昨天晚上看到一位安全工作者发的公众号，里面提到说，真正重要的资产未必获得了匹配等级的保护。攻击者永远优先寻找最有价值、最关键、最容易获得收益的地方。防御也应该优先保护这些资产。

我认为这么说还是相对片面了。

低价值资产，是指那些在安全领域中，其价值相对较低的资产。这些资产通常被忽略，因为它们的保护成本较高，而其收益较低。

但是有一点不能忽略。一些的低价值资产，如果不合理地防护，其实更有可能作为攻击者的目标，然后作为跳板攻击高价值资产。

这就涉及到了资产配置的优先级。由于企业资产优先，无法对所有资产采取同等强度的防护力度。那么，该怎么合理配置资产的防护级？

让我们首先思考一下攻击者的攻击路径。攻击者的经典攻击路径往往不是直接攻击堡垒，而是“从外围突破，逐步横移”。一个看似低价值的资产（如一台访客WiFi、一个废弃的测试服务器、一台未打补丁的办公电脑）可能因为防护薄弱而成为初始入侵点。一旦控制了这些资产，攻击者就可以：

• 进行内网侦察，绘制网络拓扑，发现高价值资产的位置。
• 利用信任关系，如域环境、跳板机、共享凭据，横向移动到核心网络。
• 窃取低级别凭据，再通过密码复用或权限提升，获取高价值资产的访问权限。

所以我想一个健壮的安全体系应该是综合考虑资产的价值以及与高价值资产的关联性，同时严格使用零信任架构，对资产间的访问进行监督和限制。

对低价值资产，我们不仅要合理防护，更要考虑到如果它被攻陷，攻击者会利用它做什么？攻击者能利用它做什么？如果能未雨绸缪，提前做好预案，那么即使受到攻击，损失也可以大幅度减少。

同理，做样本分析也是这个思路。每拿到一个新样本，需要思考的不仅仅是它做了什么，更要思考它为什么这么做，它为什么可以这么做。因为最近我有参与设计一套自动化样本分析框架，我对样本分析的一整套流程有了更深刻的见解。

一个样本，一种技术，一套流程，在这些不断迭代的表象下面，我们需要看到的是攻击者与防御者之间的对抗。

碎碎念就到这里了。后续可能会讲一讲那个自动化样本分析框架在实际搭建的过程中的一些思考。共勉。