①偵察跟蹤階段

主要是發(fā)現(xiàn)確認目標，收集目標網(wǎng)絡、服務狀態(tài)、相關人員電子郵件、社交信任關系，確定入侵可能的渠道。

②武器構建階段

主要是創(chuàng)建用于攻擊的武器，比如郵件中的惡意代碼附件、假冒網(wǎng)站或網(wǎng)站掛馬、遠程控制通信服務器等。

③突防利用與安裝植入階段

主要是利用系統(tǒng)或網(wǎng)絡漏洞、管理機制漏洞、人性弱點等將惡意代碼投遞到內(nèi)部目標，獲得對系統(tǒng)的控制權。

④通信控制與達成目標階段

主要是與外部黑客遠程控制服務器進行連接，周期性的確認其存活狀態(tài)，接受指數(shù)據(jù)竊取、信息收集、破壞等最終任務。

黑客的攻擊成功主要還是基于我們目前靜態(tài)的、被動式防御體系的薄弱點，傳統(tǒng)的安全防護體系已經(jīng)逐漸不能適應外部攻擊防護的需要。如何構建新一代安全防護體系成了當前的緊急工程。

二、構建數(shù)據(jù)驅(qū)動的自適應安全防護體系

預測階段

該階段的目標是獲得一種攻擊“預測能力”，可從外部威脅情報中學習，以主動鎖定對現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊，并對漏洞劃定優(yōu)先級和定位。該情報將反饋到防護階段和檢測功能，從而構成整個威脅處理流程的閉環(huán)。這里面有兩個關鍵要素：一是威脅情報本身；二是對威脅情報的利用。

所謂威脅情報，是指一組基于證據(jù)的描述威脅的關聯(lián)信息，包括威脅相關的環(huán)境信息、手法機制、指標、影響以及行動建議等。可進一步分為基礎數(shù)據(jù)、技術情報、戰(zhàn)術情報、戰(zhàn)略情報4 個層次。

基礎數(shù)據(jù), 例如PE 可執(zhí)行程序樣本、netflow 網(wǎng)絡流數(shù)據(jù)、終端日志、DNS 與whois 記錄等；

技術情報, 例如惡意遠程控制服務器地址、惡意網(wǎng)站、電話、釣魚郵件地址、惡意代碼HASH 值、修改的特定注冊表項、系統(tǒng)漏洞、異常賬號等；

戰(zhàn)術情報, 包括已發(fā)現(xiàn)的外部攻擊者和目標信息、攻擊手段和過程、可能造成的攻擊影響、應急響應建議等；

戰(zhàn)略情報, 主要指社會、經(jīng)濟和文化動機、歷史攻擊軌跡和目標趨勢、攻擊重點、攻擊組織的技術能力評估等。

利用這些情報成為后續(xù)防護、檢查和響應的基礎，我們可以與現(xiàn)有防護系統(tǒng)充分結合，自下而上在網(wǎng)絡、系統(tǒng)、終端、應用、業(yè)務各個層面進行外部攻擊的有效預防。

相關資料顯示，65%的企業(yè)和政府機構計劃使用外部威脅情報服務增強安全檢測和防護能力。威脅情報的引入，是從被動式防護專向主動式預防的重要基石。

安全防護階段

該階段的目標是通過一系列安全策略集、產(chǎn)品和服務可以用于防御攻擊。

這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作，主要分為加固與隔離、漏洞與補丁管理、轉(zhuǎn)移攻擊等三個方面。

加固與隔離方面，大部分企業(yè)在系統(tǒng)、網(wǎng)絡及終端方面進行了大量的投入和系統(tǒng)建設，包括使用防火墻、VLAN 等對不同網(wǎng)絡安全區(qū)域進行隔離和訪問策略控制，終端的802.1x 準入控制與隔離，各類系統(tǒng)、網(wǎng)絡設備的安全補丁以及安全配置加固。

漏洞與補丁管理方面，盡管大多數(shù)企業(yè)都引入了漏洞掃描工具，并建立了漏洞發(fā)現(xiàn)、分析、補丁修復的完整工作機制，但漏洞與補丁管理最容易在兩個方面產(chǎn)生疏漏，一是漏洞情報獲取的滯后，二是設備資產(chǎn)梳理不清。非常容易導致信息安全的木桶效應，即一塊短板導致整個防線崩潰。

轉(zhuǎn)移攻擊方面，簡單來說，該功能可是企業(yè)在黑客攻防中獲得時間上的非對稱優(yōu)勢，通過蜜罐、系統(tǒng)鏡像與隱藏等多種技術使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏、混淆系統(tǒng)接口和系統(tǒng)信息。

此項技術對于研究攻擊者手法、檢測防護系統(tǒng)不足甚至刻畫黑客的攻擊畫像等都十分有利，但考慮到該類技術的應用場景復雜性，引入時應考慮更加全面充分。

安全檢測階段

該階段的主要目標是及時發(fā)現(xiàn)各類外部直接的或潛伏的攻擊。在這個階段是傳統(tǒng)安全防護體系中，各個企業(yè)投入大且最為依賴的部分，因此也是構建數(shù)據(jù)驅(qū)動的自適應安全防護架構最需要做出改變的階段。

一是從傳統(tǒng)的只重視邊界流量（如互聯(lián)網(wǎng)與第三方入口的IPS）的安全檢測，發(fā)展為全流量檢測或至少具備任一網(wǎng)絡關鍵路徑流量的檢測能力，因為攻擊者不可避免地會繞過傳統(tǒng)的攔截和預防機制，一旦進入內(nèi)部傳統(tǒng)的檢測防護機制就難以發(fā)現(xiàn)。

二是從靜態(tài)的基于特征碼的檢測，如目前的IPS、防病毒、WAF 等，發(fā)展到基于異常的動態(tài)檢測，正如前面提到的，很多APT 攻擊者利用的是0day 漏洞或者利用經(jīng)過多態(tài)和變形的惡意代碼進行攻擊，無法被傳統(tǒng)基于特征碼的檢測手段發(fā)現(xiàn)，但通過異常行為分析是有可能發(fā)現(xiàn)的。

目前業(yè)界主要通過進入沙箱檢測技術，將網(wǎng)絡、終端、郵件等系統(tǒng)中獲取到的可執(zhí)行文件等在沙箱環(huán)境運行，并觀察相關進程創(chuàng)建或調(diào)用、文件或資源訪問行為、注冊表修改等是否存在異常。

安全響應階段

該階段的目標是一旦外部攻擊被識別，將迅速阻斷攻擊、隔離被感染系統(tǒng)和賬戶，防止進一步破壞系統(tǒng)或擴散。

常用的隔離能力包括，終端隔離、網(wǎng)絡層IP 封禁與隔離、系統(tǒng)進程、賬戶凍結、應用層阻斷和主動拒絕響應等。這些響應措施在新一代數(shù)據(jù)驅(qū)動的自適應安全防護體系中最重要的目標是能夠跟基于大數(shù)據(jù)的安全檢測系統(tǒng)進行有效對接，自動根據(jù)檢測結果進行觸發(fā)或者提示人工判斷后自動觸發(fā)。

因此，在建立下一代安全防護體系過程中，必須把響應階段與安全檢測階段一體化考慮。同時，在做好自身的響應準備時還要充分考慮外部服務商、合作方的共同應急響應或風險傳導控制。