100+ 攻击剧本解读：企业如何为"WAF、EDR、邮件网关"做体检？

摘要：

本文逐一解读边界、主机、邮件、内网、终端5大战线的核心剧本类型、典型验证场景、常见'失效点'，并给出一份'防御体检评分表'，让企业能量化自己当前安全体系的真实水位。

一、为什么是"剧本化体检"，而不是"产品化体检"

传统的"验证"方式是：看产品是否启用、规则是否配置、告警是否有日志。但这些只是"表面合规"——真正的攻防对抗中，攻击者不会走"标准路径"。

剧本化体检的逻辑是：

• 站在攻击者视角
• 选择典型战术（按 MITRE ATT&CK 映射）
• 在受控环境中执行
• 观察防御产品的真实反应
• 输出"防御成功率"量化数据

这比"产品看起来启用了"多了整整一个维度——真实效果。

二、五大防御战线总览

┌───────────┬───────────┬───────────┬───────────┬───────────┐
│ 边界       │ 主机       │ 邮件       │ 内网       │ 终端       │
│           │           │           │           │           │
│ WAF       │ HIDS      │ 邮件网关   │ 内网 IDS   │ EDR       │
│ DDoS 防御  │ EDR       │ 反钓鱼     │ 流量分析   │ 终端管控   │
│ 防火墙     │ 主机加固   │ 沙箱       │ 零信任     │ DLP       │
└───────────┴───────────┴───────────┴───────────┴───────────┘

三、战线 1：边界——你的第一道墙

3.1 常见剧本类型

• SQL 注入变形（多种绕过）
• XSS 变形
• 命令注入
• Webshell 上传
• 目录遍历
• 业务逻辑绕过
• 暴力扫描
• DDoS 小流量探测

3.2 典型"失效点"

• WAF 规则开启了但设置为"仅告警"，没拦截
• 规则顺序错误
• 高级变形绕过成功
• HTTPS 流量未解密检测
• 关键业务路径被加白名单

3.3 关键观察指标

• 拦截成功率
• 响应时延
• 日志完整性
• 告警到 SOC 的链路

四、战线 2：主机——核心资产的最后一道墙

4.1 常见剧本类型

• 后门程序植入
• 提权攻击（本地 / 内核）
• 横向移动
• 凭据窃取（mimikatz 类）
• 计划任务持久化
• 系统命令执行

4.2 典型"失效点"

• HIDS Agent 未部署在所有主机
• EDR 规则落后，新 TTP 未覆盖
• 告警被忽略
• 自动响应未启用
• 白名单误加了恶意行为

4.3 关键观察指标

• Agent 覆盖率
• 行为拦截成功率
• 告警-响应链路时效

五、战线 3：邮件——最被低估的入口

5.1 常见剧本类型

• 钓鱼邮件（仿冒领导 / 客户 / 合作方）
• 恶意附件（宏病毒 / 脚本 / 压缩包）
• 恶意链接
• 商业邮件攻击（BEC）
• 仿冒品牌注册

5.2 典型"失效点"

• SPF / DKIM / DMARC 未正确配置
• 附件沙箱未启用或超时
• 员工未开展安全意识培训
• 钓鱼链接识别率低
• 告警到 IT 的链路断

5.3 关键观察指标

• 识别率
• 沙箱检测率
• 员工点击率（可做受控钓鱼演练）

六、战线 4：内网——最容易被忽视的战场

6.1 常见剧本类型

• 内网扫描（SMB / SSH / RDP）
• 横向移动
• 共享资源访问
• 域控攻击（针对 Windows AD）
• 数据外传（DNS Tunnel / ICMP Tunnel）

6.2 典型"失效点"

• 内网流量分析未部署
• 东西向流量缺乏监控
• 敏感数据无 DLP 策略
• 零信任未真正落地
• 网络分段不足

6.3 关键观察指标

• 侦察行为识别率
• 异常流量告警
• 数据外传阻断率

七、战线 5：终端——攻击者最喜欢的落脚点

7.1 常见剧本类型

• 勒索软件行为
• 后门驻留
• 键盘记录
• 浏览器凭据窃取
• USB 介质恶意行为
• 未经授权软件运行

7.2 典型"失效点"

• EDR 未全员部署
• 终端管控策略过松
• USB 介质无管控
• BYOD 场景失控

7.3 关键观察指标

• 恶意行为识别率
• 自动隔离成功率
• 响应时效

八、一份"防御体检评分表"

评分标准：

• ≥ 90%：优秀
• 70%~89%：良好
• 50%~69%：待改进
• < 50%：红线

九、一次体检能带来什么价值

价值 1：真实水位

从"感觉不错"到"数据告诉你怎样"，彻底改变内部讨论基调。

价值 2：优先级指南

每一项"未通过"都对应一个具体的整改点，不再需要拍脑袋决定加固方向。

价值 3：预算依据

带量化数据去做年度预算沟通，比"凭感觉要预算"有效十倍。

价值 4：管理层信任

董事会/CISO 会议上看到"防御成功率 93%"，比口头"我们都做了"更有说服力。

价值 5：攻防演练前备战

HW 前做一次剧本化体检，能显著提升演练通过率。

十、定制化剧本的使用场景

除了 100+ 通用剧本，RAS 还支持定制化剧本，针对企业特殊场景：

• 金融行业：针对银行核心交易系统的特殊 TTP
• 工业：针对 OT / SCADA 的场景
• 出海：针对海外合规场景
• 独有业务：针对特定业务逻辑的滥用测试

定制化剧本需要在方案对接时与腾讯安全专家沟通需求。

十一、防御能力检验的投入与回报

投入

• 防御能力检验服务：20 万/场景（含 20 剧本）
• 防御检验分析服务：2 万/人天
• 专家支持：按需

一次完整的 5 战线体检项目成本在 50~150 万 之间。

回报

按行业数据，一次完整体检通常能发现 10~30 个防御失效点。如果其中哪怕只有 1 个点直接阻止了一次重大事件——按平均事件代价 500 万~千万级估算——投入已经回本。

十二、立即行动

行动 1：对齐现有防御产品清单

把你公司当前部署的安全产品按 5 大战线归类，看看哪一战线产品最多、哪一战线最弱。

行动 2：启动第一次剧本体检

建议先从"边界 + 主机"两大战线开始——这是最容易看到效果的领域。

行动 3：预约 HW 前档期

每年 HW 前 90 天 是 BAS/剧本体检需求较多的时段，越早预约越好。

十三、结语

安全产品不是买了就有效，启用了也不等于挡得住。真正的防御力，只有通过"真刀真枪的体检"才能被量化。

100+ 剧本代表的不是数字，而是腾讯安全团队多年攻防对抗的沉淀。把这些剧本用一次在你的系统上，你会比过去任何一次内部讨论都更清楚自己究竟处在什么水平。

这就是防御能力检验的真正价值。

立即访问腾讯云 RAS：https://cloud.tencent.com/product/ras