能力白皮书社工情报联防联控(邮件与终端场景)

新闻

14小时前

能力白皮书

社工情报联防联控

邮件与终端场景

数世咨询

刘宸宇

2025年10月

前言

当前，网络安全威胁正以前所未有的复杂性和隐蔽性加速演进，社会工程学攻击作为渗透关键信息基础设施的常用手段，已成为国家、企业及个人面临的重大安全挑战。随着数字化进程的深入，单一主体的防御模式已难以应对跨域、跨平台的协同攻击，构建“情报共享、多方联动、快速响应”的联防联控机制成为全球网络安全领域的共识。

在这一背景下，《社工情报联防联控能力白皮书》应运而生。本白皮书梳理了社会工程攻击的特征、路径与危害，重点围绕情报采集、风险分析、协同处置与能力建设等维度，提出以“情报采集与预警、情报清洗与画像构建、情报推送与联防联控”为步骤的联防联控框架。

报告结合国内外实践案例，从技术工具、管理机制、政策理念等多角度，探讨如何实现跨部门、跨行业、跨地域的情报融合与行动协同，全面提升对社工攻击的预警、防御与反制能力。

报告旨在为政府机构、企事业单位、安全厂商及研究人员提供理论参考与实践指南，共同筑牢数字时代的防线。我们坚信，唯有通过持续创新、紧密协作与生态共建，才能在变幻莫测的网络安全战场上占据先机，实现可持续、可信任的数字未来发展。

本报告聚焦社工情报联防联控在邮件与终端两个典型场景，后续还将撰写覆盖更多典型场景。

报告主笔分析师：刘宸宇

报告勘误与联系：liuchenyu@dwcon.cn

概念描述

社会工程学（Social Engineering）‍

社会工程学是一种通过心理操纵和欺骗手段，诱导目标人员泄露敏感信息或执行特定操作的非技术性攻击方法。它利用人类心理弱点（如信任、好奇心、贪婪等），通过伪装、钓鱼等方式获取机密信息或系统访问权限，而非直接利用技术漏洞。

威胁情报（Threat Intelligence）‍

威胁情报是基于证据的知识体系，包含上下文、机制、指标、影响和可操作建议，用于识别、分析和应对网络安全威胁。其核心是通过收集、处理和分析内外部威胁数据（如攻击源、漏洞、恶意行为等），为组织提供决策支持，实现从被动防御到主动预警的转变。

社工情报（Social Engineering Intelligence）‍

社工情报是社会工程学与威胁情报的结合体，专注于分析和应对通过社会工程手段实施的威胁。它通过收集、评估与社交欺骗相关的信息（如钓鱼邮件、伪装身份、心理操纵模式），生成可行动的情报，帮助组织识别和防范针对人性的攻击。例如，结合威胁情报平台分析钓鱼攻击的源头、手法及目标，并利用大数据与综合安全分析等能力溯源攻击者身份。

联防联控

“联防联控”指多主体协同防御机制，通过信息共享、技术联动和资源整合，实现对安全威胁的联合监测、预警与响应。其核心是通过跨部门、跨组织甚至跨行业的协作，形成“一点发现、全网响应”的协同防御体系。

典型场景

钓鱼邮件场景

钓鱼邮件是最典型的社会工程学攻击场景，如鱼叉式钓鱼、钓鲸攻击以及极具针对性与潜伏性的APT钓鱼邮件攻击。该场景中的社工情报联防联控，主要是将钓鱼社工攻击用到的发件域名、话术模式、恶意IP、邮件附件等转化为可共享的威胁指标（IoC），纳入联防联控平台的情报库，供行业或机构其他成员跟进拦截。

终端安全场景

当钓鱼邮件场景进一步外延与扩大，就是社工情报在终端安全场景中的应用。例如，攻击者伪装成机构内部人员，利用已经泄露的内部通讯录、职位信息冒充同事，向终端发送恶意文件或请求管理员权限；或是利用社交媒体进行诱导，通过社交平台收集受害者兴趣、工作信息，构造“业务合作”或“安全通报”诱骗受害者在终端上执行恶意文件或恶意脚本。该场景中的社工情报联防联控，需要利用EDR等终端安全工具来实现。将失陷终端上的社工方式、传播路径、恶意载荷等形成威胁指标（IoC）并同步给其他终端，进而实现联防联控。

基本步骤

情报采集，同步上传

通过邮件安全网关、邮件安全客户端或终端安全系统，持续自动抓取疑似的社会工程学攻击情报，进行初步结构化后同步上传至联防联控平台。

情报清洗，画像构建

通过正则、自然语言处理抽取 姓名、手机号、邮箱、职务、组织 等属性，并与技术情报（IP、Hash、URL）关联，形成 “人物‑资产‑攻击手法” 的攻击者三元画像。之后基于安全知识图谱，将社工情报映射到攻击者画像，标记 攻击偏好、常用钓鱼模板、目标行业等关键标识。

图片111.png

情报推送，联防联控

联防联控平台通过统一的 情报接口（STIX/TAXII）‍，将社工画像推送给安全邮件网关、终端防护系统、防火墙、SOC等安全设备。安全邮件网关、终端防护系统（如EDR）在收到 社工情报后，立刻基于情报自动封禁对应钓鱼域名、阻断恶意文件执行，如有必要，启动行为审计，记录用户点击、文件打开路径等信息，以供 SOC 的后续进一步关联分析。

核心能力

社工情报应具备高实时性

可疑的社工攻击行为转化为情报IoC，要具备较高的实时性。经过调研，一般认为这一过程应在3分钟以内完成。可以基于经过最佳实践的脚本，结合AI大模型做初步筛选，辅以有经验的安全专家，进行综合研判。

例如灵云数科的社工情报研判方案，首先利用千问大模型进行告警解读，辅助对威胁进行分类打标签，判断邮件属于钓鱼类/营销类/诈骗类/其他威胁，之后用bert小模型进行垂直检测，用提取的特征向量，与样本进行比对，当大于某个阈值时，即可判定为钓鱼。

联防联控应具备高联动性

联防联控是由传统单点防御转向团队协作的防护模式，通过共享威胁信息、统一调度资源、协同处置事件，提升整体安全防护效率。尤其适用于政府、金融、能源等关键信息基础设施领域，强调“打防管控”一体化的组织机构。

因此，联防联控平台的高联动性首先具备较大跨度，例如跨重要行业（能源、金融、教育、交通）、跨主要地域（北上广深GDP靠前的）、跨主流产品（邮件-终端）。

其次联动应当覆盖多部门协同，如人事、法务、IT 必须共享内部组织信息（如员工岗位、通讯录），否则情报难以匹配，并有配套的安全教育闭环，每一次社工情报触发的告警，都应同步推送安全培训（钓鱼案例、防范要点），形成“技术-人-管理”三层防御机制。

最后，联防联控应支持自动化阻断。当社工情报下发至安全邮件网关、终端防护系统时，以自动化方式实现“发现-阻断-处置” 的完整闭环，避免人工响应导致延迟。

实战化应用应具备高权威性

我国网络安全领域的重要指导理念“三化六防”，由公安部网络安全保卫局于2019年提出，旨在构建国家网络安全综合防控体系。其中重要的一“防”即是联防联控——“通过多方协作与情报共享，提升整体应对能力”。核心关键就是要建立情报共享机制：建立国家、行业、区域级威胁情报平台，推动公安、企事业单位、关基运营者之间的实时情报交换，形成“中央-省-市”三级协同的预警体系。

通过情报分析攻击者特征、攻击路径及漏洞信息，快速定位威胁并协调处置，避免孤立防御的盲区。基于这样的机制，结合每年组织的各级实网攻防演练，行业用户就可以利用情报模拟高级攻击链，检验联防联控流程的有效性，以便在APT攻击防护等真正实战化的应用场景中，提升整体防御韧性。

据本次调研，某金融机构在 2025 年的攻防演练中，攻击者通过社工库获取内部员工手机号并发送定制钓鱼短信。平台实时匹配到泄露手机号对应的社工情报，自动在终端防护系统上生成高危预警并阻断短信链接，SOC 立即启动联防联控流程，相关部门在 5 分钟内完成用户教育，未出现实际泄露，攻击成功率从 80% 降至 <5%。

目前已有多个关基行业用户建立了类似的社工情报联防联控机制，如XXX银行、XXX集团、XXX公司，针对该领域也已有行业头部厂商在供给相关产品与解决方案，如网空防务、灵云数科、安芯网盾、盛邦安全等。

未来展望

智能化情报共享与协同响应

未来联防联控机制将更依赖人工智能和自动化技术，实现跨区域、跨层级的实时情报交换与动态响应。通过构建标准化威胁情报平台，整合多源数据（如钓鱼邮件特征、虚假账号行为模式），利用机器学习预测攻击路径，并自动触发协同处置流程。例如，通过AI分析社交工程攻击的TTPs（战术、技术与程序），快速生成预警并分发至关联单位，缩短响应时间。

动态欺骗防御与主动诱捕

联防联控体系将从被动响应转向主动防御，通过部署跨机构的动态诱捕系统（如高交互蜜罐、伪装情报节点），实时收集攻击者TTPs（战术、技术与程序）并自动同步至联防网络。结合AI行为分析，可快速生成针对性反制策略（如反向渗透攻击基础设施），形成“诱敌-分析-围剿”的闭环防御链，尤其适用于应对APT组织的长期社工渗透。

社会公众参与与意识赋能

社会公众将成为联防联控体系的重要节点，通过“全民反恐”模式的延伸，推动企业、个人主动上报可疑信息（如钓鱼链接、虚假招聘）。政府及机构将通过模拟演练、教育培训（如钓鱼邮件测试）提升公众辨识能力，并利用轻量化工具（如移动端举报平台）降低参与门槛。此外，隐私保护技术（如差分隐私）将平衡情报收集与个人权益，增强协作信任度。