文章总结： 本文通过阅读《ZeroTrustSecurity》并结合APT事件复盘，反思安全建设应从研究攻击者转向识别组织核心资产（crownjewels），提出有限资源应优先投入身份治理、权限收敛等基础防御，通过零信任架构减少攻击者成功后的收益空间，而非单纯追求技术覆盖。 综合评分： 100 文章分类： 安全建设,安全意识,应用安全,网络安全,终端安全

从研究攻击者到研究组织真正害怕失去什么

原创

jishuzhain jishuzhain

OnionSec

2026年6月8日 22:01 广东

在小说阅读器读本章

去阅读

最近认真阅读了《Zero Trust Security A Hands-on Guide 》想写点体会分享一下，声明一下由于现实是复杂的，没有最优解，我会尽量讨论共性以及那些不太会变的东西。

最开始打算阅读这本书其实很简单，只是想系统了解一下 Zero Trust 的整体设计思路。毕竟这些年无论是终端安全、身份安全还是云安全，几乎都绕不开这个话题。原本以为会看到大量关于 MFA、ZTNA、微隔离或者身份认证体系的内容，但真正看进去以后才发现，它更像是在讨论一个问题，如下。

安全工作究竟是在保护什么？

书里第一章通过一家果汁工厂的案例展开分析，作者并没有急着介绍各种安全技术，而是先花了不少篇幅去理解业务是如何运转的，哪些系统是核心系统，哪些资产一旦失效会影响企业正常经营，以及哪些风险最值得优先投入资源解决。看到这里的时候，我忽然想起这些年自己对于安全工作的理解变化。

刚进入这个行业的时候，关注点几乎都在攻击者身上。那时候喜欢研究 APT 组织，分析恶意软件，追踪攻击链，整理攻击者使用的技术和工具，总觉得安全工作的价值在于发现攻击。后来接触终端安全以后，又开始关注攻击面，希望能够通过更好的检测能力、更全面的覆盖能力以及更完善的规则体系减少遗漏。现在回头看，这些工作当然有价值，但它们似乎都在回答同一个问题，如下。

攻击者做了什么？

而这些年越来越让我感兴趣的，却是另一个问题，如下。

攻击者为什么能够做到？

很多年前（也就 2022 年吧，不知道当时大家在做啥？有啥烦恼还是乐事呢？） 曾经参与过一次 APT 活动追踪，当时因为持续分析攻击链和基础设施，最终发现某个客户的内网实际上已经被攻击者长期控制。随着调查不断深入，最后推测攻击者在环境中的驻留时间至少超过三年。三年这个数字其实非常震撼，我觉得好可惜啊，代价很大。因为当一个攻击者能够在企业环境里生存三年以上时，问题往往已经不再是某个漏洞是否被利用，也不再是某个恶意样本是否被发现，而是为什么他们能够一直存在。

后来重新复盘整个事件时发现，攻击者真正依赖的并不是特别先进的技术。很多路径甚至称得上常见，例如： 管理员权限长期存在 高权限账号缺乏审计 服务账号密码长期不变 权限继承关系无人梳理 身份边界逐渐模糊

攻击者获得一个入口以后，便可以不断扩大控制范围，并逐渐形成稳定的持续控制能力。从技术研究的角度看，这似乎是一次成功的 APT 入侵案例；但如果站在企业安全负责人的角度重新思考，我会发现自己关注的问题已经发生变化。

如果重新回到当时，我未必会优先投入大量资源建设更复杂的检测体系，因为攻击者已经证明了一件事情，例如即使拥有检测能力，也未必能够保证及时发现。相反，一些看起来没有那么耀眼的能力，反而可能拥有更高的投入产出比。例如： 身份治理 权限收敛 特权账号管理 高权限行为审计 以及账号生命周期管理

这些措施未必能够阻止第一次入侵，但很可能让攻击者难以持续生存三年，更难以在整个组织内部不断扩大影响范围。

也是从那时候开始，我慢慢意识到，应该是可以做好防御的吧？很多安全建设真正重要的问题，并不是如何发现攻击者，而是如何让攻击者即使进入环境以后，也无法轻易获得持续收益。而这恰恰让我在阅读《Zero Trust Security 》时产生了很多共鸣。

书里反复提到一个概念——Crown Jewels，也就是企业真正的核心资产。这个概念其实很值得反复琢磨，因为现实世界里并不存在绝对安全。例如： 预算有限 人力有限 时间有限 性能有限 业务容忍度同样有限

因此安全建设最终一定会回到资源配置的问题，例如哪些资产最重要，哪些风险最值得优先解决，哪些地方能够获得最高的防御回报。

这个问题看起来简单，但很多企业未必能够回答清楚。尤其是在终端安全领域，这些年产品能力一直在快速扩展。从文件、内存、网络、注册表，到 PowerShell、WMI、驱动以及系统调用，能够采集的数据越来越多，规则越来越复杂，检测能力越来越强。但与此同时，一些真正关键的问题却未必得到同等级别的关注。

例如财务终端是否被重点隔离，代码仓库权限是否实现最小授权，域控制器是否与办公环境严格分离，供应链访问路径是否得到有效收敛。很多时候这些问题带来的安全收益，可能远高于新增几十条检测规则。

回头再看，会发现安全行业有时候很容易陷入一种技术覆盖带来的满足感。看起来能力越来越强，覆盖越来越广，但真正重要的资产却未必获得了匹配等级的保护。而攻击者其实从来不会平均攻击所有目标，他们永远优先寻找最有价值、最关键、最容易获得收益的地方。防御方其实也应该如此。

这也是我对 Zero Trust 最大的理解变化。以前总觉得它是一套安全架构或者一组技术能力，现在越来越觉得它更像是一种思考问题的方法。它并不是简单地告诉我们部署 MFA、ZTNA 或者微隔离，而是在提醒我们不要默认内部天然可信，不要默认权限应该长期存在，不要默认系统之间必须无限制互通。本质上都是在减少攻击成功后的收益空间。

这一点其实和现代终端安全的发展方向越来越接近。过去很多安全产品的核心价值是发现恶意行为，而现在越来越多设计开始关注限制运行边界。无论是浏览器沙箱、Workspace Isolation、Cloud PC、Just-In-Time Access，还是近年来出现的各种 AI Sandbox，本质上都在尝试解决同一个问题：如何减少默认拥有的自由度，因为过度自由本身就是攻击面的一部分。

最近随着 AI Agent 的快速发展，这种感受反而越来越明显。过去是人操作系统，未来可能越来越多是 AI 操作系统。AI 自动读取文件，AI 自动调用工具，AI 自动执行代码，AI 自动访问数据，于是安全问题又重新回到了那个熟悉的话题，例如边界在哪里，权限如何控制，哪些资源允许访问，哪些资源必须受到保护。

从这个角度看，无论是APT、终端安全、身份安全还是零信任，最终讨论的或许都是同一个问题——当攻击不可避免时，如何让攻击者拿不到最重要的东西。

读完这本书以后，我最大的收获反而不是学会了某项具体技术，而是重新思考了安全工作的价值。很多年前，我总觉得安全工作的价值在于发现攻击；后来开始研究攻击面，希望理解攻击为什么能够成功；而现在越来越关注组织真正害怕失去什么，以及有限资源应该优先投入到哪里。回头看，这或许也是这些年安全观念最大的变化。真正困难的问题从来不是发现攻击者，而是理解组织为什么会输，以及什么东西值得优先保护。

这确实又是一次人生“重启”，恰如“不识庐山真面目，只缘身在此山中。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain jishuzhain《从研究攻击者到研究组织真正害怕失去什么》