备战HVV | 中睿天下火力全开 聚焦终端安全响应“利刃”出鞘（备战打仗个人心得体会）

备战HVV | 中睿天下火力全开 聚焦终端安全响应“利刃”出鞘（备战打仗个人心得体会）

HVV行动作为国家级攻防演练具有重大意义，旨在通过检验单位网络和信息基础设施的安全防护、应急处置和指挥调度能力，提高信息系统的综合防御能力，2022年攻防实战演练在即，中睿天下睿眼·主机取证溯源系统专注于黑客入侵活动痕迹的取证与威胁检测，助力关基单位打造高效的终端安全响应平台，积极“备战”，高效“应战”！

终端作为网络空间的基本单元，取得其控制权一直是攻防对抗的终极目标，也是安全防御的难点。终端具有数量庞大、系统多元、用户分散、广泛接入、互联互通等特点，任何一个点都可能成为攻击方突防的目标。网络安全事件一旦发生，需要对可疑和失陷终端进行安全取证和溯源分析，以便取得攻防主动权，这对安全保障团队来说是一件艰巨的工作。此外，安全投入总是有限的，无论我们如何加强，攻击者突破已有安全防线只是时间问题。终端一旦被成功入侵并控制，意味着所有防御体系失效，此时，通过自动化安全取证与威胁分析工具来快速评估攻击影响面，分析攻击源，缩短响应和恢复时间，变被动为主动，对于安全运营能力提升就至关重要。

从MITRE ATT&CK近800种对抗技术来看，约90%的有效攻击活动都将在终端系统上留下痕迹。睿眼·主机取证溯源系统正是专注于黑客入侵活动痕迹的主机取证与威胁检测系统，可全面自动化完成终端安全取证与入侵痕迹检测。在HVV场景下，可作为蓝队最后一道自动化安全检测和响应工具，全面、高效地应对实战演练前安全隐患排查，实战演练中的失陷终端安全应急响应等工作。

睿眼·主机取证溯源系统助力蓝队打赢攻防演练攻坚战

国家级攻防演练从2016年开始已历经6个年头。通过真实网络中的攻防演练，可以全面评估目标所在网络的整体安全防护能力，检验安全监测、防护和应急响应机制及措施的有效性，锻炼应急响应队伍提升安全事件处置的能力。2022年攻防演练在即，睿眼·主机取证溯源系统提供多种部署和应用模式，可为蓝队提供覆盖攻防演练从备战到实战全程技术支撑，助力蓝队打赢攻防演练攻坚战。

备战阶段

睿眼·主机取证溯源系统提供快速在线威胁检测，可快速精准识别黑客工具入侵痕迹，及时消除安全隐患。

临战阶段

睿眼·主机取证溯源系统提供深度威胁检测，可进一步排查不易识别的高级威胁入侵痕迹，基于系统安全运行状态建立安全快照数据基线，并进行自动化快照对比，及时发展系统异常，让任何攻击手段无处藏身。

实战阶段

此阶段一方面需要及时识别各类终端实时安全防护措施是否被绕过，另一方面当发展异常或失陷终端时需要高效进行应急响应。睿眼·主机取证溯源系统定位于终端被入侵后对其痕迹进行检测，可作为蓝队最后安全取证与威胁检测分析工具，通过安全快照基线对比，发展不易检测到高级攻击手段。此外，产品提供基于威胁和时间线可视化关联分析，从入侵遗留的“蛛丝马迹”中发展入侵线索，还原入侵过程，提高终端应急响应与溯源取证的效率和效果。

总结阶段

睿眼·主机取证溯源系统提供覆盖文件系统、注册表、进程、网络、日志、账号、用户操作痕迹等多维度全量终端历史数据，可帮助蓝队安全分析人员进行事件追溯和报告整理提供可靠的证据。

睿眼·主机取证溯源系统关键特性和优势

1、全系统数据采集与威胁分析，黑客入侵痕迹识别”无死角“

相比传统的主机解决方案，睿眼·主机取证溯源系统更专注于攻击者持久化技术和遗留痕迹的检测。产品基于攻击者视角研发，内置数百种恶意活动的检测规则和模型，对主机内恶意软件经常驻留的位置进行强力检测。通过全面采集主机的基础数据，包括文件系统、内存、启动项、用户痕迹、注册表、网络、日志等模块，并对每种模块采用针对性的检测规则和模型，同时进行动态联动分析，高精准地识别黑客对主机的恶意活动行为。

2、多重检测与分析模型，自动化取证与溯源，分析更简单高效

作为用户最后一道自动化安全检测工具，睿眼·主机取证溯源系统设计理念遵循尽可能不放过任何异常数据，同时需要提高威胁识别的准确度。因此，为了实现这一目标，产品采用多重威胁检测与分析模型，每经过一重检测都将提高威胁检测的准确性，可为不同安全人员提供不同的分析视角。

3、静态检测与动态检测相结合，有效识别各类内存马

随着攻防对抗的博弈愈发激烈，传统的以文件形式驻留的后门越来越容易被检测到，攻防已进入内存马时代，其关键在于无文件，利用进程执行恶意代码，特别是一些高级shellcode和webshell内存马可随意地进行变化和还原，并具备反检测机制，给传统的主机安全防护机制带来巨大的挑战。

公司安全研究团队长期研究并跟踪内存马的发展，一方面积累了大量的签名特征库，可有效检测已知内存马，另一方面对内存马注入机制、反检测机制、内存中系统调用行为机制抽象了检测模型，可快速识别各类shellcode和webshell内存马，支持内存马样本提取，为溯源反制提供有力支持。

​

4、支持在线和离线取证溯源，满足各类应急场景需求

一旦主机失陷，安全管理员需要通知现场人员立即排查，也可能先断网再进行事后取证溯源。睿眼·主机取证溯源系统支持在线和离线检测，支持无交互性静默取证检测，可有效支持客户根据不同安全策略下对主机进行的日常安全检查、应急处置的需要。

​

5、良好的环境兼容性，支持主流Windows和Linux系统

睿眼·主机取证溯源系统兼容主流Windows、Linux和国产操作系统。Windows包括Windows XP（SP3）及以上桌面版、Windows Server2003（SP1）及以上服务器版；Linux包括CentOS、RedHat、Fedora、Ubuntu、kali、OpenSUSE；国产操作系统包括优麒麟、银河麒麟、凝思、深度操作系统、UOS等。

产品可通过工具箱、服务器、软件、SAAS等方式进行快捷交付，不同的交付方式可灵活适配日常检测、抽查、巡检、取证、保障、应急响应等各种安全业务场景。

​

6、支持免安装绿色运行，对业务无影响

睿眼·主机取证溯源系统系统架构采用轻量化设计，采集端运行在受检主机，其他部分运行在分析端主机。采集端主要用于收集数据，并不依赖其进行威胁检测。

采集端体积小、支持免安装，绿色运行。使用系统自带的api函数，不会给系统造成不稳定等问题，同时运行后可删除，真正做到方便快捷、无痕采集，可在监管等使用过程中提供更好的用户体验。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。