平战结合趋势下的攻防演练活动如何开展-办公网如何做到“零”失分（2023）

䎂䧶絕ざ馋⸷♴涸余꣈怵絅崞⸓㥵⡦䒓㾝--⸅Ⱆ緸㥵⡦⨞ⵌꨪ㣟ⴔ 艗雴㸝Ⰼꨪ⥌⟣넞紩❡ㅷ絑椚⴬梡煓 01 ⼤型攻防演练活动演进趋势 2019年 2017年 2021年 允许攻击队采⽤社会⼯程学攻击、0Day漏洞利⽤等流⾏⿊客攻击⼿段 针对指定⽬标业务系统进⾏模拟定向攻击，检验防守企业安全防御能⼒ 允许攻击队采⽤更加接近实战的攻击技战术，检验防守⽅的应急响应能⼒ 2022年 2018年 2020年 2016年 越来越近真实攻击，使用的手段也不再那么局限；促使大部分企业已经开始弱化演习活动的时效性，而是平战结合，作为常态化的安全工作来做 不在指定攻击⽬标及时间，不限定攻击⼿段，全⾯检验企业应对真实攻击能⼒ 规定动作进⾏检查，完成⽹络应急响应预案，定期做演练即为合格 重点检验云计算、⼤数据、物联⽹等新型技术平台的安全防御能⼒ 攻防案例分享–钓鱼是怎样成为攻击⽅的攻击利器的？ 钓鱼+横移是成功率最高的组合 侦查阶段 攻击队通过各种途径收集可能被利用到的信息，包括各种对外暴露的互联网资产，各种招标文件里的供应链采购，互联网或暗网上存在的企业相关的系统账号密码等 2突防阶段（利用钓鱼成功突破） 1、外网打点（失败）：通过批量的方式对所有可以访问到的互联网资产进行初步的探测，发现暴露面之后尝试进行攻击，一般配合nday甚至0day；2、钓鱼（成功）： 通过邮件、IM、u盘等方式传播钓鱼文件，诱骗用户点击后，完成对终端的控制，实现突破；3、RDP爆破（失败）：很多终端为了工作方便直接将远程桌面映射到互联网，攻击者直接对其进行爆破实现控制。 3横移（借分支和供应链设备横移） 突防后攻击者以此为据点收集内网信息，寻找高价值主机，通过多次横移后最终锁定靶标机器。 反渗透 通过注入提权等方式拿下靶标主机获取数据 分支、供应链是最薄弱的环节 经过多年演练，集团总部人员和设备安全意识和防御措施已经非常已经非常充分，分支和供应链无论安全投入还是安全意识都要差很多，管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节 “分⽀接⼊”与“供应链接⼊”存在的安全管理痛点与难点 为什么“分支接入”与“供应链接入”会成为被重点针对的突破口？（痛点） ⼀、相较于总部员⼯及对应设备，分⽀与供应链的⼈与设备更容易被收集信息、社⼯和实施钓⻥（易突破） ⼆、通过分⽀与供应链进⾏突破渗透的攻击⾏为会更隐蔽，难以及时响应（难被发现） 三、由于业务优先与管理疏忽等问题，很多时候拿下分⽀与供应链单点收益与突破内⺴收益相近，甚⾄更⾼（攻击收益⾼） 01 如何⾯对“分⽀接⼊”与“供应链接⼊”当前存在的安全挑战？ 腾讯零信任解决⽅案–提供办公⽹安全短板补齐的新思路 内⽣安全能⼒-让安全融于业务，拒绝“安全⽊桶短板” 内⽣安全能⼒–利⽤业务抓⼿，对接⼊设备进⾏脆弱性整改 ••••• ••••• •••• ••• ••• 内⽣安全能⼒–利⽤业务做抓⼿，构建零死⾓的⽴体化⼊侵⾏为防御体系，拒绝“安全可见性”与“安全可控性”短板 从入侵者视角，围绕入侵攻击链的四个关键环节中的三大环节，结合腾讯的安全大数据与攻防经验积累，构建设备威胁对抗防线 攻击路径分析 内⽣安全能⼒⼀终端横移对抗，将风险扼杀在摇篮内 最⼩化授权访问-可落地的最⼩化授权体系 最⼩化授权访问-端⼝隐藏（SPA），拒绝暴露⾯被正⾯突破 • • 最⼩化授权访问–权限治理 •• •• •• • • • 最⼩化授权访问–⾃适应访问风险隔离控制 私有化部署架构 SaaS部署架构 THANKYOU