文章总结： 本文探讨安全从业者从研究攻击者技术转向关注攻击面管理的心路历程，提出安全工作价值应从被动检测转向主动治理。通过分析微软攻击面缩减（ASR）策略，指出防御重点应在于收窄不必要的系统能力以提升攻击成本，而非仅追踪攻击工具。作者认为安全治理能通过减少攻击路径预防事件发生，改变以往被动响应的局面，实现花小钱办大事。 综合评分： 85 文章分类： 安全运营,安全建设,终端安全,ATT&CK,ASR

以前研究攻击者，后来研究攻击面

原创

jishuzhain jishuzhain

OnionSec

2026年6月7日 21:03 广东

在小说阅读器读本章

去阅读

以前研究攻击者，后来研究攻击面。

写点题外话先，长期浸润在乙方厂商视角会产生的安全观是安全工作的价值在于发现攻击，踩过一些坑后会发现乙方并不是市场的全部，也不是全部的真相，有时候脱离出来会看到不一样的风景。当开始思考从“攻击发生了什么”转向“为什么攻击能够发生，以及如何让它不发生”的想法出现时。时刻做好准备，我觉得也是愿意重塑以往安全观的自省过程。

在这里想提出一些问题思考一下（不急于找到答案），比如以下几点：

安全工作真正创造价值的地方，往往发生在那些没有发生的事故里。长期处于这类反自觉的环境里如何保持职业的敏感度与热情呢？

如果资源有限，先做什么最划算？

想思考的问题并不是要寻找到答案或者说是正确答案，而是突然发现问题就在那里，不管怎么变化，变好变坏，悲观也好乐观也行，那些问题依然还是那些问题。

好了正文开始了，最近阅读微软关于 Attack Surface Reduction（ASR）的一些文档时，忽然想到一个有意思的问题。如果把这些年终端安全的发展浓缩成一句话，究竟是在研究什么？

刚接触安全的时候，我和很多人一样，对攻击者充满兴趣。研究样本、分析免杀、跟踪家族、学习攻击链路。那时候觉得，只要足够了解攻击者，就能做好防御。

后来参与过一些应急响应工作，接触过勒索软件、木马投递、黑灰产活动，也包括这些年比较活跃的“银狐”类团伙。

慢慢发现一个现象：每次成功处置一个事件，往往意味着攻击已经发生了。即使检测再快、响应再及时，本质上仍然是在收拾已经发生的问题。

当频繁遇到需要道歉救火的场景画面时，不知道还有没有人愿意相信还能做好吗？从我个人来说我一直很愿意相信只是环境土壤问题，我确实认识不少同行真的具备优秀的能力素质，我们也会因兴趣在讨论怎么落地更好，因为业界肯定有落地成功的案例存在，这条路上只是缺乏同路人而已。话说回来遭遇的每一次质疑就类似投资失败案例一样，时刻面临破产风险，这些年的经历已经验证了俗语“出来混迟早是要还的”。

于是开始思考另一个问题。如果目标不是发现攻击，而是让攻击更难发生，会怎么样？

这次阅读 ASR 文档时，我最大的感受并不是微软新增了多少规则，而是它关注的问题发生了变化。它并不关心某个木马家族叫什么名字，也不关心某个 C2 域名是什么。

它关注的是一些更基础的问题，例如：

为什么 Office 需要启动 PowerShell？

为什么普通用户需要执行混淆脚本？

为什么邮件附件能够直接拉起新的可执行程序？

为什么一个文档可以成为后续攻击链条的起点？

这些问题看起来很普通，但背后其实对应着大量真实攻击路径。

以前分析样本时，经常会研究攻击者如何绕过检测。现在回头看，很多攻击之所以能够成功，并不是因为攻击者特别聪明，而是因为环境给予了太多默认允许的能力，攻击者利用了这些能力，而 ASR 尝试做的事情，是收回其中一部分并不必要的能力。

这一点让我想起当年刚接触 ATT&CK 时的感受，最开始总把 ATT&CK 当成攻击者的地图来看，后来才慢慢意识到，它更像是一张防御地图。它帮助我们理解攻击者必须经过哪些路径。同样地，ASR 也不是简单的功能列表。

它是在问哪些路径其实根本不应该存在？

如果说 ATT&CK 帮助防守方理解攻击，那么 ASR 更像是在尝试删除部分攻击路径。这两者看似不同，本质上却指向同一个方向。

这些年接触银狐相关案例时，经常能看到类似的攻击链路，如社工诱导、恶意文档、脚本执行、远程下载、最终载荷落地。

如果只关注检测，防守方会不断研究新的变种、新的免杀方式、新的对抗技术。

但如果从治理角度思考，问题可能会变成如下：

为什么允许这条路径存在？

如果Office无法创建子进程呢？

如果脚本无法直接下载执行呢？

如果关键目录受到保护呢？

很多时候，攻击并不是被发现后终止，而是在开始之前就已经失去了继续发展的条件。

当然，这并不意味着 ASR 能够解决所有问题🌚。APT组织仍然可能找到新的路径，复杂环境下也需要平衡业务兼容性，安全从来不存在银弹。

但对于大量依赖规模化投递的黑灰产来说，情况可能并不一样。APT追求的是成功率，黑灰产追求的是投入产出比。

当一套攻击链在数万台终端上能够稳定运行时，它就具备商业价值；而当大量关键路径被提前收窄后，攻击成本会上升，收益则会下降。

从这个角度看，ASR 带来的价值未必体现在检测报告里，而是体现在那些没有发生的事件里。多年后重新看终端安全，我开始觉得自己的关注点发生了一些变化。以前总是在研究攻击者，研究他们使用什么工具、采用什么技术、留下什么痕迹。后来发现，更值得研究的或许是攻击面本身。安全是纯成本部门（这个不用反驳吧），能不能花小钱办大事？

因为检测是在发现已经发生的事情，而治理是在减少事情发生的概率。前者解决的是一次事件，后者改变的则是整个环境。或许这也是这些年最大的认知变化。

从研究攻击者，到研究攻击面；从关注技术细节，到关注系统如何减少风险。

有些问题，当年没有答案。多年后再回头看，答案也许一直都藏在问题本身里面。

结束了，(・ω・)蓦然回首那人却在灯火阑珊处。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《以前研究攻击者，后来研究攻击面》