导致在RedTeam红队需要花费大量的精力来构造攻击路径与绕过手法,且被溯源的风险很高;
从有效的攻击手法0day与钓鱼的技术分析来看,目前已经面临几个比较大的窘境:
-
1.0day的价值正在递减,“一次性效应”十分明显;攻击者即使有0day、数量也相对有限;要么舍不得用、要么一用就必须能够产生最大效应;否则在当前的环境下,一个0day很快就会被蓝队给分析出来;后续就无法再产生更加的价值了; 2.钓鱼的场景的复现、目前来看是缺少新的套路,钓到"大鱼"的概率越来越小;钓鱼场景的模板/套路缺少更新,结合HW的特殊的时期与用户侧的宣贯,安全意识的提升,“上饵"的鱼价值呈现边际效应递减;
0x2 防守方蓝队的变化
由于安全产品出现成熟、易用性、安全能力、交互体验的提升,用户或多或少自己能够进行简单的研判和分析,部分用户甚至能达到专家层面;故对仅能监测研判处置的蓝队需求呈现下降趋势,对攻击背景的变化、能够调查取证、溯源得分甚至能够协助做安全查漏补缺的专家蓝队需求量大幅度增加;产品的易用性,专业性的提升、进一步促进了用户的成长;
