互联网暴露面收敛——从风险识别到动态清零的攻防实战

关于暴露面 本产品孵化自腾讯安全实验室，历经多年攻防实战的锤炼，专注于在大型攻防演练和日常安全运营中精准发现风险，最终为企业实现降本增效。 讲师介绍 梁国锋 多年大型攻防演练经验，对攻与防有深入的实战理解，负责暴露面的产品设计与技术规划，从0到1的落地与建设。 目录Menu •互联网暴露面风险趋势•构建持续的暴露面收敛能力 互联网暴露面风险趋势 攻击趋利化，自动化，成主流攻击手段 ➢针对企业和重要机构的高危害攻击案例每年增加约27%。➢2025年国际国内政企行业勒索事件、数据窃取事件，层出不穷。 产品告警驱动向暴露面管理驱动转变 互联网隐匿攻击案例 存 储 桶 盗 刷 A P I接 口 泄 露 S t e a l e r泄 露 隐私泄露 直接访问核心系统 因权限设置不当被恶意上传引流。导致存储桶被盗刷流量、造成财产损失、损害域名信誉、被通报。 利用暗网泄露的凭据直接绕开认证登录系统 利用API接口的未授权、越权等问题，低速非法获取数据、敏感token、密钥等 传统扫描VS渗透存在的局限性 ➢业务对外暴露面持续增加，可以被攻击者利用的风险点增加，往往在没有意识到的地方出现安全风险，导致业务被入侵➢架构复杂度持续增加，使用的业务组件和服务应用往往导致不可控的风险，疏漏之处往往是被入侵的突破点 攻强防弱—攻防演练常态化下的运营困境 差距点：攻击方往往占据攻防主动权，开展持续、深度的风险面管理，才能化被动为主动 解决思路——暴露面管理服务 CTEM官方定义 持续威胁暴露面管理（CTEM）–Continuous Threat Exposure Management即持续不断评估企业数字和物理资产的可访问性、暴露性和可利用性 腾讯实践 漏洞管理行业正在从有针对性的漏洞识别和修复发展为更全面的暴露管理方法，Gartner将其称为持续威胁暴露管理(CTEM) 漏洞扫描VS暴露面管理 案例1：漏洞扫描VS暴露面管理 实战案例：XX集团存在API或敏感数据泄露场景 •开发商不小心把测试的相关数据写在JS代码文件的问题 •红队在Web网站的JS文件检测出相关的敏感数据与API接口，包含了账号密码、各种云的密钥，Saas化产品等各种各样的凭据、敏感信息 •直接通过密钥渗透进入企业内部系统，获得业务生产数据 暴露面管理原理（基于“种子挖掘”的“发散式思维”） 漏扫原理（基于“漏洞库”的“应试思维”） •暴露面管理通过主动爬虫+被动模糊匹配+AI分析获取到敏感信息以及系统入口，利用js中账号凭据（Admin/888888)成功登陆系统，获取大量摄像头、物联网设备控制权限 •基于指纹的漏洞扫描：可识别组件，但无法识别数据泄露及API•基于PoC的漏洞扫描：可识别漏洞，但无法识别数据泄露及API 案例2:漏洞扫描VS暴露面管理 实战案例：XX集团出现多个类似名称小程序和公众号，导致用户信息泄露、监管机构通报 •有攻击者以“XXX”品牌特征注册小程序和公众号，通过活动促销的文章收集用户信息，被用户投诉导致品牌声誉受损 •HW期间，某集团子公司私自注册了“XX”小程序，演练期间发现API鉴权不当导致集团客户信用卡信息泄露 暴露面管理的目的（“攻击者能不能进来？怎么进来？”） 漏扫的目的（“系统有没有已知漏洞？怎么修复”） •关注点：✓系统本身、涉及的平台、人员、策略、供应链有没有风险 •关注点：✓自身系统有没有漏洞？✓有哪些漏洞？✓哪些事高危的漏洞？ ？✓风险有哪些？✓哪些风险可以直接进到内网来？ •社工钓鱼•主机失陷•加密勒索•数据泄露•品牌声誉•供应链攻击•...... •弱口令•Nday漏洞•...... •敏感信息（员工邮箱、管理后台...）•登录凭据（RDP、APIkey...）•0/1Day攻击情报•小程序/公众号仿冒•...... 构建持续的暴露面收敛能力 思考：实战案例 For攻击者 1、是否能全自动覆盖？2、需要多久的时间？ For防守者 1、所有主机被入侵了都能发现吗？2、新增一个子域名是否可知？3、发现问题多久能联系到负责人？… 暴露面管理服务设计思路 暴露面监测（Discovery） 暴露面分析（Prioritization） 测绘工具集（如云暴露面、暗网暴露面等）识别资产暴露面、攻击向量和风险 以T-VPT为助力，提升风险识别精准度基于历史漏洞行为，进行风险优先级划分 监测运营中心（Validation+Mobilization） 人工+工具平台深度验证漏洞影响，提供更精准修复建议 暴露面管理-服务内容 暴露面管理-服务能力构成和核心能力分布 暴露面监测发现与运营能力 基于大型互联网企业攻防实战能力沉淀 平台能力优势 引入自动化工作流、整合腾讯T-VPT优先级算法、工具库及安全最佳实践，最高效率识别高优暴露面风险 测绘工具自主运营，支持第三方工具集成 测绘工具自主运营，支持第三方工具集成 测绘流程（可自主编排） 功能亮点 1.与企业现有安全产品或工具无缝融合2.暴露面发现流程按需编排、更加灵活3.基于自动化工作流构建，过程可视可管理•清晰了解属于哪家子公司•提供更多技术细节供分析•为下发通报提供证据佐证 及时的资产变动感知+灵活的实施细节控制 精细的扫描时间颗粒度控制 精细的扫描时间颗粒度控制，满足各种客户个性化扫描需求 功能亮点 •资产变动监控：持续监测业务变更，动态捕捉变更导致的新增或遗漏风险•精细扫描时间控制：满足客户复杂业务场景安全需求，错开客户业务高峰期 精准的管理后台识别能力 精准的管理后台识别能力 独有的目录爆破分析能力 抛弃传统误报漏报率高的正则识别方式，采用多种方式进行识别 目录暴露技术的困境 目录爆破相关的开源技术都有10年，但为何友商不全自动化集成？—行业目录识别技术手段依靠状态码判断，存在大量误报导致无法运营 典型案例 404状态码迷惑攻击队 实际为数据泄露的未授权接口 腾讯自研目录爆破能力 基于相似度识别算法，极大减少自定义404页面、伪200页面噪音干扰 功能亮点 •场景丰富，基于金融、教育、交通、文旅、政务等多种业务场景实战•多识别方式，除正则外，含关键字库等方式 数据泄漏风险挖掘能力 功能亮点 引发数据泄露的“导火索” •监测范围超过4000+黑产渠道，其中付费、非公开渠道100+个•监控超过200+勒索组织动态，基于资产自动关联企业资产泄露风险 数据泄露监测系统 账号泄露风险挖掘 自研JS敏感信息检测/API发现能力 传统漏洞扫描等存在的不足 大量误报功能不可用，人工运营频繁漏报 腾讯暴露面管理“JS-Eye”模块 •漏扫、ASM基础功能+网站动态脚本JS语法树解析•管理后台识别准确度达98%以上（远超主流友商） 场景：敏感信息识别能力 云暴露面风险管理能力 云暴露面发现难点 多云环境下，传统安全厂商缺乏云上安全运营实践，对云服务及产品特性了解不清晰，较难识别 场景：云服务域名难扫描发现 场景：云访问控制暴露面识别较 段检测对云资产失效 弱云网络包含网关、、专线、负载均衡和等复杂网络，没有外网的云资产可能也会对外暴露 云服务往往采用云厂商域名（网关、、代码管理平台等），传统安全厂商依靠域名扫描，难以识别云暴露面风险 传统段扫描，可以很好识别资产，但云资产分配分散，无法通过段扫描到 CLOUDNETWORK IPSCANNER SERVICEDOMAIN 云暴露面风险管理能力 云暴露面场景案例：阿里云（种） 多云环境下的安全风险，传统安全厂商较难识别 云暴露面风险管理能力 联动多云安全治理平台识别多云暴露路径 功能亮点 腾讯云CVM（53种）阿里云数据库服务（10种）......阿里云（种） •源于多云安全治理经验，基于云攻防矩阵ATT&CK，更全面覆盖云暴露面•可识别漏扫等无法识别的云服务资产、云API、云控制措施等暴露面 腾讯漏洞情报X暴露面安全运营实践 支持的交付方式 订阅式API 服务报告 控制台权限 面向对象：所有客户，金融居多交付物：提供暴露面数据接口文档、密钥运营场景：暴露面数据对接SOC或自身运营平台 面向对象：所有客户交付物：定期提供暴露面服务报告（每周/月） 面向对象：公有云客户交付物：暴露面管理控制台权限 运营场景： 运营场景： 1、日常运营场景，实时了解外部风险2、重保或业务上线，了解自身暴露面 1、公有云客户，想要了解自身暴露面2、合规风险管理场景，需要大屏或者风险扫描措施 Thank you感谢观看！