夜雨聆风多年来,网络安全的运作都基于一个简单的前提:检测恶意软件,阻止攻击。但如今,这个模型正逐渐失效。
攻击者不再主要依赖恶意文件或明显的攻击载荷。恰恰相反,他们正越来越多地利用您环境中既有的东西——受信任的工具、系统原生二进制文件以及合法的管理实用程序。他们使用这些工具进行横向移动、提升权限并维持持久化,整个过程往往不会触发传统的安全告警。
问题在哪里?对大多数组织而言,直到损害已经造成,他们才意识到这种暴露面的存在。为了更好地理解这种风险在真实环境中的表现形式,我们可以通过一种务实、低摩擦的方法,来揭示那些您所信任的工具可能在何时反而对您不利。
以下将深入剖析现代IT环境中正在发生的真实情况,以及为何攻击者更倾向于利用您自己的工具来对抗您。
一、攻击的设计初衷,就是“看起来不像攻击”
现代威胁行为体并不想引人注目,他们追求的是融入环境。
来自超过70万起高严重级别安全事件的数据揭示了一个清晰的模式:84%的攻击现在都涉及滥用合法工具以规避检测。这种通常被称为“离地攻击”(Living off the Land, LOTL)的手法,已成为默认的攻击范式。
攻击者不再引入恶意的可执行文件,而是转而依赖像PowerShell、WMIC或Certutil这类内置工具——这些工具早已被安全方案所信任,并被IT团队广泛使用。它们的活动与正常运维行为极为相似,以至于区分合法管理与恶意行为变得异常困难。
这造成了一个巨大的盲区。安全团队不再仅仅是搜寻已知的失陷指标,他们需要基于行为来解读攻击意图,且通常在实时状态下、缺乏完整上下文的条件中进行。
当某些行为明显看起来可疑时,攻击者通常早已在环境内部站稳了脚跟。这里需要强调的是,这并非检测技术本身失效,而是对手的战术范式发生了根本性迁移。他们不再试图攻破坚城,而是选择乔装打扮,从城门堂而皇之地走入。
这在中国网络安全领域的实战化演练中体现得同样淋漓尽致。我们常说的“未知攻、焉知防”在LOTL场景下有了更深层的含义。攻击者对系统内置命令和脚本环境的利用,使得传统基于静态特征和黑名单的防御体系,极易在“灯下黑”的盲区中漏过关键威胁。对于中国广泛使用的操作系统生态而言,无论是Windows环境下的WMIC、PowerShell,还是信创环境下的各类命令行接口与脚本解释器,都可能成为攻击者“就地取材”的武器库。其核心逻辑是一致的:用环境本身的武器,攻击环境本身。
二、您的攻击面远比想象中更大且更难管控
多数组织都低估了自身环境的暴露程度。
以一个标准的Windows 11系统为例,它在初始状态下就包含了数百个原生二进制文件,其中许多都能在LOTL式攻击中被利用。这些工具天生就被信任,深度嵌入操作系统之中,并且其正常运行往往是业务所需。
这就造成了一个困难的取舍:
直接阻断它们,可能会破坏关键的业务工作流;
密切监控它们,则可能产生海量的告警噪音,使安全运营人员无所适从;
而在许多情况下,组织对于这些工具在哪里可访问、如何被访问,本就缺乏清晰的可见性。
研究显示,高达95%对这些潜在风险工具的访问权限是根本不必要的。在许多环境中,用户——有时甚至是应用程序——的访问权限远超其实际所需。更严重的是,工具常常被允许执行其所有功能,包括那些在日常运维中极少用到,但却常被攻击者滥用的功能。例如,一个仅用于读取系统配置的服务账户,却可能拥有调用WMIC执行任意命令的全部权限。
每一个不必要的权限,都在扩大攻击面。而当攻击者能够完全在已有的、被许可的环境内行动时,传统防御体系从一开始就处于劣势地位。这种内部攻击面的暴露,恰恰是安全研究者与防护平台所要着力帮助现形的问题——不仅仅是外部威胁,更包括攻击者所依赖的内部通路。
这一状况在中国推进数字化转型和核心系统信创替代的背景下尤为值得关注。随着IT架构变得空前庞大和异构,终端种类从传统PC扩展到云桌面、各类国产服务器和智能设备,攻击面管理的复杂度和紧迫性呈指数级上升。与《信息安全技术 网络安全等级保护基本要求》(等保2.0)中强调的动态感知和主动防御理念一致,看清并收敛内部攻击面,已成为实战化安全建设的基石。如果连自己环境中哪些“原住民”工具可被滥用都看不清,纵深防御的“纵深”便无从谈起。
三、仅靠检测,已不足以应对
检测技术并未失败,而是迫使攻击者进化了。
像端点检测与响应(EDR)和扩展检测与响应(XDR)这类方案,在识别恶意软件和明显的异常行为时仍高度有效。但当攻击者利用合法工具进行操作时,检测就变得模棱两可得多。安全团队会不断陷入自问:这个PowerShell命令是预期的吗?那个进程的执行行为正常吗?
与此同时,攻击的速度正在加快。现代攻击活动——通常借助自动化和人工智能加速——其推进速度可能快于团队的调查速度。当安全人员完成一个告警的研判时,攻击者可能已经完成了横向移动并建立了持久化。
这就是为什么仅靠检测已不再足够。挑战不仅在于发现威胁,更在于第一时间减少攻击者可趁之机。这标志着安全理念的中心,正从被动响应转向主动缩减暴露面。
四、可见性鸿沟:多数团队看不到的地方
从理论上说,理解自身的内部攻击面听起来很直接。但在实践中,这一点很少被做好。
大多数组织难以回答以下根本性问题:
环境中到底哪些工具是可访问的?
哪里存在过度或不必要的访问权限?
这些访问模式如何转化为真实、可被利用的攻击路径?
即便团队在概念上知晓这种风险,但要量化它并确定行动的优先级,是极其困难的。正是这种模糊不清,使得这些暴露面得以长期存在。这种可见性的缺失,恰似一个虽知围墙有洞却不知其所在的城池,防御效果可想而知。
这里需要强调的是,这种可见性匮乏并非安全能力不足,而更多是源于传统安全管理视角的局限。我们习惯了将目光投向外部,监测那些试图闯进来的恶意软件和漏洞利用;而对于内部那些“自己人”——系统自带的、管理员日常使用的工具——我们习惯性地给予信任,却疏于审视其被滥用的可能性。这种“内外的认知差”,正是当前攻击者重点利用的缺口。
在中国大规模、复杂业务架构下,这一问题尤为突出。大型企业和政务系统历经多年建设,积累了海量资产,其中可能存在大量未被有效梳理的影子IT、过度授权和僵尸进程。通过类似ATT&CK框架中定义的攻击技术路径,结合对内部资产和权限的深度剖析,才能构建起一张清晰的我方阵地地图,让攻击者的潜在行动路径无所遁形。
五、从被动响应走向主动防御
弥合这一差距,并非始于部署另一款新的安全工具,而是始于获得真正的可见性。
一种值得借鉴的实践是,为组织提供一种清晰的、由数据驱动的视角,来审视受信任的工具如何可能增加您的风险暴露。它帮助识别不必要的访问权限,凸显真实风险,并优先指导修复工作——整个过程不会对用户造成中断,也不会增加额外的运营开销。这是一种从“威胁驱动”向“风险驱动”的运营模式转变,其核心在于,将安全关注点前移,从被动捕捉入侵,转变为主动管理和缩减攻击者赖以生存的土壤。
在中国业界,这一理念正与从“合规驱动”向“实战化、常态化”安全能力建设的转型趋势深度契合。单纯满足合规基线,已不足以有效应对以LOTL为代表的高级威胁。安全负责人需要追问的是:我们的防御体系,在实战演练中,面对利用内部合法工具的横向移动,能坚持多久?我们的告警和响应流程,能否快过攻击者的自动化脚本?这要求安全运营从关注告警数量,转向关注攻击路径的暴露度和防御体系的韧性。
六、以攻击者的视角审视您的环境
LOTL技术正迅速成为常态,而非例外。这彻底转移了安全工作的重心。
最重大的风险已不再是外部的或未知的威胁,它们早已存在于您的环境内部。理解攻击者如何利用您所信任的工具进行移动,是限制这些攻击路径的第一步,也是将一次攻击扼杀在全面展开之前的先决条件。真正的安全,不在于信任围墙,而在于即使身处围墙之内,亦能明察秋毫。
对于行走在数字化转型深水区的中国各行业来说,这意味着一场深刻的观念变革:我们必须从“防住外部威胁”的思维定式中解放出来,将审视的目光转向内部,深刻理解自身环境中的合法工具、账户和权限,是如何可能被转化为最具破坏力的武器。这不仅是一场技术的升级,更是一次安全哲学的演进。它要求我们像攻击者一样思考,持续性地对自身发起无害的“自我审视”,从而在敌人动手之前,先于他们发现并堵塞那些致命的内部通道。毕竟,如果对自己的阵地都缺乏深刻的了解,那么任何防御工事都可能存在为敌人所利用的致命缺口。未来,安全能力的核心体现,将越来越不在于部署了多少检测工具,而在于我们对自己的环境掌控有多深,对攻击者赖以“就地取材”的土壤清理得有多干净。
