敲响“两高一弱”安全警钟！企业如何高效实现安全风险治理？

目录Menu ⚫“两高一弱”的背景概述 ⚫“两高一弱”检查范围及细节 ⚫云上“两高一弱”的防治思路及方 “两高一弱”治理背景概述 “两高一弱”检查背景 攻防对抗力量不对等，网络安全防护进行常态化防御阶段，要求组织具备实战化防御能力，其中攻击失陷大多源于两高一弱的安全风险，国家监管推进落实“两高一弱”专项治理。 2023年 2024年 2024年夏天，根据公安部“重点行业发布 随着公安部于2023年11月30日举办的“公安心向党护航新征程”主题发布，各个行业须高度重视“两高一弱“（高危端口、高危漏洞和弱口令）问题。 ‘两高一弱’风险隐患排查整治管理工作的通知”，重点行业已全面开展“两高一弱”风险排查整治工作。 未来两高一弱将成为监管机关检查和企业安全风险治理建设的常态化工作。 “两高一弱”检查形式 检查对象：关键信息基础设施单位、政府、金融、交通、能源、央国企等重点行业单位，由当地执法机构进行抽查以及监督检查 检查内容：要求各单位机构要利用资产测绘和风险监测验证技术，结合“两高一弱”技术要求和实际情况，自主发现、整改本机构的主机、系统、网络、物联网设备等IT资产，尤其是关键信息基础设施、重要网络系统、门户网站、物联网设备系统存在的“两高一弱”问题隐患。 检查形式：要严防问题隐患整改不到位或者反弹，针对性加强复测复核的给“回头看”措施，自2024年7月起，每月月底，将按时上报整改进展情况，以保障工作的有效推进与成果的持续巩固 两高一弱-检查要求及细节 高危漏洞 高危漏洞指存在严重安全风险的软件或系统漏洞，主要为CVE漏洞、攻击者经常攻击使用的漏洞等，本次专项整治包括但不限于以下远程代码执行、数据泄露、拒绝服务、提权攻击、跨站脚本攻击等漏洞。 资产类似包括：办公系统、操作系统、中间件、数据库、第三方组件、开发框架、网络设备、网络安全产品、摄像头、联网电子屏系统、工控设备等。 高危端口 高危端口指存在互联网上暴露了易被攻击者攻击利用的特定端口，本次专项整治包括但不限于核心业务系统、网站门户、大数据系统、数据库等涉及到数据安全、易被远程攻击利用的、不应该暴露在互联网上的端口。 特别值得注意的：本次不仅是要求端口号，同时还有端口涉及到的业务。 弱口令 弱口令是指容易被破解或猜测的密码，通常因为缺乏足够的复杂性和安全性而容易被攻击者猜解，成为网络攻击的主要突破口。 两高一弱--执法案例 在此背景下，建立一套行之有效的“两高一弱”场景解决方案对各单位安全运营人员而言迫在眉睫 “两高一弱”安全防治思路及方案 云上“两高一弱”的防治难点 资产分散，管理效率低 业务调整频繁，风险变化快 多个业务团队管理多个云账号，资产管理工作量大，效率低 云上业务资产变化快，两高一弱情况也在不断变化，难以掌控 漏洞问题是整治难点 安全意识薄弱，问题屡次发生 人员安全意识薄弱，两高一弱的风险问题屡禁不止，要求难以落实 漏洞问题误报多，缺少有效手段验证，漏洞问题整改周期长 云上两高一弱的防治思路 需要能快速全面的发现多个账号资产详情，发现影子资产，全面高效管理云上资产 分钟级发现云上资产的变化及对应的风险问题，持续且精准地发现“两高一弱” 需要漏洞信息精准无误，另外需要提供闭环措施给业务团队，减少协作困难 全员安全意识水平台提高能从管理上减少两高一弱的问题发生概率，实现安全左移 “两高一弱”安全全防治方案架构 多云资产统一发现管理“两高一弱”风险一键体检顽固漏洞风险一键高效处置红蓝攻防演练提高安全意识云安全中心：一站式“两高一弱”安全防治中心，高效持续风险治理。 全面高效的云资产发现和管理 1、持续自动发现：通过API自动获取云资产，无需动手，持续自动同步资产资产情况； 2、外部视角测绘：通过威胁情报/测绘主动发现云外资产，全面发现整体资产信息； 3、智能分组管理：覆盖公网IP、域名、云服务器、网关、数据库等30+资产类型； 4、最全资产管理：我们会为你自动完成70%的分组，通过分组/标签提升资产管理与策略管理的效率； 持续精准的发现“两高一弱”安全风险 云安全中心：一键精准发现云上所有资产的“两高一弱”情况 1、网络漏洞扫描：整合腾讯云漏洞扫描能力，在网络侧主动发现风险暴露面、暴露端口、暴露漏洞与网站内容风险 3、云资源配置检查：检测资源是否存在配置风险，应对合规 关键漏洞问题的高效闭环处置 ⚫高危端口：一键封禁高危端口，提供堡垒机、零信任、WAF等接入防护手段，保障业务需求的同时避免暴露端口 ⚫弱口令：云默认安全提升全部资产登录的口令强度，从根源上避免弱口令，主机安全支持弱口令爆破攻击防护 安全意识提高能帮助实现安全左移 •基础层面：信息安全基础、安全原理、Web安全•应用层面：云安全、攻防渗透、安全分析•实战层面：项目模拟 通过攻防演练和相关培训，提高全员安全意识，实现“两高一弱”防治的安全左移。 Thank you感谢观看！ 腾讯云“两高一弱”防治实践 讲师介绍 毛武斌 十年互联网大厂安全运营经验，曾以甲方视角负责公司网络安全建设，也曾以乙方身份为多个客户负责国家级攻防演练的加固与防护工作。 目录Menu ⚫“两高一弱”防治的三个环节 ⚫预防：规范、流程与机制 ⚫发现：“两高一弱”检测能力 ⚫处置：响应与应急 “两高一弱”防治的三个环节 “两高一弱”防治的三个环节 预防：规范、流程与制度 预防：规范、流程与机制 规范：1.员工安全意识培训，从源头上进行收敛；2.建立安全开发规范，在开发阶段减少高危漏洞；3.建立安全事件的惩处机制，敲响警钟；4.最小开放原则。 流程：1.建立DevSecOps流程，在开发阶段安全就要入场：白盒审计、镜像扫描；2.对云账号权限进行管控收敛，避免随意的开放端口；3.建立安全风险处置流程，处理提速；4.业务下线流程。 机制：1.镜像规划化，持续对镜像进行加固维护；2.提供更便利的支持给到研发：开发框架、SSO体系；3.防火墙默认策略；4.系统密码复杂度要求、密码过期机制、双因素；5.网络暴露面的常态收敛。 发现：“两高一弱”的检测能力 发现：“两高一弱”的检测能力 检测要求 •检出的时效性•资产的全面性 资产CMDB •域名•IP•组件•…. 如果面向互联网开放SSH端口，并且设置弱口令？ 企业云资产管理的难点 方案：通过云API读取云资产列表，实时维护资产CMDB。 云安全中心：从资产到扫描 发现：“两高一弱”检测能力 主机安全在“两高一弱”的应用 ➢主机安全会在服务器上部署高权限Agent。➢Agent能够采集主机软件、组件、jar、文件等信息。➢根据版本或配置识别漏洞，根据口令hash的碰撞识别弱口令。 ➢检测效率高➢检出率高➢没有网络连通性的依赖 主机安全在“两高一弱”的应用 最佳实践：巧用主机安全“高优修复漏洞” 主机安全在“两高一弱”的应用 最佳实践：自定义弱口令字典。 主机安全在“两高一弱”的应用 日志在“两高一弱”的应用 发现：“两高一弱”检测能力 通过发现的风险来审视预防环节的不足。 处置：响应与应急 处置：响应与应急 影响判断——数据是否泄露 数据是否泄露 •腾讯云数据库支持一键开启数据库审计•数据安全审计产品•边界流量统计发现异常。 影响判断——主机是否失陷 主机是否被失陷 •服务器系统日志•/var/log/secure •/var/log/messages•/var/log/lastlog•~/.bash_history•主机安全：告警、行为日志 被动的应急响应 发现：“两高一弱”检测能力 总结 预防为主，查漏求速，处置彻底，常态治理。 Thank you感谢观看！