受重保防护时间和保障需求特殊性的影响,企业在重保的关键时期,往往面临着准备期难以控制、防护任务重、安全要求高的三大挑战。随着互联网新技术的发展,各种高级网络攻击不断迭代演化,攻击手法复杂多样。黑客会准备大量的兵器库以及全方位攻击手段,包括攻击情报库、0day库、敏感信息库等,以至于企业在重要时期保障中难以一已之力对抗庞大的黑产组织。
在此背景下,腾讯安全联合腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf举办了《原引擎:重保特辑》系列产业安全公开课,通过三期直播课程邀请多位安全专家进行经验分享和行业洞察,帮助企业构建完善的基础安全防护能力,高效开展安全工作,顺利度过重要保护时期。
以下为重点演讲内容:
针对政企机构、金融企业在重保期间,面临的数字化资产防护难点与环节弱点,腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高,聚焦重保备战与实战两个阶段,以全局视角分享企业安全建设的思路与心得,以期帮助企业构建更高效、更完备的安全防御体系。
1、攻防演练常态化,安全建设要朝实战化方向发展
黄羽:当前,在政策的推动下,网络安全上升至国家战略,国家级、行业级安全攻防演练常态化,更注重实战效果,因此企业安全建设需要从实战角度补足安全攻防能力。
面对重保期间指数级增长的威胁和告警以及企业安全建设需求,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,带来中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。
2、安全运营挑战日益严峻,威胁情报助力主动防御
高睿:随着全球数字化进程的不断加快,网络安全威胁也在逐步攀升。“威胁情报”作为一种新兴的安全防御手段,能够通过多维度、全方位的情报感知,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并作出合理预判,对提高企业网络安全防御体系的防御能力起到积极而关键的作用。
为帮助企业建立全面的安全运营体系,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,提供第一手威胁情报、一站式情报服务,为安全运营提质增效,增强现有安全体系威胁检出能力。
3、攻防演练更贴近实战,零信任为企业内网安全再加“砝码”
刘现磊:近年来,攻防演练愈发贴近实战,钓鱼成为最有效攻击方式。针对这一趋势,企业需要更加规范内网安全管理,避免内部防线被钓鱼突破。其中,零信任作为一种无边界安全策略,能够在企业传统的网络基础架构之上,构建以身份为中心的,贯穿企业网络-应用-资源-数据全链路、一体化的安全网络,为企业内网安全加上一道“阀门”。在攻防演练中,零信任“以完全,应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期,展现出了新的价值。
4、知己知彼,从“攻”、“守”角度看重保工作要点
葛浩:从蓝军视角来看,攻击队在攻击前期会隐藏网络资源标识,并对企业资产暴露面进行分析,收集目标企业的对外资产信息;接下来,对网络漏洞进行扫描,分析并验证入侵路径;当分析得到有效漏洞入侵攻击路径后,蓝军将针对目标服务器的脆弱性发起渗透攻击;外网打点突破边界后,蓝军将继续进行横向渗透,逐步扩大攻击成果。
基于蓝军的攻击方式,防守方可以在攻击的前、中、后期有针对性地应对重保:
在前期的准备阶段,防守方需要提高全员安全意识;收回所有系统权限,按最小权限原则重新分配;主动进行安全设备的采购部署。
在中期的信息收集和弱点分析阶段,进行资产的梳理和管理;识别风险隐患,并通过渗透攻击与红蓝对抗的方式,深度发现业务风险和防护缺陷。
在后期的渗透攻击和横向移动阶段,实时监测攻击,快速响应;在内网实施更严格的隔离管控措施。
5、新攻防态势下,企业需提升发现、检测、响应、度量能力
刘志高:重保期间,攻击日的一次扫描就会触发大量告警,给安全运营带来巨大挑战,对互联网业务可用性、风险发现速度、漏洞修复时效提出了更高要求,企业亟需加强技术力、流程化能力、运营人效三方面的能力,以保障能够应对激增的网络安全威胁。基于此,腾讯安全加速布局安全运营领域,并沉淀出三大系统,推动安全建设工作向纵深发展。
● 工作流系统:腾讯内部7大BG在用的自动化工作平台,能够在重保时期研判告警攻击IP行为并联动威胁情报进行拦截;
● 数据泄露监测系统:覆盖主流数据泄露渠道,深入行业的分钟级泄露监测响应系统;
● 漏洞监测订阅系统:覆盖500一手情报源,支持上千种组件订阅的情报订阅系统。
聚焦重保期间云上资产防护难题,腾讯云原生安全产品专家葛浩、腾讯云原生安全高级产品专家Eric、腾讯云高级安全攻防工程师马子扬、腾讯云主机安全高级产品经理钟壮豪、腾讯云安全中心产品负责人周荃,结合腾讯安全云上解决方案及相关实践,分享云上安全建设的思路和心得,以期帮助企业高效安稳度过实战期。
1、云上攻击猖獗,“3+1”安全防护全链路布防
葛浩:根据过往重保调研显示,外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。为帮助企业建立更全面、高效的防护体系,腾讯安全推出“3+1”一站式重保解决方案,构筑三道坚实的安全防线。
第一道防线——云防火墙:提供访问控制、入侵防御、身份认证等安全能力,可自动梳理云上资产、发现并收敛暴露面;
第二道防线——Web应用防火墙:可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;
第三道防线——主机/容器安全:提供纵深防御能力和漏洞自动修复能力,实现入侵行为的有效阻断。
安全中心——管理三道防线、多账号、多云统一管理:联动各产品原子能力,实现云安全的一站式联动控制、功能互通与数据协同,极大提效安全运营与响应。
2、腾讯云防火墙,筑牢云上安全第一道防线
Eric:重保场景下,企业常常会面临资产的不当暴露、安全组配置疏漏、攻防角色PK不对等挑战。针对这些问题,腾讯云防火墙从封IP、堵漏洞、防入侵三方面入手,为企业提供互联网边界防护,并沉淀出四大能力:
● 资产自动梳理:自动梳理云上资产,内置漏洞扫描,识别暴露面;
● 坚实云上防御:分钟级别拉起云上第一道防线,具备小时级别IPS虚拟补丁,防护边界拓展到混合云边界;
● 东西向流量管控:VPC间防火墙、企业安全组、网络蜜罐三大能力加持,改变攻防对抗支点;
● 秒级别威胁情报:基于腾讯全球的威胁情报库,实时监测主动外联行为,阻止用户资产访问恶意IP和域名。
3、WAAP一体化防护,快捷便利屏蔽攻击风险
马子扬:随着技术的不断演进,攻击者将更多的自动化手段利用到攻击过程中。这一趋势也表明,企业需要更自动化、更便捷的高防措施来屏蔽攻击风险,打赢重保护航战。
基于此,腾讯云WAF构建了多维度的防护体系,帮助企业提升安全防护、行为管控、收敛暴露面等能力,保障重保时期多项业务及资产的安全。
基础安全——WAF:保护基础设施及资产不受Web应用漏洞侵害、防护0day、Nday等攻击。
业务安全——BOT:保护业务的核心关键逻辑不受侵害、防护来自越权、自动化绕过等攻击。
数据应用安全——API:保护核心资产数据信息不受侵害,防止因为API越权、泄漏等风险造成业务敏感数据信息泄露。
4、主机+容器安全,守护云上最后一道防线
钟壮豪:从攻击者视角来看,无论攻击手段有多复杂,其最终目的在于服务器,包括服务器权限及数据。因此做好重保时期的主机/容器安全,守护好最后一道防线至关重要。针对重保时期的网络攻击防护,企业的工作重点可以放在三个方面:一是事前的资产梳理,风险收敛;二是事中的攻击检测,阻断行为;三是事后的溯源分析,还原现场。
为帮助企业闭环事前、事中、事后的攻击防御,腾讯安全基于海量威胁数据推出主机+容器安全,可提供资产管理、漏洞防御、文件查杀、入侵检测、漏洞风险预警、安全基线等安全防护功能,解决服务器面临的主要安全风险,帮助企业构建从“预防一防御一检测一响应”的安全防护体系。
5、云安全中心2.0,一键提升重保时期的安全与效率
周荃:安全和效率之间一直存在着矛盾,过分强调安全时,可能会带来生产效率的极度下降,只追求生产效率而完全忽略安全则会带来更严重的后果。然而在重保时期,安全和效率都极为重要。据数据分析显示,企业内资产多、账号多、告警多,部分企业存在多云/跨云部署,加上暴露面难发现、漏洞难根治,以及缺乏有经验的安全人才、易用的安全产品等问题,使得安全工作效率下降,难以达到重保值守对于快速响应的要求。
针对这些问题,腾讯安全全新打造云安全中心2.0,为企业提供一站式多账号安全管理平台,提升安全运营效率。在资产中心,通过最全的资产管理,帮助企业发现影子资产、加固核心资产;在风险中心,通过一键体检帮助企业主动发现暴露面、漏洞、弱口令等风险问题,防患未然;另外,为高效应对重保期间的攻击行为,在告警中心,通过采集告警日志、聚合攻击事件并联动防线处置,提升响应效率,助力重保。
聚焦重保期间大型企事业单位数字化资产防护难题,腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全零信任高级产品经理刘现磊,结合安全运营、威胁情报、零信任等产品能力与实践,分享企业如何做好网络应急响应准备和安全保障工作,安稳度过实战时期。
1、重保工作进入“新常态”,SOC+安全运营体系是应对“法宝”
黄羽:随着重保工作进入“新常态”,企业安全防护工作也趋向“平战结合”,强调事前监测及事中响应的自适应安全成为企业关注的重点。腾讯安全SOC+安全运营体系结合腾讯自身20多年攻防对抗经验和安全实验室顶尖技术,驱动客户安全运营整体能力朝“实战化”不断升级和演进。
腾讯安全SOC+安全运营体系具有三大能力:
● 原子力:包含丰富的威胁情报和坚实的攻防对抗能力,能够让企业在威胁预测、感知、响应上占领先机;在攻防对抗方面,依托集团业务攻防经验和国家级大型攻防项目经验,不断探索提升安全防护能力和效率。
● 产品力:包含TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四个核心模块,能够提供威胁情报数据、威胁闭环运营、智能化安全部署、标准化安全运营。
● 生态力:主要包括渠道伙伴和能力伙伴,腾讯安全通过在行业内形成“生态资源共享、能力互补、生态共建”的全新合作机制,推动全行业安全运营。
2、威胁情报打造全局感知,将安全防御“前置”
高睿:面对越来越多的网络入侵事件,企业除了要加深对内部资产的了解和认识之外,基于外部风险情报监测的及早感知及时防御也必不可少。在重保期间,越早获取到新被利用的高危漏洞信息,就能更大程度避免成为下一个受害者。
威胁情报作为企业安全防御“化被动为主动”的利器,能够为面临威胁的资产主体提供全面的、准确的、能够执行和决策的信息,为企业重保工作提供全周期的监测响应。包括筹备期的查验历史漏洞、收敛高风险攻击面,重保期监控可疑资产、识别定向钓鱼、监测信息泄露等,形成“查漏补缺、实时监视、动态感知、溯源反制”的全局防御,极大降低资产泄露的风险。
3、分支和供应链接入成为攻击突破口,零信任iOA 保障办公网“零”失分
刘现磊:回顾以往攻防演练,可以发现,针对VPN、OA类系统等接入系统和办公设施发动的攻击占据攻击数量高位,通过 IM等工具进行钓鱼完成突防,然后进行渗透,“分支接入”与“供应链接入”成为被重点针对的突破口。要想有效降低攻击渗透率,对内提升安全水平,对外缩小访问权限是最优解。
基于此,腾讯安全将“零信任”理念引入办公场景的重保防护中,提出iOA零信任解决方案,提供办公网安全短板补齐的新思路。
● 接入安全,让业务成为安全抓手。腾讯安全iOA帮助企业在混合办公与数字化推动形成的扁平化网络,对抗不可控的人和设备潜藏的内外部威胁,并对接入设备进行脆弱性整改。
● 最小化授权访问,最大化隔离风险。腾讯安全iOA能提供“可落地”的最小化授权访问能力,在平衡业务的同时,尽可能隔离风险与资产。
● 防钓鱼、防横移,iOA 可覆盖 100%的钓鱼攻击,实现快速告警、拦截,覆盖 TT&CK 中横移所有 TTP,针对域控有更加精准的识别。
以上是本次重保专题公开课三期专家观点的精华整理,感兴趣的朋友可以扫描下方二维码提取重保主题课程资料(讲师PPT)。未来,腾讯安全还将针对更多行业、更多场景,分享企业安全建设思路以及成功实践经验,帮助大家深入了解网络安全,构建自适应的安全防护体系。