前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >产业安全公开课:重保场景下,企业如何高效提升基础安全防护?

产业安全公开课:重保场景下,企业如何高效提升基础安全防护?

原创
作者头像
腾讯安全
发布2023-04-11 10:52:22
2.4K0
发布2023-04-11 10:52:22
举报
文章被收录于专栏:腾讯安全

近年来,相关政策持续出台带动了各行各业网络安全意识的提升,重保已成为政企单位的要点工作之一。然而,随着互联网新技术的发展,黑产攻击手法也在升级,针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗,影响重保工作的顺利进行。

4月6日,腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点,联合举办《原引擎:重保备战部署,如何高效构建企业基础安全防护能力》产业安全公开课,邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高,分享企业安全建设的思路与心得,以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化,安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角,从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化,驱动安全能力建设提质

黄羽:当前,在政策的推动下,网络安全上升至国家战略,国家级、行业级安全攻防演练常态化,更注重实战效果,安全建设需要具备安全攻防能力。从安全攻防实战角度来看,目前安全攻防面临三大挑战:第一是无法有效应对0day/1day漏洞,第二是检测场景覆盖度不足,第三是缺少快速响应和联动机制。

因此,企业在进行重保工作的能力部署时,亟需提升安全攻防场景下漏洞防护、攻击方式检出率;同时深化安全攻防专项威胁情报能力,与安全防护体系融合应用。

2、腾讯SOC+安全运营体系,构建响应闭环“安全攻防”最佳效果

黄羽:面对指数级增长的威胁和告警,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例,腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕,帮助客户提升安全攻防实际效果。经过实战检验,NDR天幕实现日均8亿次拦截攻击,阻断率达99.99%以上,无失败反馈;规则库及时更新,及时响应0day。

化“被动防御”为“主动防御”,威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点,分享威胁情报的价值,以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻,威胁情报助力主动防御

高睿:随着全球数字化进程的不断加快,网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显,企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段,能够通过多维度、全方位的情报感知,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿:威胁情报是企业安全运营中告警优先级排序的关键依据,并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中,将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看,主要有以下几个方面:

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机,防止个人及组织信息泄漏,或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设,安全设备的不断增多,企业每日告警量呈指数级增长,威胁情报能够通过外网视野对安全事件进行分级,有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后,企业可以根据威胁情报研判威胁来源攻击方式,并结合自身受攻击的业务属性,定性威胁入侵目的寻找更多线索,尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理,辅助收敛提升防御能力。并提供持续的风险监测能力,包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面,高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿:尽管威胁情报的市场增长快、空间大、应用价值高,但受限于成本和使用难度,威胁情报存在覆盖少、门槛高、用不好等问题,导致整体渗透率不高。

针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效,增强现有安全体系威胁检出能力。

l 边界防护,入侵风险阻断场景。基于攻击者视角,发现可疑\恶意来源IP,降噪误报,一键封禁。

l 流量检测,失陷主机发现场景。基于流量出站访问IP、域名、URL等特征,发现失陷资产,支撑应急响应。

l 安全运营,威胁事件分析场景。针对海量告警进行分诊,收敛威胁处置面,聚焦关键威胁。

l 威胁管理,情报数据运营场景。针对本地自有情报、告警进行威胁定性,和上下文富化,增强自建情报的质量。

攻防演练趋向成熟和体系化,安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享,结合攻防演练活动趋势,探讨企业重保应对之道。

1、攻防演练更加贴近实战,钓鱼成为最有效攻击方式

刘现磊:追溯实战攻防演练的发展,可以发现,大型攻防演练活动越发接近真实攻击,使用的手段也不再那么局限,促使大部分企业开始弱化演习活动的时效性,而是平战结合,将安全工作常态化,并以数据保护结果导向。

综合来看,在演练过程中,攻击队会在侦查阶段收集信息,在突防阶段利用漏洞、钓鱼等进行突防,然后利用系统服务横移、锁定靶标机器,最后通过进程注入、提权等方式拿下靶标主机,获取数据。

因此,企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范,容易被钓鱼突破然后往总部内网走,是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊:基于“永不信任、持续验证”的原则,零信任能够在企业传统的网络基础架构之上,构建以身份为中心的,贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中,零信任“以完全,应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期,保障企业基础安全。

l 在事前的侦查阶段,最小化授权,收敛暴露面;

l 在事中的突防阶段,零信任架构可以对访问主体进行信任评估,持续对访问行为进行检测,防止钓鱼攻击事件的发生;

l 在事中的横向移动阶段,零信任架构能够监测到横向移动并进行动态降权,通过终端微隔离和动态访问控制,收敛攻击面;

l 在事后反渗透阶段,对终端、网络访问留痕,实现溯源反制。

2023年云上重保洞察,“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察,带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩:根据过往重保调研显示,外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中,外网打点占比达到89%,使用到0Day的占到近40%;钓鱼占比约7%,拿下近50%得分;内存马是一种无文件落地的Webshell,通过代码执行实现注入内存马,在2022重保中,所有攻击方均使用到内存马技术。

2、知己知彼,从“攻”、“守”角度看重保工作要点

葛浩:从蓝军视角来看,攻击队在攻击前期会隐藏网络资源标识,并对企业资产暴露面进行分析,收集目标企业的对外资产信息;接下来,对网络漏洞进行扫描,分析并验证入侵路径;当分析得到有效漏洞入侵攻击路径后,将针对目标服务器的脆弱性发起渗透攻击;外网打点突破边界后,蓝军将继续进行横向渗透,逐步扩大攻击成果。

基于蓝军的攻击方式,防守方可以在攻击的前、中、后期有针对性地应对重保:

在前期的准备阶段,防守方需要提高全员安全意识;收回所有系统权限,按最小权限原则重新分配;主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段,进行资产的梳理和管理;识别风险隐患,并通过渗透攻击与红蓝对抗的方式,深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段,实时监测攻击,快速响应;在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系,层层构筑安全防线

葛浩:为帮助企业建立全面、高效的防护体系,腾讯安全推出“3+1”一站式重保解决方案,构筑三道坚实的安全防线。

第一道防线——云防火墙:提供访问控制、入侵防御、身份认证等安全能力,可自动梳理云上资产、发现并收敛暴露面;

第二道防线——Web应用防火墙:可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;

第三道防线——主机/容器安全:提供纵深防御能力和漏洞自动修复能力,实现入侵行为的有效阻断;

安全中心——管理三道防线、多账号、多云统一管理:联动各产品原子能力,实现云安全的一站式联动控制、功能互通与数据协同,极大提效安全运营与响应。

新攻防态势下,敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势,就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高:如今,数字化浪潮正席卷各行各业,企业转型升级也带来了技术、管理、人才等方面的变革,与此同时,网络安全威胁也在升级进化,企业面临以下几点困境:

l AI技术革新,攻击效率大幅提升;

l 开源组件被业务广泛应用,业务支撑生态风险面扩大;

l 云/IoT等新技术普及应用及开发模式变化,使得风险引入面持续增加;

l 攻击对手各异,告警增多导致人才处置资源短缺;

l 攻防演习手段多变,钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高:面对愈发复杂的威胁态势,企业安全运营需要进行具备三大能力:

一是技术力,包括更敏锐的风险发现能力,更全面的攻击面管理能力,更丰富的SaaS云端安全能力;

二是流程化能力,包括灵活、快速的安全响应能力,可追溯、审计的流程管理能力;

三是运营人效,即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高:重保期间,攻击日的一次扫描就会触发大量告警,给安全分析研判带来较大负担,同时安全事件的封禁处流流程往往较以来人工操作,基于此,腾讯安全加速布局安全运营领域,并沉淀出三大服务能力,推动安全建设工作向纵深发展。

l 自动化工作流平台:“融合SOAR,但不仅仅是SOAR”,腾讯工作流编排平台由腾讯云安全运营团队打造,覆盖腾讯内部7大BG,支持数百种安全应用场景,能够在常规运营阶段、重保时期等实现运营流程的10X级提速,如分析告警攻击IP行为并联动威胁情报进行安全产品拦截,漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力:覆盖主流数据泄露渠道,并具备专职交易泄露分析能力,辅助企业研判危害,具备行业的分钟级泄露监测响应系统;

l 漏洞监测响应系统:运营超过500一手情报源,支持上千种组件订阅的情报订阅系统,支持与VPT方案落地。

为帮助企业顺利度过重保季,腾讯安全将开展为期一个月的重保专场公开课,从能力构建的维度,面向企业客户进行实战经验分享与备战指导,帮助企业全面提升基础安全能力水平。下一期,我们将聚焦具有云上业务的大型企业的攻防实战,带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课,敬请期待。

产业安全公开课:重保场景下,企业如何高效提升基础安全防护?

近年来,相关政策持续出台带动了各行各业网络安全意识的提升,重保已成为政企单位的要点工作之一。然而,随着互联网新技术的发展,黑产攻击手法也在升级,针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗,影响重保工作的顺利进行。

4月6日,腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点,联合举办《原引擎:重保备战部署,如何高效构建企业基础安全防护能力》产业安全公开课,邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高,分享企业安全建设的思路与心得,以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化,安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角,从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化,驱动安全能力建设提质

黄羽:当前,在政策的推动下,网络安全上升至国家战略,国家级、行业级安全攻防演练常态化,更注重实战效果,安全建设需要具备安全攻防能力。从安全攻防实战角度来看,目前安全攻防面临三大挑战:第一是无法有效应对0day/1day漏洞,第二是检测场景覆盖度不足,第三是缺少快速响应和联动机制。

因此,企业在进行重保工作的能力部署时,亟需提升安全攻防场景下漏洞防护、攻击方式检出率;同时深化安全攻防专项威胁情报能力,与安全防护体系融合应用。

2、腾讯SOC+安全运营体系,构建响应闭环“安全攻防”最佳效果

黄羽:面对指数级增长的威胁和告警,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例,腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕,帮助客户提升安全攻防实际效果。经过实战检验,NDR天幕实现日均8亿次拦截攻击,阻断率达99.99%以上,无失败反馈;规则库及时更新,及时响应0day。

化“被动防御”为“主动防御”,威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点,分享威胁情报的价值,以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻,威胁情报助力主动防御

高睿:随着全球数字化进程的不断加快,网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显,企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段,能够通过多维度、全方位的情报感知,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿:威胁情报是企业安全运营中告警优先级排序的关键依据,并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中,将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看,主要有以下几个方面:

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机,防止个人及组织信息泄漏,或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设,安全设备的不断增多,企业每日告警量呈指数级增长,威胁情报能够通过外网视野对安全事件进行分级,有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后,企业可以根据威胁情报研判威胁来源攻击方式,并结合自身受攻击的业务属性,定性威胁入侵目的寻找更多线索,尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理,辅助收敛提升防御能力。并提供持续的风险监测能力,包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面,高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿:尽管威胁情报的市场增长快、空间大、应用价值高,但受限于成本和使用难度,威胁情报存在覆盖少、门槛高、用不好等问题,导致整体渗透率不高。

针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效,增强现有安全体系威胁检出能力。

l 边界防护,入侵风险阻断场景。基于攻击者视角,发现可疑\恶意来源IP,降噪误报,一键封禁。

l 流量检测,失陷主机发现场景。基于流量出站访问IP、域名、URL等特征,发现失陷资产,支撑应急响应。

l 安全运营,威胁事件分析场景。针对海量告警进行分诊,收敛威胁处置面,聚焦关键威胁。

l 威胁管理,情报数据运营场景。针对本地自有情报、告警进行威胁定性,和上下文富化,增强自建情报的质量。

攻防演练趋向成熟和体系化,安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享,结合攻防演练活动趋势,探讨企业重保应对之道。

1、攻防演练更加贴近实战,钓鱼成为最有效攻击方式

刘现磊:追溯实战攻防演练的发展,可以发现,大型攻防演练活动越发接近真实攻击,使用的手段也不再那么局限,促使大部分企业开始弱化演习活动的时效性,而是平战结合,将安全工作常态化,并以数据保护结果导向。

综合来看,在演练过程中,攻击队会在侦查阶段收集信息,在突防阶段利用漏洞、钓鱼等进行突防,然后利用系统服务横移、锁定靶标机器,最后通过进程注入、提权等方式拿下靶标主机,获取数据。

因此,企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范,容易被钓鱼突破然后往总部内网走,是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊:基于“永不信任、持续验证”的原则,零信任能够在企业传统的网络基础架构之上,构建以身份为中心的,贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中,零信任“以完全,应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期,保障企业基础安全。

l 在事前的侦查阶段,最小化授权,收敛暴露面;

l 在事中的突防阶段,零信任架构可以对访问主体进行信任评估,持续对访问行为进行检测,防止钓鱼攻击事件的发生;

l 在事中的横向移动阶段,零信任架构能够监测到横向移动并进行动态降权,通过终端微隔离和动态访问控制,收敛攻击面;

l 在事后反渗透阶段,对终端、网络访问留痕,实现溯源反制。

2023年云上重保洞察,“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察,带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩:根据过往重保调研显示,外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中,外网打点占比达到89%,使用到0Day的占到近40%;钓鱼占比约7%,拿下近50%得分;内存马是一种无文件落地的Webshell,通过代码执行实现注入内存马,在2022重保中,所有攻击方均使用到内存马技术。

2、知己知彼,从“攻”、“守”角度看重保工作要点

葛浩:从蓝军视角来看,攻击队在攻击前期会隐藏网络资源标识,并对企业资产暴露面进行分析,收集目标企业的对外资产信息;接下来,对网络漏洞进行扫描,分析并验证入侵路径;当分析得到有效漏洞入侵攻击路径后,将针对目标服务器的脆弱性发起渗透攻击;外网打点突破边界后,蓝军将继续进行横向渗透,逐步扩大攻击成果。

基于蓝军的攻击方式,防守方可以在攻击的前、中、后期有针对性地应对重保:

在前期的准备阶段,防守方需要提高全员安全意识;收回所有系统权限,按最小权限原则重新分配;主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段,进行资产的梳理和管理;识别风险隐患,并通过渗透攻击与红蓝对抗的方式,深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段,实时监测攻击,快速响应;在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系,层层构筑安全防线

葛浩:为帮助企业建立全面、高效的防护体系,腾讯安全推出“3+1”一站式重保解决方案,构筑三道坚实的安全防线。

第一道防线——云防火墙:提供访问控制、入侵防御、身份认证等安全能力,可自动梳理云上资产、发现并收敛暴露面;

第二道防线——Web应用防火墙:可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;

第三道防线——主机/容器安全:提供纵深防御能力和漏洞自动修复能力,实现入侵行为的有效阻断;

安全中心——管理三道防线、多账号、多云统一管理:联动各产品原子能力,实现云安全的一站式联动控制、功能互通与数据协同,极大提效安全运营与响应。

新攻防态势下,敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势,就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高:如今,数字化浪潮正席卷各行各业,企业转型升级也带来了技术、管理、人才等方面的变革,与此同时,网络安全威胁也在升级进化,企业面临以下几点困境:

l AI技术革新,攻击效率大幅提升;

l 开源组件被业务广泛应用,业务支撑生态风险面扩大;

l 云/IoT等新技术普及应用及开发模式变化,使得风险引入面持续增加;

l 攻击对手各异,告警增多导致人才处置资源短缺;

l 攻防演习手段多变,钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高:面对愈发复杂的威胁态势,企业安全运营需要进行具备三大能力:

一是技术力,包括更敏锐的风险发现能力,更全面的攻击面管理能力,更丰富的SaaS云端安全能力;

二是流程化能力,包括灵活、快速的安全响应能力,可追溯、审计的流程管理能力;

三是运营人效,即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高:重保期间,攻击日的一次扫描就会触发大量告警,给安全分析研判带来较大负担,同时安全事件的封禁处流流程往往较以来人工操作,基于此,腾讯安全加速布局安全运营领域,并沉淀出三大服务能力,推动安全建设工作向纵深发展。

l 自动化工作流平台:“融合SOAR,但不仅仅是SOAR”,腾讯工作流编排平台由腾讯云安全运营团队打造,覆盖腾讯内部7大BG,支持数百种安全应用场景,能够在常规运营阶段、重保时期等实现运营流程的10X级提速,如分析告警攻击IP行为并联动威胁情报进行安全产品拦截,漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力:覆盖主流数据泄露渠道,并具备专职交易泄露分析能力,辅助企业研判危害,具备行业的分钟级泄露监测响应系统;

l 漏洞监测响应系统:运营超过500一手情报源,支持上千种组件订阅的情报订阅系统,支持与VPT方案落地。

为帮助企业顺利度过重保季,腾讯安全将开展为期一个月的重保专场公开课,从能力构建的维度,面向企业客户进行实战经验分享与备战指导,帮助企业全面提升基础安全能力水平。下一期,我们将聚焦具有云上业务的大型企业的攻防实战,带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课,敬请期待。

产业安全公开课:重保场景下,企业如何高效提升基础安全防护?

近年来,相关政策持续出台带动了各行各业网络安全意识的提升,重保已成为政企单位的要点工作之一。然而,随着互联网新技术的发展,黑产攻击手法也在升级,针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗,影响重保工作的顺利进行。

4月6日,腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点,联合举办《原引擎:重保备战部署,如何高效构建企业基础安全防护能力》产业安全公开课,邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高,分享企业安全建设的思路与心得,以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化,安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角,从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化,驱动安全能力建设提质

黄羽:当前,在政策的推动下,网络安全上升至国家战略,国家级、行业级安全攻防演练常态化,更注重实战效果,安全建设需要具备安全攻防能力。从安全攻防实战角度来看,目前安全攻防面临三大挑战:第一是无法有效应对0day/1day漏洞,第二是检测场景覆盖度不足,第三是缺少快速响应和联动机制。

因此,企业在进行重保工作的能力部署时,亟需提升安全攻防场景下漏洞防护、攻击方式检出率;同时深化安全攻防专项威胁情报能力,与安全防护体系融合应用。

2、腾讯SOC+安全运营体系,构建响应闭环“安全攻防”最佳效果

黄羽:面对指数级增长的威胁和告警,腾讯安全推出SOC+安全运营体系,强调以威胁情报运营和攻防对抗为基础,构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵,可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例,腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕,帮助客户提升安全攻防实际效果。经过实战检验,NDR天幕实现日均8亿次拦截攻击,阻断率达99.99%以上,无失败反馈;规则库及时更新,及时响应0day。

化“被动防御”为“主动防御”,威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点,分享威胁情报的价值,以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻,威胁情报助力主动防御

高睿:随着全球数字化进程的不断加快,网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显,企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段,能够通过多维度、全方位的情报感知,以及情报信息的深度挖掘与分析,帮助信息系统安全管理人员及时了解系统的安全态势,并对威胁动向做出合理的预判,对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿:威胁情报是企业安全运营中告警优先级排序的关键依据,并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中,将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看,主要有以下几个方面:

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机,防止个人及组织信息泄漏,或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设,安全设备的不断增多,企业每日告警量呈指数级增长,威胁情报能够通过外网视野对安全事件进行分级,有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后,企业可以根据威胁情报研判威胁来源攻击方式,并结合自身受攻击的业务属性,定性威胁入侵目的寻找更多线索,尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理,辅助收敛提升防御能力。并提供持续的风险监测能力,包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面,高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿:尽管威胁情报的市场增长快、空间大、应用价值高,但受限于成本和使用难度,威胁情报存在覆盖少、门槛高、用不好等问题,导致整体渗透率不高。

针对这一问题,腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM(攻击面管理情报)、TIX-SDK/API(情报原子能力)、TIX-TIP(威胁情报平台)四大产品矩阵,能够基于四大场景为安全运营提质增效,增强现有安全体系威胁检出能力。

l 边界防护,入侵风险阻断场景。基于攻击者视角,发现可疑\恶意来源IP,降噪误报,一键封禁。

l 流量检测,失陷主机发现场景。基于流量出站访问IP、域名、URL等特征,发现失陷资产,支撑应急响应。

l 安全运营,威胁事件分析场景。针对海量告警进行分诊,收敛威胁处置面,聚焦关键威胁。

l 威胁管理,情报数据运营场景。针对本地自有情报、告警进行威胁定性,和上下文富化,增强自建情报的质量。

攻防演练趋向成熟和体系化,安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享,结合攻防演练活动趋势,探讨企业重保应对之道。

1、攻防演练更加贴近实战,钓鱼成为最有效攻击方式

刘现磊:追溯实战攻防演练的发展,可以发现,大型攻防演练活动越发接近真实攻击,使用的手段也不再那么局限,促使大部分企业开始弱化演习活动的时效性,而是平战结合,将安全工作常态化,并以数据保护结果导向。

综合来看,在演练过程中,攻击队会在侦查阶段收集信息,在突防阶段利用漏洞、钓鱼等进行突防,然后利用系统服务横移、锁定靶标机器,最后通过进程注入、提权等方式拿下靶标主机,获取数据。

因此,企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范,容易被钓鱼突破然后往总部内网走,是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊:基于“永不信任、持续验证”的原则,零信任能够在企业传统的网络基础架构之上,构建以身份为中心的,贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中,零信任“以完全,应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期,保障企业基础安全。

l 在事前的侦查阶段,最小化授权,收敛暴露面;

l 在事中的突防阶段,零信任架构可以对访问主体进行信任评估,持续对访问行为进行检测,防止钓鱼攻击事件的发生;

l 在事中的横向移动阶段,零信任架构能够监测到横向移动并进行动态降权,通过终端微隔离和动态访问控制,收敛攻击面;

l 在事后反渗透阶段,对终端、网络访问留痕,实现溯源反制。

2023年云上重保洞察,“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察,带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩:根据过往重保调研显示,外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中,外网打点占比达到89%,使用到0Day的占到近40%;钓鱼占比约7%,拿下近50%得分;内存马是一种无文件落地的Webshell,通过代码执行实现注入内存马,在2022重保中,所有攻击方均使用到内存马技术。

2、知己知彼,从“攻”、“守”角度看重保工作要点

葛浩:从蓝军视角来看,攻击队在攻击前期会隐藏网络资源标识,并对企业资产暴露面进行分析,收集目标企业的对外资产信息;接下来,对网络漏洞进行扫描,分析并验证入侵路径;当分析得到有效漏洞入侵攻击路径后,将针对目标服务器的脆弱性发起渗透攻击;外网打点突破边界后,蓝军将继续进行横向渗透,逐步扩大攻击成果。

基于蓝军的攻击方式,防守方可以在攻击的前、中、后期有针对性地应对重保:

在前期的准备阶段,防守方需要提高全员安全意识;收回所有系统权限,按最小权限原则重新分配;主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段,进行资产的梳理和管理;识别风险隐患,并通过渗透攻击与红蓝对抗的方式,深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段,实时监测攻击,快速响应;在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系,层层构筑安全防线

葛浩:为帮助企业建立全面、高效的防护体系,腾讯安全推出“3+1”一站式重保解决方案,构筑三道坚实的安全防线。

第一道防线——云防火墙:提供访问控制、入侵防御、身份认证等安全能力,可自动梳理云上资产、发现并收敛暴露面;

第二道防线——Web应用防火墙:可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;

第三道防线——主机/容器安全:提供纵深防御能力和漏洞自动修复能力,实现入侵行为的有效阻断;

安全中心——管理三道防线、多账号、多云统一管理:联动各产品原子能力,实现云安全的一站式联动控制、功能互通与数据协同,极大提效安全运营与响应。

新攻防态势下,敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势,就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高:如今,数字化浪潮正席卷各行各业,企业转型升级也带来了技术、管理、人才等方面的变革,与此同时,网络安全威胁也在升级进化,企业面临以下几点困境:

l AI技术革新,攻击效率大幅提升;

l 开源组件被业务广泛应用,业务支撑生态风险面扩大;

l 云/IoT等新技术普及应用及开发模式变化,使得风险引入面持续增加;

l 攻击对手各异,告警增多导致人才处置资源短缺;

l 攻防演习手段多变,钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高:面对愈发复杂的威胁态势,企业安全运营需要进行具备三大能力:

一是技术力,包括更敏锐的风险发现能力,更全面的攻击面管理能力,更丰富的SaaS云端安全能力;

二是流程化能力,包括灵活、快速的安全响应能力,可追溯、审计的流程管理能力;

三是运营人效,即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高:重保期间,攻击日的一次扫描就会触发大量告警,给安全分析研判带来较大负担,同时安全事件的封禁处流流程往往较以来人工操作,基于此,腾讯安全加速布局安全运营领域,并沉淀出三大服务能力,推动安全建设工作向纵深发展。

l 自动化工作流平台:“融合SOAR,但不仅仅是SOAR”,腾讯工作流编排平台由腾讯云安全运营团队打造,覆盖腾讯内部7大BG,支持数百种安全应用场景,能够在常规运营阶段、重保时期等实现运营流程的10X级提速,如分析告警攻击IP行为并联动威胁情报进行安全产品拦截,漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力:覆盖主流数据泄露渠道,并具备专职交易泄露分析能力,辅助企业研判危害,具备行业的分钟级泄露监测响应系统;

l 漏洞监测响应系统:运营超过500一手情报源,支持上千种组件订阅的情报订阅系统,支持与VPT方案落地。

为帮助企业顺利度过重保季,腾讯安全将开展为期一个月的重保专场公开课,从能力构建的维度,面向企业客户进行实战经验分享与备战指导,帮助企业全面提升基础安全能力水平。下一期,我们将聚焦具有云上业务的大型企业的攻防实战,带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课,敬请期待。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
威胁情报云查与本地引擎
威胁情报云查与本地引擎(Threat Intelligence Atom Engine, TAE)依托腾讯安全近二十年网络安全经验和情报大数据,为客户提供威胁情报云端查询和本地引擎集成服务。帮助企业提升现有安全体系的防御和检测能力,并且帮助生态合作伙伴的安全产品集成威胁情报提升威胁检出能力。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档