关于作者  金睛研究中心 金睛研究中心是启明星辰集团专业从事威胁分析和为检测产品赋能的团队。团队秉承着 “引领产品、服务产品”的核心理念，长期以来在 Web 安全研究、僵木蠕研究、高级威胁研 究、二进制漏洞研究、IoT 威胁研究等多个领域深耕，并将研究成果源源不断赋能到入侵检 测、Web 防护、沙箱检测、流量分析、欺骗防御等产品。同时对相关产品产生的安全告警日 志、样本数据进行深入挖掘和分析，并向用户提供专业的分析报告、提出专业的安全建议， 为用户决策提供帮助。  VenusEye 威胁情报中心 VenusEye 威胁情报中心由启明星辰集团倾力打造，以“数据驱动运营，情报赋能安全”为 理念，综合运用沙箱集群、同源分析、知识图谱、人工智能等先进技术，聚焦高价值情报的 生产和应用，赋能安全产品和运营服务。可以提供多种与网络安全威胁情报相关的数据、产 品和服务，包括但不限于威胁情报站点查询、SaaS 服务、威胁情报库、私有威胁情报中心 等。可以协同赋能监测探针类、威胁感知类、分析溯源类、安全运营类等多种威胁情报应用 场景，快速研判入侵行为，提升威胁检测、防护、应急响应能力。  云众可信 云众可信（www.cloudcrowd.com.cn）成立于 2017 年，是启明星辰集团旗下品牌，深耕 网络安全攻防领域，以“做网络空间安全守护者”为使命，秉承“专业、创新、极致、担当”理 念，为客户提供专业可信的网络安全攻防产品、服务及解决方案，致力于成为客户最信赖的 网络安全合作伙伴，为客户安全保驾护航。云众可信核心产品包括：网络空间靶场、红蓝网 络攻防演练平台、应急演练平台、安全众测平台。安全服务涵盖：攻防演练、安全众测、渗 透测试、代码审计、应急响应、安全评估、安全培训、定制服务等。目前，云众可信已成功 为来自政府、互联网、金融、电力、能源、运营商、大型企事业单位等行业客户提供安全支 撑，助力客户安全、高效、合规的开展业务。  核心技术研究院 启明星辰核心技术研究院是启明星辰集团的网络安全前沿技术研究部门，成立于 2011 年。与启明星辰博士后工作站紧密结合，由博士及硕士研究人员组成的团队近年来致力于大 1 /2020~2021 网络安全态势观察报告/ 数据安全分析、机器学习/深度学习在网络安全中的应用、人工智能安全、区块链安全、隐 私保护计算等多项网络安全前沿技术领域的研究工作，为启明星辰的技术创新提供重要支 持。  漏洞扫描产品中心 启明星辰漏洞扫描产品中心于 2000 年开始研发天镜脆弱性扫描与管理系统，是从事漏 洞评估与管理产品的专业化团队，团队坚持自主创新，不断突破脆弱性评估相关核心技术， 在工控漏洞评估、漏洞智能管理、产品国产化等多方面持续领先。 研发了具有自主知识产权的漏洞评估与管理产品系列产品，包括天镜系统漏洞评估工具、 天镜 Web 应用检测系统、天镜无线安全评估工具、天镜工控漏洞评估工具、 、天镜国产化漏 洞评估工具、天镜工控等保检查工具箱、天镜等保检查工具箱、天镜网络安全应急处置工具 箱、天镜漏洞管理平台、天镜网站安全监测平台产品等。 根据权威调研机构赛迪顾问（CCID）数据显示“天镜脆弱性扫描与管理系统”在漏洞评估 与管理市场连续多年排名第一，树立了启明星辰漏洞评估与管理产品的领导者地位和市场品 牌。  应急响应中心 启明星辰集团应急响应中心（VSRC）是启明星辰集团开展重要网络安全事件发现、通 告和应急处置工作的安全协调中心。致力于为国家主管部门和企业级用户提供统一化资源协 调、体系化应急响应、行业化情报服务和规范化安全通告，以共同维护国家公共互联网安全， 保障关键信息基础设施安全运行。  知行安全研究中心 知行安全研究中心是启明星辰集团旗下北京网御星云信息技术有限公司所属的专业安 全研究中心，研究方向是聚焦数字化场景中的安全需求，通过在安全实践中进行探索、归纳、 总结和凝练，形成相关安全研究成果。曾结合云上贵州数字要素市场安全实践，在数博会推 出《省域数据要素市场自治与可信流通安全防护体系建设白皮书》 、结合医疗领域安全实践， 在 CHIMA 大会推出《中国医院网络安全发展研究报告》等重磅报告。 2 /2020~2021 网络安全态势观察报告/ 概述  网络安全法制化建设稳步推进，数据安全逐渐成为焦点 习近平总书记指出：“安全是发展的前提，发展是安全的保障”。这表明在塑造数字化发 展这个新“动力系统”的同时，也要注重实现网络和数据安全的“制动系统”。唯有如此，才能 形成健康、良性、高质量的数字化发展新格局。 网络安全法的正式施行，标志着我国网络安全纳入法制化轨道。等级保护 2.0 相关标准 的正式实施，构成了国家网络安全保障的基本制度、基本策略和基本方法。2021 年 7 月， 国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿） 》 ，从关键信息基础 设施到供应链安全等多角度维护国家安全。同月，工业和信息化部、国家互联网信息办公室、 公安部联合印发了《网络产品安全漏洞管理规定》 ，自 2021 年 9 月 1 日起施行。该规定的 施行将推动网络产品安全漏洞管理工作的制度化、规范化、法治化，引导建设规范有序、充 满活力的漏洞收集和发布渠道，防范网络安全重大风险，保障国家网络安全。特别值得一提 的是 2021 年 9 月 1 日即将施行的《中华人民共和国数据安全法》 ，它的颁布和实施为规范 数据处理活动、保障数据安全、促进数据开发利用提供了法律依据。同时标志着数据安全正 逐渐成为焦点，并已经成为国家战略层面的重要考量。经过近几年的发展，针对数据安全的 各项保障工作逐渐取得成效。 一是数据流通交易安全体系不断完善。当前数据已经上升为新的生产要素，各地纷纷加 速培育数据要素市场，着力推进数据流通交易建设，深入数据要素市场的场景化安全需求。 发布《省域数据要素市场自治与可信流通安全防护体系建设白皮书》 ，就是对新型数据流通 交易安全的有益探索。 二是数字内容隐私保护细化完善。2020 年通过的《中华人民共和国民法典》 ，首次规定 了隐私权和个人信息保护原则等，为该领域的未来立法奠定基础。2021 年审议的《中华人 民共和国个人信息保护法（草案二次审议稿） 》 ，体现了个人信息保护立法工作的逐步细化。 三是数据安全技术逐步创新演进。当前利用数据安全治理、隐私计算、区块链、数据令 牌化、数字水印、同态加密等技术，解决数据确权、数据交易、数据可用不可见、数据追踪 等问题。采用“零信任”安全理念和架构，以身份为中心，精细化授权，全面审计，保障用户 安全、可信地访问业务系统。 我们相信，随着相关法律法规的不断落地以及相关技术的不断成熟，我国网络安全治理 能力和数据安全保障水平将会不断迈上新的台阶。  威胁框架进入“攻防兼备”新阶段，并逐渐成为网络安全行 业的风向标 过去一年多，以 ATT&CK 为代表的威胁框架热度不减，并逐渐进入“攻防兼备”的新阶段。 3 /2020~2021 网络安全态势观察报告/ 2020 年 1 月 7 日，MITRE 发布 ATT&CK For ICS 知识库。ATT&CK For ICS 首次成功描绘 了针对工控系统的攻击所涉及的技术，为关键信息基础设施和其他使用工业控制系统的组织 评估网络风险提供了重要参考。 2020 年 10 月，MITRE 发布 ATT&CK v8 版本，将 PRE-ATT&CK 替代为新的侦察和资源 开发两个战术，较上一版本更加完整地描绘了攻击者针对传统 IT 系统的攻击过程。 2021 年 4 月，MITRE 发布 ATT&CK v9 版本，新增了 ATT&CK for Containers，首次描绘 出针对 Kubernetes 和 Docker 的攻击技术。 随着近几年的发展，以红方视角为主的威胁框架逐渐完善，但网络安全防护领域的知识 库始终缺失。2014 年 NIST 发布的网络安全框架 CSF 提供了用于管理网络安全风险的通用 语言和系统方法，但其更像一个面向合规的方法论，缺乏真正可落地实践的基础。 在此背景下， 2020 年 8 月， MITRE 发布了用于主动防御的实战型指导框架： MITRE Shield。 该框架是基于对真实攻防对抗环境所涉及的主动防御战术、技术提炼而成的知识库，包括了 引导、收集、控制、检测、破坏、促进、合法化、测试 8 大战术和 33 种技术。Shield 提供 了针对 ATT&CK 攻击技术对应防御技术的映射，防御者可以利用 ATT&CK 威胁框架分析攻 击者的技战术，同时利用 Shield 知识库部署网络防御设施。MITRE Shield 知识库虽然较 CSF 网络安全框架显得更“接地气”，但其每个具体防御技术仍然不够具体细化，缺乏可落地性。 2021 年 6 月，NSA 协助 MITRE 发布了 D3FEND 框架，D3FEND 作为 ATT&CK 的重要补 充提供了对抗常见攻击技术的方法模型，并将每一项防御技术与 ATT&CK 模型中的攻击技 术相对应。与 MITRE Shield 不同的是，D3FEND 以数字工件本体作为概念化与实例化关系的 基础，建立攻击技术和防御技术之间的关联。以 DNS 网络流量数字工件为例，其关联的防 御技术（左侧）与关联的攻击技术（右侧）如下： 图 1 D3Fend 框架 DNS 网络流量数字工件 4 /2020~2021 网络安全态势观察报告/ 防御者可以通过数字工件的关联找到与之对应的攻击技术和防御技术。D3FEND 相比 MITRE Shield 具备更强的落地性，作为“甲方”的网络安全需求方可以借助 D3FEND，更有针 对性地结合自身网络环境面临的威胁设计、部署整个网络防御系统；而作为“乙方”的网络安 全厂商在进行 ATT&CK 能力覆盖时也可以“按图索骥”直接找到对应的防御技术。 以 ATT&CK 为代表的攻击框架和以 Shield、D3FEND 为代表的防御框架的出现，为网络 安全行业作出了重大贡献。未来，以它们为代表的攻防框架将逐渐成为网络安全行业的风向 标。 基于对过去一年多各类攻击事件的汇总，我们总结出 2020 年~2021 年上半年 ATT&CK 常用攻击技术，如下表： 攻击阶段 侦察 常用技术 主动扫描 资源开发 获取能力（代码签名证书） 初始访问 利用面向公众的应用程序、有效账户、供应链攻击、外部 远程服务 执行 持久化 命令和脚本解释器、计划任务、系统服务、用户执行 创建或修改系统进程、计划任务、外部远程服务、账户操 作、有效账户、创建账户、引导或登录自动启动执行、事 件触发执行、劫持执行流程、BITS 权限提升 创建或修改系统进程、计划任务，进程注入、有效账户、 访问令牌操作、引