在IT项目建设中，如何保证数据库安全性？

#云原生背景#

云计算是信息技术发展和服务模式创新的集中体现，是信息化发展的重要变革和必然趋势。随着“新基建”加速布局，以及企业数字化转型的逐步深入，如何深化用云进一步提升云计算使用效能成为现阶段云计算发展的重点。云原生以其高效稳定、快速响应的特点极大地释放了云计算效能，成为企业数字业务应用创新的原动力，云原生进入快速发展阶段，就像集装箱加速贸易全球化进程一样，云原生技术正在助力云计算普及和企业数字化转型。

云原生计算基金会（CNCF）对云原生的定义是：云原生技术有利于各组织在公有云、私有云和混合云等新型动态环境中，构建和运行可弹性扩展的应用。云原生的代表技术包括容器、服务网格、微服务、不可变基础设施和声明式编程API。

#云安全时代市场发展#

云安全几乎是伴随着云计算市场而发展起来的，云基础设施投资的快速增长，无疑为云安全发展提供土壤。根据 IDC 数据，2020 年全球云安全支出占云 IT 支出比例仅为 11%，说明目前云安全支出远远不够，假设这一比例提升至 5%，那么2020 年全球云安全市场空间可达 532 亿美元，2023 年可达 1089 亿美元。

海外云安全市场：技术创新与兼并整合活跃。整体来看，海外云安全市场正处于快速发展阶段，技术创新活跃，兼并整合频繁。一方面，云安全技术创新活跃，并呈现融合发展趋势。例如，综合型安全公司 PaloAlto 的 Prisma 产品线将 CWPP、CSPM 和 CASB 三个云安全技术产品统一融合，提供综合解决方案及 SASE、容器安全、微隔离等一系列云上安全能力。另一方面，新兴的云安全企业快速发展，同时，传统安全供应商也通过自研+兼并的方式加强云安全布局。

国内云安全市场：市场空间广阔，尚处于技术追随阶段。市场规模上，根据中国信通院数据，2019 年我国云计算整体市场规模达 13345亿元，增速 386%。预计 2020-2022 年仍将处于快速增长阶段，到 2023 年市场规模将超过 37542 亿元。中性假设下，安全投入占云计算市场规模的 3%-5%，那么 2023 年中国云安全市场规模有望达到 1126 亿-1877 亿元。技术发展上，中国在云计算的发展阶段和云原生技术的程度上与海外市场还有一定差距。国内 CWPP 技术应用较为广泛，对于 CASB、CSPM 一些新兴的云安全技术应用较少。但随着国内公有云市场的加速发展，云原生技术的应用越来越广泛，我们认为CASB、SCPM、SASE 等新兴技术在国内的应用也将越来越广泛。

#云上安全呈原生化发展趋势#

云原生技术逐渐成为云计算市场新趋势，所带来的安全问题更为复杂。以容器、服务网格、微服务等为代表的云原生技术，正在影响各行各业的 IT 基础设施、平台和应用系统，也在渗透到如 IT/OT 融合的工业互联网、IT/CT 融合的 5G、边缘计算等新型基础设施中。随着云原生越来越多的落地应用，其相关的安全风险与威胁也不断的显现出来。Docker/Kubernetes 等服务暴露问题、特斯拉 Kubernetes 集群挖矿事件、Docker Hub 中的容器镜像被“投毒”注入挖矿程序、微软 Azure 安全中心检测到大规模 Kubernetes 挖矿事件、Graboid 蠕虫挖矿传播事件等一系列针对云原生的安全攻击事件层出不穷。

从各种各样的安全风险中可以一窥云原生技术的安全态势，云原生环境仍然存在许多安全问题亟待解决。在云原生技术的落地过程中，安全是必须要考虑的重要因素。

#云原生安全的定义#

国内外各组织、企业对云原生安全理念的解释略有差异，结合我国产业现状与痛点，云原生与云计算安全相似，云原生安全也包含两层含义：“面向云原生环境的安全”和“具有云原生特征的安全”。

面向云原生环境的安全，其目标是防护云原生环境中的基础设施、编排系统和微服务的安全。这类安全机制，不一定具备云原生的特性（比如容器化、可编排），它们可以是传统模式部署的，甚至是硬件设备，但其作用是保护日益普及的云原生环境。

具有云原生特征的安全，是指具有云原生的弹性敏捷、轻量级、可编排等特性的各类安全机制。云原生是一种理念上的创新，通过容器化、资源编排和微服务重构了传统的开发运营体系，加速业务上线和变更的速度，因而，云原生系统的种种优良特性同样会给安全厂商带来很大的启发，重构安全产品、平台，改变其交付、更新模式。

#云原生安全理念构建#

为缓解传统安全防护建设中存在的痛点，促进云计算成为更加安全可信的信息基础设施，助力云客户更加安全的使用云计算，云原生安全理念兴起，国内外第三方组织、服务商纷纷提出以原生为核心构建和发展云安全。

Gartner提倡以云原生思维建设云安全体系

基于云原生思维，Gartner提出的云安全体系覆盖八方面。其中，基础设施配置、身份和访问管理两部分由云服务商作为基础能力提供，其它六部分，包括持续的云安全态势管理，全方位的可视化、日志、审计和评估，工作负载安全，应用、PaaS 和 API 安全，扩展的数据保护，云威胁检测，客户需基于安全产品实现。

Forrester评估公有云平台原生安全能力

Forrester认为公有云平台原生安全（Public cloud platform native security, PCPNS）应从三大类、37 个方面去衡量。从已提供的产品和功能，以及未来战略规划可以看出，一是考察云服务商自身的安全能力和建设情况，如数据中心安全、内部人员等，二是云平台具备的基础安全功能，如帮助和文档、授权和认证等，三是为用户提供的原生安全产品，如容器安全、数据安全等。

安全狗以4项工作防护体系建设云原生安全

（1）结合云原生技术的具体落地情况开展并落实最小权限、纵深防御工作，对于云原生环境中的各种组成部分，均可贯彻落实“安全左移”的原则，进行安全基线配置，防范于未然。而对于微服务架构Web应用以及Serverless应用的防护而言，其重点是应用安全问题。

（2）围绕云原生应用的生命周期来进行DevSecOps建设，以当前的云原生环境的关键技术栈“K8S + Docker”举例进行分析。应该在容器的全生命周期注重“配置安全”，在项目构建时注重“镜像安全”，在项目部署时注重“容器准入”，在容器的运行环境注重云计算的三要素“计算”“网络”以及“存储”等方面的安全问题。

（3）围绕攻击前、中、后的安全实施准则进行构建，可依据安全实施准则对攻击前、中、后这三个阶段开展检测与防御工作。

（4）改造并综合运用现有云安全技术，不应将“云原生安全”视为一个独立的命题，为云原生环境提供更多支持的主机安全、微隔离等技术可赋能于云原生安全。

#云原生安全新型风险#

云原生架构的安全风险包含云原生基础设施自身的安全风险，以及上层应用云原生化改造后新增和扩大的安全风险。云原生环境面临着严峻的安全风险问题。攻击者可能利用的重要攻击面包括但不限于：容器安全、编排系统、软件供应链等。下面对重要的攻击面安全风险问题进行梳理。

#云原生安全问题梳理#

问题1：容器安全问题

在云原生应用和服务平台的构建过程中，容器技术凭借高弹性、敏捷的特性，成为云原生应用场景下的重要技术支撑，因而容器安全也是云原生安全的重要基石。

（1）容器镜像不安全

Sysdig的报告中提到，在用户的生产环境中，会将公开的镜像仓库作为软件源，如最大的容器镜像仓库Docker Hub。一方面，很多开源软件会在Docker Hub上发布容器镜像。另一方面，开发者通常会直接下载公开仓库中的容器镜像，或者基于这些基础镜像定制自己的镜像，整个过程非常方便、高效。然而，Docker Hub上的镜像安全并不理想，有大量的官方镜像存在高危漏洞，如果使用了这些带高危漏洞的镜像，就会极大的增加容器和主机的入侵风险。目前容器镜像的安全问题主要有以下三点：

1不安全的第三方组件

在实际的容器化应用开发过程当中，很少从零开始构建镜像，而是在基础镜像之上增加自己的程序和代码，然后统一打包最终的业务镜像并上线运行，这导致许多开发者根本不知道基础镜像中包含多少组件，以及包含哪些组件，包含的组件越多，可能存在的漏洞就越多。

2恶意镜像

公共镜像仓库中可能存在第三方上传的恶意镜像，如果使用了这些恶意镜像来创建容器后，将会影响容器和应用程序的安全

3敏感信息泄露

为了开发和调试的方便，开发者将敏感信息存在配置文件中，例如数据库密码、证书和密钥等内容，在构建镜像时，这些敏感信息跟随配置文件一并打包进镜像，从而造成敏感信息泄露

（2）容器生命周期的时间短

云原生技术以其敏捷、可靠的特点驱动引领企业的业务发展，成为企业数字业务应用创新的原动力。在容器环境下，一部分容器是以docker的命令启动和管理的，还有大量的容器是通过Kubernetes容器编排系统启动和管理，带来了容器在构建、部署、运行，快速敏捷的特点，大量容器生命周期短于1小时，这样一来容器的生命周期防护较传统虚拟化环境发生了巨大的变化，容器的全生命周期防护存在很大变数。对防守者而言，需要采用传统异常检测和行为分析相结合的方式，来适应短容器生命周期的场景。

传统的异常检测采用WAF、IDS等设备，其规则库已经很完善，通过这种检测方法能够直观的展示出存在的威胁，在容器环境下，这种方法仍然适用。

传统的异常检测能够快速、精确地发现已知威胁，但大多数未知威胁是无法通过规则库匹配到的，因而需要通过行为分析机制来从大量模式中将异常模式分析出来。一般来说，一段生产运营时间内的业务模式是相对固定的，这意味着，业务行为是可以预测的，无论启动多少个容器，容器内部的行为总是相似的。通过机器学习、采集进程行为，自动构建出合理的基线，利用这些基线对容器内的未知威胁进行检测。

（3）容器运行时安全

容器技术带来便利的同时，往往会忽略容器运行时的安全加固，由于容器的生命周期短、轻量级的特性，传统在宿主机或虚拟机上安装杀毒软件来对一个运行一两个进程的容器进行防护，显示费时费力且消耗资源，但在黑客眼里容器和裸奔没有什么区别。容器运行时安全主要关注点：

1不安全的容器应用

与传统的Web安全类似，容器环境下也会存在SQL注入、XSS、RCE、XXE等漏洞，容器在对外提供服务的同时，就有可能被攻击者利用，从而导致容器被入侵

2容器DDOS攻击

默认情况下，docker并不会对容器的资源使用进行限制，默认情况下可以无限使用CPU、内存、硬盘资源，造成不同层面的DDOS攻击

（4）容器微隔离

在容器环境中，与传统网络相比，容器的生命周期变得短了很多，其变化频率也快很多。容器之间有着复杂的访问关系，尤其是当容器数量达到一定规模以后，这种访问关系带来的东西向流量，将会变得异常的庞大和复杂。因此，在容器环境中，网络的隔离需求已经不仅仅是物理网络的隔离，而是变成了容器与容器之间、容器组与宿主机之间、宿主机与宿主机之间的隔离。

问题2：云原生等保合规问题

等级保护20中，针对云计算等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准。虽然编写了云计算的安全扩展要求，但是由于编写周期很长，编写时主流还是虚拟化场景，而没有考虑到容器化、微服务、无服务等云原生场景，等级保护20中的所有标准不能完全保证适用于目前云原生环境；

通过安全狗在云安全领域的经验和具体实践，对于云计算安全扩展要求中访问控制的控制点，需要检测主机账号安全，设置不同账号对不同容器的访问权限，保证容器在构建、部署、运行时访问控制策略随其迁移；

对于入侵防范制的控制点，需要可视化管理，绘制业务拓扑图，对主机入侵进行全方位的防范，控制业务流量访问，检测恶意代码感染及蔓延的情况；

镜像和快照保护的控制的，需要对镜像和快照进行保护，保障容器镜像的完整性、可用性和保密性，防止敏感信息泄露。

问题3：宿主机安全

容器与宿主机共享操作系统内核，因此宿主机的配置对容器运行的安全有着重要的影响，比如宿主机安装了有漏洞的软件可能会导致任意代码执行风险，端口无限制开放可能会导致任意用户访问的风险。通过部署主机入侵监测及安全防护系统，提供主机资产管理、主机安全加固、风险漏洞识别、防范入侵行为、问题主机隔离等功能，各个功能之间进行联动，建立采集、检测、监测、防御、捕获一体化的安全闭环管理系统，对主机进行全方位的安全防护，协助用户及时定位已经失陷的主机，响应已知、未知威胁风险，避免内部大面积主机安全事件的发生。

问题4：编排系统问题

编排系统支撑着诸多云原生应用，如无服务、服务网格等，这些新型的微服务体系也同样存在着安全问题。例如攻击者编写一段代码获得容器的shell权限，进而对容器网络进行渗透横移，造成巨大损失。

Kubernetes架构设计的复杂性，启动一个Pod资源需要涉及API Server、Controller、Manager、Scheduler等组件，因而每个组件自身的安全能力显的尤为重要。API Server组件提供的认证授权、准入控制，进行细粒度访问控制、Secret资源提供密钥管理及Pod自身提供安全策略和网络策略，合理使用这些机制可以有效实现Kubernetes的安全加固。

问题5：软件供应链安全问题

通常一个项目中会使用大量的开源软件，根据Gartner统计至少有95%的企业会在关键IT产品中使用开源软件，这些来自互联网的开源软件可能本身就带有病毒、这些开源软件中使用了哪些组件也不了解，导致当开源软件中存在0day或Nday漏洞，我们根本无法获悉。

开源软件漏洞无法根治，容器自身的安全问题可能会给开发阶段带的各个过程带来风险，我们能做的是根据SDL原则，从开发阶段就开始对软件安全性进行合理的评估和控制，来提升整个供应链的质量。

问题6：安全运营成本问题

虽然容器的生命周期很短，但是包罗万象。对容器的全生命周期防护时，会对容器构建、部署、运行时进行异常检测和安全防护，随之而来的就是高成本的投入，对成千上万容器中的进程行为进程检测和分析，会消耗宿主机处理器和内存资源，日志传输会占用网络带宽，行为检测会消耗计算资源，当环境中容器数量巨大时，对应的安全运营成本就会急剧增加。

问题7：如何提升安全防护效果

关于安全运营成本问题中，我们了解到容器安全运营成本较高，我们该如何降低安全运营成本的同时，提升安全防护效果呢？这就引入一个业界比较流行的词“安全左移”，将软件生命周期从左到右展开，即开发、测试、集成、部署、运行，安全左移的含义就是将安全防护从传统运营转向开发侧，开发侧主要设计开发软件、软件供应链安全和镜像安全。

因此，想要降低云原生场景下的安全运营成本，提升运营效率，那么首先就要进行“安全左移”，也就是从运营安全转向开发安全，主要考虑开发安全、软件供应链安全、镜像安全和配置核查：

开发安全

需要团队关注代码漏洞，比如使用进行代码审计，找到因缺少安全意识造成的漏洞和因逻辑问题造成的代码逻辑漏洞。

供应链安全

可以使用代码检查工具进行持续性的安全评估。

镜像安全

使用镜像漏洞扫描工具持续对自由仓库中的镜像进行持续评估，对存在风险的镜像进行及时更新。

配置核查

核查包括暴露面、宿主机加固、资产管理等，来提升攻击者利用漏洞的难度。

问题8：安全配置和密钥凭证管理问题

安全配置不规范、密钥凭证不理想也是云原生的一大风险点。云原生应用会存在大量与中间件、后端服务的交互，为了简便，很多开发者将访问凭证、密钥文件直接存放在代码中，或者将一些线上资源的访问凭证设置为弱口令，导致攻击者很容易获得访问敏感数据的权限。

#云原生安全未来展望#

从日益新增的新型攻击威胁来看，云原生的安全将成为今后网络安全防护的关键。伴随着ATT&CK的不断积累和相关技术的日益完善，ATT&CK也已增加了容器矩阵的内容。ATT&CK是对抗战术、技术和常识（Adversarial Tactics, Techniques, and Common Knowledge）的缩写，是一个攻击行为知识库和威胁建模模型，它包含众多威胁组织及其使用的工具和攻击技术。这一开源的对抗战术和技术的知识库已经对安全行业产生了广泛而深刻的影响。

云原生安全的备受关注，使ATTACK Matrix for Container on Cloud的出现恰合时宜。ATT&CK让我们从行为的视角来看待攻击者和防御措施，让相对抽象的容器攻击技术和工具变得有迹可循。结合ATT&CK框架进行模拟红蓝对抗，评估企业目前的安全能力，对提升企业安全防护能力是很好的参考。

2006年9月，国内星际online游戏关闭。XXX军团和其他军团集体加入了星际online美国本土西部服务器Blue China军团，由coolcn任军团长，使军团杀敌总数连续3个月成为服务器排名第一名。

2007年1月，由于美国本土服务器的部分外国玩家极度歧视中国人，军团成员集体离开了NC国家，来到了VS国家。由于大多数成员不适应VS的武器，于是经投票决定转战TR国家，重新组建了Blue China军团，由老哥任军团长，在TR国家长期发展。

2007年12月，另外两个国家的部分人员破坏游戏规则，连续半个月联合破坏TR国家的后方基地，堵截TR国家的救援人员。军团成员对此种情况非常气愤，商议到欧洲服务器玩一段时间，组建了PLA军团，老哥任军团长。

欧洲服务器网络状况实在太差，无法正常游戏，于是经集体商议返回西部服务器，并考虑到人口平衡问题，军团全体加入到美国本土西部服务器VS国家，组建了PLA军团，由老哥继任军团长。

一段时间之后，TR国家少数人员连续半个月时间利用游戏漏洞（BUG）攻击VS国家的基地，却无法得到管理员重视，致使VS国家严密防守的基地屡屡失陷。为了打击TR国家少数玩家利用游戏漏洞攻击对方的恶劣行为，军团经表决决定，集体转移到NC国家，惩罚TR国家少部分人的无赖行为。2008年1月20日在西部NC组建了PLA军团，由老哥任军团长。

　　http://clubchinarencom/961

　　亲爱的玩家，大家好：

　　为了保证游戏运行的稳定性并提升整体服务质量，《天龙八部》游戏全部服务器（除世外龙园和龙门客栈外）将于2008年7月3日7:00——10:00进行游戏更新，更新后版本号升级至0350691。天龙八部全体工作人员为您倾情打造巨作《战神版》正式公测！

　　请大家互相转告提前做好下线准备，停机期间给您带来的不便，敬请谅解。祝大家游戏愉快，衷心感谢大家对天龙八部的关爱与支持！

　　线下活动

　　1、新服666份1000元总计666000元人民币现金大奖，冲级送啦！ 点击进入专题介绍

　　为了庆贺《天龙八部》“战神版”资料片公测，2008年6月20日—7月27日期间新开所有服务器中，7月3日—7月27日期间只要你达到25级，就有机会获得1000元人民币的现金奖励！为了增加玩家获奖机会，本次活动特别设置了“奖金池”，即玩家可以获得从进入“奖金池”后的持续抽奖机会。666份1000元人民币现金大奖，好机会不容错过哦！

　　现金抽奖全程由北京市公证处公证，获奖者的现金个人所得税及相关手续费由搜狐公司承担。

　　重要提示：官方不会以任何形式索要玩家的帐号密码及个人超密等详细的帐号资料，同时也不会对玩家收取任何费用。

　　2、老服3996只坐骑、珍兽上线送啦！点击进入专题介绍

　　666个大风骑乘！666个巨人坐骑！666辆尊贵马车！666只海盗鼠宝宝！666只鸭嘴兽宝宝！666只驴宝宝！总计———3996只坐骑、珍兽上线送啦！

　　为了庆贺《天龙八部》“战神版”资料片公测，7月3日—7月27日活动期间，只要你的游戏角色不小于60级，并且每天上线1次，就有机会获得以上大奖哦！

　　新增内容

　　1、保护帮会驻地活动 点击进入专题介绍

　　江湖欲乱，战神降世，帮城保卫战的号角已经吹响，江湖中最高等级帮派城市驻地，正将面临着威胁与挑战！一方有难，八方支援，外帮的侠客们岂能坐视不理？

　　每晚19：15，系统会从等级最高的帮派城市驻地中随机选择两个作为副本场地。在副本场地中刷出山妖和山鬼，玩家级别≥85级，最少3人以上组队，任意队伍都可以进入山鬼副本，只有熟悉本帮驻地的本帮派成员为队长带领的队伍，才可以进入山妖副本。击退敌人攻击后，有几率获得天罡强化精华、棉布碎片、珍兽蛋：穷奇、珍兽蛋：小狐仙等等奖励。奖励诱人，岂能错过！

　　2、夺宝师徒练活动 点击进入专题介绍

　　战神版为天龙师徒们准备了极品宝宝“唐装鼠”！要不要得到这款从未推出过的、限量的、极为可爱的宝宝？参加夺宝师徒练活动吧！

　　2008年7月3日—8月14日，师徒打50级以下的怪会掉落“恩师”、“爱徒”两个字符。徒弟等级达到30级或45级时，师徒友好度达到500以上，师徒组队到大理云飘飘（266，127）处，即可以领取奖励。徒弟等级为30级时，可以领取绑定的天灵丹一颗；徒弟等级为45级时，可以领取绑定的银丹葫芦一个，师傅每次都可以领取到绑定的“快乐”、“天龙”字符及30万经验。

　　“恩师”、“爱徒”、“快乐”、“天龙”四个活动字符中，任意一个字符都可以在大理云飘飘（266，127）处兑换“夺宝师徒练BUFF”，该BUFF可增加角色体力30点，持续时间为60分钟。当集齐四个字符后可去大理云飘飘(266,127)处参加抽奖，奖品随机抽取，除了“珍兽蛋：唐装鼠”、“天罡强化露”和“金刚砂”还有更多的神秘礼品送出，每个玩家每天只限抽取一次奖励，千万不可错过时机哦。

　　3、血战缥缈峰 点击进入专题介绍

　　在李秋水的煽动之下，乌老大和桑土公等人带领三十六洞和七十二岛等人趁天山童姥失踪的天赐良机，揭竿而起大举反攻天山，天山失陷，缥缈峰全境已被所占领！各路英雄只要角色等级大于90级，最少3人组队，在楼兰程青霜（192，223）处便可进入缥缈峰副本！

　　击退六位BOSS后不仅可以获得其掉落的宝箱中的珍奇宝物，还有可能得到用来打造新100级门派套装的寒玉和102级神器的神节！玩家每日可以进入副本3次，每个副本时长为3个小时，玩家离开后无法再次进入已开启的副本，死亡后在可在副本内复活。

　　4、珍兽——穷奇 点击进入专题介绍

　　穷奇是在《海内北经》中提到过的一种上古异兽。据说穷奇外貌象猛虎，背生双翅，凶猛无比！各位天龙的大侠，你有信心驾驭它,使它成为你闯荡江湖的最佳拍档么

　　穷奇档案： 85级可携带珍兽；外功攻击型；自带技能：嗜血、猛击、狡猾、摔绊、冰精。获得方式：保护帮派驻地活动有几率得到，元宝商店桃堡奇物店可以购买珍兽蛋“穷奇”。

　　5、珍兽——小狐仙

　　自古以来，狐仙就是一个妖媚而邪异的存在。虽然她的修炼没有到五百年，还不能幻化人身，不过这只可爱的小狐仙受宠的势头可是有增无减。就算是美眉们也被小狐仙柔媚的眼睛勾去了三魂七魄，抱起它来就再也舍不得放手了啦！

　　小狐仙档案：85级可携带珍兽；内功攻击型；自带技能：神佑、痛击、狡猾、虚弱、火灵。获得方式：保护帮派副本，元宝商店桃堡奇物店可以购买珍兽蛋“小狐仙”。

　　6、限量版珍兽——唐装鼠

　　酷爱中国传统服饰，从对襟布衫到宫廷织锦都配置齐全，一有空就换套行头，圆滚滚的身子配上织锦缎的衣服，集“乖、酷、萌”为一身的潜力偶像新人就是——唐装鼠宝宝。

　　唐装鼠档案：45、75、85级可携带珍兽，外功攻击型，自带技能：嗜血、猛击、借力、蛮力、玄兽。获得方式：夺宝师徒练抽奖活动。

　　7、珍兽技能扩展 点击进入专题介绍

　　战神版开始，珍兽宝宝可以同时具备七个不同的技能，包括两个手动技能和五个自动技能。珍兽在学习一项新技能时，并不一定是直接掌握技能，很大的可能是在学习新技能后将原有的技能替换。需要注意的是，手动技能分为破军类和开阳类两大类，只有不同类的手动技能不会互相顶替，珍兽在第一次学习第二项手动技能时，需要花费主人99金。

　　● 破军类技能包括：冰天雪地、烈火燎原、血毒万里、五雷轰顶、咆哮、血爆（高级血爆）、冰爆（高级冰爆）、附身（高级附身）；

　　已停止放出：极冰凝杀、劫火焚杀、腐毒蚀杀、玄雷击杀、圣爆（高级圣爆）。

　　● 开阳类技能包括：重生（高级重生）、共生（高级共生）、治疗（高级治疗）、肉墙（高级肉墙）、神佑（高级神佑）、嗜血（高级嗜血）、血祭（高级血祭）、伪装（高级伪装）、解穴、清醒、明目、轻灵、固元、洒脱；

　　已停止放出：净化（高级净化）。

　　8、新场景——束河古镇 点击进入专题介绍

　　美丽的“束河古镇”被人们所发现后，就已经注定了它无法重归平静的命运。随着人们不断深入的探索，人们竟然在这座宁静的古镇中发现了一连串的古怪秘密！这些秘密吸引了大批勇士和侠客的到来，“束河古镇”的惊天秘密将在不久后大白于天下……

　　束河古镇，20级以上的玩家既可以通过各个主城驿站NPC进入，也可以通过苍山的束河传送NPC孙坤(165，52)进入。

　　9、新场景——大宛

　　自楼兰城往西的城门已经开禁，90级以上玩家由此出去便可以到达一处传说中的世外仙境——水草丰美的“大宛”。此地是汗血宝马繁衍生息的乐园，在那里，充满挑战的汗血岭也正等待着武功高强的勇士们来闯关。

　　10、九大门派102级神器 点击进入专题介绍

　　昊天战神降临世界，九大门派的百级镇派神兵戾气大盛，如今已冲破了重重封印，破阵而出！102级神器，每把神器也都具备不同的如吸血、吸气、摔绊、打怒、破绽、虚弱等强力附加属性——千军万马拼沙场，神器一出镇乾坤！这样的绝世神兵，你怎能不拥有？

　　如何打造102级神器？用“新莽神符7级”可以让“残缺的神节7级”重新燃起灵魂之火，完整度修复为100%，就可以得到“连戎神节7级”。最后，只需依照“各个门派对应的神器配方”去做，就可以将这种古老的符节——“连戎神节7级”加工成102级神兵利器。

　　残缺的神节7级，击杀缥缈峰最终boss李秋水有几率掉落。新莽神符7级，可以通过三环任务和击杀活动boss得到。各个门派对应的神器配方可以通过束河古镇的商店放出，每种神器3个配方，一共27个配方。神器不能通过正常途径修理，只能在功能NPC处修理且需要消耗神材。

　　11、门派100级新套装 点击进入专题介绍

　　少林寂灭套装，星宿骨灵套装，明教焚仙套装，天山天隐套装，丐帮啸天套装，逍遥仙逸套装，武当诛魔套装，天龙乌日套装，峨眉碧神套装——100级新门派套装随战神版惊现江湖。100级套装共5个部件：95级护腕、100级护肩、95级腰带、105级戒指、105级护符。用生活技能缝纫和工艺可以制作套装。可以到楼兰城史嫂（187，225）学习这些配方。配方中需要的主要材料为玄天精粹。玄天寒玉， 五个可以合成一个的玄天精粹。缥缈峰BOSS掉落有几率掉落玄天寒玉。

　　12、装备开放打第四个孔功能

　　楼兰NPC程咬铁（219，228）处可以给102级神器及新门派套装（95-105）打上第四个孔，在第四个孔上镶嵌的宝石类型不会受到前三个孔中镶嵌宝石类型的影响能镶嵌第四个宝石，但第四个孔无法镶嵌血晶石和红宝石，其它宝石镶嵌规则不变。

　　13、魔界装备出世

　　传说束河古镇出现的BOSS“霜影”，打败他，有一定几率获得两种宝物：“重楼之泪”或“重楼之芒”。这两种宝物在苏州梁师成(169，140) 处分别可以兑换到传说中的魔界装备“重楼戒”或“重楼玉”。

　　13、清凉暑假特色装备

　　暑期来临，我们为您准备了清凉暑假特色装备“玄铁扇”和“芭蕉扇”，只要击杀长白山，黄龙府的怪物，有一定几率获得此装备。

　　15、新师徒系统

　　为了方便师傅对徒弟的引导，在战神版中新增了徒弟列表。徒弟等级达到45级后会自动出师，出师以后的徒弟达到60，70，80，90级时，会对其师傅奖励丰富的善恶值和经验奖励值。当玩家等级达到60级时可免500点善恶值将师德等级提升至1级。战神版中去掉60级以上玩家申请“初级师傅”时需要善恶值的设计。战神版之前的徒弟超过45级，不能自动出师。如果选择出师，需要去大理NPC聂政处选择"出师"项后进行出师。

　　16、新手棋局

　　刷7又有新玩法了！50级以上玩家，组队带领与自身等级相差20级以上，等级大于10级的玩家一起进入棋局，会得到额外的种种优惠：棋局内怪物的血量会随新手玩家数量的增多而减少，低级玩家可以获得额外的经验值，高级玩家可以获得善恶值，打怪经验也较一般情况下有所增加。

　　17、幸运快活三活动新增奖励

　　“幸运快活三活动”以一种新颖的游戏方式得到了很多玩家的欢迎，为了庆祝战神版公测，幸运快活三的中奖几率提高，奖励物品中增加了：大风爪、大风翼、大风牙。玩家凑齐2套共6个物品后，便可以兑换超级拉风坐骑——“大风”一只。苏州柳月红处增加关于大风抽取的说明，兑换成功大风会有系统滚屏公告。除此之外，本次增加的奖励中还增加了“一级兽栏”，真是实惠多多。

　　18、免费领取帮会贡献度称号

　　帮会中的所有玩家只要累计帮贡达到一定数值就可以找帮会大总管郑无名免费领取相应等级的帮会贡献度称号，最高可以得到国公、郡王、亲王等个性风光的称号哦。

　　功能调整

　　1、 服务器选择列表扩充，更新了服务器列表选择界面和玩家登陆帐号界面。

　　2、 为了给低级玩家提供更好的服务，激活实体财富卡人物等级限制为30级，30级后奖励可以继续领取。虚拟卡没有限制。

　　3、 使用2级新人令牌兑换奖励项调整,将原丐帮30级兑换奖励物品“见龙璀铁甲”修改为“见龙”；原星宿30级兑换奖励物品“抽髓残海衣“修改为“抽髓”。使用 3级新人令牌兑换奖励项调整,将原天龙40级兑换奖励物品“少商暮落手”修改为“少商暮落首”；将原逍遥40级兑换奖励物品“折梅之慑”修改为“折梅云龙首”。

　　4、 为了给玩家提供更人性化的功能服务，在游戏客户端的注册帐号页面中，增加关闭按钮。

　　5、 为了让玩家更深入地了战神版新内容，在洛阳打孔NPC说明处，添加了给装备打第4个孔的说明。

　　6、 为了给玩家操作提供更多的便捷性，玩家商店界面显示的店主名字均支持超链接。点击店主名字就可以查看相应页面。

　　7、 为了完善举报机制，维持游戏世界秩序，在摆摊留言板中，增加了玩家的举报功能。

　　8、 公告的数量随活动的增多而增多，为了给玩家带来更好的体验，优化公告内容，提升珍兽悟性时，悟性提升到5后才会公告。

　　9、 为了优化帮派城市中可接任务列表，给玩家提供更人性化的引导，帮派城市可接任务列表中只会显示与玩家等级相适应的任务，并提供玩家对应等级可接帮派任务的查询。

　　10、 在确保刻铭不掉落的前提下，为了给玩家使用装备时带来更多的自由度，优化了刻铭机制。已刻铭的装备可以正常交易，摆摊或进入玩家商店。但是已绑定已刻铭的装备无法交易，摆摊，进入玩家商店，已刻铭的装备规则和属性无变化。

　　11、 为了明确地阐述任务目标，在相关燕弦之玉的任务描述信息内已加入“已绑定”的说明。

　　12、 为了给帮派提供更好的结盟引导，优化了“同盟”帮助中的介绍文字。

　　13、 为了让做千寻任务的玩家更便捷地找到任务NPC，在苏州场景地图上增加了“千寻”提示。

　　14、 为了让做“丐帮师门任务”的玩家更容易的发现任务物品“小蛇”，对该物品图标增加了特殊光效。

　　15、 玩家商店盘出价格和摆摊售出价格上限均为10000金。

　　16、 同一MAC地址的玩家在组队刷怪过程中不增加好友度。

　　修正问题

　　1、 修正了查看怪物身上buff的描述显示存在遮挡问题。

　　2、 修正了在极特殊情况下，比武大会无法正常进行问题。

　　3、 修正了“去摩崖洞”任务中，任务提示信息中燕南摩崖洞自动寻路链接有误的问题。

　　4、 修正了部分科举试题答案错误的问题。

　　5、 修正了任务“天师的期待”中任务描述有误的问题。

　　6、 修正了云菲菲处“提升悟性”的介绍语句不通的问题。

　　7、 修正了查看其他玩家珍兽信息界面时，偶尔显示信息错误的问题。

　　8、 修正了帮派扩张任务在某些特殊情况下，峨眉副本怪物等级显示异常的问题。

　　9、 修正了玩家抗性的上下限数值显示有误的问题。

　　元宝商店新增物品

　　桃堡奇物店

　　1、珍兽蛋：小狐仙—— 稀有的珍兽蛋，可孵化出85级珍兽宝宝，小狐仙。

　　2、珍兽蛋：穷奇——稀有的珍兽蛋，可孵化出85级珍兽宝宝，穷奇。

　　3、点金之箭——能够释放魂魄之力的神器之箭，只能用于第四个孔的极限打孔，适用于可以极限打孔的装备。

　　4、变身宝珠：冰块——使用后可以变成冰块，炎炎夏日，冰的感觉。

　　5、变身宝珠：雪人——使用后可以变成雪人，清凉一夏。

　　天龙形象馆之米兰时装店

　　清风怡江——清风有情郎意惬，梦恛怡江待心缘。

　　天宫御马监

　　1、碧水金睛兽——召唤碧水金睛兽坐骑。

　　2、骑术-碧水金睛兽——使用后学会驾驭碧水金睛兽的骑术。

　　浏阳花炮店

　　暴风骤雨——能使当前场景变成暴风骤雨的天气。

珍珠传奇

演员:

沈珍珠/高彩云 —— 施 思 饰

冯 立 —— 寇世勋 饰

李 豫 —— 姜厚任 饰

王 频 —— 应晓薇 饰

崔芙蓉 —— 陈玉玫 饰

史夫人 —— 陈莎莉 饰

小 娟 —— 程 惠 饰

故事简介:

唐玄宗天宝元年，天下承平。唐玄宗的长孙、广平王李豫已届婚龄，大唐皇室为他广征天下闺秀。吴兴才女沈珍珠也被遣入宫中，但她却因与李豫素昧平生而不愿参加选妃，于是被罚跪在御花园湖畔。杨贵妃的姐姐韩国夫人一见惊艳，唯恐她危及女儿崔芙蓉与李豫的婚事，便派刺客来刺杀珍珠。危急时刻，安禄山麾下大将冯立及时赶到，救了珍珠。李豫也同时赶来，将昏迷了的珍珠安抚宫中，并为珍珠的美貌、娴静、善良和活泼所吸引，对她一见钟情。杨贵妃为了撮合外甥女芙蓉与李豫的婚事费尽心机，不料李豫早已钟情于沈珍珠，执意选珍珠为妃，这使杨贵妃与韩国夫人都怀恨在心。大唐丞相杨国忠与安禄山官拜左、右相，但两人之间一直勾心斗角。天宝十四年，安禄山突然宣布造反，兵临长安。 一时间，风云起，波澜急。唐室经久太平，中央军力仅8万左右，且素质差，准备不足。如是，叛军以摧枯拉朽之势，过黄河，夺汴州，取洛阳，破潼关，直逼长安。玄宗仓皇出逃。

这皇室的逃命事件中，辗转出很多令人感慨的事件。李隆基只带走了几个宠爱的嫔妃，皇子皇孙，其余皇亲全部遗弃在了长安，还有一部分在洛阳。当时的沈珍珠，便是洛阳失陷时与李豫失散。其时李豫父亲李亨的太子地位也不稳固，更别提李豫自己。因此也许是为了许多政治原因，二人聚少离多。在剧中，一开始就表明珍珠无意进宫，即使被选入宫，也是太子一直痴心相待，珍珠对其似乎并无好感。后来有了小小太子李适，情形有所好转。可是，就在这个时候，东都沦陷了。皇宫一片狼藉，珍珠也在跟贴身的丫鬟商议着，可以趁混乱逃回吴兴家乡去。

安禄山座前大将冯立，在此时，遇到了他生命中的灯塔。冯立的勇猛，冯立的宽容，冯立的魁梧，冯立的成熟，是自幼生长在皇室，千骄万宠，如花草般弱不禁风（看起来）的李豫所缺乏的。胡人出生，又身经百战的冯立，无疑是沈珍珠一直向往的，可以依靠的男人。而李豫那种任性，还会使性子耍脾气的小家子样，被冯立这么一比，矮小了很多。珍珠是美女，才女，她不要多情，只要专情；不要困在小天地里度日，只要飞翔在天宇间呼吸自由的空气。李豫不懂，在爱上她的时候李豫还是个孩子，还是个要什么有什么的孩子，没人敢违逆。可是冯立是自立的男人，他的每样东西都要靠自己的奋斗来获得，他小时候打架，长大了打仗，唯有自己变强才是生存的道理。所以冯立有安全感。所以沈珍珠跟他走……

台湾的，是这部么？

文章来 源： HACK之道

企业大规模数字化转型的浪潮下，各类网络入侵事件频发、APT和黑客团伙活动猖獗，合规性驱动的传统安全防护建设已无法满足需求。近年来随着各级红蓝对抗行动的开展，企业安全建设正逐步向实战化转型，而MITRE（一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织）提出的ATT&CK框架正是在这一过程中能够起到指导性作用的重要参考。

ATT&CK框架在2019年的Gartner Security & Risk Management Summit会上，被F-Secure评为十大关注热点。ATT&CK是一套描述攻击者战术、技术和执行过程的共享知识库，能够关联已知的黑客组织、攻击工具、检测数据源和检测思路、缓解措施等内容。ATT&CK能够全面覆盖洛克希德-马丁公司提出的Kill Chain内容，并在此基础上提供更细粒度的攻击技术矩阵和技术详情。ATT&CK分为三个部分，分别是PRE-ATT&CK，ATT&CK for Enterprise和ATT&CK for Mobile。其中，PRE-ATT&CK包含的战术有优先级定义、选择目标、信息收集、脆弱性识别、攻击者开放性平台、建立和维护基础设施、人员的开发。ATT&CK for Enterprise包括的战术有初始化访问、执行、持久化、权限提升、防御逃避、凭据访问、发现、横向移动、收集、命令与控制、数据外传、影响。这些基于APT组织及黑客团伙的披露信息进行分析梳理的详细信息能够有效指导实战化的红蓝对抗，目前已在多个领域得到较好的应用。

在红蓝对抗中，防守方都可以按照事前、事中、事后三个阶段进行应对，在ATT&CK框架的指导下实现安全体系建立、运营和提升的闭环改进。

一、准备阶段

攻击面评估

攻击面指企业在遭受内、外部入侵时可能的起始突破点或中间跳板，包括但不限于：对外提供业务的Web系统、邮件系统、***系统，对内提供服务的OA系统、运维系统、开发环境，员工使用的各类账号、办公终端等。

企业的攻击面是广泛存在的，在企业内进行攻击面评估属于信息收集和脆弱性识别的过程，能够帮助企业在早期应对攻击者入侵活动。该过程映射到攻击链中属于“侦察”阶段。

由于攻防的不对称性，在红蓝对抗中防守方往往处于弱势，攻击方只需要单点突破即可，而防守方需要建立覆盖所有攻击面的纵深防御体系，很难做到万无一失。但在 信息收集阶段，是为数不多的防守方占优的阶段，主要原因包括：

1 攻击方只能通过互联网公开信息（Google、社交网站、Github）或传统社工方式获取部分企业信息，而防守方能够获得完整的企业内部信息，包括网络架构、业务系统、资产信息、员工信息等等，掌握以上信息不但能够梳理潜在入侵点、发现防御中的薄弱环节，还能够结合诱骗或欺诈技术（Deception，如蜜罐），在攻击者能够获取到的信息中埋点，实现类似软件“动态污染”的检测和追踪效果。

2 攻击面评估能够在特定阶段（如重保时期）通过采取更严格的管控措施降低入侵风险， 通过有限的代价获取最大攻击者入侵难度提升 ，具有很高的投资回报率。例如，获取***通道，相当于突破了企业传统的防护边界，直接获取内网漫游的权限。在特定情况下，通过增强***防护，能够大大缩减攻击者入侵成功的可能性。突破***主要有2种方式，利用***服务器本身的漏洞或通过合法***账号入侵。对于第一种方式，关注***厂商漏洞披露信息、做好补丁升级管理，能够有效减少大部分威胁；对于利用0day漏洞攻击***获取远程访问权限的场景，通过***自身日志审计的方式，关联***账号新建、变更及***服务器自身发起的访问内网的流量，也能够及时发现未知的漏洞攻击行为。对于第二种攻击***合法账号的入侵方式，增加***账号的口令复杂度要求、临时要求修改***账号口令并增加双因子验证（如绑定手机号短信验证），都可以在牺牲部分用户体验的情况下极大削减攻击者攻击成功的可能性。

ATT&CK框架内所有攻击技术都有对应的攻击目的和执行攻击所需的环境、依赖，对其分解可以提取每项攻击技术适用的攻击对象，参照企业内的资产和服务，评估攻击面暴露情况和风险等级，能够帮助制定有效的攻击面缩减、消除或监控手段。例如，防守方需要在红蓝对抗前检查企业内部的共享目录、文件服务器、BYOD设备是否符合安全基线要求，是否存在敏感信息，并针对这些内容设定合规性要求和强制措施，以缩减该攻击面暴露情况。

综上，ATT&CK框架可以帮助防守方了解攻击目标、提炼攻击面并制定攻击面缩减手段，同时也能够通过攻击面评估为后续增强威胁感知能力、总结防御差距、制定改进方案提供参考标准。

威胁感知体系建立

传统的安全防护和管控措施存在的主要问题在于没有全景威胁感知的体系，无法及时有效地监测威胁事件、安全风险和入侵过程。威胁感知体系的建立，可以有效地把孤立的安全防御和安全审计手段串联起来，形成完整的企业安全态势，为防守方实现实时威胁监控、安全分析、响应处置提供基础。建立威胁感知体系主要包括以下准备工作：

1数据源梳理： 数据是实现安全可见性的基础元素，缺少多维度和高质量的数据会严重影响监控覆盖面；同时，很多企业会为了满足网络安全法、等保标准等法律和标准要求存储大量设备、系统和业务日志数据。因此，在数据源的规划、管理上，由威胁驱动的数据源需求和由合规驱动的日志数据留存，存在匹配度低、使用率低、有效性低的诸多问题，需要防守方加以解决。

We can’t detect what we can’t see

在进行数据源规划时，需根据企业实际存在的攻击面、威胁场景和风险情况进行设计。例如：针对员工邮箱账号可能会遭受攻击者暴力破解、泄露社工库撞库的风险，需要采集哪些数据？首先需要考虑企业实际的邮件系统情况，比如使用自建的Exchange邮件服务，需要采集的数据包括：Exchange邮件追踪日志、IIS中间件日志、SMTP/POP3/IMAP等邮件协议日志。其次还需要具体考虑攻击者是通过OWA访问页面爆破？还是通过邮件协议认证爆破？还是通过Webmail或客户端接口撞库？不同的企业开放的邮箱访问方式不同，暴露的攻击面和遭受的攻击方法也有所区别，需要根据实情梳理所需的数据源。

在数据源梳理上，由于涉及到的威胁类型、攻击方法众多，考虑周全很困难，可以通过参考ATT&CK框架选取企业相关的攻击技术，统计所需的数据源类型，并梳理数据源采集、接入优先级。关于数据源优先级筛选，2019年MITRE ATT&CKcon 20会议上Red Canary发布的议题：Prioritizing Data Sources for Minimum Viable Detection 根据总体数据源使用的频率做了Top 10排序，如下图所示：

该统计结果并未考虑企业实际攻击面范围、数据源获取的难易程度等，不应生搬硬套照抄。但在大部分情况下可以考虑先构建包括网络镜像流量、终端行为审计日志、关键应用服务日志在内的基础数据源的采集规划，再通过实际的检测效果增强补充。

2 检测规则开发：大数据智能安全平台（或参考Gartner所提的Modern SIEM架构）已逐步取代传统的SIEM产品，成为企业威胁感知体系的核心大脑。传统的攻击检测方法大多是基于特征签名（Signature），采用IOC碰撞的方式执行，在实际攻防对抗过程中存在告警噪音过多、漏报严重、外部情报数据和特征库更新不及时等问题，且在防守方看来无法做到检测效果的衡量和能力评估。因此，新的检测理念需要从行为和动机出发，针对攻击者可能执行的操作完善审计和监控机制，再采用大数据关联分析的方式去识别攻击活动。

ATT&CK框架在这里就起到了非常重要的参考作用，框架中的每项攻击技术，知识库都描述了相应的检测手段和过程，以T1110暴力破解为例，其Detection描述如下图所示。

虽然没有抽象出具体检测方法、检测规则，但提炼出了需要监控的设备以及能够提炼攻击痕迹的日志。参考这部分描述，防守方能高效的通过相关资料收集、内部攻击技术模拟、特征提炼等方式完成检测方法和检测规则的开发、部署、测试。此外，高级持续性威胁（APT）使用了较多的白利用技术，无法有效区分攻击者和普通工作人员。但通过开发检测规则对数据源进行过滤提炼，打上技术标签，后续再综合所有异常行为能够发现此类攻击活动。这样再与传统的检测方法结合，就提供了更加有效的补充手段。

综上，威胁感知体系的建立，需要通过数据源梳理和检测规则开发来完成基础准备工作，ATT&CK框架可以帮助防守方快速了解所需数据源、并协助开发对应的检测规则，使防守方脱离安全可见性盲区，实现安全防护能力的可量化、可改进。

内部模拟对抗

为摸清目前网络安全防御能力并找出薄弱点，部分企业会进行内部红蓝对抗模拟演练，ATT&CK知识库在模拟红队攻击、组织内部对抗预演上具有非常高的参考价值。

1红队技术指导：ATT&CK框架包含了266种攻击技术描述，模拟红队可以借鉴其中部分技术进行特定战术目的的专项测试或综合场景测试。在开展内网信息收集专项测试时，可以通过参考并复现“发现”、“收集”战术目的下的攻击技术，对内网暴露的攻击面逐一测试；在开展模拟场景演练时，可以挑选不同的战术目的制定模拟攻击流程，从矩阵中选择相关技术实施。以典型的红队钓鱼攻击场景为例，攻击技术链包括：钓鱼 -> hta执行 -> 服务驻留 -> 凭证获取 -> 远程系统发现 -> 管理员共享，如下图红色链路所示。

2 蓝队效果评估：内部模拟对抗是企业防守方检查实际威胁感知能力的最佳手段，对蓝队来说具有查漏补缺的效果。攻击行为是否被记录、检测规则是否有效、有无绕过或误报、攻击面梳理是否遗漏、威胁场景是否考虑充分等很多问题只有在实际测试中才会暴露。同时，防守方也可以通过模拟演练提炼极端情况下的缓解预案，包括：临时增加防御拦截措施、增加业务访问管控要求、加强人员安全意识教育和基线管理等。

综上，内部模拟是红蓝对抗实战阶段验证所有准备工作有效性的手段，作为大考前的模拟考，对防守方具有很大的查漏补缺、优化完善的作用，而ATT&CK框架在这个阶段，对模拟红队攻击、协助蓝队查找问题都起到了参考作用。

二、开展阶段

准备过程越充分，在实际红蓝对抗行动开展阶段对防守方来说就越轻松。经过验证的威胁感知体系在这里将起到主导作用。

资产风险监控

除了封堵、上报潜在的红队攻击IP外，对于已突破边界防护进入内网漫游阶段的攻击者，基于ATT&CK框架能够有效识别资产（终端/服务器）风险，发现疑似被攻陷的内网主机。

通过为每个资产创建独立的ATT&CK主机威胁分布矩阵图，汇聚该主机上近期被检测到的所有攻击技术活动，然后根据该矩阵图上所标注的攻击技术的分布特征训练异常模型，监控主机是否失陷。异常模型从以下三个维度识别攻击：

1攻击技术分布异常：多个战术下发生攻击、某个战术下发生多个不同攻击等。

2 攻击技术数量异常：主机上检测到大量攻击技术，与基线对比偏差很大。

3 特定高置信度失陷指标：主机上触发了高置信度规则检测到的高风险告警（传统的Trigger机制）。

以下图为例，主机短时间内触发一系列“发现”战术下的攻击技术，这在日常运维中是较为少见的，与该主机或同类型主机基线对比偏差非常大。在受害主机被控制后可能会执行大量此类操作，故该机器风险很高，判定为失陷/高危资产。

可疑进程判定与溯源

根据采集的终端行为日志（包括：进程活动、注册表活动、文件活动和网络活动），可以通过唯一进程ID（GUID）进行父子进程关联操作。当发现可疑进程活动时，能够回溯该进程的进程树，向上直到系统初始调用进程，向下包含所有子进程，并且为进程树中所有可疑进程添加ATT&CK攻击技术标签，如网络请求、域名请求、文件释放等丰富化信息，帮助防守方的安全分析人员判断该进程是否可疑并及时采取处置措施。

以下图为例，发现可疑进程wscriptexe后溯源其进程树，其中标记了感叹号的子进程为命中了ATT&CK攻击技术的进程，无感叹号的子进程也属于该可疑进程树下，有可能是攻击者利用的正常系统进程或规避了检测规则导致未检出的进程。通过该进程树展示的信息，可以直观发现wscript进程及其派生的powershell进程存在大量可疑行为，这些进程信息也为后续联动终端防护软件处置或人工上机排查处置提供了充足的信息。

应急响应对接

在发现失陷资产、溯源到可疑进程后可导出其进程树上的进程实体路径、进程命令行、进程创建文件、进程网络连接等信息提交给应急响应组进行清除工作。应急响应组通过以上信息可以快速在主机上处置并开展入侵路径分析，通过回溯攻击者入侵植入木马的手段，进一步排查是否存在数据缺失、规则缺失导致的攻击漏报；并通过关联所有具有相似行为的终端，确认是否存在其他未知失陷资产。

以上基于ATT&CK框架建立的资产风险监控和可疑进程判定方法，能够有效地在红蓝对抗过程中及时发现攻击者攻击成功的痕迹，并为溯源和应急响应处置提供数据支撑。而这些都脱离不了以威胁感知体系为核心的蓝队建设思路，更多与ATT&CK框架适配的应用方法也会在后续不断丰富、增强。

三、复盘阶段

防御效果评估

在红蓝对抗结束复盘阶段，防守方对防御效果的评估是非常重要的环节。具体包括以下内容：

安全设备漏报分析：结合攻击方提供的报告，把各个攻击类型归属到相应的安全检测设备，查看相关设备的告警与报告中的攻击过程是否匹配，分析当前安全设备检测能力，较低检出率的设备需要后续协调厂商优化、更新规则等，以加强完善。

规则误报调优：在红蓝对抗开展阶段，为了确保对攻击方攻击过程的全面覆盖检测，通常会采用限制条件较宽松的规则检测模式，以防漏报对防守方造成的失分影响。例如，对暴力破解场景，触发告警的连续登录失败请求阈值可能设定的较低；对Webshell植入场景，可能对所有尝试上传动态脚本文件的行为都做监控或拦截，以防攻击者通过一些编码、混淆的方式绕过特征检测等。这些限制条件宽松的检测规则，在红蓝对抗过程中能够尽量减少攻击漏报，具有比较好的效果；但同时，由于限制不严导致的告警噪音也会随之增加。在红蓝对抗结束复盘过程中，需要对产生误报的数据和误报原因进行统计分析，完善检测规则逻辑、边界条件限制，配置适当的白名单过滤，为后续能够日常运营提供更具备可操作性和更实用的威胁检测规则。

攻击面再评估和数据可见性分析：在红蓝对抗准备和红蓝对抗开展阶段，防守方和攻击方分别进行了攻击面评估、攻击目标信息收集的工作，因此在复盘阶段可以通过对比双方掌握的攻击面信息和攻击目标的选择，来挖掘是否存在先前遗漏的边缘资产、未知攻击面，通过攻方视角查漏补缺。同时对遗漏的攻击面可以做相关的数据源需求分析，补充缺失的数据可见性和威胁感知能力。

防御差距评估与改进：针对红蓝对抗中发现的薄弱环节，防守方可以提炼改进目标、指导后续的安全建设工作。由于不同企业存在的攻击面差异性较大，重点关注的核心资产、靶标也有所差别，在准备过程中可能根据优先级选择了比较关键的几个领域优先开展，而通过红蓝对抗发现的其他薄弱环节，为后续开展哪些方向的工作提供了参考。例如，重点加强生产环境安全防护的，可能忽略了员工安全意识培训，导致被攻击者钓鱼的方式突破入侵；重点关注网站安全的，可能忽略了服务器存在其他暴露在外的端口或服务，被攻击者通过探测发现，利用已知漏洞或0day漏洞控制服务器绕过。结合ATT&CK框架补充对应的数据源和攻击技术检测手段，可以快速补足这方面的遗漏。

防御效果评估是红蓝对抗复盘阶段重要的总结过程，也为后续持续优化改进提供参考。在这里ATT&CK框架起到的作用主要是统一攻防双方语言，将每一个攻击事件拆分成双方都可理解的技术和过程，为红蓝对抗走向红蓝合作提供可能。

纳德拉生于1967年的海德拉巴德的Nizams市，并在印度的Manipal大学获得了电子和通信的工程学士学位，随后前往美国留学，在威斯康辛大学（University of Wisconsin-Milwaukee）攻读计算机硕士，后来在芝加哥大学（University of Chicago）攻读MBA。

在美国麻省理工学院任职的Vinod V Thomas，25年前曾经在印度担任纳德拉的老师。在接受《印度时报》采访时，他评价说：“我不能马上回忆起他来，他并不是最好或是最糟糕的学生，但记录显示他是一个优秀的学生，从同学们中脱颖而出。”

在1992年加入微软之前，纳德拉曾经在Sun公司任职。之前职务是微软云计算和企业部门执行副总裁。过去20年中，纳德拉一直与微软CEO鲍尔默和联合创始人盖茨合作紧密，并多次得到鲍尔默的支持和肯定，这意味着他将继续坚定执行此前鲍尔默所制定的微软转型策略。此外，纳德拉还帮助微软推出了云计算版Office软件，即Office 365。微软表示Office 365是其有史以来增长最快的产品之一。在截至2013年6月份的上一个财年，微软云业务营收增长到203亿美元，而他接手时2011财年营收为166亿美元。

纳德拉确实是微软多项重要技术的开发者之一，这些技术包括数据库、Windows服务器和开发者工具。他所负责的微软Azure云服务在业内很受推崇，被称为Amazon云服务的替代者。

北京时间2014年2月4日晚，微软宣布，比尔-盖茨不再担任微软董事长，新职位为技术顾问，汤普森(John Thompson)接任董事长一职，同时微软宣布纳德拉(Satya Nadella)为下任CEO。

萨特亚·纳德拉（Satya Nadella）出生于印度第六大城市海得拉巴，但他的印度口音并不像你想像的那么明显。

纳德拉在班加罗尔大学获得电子工程学士学位后便移居美国。获得威斯康星大学的计算机科学硕士学位和芝加哥大学的MBA学位后，他于1992年进入微软，历经比尔·盖茨和鲍尔默两任领导，是微软的“老人”。

微软董事会认为，纳德拉更熟悉微软内部的复杂环境，能比“空降兵”更快地推动新产品和业务发展。微软前战略顾问Charles Fitzgerald向《纽约时报》表示，纳德拉“知道微软的家底内幕”。

纳德拉曾在Windows、Office等多个业务部门工作，先后领导微软的必应（Bing）搜索引擎、SQL Server数据库和Azure云计算业务，在过去三年间他直接向鲍尔默汇报。

鲍尔默常被指为对新趋势反应迟钝，而纳德拉善于说服上司进入新领域。他最早注意到企业鼓励员工自带设备（bring-your-own-device，BYOD）的趋势，并向鲍尔默指出微软有必要发展云服务，但后者倾向于继续倚重System Center系统。

“你提出一个想法，他（鲍尔默）总会说'这是我听过最蠢的主意'或'我不同意'。”纳德拉说，“要对付他，你必须坚持不懈。”

他在比尔盖茨手下工作时就学会了对付暴君上司的办法：“他们会对你大吼大叫，说你是疯子，指责你试图毁掉整个公司。但你不要被这种戏剧性场面吓倒，只要一次次拿着数据去找他们证明你的观点，因为这一切很大程度上是为了考验你是否真的知道你自己在说什么。”

在他的推动下，Windows AZURE打破微软传统，加大对开源数据的支持，并于去年年初加入开放数据中心联盟（ODCA）。AZURE支持包括Linux、Hadoop、MongoDB、Drupal、Joomla在内的数千个开放标准和开源软件环境。微软1月中旬发布的二季度财报显示，微软商用云业务收入增长107%。

2013年10月，纳德拉向Gigaom创始人Om Malik谈起微软面临的挑战与机遇：“在企业市场，我认为我们处于攻势。我直接负责的业务价值超过200亿美元，但至少已有2兆美元投入到整个云服务市场。所以我认为我们的方向是正确的，而且我们已经开了个好头。云服务、大数据不再是遥远的未来，而是当下正在发生的事。”

“在消费市场，我们已经推出一些硬件产品和新的操作系统，这些举措相当大胆。我们在桌面时代成就辉煌，人们会问'为什么你们新出的产品没达到同样的量级？' 但我们在这方面的战略很明确，触屏、大屏幕都非常重要，你会看到我们对设备产品不断创新。总而言之，微软面临的挑战和机遇是如何改善我们的硬件产品和服务。”

纳德拉很少谈及微软的消费业务。与拥有销售背景的鲍尔默不同，纳德拉在消费领域毫无经验，而该领域对微软意义重大。

微软2013财年二季度总营收达到了24519 亿美元，较去年同期的2146 亿美元增长了14%，净利润则从2012年同期的6377 亿美元增长至656 亿美元，增长3%，超出华尔街分析师预期。从财报来看，微软第二季度的增长主要归功于高达1191 亿美元的设备与消费产品收入，比2012年同期增长13%。 2014年2月4日，微软董事会宣布萨提亚·纳德拉担任首席执行官和董事会董事，喧嚣已久的微软新ceo选择至此尘埃落定，带领错过了搜索、移动等机会的微软走出“新路”，是纳德拉被赋予的使命。

云计算的拥趸

“在公司转型期间，萨提亚·纳德拉是带领公司前进的最佳人选，”比尔·盖茨表示，萨提亚拥有有目共睹的核心工程技能、清晰的商业远见和把大家团结在一起的超强凝聚力；他对科技如何在全球的应用和体验上很有远见，这正是微软未来扩展产品创新和成长所需要的。

比尔·盖茨将以创始人和技术顾问的新角色在董事会中任职，并将花更多的时间在公司，以协助纳德拉为公司未来技术和产品制定方向，业界普遍认为他的作用更像是一个把关人，“从未担任过ceo角色的纳德拉缺少某些经验，盖茨能更好地帮助纳德拉在战略层面上给予正确的指引，避免犯错。”

出生于印度、现年仅46岁的萨提亚·纳德拉，原担任微软云暨企业团队执行副总裁在微软效力22年，是主管云计算与企业事业部的“老将”。自1992年加入微软以来，纳德拉主导了涵盖公司主要产品和服务的重要战略和技术转型，其中最引人注目的是微软迈向云计算，以及建立起世界上规模最大的云基础架构来支持 bing、 xbox、 office和其他服务。

他与重塑软件世界的最灼热趋势——云计算——有着紧密的联系，纳德拉的第一份工作是在太阳微系统公司（sun microsystems），该公司是这一理念的早期拥护者。

微软如今在企业级市场风生水起，尤其是在云计算市场，与ibm、亚马逊aws等平起平坐，其企业级业务占比全部营收的50%，而纳德拉执掌的部门贡献超过三分之一。作为纳德拉的“老本行”，持续推动企业级业务并保持更加稳定的增长是纳德拉的使命之一，他也是最有能力带领微软继续在企业级市场实现进步的领导者。

凭借纳德拉的优势，微软未来无疑会更加注重企业与云计算业务。从企业级的竞争格局来看，微软在“云”与“服务化”上走在了对手的前面，但在大数据等“智能化”维度上落后于对手，下一步能否在此方向上有更大的突破，将是微软发展的关键。

“安全的选择”

微软新任ceo一定要对微软未来发展战略有着很高的认同度，不然就会酿成类似于惠普此前每届ceo都有不同战略的悲剧。

很多评论认为性格相对温和的纳德拉无需进行颠覆性革新，只需在鲍尔默定下的战略上，稳步推进就能走好微软转型之路。

微软的转型正是坚持鲍尔默提出的“一个微软、一个战略”，即实现企业级与消费级市场共享一个平台的战略目标。这些年微软在从产品向“设备+服务”公司转型中暴露出许多矛盾，包括内部组织架构的冲突以及生态链合作伙伴因更多选择而与微软渐行渐远等，这些矛盾强势的鲍尔默无法解决，抛给了温和的纳德拉。

微软在移动领域行动不够迅速，在向设备转型的过程中却困难重重，风头一直被谷歌与苹果把持，鲍尔默从技术、市场等方面都进行了改变和尝试，但效果甚微。鲍尔默在离职前对微软进行了大刀阔斧的改革，包括巨资收购诺基亚，以实现“设备与服务公司”的转型方向；进行内部重组，将从前的8个产品部门整合为4个新部门，以实现“一个微软、一个战略”的目标。

移动设备端的缓行，不仅让微软失去了“设备端”话语权，未来必将影响到微软的“服务”战略，谷歌与苹果不断强化企业级的服务能力，越来越多的人通过苹果与安卓移动设备进入工作场景，微软的工作与企业级优势也将被蚕食。同样在云和服务端，微软并非无可取代，来自亚马逊、ibm、甲骨文等对“智能化服务”的全速推进，以及他们对ios与安卓移动平台的全力付出，将使得“智能化移动时代”这个机会被瓜分殆尽。

从沸腾的激情到火爆的脾气，执掌14年后，鲍尔默总是显露出过剩的精力。接替他的纳德拉生于印度、喜欢安静思考，但拥有“很高的情商”。创造一个更创新和更灵活的微软,纳德拉必须要有颠覆性的“玩法”。

在就任微软CEO的几十天里，纳德拉重点做了这些事情：纳德拉亲自出席发布会，推出了针对iPad平台的Office软件套装；昨日，微软宣布将不再对智能手机和小尺寸平板电脑收取Windows软件授权费用。外界认为，此举虽然可能不会为给微软带来巨大收益，但却意味着微软开始转型。

纳德拉还为企业用户推出了管理员工移动设备的企业文件应用，无论他们使用的是微软设备还是竞争对手设备，均可以接入这一服务。

纳德拉的这一系列动作都反映出了他对微软已处于“失陷帝国”状态的清晰认识。在过去数十年来，Windows系统一直主导了全球计算机产业，无数的程序员为这一平台夜以继日的开发应用，这也就使得Windows一直以来都是企业和个人消费者的中心。 2014年9月25日上午，微软第三任CEO萨提亚 ·纳德拉(Satya Nadella)正式开始了在中国的公开活动。这是他在出任微软CEO后的首次中国之旅。

纳德拉此次的中国行将持续两天，行程将包括与中国学生对话、为“微软新视界”项目揭幕、在清华大学演讲以及出席客户峰会等。而对于其他的具体行程计划，微软方面拒绝透露。

纳德拉25日的首站活动是与来自清华、复旦等大学的微软“创新杯”获奖学生过招，另外一次是与清华大学的学生们交流，分享自己如何从去美国留学到成为微软CEO的经历。萨提亚的两站活动都与大学生紧密相关，这对于一个商业公司的CEO而言是非常罕见的。有分析称，萨提亚可能在向外界表明，在他带领之下的微软，思考如何招揽更多优秀的、创新的中国人才，才是最重要的事情。

1主要是内部管理的风险

相对于黑客病毒什么的

更为严重

这是和正常理解有些不一样的

要完善电子商务管理制度

以及对数据信息的操作权限和加密

目前有非对称加密（公钥和密钥结合使用的方法），电子证书认证，还有生物认证等作为主要的保密措施

网络方面

主要是上面的保密措施

外加VAN吧

虚拟增值网

专用的网络线路

安全

成本也高

一般大企业使用

主要用来做EDI

主要是内部管理的风险

相对于黑客病毒什么的

更为严重

这是和正常理解有些不一样的

要完善电子商务管理制度

以及对数据信息的操作权限和加密

目前有非对称加密（公钥和密钥结合使用的方法），电子证书认证，还有生物认证等作为主要的保密措施

网络方面

主要是上面的保密措施

外加VAN吧

虚拟增值网

专用的网络线路

安全

成本也高

一般大企业使用

主要用来做EDI

2人的因素是最重要的，主要是操作人员的安全意识问题，很多管理员都喜欢在多个账号上用同一密码，这就导致一个账户失陷则全部沦陷，同时这也容易被人社工，还有就是密码复杂度问题。

3那就是各种各样的系统漏洞，脚本漏洞，配置漏洞，当然一个大的站点不可能不用活动脚本，那么这就要注意传递参数的过滤了，比如现下国内还是很流行的SQL注入攻击，以及XSS跨站，甚至跨域的入侵，其实这里个人觉得XSS漏洞要严重些，从漏洞利用，以及蠕虫感染，挂黑页，挂流量方面来说xss要比SQL注入简单点。

4如何防控的话，当然资源服务器上的漏洞不能有，还有就是商务内网要建立堡垒主机，要有高性能软/硬防火墙，而且是可抗DDOS的，域服务器要有严格的明确的权限

暂时就想到这么多了