勒索病毒安全防护研讨会原创

大家好，欢迎大家参加我们腾讯云勒索病毒安全防护研讨会，我是今天的主持人丹阳。随着全球科技不断发展，网络黑产攻击态势愈演愈烈，俨然已经成为目前网络安全面临的头号威胁。今天腾讯将基于自身实战经验，针对企业如何应对勒索病毒攻击挑战进行分享。当然，今天本次直播我们非常有幸的邀请到了三位腾讯安全专家与我们在线探讨，共益勒索病毒攻防指导。首先我们有请腾讯云资深安全专家姚卫老师就勒索病毒防御实践与我们一探究竟，有请杨老师。

哎，好的，哎，谢谢主持人啊，各位线上的朋友们，大家下午好啊，我是腾讯安全的姚卫啊，今天啊主要去结合腾讯自己在勒索病毒这一块的一个防疫实践跟大家去做一个分享，那我们都知道其实这两年啊，无论是企业还是说监管测试，对于整个呃加密勒水病毒的一些变化，以及对它的防御其实都是比较关切的啊，那接下来的话，我这个就呃不多说了，然后直接进入主题啊，那首先其实我想跟大家去分享一个就是如何去看待勒索病毒的这。

一个一个意识形态的一个问题，那这几年其实我们国内的呃，尤其是企业侧，在整个网络安全建设这一块，其实是发生了一个比较大的一个变化，那么其中比较关键的一个因素是攻防对抗，或者说我们叫攻防演练，攻防演练这几年其实也。对很多企业的管理者在安全建设这块的一个引发了他们很多的一些思考，那对于企业来说，安全究竟应该怎么样去做，做到一个什么样的程度，那其实在这个层面上面，我们国家的一些监啊，领导人啊，啊，包括一些监管单位，其实啊已经认识的非常的深刻了，那啊包括习大大其实也提出了安全的本质其实就是对抗，那这个是攻击和防守之间的一个对抗，所以其实对于企业来说，那安全或者说做安全建设。从根本上可能就是要去奔着能够去为自己的业务的这个啊，被攻击的防御能力的这个方向去走。但是其实现在还有很多单位对于整个网络攻击的危害的认识其实还是不够的，那么或者说也也或者说对于这种啊，基于网络网络攻击的这种造成的这个影响，其实还没有去有一个比较具象化的一个认识，但是随着勒索病毒的这样一个一个爆发，或者它的一个出现啊，其实我们现在是很比较能够直观的去理解到勒视对于网络攻击来说，能够去给企业去造成的一些破坏，那这个破坏其实呃类型是非常多的，那包括了可能就是说通过入侵来去删除，会去偷取我们企业内部比较关键比较重要的一些数据，或者说通过加密的方式来去把我们企业的一些生产，一些生产数据啊应用等等全部都去进行加密，然后去造成一些的一些破坏。

所以其实我们可以这样来去看待这个勒索病毒啊，那加密勒索其实它本身是企业去建立安全对抗能力过程当中需要去解决的一个问题，同时呢，它本身其实我们也可以把它作为去检验，或者说能够去把能够去防御勒索病毒的这样一个能力，作为去检验企业安全能力的一个一个场景啊，那这个其实也是腾讯自己去做它自身的安全建设的很重要的一个一个一个逻辑啊。

这个我快过了，那接下来的话，其实我这边再给大家去就也总结了一下啊，现在整个加密勒鼠病毒它的一些基本的一些特点，那了解了加密袋鼠病毒这些基本的一些特征的话，这个其实是呃，对于我们能更好的去做相关的这个防御性的动作，这个是还是比较比较重要的。那这里是总结了几个点，首先首先呢，我们看第一个，其实那为什么说啊，加密勒索病毒会引起大家的关注，其实很很很关键的一个一个原因就是说确实啊，加密勒斯病毒在防范这一块，其实真的是啊，可以说是防不胜防，那它的为什么呢？那其中很重要的一个特点，其实就是因为它这个变异能力太强了，那从最早勒时病毒的爆发到现在。

可能在这一两年啊，持续爆发出来的这个版本，其实已经经过了非常多的一个版本的迭代，它基本上每一个主流的那个勒索病毒，它都会有几个大的版本，然后它有无数个小的版本的变异，那基于传统的基于这种特征检测的这种所谓的这个杀毒软件，其实在这种应对这种变异性特别强的时候，病毒检测的时候，其实还是会有很大的一个呃难点和挑战的，所以它这个确实是比较难以去识别。那另外一个就是一旦说感染了病毒以后，其实。我们可以发现啊，啊被被感染的那那个类似病毒的企业，其实它不会，往往不会说是只限于一两台主机或者说PC，其实它会很快的去在它的企业内部去进行一个横向，然后导致大批量的这个设备或者说这个系统都会去中招，那这里面很关键的一个点就是因为那病毒它本身其实呃，从它的整个病毒的构造上，其实是分成了两两块，第一块其实就是具备蠕虫属性的一个一个一个功能模块能够去啊利用啊那个企业内部的。

系统层面的一些漏洞啊，比方说永恒之南这种，然后快速的去进行一个横线的感染，然后去释放它的这个加密的这个模块，然后对我们啊电脑上的这些文件去进行一个加密。所以其实在整个这个，呃，在内网的横向阻断这一块，其实对于一般的企业来说，也会去充满了比较大的这个技术挑战。那再一个就是万一不小心真的去感染了加密勒索病毒以后，实际上啊，在整个数据恢复这个方面。呃，在技术难度上其实是非常非常的大的，那为什么呢？这个其实和和呃加密勒病毒现在在所使用的这种加密算法就一般都是非非对称的加密算法，那其实它在在密码的这个破解程度上，现在以目前的技术水平来看的话，几乎大部分情况下都是无解的，当然现在其实也有一些啊渠道或者说有一些机构是能够去做一些啊。破解或者说恢复性的工作。但这个其实。

呃呃，怎么说呢，其实也是走了一些呃呃捷径吧，或者说这个有一些技巧性的东西，但是它的这个呃，复制性可能就不是那么的强了，说白了这个东西它会具备一定的概率性的啊，所以它不是一个很好的一个一个解决的方式，所以一旦中招以后，它的这个数据是很难去进行恢复的，那最后一个，其实那中能勒索病毒以后，它这次产生的影响，其实对于很多企业来说其实是难以承受的，因为现在整个勒索的这个其实已经形成了一个产业化的一个特点，那这个产业化背后的驱动，其实大部分情况下都是一个经济利益的趋势，所以啊，加密勒索的这个勒索的金额也是越来越大啊，所以这个大部分的企业其实是很难去承受的，更关键的就是啊，因为重点加密的手其实会直接去导致企业的业务中断，生产停止。这个其。对企业造成的影响可能会更大。那面对这样一个比较难以处理的加密勒索的这个病毒这个场景，那对于腾讯来说，我们是怎么去做的？那首先这里其实我会跟大家去啊，呃，提一个前提，或者啊说一个基础的一个一个一个背景是什么？那对于企业来，对于腾讯来说，因为大家可能都知道腾讯是一个非常庞大的这么一个集团啊，内部其实的业务团队其实非常非常多的，那我们在整个安全建设，或者整个安全防御这块，其实我们会有自己的一个原则是什么呢？就是我们会坚持专业的团队去做专业的事情，那这里面主要想说的一个逻辑是什么，就是。

那事实上。虽然说腾讯的很有非常非常多的业务板块，业务模块我们都知道有微信啊，有游戏啊，有QQ等等，但这些所有这些业务层的，或者说业务板块，其实他们会共用腾讯的一个基础的一个平台，那这个平台的安全是有腾讯的呃，TEG的安全团队来去做一个整体的这个技术支撑的，那当然后端也会有我们腾讯的这个呃，联合实验室来去做一些技术上的一个支撑，那对于部署在平台之上的各个业务团队。他们同时也是需要对自己的这些啊，业务也好，安全数据也好，所以他们去做一个要对他们去做一个进一步的这个防护啊，因为可能每个业务线，他对于自己业务，业务层面对安全的要求其实是不大一样的，所以这个是比较灵活的，尤其各个业务团队和业务BG他们自己去做一个啊进一步的这个安全的一个建设。

那对于整个公共支撑的部分的话，其实啊，我们可以把它理解为啊，两个场景啊，一个其实就是办公网，一个就是生产网啊，那事实上在腾讯内部的话，整个办公网这一块的这个安全的防护，其实主要是由腾讯内部的企业it部门来去承担的，那对于生产网这一块的话啊，主要是由腾讯的安全平台部来去做负责的。那因为因为呃，为什么要去做这样两针网的这么一个区分呢？实际上这个其实也是现在大多数企业在整个这个不管说是整体的安全防护，还是说面对这种加密热水场景里面，可能都会去面临的一个问题，因为不同的这个网络，它对安全属性不一样，可能中招以后本身它产生的危害也不一样，可能这个会直接去影响到我们整个企业在安全建设这一块的一个逻辑。那首先其实呃，对于很多呃同人，或者说对于很多这种企业的这个安全管理团队来说，他会比较好奇，那像腾讯这种啊，互联网公司在安全这个非常注重安全的这个公司来说，究竟它会不会感染这个加密勒索病毒，那其实这里大家可以可以看到啊。

时间其实都是比较比较近的，都是去年的，我这个也拉了一些内部的实际一些案例，那也是做了一些信息的一个一个脱敏，我们可以看到其实呃，在腾讯内部也有比较多的。同学会去中招，然后也会去感染相应的这个啊加氏病毒啊病了，呃，但是呢，我们可以看到就是。几乎每一个案例这里面都是因为我们内部的同学去外面去在这种开放的互联网平台上面去下载了各种各样的这个软件。而且这些软件里面其实都因为，因为它并不是一个比较。比较安全的这样一个平台去下载的，现在这个软件包，可能这些软这些软件包都被二次编译过，然后去加里面去，已经那个那个植入了一些一些啊是病毒呃，样本在里面了，这样的话，可能我们同学去下载完以后，可能在本地去执行就立马去被感染了。

所以。这里面其实也有一个一个一个一个情况，就是我不知道大家发现没有，那基本上被感染的其实都是我们的办公网。啊，但是这里面最后我们会关注，或者说对于我们线上朋友可能会关注，那腾讯感染那时病毒以后，究竟会不会对腾讯来说会造成非常大的影响，但是你可以可以可以很明确的告诉大家，事实上哪怕说有这么多同学不小心感染，那是病毒，但事实上其实对于整个腾讯的呃。业务也好，或者说对于整个腾讯的这个整体的安全的这个态势来说，其实是不会造成特别大的影响的，那为什么会这样呢？其实。核心的逻辑我们可以来看一下，就是说那我们首先可以分析一下，从对于办公网而言，真正会去产生威胁，或者说啊能够去，呃，通过办公网对腾讯的这个安全区造成威胁的主要是几个途径啊，首先第一个是邮件啊，因为我们现在其实大多数情况下去做一些啊正商务上的一些通信啊，可能都是基于我们的这个，呃，邮件来去进行一个啊通信的那里面可能会携带一些附件啊，在附件里面可能会去隐藏了相应的这个A代码啊，然还有包括刚才前面大家看到的很多同学。

我下载了去不规范的，不规范的一些一些下载行为，去下载了一些已经植入了恶意代码的这个软件，当当然还有一些可能因为管理上的一些那个不规范，然后在整个办公管里面，所以去擦些U盘，可能U盘也提前被感染过，但还有一些可能就是因为本身自己的这个啊，终端侧的这个安全策略做的不够好，或者说很多补丁没有去打，然后口令他说等等，直接被攻击者直接通过这种暴力的攻击的方式，然后去破解，然后拿到权限，然后直接去做一些文件的上传，然后去。实现它相应的这个这个攻击的这个目标，那对于腾讯来说，它整个办公网的这个安全的防护啊，其实重点核心就是在它的这个终端侧，那我们怎么去做呢？那其实主要核心依靠其实就是靠腾讯这一所谓的这个LA的整整体解解决方案，那其实对腾讯比较啊，或者说跟腾讯这一块接触比较多的朋友，或应该也都听说过腾讯的这个I这一套这个整体性的这个解决方案，那最近IA给腾讯来对在腾讯内部我们用它去做什么情。

那首先第一个其实整个IA啊，腾讯内部所使用所有员工所使用的这个I的这个这个终端或者这个产品，其实他会去把我们在整个办公场景里。所面临的这个安全风险，去做了事前事中事后所有的一个能力的一个覆盖，所以这样做的一个好处就是说，我们能够最快的去发现问题，然后快速的去处置，然后甚至最后能够去把我们产生的这个影响的损失啊规避到最小。那具体的动作其实我们可以看一下，那腾讯对于所有的员工的这些终端啊，如果说要去接入腾讯的这个办公网的话，他必须要去做一个统一的安全标准化的这么一个动作，那我们需要去，呃。

通过IV强制性的去把我们的比方说一些高位的端口啊，我去把它关掉，要打的补丁要去去进行一个，呃，快速的这个补丁更新啊等等，那一定是去符合了公司的这个安全线以后，才能够去允许我们这个PC去接入到网络，那为什么要去强调这个事情的动作，事实上就是我们可以发现就是很多终端。被拿下来，其实也就是因为它本身在在安全配置这一块做的不够好是吧，口令太弱等等，然后被然后才给了攻击者可乘之机，所以其实呃，越大的企业来说，它一定是要去尽可能的去把这种环境带来的差异性的这种影响规避到最小，那最好的方式其实就是去建立一套统一的一个安全标准啊，那另外一个就是说，那在我们的所有的办公PC，我们在工作过程当中，在运行过程当中，我们这一套的这个呃，解决那个产品，其实它能够去实时的去感知到我们电脑上所运行的所有的程序啊，这个包括一些相应的这个进程，然后基于这种。行为的异常检测，能够快速的去感知到我们现在这个电脑，它是不是是不是有一些二性进程在已经提起来了，在跑了啊，可能会造成一些危害啊，那如果说一旦发现了相应的问题以后呢，他能够快速的去通过后端去把一些一些呃修复的动作和策略，强制性的进行进行一个推送，包括说一些高的端口，那包括其实很多时候。

包括前面也提到了通过SMB啊，阿里P啊等等，那可能一般的PC它不需要开始服务的那个可以，那一旦发现了，他可以快速的去通过策略推送的方式，然后帮我们把这些相应的这个风险把它去进行一个修复那。可能还会有一些情况，就是前面刚才也给大家看到那些case啊，就是有一些同学呃，因为动作太快了，可能呃下载完了马上就去去那个去进行一个一个执行啊，因为本身在整个呃病毒识别过程中，其实它也是需要一个一个比较短的一个时间周期，那可能不小心去感染以后，那真正的本地去做了一些加密的以后，那实际上我们现在整个IO这一块其实也考虑了这个问题，因为不可能呃所有安全策略，它不可能是一个一个绝对安全的，所以考虑到一个事后的问题，万一去感染了，那说不定江明的水以后我们怎么办。

那I其实现在提供了一个IO的一个文档，专门针对于反的这么一个一个功能模块，我们可以事先去用，通过这样一个工具去把我们的一个关键的一些。一些啊文件啊，或者是一些数据啊，去进行一个备份，那万一真的是中招以后，那可以通过这样一个功能，快速的去进行一个数据恢复，这样也可能去保障我们整个办公的一个延续性。那事实上整体啊，现现在给大家去提到了这几个终端策的一些安全的一些策略和一些方法，那其实这个本身就是腾整个腾讯现在所推，或者说所整个集团都在使用的整个您信的一个一个整体性的一个解决方案，但这里面所涉及到一些能力啊，其实只是覆盖到了整个腾讯它的整个信任体系的终端和网络层的这个啊部分啊，因为腾讯整个I0IV的，或者是整个零信任的整个整体性解决方案，其实是一个非常庞大的一个架构，这个感兴趣的后面啊也有同学会去做一个深入的一个介绍，这里我就不再去赘述了。

那这个其实是办公网的一个情况，那那对于生产网这一块，其实啊，这个其实也是腾讯会做的啊，或者说比较引以为傲的一个地方啊，对于腾讯生产网来说，其实到目前为止还没有说出现过被成功感染过的一个情况，那腾讯在生产网究竟是怎么去做的，能够去保障它这个这么强的这么一个安全的一个水位，或者是一个水平。那这我这边也是把整个腾讯在生成网这块的一个安全能力的构建啊，也去做了一个总结。那整体上来说的话，其实那我们就像前面最开始提到的一样，其实我们腾讯在不管说是办公网还是生产网也好，但是尤其是生产网，那我们会去去啊，去强调所有安全能力的一个闭环的这么一个能力，那确保我所有的安全的能力是一定是能够落到实处，能够去发挥它真正的一个安全的这个作用和价值的，那。把这些安全能力去做一个拆解的话，主要就是几个方面。首先第一个就是。我们所有的安全啊，一定是要去注重一个事前的一个一个一个一个能力的建设，这里其实说我们这里比较直观的，其实就把它总结是要控制风险的源头，那包括前面所提到了，我们我们在办公网都需要去针对于本地的这个终端侧的一些安全的配置去做加固，是吧，然后要去实时的去修复它的一些漏洞，那这一点的话，其实在生产网来说是，呃是是更加的严格的啊，那像啊，包括像去年啊，去年下那个年底的时候，包括今年上半年的时候，其实也爆发出了这种批量的，或者说这个影响非常大的，比如像嗯，Spring cloud，包括说像那个4J这种是，那这种问题出来以后，那对于整个生产网来说，必须是在。

啊，非常短的时间内完成相应的漏洞的修复，然后避免去被攻击者去进行利用啊，然后去呃，植入相应的这个木马程序，所以一定是要提前的去控制好相应的这个风险源头，这样其实会给我们整个安全的这个防御带来非常大的一个便利，那另外一个就是。那呃，我们不可，对于腾讯来说，因为它的业务体量大，而且繁杂，而且不可避免的是要去跟一些黑产，或者说和一些攻击势力去进行一个对抗，那因为因为量大，然后攻击攻击也比较多，我怎么样去提升它的一个防护性的一个效率，所以其实我们现在基本上能够去实现啊，整个攻防对抗的一个自动化，那这个主要是依赖腾讯自己内部平使用的一个核心的平台，包括我们的天目pass。

啊，包括我们这个门神，还有我们的里约网关等等，那基于这样一个从边界到应用侧，然后去形成了一个比较比较强的，然后环环相扣的这么一个一个纵身防御的一个能力。而且另外一个就是说，那么我们会去应对一些高级的这种，比方说PT的一些攻击手段，那我们其实说腾讯是啊，通过自研的一些一些那个硬件，然后再加上一些啊算法的这个和模型的一些打磨，然后。通过采用全流量的一个实时的分析检测，然后去快速的去发现一些位置的一些威胁和一些包括像零的攻击啊等等啊，那这个其实在对抗，那还有一个就是说，那万一说可能被突破了，真正的去啊攻击者到了内网的时候，可能还要去释放相应的类似病毒了，那所以我们还会要去做本地环境的一个监测，那同样的这个地方的话，就是我们也会去啊，依靠腾讯自己的这个主机安全软件啊洋葱，然后实时的去做一些进程性进程级的一个监测，那对于一些落地到本地的一些样本。

那洋葱本地洋葱本身是节省了腾讯自己的一些那个呃，杀毒引擎的，然后同时腾讯自己自研的这个哈勃的这个那个平台能够去做样本的动态的一个分析。这样的话能够比较全面的去把一些啊。变异的也好，或者说一些新的这些乐视加密视品种快速去进行一个识别，那最后一块的话，其实啊，比如说和和办公网其实是一样的，那如果说一不小心真的连生产网的感也被感染以后，那怎么办？那这样的话，其实啊能够要做的就是能够快速的去阻断我的这个啊风险的传播，然后去把相应的这个资产进行隔离下线啊，但这些其实都已经基本上实现了自动化啊，最后一块的话就是说，那我把数据相应的下线以后啊，那对腾讯来说，因为它本身从业务架构上面，它有非常多的这种啊负载的这个能力，所以其实它不会说去对业务的连续性去造成一定的影响。

那同时的话，因为提前我们其实在管理这一块，其实是做了大量的工作，那比方说在数据备份这一块，其实。我们大家可以看到，其实我这个也做了一个呃标记，那腾讯在腾讯整个数据管理这一块是有明确的这个备份的这个机制的，要做线上线下的备份，而且还要去做这种呃。备份的一个一个恢复演习，这样的话，因为呃，很多时候其实呃，大大多数的企业其实在整个安全管理这块，其实都有非常多的这个规范和和动作和要求，但是真正有没有去执行，或者说执行的效果怎么样，其实可能是大家忽略的一个方向，但腾讯在这一块其实是有非常严格的要求的，必须必须要强制性的去做一些恢复性的一些演练，来确保我的数据备份是没有问题的，同时我的数据恢复的过程也是那个是啊，没有什么障碍的，嗯，所以这个其实是整个腾讯在生产网这一块的一个一个防御的一个一个啊情况。

那最后的话，其实在在给跟大家传递一个理念，就是说其实不仅仅说是啊勒索病毒，还是说其他的一些安全的一些风险和隐患，其实它更多依靠的是一个啊企业全员的一个一个防御，而不仅而不是说只能靠安全部门或者说靠业务部门就能去解决的问题。那重点需要或者说我推荐呃，咱们的这个，呃呃，企业伙伴们需要去重点关注和重点去做的两个事儿，第一个其实还是安全意识的问题，其实呃现在大多数的包括加密勒索病毒的这个感染，其实大多情况下也都是因为安全意识薄弱的问题啊。而且安全意识的话，其实是对于整个企业的真正的安全繁琐的这个突围，其实能够起到非常大的一个，或者甚至说是决定的一个作用，那怎么样去做好安全意识的一个提升，所以其实很多企业可能也会去邀请或者是内部去做一些安全培训，但这样的话，可能嗯，培训能不能达到效果，这个可能是要去做一个进一步那个呃商榷的，或者说呃，要去做进一步完善的一个点，那这样的话，我企提供两个点，就是说来去去通过这两个方面的工作，然后去确保我们这个培训能够去其他的。

起到它的一个效果，第一个就是说，那我们设计的这些培训课程，一定是要去看课程的完整度，是不是真正的有要去传递的这个安全的理念，给我们所有的员工去进行一个同步。另外一个那。来参与了安全培训的同学，那不去你不能确定他是不是真正get到所有要去传递的这些安全的这个要求，所以还得要去对他们整个安全知识的吸收的情况去进行一个检验，当然这个方式就比较多了，那企业可以根据自己的情况来去灵活定制，那最后一个就是说前面也反复提到了的。那安全的水平和安全的能力一定是要去通过实战化的方式来去进行一个检验的，那其实现在很多企业是在整个安全建设过程当中可以去依靠，比方说像等保等等这种方式，包括像呃27001等等，但这些东西它毕竟是一个静态的，那。

安全它很重要的一个特点，其实它就是一个动态和变化的一个过程，那你现有的安全策略是不是以以前做的安全策略，是不是能够应对现在的当前的这个风险，这个其实大家是不知道的，所以一定是要去通过这种实战化的方式来去进行一个检验啊，所以当然实战化它能够去检验的东西就比较多了，你比方说能去对员工安全意识是吧，那我直接通过一些钓鱼啊，游先钓鱼，或者说U撒U盘的方式来去对员工的这个安全意识去进行一个检验，还有包括在整个对抗过程当中，能够去对应我们整个应急的这个效率，尤其是。针对于这种啊加这种场景里面，我们能够去验证它的这个数据恢复的这个效率，以及整以及整个企业这个整体的这个安全对抗的这个能力啊，所以实战化其实是现在比较有效的一个一个安全建设和检验的一个方式了。

啊，那我这边这个分享大概这么多啊，谢谢大家啊。好的，感谢姚老师的精彩分享。呃，在当下的后疫情时代，移动办公又面临着哪些安全风险？如何通过零信任构建下一代安全防护体系，有效防护勒索攻击？接下来我们将请出腾讯零信任产品负责人田园老师为大家讲解勒索病毒场景下的零信任技术应用，有请田老师。嗯，各位好，呃呃，今天也很高兴啊，能有这样的一个机会，能跟大家一起探讨一下这个在这个勒索病毒场景下啊，我们如何通过零信任啊，帮助我们去做更好的一些防护啊，那么呃，今天的话呢，我们主要跟大家去聊四个部分吧，那么那么第一块呢，去简单讲一下我们在消费电电子行业，我们看到的行业面临的一些的攻击风险吧，呃，其实呃，我们会看到，其实从啊这个最早的时候，可能1788年的时候，这个呃勒索病毒开始呃有出现，然后到了后面我们可能都认为是不是说勒索病毒会逐渐的示威或者逐渐的消失啊，但是我们会发现其实没有啊，你尤其是像消费电子这个行业啊，也成为了黑客组织更加关注的一个重点行业，攻击的手段其实也相当多样，那我们能看到就是无论是去年还是今年，依旧还是有很多的这种啊，遭受勒索病毒攻击啊，数据泄露或者说啊物联网攻击的这样的一些案例啊，那么这个其实我会发现这个攻击的规模不但是没有减少，反而是逐渐增多的。

啊，那么其实我们会看到为什么会有这样的一些状况发生啊，那其实我们觉得最重要的原因肯定是这个传统的这种边界被打破啊，所带来的一些新的这种安全风险，那无论是因为疫情还是各种各样的原因啊，导致的这种居家办公啊，远程办公，或者说是这个业务系统的这个是这个多云的接入，那都会发现啊，这个我们会发现需要一个新的无边界的或者说云上的资源的这个访问的一个方案。

啊，那么同时来讲，传统的这种呃，网络的接入方式，比如说像VPN这样的，那其实是没有办法去做到的，内外界的一个统一保护的，那么其实我们还是会暴露VPN的端口，那么VPN呢，也成为了黑客最爱去攻击的一个一个一个产品啊，无论是说攻击的收益还是攻击难度啊，所以说其实也暴露非常多的关于VPN的这种零队啊，所以说我们会发现VPN作为一个。90年代诞生的技术啊，其实可能很难去适应我们现在这个最新的这种安全的一些要求了啊，那么所以说其实无论是从这个企业角度，还是说员工角度啊，那么其实都会发现一些新的一些变化啊，比如说这个安全边界变得模糊啊，包括员工数量啊，职责的不一样，导致他们权限的不同啊，以及这个我们接入终端的，比如说现在手机啊，对吧，所有的各种物联网终端，这种接入终端的种类，都会造成我们讲安全风险的一些上升啊，所以说无论是像终端合规啊，或者说系统被入侵啊，包括数据泄密，或者说是一些员工的违规操作，其实都会带来我们讲新的这种安全风险。

那么因此呢，其实我们就需要有这个零线的理念啊，去做一些升级，所以说我们也是我们腾讯的目前最新的零线的理念，就是叫从持续验证到持续保护啊，那么其实在他聊我们这个理念之前啊，其实我们就会先先做一个思考，就是我们保护办公安全的本质是什么啊，为什么黑客要攻击我们又在保护什么？其实我们会发现啊，其实我们保护的首要目标肯定是业务和业务系统里面的数据，那为什么业务和数据会产生风险呢？它的来源在于这个。业务访问以及我们获取数据当中的这些流程，那这些流程呢啊，无论是身份认证啊，建立连接到最终获取权限等等，其实都是相应的，会可能会有一些权，这个呃，漏洞存在，那所以说其实零信呢，我们希望的本质是什么？就是保护用户访问业务啊，以及数据使用的一个全程的一个安全啊，这个是我们最主要的一个诉求，那么从零线的理念来看啊，其实啊，无论是这个从用户啊到终端啊，再到网络，最后到我们的服务器上的数据资产，每一个风险啊，就每一个步骤其实都会存在相应的风险啊，比如说这个啊，身份的身份的盗用对吧，或者设备的这个不安全啊，包括设备内部可能存在一些恶意代码啊，包括刚刚其实我们也提到的啊，我们的内部员工也会因为各种原因去下载一些含有恶意代码的这种软件包，或者说程序啊，包括在网络侧可能会有一些中间人劫持啊，越权访问等等这样的一些风险，所以说我们从林先生的思路上来讲，我们要去假设所有的风险点到都是不安全的，我们永远不会去默认对某一个人或者某台机。

器啊，去做信任啊，那么第二个呢，风险也是持续变化的啊，那一旦我们的这个访问环境发生了变化呀，啊与使用的人物发生了变化，或者业务系统发生变化啊，那我们的访问授权也应该相应的做出调整啊，那所以说总的目标呢，就是降低我们在各种情况之下的，呃，整体的这个安全风险啊，这是林的一个理念。

那么其实从我们腾讯呃，其实从这个明星这个理念，其实也发展的非常久了，从最早啊，其实九呃90年代就有相应的这些讨论啊，那大家再到这个大家所熟知的这个谷歌的这个。这个这个beyond Co的这样的一个项目啊，最终把这个联系人这个理念成功落地啊，这个也让这个行业大家开始认识到联系人不再停留在理念上，而是可以去落地，可以去实施的啊，那么从我们腾讯内部来讲啊，其实我们从2016年我们就在内部开始着手去啊实践和落地零信任了啊，一直到可能也花了两到三年的时间，到了一九年我们内部基本上完全使用零信任进行啊访问啊，那从这个时候呢，我们其实也就把这个视角转向外部啊，我们可能会做做一些国际上的啊合作，或者说国际上标准的一些推动啊，能够希望是把腾讯我们自己针针对于领先人的一些理解和实践啊，能够去赋能到行业当中啊，这个也是我们一直在做的事情。那么。从我们刚才提到了，就是我们零信任的目的是什么，其实保护数据，或者说保护我们这个业务里面的这些啊数据，那所以说我们其实针对于此啊，我们这个零信任，从腾讯零信任来讲，我们最近也是啊，我我们去推出了我们讲零信任2.2.0的一个理念啊，叫从持续验证到持续保护，那其实我们在最初的信任里，我们去看可以看到其实我们是针对于可信，对吧，因为零信任，零信任嘛，那我们其肯定是第一反应就是我们要去做可信，所以当时我们其实提出来的是四个可信啊，就是可信身份，可信终端，可信链路和可信应用啊，但是如果说这四个可信是否是必然能够达成，我们讲呃，这个数据的安全呢，其实是未必的，对吧，那所以说我们1.0时代，我们讲就叫持续验证啊，那到了2.0时代呢，其实我们就叫做持续保护了，那么持续保护其实我们更更偏向于的是一个结果，我们要对这个整个访问的结果负责，对吧，所以说我们最终去做到的，我们2.0的这个整个架构叫接访管控，对，就是从事前的接入啊，然后。

这个终端的防护，到事后的这个管理和控制啊，都能够实现这个完整的一个闭环，最终呢，去实现对我们业务系统数据的一个保护啊。

那么具体来讲就是接访管控包含的一些方面呢，其实我们在这个实际技术实践当中也会有稍微详细的一些介绍啊，那么首先就是接入啊，那么第一块呢，肯定是我们讲接入效率的一个提升了，那么其实我们在这个2.0当中啊，从接入上我们也去啊做了一些这个更便捷的这个接入能力啊，包括这个多平台的这个支持啊，也包括这个公司公有云私有云的这个呃，一致的体验和一致的交付啊，第三个就是说这个通过一些连接器啊，去实现这个多云混合环境的接入，那这样呢，帮助我们的用户更好的更快的能够迁入到零线任的环境当中，也更快的能够去落地我们整个体系啊，就是接这一块，那么第二块呢，其实也是一个林先生，我们讲这个耳熟能详或者非常主流的技术能力，叫SDP的这个单包授权，呃，和SDP的这个架构啊，那么。首先它一定是基于这个安全架构，就是数据和控制分离的啊，这个相对于VPN的这种这个控制，控制和网关在一起的这个情况，其实我们的安全性会有更好的一个提升啊。第二个呢，就是说我们这个SPA单包授权的能力啊，我们腾讯呢，是无论是这个udp的还是TCP的，甚至是二者合一的这种啊敲门我们都是能够去支持的啊，这样呢，能够在用户不同的这种网络环境之下，都能够达到一个比较好的呃，隐身的一个效果啊。那么第三块呢，就是说这个基于环境评估的这个动态访问控制，那么也刚刚提到了，就是如果说我们的环境发生了一些变化啊，或者说呢，我们去访问一些高密集的高敏的业务的时候，我们能够啊，动态的及时去调整我们的安全啊，这个安全体系和安全架构啊，比如说我们的办公网，相对来说，其实我们会发现腾讯的办公网我们还是兼顾了一部分的效率啊，没有说是做到非常完整的安全保护，所以说我们也可以看到会有一些这个办公网感染这个勒索病毒的一些案例，对吧，但是这个生产网呢，其实啊，从腾讯来讲，我们是相对来说会有更高的标准的。

那么这个时候其实我们在生产网的安全性也是得到了一个比较好的一个提升的啊，这个是讲安全架构这一块啊，那接下来就是权限治理，那这个其实也是我们讲零信任，呃，我们腾讯零信任2.01个非常重要的一个能力啊，那么。

为什么我们说权限治理重要呢？因为它其实是帮助我们去落地零信任非常重要的一个工具啊，因为呃，其实现在这个行业当中，其实我们大家都讲啊，零信任是好东西，我们要去做零星人啊，但是很多其实呃企业或者说呃单位为什么还是有些犹豫，或者说没有说很快的能够步入的，是因为我们其实零星人他是一个接入层面的事情，他可能要去替代的不光是VPN啊，甚至是以前我们可能是基于这个防火墙去做acr，现在可能我们需要把所有的这种访问的权限都收归于零信任了啊，但是呢，这个。权限具体能不能做到最好的收敛呢？如果说我不能明确啊，A用户B用户的权限分别是什么啊，或者说这个部门的权限到底是什么，那么其实我前面做的工作都是无用功，对吧，我上了一套零信任啊，开干很厉害，花了很多钱，最后我给所有人开全部权限啊，或者说回到上业对吧，我们没有办法去区分高敏业务，中敏业务和低敏业务的话，那我们这个零星人其实是不是上的就相对来说没有那么有意义呢？是不是这个落地实施就打折扣呢？所以说我们其实啊，专门也是花了很大的精力啊，在这个，包括我们也跟很多的这种我们的这种核心的客户去一起做共创啊，就是帮助我们的用户能够通过一些算法，通过这个我们终端能够去把我们所有用户访问的这种记录和权限啊，都能够有一些收集啊，并通过我们的算法进行一些智能的授权推荐，那这样的话呢，也够能够帮助我们的用户更快速的过渡到零线的体系当中啊，避免两个事情，第一个就是我权限放的太宽了，这个上了好像跟没上没有太大的区别。第二个呢，就是我权。

说的太窄了，很明显的去影响到了。我们这个用户的体验啊，我们就希望去平衡这个事情，让能够让我们的用户真真正正的把灵系人能够去使用起来啊，所以说这个也是我们在2.0当中重点去投入的一个功能叫权限治理啊，那么这一些呢，基本上就是我们接入侧的一些能力啊，那么第二块呢，就是防护了，那么防护呢，其实也主要是几个方面嘛，第一个方面就是就是乐阻动攻击对抗啊，那么无论是这个文档的这个备份啊，还是文加密的文档及解密啊，以及文档找回等等啊，然当然了也包含我们基于这个腾讯字研这个自研的这个杀毒体系，其实都包含在当中啊，那我们在中如果说遇到一些攻击，或者遇到一些病毒，多死病毒，我们也能够的去做及时的阻断和啊。

那么包括其实针对一些这个高级入侵，甚至我们可能是一些这个攻防演练当中的这种入侵啊，其实我们也玩玩专门的针对性的啊，去做了相应的这个优化啊，我们围绕着这个呃，攻防的一些主要的一些这个路径或者说能力点啊，我们去相应的布了相应的这个探针啊，软探针或者说探测点啊，我们能够相应的去识别到相应的攻击行为啊，无论是这个信息收集啊，啊，突防阶段的这种漏洞，钓鱼等等，包括横移啊，标准的一些横向移动等等，我们去都做了相应的检测点，如果说发现了相应的这种。

啊，情况我们能够去做及时的告警和及时的阻断。那么第三块呢，就是基于这个用户的一些行为分析了，就是讲我们讲的U啊，那么。我们其实也是会建立相应的学习极限啊，那同时呢，根据这个用户这个惯常使用的，比如说登录状态啊，登录地点呢，登录设备，登录IP等等啊，去做相应的学习，那么一旦我们会发现这个相应的这个场景发生变化，那我们会去判断它可能是啊，比如说是一些中风险的登录事件，或者说高风险的登录事件，那最终呢，相应的输出相应的处置建议啊，最终我们可以去配置，比如说啊中低的风险呢，我们去通过增强认证啊，或者说是人工的，我们通过通知it部门做人工确认，对吧，那么高风险那我可能说直接先金融账号啊，再做后续调查等等，那通过这样的方式也能够在这个把这个我们讲这个权限，或者说访问体系啊，能够持续的运营起来。那么第三块就是管，那么管的话呢，就主要其实涉及到的就是数据安全管理，那么这一块呢，其实我们有一些也有一些这个相应的数据安全管理的能力，比如说水印对吧，就是事前去做一些威慑啊，或者说我们也支持暗水印啊，那么就会可以去做事后的一些追踪啊，那么包括其实我们也去支持这个工作沙箱啊，如果说我们对数据的这个安全性，或者不落地，或者不加密有一些相应的要求啊，那我们可以说。

通过这个沙箱的方式啊，比如说我的代码呀，工作工作的内文档都在这个沙箱当中啊，可能沙箱外面是我们个人的这个区域，那么包括其实我们也去支持这个啊，透明的加解密，比如说这个呃，包括U盘加密啊，U盘管控等等这样的一些能力啊，去实现这个各种防泄密的这些诉求啊。那最后就是控制，那么控的话，其实啊，其实我们也是，呃，刚刚有所提到，就是我们经过这个呃，零信任的这个终端，其实可以收集到各种各样的信息，无论是安全层面的，而包括访问层面，那么其实我们也呃基于这些信息啊，去构建了我们相应的这个大数据的一个智能分析体系啊，那么。

无论是这个行为链啊，还是说这个主客体，我们都相应的有相应的这个分析的引擎啊，那通过相应的这个网络流量啊，可以去跟我们的天眼去对接，那么终端日志呢啊，也可以去获取这个，比如说防护的日志，网络访问的这个日志啊，都相应的去能够去做对接啊，做统一的这种归纳啊，啊最终呢，其实输出我们相应的一些结论，那么一旦我们发现这种啊威胁的蛛丝马迹呢，我们目前在腾讯内部啊，其实我们也是会去通知我们的这个企业it部门啊，相应的会去做，比如说根据紧急程度啊，会发邮件告警告啊，或者说是人工电话核实，或者说拉群核实等等的方式啊，最终呢，去能够把我们相应的这些威胁啊，都能够消灭在苗头当中，那么简单来讲，基本上就是街管控啊，我们从四呃四个方面啊，就是实现这个。便捷的可信接入啊，并且能够对这个常见的这种威胁和高级的这种攻击，能够有防御能力啊，第三块呢，把这些啊，安全的这些这个。

结论呢，我们能够统一的呈现，方便我们的用户进行安全管理啊，最后呢是控制啊，那就是街坊管控四个方面，那同时呢，我们也全面去覆盖啊，我们的常用的这些平台，包括我们的现状平台，那么能够在我们这个呃完整的平台上去实现我们整体的这个零星人的这个2.0的一个能力，这个也是我们腾讯目前啊，就是我们着力在做的一个事情。那么最后呢，其实呃，前面就是我们这个简要介绍了一下我们现在零星2.0的一些能力，那么最后呢，去简要介绍一下我们的案例啊，就首先啊，其实刚刚我们也提到了，其实从2019年开始啊，我们也能在广泛的在这个行业当中去牵头去成立这个零信任的这个产业标准的一些工作组，那么现在到目前为止，其实我们已经集合了这近60家的一个合作伙伴啊，包括这个我们讲这个呃CN啊，或者公安部三所这样的这个啊，这个行业制定行业标准，或者去做能力测评的这样的一些呃厂这个单位，那同时呢，我们也在这个包括身份认证啊，啊威胁防御啊，或者it管理等等，我们也会和很多厂商去合作。

啊，那通过大家一起齐心协力去把这个零线的这种生态或者体系去做一个完整的一个建立。那同时其实那我们腾讯现在从可能2019年对外开始对外输出这个呃呃能力对外输出也后到一直到现在，其实我们也是是首家突破100万终端部署的厂商啊，那像像我们其实右边像这种呃，像贝壳啊，顺丰速运，华润等等，其实各行各业啊，其实都有我们这种很大很大规模部署的，或者很成熟的一些案例，都是一些标杆客户，也能够证明了我们其实在这个客户实际体验上的一些优势吧。那包括其实我们腾讯自己呢，也是我们零星人的最佳的一个案例。刚刚其实那个徐老师也提到了，其实我们内部，我们把腾讯IV作为我们这个安全防护的这个第一道，或者说是一个核心的一个关卡啊，那我们其实呃，无论是从这个安全性上，还是从性能上，其实也都在我们腾讯内部啊，得到了很很好的一个验证啊，做二零年就是疫情初期的时候，一下子大家可能都居家办公，那个时候其实腾讯大概是6万多的员工，是10万多的设备啊，那现在可能会更多一些啊，但当时的话啊，一下子上线这么大量的一个访问，其实相对来说还是有些仓促的啊。

那么但是其实我们发现IOA其实也很好的去能够去挺过了相应的这个业务高峰啊，啊，那同时呢，我们也依托这个IA，我们去建立了一个完整的一个处置闭环啊，就是说如果说我们讲啊，看到就最下面这一张图啊，就如果说我们发现这个用户使用一些不允许的这种访问软件去访问我们敏感业务系统啊，我们会直接去弹窗提醒并且禁止他访问，那么第二个呢，就是如果说我们发现它终端上会有一些病毒啊，或者说下载的一些违规软件啊，更或者说更严重的一些违规操作啊，那我们会去发送邮件啊，去是去明确你是否本人操作啊，更严重的我们会拉群或者直接通过电话的方式跟本人进行一个确认，那通过这样的一个流程啊，我们能够很好的啊，把这个业务访问和终端的这种合规啊，安全啊，能够有机的结合在一起啊，能不能达成一个比较好的一个访问体验。

啊，那目前为止，其实我们腾讯已经超过12万的员工了，其实我们也所有人啊，每天上班都会使用LV，无论是内网还是外网啊，都全员使用LV进行一个办公，那么这个也成为我们其实腾讯也会成为我们LV其实最大的一个案例。那么基本上今天就简要就这个场景啊，跟大家就是分享到这里吧，然后如果后续还有一些疑问的话，其实也都可以联系我们的这个商务同学，或者说架构师同学啊，去做更详细的一个了解，好，谢谢大家。好的，感谢田园老师带给我们的精彩分享。近年来企业数字化面临哪些安全趋势？和风业务如何构建智能化安全运营中心？围绕安全运营中心又有哪些最佳实践？为了解答以上问题，接下来我们将时间交给腾讯sock产品负责人许成老师，为大家讲解如何构建智能化安全运营中心，有请徐老师。

呃，各位下午好。呃。我是腾讯产品负责人许成啊，然后非常高兴下午有机会能跟各位分享一下这个，呃，我今天的分享主题是如何去构建企业的一个智能化安全运营中心啊。那整个分享内容也是分为四个部分啊，第一个是整个安全管理中心，它所遇到的一个风险挑战以及定位，二介绍腾讯全体系构是如何去搭。以及腾讯的一个N合方案们，这些全如索种怎么去使用，那最后一部分就是我们那个客户案例。呃，首先的话，这个啊，我们今天讲的这个是消费电子，高端的这个智能制造，那其实传统的这些啊，制造业，包括我们的消费电子行业，其实啊一直都在。

紧随这个啊时代发展的一个步伐，就是在做全面的一个数字化改造，那其实在这个过程中，其实会引入一些这个新的技术，比如说像啊等移终端逐年攀升的这个系统也是越来越复杂。那在这个安全整体的一个形式，越来越重视安全的一个这么一个情下，包括每年的这个保活动啊，包括一个护网的这情况，其实每安全防啊，企业在这安全上，这个业的成长，也是越来越重视这块安全的一个投入。那在这个其实在整个业务转型的这个过程中啊，随着我们业务的这个扩大啊，不断的去做一些数字化的转型，那在安全这块领域，其实带来的是越来越多啊去用，其实包括国内的这个一些都发生了一些一些安全事件啊，特别是像在美国啊，这些一些关键基础设施啊，遭到这种啊黑客的一些这种攻击跟破坏，其实也是造成了非常大的一个经济上的一个影响啊。

为什么说啊，现在的这些问题这么多啊，其实本质上跟我们整个业务不断的这个数字化信息化的发展，以及在整个安全暴露面，这个资产越来越多来说是非常相关的啊。嗯，那其实呢，从自从这个。2.0发布之后哈，其实国家在这个整个安全法规这块呢，其实是不断的去做一些这个。

规划跟健全，包括像这个啊，数据安全法，个人隐私保护法等等啊，其实很多的，呃，我们消费电子更多的大部分是这个民营的企业，其实也受制于这些法律法规的一些管控。那其实最近几年啊，其实呃，在我接触过的这些客户当中，企业的客户当中，其实在安全上的这块投入也是蛮大的，而且陆陆续续建全体系的设备，检测设备也都上了啊。那其实呢？安全设备越来越多，比呃除了说能够给客户带来的这个安全感之外呢，其实呢，也是会给客户带来一些其他新的一些痛点啊，比如说怎么去用好这些设备，怎么把这些设备去做个联动的一些管理啊。这里面主要哈，就是集中在三个方面的一个问题，一个是缺乏一个主动的一个法律安全体系啊，过去呢，其实更多的这个安全建设还是头脚疼脚就什么全企业是这么去做，因为一开始呢，他们安全这块的业务觉得可能是个投入的一个。

部门所以说不会去做一个非常好的一个，呃。一个一个，呃，全面的一个规划，基本上是发现什么问题解决什么问题，所以说呢，在这种比较被动的这种安全建设方式下面，它其实带来的这个防护效果必然也是比较被动的啊，它就是没法做到去提前的去检测和预测，检测到一些啊，隐蔽性比较强，实对抗比较强的这种网络攻击啊，其实像这种勒索病毒就是非常典型的一种。探测，然后呢，再去做一个集中性的一个一个爆发。

另外一个呢，就是其实现在大部分的这种啊，高端能缺乏建的一个体系元的一个关联分析能力啊，就是建设的安全设备相对来说比较隔裂，比较分散，就是一个安全的一个。有机去起低实就是要缩短整个。我们安全风险的一个发现跟检测周期啊，尽最大的这个限度去降低我们的危害损失。那第二个痛点呢，就是刚才前面也有提到，就是每个安全的一个系统都是相互孤立的，就是一个数据安全的一个啊，没法去进行一个统一。安全设全设生全告警事件件，我这种统企业个安全这块可能就只安全责人至可能些是兼职的啊些么量志面发现告全分析啊。

企业在个字化型面到一安全问题，另外一个常的这全系统独安排人运维成。还有就是对于企业内部存在的险，比如说我的资产啊，账是什么样的，我的这些资产上面的一些存在什么样的漏洞啊，然后呢，这些上面还有其他的存在一些什么样的这个不可预知的险，这些都是无法去进行啊，就是没有办法去准去定位啊，我企业里面到底核心的安全。

这个是企业在数字化转型中遇到的这个安全痛点的第二个点。那第三点呢，就是安全人员数量少啊，这个是。是本身自身业务的一个发展。在全的投上。呃，会有去投入，但是呢，其实这个投入到底产生多大的价值，这个。没办法去很好的去量，基本就养一时。全员这个个个门槛。市上呢，就是技术比较好，这个安全人员也是比较，那其实在这块就是在人员比较限的情况下，怎么去把企业整个安全有的安全设备去管理好，那这个其实对于啊，我们传统制造企业的这些，呃，这些信息管理部门就来说是一个非常大的一个一个挑战，需要去考虑的一个问题，那其实腾讯在整个网络安全检测响应以及安全运营的一块思，其实。

啊也很简单，清晰明了，就是分三步，那第一步呢，其实就是要去构建一个全面的安全检测与分析能力啊，那这块其实大部分的企业现在应该都已经做的比较完善了啊，可能呃前面经过这些安全事件啊，包括一些安全，安全的一些洗哈，就是啊，比如说像防火墙等这些全设备上也都上了啊个该具备的检测也都具备了，其实建设实就关键了啊，就是。怎么去把这些安全设备的日志去进行一个有机关和提整个安全的一效啊，实如果安的话知这了台设就是台设产，万条告警就万条告警，那如果十台设备的话就10万条告警，那按照正常的一个人去去去看些告警的话，其实根本是看不完，而且这里面。

告警可是误全注个领域，那不同安全设备之所发的问题怎么进行一个有的，那这个也是很多业里遇到一非。的一个点，那第三个建设的一个步骤就是。要去做一个简化安全运营管理。去识别出精准的告警之后呢？做一个精准的一个处理分析。

些啊现那这个其实也是往体现我们整个安全投资价值的这么一个。地方啊，通过些据啊，包括一些这些化的一些啊，够把我个安全价值去直观的去做一个呈现啊，那这个就是我们刚才提到的一个险量化的这么一个问题，其实说建设思路很简单啊，就第一步就是构建。啊，检测体系，第二步做关联的分析，第三步就是简化整个的安全管理，这个是腾讯这一侧去做，整个全我们去给客户做一些安全性规划里做的一些建议，那其实看起来简单，其实真正去实施起来也是比较复杂，那整个腾讯。呃，在安全管理这块的一个定位啊，就是我们是定位在云时代的一个全景的安全云平台，大家都知道腾讯其实to开始做的是腾讯就是以这块去起，那一开始腾讯的安全是在这个云上面，就是我们在云上有非常多的安全产品，那这些全产品怎么样去进对行一个统一的一个日志采集跟管理，那所以说我们腾讯这个安全是。

啊，这是这个云原生的这么一个能力，具备这个能力具备我们具备多租户的一个角色，包括租户的一些权限啊，包括多架构啊，这是伴成长。但是啊，因为国内的环境大家也知道，其实在这个公有市场长期被这个厂霸占，霸占了这个市场，其实我们腾讯呢，也是在不断的去做一些线下一些安全市场啊，以从上孵出些全，其实我们线下去去支环的一云。

啊，私有云的这种多云环境的一个部署，它有自有的ID机，它也用了不同的这个有云的一个环境啊，那他会遇到一个多跨云管理的这么一个安全统一管理的一个问题，那这个我们也是支持这种场景啊后面介绍，那在智能化这块呢，我们主要提的就是我们的一个检测应能力，我们的资源对接啊，下面就可以看到我们可以支持网络的啊，云网端终端的，云端的以及各种各样第三方的一些安全数据，那绕这个这个P从个周。不同的阶段啊。把我们安全风险去进行一个最们发现，去做一个的视展。包括一些自定义的图是运。汇报他们的一个工作效的一个非常好的一个工具啊，那当然我们这个腾讯的一个安全，在整个安全这个这个领域的积累，包括这两的互网，在攻击啊，防守啊，都是获得一个比较好的名次，其实我们在腾讯内部呢，把这些攻击队啊，或者防守队啊，就是取得的一些这种成绩哈，都会去做一些沉淀，然后呢，把这些能力赋能到我们的产品上面去。

啊，那第二部分呢，就是我们给各位简单介绍一下，就是腾讯整个体系的一个架构。那这个是腾讯智能化安全体系的一个大里面实不算多，整个数下来大概就是六块，那中心的话就是我们的整个全理中心这一块，那在网络这块呢，一般我们是内有对这个组合哈，一兄弟就是。叫做互网神器，就是腾讯的天跟腾讯的，那这个呢，这两个产品呢，其实在我们这个互网宝里面，其实是已经打出了的。明细哈，就是呃，对于这个重网活动里面，其实这两个N组合就可以去一个一个加一个中心实就比如署全。

网络边界这块有T跟这个的个N个以及方案，那在管理这块呢，我们就是主要就是心就是去采类安全设备，志联的线下一配合上我们腾讯的安全服务。那可以把整个的这个中的这个角，我们角去力发挥极是整个讯内部本身的安全运体系的一个一个一个架构，我们在很多客户也是这么去落地的。

呃，那其实我们今天其实讲的主题就是搜索病毒嘛，那其实。勒索病毒它本身也是一个，刚才前面提到一个非常典型的攻击啊，那这个是一个，呃，在勒索毒发生的这个过程中，就是很多用到的一些攻击手段，就是内的一个渗透的一个案例分析，那这个其实大家可看到这个整个的一个攻击过程啊，就是。呃，一套流水下来就是黑一套组合，可能就就就攻破网络了，就开始就是去大量的这些这个这个勒索了啊，就是从初期的侦查到建立传输隧道。到一些信息的采集，再到的这个，这个再到向移动维后完成的一个目标，那个整套流程实是比较固。

搞攻防呢，应该也都能了解，那其实在这个这种攻击下面，就是针对这种内透啊，有一些检测难点啊，首先第一点就是单一的安全防护是很难去全面的攻击链，因为大家其实前面看到这个整个的步骤，其实下来的话有七八个步啊，那中可能的重，或者是这个迭代的一过程。那如果你是靠一个单一的一些安全防护设备，可能采集到的只是一些非常片面的一些信息，你没法去。的去溯源到整个黑客到底在攻击你的这个业务系统标的到底做一些其他的一些什么操作啊，你需要拼凑每个安全设备可能只记录了一点点的信息，你需要去把这些个全设备的去做一拼凑，像拼图一把它拼成一个完整的攻击画像啊，你能去有效的去做一些溯源，去做些制另外针种向渗透统全设备里面其实是没办。

非细化的一些的一识别，跟一些分域内有的一些通信啊，这个都。腾在安全能力方面的一些积累，就是我们腾讯内部有这个大的安全实验室，像这个玄武科啊，其实每年去这种。啊，互网行动比赛里面都是一些顶尖的这些白帽子，就是去做一些这种协议方面的一些研究发现一些林啊等等，那这块其实啊，我们也是近两年通过近两年一些活动哈，就是去帮助客户去做一些防守，或去自己去做一些攻击，那能够把这些啊，最新的一些横的这些啊，一些新的一些攻击手法去把。啊，作为一个能力，核心能力去沉淀下来，去去我们这个这个设备的一些检测能力上面去，那也是的方面的势，另外是向黑这个横向的一些资产，其实是。

很难去量化去评估，如果说没有一个非常好的一个一个一个有机的一个一个工具去把这些片的这个信息去做一个整体的一个拼凑的话，其实很难去量化的啊，所以说基于这个啊，勒索病毒的这些攻击特点，其实这么些安全，其实攻击手段它发展非常迅速，但是呢，其实我们也比较既不也有限哈，就是说呃，基于这个，呃国外哈，就美国这个非常有名的这这个这个这个机构去做了这个的这么一个知识的一个知识的一个积累，那这个做防体系的话，大家应该都很熟悉哈，其实。这个继续的去细化到了这个，这个大概几百个攻击动作的这么一个，全类的这么一个。一个一个攻击图谱吧，啊，那其实腾讯全理中心呢的图谱。

啊，日志信息去做一些标准化及信息化，然后去标到这个击图谱上面去，也就是说其实我们户拿到这个设备之后呢，其实看到就的个全防手册，剩下全备的日志接上来啊，然后呢，就是这些通过一些能去到底现设里面集到这些安全日志到底能够匹配到。多少的这种攻击模型？啊，这个就是一个非常简单化的一个操作过程了啊，就是你把流量接好，那剩下的就是看这个设备能给你带来一个什么样的一个喜，那这个其实内置基内置的一些联的一些规则，一些标签的都是腾。

攻防研究团队在实战攻防经验中去得出的一些这个非常宝贵的一些经验总结是我们一些规则啊，我们一些黑客。腾讯聚焦。呃呃，安全威胁的，呃的一个一个一个日的一个采集分析呢，现在变成到这个聚焦T的一个威胁，就是我们的威胁。呃，检测以及这个调查响应这些方面的一个能力啊，那其实大家可以在这个界面上可以看到，就目前啊整个。

腾讯的已经实现了里面109个整个覆在是八国所有里个我分。那目前我们下来的这个策略，这个总数是600多条啊，其实不同的阶段里都会有这一些对应的一些手段的一些应。安全中心前面也提到了，虽然说是把统安全中心是所有安全设都集上际呢集。

一些这的一些算法能够去联相全事件，从入全面啊相应的安全告警，然后呢，从安全告警里面去自动的去进行一些调查生成应该注一些全事件啊，这个面里面以到一个数据，就是我们在某个客户测啊，就是实在这个某网期间实测的一个数据，客户每天他产生的日志量大概是所有是日有有百万来条，那经过我们的关策略策略降噪之后呢，生成安全告警，有效安全告警大概是。啊，几万条这么一个级别，通过一个自动化的关联调查，最终可以把这个安全的事件降到百来条，也就是达到一个可以运维的，可以去管理的这么一个级别，那我每天的安全的这个负责安全运营的同事呢，只要去关注这个，最终生成这些安全事件，去做一个相应的处置就可以了，那这些生成最终事件都是经过大量的这个大数据分析啊，关联分析之后所沉淀下来的这个非常精准的一些安全事件啊，那这个呢，其实就是。

把这个整个安全中心啊，从过去只是一个日采集器，变成了一个真正的一个能化的会思考的这么一个安全分析工具，而且呢，不需要说客户去介入非常多啊，就是我们可以去自动的去关联这个不同攻击，然后产生一个攻击果果给大家，那剩下的就是去做一些相应的一些联动啊等等。然后另外一个场景的话，就是在这个企业数字化转型里面，就是其实很多企业都会遇到，就是啊，可能原有已经建设了一些I的一些个是企业这个非常关心的一个点，就是我在多个上面的一些。

安全日志怎么去做一些统一的一个收集啊，我的数据分散怎么去做一个统一的汇总啊，安全怎么去做一个统一的一个一个一个啊去去做一个关联啊，那这个其实啊也是我们这个。智能化安全中心可以帮助用户去解决这个问题啊，那腾讯其实在本在这块管理这块也比较有比较多的实践，包括腾讯自身上面的一些安全设备的日志对接啊，通过A一些志的一些转发，然后包括对接第三方的一些全设备，通过这种或者是一些这种这种。数据接口卡不卡A接口方式去做一些数据啊，都可以把这些云上下数做一统一的采集。经啊，经过分析之后呢，可以去把这个整个的一个分析结果，去通过这个的目去做一个的一些诊断啊，另外基租户腾讯中心。

基于这个不同的这个租户账号去做一些分级分权的一些管理。呃，然后呃，面是整个安全中心这块的那个分享，那这边就是也带介绍一下讯一个N的一个组合方案，这个刚才前面也提到了，就是我们一个小环的。一个非常轻量级的一个方案，其实是通过镜的方式把流量过来之后去做一个测，然后呢，去帮助用户去识别这个已知的或者是未知的一些勒索病毒，或者是其他的些攻击的一种方式啊，就是其实也是基于我们对刚前面两位老师也介绍了，就是我们腾讯其实有很多的购房专家是基于这个。针对这些，呃，现网比较流行的一些热水病毒啊，它的一些攻击的一些手法，包括的些恶件是有进行采样这个记录的，那其实这些能力都会现在我们这些N设备里面，然后针对这种横向，包括前面提到的这预控的这种攻击手段呀，还有包括一些这种恶意文件的一些样本呀。

啊，那都可以通过这些流量的一些信息的采集分析呢，最终得出一个精准的一个分结果啊，那其实通过。我产品的内置也是有专门这种主题哈，就是门针对这种勒索病毒啊，或者是件安全啊，因为很多现在这个这个攻击进入来的第一第一站哈，还是通过一些这种社工的方式，通过邮件调方式啊，进来这个企业的哈，然后包括像一些密码安全，就是企业内部的一些密码口令啊，或者报差啊这些问题，这较基础的一些安全问题啊，起来基础际又是遍的一些问题，那我们产品内是不同的，这全护的主题可以帮助。企业用户更加快速聚焦的去去看这些企业的一些这种。

那通过这个呃，检测能力，加上这个阻断能力，就去把我们整个这个。啊，基于这种勒索专题或者邮件专题的这种产生的危害降到最低啊。那最后就是给大家分享一下一个，呃，也是智能制造企业头部制造企业的一个设案例啊，那这个企业其实内部也是，呃，从一开始就是陆陆续续买了非常多的安全设备啊，一共我们下应该大概是有16种个各类各样安全数据，包括流量探针啊，传统安全设备啊，还有包括一些这种。内部的一些控啊，认证服务器等。这些设备日志需统一总。云私有云都有一些业务啊，就是采用这种，华为上面都有这些。那也采购了其他品的一些全类的一些产品，那这些产品实最终一需想做一个全网的一个安全统一管控的一个一个一个这么一个平台，通过腾讯的一个安全中心啊，帮助用户去把这些比较零散的一些系统，就是去做一个统一的管理对接，并通过一个比较好的一个可视化的一个展示手段，把整个安全部门的一些业务绩效啊，它的一些管理的一些。

生些的个大的业务系统啊，包括的资理统等通置过啊，就是这是去基于客户的一些业务的一些系统的一些架构，去做一些深度的一些定制开发。啊，最终呢，去帮助客户啊，去够把整个集团的一个系统全安全业务一个置一个流去进行一的个一个个个够把整业流去运转啊这个是。

国内的一个龙头高端制造，智能制造业例内概么？感谢各位。好的，感谢徐成老师的精彩分享。那到现在为止，今天我们三位腾讯安全专家都从各自的角度给了我们非常好的一些指导意见和经验分享，大家如果有相关的问题，也欢迎扫描我们屏幕右侧的二维码，下载查阅今天三位专家的分享材料，进行进更进一步的了解。那么至此，本期直播研讨会内容已全部结束，感谢大家的全程参与，我们下次再见。