构建安全攻防矩阵 增强数字安全免疫力

构建安全攻防矩阵增强数字安全免疫力 腾讯云安全，知攻更懂防 腾讯云安全张华 知攻更懂防，服务看得见 挑战与趋势 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展持续、深度的风险面管理，才能化被动为主动 防御挑战：企业对安全建设结果的保障需求 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 云安全挑战：云服务独有的安全风险挑战 Ø云产品迭代快，按需接入即开即用，容易造成暴露面的风险敞开，安全团队难以快速感知。 Ø云产品数量大，哪些产品在开通后能被公网访问或泄漏云凭证，对安全团队是盲盒，管理上有很大困难。 Ø不同云厂商的不同安全管理工具、使用复杂，学习门槛高，云网络关系复杂，经过多跳（NAT，LB）才到达真实主机 阿里云RDS数据库暴露路径 合规挑战：移动应用、供应链科技风险成监管关注的重点方向 金办发[99]号，是仅次于“金发”的二级发文，属于高标准要求；可见总局对此方向的重视程度。 金融监督管理总局99号文响应策略 深度解读 1.覆盖范围广，涵盖了之前发文没有涉及的更多金融机构 覆盖范围 不仅涵盖了传统的政策性银行、国有大行、股份制、保司，还增加了外资银行、直销银行、资管管理、理财公司、金融控股公司等更大范围金融机构。 责任边界 2.要求标准高，明确了责任边界 虽然冠以“移动互联网应用程序”，但不限于APP、小程序、公众号。“运行在移动智能终端上”、“向内、外部用户提供服务”的应用软件都涵盖在内。 兼容性 3.强化了对第三方、开源的安全要求 监控运营 要求“加强第三方软件开发工具包安全需求分析”，“对源代码或组件（含第三方组件）开展风险管理”，影响的范围包括AI代码开发工具、IDE插件（如一些安全开发、扫描插件）、第三方提供的软件包等。 4.老旧版本下线、风险评估、隐私保护、仿冒应用 重点应关注老旧版本及时下线，以及相对应的API接口、权限的回收，对安全暴露面的监测； 数据安全 相比APP仿冒，但小程序的仿冒还是比较高发，尤其是黑灰产高度抄袭的仿冒小程序，通过利用暴露的API接口、权限、数据等来进行欺诈。 5.对监管职责和问责制度进行了明确 再次强调 明确裁判员定位，各地管局主体责任，并明确“加大风险漏洞通报力度”、“监督整改”，“加强违法违规问题触发问责力度”，“严肃问责”。 问责机制 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 知攻更懂防，服务看得见 挑战与趋势 安全运营趋势：国际顶尖企业安全运营建设趋势 安全运营趋势洞察：从被动防御向主动防御转变 安全将不会再以“防范”为中心，而会更加强调“检测与响应”，情报驱动、协同防御将会是发展的趋势，全链关注，消除盲点：被动安全+主动安全 治理架构：建立起自上而下的安全治理架构、组织体系和文化体系 腾讯安全重点能力建设方向 发现能力 处置能力 验证能力 基于情报驱动的威胁暴露面管理 基于数据驱动的自动化运营能力 基于攻防驱动的持续防御验证能力 安全运营（自动化运营+反入侵） 攻防研究（攻防验证） 安全能力（情报+暴露面） 定位：科技中心 定位：作战部队 定位：雷达 职责：使用产品提供的“武器”，设计制定战术（产品策略及解决方案），同威胁作战，保护客户（安全运维） 职责：研究尖端攻击技术、沉淀攻击武器和战法，以攻促防，促进防御系统升级进化 职责：发现并分析威胁事件，提供丰富及准确的战术情报及战场信息，指导作战及武器生产 关键运营能力：各关键安全能力应用场景 能力2：暴露面管理(EM) 能力定位：持续威胁与暴露面管理能力SLA：7*24小时，MTTD<8h应用场景：1、应用SOAP平台实现暴露面挖掘过程编排，提升覆盖度及时效2、攻击者视角，覆盖5类攻击面元素 能力3：自动化运营及反入侵 能力定位：风险快速处置及响应能力SLA：指标大盘应用场景：1、日常安全运营事件、告警的自动化处置2、入侵事件、高风险事件的响应 能力4：对抗验证体系(BAS) 能力定位：安全控制措施的有效性验证能力特点：：2000+剧本，100+场景应用场景：1、人工验证：渗透、专项/红蓝演练2、WAF绕过、EDR检测逃逸…3、社工突破，热点漏洞利用… 知攻更懂防，服务看得见 挑战与趋势123安全防御体系建设思路全运营及防护体系介绍 建设背景：复杂产品体系与人员组织，漏洞发现全面及修复速度要求高 1.庞大的体系与快速迭代50+产品分类，200+一级产品，XXXX二级产品 最多日均近10个新产品上线，日常N个版本发布 2.复杂的产品形态与研发场景自研、合作研发、OEM等SaaS、PaaS、IaaS专有云、私有云、公有云、混合云 3.多样化的技术栈与架构C、JAVA、GO、PHP、Python、NodeJS… Web应用、APP、客户端、小程序…各种中间件、一些新型架构等 •业务差异化需求大•风险发现速度要快•响应处置时效要高 4.多重组织与人员结构总部、子公司、投资全资子公司、外部企业 正式员工、驻场外包、子公司员工、研发外包跨公司、跨BG、跨部门、跨业务线、跨中心 发现能力（威胁情报）：海量数据积淀，更前瞻、深入的风险挖掘能力储备 腾讯拥有全球最大、覆盖最全的安全大数据库，并通过持续运营，对海量数据多维度分析，可以快速对威胁及时作出智能处置，助力企业安全应用场景： •入侵发现，接入检测模型，对于高危MD5、域名、IP等进行告警。•入侵追溯，追溯特定事件攻击行为 云管端最全安全数据库 主要威胁情报来源 暗网、TG等情报网络 外部公开开源情报搜集 VT/微步等外部情报 搭建外网蜜罐搜集 入侵策略历史发现 •数据来源覆盖PC端、手机终端、企业邮箱和公有云上的各类产品，构建最实时、最全的威胁情报数据库。 •腾讯安全沉淀的各类安全数据均来源于自身丰富的业务，具备甲方思维。 发现能力（其他情报）：持续监测全球暗网数据泄露事件以及特殊时期攻防情报 暗网数据泄露情报 HW攻防情报 国家护网期间，提供专项情报监控，监控包括来自微信群、安全论坛、公众号等渠道的HW情报，覆盖0day、PoC、钓鱼情报、攻击手法、失陷情报等内容。 暗网数据泄漏监测能力，针对客户资产、品牌、人员、系统等进行暗网监测，监测渠道覆盖Telegram、暗网以及数据交易论坛等渠道。 HW事件情报 攻击手段情报 最新漏洞情报 攻击者特征情报 收集监测HW期间所使用到的IP/IOC情报，进行拦截 收集整理HW规则及行业调整动态，便于调整防护策略 监测最新爆发开源组件漏洞，自检是否存在新突破口 收集监测0Day/Nday漏洞、钓鱼社工等情报，便于自检自纠 发现能力（暴露面管理）：持续评估企业资产暴露面 CTEM官方定义 即持续不断评估企业数字和物理资产的可访问性、暴露性和可利用性持续威胁暴露面管理（CTEM）–Continuous Threat Exposure Management 腾讯实践 世界TOP企业安全实践 发现能力（暴露面管理）：捕获到漏洞情报后，快速编写漏洞检测PoC，进行风险排查 发现能力（暴露面管理）：建立两高一弱、移动应用、供应链、人员等风险识别能力 发现能力（漏洞管理流程）：基于情报开展监测、研判、检测与处置 情报+暴露面能力建设及运营架构 Tips：对于一些过保的产品，产品服务厂商已经不提供服务了，如果出现新漏洞，怎么保证安全性？ 1）推进逐步下线：逐步推动风险产品下架，并采用替代产品2）漏洞情报检测：定向情报监控，发现新漏洞后，分析利用原理、攻击行为特征、以及缓解方案3）缩小攻击面：针对不再提供服务的机器，限制访问源IP，减少受攻击面4）异常行为监控：构建进程白名单OR网络行为审计，识别该主机上的行为 发现能力（漏洞的应急处置）：漏洞情报与暴露面、反入侵等平台的联动防御 情报+暴露面能力建设及运营架构 发现能力（专项漏洞场景）：越权行为的检测关注点及常见手段 越权检测路径 越权检测常见手段 1、威胁建模：多租户、权限设计、RBAC、最小权限等； 2、编码规范：ORM绑定到最终的SQL层，制定规范； 3、白盒扫描：针对编码规范做一些对应的规范（ORM绑定例如SQL绑定到UID上例如PID） 4、黑盒测试：扫描插件（漏洞扫描） 非云方案：测试流量获取、清洗、接口打标、结果check、数据反标记等需需业务配合（强依赖业务数据处置） 5、安全测试->红蓝对抗漏洞挖掘专项 6、安全能力->越权检测能力 云产品方案：标准云产品走云API网关，流量完整性、日志格式等数据获取方式，直接与云APl打通（减少业务打扰，业务聚焦在结果check、数据反标记） 7、安全防御->大规模的数据窃取，例如爬取1W条以上要做防御和运营 8、参数加密->RSA、AES等参数级加密 处置能力（零信任&微隔离）：云原生安全应用的微隔离的应用 微隔离价值 云计算场景 •细粒度隔离：将网络划分为更小的单位，例如每个设备、每个应用或每个容器，以实现更细粒度的隔离和控制 •微服务让本就极为复杂的数据中心网络变得更加复杂•数据中心虚拟化、容器、物理机环境下的安全边界难定义•要利用防火墙做细粒度访问控制，从部署难度到部署成本上都是不可接受的 •应用级隔离：微隔离的一个重要方面是在应用级别实现隔离。每个应用或服务都可以存在于自己的微隔离区域内，与其他应用隔离开，以防止横向移动攻击。 •零信任安全：微隔离符合零信任安全模型，即不信任网络中的任何设备，而是通过严格的身份验证和授权来验证每个设备。 •适应性：微隔离允许动态地重新配置隔离规则（根据拓扑可视化自适应配置），以适应不断变化的网络环境和需求 处置能力（网络拦截）：通过腾讯天幕旁路阻断系统进行全局网络封禁 处置能力（应用拦截）：重要业务默认部署RASP，构建安全的应用运行环境 处置能力（告警降噪）：借助架构、告警分级分类、运营、AI等多种手段进行综合降噪 分析动作是否误报是->去掉策略告警否->进行聚合压制 分析后端业务工单了解工单必要性针对不必要的工单消减 告警降噪方式没有最好，只有更好，需要长期持续优化形成适合自身公司的方法论 处置能力（自动化响应）：借助自动化工作流能力，标准操作流程，提升处置效率 确定性重大风险响应时间：10min ->3s 案例：安全告警攻击IP封禁处置 1.告警聚合筛选 3.安全GPT分析 2.IP威胁情报查询 4.人工封禁审批 5.执行封禁/隔离 •对重复高频告警信息聚合•自定义过滤高危告警 •利用威胁情报数据进行分析•支持内外部分不同的情报来源 •梳理待封禁IP列表•准备封禁确认话术 •基于混元模型训练的安全GPT•辅助运营人员判断事件性质 •从网络、主机、应用进行封禁•同步封禁结论 结合安全大语言模型的IP封禁审批工作流 办公IM工具确认IP是否封禁 处置能力（自动化响应）：借助自动化工作流能力，标准操作流程，提升处置效率 基于人员管理视角KPI 基于安全视角的KPI l日、周告警人员处置量l日、周工单人员闭环量l单人平均处置时间l单人漏洞平均修复时间l单人报告提交情况统计l不同角色工单处置量l不用子公司工单处置量l··· l告警处置时间l漏洞修复率l漏洞修复时长l入侵检测时间l入侵响应时间l病毒查清除时间l··· 处置能力（自动化响应）：构建数据驱动的反入侵体系 处置能力（自动化响应）：全流量低成本存储、高效分析与回溯 验证能力（渗透测试&BAS）：通过渗透测试+有效性验证，持续验证安全策略有效性 •SQL注入•XSS跨站脚本攻击•XML外部实体注入•服务器端请求伪造(SSRF)•任意文件上