态势感知

态势感知这个词引用以习大大在419讲话

大兵说安全公众号里面有上中下三篇文章具体介绍了什么是态势感知

感兴趣的朋友可以看一看，里面也提到了，其实态势感知这个词，不是一个新名词，在军事领域就用的比较广泛。

在几年前网络安全产品市场还没有这么成熟的时候，大家都喜欢叫入侵检测系统，入侵防御系统，入侵检测防御系统， APT检测系统，高级威胁检测系统。后来随着。Gartnet的趋势预测越来越流行，出现了NTA ，NDR等叫法。

但底层技术本质技术没有太多的改进和变化。还是基于网络协议7层模型，把正常的业务流量和攻击流量区分开。这里面涉及到一些DPI检测技术，网络行为分析技术，Ueba，加密流量检测技术， Ai人工智能，大数据分析等。说来说去，目的还是为了检测出流量中里面隐藏的高级威胁。

接下来谈谈

态势感知到底能检测哪些高级威胁

1，常见的web攻击。

2，常见的组件漏洞利用攻击。

3，常见的钓鱼邮件攻击。

4，常见的VPN异常登录。

5，常见的内网渗透行为，具体有端口扫描。漏洞利用，暴力破解，横向命令执行，横向未授权访问，横向数据库渗透，C2通信，隧道代理，异常端口转发，异常远程管理流量，知名远控软件行为，服务器异常外连。

6、文件杀毒、威胁情报

攻击者该如何绕过这些安全检测呢？

如果追求隐秘，尽量不要有大动作，要求稳，扫描爆破线程调低，尽量利用业务访问关系进行渗透，尽量利用主机信息收集。可以通过一些被动的手段，如流量嗅探，键盘记录，敏感文件收集，配置文件收集等，流量尽量用Tls加密或者SSL加密，白域名，域前置，木马免杀，工具免杀，当前足以绕过大多数安全监控设备了。

或者追求效率，不害怕被发现，这在某些大型攻防演习场景会用到，只要密码正确，横向访问成功立即执行命令回传主机相关信息。 

防御的本质是提高攻击门槛和攻击成本，结合商业那就是要考虑防御的ROI了，其实攻击者也会考虑ROI，0day不会轻易拿出来用，所以也不存在什么绝对的安全。

下一篇写终端检测与响应，敬请期待！