基于攻击模拟实现高质量安全运营

江国龙腾讯安全云鼎实验室 个人介绍 江国龙腾讯安全云鼎实验室安全专家 主要负责云安全相关领域的技术研究与安全能力建设，腾讯云安全治理与运营，有着丰富的云安全技术和实践经验。 安 全 运 营 现 状 与 挑 战 1 目录 什 么 是 攻 击 模 拟 （B A S） 2 CONTENTS 基 于B A S的 安 全 验 证 3 实 践 分 享 与 总 结 展 望 4 01安全运营现状与挑战 没出问题时，安全有什么用？ 出了问题后，安全有什么用？ 立体纵深防护的安全防御解决方案 ü网络安全ü应用安全ü终端安全ü数据安全ü云安全ü物联网安全ü…… CISO们的困惑 ü安全能力建设、安全人员的投入，是否带来了实际防御能力的提升？ ü如何确定安全投入的方向、如何确定安全建设的优先级？ ü攻防演练大幅度提升了安全防护水平，能否将其应用于常态化安全运营？ 企业在安全建设上面临的挑战 安全产品实际防护能力有偏差 新的攻击手段能否有效防御 安全产品的实际防护能力达不到供应商宣传的效果 面对新爆发的漏洞，以及新的攻击手段，现有的安全能力和安全策略能否进行有效的防护 安全防护能力得不到有效验证 如何度量安全投入的价值 无法确定相关的安全规则是否都配置了，配置的安全规则是否完备、准确、有效 未来安全建设需要在哪投入，如何评价投入的价值 安全缺乏有效的度量方式 02什么是攻击模拟BAS 什么是BAS Breach and attack simulation (BAS) offerscontinuous testing and validation of security controls, and ittests the organization’s posture againstexternal threats. It also offersspecialized assessmentsandhighlights therisks to high-value assetslike confidential data. BAS provides training to enable securityorganizations to mature. ---Gartner Breach and Attack Simulation isa new way of testing IT securityefforts that mimics real-world attackactions to determine if the company’s various security measures actually serve their purpose. ---Cloud Cape Breach and attack simulations can play a critical role in protecting key organizational assets by simulatinglikelyattack techniquesacross all attack vectors in anautomated, continuousfashion. ---XM CYBER Breach and Attack Simulation (BAS)is the answer to the question of how to make sure theseweaknessesare foundand addressedwithout breakingthe network or the bank. ---Cymulate BAS技术成熟度 Gartner在2022年安全运营技术成熟度曲线中，将BAS列在了期望膨胀期的顶端，距离相对成熟还有2-5年时间 2021年Gartner将其列为八大安全和风险管理趋势之一 BAS和其他工具的差异 能够兼顾真实攻击的同时，系统性且持续的发现防护弱点 BAS能做什么 03基于BAS的安全验证 攻击模拟验证平台（TBAS） 腾讯攻击模拟验证平台，是一个持续验证企业安全防御有效性的平台。能够帮助企业持续评估安全防御体系，发现弱点，提升安全水位，体现安全价值 从攻防实战出发，模拟真实的攻击操作，验证安全防御体系抵御真实攻击的能力 针对指定的验证对象，全自动化执行攻击模拟，自动化确认防御结果，评估安全有效性 安全验证可观测，详细展示攻击模拟的每个步骤；可视化展现防御结果，清晰展示防御体系的薄弱点 验证过程安全无害，攻击操作完全可控，不会对业务系统有任何影响 攻击模拟验证平台（TBAS） 安全验证的核心要素 攻击行为的原子操作，实现各种攻击操作的模拟 针对特定的验证目标而编排好的剧本集合，通过场景管理，实现模拟攻击的目标 怎么执行攻击模拟，执行结果如何，安全验证结果如何 丰富的高价值攻击模拟剧本 p内置剧本，支持多种攻击行为模拟 ü覆盖webshell、漏洞利用、钓鱼等众多经典的、高价值的攻击行为模拟ü高效、实时的更新最新的攻击手段 p自定义剧本，满足个性化需求 ü用户根据需求，自主编辑攻击剧本，自定义攻击行为 通过内置场景，实现一键验证的目标 p一键执行场景验证 ü针对特定的验证目标，内置多个编排好的场景，为运营人员提供验证参考，降低验证成本ü内置场景迭代更新，满足时效性 p自定义场景，灵活进行编排设置 ü可以基于内置场景，进行个性化修改ü可以从0开始，分阶段、细粒度的对攻击模拟进行编排，设置自己的验证场景 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 基于指标的验证管理与结果分析 p详细的执行结果 ü分阶段展示每个剧本的执行结果ü清晰的发现哪个环节出现了防御失败ü每个剧本执行的详细日志信息，便于用户进行安全审计以及问题排查 p与安全设备告警联动 ü支持WAF、主机安全等主流安全产品ü对于未原生支持的安全产品可以通过少量的开发进行对接 全面的防御体系态势分析 应用场景 常态化实战对抗建设 安全防御体系有效性验证 辅助红蓝演习 作为红队的攻击工具包，红队基于本平台能力模拟特定的攻击者，对特定网络进行模拟攻击测试并验证结果，以评估企业安全团队是否能发现和响应特定的攻击行为 通过灵活的模拟攻击编排以及任务管理策略，将各种攻击行为进行场景化、任务化，进而可以进行常态化实战对抗，持续快速的发现防御弱点 持续评估整体的网络安全防御态势，及时发现安全控制中存在的策略问题或防护漏洞，及时找出防御措施的不足，优化攻击链路上的薄弱点 技术原理与部署方案 原理描述 在企业不同网络区域部署验证机和靶机，进行无害化的持续攻击验证，形成自动化规则策略验证闭环，实现安全防护、检测等安全设备的有效性验证 04实践与总结 开放云原生安全测试平台 l腾讯云联合中国信通院和清华大学，共同发起成立“云原生安全实验室” l腾讯安全云鼎实验室牵头开发“云原生安全测试平台”，联合实验室成员单位，共同实现平台的相关能力建设 开放、合作、共建的模式，实现对云原生系统的安全验证、分析、评估； 全面覆盖云原生安全能力验证 信通院联合腾讯等多家单位，制定并发布云原生安全能力体系，推动并助力实现云原生安全的能力建设以及标准化 l平台能力将全面覆盖“云原生安全能力体系”的五大安全能力域；l安全防护有效性验证的方式，实现安全风险可观测； G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 验证路径的可观测 l容器提权、逃逸、反弹shell、文件篡改等场景验证；l威胁的上下文、资产映射、攻击阶段等多维度验证数据； 实践分享——某大型头部券商 项目背景 客户已经基本完成了相关的安全能力建设，在HW期间希望能够对现有的安全防御体系进行有效性验证，确保对应的安全设备能够真正的起到防御效果 项目方案 基于攻击模拟验证平台，完成了多款安全设备的有效性验证，其中包括： •••••经过攻击模拟的验证评估，发现多个安全防御的缺陷，确保HW的安全稳定 优势分析 腾讯内部大规模部署实践，持续监控安全有效性态势，有效支撑了安全运营 国内顶尖安全实验室提供前沿情报生产技术，超20年安全经验专家持续化运营 多年安全攻防技术积累，红蓝演习实战，丰富的安全防护实践案例 通过BAS，让安全可度量，风险可观测，价值可衡量 https://cloud.tencent.com/product/bas 开放运维联盟高效运维社区DevOps时代 荣誉出品