1.何为“敌情想定”：从价值资产出发分析威胁与关联风险后果

“敌情想定分析框架”是安天基于专业对抗经验和客户业务特性，从资产环境和运行价值出发，将用户本身的资产环境、运行价值与威胁行为体的攻击动机、攻击途径进行关联，通过分析用户资产环境可能受到哪些威胁行为体的攻击，受到网络攻击后可能产生的自身资产与业务风险和与其相关联的国家安全、社会安全、政企安全、公民个人安全等风险，所建立的一套分析框架，依托敌情想定分析框架，可以为拟定网络安全规划、制定预算提供测算数据，还可以开展威胁猎杀、对抗式推演和攻防演练等工作。

图1：敌情想定分析框架——安天出品

2

2.安天威胁猎杀：以系统安全为支撑，围绕运行对抗展开

网空杀伤链是攻击者将自身的攻击意图封装为执行体武器投放到目标场景中运行致效的过程，虽然绝大多数的攻击执行体是恶意代码，但黑加白的混合执行体攻击也日趋流行。随着数字化与业务的发展，主流应用都是端到端的，攻击者面向目标节点的直达能力也不断增强。随着资产云化、泛在接入，特别是加密协议的广泛使用，网关侧、流量侧的网络威胁可见性高度下降。攻击者的载荷投放、运行控制等操作都被掩盖在加密协议之下，直接穿透传统的安全边界和网关直达终端，最后在云端系统实现持久化、长期远控和致效。这种情况迫使当前的威胁猎杀工作必须落实到云、端系统侧，围绕攻击者所投放的攻击载荷和持久化链展开细粒度工作。此外，由于APT攻击伴随着的持续性远程控制和信息窃取。传统的以定期检查、评估模式的威胁猎杀在发现安全事件时，内部关键节点已长期失陷，关键数据早已被获取，因此威胁猎杀需要依托成熟的EDR产品的先进反病毒引擎和实时主防能力实现实时化、常态化展开。

针对高级持续性威胁，安天以系列核心产品为支撑，将威胁猎杀划分为威胁猎杀分析、现场协同与后台支撑服务、现场排查三个层面，构建以系统侧产品能力为支撑，以流量侧产品能力为辅助，常态化猎杀和深度猎杀相结合的威胁猎杀体系。

图2：安天威胁猎杀体系

依托“敌情想定”推进威胁猎杀的关键环节

3.1 我情：明确资产、价值与后果影响

对关键信息基础设施和重要网络信息系统开展威胁猎杀初期，威胁猎杀分析师制定信息采集需求，并基于对客户的网络拓扑结构、资产信息、网络中部署的采集设备等信息的充分了解，制定相应的部署方案。

在终端部署安天智甲采集全网终端资产，基于资产对关基业务的支撑价值，标注核心终端。在云工作负载部署睿甲，依托睿甲梳理云环境资产，评估云资产存储数据的价值权重，明确云资产防护优先级。在网段的出入口、连接重要主机的交换机处部署探海，实现流量采集。结合追影威胁情报平台和XDR，初步排查全网已知威胁与关联异常。

结合资产价值与关基业务特性，明确不同资产受攻击可能产生的多层面后果。在价值数据层面，研发终端、数据库服务器受攻击可能导致重要数据失窃、核心数据被损毁。在业务运行层面，生产控制终端、云主机受到攻击可能引发系统瘫痪。在关联影响层面，关基系统故障可能关联传导形成连锁风险，如代码文档失窃、生产线停摆、在线服务中断等严重风险后果，并进一步关联到国家安全风险、社会治理安全风险和公民个人信息安全风险。

3.2 敌情：假设行为体与动机、分析战术与能力

结合我情分析中的资产价值与可能产生的风险后果，威胁猎杀分析师结合地缘政治、大国博弈等因素具象研判关基资产可能受到哪些威胁行为体的攻击、其攻击的动机以及如何利用技战术实施网络攻击。提出假设分析的数据支撑一方面来自采集的全量信息和对全量信息观测调查而产生的异常威胁线索；二是借助XDR对异常和数据标签进行汇总调查观测，对发现威胁线索进行可视化分析、拓线分析、案例分析、时间线分析得到更有价值的威胁线索；三是追影威胁情报平台中威胁行为体的历史攻击线索。威胁猎杀分析师通过综合分析形成对环境中持续威胁活动的猜想，提出相应的假设。

3.3 验证：捕捉痕迹、固定证据，以验证假设

好的假设能够带来好的猎杀，提出的假设需要通过搜集和提出证据来进行检验。依托智甲、睿甲、探海、XDR开展定向调查观测，发现终端异常、日志异常、网络异常，输出数据标签。现场工程师协同相关人员基于现场取证节点清单进行取证调查工作，通过智甲、探海、XDR、拓痕构建取证链，固定样本与痕迹，生成取证报告。威胁猎杀分析师基于定向调查观测获得的异常、数据标签以及取证报告进行汇总调查观测，发现新威胁线索。提出的假设可以在可访问的数据中找到蛛丝马迹，并得以验证。基于验证结果和威胁线索，威胁猎杀分析师更新假设，最终获得最可信的假设。

3.4 闭环：威胁清除、加固防御和迭代改进

对验证成立的威胁，依托智甲、睿甲、拓痕开展威胁清除和加固防御。拓痕能够提供灵活机动的深度专杀能力，生成分析报告和处置建议。威胁猎杀分析师可依托拓痕指导智甲、睿甲、探海、XDR更新检测规则和优化安全配置。在主机侧，用智甲管理端一键下发任务，清除终端恶意进程、删除恶意文件，依托睿甲排查和修复云工作负载漏洞，优化安全策略以排查持久化风险。针对持久化入口，面对内核对象、驱动、引导链、固件等进行深度排查处置。根据可能产生的风险情况进一步为客户重新安装部署系统或实例，必要时提供替换设备的建议。同时优化安全配置，阻断同类攻击入口。威胁猎杀分析师将威胁猎杀中发现的新威胁特征更新至探海、追影威胁情报平台和XDR，支撑后续威胁线索分析。

4.面向关基防御场景实战概要

威胁猎杀工作以常态化、临时化的工作方法协助关键基础设施、重要行业和政企单位等高价值系统降低网络安全风险隐患，使其即使面对高能力网空威胁行为体也能达到“防患于未然”的要求。我们针对历史的服务猎杀工作，提炼了3个场景下的想定与猎杀步骤的基本概要。我们还将在后续的文章中针对关基防御场景提供威胁猎杀的具体实操步骤和注意事项。

➢ 场景1：APT攻击潜伏猎杀（政企/关键基础设施）

敌情想定要点：

锁定针对行业的APT组织，预判其通过“供应链漏洞→云主机植入后门→终端横向渗透→窃取核心数据”的路径攻击，目标为生产区云主机与研发终端。

“产品+服务”协同猎杀步骤：

（1）情报与资产准备

威胁猎杀分析师用追影威胁情报平台调取被锁定APT组织的历史TTP（战术、技术、过程），用智甲梳理研发终端资产、识别终端风险点，用睿甲盘点生产区云主机资产、排查云环境漏洞，明确猎杀靶标。

（2）威胁监测与取证

依托探海监控网络流量，威胁猎杀分析师用智甲、睿甲、探海、XDR、拓痕开展取证，智甲提取终端日志，睿甲采集云主机操作记录，探海留存流量包，XDR关联多源数据还原攻击链，拓痕固定样本痕迹。

（3）清除与加固

威胁猎杀分析师用智甲清除终端后门，用睿甲修复云主机漏洞，然后更新敌情想定，将后门特征录入XDR，并指导客户迭代更新XDR配置规则实现常态化监控。

➢ 场景2：定向勒索攻击猎杀（医疗/教育/中小企业）

敌情想定要点：

锁定勒索团伙（如LockBit家族），预判其通过“钓鱼邮件→终端植入木马→窃取回传信息数据→静默加密文件→弹出勒索提示”的路径攻击，目标为某医院HIS系统终端、医疗数据库终端，潜伏周期较长。

“产品+服务”协同猎杀步骤：

（1）资产与威胁预判

威胁猎杀分析师用追影威胁情报平台获取勒索病毒最新变种特征，用智甲扫描HIS、医疗终端等系统，用睿甲梳理对应云环境中的虚拟终端资产，标注存储核心数据的终端，明确防护重点。

（2）潜伏监测与取证

依托智甲、睿甲、探海、XDR开展行为监测，智甲监控终端异常进程、睿甲排查虚拟终端可疑行为，探海捕捉恶意程序与C2服务器的通信数据，XDR关联数据确认感染终端；用智甲、探海、XDR、拓痕取证，留存病毒植入痕迹与样本。

（3）应急处置与加固

威胁猎杀分析师用拓痕专杀工具，结合智甲、睿甲批量清除病毒，同步备份终端（含虚拟终端）核心数据，防止勒索风险，然后指导客户用安天智甲开启邮件附件查杀，更新敌情想定，补充病毒特征，更新优化安全产品防护规则。

➢ 场景3：内部异常行为猎杀（科技/制造企业）

敌情想定要点：

预判内部高风险人员（如离职前员工）通过“办公终端拷贝数据→私人邮箱/U盘外发→删除操作日志”的路径窃取核心数据，目标为客户数据库终端、研发代码终端。

“产品+服务”协同猎杀步骤：

（1）资产防护准备

威胁猎杀分析师用智甲、睿甲分别标记客户数据库终端、研发代码终端（含云环境代码终端）；依托智甲的外设管控功能，限制这些终端的U盘接入，构建基础防护。

（2）异常监测与取证

依托智甲、探海、XDR构建监测体系，智甲记录终端异常文件拷贝行为，XDR、探海关联邮件日志发现数据外发尝试；用智甲、探海、XDR、拓痕取证，提取终端操作日志和网络通信记录，留存数据窃取证据。

（3）阻断与规则优化

威胁猎杀分析师通过智甲管理中心下发任务，冻结涉事账号权限，用睿甲阻断涉事账号对云环境代码终端的访问，然后更新敌情想定，指导客户对智甲“异常文件拷贝”告警规则进行配置，最后通过XDR关联“终端操作+邮件/API行为”的监控模型，实现提前预警。

5.总结

安天威胁猎杀服务针对具有隐蔽性、持久化定向攻击的APT威胁，依托智甲、睿甲云端防护产品的能力，以及拓痕等专业工具，改变原有以面向整个网络信息系统的普查性威胁猎杀，通过细化网络安全防御、深化用户自身面临的敌情想定，具体落地到实现节点的分析响应处置中，从而建立深度有效的关键信息资产威胁猎杀能力，针对性地提升常态化防御能力。

安天在勒索软件对抗领域拥有长期而深厚的技术积累。从2006年国内较早跟踪并命名“Redplus敲诈者”木马，到2015年发布行业深度报告《揭开勒索软件的真面目》，再到2017年在WannaCry事件中全球率先发布专杀工具与应对指南，安天始终站在威胁研判与应急响应的前沿。至今，我们已持续针对LockBit、GandCrab、Sodinokibi等主流勒索家族发布分析报告与处置建议，累计输出相关技术文档逾八十篇，形成了对勒索威胁演进的持续洞察。

当前，勒索攻击呈现出几个明显趋势：攻击数量持续增长，赎金金额不断上升，“多重勒索”成为标配，“无加密勒索”开始出现。反勒索的决胜关键不在于“加密后能恢复多少”，而在于“能否在运行前成功阻断”。企业需要彻底转变防御思路，将重心从事后补救前移至事中阻断和事前预防。安天智甲基于「执行体治理」理念，将防御重心从“备份恢复”前移至“运行对抗”，构建「运行对抗」防御范式，实现了从传统数据备份到终端运行对抗的根本性跨越。

未来，随着AI技术的发展，勒索攻击必然会变得更加智能和隐蔽。针对 AI 驱动的勒索威胁，安天智甲已在「运行对抗」体系中融入执行体AI分析检测模型，安天自研的垂直大模型VILLM（Virus Inspection Large Language Model），能够直接理解二进制数据，具备远超常规模型的上下文窗口，能够有效解决传统检测技术的局限性，其威胁的检测能力具备更强的泛化效果和鲁棒性，在网络安全领域大模型测评机构“CS-Eval”测评中综合排名第二。安天也将继续深化「执行体治理」理论研究和工程实践，完善「运行对抗」技术体系，帮助企业构建更加有效的终端防御能力。我们相信，通过行业共同努力，推动防御理念的普及，每个人都能认识到——真正的安全不是事后补救，而是事前预防和事中阻断，有效破解“60%投入失效”的行业困境，让勒索攻击从“高发灾难”转变为“可有效防护威胁”。

最终，我们期待与业界同仁一道，推动终端安全防御范式的创新升级，共同构建更加安全的数字基础设施。

附：咨询威胁猎杀服务

如需体验“安天威胁猎杀服务”，可通过以下渠道咨询：

1.登录官网：https://www.antiy.cn，点击右下角“联系我们”。

2.服务热线：400-840-9234。