攻击者视角下的安全运营实践

江国龙腾讯安全云鼎实验室 江国龙 公司职位腾讯安全云鼎实验室安全专家 主要负责云安全相关领域的技术研究与安全能力建设、腾讯云安全治理与运营，有着丰富的云安全技术和实践经验。 企 业 安 全 运 营 的 挑 战 目录 攻 击 者 视 角 下 的 暴 露 面 管 理 基 于 安 全 验 证 度 量 的 风 险 评 估 总 结 企业安全运营的挑战 企业安全建设持续投入，为什么还是防不住 攻 击 渗 透 的 成 功 率 ⼀ 直 维 持 在95%以上。 95% 做到少量失分的防守单位不到20%。 20% 97%的被攻击⽬标已经部署了安全设备。 99%的漏洞攻击是已知的，并且已经存在多年。 99% 安全建设已基本完善，仍然还是会被攻破 安全防御体系的有效性需要进行评估验证 安全产品实际防御能力与预期不一致 01 02 03 04 ⾯对防御体系的失效，需要提前进⾏安全有效性验证，发现安全防御体系存在的⻛险，提升整体的防护能⼒。 防御效果⽆法达到预期建设的⽬标 业务架构的复杂性，使得云及供应链风险逐步升高 p业务对外暴露⾯持续增加，可以被攻击者利⽤的⻛险点增加，往往在没有意识到的地⽅出现安全⻛险，导致业务被⼊侵 p架构复杂度持续增加，使⽤的业务组件和服务应⽤往往导致不可控的⻛险，疏漏之处往往是被⼊侵的突破点 资产及风险可见性下沉，深层暴露面风险难发现 已报告的针对组织的网络攻击，至少有一半来自未知或疏漏的资产 来源：2022 State of the Threat: A Year in Review（SecureWorks）/SapioResearch & Trend Micro, April 2022 攻击者视角下的暴露面风险管理 什么是CTEM CTEM（ContinuousThreatExposureManagement）不是一项单一的技术或者产品，而是一整套提升安全运营质量的方法论和能力集合。 通过采用这一套方法论，可以持续监控和管理潜在的攻击面，增强安全防御能力 CTEM的五个阶段 诊断 pScoping，资产范围界定ü确定哪些类型资产将要纳入管理pDiscovery，资产和风险的发现ü全量的资产和风险识别，单点识别pPrioritization，风险优先级判断ü攻击路径分析、模拟；对风险的优先级进行评估行动pValidation，风险验证ü验证风险发生的可能性，评估防御有效性pMobilization，修复动员ü根据优先级进行修复并进行修复验证 腾讯持续威胁暴露面管理服务设计思路 协同分析系统（持续分析） 暴露面监测系统（持续监测） 测绘工具集（如XSPM、暗网引擎等）识别资产暴露面、攻击向量和风险 VPT+AI能力，筛选风险数据基于海量测绘数据，进行风险优先级划分 以红队+BAS+渗透测试方式，实战验证漏洞影响，持续验证攻击路径，更精准的修复建议 基于安全验证度量的风险评估 攻击者视角下的安全验证方案，让安全可观测、可度量 指标驱动的验证度量体系设计 多个视角下，全方位制定验证指标体系，确保指标设计的完整性、合理性、可操作性 验证场景全景能力 从防守者视角，面向纵深防御体系，进行全面安全验证 验证剧本全景用例 从攻击者视角，基于ATT&CK攻防矩阵框架，覆盖主流的技战术方法 Web边界防护验证 验证WAF对于各种Web攻击的防御能力情况 高级攻防验证 常见Web攻击验证 •主要针对WAF对于各种绕过方法的防御水平进行验证•包括：协议绕过、编码绕过、性能绕过等 •主要针对WAF对于各种常见Web攻击的防御能力进行验证•包括：SQL注入、文件包含、Web后门、XXE、服务端请求伪造、路径遍历、远程代码执行、XSS等 Bot防护验证 虚拟漏洞补丁验证 •主要针对WAF对于Bot相关攻击的防御水平进行验证•包括：爬虫bot的行为阻断、CC攻击、指纹扫描等 •主要针对WAF对于各种高风险级别漏洞的防御水平进行验证•包括：0day漏洞防护虚拟补丁、高危漏洞虚拟补丁等 Web边界验证结果示例 总体⻛险情况评估 Web站点的WAF覆盖情况 •从⾼、中、低三个⻛险维度，对所有Web站点在WAF防御上的脆弱点数量进⾏汇总； •对将近2000个Web站点进⾏资产管理以及安全分析；•发现有40多个站点并未被WAF覆盖； •存在⼀定数量的⾼危⻛险暂时不具备防护能⼒； Web防护⽔平情况分析 当前⽤户与⾏业平均⽔平的对⽐ •结合⾏业平均⽔平，判断当前的防御情况处在什么样的⽔位； •该⽤户的常⻅web攻击防御能⼒以及数据安全防御能⼒低于⾏业平均⽔平； •从5个指标对Web防护能⼒进⾏全⾯的验证分析；•常⻅web攻击防御以及⾼危漏洞虚拟补丁两个指标⽔平有待提升； Web边界验证结果示例 •对于总体的⻛险情况，在两周时间内，逐步进⾏了处置解决； •⻛险数量逐步降低，针对⾼危以及中危⻛险，实现了⻛险清零； 邮件网关验证结果示例 邮件⽹关对钓⻥邮件拦截情况分析 •外部邮箱à客户邮箱；•采⽤钓⻥邮件进⾏测试，验证邮件⽹关对恶意邮件的拦截效果；•外部向指定验证邮箱投递钓⻥邮件，防御成功率83.3%； 邮件⽹关对钓⻥邮件拦截情况分析 ⻛险总结与修复建议 n邮件⽹关对恶意URL的识别能⼒较弱，⽆法拦截带有恶意URL的邮件 •修复建议：部分恶意邮件会先到达收件箱，随后才被检出存在问题，⽹关的病毒扫描和检测略有滞后；同时，相同的恶意邮件（被检出的病毒邮件），对两个邮箱发送和同⼀邮箱多次发送，检出病毒不稳定，建议排查原因n邮件⽹关对内部邮件过滤较弱•修复建议：内部恶意邮件互相发送的场景过滤较弱，需要重点加强内部互相发信场景，减少被攻击者拿下内部邮箱后对内进⾏钓⻥攻击的危害 •客户邮箱1à客户邮箱2；•内部邮箱向指定验证邮箱投递钓⻥邮件，防御成功率16.7%； 容器安全验证 验证容器安全/云原生安全等产品的安全防御能力情况 集群安全验证 •验证容器安全产品对于运行时入侵的检测和防御能力水平•包括：容器逃逸、反弹shell、挖矿木马、Webshell、高危系统调用等 网络安全验证 镜像安全验证 TellYouThePass勒索攻击防御验证 勒索运行阶段 勒索植入阶段 攻击入侵阶段 TellYouThePass通过无文件攻击将勒索软件的攻击载荷运行起来后，将进行文件加密。加密方式使用非对称结合对称加密算法方式：RSA-1024和AES-256的混合加密。 TellYouThePass勒索病毒家族，在获取目标权限后，通过java.exe进程命令，派生cmd.exe并执行一下命令： TellYouThePass勒索病毒家族，在攻击入侵阶段，尝试获取目标权限时，发出以下请求 通过网络层和应用流量分析，HTTP请求如下，m4.png实为msi可执行文件，属于无落地文件攻击方案。 黑产视角 TBAS支持活跃勒索病毒TOP10攻击入侵手法验证，攻击剧本数量达165+，主要包括Lockbit/TellYouThePass等。 内置针对MSI无文件攻击、MSHTA无文件攻击、PowerShell无文件攻击的真实模拟，验证设备防护规则是否有效防御TellYouPass勒索病毒。 内置针对勒索病毒攻击后行为防护验证，包括勒索文件加密模拟、磁盘扫描模拟、勒索特征模拟等超过100+个验证剧本 防御视角 安全验证的应用场景 常态化实战对抗建设 安全防御体系有效性验证 辅助红蓝演习 作为红队的攻击工具包，红队基于本平台能力模拟特定的攻击者，对特定网络进行模拟攻击测试并验证结果，以评估企业安全团队是否能发现和响应特定的攻击行为 持续评估整体的网络安全防御态势，及时发现安全控制中存在的策略问题或防护漏洞，及时找出防御措施的不足，优化攻击链路上的薄弱点 通过灵活的模拟攻击编排以及任务管理策略，将各种攻击行为进行场景化、任务化，进而可以进行常态化实战对抗，持续快速的发现防御弱点 安全验证的服务模式 安全加固服务 n前期沟通 n验证结果分析 n方案制定 确认需要验证的目标和场景，明确剧本覆盖范围和相应的剧本能力 根据验证结果，分析防御风险点，确认策略优化范围与优化方案，确认防御策略调整优先级 确认验证范围，制定验证方案，部署相关的验证代理 n验证执行 n剧本撰写 n安全策略优化 根据验证目标与验证方案，执行对应的验证任务，开展验证工作 由研究团队、一线攻防团队和安全运营团队，编写剧本和对应的场景 根据验证结果分析，从策略覆盖度以及资产覆盖度等维度，按优先级有序的实现策略优化调整 n总结分析 n审核交付 对验证结果进行分析，结合安全设备告警，针对性的给出验证分析结论 n加固总结 服务交付人员对剧本和场景进行审核验证，确保剧本的准确性和可用性 确认加固后的效果改善情况，撰写总结报告 安全验证的技术架构 原理描述 在企业不同的网络区域部署攻击代理，持续进行无害化的安全验证，形成自动化规则策略验证闭环，实现安全防护、检测等安全设备的有效性验证 核心组件 安全验证的管理平台，负责攻击代理管理、验证任务调度、验证结果呈现、验证数据分析等 控制台 安全验证操作的具体执行者，可以作为攻击端或者目标端，模拟对应的攻击验证操作 攻击代理 优势分析 国内顶尖安全实验室提供前沿情报生产技术，超20年安全经验专家持续化运营 腾讯内部大规模部署实践，持续监控安全有效性态势，有效支撑了安全运营 多年安全攻防技术积累，红蓝演习实战，丰富的安全防护实践案例 感谢大家观看