00:00
梦转型。比建筑地产安全。佛。这是架构,是吴俊。嗯。
01:02
随着互联网的发展,建筑和地产企业面临的以下几个新的安全威胁,第一个是随着物联互联网的发展和疫情的影响,远程办公成为常态,导致企业网络边界加的模糊,企业网的内部不再是一个安全的孤岛。第二个是业务特性导致网络架构的复杂。建筑和地产行业的特点是随着业务跨地域,并且大多是公有云和私有云混合的混合云架构,这个情况下网络出口多且管理困难,企业不具备专业的安全团队,执行定期的安全扫描、漏洞防护和。防火墙配置等专业的工作,企业系统常常处于裸奔的一个状态,第三个是行业的乙方安全能力的不足需要安全是需要大量长期投入的专业人员的一个投入。建筑和地产的供应商没有庞大的安全团队来统筹系统安全的规范,安全设计和执行的落地,导致系统存存在诸如circleq诸入系统任意文件注入和反序列化等漏洞,为黑客攻击。
02:09
提供了可乘之机。尤其是近期勒索病毒频发,对企业造成了很大的资产和生育的损害。腾讯云结合自身的安全实践,为建筑和地产行业提供了从云管端以及安全的服务和安全运营的整体能力,覆盖了从业务层到应用层、终端层以及移动层的整体端到端的全生命周期的安全解决方案。今天我们邀请到了腾讯安全专家团队,跟各位建筑和地产行业的领导和专家们分享应对勒索病毒腾讯的防攻击的安全产品和实践经验。接下来我们先有请腾讯安全自身行业专家姚卫为我们带来建筑和地产勒索病毒防御实践及互联网的最佳分享的演讲主题。
03:02
有请。哎,好啊,各位线上的各位领导啊,各位地产和建筑行业的同们,大家下午好啊,我是来自腾讯安全策略发展中心的姚。呃,近近两年的话,这个,呃,这勒索病毒确实在整个全球的互联网上其实都比较泛滥,尤其是这两年,对于咱们国内整个后疫情时代经济的复苏其实造成了非常大的一个阻碍,那接下来的话啊,我这边去结合腾讯自己在应对加密勒索病毒的一些防疫方面的一些方法和实践,来去跟大家去做一个简单的分享。呃,首先在分享呃,整个这个所谓的这个安全防护的经验,或者说一些策略之前,其实我们可能先来看一下勒索病毒本身啊。
04:00
呃,其实这两年国内我们国内或者说全球的整个网络安全的态势,因为两个事其实会发生了很大的一个改变啊,首先其实第一个就是啊攻防演练,那其实在在前几年的时候,很多企业的管理者在针对自己的这个企业这个安全建设这一块,其实呃呃会面临很多的这个困境,究竟企业这个安全建设要怎么去做,要做到什么样的一个程度。那么在这一点上,其实呃,咱们国内的这些,呃,领导人啊,其实在整个安全的本质认识这一块,其实还是非常的深刻的,所以安全的本质其实就是对抗,所以这也是为什么说这两年呃,咱们国内的这个呃,国家级的,包括省一级的,包括区域的很多那个啊。管理单位其实都组织了一些攻防演练,或者是这种网络对抗的一些活动,那核心目的其实就是帮助我们去检验我们这个安全的这个,呃,防御的这个水平和能力。所以其实从这一点上我们可以就可以,其实啊明确一个就是说对于企业的这个。
05:03
对于企业的安全建设来说,它的目标其实就是要去能够防御到自身的这个呃,业务能够去抵御外部的攻击这个方向去走,但是呢,其实呃,这两年啊,对于我们很多这个呃。还有很多这个企业的管理者对于整个安全的证识还是不够深刻,这很很关键的一个点,其实就是对于整个网络攻击的危害性还是不够深刻,那这个时间段可能比较比较巧合,就是说勒病毒它爆发了,那勒索病毒这种比较呃,危害性比较大,然后影响也非常大的这种呃攻击,或者说这样一种破坏性的这种网络攻击行为啊,其实就给我们很多管企业的管理者造成了非常大的这个冲击。那当然其实加密勒索只是说我们整个网络攻击呃呃过程当中的一种典型的一个一个一个场景,当然呃网络攻击还可能会去产生,比方说我去商库啊,偷数据啊等等其他的一些破坏性的一些行为,所以其实对于企业的整个安全建设过程来说啊,那我们一方面要是能够去抵御外部的这个呃攻击,同时呢,能够去防御这种比较典型的这种加密勒手这种场景啊。
06:13
所以啊,这个其实是本身也是呃,腾讯自己在整个自身的这个安全建设过程当中,一直所遵循的这样一个一个一个理念和策略。那接下来的话,我们来啊,对整个加米勒索病毒来去做一个简单的一个剖析啊,呃,首先其实我们呃都有这样一个认知啊,其实勒索病毒是非常难以防范的一个一个安全攻击,或者是一个啊网络攻击的一个行为,那为什么呢?其实其中第一个特点就是因为整个加密勒索病毒,它这个变异能力特别的强。那我们其实在很多这个,呃,官方的数据其实都可以看到,每一个版本的这个乐视病毒,它都会去伴生几个大的版本,包括十多个小的版本的变异,那一旦那些病毒发生变异以后,实际上我们既有的一些安全防护的一些产品啊,包括一些终端测的检测软件啊,实际上在整个病毒的检测这一块就显得相对的滞后,所以也会去导致这个一个检测时间窗口的一个存在,而。
07:13
被那个加米勒所感染,所以其实是对于整个加密勒索病毒的这个有效识别和快速识别上是存在一个比较大的一个难点,那另外一个就是实际上我们很多企业一旦感染了加密勒病毒以后啊,对企业内部其实啊,一般在应对上其实都会显得那个捉襟见肘,为什么呢?因为呃,实际上整个加密勒病毒它在它的这个软件构造这一块,实际上是分成了两块,第一块的话,其实是主要核心能力是负责它的一个。内网的传播,因为它具具有一种情的那个蠕虫的属性,他会主动的去探寻一些敏感的端口,然后去利用一些比方说永恒之难的一些漏洞啊,然后去拿到一些系统的这个权限,然后去完成它的这个传播,那完成传播以后呢,他再会去在相应的这个主机上面去释放它的加密勒索的这一块的一个一个呃功一个模块。
08:06
啊,所以其实呃,整个嘉宾的所在内网这一块的这个横向,或者说它内网扩散的这个速度其实非常非常快的,所以大多数的企业一旦中招以后,采取了最有效措施是什么,你就发网线,或者说直接那个关机断网等等,但这个这种处理方式本身也是是最有效的,所以如果如果说一般的企业在整个加居手这一块的这个应急响应措施的。或者说整个处置流程不够不够顺畅,或者说没有这块的动作的话,其实他在整个这块其实显得非常的困难。还有一个就是,呃,我们很多企业受到了这个,或者不幸的去被加密勒索病毒感染中招以后,实际上啊,很难以很难以去恢复它被加密的这些相应的这些数据,那这其原因是因为整个加密袋鼠病毒现在就是不管说是哪个版本的,尤其是现在的一些新型的一些加密锁的版本,它所使用的一些加密算法其实都是非对称的,说白了就是不可逆的,所以其实从理论上来说,你要破解它这个难度。
09:12
啊,非常非常的大,那在这种情况下的话呢,实际上给企业在整个数据或者说在整个生产恢复过程当中就造成了非常大的压力,所以因此会去面临遭受到攻击者在经济以及其他层面上的一个一个呃勒索,所以这个这样的话,就会给企业在它的经营生产以及在它的品牌效应等等方面,其实都会造成非常大的一个影响,那企业其实很很多企业是很难以去承受下这个这个影响的。所以那在整个家宾勒所病毒这么难以防范的这个情况下面,那腾讯我们自己是怎么去做的呢?那接下来我去跟大家去做一个一个呃,简单的一个分享,那首先我去跟大家去啊同步一个一个一个逻辑,或者是一个背景是什么呢?那实际上在整个腾讯内部啊,其实它的安全是是一个分工协作的一个逻辑,我们都知道腾讯其实是一个非常非常庞大的一个集团啊,那内部其实也非常多的业务线的啊,大家所熟知的包括我们的微信啊,包括我们的QQ啊,还有我们为人的一些游戏啊等等。
10:17
那这些其实都属于腾讯的一些业务,那腾讯内部实际上会有一个TEG的一个部门啊,由他来去统筹整个腾讯的所有基础设施层的一个一个安全能力的一个建设,那至于上层的业务侧,包括我们应用,包括我们的数据都是分配到我们的各个BG线,由他们自己来去完成它相应的这个安全能力的一个建设的啊。那在这样的一个背景下,呃,我们的TEG的团队实际上会和我们的这个生产的团队啊,实际上他们会去重点去完成呃,两个方面的一个一个或兼顾两个不同板块的一个安全能力的一个一个呃防护和建设,首先一个或者说映射到我们很多普通的这个企业来说,其实就是两张网,一个就是办公网,一个就是生产网啊,那在办公网这一块,那实际是腾讯的整个企业it部来去承担它的这个啊安全防护性的工作,那在这个里面就包括了如何去防范我们的产品勒鼠病毒,还有一块的话就是我们的生产网啊,生产网的话,整个安全的防护是由腾讯内部的安全平台部来去负责的啊,所以企业it部和安全平台部,实际上就去承担了整个腾讯内部基础设施层的,包括我们的管,包括生产网它的这个啊,加密热防护性的这个工作。
11:33
那具体呃来说,我们怎么去做,当这里其实会有一个比较有意思的一个点,就是说那腾讯既然作为国内的这个,或者说甚至说全球的这个,呃呃,第一梯队的这个互联网的企业啊,那在安全建设这一块,或者说在整个数据安全建设建设这一块应该是做的非常非常好的,那腾讯是不是也会去感染或中招加密那病毒了,上这个大家其实也看到了,那这个是存在的,而且呃,这里发出来的一些那个那个案例啊,实际上可以看到时间相对来说都不是特别的,这个久远也都是去年的事。
12:09
而且发生的这个时间其实都是比较密集的。那但但是我们可以看到,我们所现在所看到的所有的这些案例啊,都会有一个特点,它第一个它都是发生在我们的这个腾讯内部的办公网的。呃,我们呃大多数大多数感染的这个途径都是说由因为腾讯内部,因为在呃内部的同学因为工作的需要,在互联网上去下载一些必要的一些一些工具和软件啊,但是这些软件因为是在一些开放平台,它的安全性时区和保障,甚至说这些软件实际上已经提前被我们的恶意的这个工具者编译,然后去植入了相应的这个加边的手的木马程序在里面了,所以那我们的腾讯的同学在缺乏一定的安全意识的情况下,去下载了现在这个软件,那就会导致他去中招,然后去。
13:01
呃呃,被感染啊,但被感染以后究竟对于腾讯来说会造成多大的影响呢?我相信这个其实也是大家会去比较关注的一个点,那这里呃可以先告诉大家一个,那个告诉大家答案,剩上我们这些办公网的同学感染了这些,呃,加密勒索病毒以后啊,那我们后端相应的这个安全防护的同学和团队立马就能够去发现,然后快速的去帮助他把他的相应的这个啊主机的权限去进行剥离,然后防止它在内网区进行快速的这个这个横向的一个感染啊,所以整个整个这个办公网的安全防护。啊来说的话,实际上呃,响应速度是非常的快的,不会说出现这种横线感染这样一个事情的存在啊,而且就是啊,因为腾讯本身确实在安全沉淀,安全技术沉淀这块是有非常大的一个一个一个沉淀的,所以呃,包括其实前面提到的一一个点就是很多加密勒索病毒啊,大多数情况下面是难以去解密的,但实际上也会有一些呃。
14:04
解密的一些方式啊,但这个可能会具备一定的概率性的问题,那我们的这个呃,统一公共支撑的团队,也会帮助我们的同学去快速去恢复一些相应的这个数据,当然这几年的话,其实呃,腾讯啊。升级了它整个办公网的这个安全防护的这个体系啊,啊,现在其实整个我们熟悉腾讯的同学可能都知道,腾讯现在整个这个这个这个盛超网也好网,其实都已经纳入一个所谓的这叫理性的这个安全体系里面去了啊。那为什么要去应用这样一套体系呢?实际上这个不仅仅说是应对我们现在所谈到的这个加密勒索病毒啊,实际上它更多的是去应对新型的这个办公室啊,我们这种,呃,新的这种生产生产环境下的这个安全的诉求啊,但我们回到就是说整个加密勒索病毒这一块来看。弹公馆里面。
15:00
呃,归类一下,对,可能会去被感染中招,加密属病毒的途径有哪一些呢?首先第一个其实就是钓鱼软件。那这些其实是呃,钓鱼软件的方式,实际上也是我跟很多企业的这个,呃,安全管理人员,包括一些安全人员去沟通过程当中发现的,大多数的企业在钓鱼软件这一块的防御能力相对来说是比较比较差的啊,这归根结底的一个逻一个原因是因为我们很多这个企业的人员的安全意识相对来说比较薄弱,那随意说去通过构造一些有诱惑性的一些调入邮件,那就可能去导致我们的企业这些人员去啊快去去点击,然后导致中招,那还有一些其实就像前面所提到的。啊啊,因为呃,工作上也需要去下载一些这种啊,不合规的一些软件,或者说不安全的一些软件,然后去导致把一些外部的风险带入到它的生产环里面去,但还有一些一些,尤其是一些呃,今天我们大多数这种呃参那个那个参加这个线上那个呃活动的很多这种传统的行业啊,包括像建筑行业啊,现在还有很多流行去使用一些像USB啊,或者在内网里面去直接进行文件共享这样的,其实也会导致于把一些潜在隐藏的一些风险,然后在整个内网里面去进行快速的传播啊,当然还有一些就是说从公法的视角上来说啊,可能啊前面的话可能。
16:21
在呃完成前,前面几种那个那个恶意病毒的传播,在技术手段上可能说不会太复杂,当然呃,现在就是说有很多这个攻击,或者说我们叫黑产也好,或者说攻击人员。他会直接去进用网络攻击的方式,比方说他要去直接去爆破,我们会那个那个呃,换购网的一些主机啊,通过破解我们那个远程登录的这个口令,然后快速的去拿到我们整个主机的权限,通过这样的方式,然或者把我们把它需需要去那个植入的加密病毒,然后直接植入到我们这个本地上,然后去运行,这样的话也会去导致我们整个这个呃主机的视线,然后被加密的所所感染。
17:01
当然啊,面对这几个类型的这个安全的风险,其实前面我们也提到了,那腾讯实际上现在都是依靠我们的整个这一套LA的啊,你现在的一个一个一个整体性的一个解决方案来去解决相应的这个风险。那对于整个L产品来说,它去它实现几个方面的这个能力啊,这里其实我也把它去做了一个归类啊,也是按照我们现在能够大多数能够比较,嗯,去针对整个嘉宾所的一个。常规的一个逻辑,我们分为事前、事中和事后,然后去赋予了不同的这个能力来规避相应的这个风险。那首先在事前这一块,这个其实也是最重要和最关键的一点,我们都知道,其实呃。加密勒索病毒能够去在内外里面去快速的去横向去传播,我们能够去感染它,关于核心的原因是因为我们本身很多的终端和储蓄,它本身就存在一定的脆弱性,因为它的配置不合规啊,比方说我使我的一些敏感端口,445啊,138 139,这些端口它是开放的,还有一些可能就是因为我使用的弱口令啊,导致我们外部的攻击人员啊有了可乘之机,然后我的这个勒视病毒能够去在内网里面去进行肆虐,去横向能够去感染,所以对于LA来说,他需要去解决的一个问题,就是说他需要去把我们腾讯内部这数十万人的所有接入办公网的这些终端去实现它的安全标准化。
18:23
那这样一个方式的话,实际上能够去解决,对于诚信这么一个体量庞大的企业来说,这样啊,终端差异化能够去带来的不同程度的这个风险,我们尽可能的去把安全的动作去进行标准化啊,规避啊终端侧的一个呃一个风险。那在适中的过程当中,或者说我们在正常的正常的这个办公过程当中啊,我们会运,我们持续会运行一些软件,那这个运行的这个程序和进程当中是否会有一些异常的一些一些进程和一些一些一些呃软件,那我们这个IA它会去进行一个实时的这个监听,如果说发现了,他会快速的去提示告警,然后去联动相应的这个这个处置的这个机制和节点,然后去采取相应的这个手段,所以其实前面刚开始给大家分享的腾讯在办公网里面发生了,也发生了很多这个这个呃中的加密勒索病毒这个案例啊,但是因为有快速的这个检测机制,所以能够快速的去采取相应的这个手段,然后避免我体,或者说抑制他的这个呃,感染的损失啊。
19:29
那最后一个就是说,呃。万一就是说我们所有的这些前置性的条件都失效了怎么办?所以对于LA来说,我们现在也是针对于这样一个呃一个场景吧,也推出了一个就是能够去解决加密以后的一个一个一个能力是什么呢?就是说我们能够艾维能够提前的去为我们的所有的这些呃,腾讯的员工去配置或去针对去把他电脑上所需要去进行一个啊备份的一些文件,能够快速的去进行一个备份,这样的话就是说哪怕说我的这些文件啊,或者说我的终端不幸的被感染了,那我也可能我我也能够快速的去利用L这个文件备份的这种能力,快速的去把我的文件进行一个恢复啊。
20:18
那事实上呃,大家所看到的这I这些呃呃体现出来这几个方面的能力啊,它其实只是说腾讯在整个轻人体系里面的一部分,它解决的更多是我们整个年轻人,年轻人体系里面的终端和网络层的一个一个需求啊,那更详细的这个产品层面的一些功能和特性啊,后面会有我们会有专门的产品的同事来给大家去做一个分享和介绍,我这里就不再去做赘述了。呃,那另外一个就是说,前面其实提到的是我们在啊办公网里面的一个一个情况,但很多同学可能会关注,那腾讯的生产网究竟怎么样,因为毕竟生产网感染热视病毒和办公网感染热视病毒造成的影响可能是啊不一样的,但对于腾讯来说,事实上在生产网里面其实没有被成功感染过的一个案例啊,那啊腾讯究竟为是怎么去做的,或者说为什么腾讯能够去把整个安全防护的效果做的这么好啊,接下来我去结合腾讯自己在整个生产网这一块的一个安全防护的逻辑,来去跟大家去做一个介绍啊。
21:25
那腾讯的整个安全生产网的逻辑啊,其实其其实不仅仅说是生产网啊,那包括整个腾讯啊,内部所有业务体系的整个安全的防护,其实都会去强调一个能力的闭环啊,我们会去强调我们的检测,去强调我们的监测,去强调我们的响应以及响应的效率啊,那具体来说的话就是说,那我们会去啊。和前面所提到的一样,我们会尽量的去在控,在源头来去控制一定的风险,那比较典型的比方说我们会去建立腾讯自己在生产网里面的一套安全机械啊,该呃,该打的补丁都要打,该关的端口,服务端口都需要去关啊,尽量的去把一些风险去进行一些规避啊,降低那个呃环境的差异性,然后去带来的不同程度的一个风险。
22:12
那另外一个就是说,其实腾讯呃在内部呃,因为它会有持续的安全运营的同学来去支持他的这个安全的工作啊,比较常规的动作就是说我们也会去动态的去扫描啊,在整个生产湾里面所存在的一些漏洞,那包括说啊这两年呃,尤其像去年啊,今年其实也报报出来一些这种这种公共组件的一些一些插件的新的一些漏洞啊,啊腾讯其实也能够快速去发现,然后尽可能早的去把相应的这个补丁去进行一个修复,然后规避相应被漏洞利用的一个风险。那另外一个就是说啊,那我们在控制风险的源头的技术之上,那我们也要强化自己对抗的一个能力,那前面也提到了上,现在很多的这种这种高水平的这个,或者说一些一些有针对性的定向的一些加密的手的攻击,其实不不不可避免的会去产生一些安全的一些对抗啊,所以那腾讯在整个安全对抗这一块,不仅仅一方面就是说他会去。
23:11
利用自研的一些产品啊,包括我们的TM pass平台,包括我们的门神袜,以及我们一个呃,通用的这个履约网关啊等等,去构建自己的一个终身防御的能力,同时另外一个方面就是说,那我们不仅要具备现在这个对抗的能力,同时我还要去提供提高我对抗能力的一个效率,所以基本上我们腾讯现在在整个生产网这一块的这个安全对抗这一块,它的能力基本都已经打通了,说白了就是能够去做到这种自动化的一个响应啊,这样在整个应对抗的效率上面会有一个比较大的一个一个,呃呃。提高。那在另外一个就是说呃,在腾讯实际上在整个内部的在安全运营这一块啊,其实是啊,通过这种全流量的这个啊安全的或者或者说基于全流量的这个算力呃来去支撑它整个对于很多这种比方说攻击啊,或者零攻击的风险的一个应对,那这个其实呃和和很和很多传统的厂商在整个安全运营的逻辑,或者说应对APP工具逻辑上会存在一定的差异,那这个核心依赖的还是说腾讯自己,因为这么多年在整个底层,包括硬件,在CPU在在芯片层面上去做了很多的这个呃能力的一个优化啊。
24:26
那另外接下来一个其实就是对于风险的一个监测了,那前面可能就是说,哪怕说攻击者通过层层的这个通关啊,突破了我前面的这些防线,最终到达到了我的主机侧这一块,那在主机侧的话呢,腾讯实际上是这种百万级的这种服务,服务器的这个节点,其实全部都运行了我们自研的这个洋葱的这个终端安全软件,那它会实时的去对于我们这个终端上,终端上面去运行的这些进程去进行一个实时的监测。那一旦说发现了异常的一些一些一些进程,或者说检测到的一些文件啊,那他同时还能够去联动我们后台的这个这个呃动态的包括我们我们呃常规理解可能就我们叫沙箱啊,或者能够去进行一些动态行为特征的一些检测,然后去尽可能尽可能的去把一些做了这个变异的或者已经变异了的一些加密勒呃的恶意样本,能够快速进行发现和识别,然后。
25:21
接下来就快速的去采取一些果断性的一些措施,进行阻断,进行隔离。啊,那最后一块的话,其实前面也提到了,就是说呃,整个勒索病毒,它实际在内网里面传播的效率其实非常的快的,所以怎么样尽可能去减少它带来的一个损失,其实就是看我们储存的效率了,那具体的话,对于腾讯来说,其实是会有两个,第一个就是资产的一个,呃,快速的隔离,那一旦说我们通过一些检测机发现了某些资产,如果说可能他他真的被感染了以后,能够我们通过后台快速的去进行网络层面个隔离,把机器进行一个下线,甚至说把它进行一个关机,都是可以去做的。那另外一个就是说,那腾讯因为我们所提供的这些服务的受众其实都是非常非常庞大的。
26:07
那整个业务的体验,业务的连续性来说,其实是对于我们腾讯来说也是非常的关注的,所以啊,在整个架构业务架构层面上,其实腾讯会有非常庞大的这种负载的这个这个呃。逻辑在里面,就万一说啊,有某一台主机被感染以后,实际上它整个业务的连续性其实是不会去受到啊影响的啊,我们的应用和数据其实都能够做到无感知的一个一个快速的恢复,当然这上面其实更多的都是采取都是一些技术手段的新的一些,或者说管,或者是一些一些偏啊,硬性管理方面的一些一些一些呃措施啊啊。还有一个最核心很关键的一点是什么?就是其实腾讯内部是非常注重安全体系,安全管理和安全规范建设的一个一个呃,企业,那这里面对于整个加密勒手防防范加密勒手来说,非常关键的两个点是什么?一个就是数据的备份啊,那这一点其实很多企业其实我可能也都会去做,但在腾讯内部来说,我们会做的不一样的是什么呢?就是说那在备份的层面上面,我们备份的数据和线上的数据是要去做严格隔离的,那为什么要去做严格隔离呢?是在这个之前也有发生过相应的这个案例,可能就是说我们企业有的那个企业,它本身也去做了这个这个数据。
27:24
包括应用层,包括数据层的这个这个呃,备份啊,但是因为网络的连通性,这个呃。主的主呃,主应用和主数据被感染以后,实际上可以快速的横向去导致它的这个配也会去被感染啊,那还有一个就是说,其实那很多企业现在在整个数据备份这一块,更多是当做一个常态化的这个动作来去做啊,但是备份的这个数据它的有效性,以及利用备份的数据快速的去进行数据会应用的一个恢复,究竟效果怎么样,很多企业其实是在这一块是没有去做太多的验证的,但对于腾讯来说,这一块是是一个强制性的动作,是一定要去做的啊,所以我们会强化数据的备份以及恢复这个演习啊,这个是腾讯其实在数据的备份的这个基术层面上面和和其他的啊企业啊,会会有一些不一样的一个地方。
28:15
那当然我们总结一下呃,其实对于整个加密啊,勒索病毒的防范啊,实际上很多企业在这一块其实已经做了很多的这个投入和总结啊,这里的话,我我这边也是呃正好呃前几天的话,这个咱们国家的这个散赛,这国家应互联网应急响应中心啊,其实他们已经针对于整个呃加密勒索病毒做了这防范去做了一个总结啊,归纳起来就是九个九个药和四个药啊,那九个药的话,这里其我我也不再去一个个去展开去说了啊,但是呢,其实可以看到基本上他所要的所要求的一些一些关键的一些点啊,其实基本都是前面啊给大家分享腾讯自己的办公网和生产网,在整个安下密热索防护啊,或者是在整个这个安全建设过程当中,都会去关注,或者说重点去关,或重点去建设的一些点啊,啊,所以其实从这个逻辑上我们可以看到,就是说呃,做好了全局的安全的性的这个工作以后,其实。
29:16
呃,不仅不仅仅说是啊,可以防护那个加密热水病毒,那其他的,呃,各种类型的这个安全的对抗和安全的这个攻击,其实也是都能够去进行防护的。那最后一点就是说,那我这里再再啰嗦一句是什么,就是说其实呃,不管说是加米勒属病毒的防御也好,还是说其他的这个这个呃层面的这个呃网络风险和攻击啊,其实它都是一个需要全员参与的一个过程啊,那怎么样去做到全员的参与啊,这里面会提一个提一个建议,就是说呃这样为恰好这这这这段时间正好也是那个网络安全宣传周啊,那很多单位也都在去做相应的这个安全意识培训的这个工作,当企业在做整个安全意识培训的过程当中,往往可能是会忽视那课培训的课程,他已经那个培训完了,已经培训下去了,但是我们企业的人员他究竟吸收了多少,那培训的这些知识是否能够去转化为真正在应对相应的风险,比方说感染加密勒病毒以后,它能够去做出正确的动作和响应啊,这个其实是有待商榷的,所以我们建议就是说在整个安全意识培训一定要去结束以后,要。
30:28
去对他的这个知识吸收的情况去做一个验证啊,那怎么去验证,那这个其实不仅仅说是啊培训啊,包括其他的这个啊,一般的这个这个这个常态化的这个啊,或者说全局性的安全建设,安全水平,都可以通过这种实战化对抗的能力去进行一个检验,就像前最开始也提到的,我们强调化的去组织一些啊,对抗的一些一些练湖南啊等等啊。这样的话,可以去精准的去找到我们这样一个安全建设过程当中存在的一些短板,然后针对性的进行一个强化,那这个过程当中其实也可以说去把我们前面所提到的整个数据层面上的,我去如何去做备份,如何利用备份去快速的去进行恢复等等,都可以去纳入到里面来,去做一个整体的一个一个演练啊。
31:18
啊,我我这边的这个分享大概就这么多啊,谢谢大家。好,感谢姚伟先生的精彩演讲,通过分享我们充分了解到企业在面临着严峻的安全考验,以及腾讯自身在面临安全威胁情况下应对的解决方案和经验经验能力。下面我们有请腾讯安全零信任产品负责人武啸天为我们带来建筑和地产勒索病毒场景下的零信任技术实践啊。的主题演讲,有请。呃,现场的各位嘉宾大家下午好,我是腾讯安全的武啸天,那么今天给大家带来的是零新人在勒索病毒防护场景的应用啊,这样的一个主题的相关分享。
32:08
呃,那今天的这次分享呢,主要我们分为三个层面,首先我们来看一下啊,新形势下这种地产行业咱们面临的一些所的风险具体在有哪些啊,第二部分呢,我们来以腾讯灵信IV啊这个产品呃为举例子呢,我们来看一下灵信的这个技术呢,在防勒索的场景,我们做一个分析,那最后呢,是一个典型的相关的一些应用案例。那首先第一部分我们来看一下,就在一些新形式下面,比如说像后疫情时代,比如说像这个呃,混合办公啊等等这样的一些场景里面,我们会面临一些哪些新的挑战,那么首先我们看在整个勒索病毒的这个角度来看,它的一个发展和趋势来说的话,勒索病毒其实这几年的整个的这个呃影响非常大的,它的这个危害呢,我们也知道是很多的,也出现了相当多的这样一些安全事件,那其实勒索病毒呃,今年来看的话,它还是有一个很重要的抬头的一个趋势的。
33:06
对,那这里面其实主要的呃,主要有以下几个层面的问题啊,首先第一个勒索病毒它变得越来越成熟,它变得变成一个产业化了啊,叫raas这样的一个产业化的这样的一个平台,所以呢,它是有上下游的,那分工非常明确,这样的话,整个来说的话,呃,这样的一些勒索病毒的就会更加的发展会更快啊,所以这也是为什么这两年我发现勒索病毒整个抬头的一个趋势很明显,那再一个就是比如说像再举个例子子,比如说像今年的这个,呃。呃,这个加密货币啊,整个行情不是特别好,那这样的话,其实挖矿可能会相对说减少一点啊,相对来说,但是呢,勒索病毒这一块的话,可能会更加的变本加厉,会更多一点啊,所以这也这也是为什么今年呃,我们会见到的更多的这个安全的事件,那再有就是勒索病毒的这种变种也是非常多的,而且它的攻击手段呢,也会变得越来越隐秘啊,比如说有几个特点,一个是这个apt化啊,就攻击手段变得非常的隐秘啊,再一个是这种勒索病毒,比如说像这个刚才杨老师讲的啊,这个活跃洛索伦的家族有320多种啊,然后每个家族的变种呢,有1000多种等等等等,而且20222年上半年整个腾讯。
34:15
呃,这个统计出来的这样的一个勒索病毒尝试的攻击次数呢,我们发现在这个市面上达到了超过百万次以上,所以这个非常恐怖的一个数据。那第三个其实我们也看看到了啊,近两年以来呢,其实咱们国内我们就聚焦于地产行业来看的话,也是有很多的公司啊,接连会遭受到勒索病毒的一些攻击,或者说甚至已经中招啊,造成了非常不太好的一些影响,以及对企业造成了很大的损失。呃,那这是在勒索病毒这个角度,呃其次呢,我们来看一下,站在企业我们自己安全防护的这个角度来看的话,会面临哪些新的一些挑战,那第一个呢,其实就是说在这种混合办公后疫情时代啊,这种我们的整个网络安全的边界其实是瓦解了啊,这个瓦解指的是说呢,比如说以前的话,我们可以通过防火墙,Ipss等等,呃,构建起来一个固定的这样的一个边界,我们的业务系统,我们的人员都在里面来办公啊,画一个圈圈,这样的话可以在呃更加的安全防护也会变得很聚焦,那现在来说的话,我们的业务上云了,呃然后呢,我们的人员呢,也是做了一个远程的办公啊,也出了这样的一个边界啊,所以这个边界呢,其实呃,可以说是失效了,或者说变得非常的模糊啊,或者说是瓦瓦解了,对,那在这样的新形势下的话,其实我们面临会更多的这个安全挑战啊,比如说整个的这个暴露面啊,内网的暴露面会变得很大。
35:36
内部的威胁会非常的多啊,也跟传统的方式相比的话,我们的网络安全考虑的一些层面会变得更多啊,这样的话,就是我们整个安全攻击的这个防护的维度呢,也会提出了相关的一些新的挑战啊。那第三个呢,就是比如说像呃传统微P的这样的一个产品啊,以前的话,其实我们更多的像咱们地产行业的话,有很多的这样类似于一些企业,呃,其实我们的整个VPN建设是很多的啊,那为了解决我们比如说像呃全国啊,各个地方都有一些新楼盘啊,以及这样的一些场景呢,我们就会通过VP来做一个远程的介入,但这里面我会发现VPN,第一个VPN本身自己呢,它是一个相对来说十几年的20年的一个技术了,所以自己本身呃,目前主流的产品可能都会存在相关的一些漏洞和问题。
36:25
同时呢,比如说像在2020年的时候,疫情刚爆发,这个时期呢,甚至成为这个国外的一些黑客攻击国内啊这样的一个入口啊,那所以这是非常严重的一个事情,那这是其一,那其二是本身VPN呢,其实呃,整体来说的话,它特别针对我们地产行业啊,就是我比如说我们刚才所举的例子里面,我们有很多的这个分子公司啊呃,下级的部门等等等等,那这个时候其实很多呃分子公司可能自己就采购为品,或者是通过这种开源VPN的方式,为了方面啊,自己又加一个VPN来给员工来做一个远程办公的一个使用,那这个其实对于我们来说的话,我们的网络这个整个的开放面啊,或者说暴露面非常大的,也非常不利于这样的一个管理啊,所以其实这个是需要我们呃去考虑的一个很重要的一个问题。
37:15
呃,那最后呢,我们来汇总一下,就是企业面临的一些安全风险到底有哪些啊,首先呃,站在企业角度来讲的话,可能在这个面临的些挑战呢,主要在于比如说像这种边界啊,刚才所说的边界模糊啊,然后这个我们的网络安全防御也会变得更加的分散,那再有就是员工数量多,职责不同,怎么样做这种权限的一个适配啊,啊然后第三个是这种接入终端的数量种类也是变得越来越多的,那怎么样面临这样的一个管理的这样的一个压力。站在员工角度的话,比如说我们的设备,我们的设备怎么样让他保证一个合规性啊,因为每个员工的设备可能都是,呃环境啊是各异的,那怎么样保证它的一个安全性呢?那第二个身份的一个可控性啊,然后呃,避免这样的一些,比如说弱密码等等等等一些这样的一些行为,每个员工的安全意识可能也是不太一样的,怎么来制定统一的一个策略,再有就是网,网络的一个不可控,那每个每个员工他在远程办公接入的时候呢,他的网络也是千差万别的,那除了网络这种体验的层面,比如说网络质量层面以外,那网络的安全性我们怎么去给它做一个界定的,那综合分析一下,其实可以把它归类为以下四种的这样的一些风险,首先第一个是终端合规性的风险。
38:28
比如说像终端的这个有没有打高危的补丁对吧,有没有做这个高危服务,有没有做这个相关的防防护,或者说关闭,以及对应的端口,高危的端口等等等等,那这就是系统入侵的一些风险啊,然后呃,网络暴露面过大造成的,比如说呃这个呃,我们的员工的机器呢,比如说钓鱼对吧,这样的一些方式,成为这个黑客的一个攻击的跳板和肉机,那么对我们的业务系统做横向的移动啊,来做对应的一个攻击,第三个就是数据安全一个风险啊,这个其实很多企业也是非常关注的,比如说像员工可以私自拷贝数据到本地啊,然后黑客入侵以以后呢,或者说这种勒索啊,入侵以后呢,做了对应的加密啊,甚至有些泄密啊,以及这个勒索造成的一些这个数据丢失和数据加密的一些啊风险啊。
39:18
啊,再有就是违规操作的一些风险,比如说每个员工他的这个安全意识也是不一样的啊,然后可能员工自己呢,就会有一些无意识的这种操作啊,比如说破坏了这个终端的安全的机械啊,无意的一些违规的操作等等等等,会会给这个黑客以可趁之机啊,这是从这个企业我们整整个来啊,做一个安全分析的一个汇总啊呃,那首先第二部分呢,我们来看一下。呃,这个呃,灵信灵信这个这样的一个呃产品或者说体系呢,防御体系呢,在勒索中的这个场景啊,是怎么样来发挥它对应的一个作用的。呃,那其实呃,我们首先来看一下到底什么是零信任啊,呃,因为从这个零星的这个角度来讲,比如说刚才举的那个例子里面,对吧,传统的网络安全攻击模式呢,我们是基于这种呃边界隔离的一个方式,我们会有默认的信任区域,我们基于IP的五元组,对吧,通过防火墙这样的一些模式,就像一个门卫一样啊,你进来的时候,我要看你身份证,没问题的话就放通,有问题的话,那不好意思进不了,那进到这个呃范围以内的话,安全的范围以内,新人区域以内的话,我们认为它就是可信的,就不会再有额外的相关的一些认证的一些方式了啊,安全检查的方式了,那其实在新形势下,这种模式可能就不太适用了,那零信任呢,它就是解决这样的一个问题的,它的整个理念是持续验证,加与们个信任啊联信任本身也不是一个单一的技术或者说产品,而是一种安全理念,它更多的是说我默认没有这样的一个信任区域的所有东西都是不可信的,对trust verify,就是说我可呃可以信任,但是呢,我必须要做对应的一个全面的验证,而且这个验证不光是。
40:55
是一个简简单单的IP5元组啊,我更多的比如说基于这个呃,人的身份啊,设备的身份啊,设备的安全性啊,系统的安全性啊等等这样更多的一些安全要素涵盖进来,同时呢,这个检查也不是说一次性的,而是它是全面动态和智能的一个这样的一个访问工程的一个验证,我们举个例子,比如说刚才那个例子里面,呃,这个员工呢,通过保安的检检查,对吧,进了这个公司啊,我们也举这样的一个例子,那其实传统的方式可能就是拿一个工卡刷了一下就进了,对吧?进来以后呢,就没有对应的一些相关的安全防护的,那其实现在如果有联信的方式的话,可能就不太一样了,比如说他进来以后呢,想进某一个房间,想打开某一个抽屉。
41:36
啊,甚至他想做对应的一个行为和位移啊,我们都有监控,对他进行一个验证,那如果有问题的话,立马就会触发相关的一些措施,来保证我们整个业务系统的安全性,整个业务体系的安全性。啊,这是灵信的大概的一个概念,呃,其实灵信这几年的发展是非常快的,灵信最早提出来并不算特别早啊,是在2010年啊,Forre的首席分析师把它整整个来说,完整的提出来了以后呢,呃,那发展这这几年非常快的,因为呃业内的一个共识认为呢,零星可能是一个颠覆性的,或者说是一个网络安全,呃,非常这个颠覆性的这样的一个观点啊,以及理念啊,那就比如说在一一年的时候,谷歌呢,是率先在自己的潜里面落地了整个零星的一个方案啊,一四年为代表落地完成,那在一三年的时候,CC正式提出SDP的这样的一个软件定义边界的一个概念,成为零星真正意义上的一个技术解决方案,那这个解决方案解决的就是我们今天主要后面重点介绍的这样的一个体系啊,就是他解决的整个是办公网安全的一个。
42:38
呃,安全的解决方案,对,那其实比如像一七年garner以及forest等等等等,又提出了很多这样的一些相关的,呃,零新体系就是完善了整个零星的一个体系的一个概念,那值得一提的是在一六年的时候呢,腾讯呢,是在自己起源体里面落地的这个零星的一个实践啊,然后一四年逐渐的扩大到整个集团,所以呢,腾讯其实我们现在自己用的就是刚才姚老师介绍的这个LV的产品呢,它其实。
43:04
就是我们基于联信的一个理念啊,做了一个落地在自己企业里面,所以现在我们呃,已经用了已经六年多了啊,大概这么一个情况,那么腾讯其实在整个联信的这个体系,呃,这个呃产品里面是做的非常早的啊,然后呢,也参与了很多的这个国际国内标准的一些制定啊,比如说像。国际的这个it杠及国内的这种呃呃这个呃标联系联合了这个零信产业标准工作组,然后发布了相关的一些联系白皮书等等等等啊,包括CCC的相关的一些标准,腾讯也是主要的参与制定者啊,然后呢,呃,从2019年以后呢,其实是零信整个来说的是个落地期了啊,前面可能更多是理论一些积累等等,可能还有一些一些这个小范围的尝试,那么在一九年以后,特别是近几年特别疫情以后呢,我们会发现零星人整个来说是一个落地体,那落地器体验在什么呢?就是第一个呢,我们我们可以看得到越来越多的企业都在考虑使用零轻人啊,来解决自己的网络安全面临的一些问题,那么再有就是像这个我们呃,很多的企业可能已经在用了啊,等等等等啊,比如说我们也看到美国政府也非常重视这个新人,包括我们中国政府也是非常重视这新的一个落地,解决对应的网络安全问题。
44:19
呃,那其实俗话说知己知彼对吧,那我们在解决这个,比如说零星,我零星的到底怎么来防御啊这个呃,比如说勒索病毒,黑客的攻击之外呢,我们先来看一下,到底黑客是怎么攻击的啊,它的一个路径是什么呢?其实按照卢克希勒马丁公司的这样的一个,呃,这个这个发布的样的一个呃概念来看的话,它总共是大体分为七步啊,这七步呢,其实我就不一一介绍了,这是黑客攻击的一个通用的一个逻辑,那在这个逻辑里面,我们可以把它进一步的做一个归纳啊,归纳总结一下,其实可以分为以下五步啊,对,然后首先第一个信息的搜集啊,就在这个阶段里面,可能黑客可以更多的基于这种,比如说搜罗,咱们公司对外暴露了相关的一些IP端口啊,域名啊,包括通过社会工程学的方法来获得对应的一些,呃,值得的一些信息,有价值的一些资产的信息等等等等,对,那这是在第一步的一个层面。
45:12
那其实在这个层面的话,其实我们呃,对于这个防御的一些建议是什么呢?就是说第一个我们要做到我们资产的一个梳理和对应的安全加固,不给黑客以可乘之机,那再有就是像网络暴露面呢,我们要把它收敛起来,不能有太多的暴露面,比如说像古代的一个城防一样,那比如说咱们的这个,呃嗯,成本太多啊,或者说我们的入口太多的话,那我们整个的安全的这样的一些防御的经历啊,就会变得非常的分散,那黑客其实它可以进攻一个点,只要可以一点带面的啊,攻破进来,这是非常难防御的。那第三个层面就是再进一步的,我们还可以做到,比如说最好是能做到网络隐身的啊,比如说像举个例子nat啊,就是最初集的一个引身,比如说我们把IP给隐藏掉了,那黑客就看不到我们的真实的IP,他只能看到我们对外发布的这样的一个IP,对吧,那这是从这个层面,信息收集层面,那第二个层面就是获取入口啊,这是黑客空间的第二步,那这个获取入口呢,更多的比如说它会漏洞我们,呃利用我们这个,呃,这个相关的一些,比如说系统里面的漏洞啊,或者说终端的。
46:13
一些漏洞啊,然后以及高危的这种补丁对吧,高就是高危的这这样的一些漏洞啊,包括通过这样的一些弱密码啊,然后或者是这种账号的爆爆破啊,以及这个其他的社会工程学等等这样一些方式来做,那在这个层面的话,比如说我们相对应的一些。安全监测的建议,可能比如说第一个呢,针对员工这个用户层面来说的话,我们可能更多,比如说双因子对吧,多因子的一些认证啊,那第二个就是合规检测啊,比如说你入网的时候,我们要对对你做合规的检测,那这个检测不光是像传统的我们VPN的方案,可能是说呃,这个比如说检测身份就可以了,那其实这个合规检测要涵盖更多的领域,不光是这个,呃,你的这个身份了啊,那第三个比如像漏洞的管理啊,这个就是比如漏洞补丁,我们要对及时的对微软发布的以及其他这种,呃,像对应的一些漏洞补丁要及时的修复啊,再有就是像钓鱼的一些防护啊,比如说像在钓鱼文件的一些落地的关键路径啊,比如说这个I'm的聊天工具对吧,然后比如说像邮件对吧,那这样的一些落地文件,我们是否对他做了相关的一些安全防护和检查啊,这是非常重要的一个层面,那第三个的话,获取入口以后呢,黑客就要做的是权限的维持以及提升了啊,那在这个层面的话,比如说他要做的是呃,那这个时候呢,我们就要呃,我们对应的一个安全建议是什么呢?就是第一个是最小化的一个权限就。
47:31
这个每个用户呢,我们默认认为就联系来体系就默认认为它是不可信的,对,即便你通过了前面的这种身份验证,合规检测也好,你可以进来的,对吧,对不起,我只会把你限于一个最小的一个权限啊,这个权限只能满足你,呃解决你的业务问题就OK了,比如说举个例子啊,现在呃,这个公司有20个业务系统。那现在某一个这个呃,财务同学对吧,那财务同学他只访问他的财务系统就OK了啊,他不需要再访问其他的一些业务系统,那这个时候比如说权限,我们要对他进行一个最小化的一个梳理和设置,那这样的话,这个这个用户呢,就框在某个小的范围以内,它不能再去访问其他的没有权限的一些地方了啊,那再有就是像动态的访问控制,这个指的是什么呢?就是说动态的访问控制,我们不光要这个,呃这个前面的比如说像一次性的一个检查,那这个用户呢,我们还举了刚才这个财务同学的例子,那财务同学比如说他他他只有财务的系统的访问权限,但是他去去这个违规访问到我们的其他的业务系统啊,比如说像这个HR系统对吧?啊,他想去获得相关的一些可能有这样的一些,呃呃,这样的一些风险啊,比如获取我们整个组织架构上这样一些信息,那这个时候其实我们就要针对于这个用户的情况,他违规访问,是不是要对它进行一个二次的这样的一些认证啊,或者说一个降权啊,或者说直接把它切断啊,我们认为阻断掉。
48:54
啊,把这个连接阻断掉,这个用户就访问不了了,这样的一个动作,动态访问控制,还有就是像智能的一些联动安全的闭环啊,这样的一些呃层面来解决对应的一个顾客的权限维持率提升的一个问题。
49:08
那然后那这步解决以后呢,黑客做到呃,下一步就是内网的一个渗透了,那在这这个这个里面渗透的话,它主要通过一些渗透的一些横向渗透的一些攻击了啊,比如说想通过我们的这个呃,这个呃共享服务对吧,然后通过这个预控的啊等等等等,拿下预控等等这样做这个大范围的横向,横向的这样的一些防护啊,那个移动了啊,来扩来扩大它的一个站主,或者说从办公网怎么样去呃,进一步的渗透到我们的生产网里面,等等等等,再从横向啊,再进一步扩展到纵向啊,所以这个里面我们对这个安全防护呢,可能更多的是比如说这个落地文件文档相关的一些防护啊,以及这样的一些横向,就刚才所说的关键横向路径的一个防御啊,以及业务系统的一些漏洞的防御等等等等,那最后呢,就是一些黑客可能已经得手了啊对,就前面的,如果我们假属他已经全部搞定了啊,进来以后呢,就已经得逞,得手完了之后呢,那下一步怎么办?比如说勒索病毒,那他就要去加密勒索了啊,就启动对应的加密进程。
50:08
吧,对吧,然后那这个时候比如说相关的日志清理,把这个痕迹给它销毁掉啊,以免这个我们的对应的相关的安全,呃,安全系统呢,来检测到它,那这个时候其实我们进一步要做的就是说这样的一些呃,关于进程的一些检测,启动的检测啊,以及我们可以对相关的一些文档啊,解密以及恢复啊,这样的一个逻辑啊,所以这是整个黑客这个视角,我们来解读一下它的一个班关群的一些脆弱性到底在哪里啊,那对应的我们第二步呢,我们就来看一下灵性呢,在这个整个过程里面啊,它到底能做到哪些哪些这样的一些防御的一些手段啊。呃,那刚才整个的这个攻击的过程呢,其实我们可以再把它大体上分为三个部分啊,进一步的一个归纳啊,事前事中事后这三个层面啊,就是比如说事前的话,我们刚才所介绍到的可能更多是在于这种呃,信息收集和这个呃获取权限,获取入口这样的一个层面,对吧?那这个层面里面就中端,刚才我们所介绍到的,我们要主要解解决的是暴露面网络啊,接入合规检查资产多音的这个认证啊,还有就是终端安全等等这样一些行为,这是在事前我们需要做的一些能力啊,需要具备的一些能力,以及做的一些相关的一些安全防护,那么在事中里面的话,其实更多的是基于这个,比如说黑客要做提全啊,维持以及这样的一些横向移动的时候呢,那在这里面我们更多的是比如说权限如何做更规范化的治理啊,以落地这个年轻最小化权限的一个理念啊,以及通过动态访问控制来落地这个永不可信的这样一个理念,以及通过横向移动啊,然后本地边界的防御来解决它的一个这样的在我内网。
51:46
蔓延的这样的一个问题啊,包括这个交易防护,恶意文件进程管理等等等等,来进一步的来做整个的这样的一个安全运营的闭环,那最后呢,就事后的话,比如说这个事情可能已经发生了,对吧,那其实这个时候我们就要挽回损失,挽回损失比如说我们要做的就是这个已知,呃这种加密算法啊,怎么样把它解密,那再有就是想以这种文档安全防护,比如说我们的资产的安全防护,比如说像那已经比如说中招的时候呢,那可能我们如果有这种原呃已经做备份了,对吧,那这样的关键文件就会挽回这样的一个损失,那刚才所说的事前事中事后呢,在我们整个的这个LV明星的V产品体系里面呢,其实我们都有考虑到的,我们可以把它归纳为四大的这样的一些。
52:26
场景啊,分别是接房管控这四个领域,对,呃,那同时呢,其实这个呃,我们是可以做到一个全平台支持的,那这个全平台指的是不光是Windows,因为其实在腾讯我们知道腾讯自己用的IV,那在腾讯自己的话,我们整个的这个接入的环境非常复杂的,对吧?然后这个比如说有有Windows的终端mark的,然后Linux啊等等等等,那所以我们是可以做到一个全平台的一个支持的,对,然后比如说像这个刚才PC端以外呢,还有像这个安卓iOS啊,包括信创的平台,这个都是可以一套这个产品体系都可以做到一个完呃完整的覆盖的,呃,那么从机房管控这四个层面的话,其实他们也也是有各有侧重的,比如说在接的层面啊,我们可以做到这刚才所说的事前事中啊,主要集中在事前事中这样的一个领域,那用户的这个身份认证的对接啊,然后呢,服务隐身,权限治理,访问动态控制等等等等啊,这是在接这个领域啊,主要解决的一个可信接入的问题。
53:20
啊,提升这个整个安全接入的能力啊,和对应的一些效率,那第二个就是防了,那防的话,其实刚才所说的,比如说我们解决的也是集中在事前事后啊,比如像这个呃呃这样的一些终端安全的一些防御,文档的防护,钓鱼,钓鱼防护防风衣等等等等啊这这在防这一块,那整个增强,增强的是我们的整个安全场景的一个防护能力,那么在管这块儿,其实更多的聚焦于我们的安全管理,安全管理这里面其实包含的很重要,比如说像这个呃,多平台的资产管理,对吧?啊,我们刚才所说的,比如说对于咱们这种集团性的大型企业,特别地产公司,对吧,全国有很多的这样的一些员工用户,那他们在接入的时候呢,我们怎么能知道这个终端的一些这个资产的安全性的,那这样其实我们就要给他划归这个安全期限了。
54:06
对吧,那再有就是这个终端的,它的这个安装什么软件啊,它的这个操作系统是什么样,什么样的操作系统,以及对应的硬件是什么样子,它有没有做违规,这个这个员工违规做一些硬件的变更啊,这些其实都是一个很重要的一些安全的问题,那这个时候可以帮助我们管理员快速的解决这个安全管理的相关的一些问题,达到一个呃这个安全管理的一盘棋啊,就这在管的层面啊,然后最后就是控的层面,控的层面其实这是这个呃,我们进一步要去完善的一些点啊,现现在现在的家我可能大部分呃,有的功能还不太,呃正在规划里面啊,这这这里面我也做一个呃做一个汇报啊,呃,那其实在控的层面里面,我更多的比如像终端的一些数据的采集,信息的收集啊,以及终端的这个安全的能力的感知,比如像UEBA,对吧,那一层行为的分析,那还有就是像EB2,我们做这个资产啊,这样的一个,呃,这个终端检测与响应啊等等等等啊,那这样的也也是提高整个管理员高效管理的这样的一个呃能力啊,做安全管理啊。
55:06
这是在这个零七年LV呢,在整个呃,勒索病毒的防护场景里面,实验室中失控,我们具体是怎么做的啊?呃,那接下来我们就来详细来看一下啊,来细分一下在接放岗共四个领域啊,我们,呃,每一个这个领域里面的详细的一些技术特点啊,那首先第一个是就是我们刚才所说的事前的一个暴露面的收敛啊,以及这种网络的引申,那在这个领域呢,其实非常重要的一个层面,我们知道黑客的攻击呢,第一个呢,它要做这个,他要找到一个入口,对吧,那入口呢,除了刚才所说的信息收集,因为信息收集这个我们没有办法很,只能说提供提高咱们的一些安全意识对吧?来做对应的一个防护,因为这种是很难防御的,比如说他这个给咱们公司投了一个简历,对吧,然后通过HR这个拿到了咱们公司的一些这个相关的一些信息,像这个域名等等等等这样的一些信息,对吧,包括他在这个第三方的网站上面安网等等,都可以购买到很大量的一些信息,这个是一时半会没有办法做到很好的防御,以及企业是很难去做对应的一些。
56:05
管控的,那其实我们能管的是什么呢?我们能管的就是我们自己的一个安全治理啊,那自己安全的,比如说咱们地产公司有很多的这样的一些下属部门子公司,那第一个我们就要做的一个暴露面的收敛啊,不能有太多的暴露面,因为有太多暴露面的话,我们的攻击,我们的这个安全防护者没有办法无迹可循的啊,就像这个呃,苍蝇一样,就是黑客,就像苍蝇一样可以呃无孔不入啊对,所以呢,我们第一个就要做的就是菠萝面的收敛,那这个菠萝面收敛指的什么呢?就是说呃,我们要让我们的业务系统呢,在一个可视可控的范围里面啊,就是用用户呢,比如说员工呢,他在入入进来的时候呢,只能通过一个这样的一个入口来进,或者说可可控的一个入口来进啊,这是第一个暴露面的收敛啊,然后第二个是什么呢?就是我进一步的把这个暴露的,这个暴露面的对外的这个,比如说开放的这个IP端口什么的,我们再进一步的对它做一个引申啊,这个引申我们举一个,还举一个通俗的例子吧,我们在西游记里面看有一集这个是一个那个金钱豹对吧,前段时间比较流行的那个那个角色啊那。
57:06
角色,它的一个洞口,它那个大门,对吧,我们知道它那个大门,你走到那个门口,你看它就是一个山,你看不到什么别的东西,但是你会发现它可以从里面出来的,对,它这就是一个完全的网络隐身,这是一个浅显的例子啊,对,所以呢,其实网络隐身就意味着你想进去,对不起,你没有办法找到这个门啊,就是你你不知道这个门在哪儿啊,这是一个很重要的一个层面,这是就是从根源上或者说就切断了整个黑客来攻击的这样的一个入口的一个层面,对。它具体怎么切断呢?我们通过ST这种单包授权的一个技术啊,这个技术其实最大的一个区别是在于像传统的TCP呢,它是基于这种,比如说我先是这个建连,建立连接,对吧,我再去做这个验证,那这样的话,其实建立连接的话,你就要对开放对应的一个端口了,对,那现在我们做的是先这个验证,再建连,就是验证以前的我要对你做一个验证,你是合法的这个用户呢,我才可以给你建立这个这样的一个链接,再做下一步的一个,呃,下一步的一些一些这个动作啊,所以这是非常重要的一个层面,那这样的话,其实呃,那腾讯在这个技术的层面的话,其实我们做到更进一步的创新啊,首先第一个是我们做到了一个全端口的隐藏。
58:13
啊,因为我们知道,其实呃,这个当然腾讯的产品是可以做到,呃,这个0C后台的总控啊,控制控制体系和这个数据转发平面做到一个数控分离的,对当然部分的友商可能也是这个,在市面上也是也是这样的,但是我们更重要的做到一个控制器和网关的全端口的隐藏啊。这是很重要的,就是对压根对外是没有暴露对应的一个端口的。可以实现一个对外的完全引身,这是非常重要的一个层面,那最后就是像这个我们知道其实在呃网络国内的相关的一些网络场景是很复杂的,像二级运营商啊等等等等,那在这样的场景里面,我们可以支持多种协的这种敲门的方式啊,不光这个有udp的方式,还有这种TCPSP等等等等,这样的话其实可以在更加适应这种复杂的网络场景,他举个例子来说,比如说有的可能网络设备他直接把udp的包给丢掉了,那这样的话我们其实没有办法去做敲门了,那对于这样的场景,可能很多企业,比如说即便用了年CN,那他就也退化成一个VPN了,因为没有办法,因为我们的安安全是一定要让让步于业务的,不能让业务用不起来嘛,对吧,所以这是在第二个层面,SSPA这个层面,这这个敲门技术这个层面,那再有就是像这种,呃,这个多网关的一个,呃,启用啊审计等等这样一些模式,这是相关的一些,呃这个。
59:26
能力特色这里不多介绍了。那第二部分我们来看一下这个事前另外一个方面就是可信接入啊,肯定就是这个层面,除了刚才所说SPA啊,那个已经过完以后呢,就是我们更多是第一个呢,就要做这个身份的一个对接,这里面所介绍到的就是这个,呃,身份的一个标准化的对接,可以支持多种的这个身份。对接的一些系统,像传统的基于这个推文化的I'm啊,或者说这种呃,企业微信啊,包括钉钉飞书啊,短信认证等等等等,这个都是没问题的,以及这种多因子的认证啊,这个都是OK的,那这是第一点,第二点是这种终端层面了啊,我当然后面还会再具体再再做展开啊,像终端的安全啊,然后漏洞的修复啊,接入的合规检测,接入项等等,在这面都做一个完全的检查,你才能做一个接入啊,不然的话是没有办法做接入的。第三个就是资产的一些管理了,以及对应的一些终端安全加固啊,还有就是像软件仓库,比如说我们可以,呃,这也是腾讯的一个很重要的特色,那依托于TOC这么多年的积累啊,那么在To B To B的这样的行业里面,我们也把它融入进来了,第一个呢,我们可以就是TOC的那样一套软件仓库也可以实现的,就是像帮助我们用户可以快速去呃下载自己想要的这个通用的软件,通用的APP,那第二个就是针对于我们企业管理者来说的话,我们建立一个企业私有化的软件仓库,我们可以把相关的我们认为合规安全的一些软件呢,上传到这个软件仓库里。
60:47
让我们员工可以在这里下载安全放心的这样的一个软件啊,那是在可行接入这个层面。呃,那再有就是刚才所说的那个终端安全领域的这样相关的一个展开了,腾讯的这个IV的产品呢,其实我们有一个很大特色,后面会讲到腾讯为什么想上这个东西,很重要一个层面,我们想解决的就是以前的话,我们的终端安全,我们的这个零信任,就VPN的接入呢,是很割裂的,以前的终端安全也是用第三方厂商的,VP也是用第三方厂商的,还有就是管啊,也是用第三厂商的,后来的时候我们把这几个东西呢,在做LV的时候呢,把它做在在一起啊,解决对应的一个痛点啊,比如说如果不仅呃不这样做的话,可能第一个就是终端用户在呃使用的时候,他可要要在这个终端上面装多个客户端啊,这个体验就会很差,安全的软件之间可能经常有一些兼容性的问题,打架的问题,这个是我们的管理员也会非常的麻烦,而且要经常这个运维起来,可能要联系多个厂家啊,那这个其实效率很低的,那第三个最重要的层面就是这几个东西呢,它没有实现安全的联动啊,就造成一个我们的安全建设呢,没有达到一个最大化啊,这是很重要的一个,这这是很重要一个问题了,那其实腾讯的这。
61:56
个I产品很重要一个点,我们把这刚才所说的几个东西,我们做到一个产品就可以解决了,就一个A客户就可以解决这些问题,对,那其实我们在呃落地到终端安全这个层面来看的话,第一个呢,就是呃一些同学腾腾讯的将近20年安全的积累,像最早的像QQ医生啊,然后再到电脑管家,再到预点,再到最新的LV的产品呢,其实做了很多年的一个安全积累,那这种我们自研的像双云TV的杀毒引擎啊,那这个呃,这个其实它涵盖范围非常广的,超过了700亿的这个样本库,那同时这些样板库我们甚至开放出来给给那个很多的这个生态啊,比如说我们的友商来一起来提供服务,对来共享这样的一个安全的能力啊,那再有就是像这种补丁修复啊,这样的一些能力也是非常全面的,而且它是可以跟接入来做这个联动的啊,那第二个就是完整的桌管功能,主管功能就是呃,刚才所介绍像资产管理软件管理这样的一些能力了啊,比如说像这个刚才所说的,帮助我们管理员做到更快的一个软件资产的一个统计分。
62:56
分析啊,以及这种进一步的像正版化的一些,呃,这个协助啊,统计等等等等,那再有就是资产的一些变更啊,那第二个层面很重要的就是这种终端合规检测,检测的一个加固了,对这块的话,其实我们可以把呃很多能力联动进来,比如像刚才所说的这个高温补丁对吧,补丁管理的能力,你的这个软件安装的能力,软件使用的能力,进程的运行的能力等等,那比如说我们必须你接入的时候必须要装一个杀毒软件啊,这是杀毒软件的版本,我们都可以对它进行一个规定,举个例子啊,比如说他必须要装这个。
63:30
呃,这个预点对吧,然后或者说我们进一步的像它必须不能开放相关的高危的服务啊,等等等等这样的一些能力啊,比如说还有其其他像这个终端的水印啊,然后管啊这样的一些能力。那这是在事前的这个安全层面,呃,那进一步的话,像市中的我们来看一下权限治理收敛,那其实对于咱们的像集团型的大企业来看的话,就是人员特别多的情况下,这个权限的梳理和治理的是非常重要的一个层面,以前的话,我们通过这种比如说防火墙的ACLACL来做,那这样的话现CL变得非常的臃肿啊,没有办法非常的,那现在其实我们可以通过这种呃理能的这种收敛的一个模式,那比如说我们可以把这个限都给了啊,然后过个大概,比如说30天或者一定的时间,然后呢,看哪些员工访问了哪些这个呃业务系统呢,没有访问的,我们会把它全呃回收回来啊,做到一个动态的调控来解决。第一个就是我们管理员运维的问题,第二个是权限治理的一个智能化的问题啊。
64:33
呃,那再有一个适中就是这种动态的检测和控制了,比如说我们可以根据员工的终端的状态啊,接入的网络啊,入的时间,访问的业务系统等等等等,那基于这种动态来动态的这种策略呢,来对他做进一步的控制,比如说这个员工呢,他本身是在这个内网呢,那突然就可能到一个外网的环境了,我们可能或者说他本来是一个有一个越权的一个访问啊,我们就会对它进行二次的认证,或者直接阻断啊,这样的一个动态响应的一个层面。
65:04
呃,那适中还有一个很重要的安全防御的高级的能力,是在于这个防钓鱼和防横移,这是明星L呢具备的一个很重要的一个能力,那其实在呃钓鱼和横移呢,这是在这个,比如说不管高速病毒也好,还是其他的恶鱼病毒也好,它在进入我们内网办公网的时候呢,是非常重要的一个入口啊,那这个钓鱼识别是我们怎么做呢?是基于这种呃关键的钓鱼路径,比如说像刚才所说的I'm聊天软件,邮件等等等等,那对他这两些落地的文件来做一个深入的一个检查,基于这种文件的深度和广度两个层面对来做进一步的交育识别,那再有就是横向,呃横一的一个检测,在于这种横向渗透的一个防护啊,比如像根据我们的这种呃,远程注册表,远程计划,远程服务啊,对于这种比如说已经违规的一些访问啊,以及这个预控的一些呃扣协验的攻击啊,来进行进一步的这样的一些横向横业的一个检测和阻断啊。呃,那最后呢,就是这种适中,还有一些像本地编辑的一些防御啊,这个就不多说了啊,还有一些文档改写文件啊,以及这种下载防护啊,然后邮件保护等等等等相应的一些防御的一些体系,呃,像数据安全的一些防护的话,这里多提一嘴,就是在于这种,呃,第一个水印,第二个就是工作的沙箱啊,这个沙箱可有移动端的,也有这个PC端的,这个主要就是在咱们本地建立一个安全的工作系统啊,这个工作系统里面的这个数据是不外泄的,它数据只能待在这个系统里面。
66:29
啊对,然后呢,而且可以做到一些远程的擦除。啊,最后就是事后的一个防御了,事后比如说像他已经中招了,对吧,那这个时候我们就要挽回损失,那第一个就是说腾讯本身已经支持了1000多种的这样勒索病毒的一些解密啊,但是这个不能保证这个,因为很多新的一些变种什么的是没有办法解密的,没有关系的。第二个就是我们通过这种文档时光机的一个功能,这个文档时光机是呃什么呢?就是我们可以提前呢,把我们的一些关键的文件呢,啊做一个这样的一个备份啊,我们只是两种备份的模式,一种文件的备份,第二种是这种呃圈影的一个备份,就是它可以恢复到一段时间里面任意的一个时刻啊把它恢复过去,通过这种呃,通过这种拍照的一个备份的模式,对。
67:13
这样的话就是即便我们被勒索病毒,这个加密了文档了,没有关系,因为我们有对应的备份,可以把它恢复恢复出来,这是一个非常实用的一个功能。啊,最后我们来看一下典型案例和对应的一些行业的一些情况,首先第一个典型案例就是可能因为呃关于攻击的一些案例,对吧,可能有的也不太好讲了,我们就讲腾讯自己了,因讯自己来说的话,其实刚才姚老师那个案例里面看到了,我们并不是说自己完全没有中过这个和病毒,但是我们每次遭遇这样的一些情况的话,都可以快速的把它解决掉啊,那为什么可以快速解决掉,基于刚才的刚才的呃介绍那样的一个安全防护的一个体系,那腾讯一六年就做了这个LV啊,然后一七年大自然推广啊,一八年是整体完成推广啊,所以其实这个有非常这个全面的一个安全的一个运营,以及使用的这样的一个经验啊,然后IV呢,也是在支撑了这个就疫情期间支撑6万台以上的员工啊,10万台以上的这个设备的一个全负荷运行,那这个整个来说的话,它的峰值流量达到35个G,现在是更多的,对,呃,因为这个,所以这个产品的整个成熟度和这个安全性呢,是经得住考验的,对。
68:22
我们也是通过这个LV呢,建一个整个安全的一个基,或者一个安全基,对,然后了一个这个整安全的一个闭环,我们可以看得到LV作为一个安全的体系的办公安全的一个入口和基座来说的话,为上层的相关的运营开发啊,内部的站点服务,沟通协道等等来进行一个支撑的,它是做一个支撑平台,这是我们对LV的整体的一个定位啊。呃,那IV呢,现在其实也获得非常多的市场认可,就是我们在呃,今年的五份五份的时候呢,先是达到了市面上零星产品的百万终端的一个部署啊,那这样的一些相关的一些,比如说像这个有一些大型的案例啊,这个知名的一些标杆客户啊。
69:10
那腾讯也很重,呃,这个重视相关的一些零星产业标准的一些工作,比如说这个成立了这个零星的标准工作组啊,以及这个相关的呃,行业的安全标准啊,以及获得了非常多的行业国内外的一些认可啊,像这个for瑞garner啊,以及这个呃,新通院啊等等啊,这里我就不多不多介绍了。那今天我这个分享到这里就结束了,感谢大家的聆听啊,有什么问题我们会后可以再做交流。好,感谢武啸天先生的精彩演讲,通过分享我们也充分了解了腾讯云在零新人安全解决方案的能力。下面我们有请安全中心的产品负责人许成为我们带来安全运营中心建设分享的主题演讲,有请。
70:03
嗯,好的那个各位下午好啊,各位先生朋友下午好,然后嗯,我是腾讯上产品的负责人徐川,然后今天跟各位这个分享一下,就是在建筑地产行业这个安全运中心建设的一个,呃,思路跟想法。呃呃,整个这个基的这个一个风险背景啊,我这里就不过多去赘述了啊,因为刚才前面的两位同事其实也分享了很多这个目前的整个一个互,呃,互联网一个比较复杂的一个形式啊,包括其实像在我们建筑地产行业,其实。在往年哈,就去年其实也是遭受到了一些这种呃黑客的这种呃这种这种热索病毒啊,跟这个呃一些这种挖矿的这种呃木马的一些袭击哈,就是像国外的一些这种呃黑客组织,像这个re呃呃reval啊,就是其实也是比较活跃的一个呃乐视病毒的一个组织,那其实整个在建筑地产行业哈,我们就是分析看来,其实目前主要招受到的这个安全问题,还是以这个勒索病毒啊,包括软件啊这些A软件,还有包括一些数据啊密这种安全问题为主啊,呃所以说。
71:14
其实我们像作为建筑地产行业,其实也是保存了大量的这个工程的一些设计图纸啊,包括一些客户的一些这个敏感信息,其实都会都是会成为这个呃黑客重点去关注的一些非常高价值的一些资产啊,其实去年呃,去年五暂啊,咱们国内的呃,某地产公司也是被遭受到了这个这个这个的一个攻击勒索啊。所以说这个安全问题啊,随着这个整个这个地产建筑行业的一个信息化数字化的一个转型,其实整个安全问题啊,也是会在整个安全建设中也是会到遇到比较多的一些痛点啊,那其其中之一呢,就是一个缺乏主动的一个呃防御的一个安全体系啊,其实呃,最近一些年,随着这个网络国家网络安全法规的一些呃不断的颁布跟完善啊,其实包括像人保2.0发布之后啊,很多的这个国内的企业按照这个法律呃合规的这个要求啊,也是做了一定的安全建设。
72:15
但是呢,嗯的安全建设,它还是偏向于这个头痛脚痛是。嗯,缺乏一个比较系统性的一个一个安全建设,所以说呢,我们过去建设的这种安全体系啊,是比较传统和被动啊,但是呢,随着这个攻击的,这个攻击的不断的这个这个这。流行啊,那其实我们需要去提供一些更加主动的一些检测的一些呃手段,甚至是预防手段啊,去把这些安全风险提前的去进行一个。监测预防,那其实。随着这个国家的这个这个呃,护网啊,就是国家级的护网,以及这个各个地方的一些重保活动啊,啊,这个地方级的护网的行动的一些开展。
73:04
那现在很多客户其实也是有遇到这种一些诉求啊,就是我怎么样去更加主动的去。发现和提前预防我这个网络里面可能存在的一些隐蔽性比较强的这种安全威胁,另外就是现在非常重要的就是一个情报,情报的一个能力啊,就是。呃,其实攻击的这个变化基本上是日新月异的,而且呢,你的系统上面存在不存在一些零倍啊,呃,这个一倍啊,或者是N倍的这些漏洞,那这个都是需要去依靠一些啊,这个数据量比较大的一些平台,去给你提供一些这种威胁情报的一些。信息,那你能够提前的预知自己的这个网络资产里面存在什么样的一个风险啊,另外就是我们这个随着安全建设的不断的完善。在我们企业网络里面,这个安全的设备越来越多啊,那这些安全设备其实都是一个个的一个数据,那怎么样去能够把这些安全数据进行一个整合,去做一个多元数据分析。
74:10
然后呢,把整个黑客的攻击链,能够一个攻击链攻击画像能够清晰的去给他描述出来,也是非常重要的一个能力啊,那再有一个非常重要的就是在发生攻击之后。啊,因为安全这个事情没有说百分百绝对安全的,那在发生攻击之后,我怎么样去缩短整个威胁的一个检测周期,来最大程度的降低啊攻击对我企业造成的一个呃危害跟减少损失啊,也是整个构建一个更加主动防御体系里面需要去解决的一个问题。那刚才前面也提到就是第二个痛点啊,就是其实安全设备可能啊,在过往的这个安全建设中,可能也啊,陆陆续续就是也都采购了一些啊,像这种编辑安全设备啊,防下一代防火墙啊,啊IPS啊等等啊,其实买的也挺多,但是呢,因为地产建筑行业毕竟属于。
75:06
相对比较传统的一个行业,它其实本身并不具备这种安全专业性非常高的一个人,那这些杂的安全设备,它产生的这些安全告警。啊,一个是数量比较多,另外一个呢,是我也缺乏专业人员去做一些分析啊,到底这个产品这个这个识别率啊,它的这个误报率是个什么样情况。也不得而知啊,然后另外如果说你是要去单独的去配置一些安全运的话,其实这个是企业的一个管理成本也会提高很多。那还有一个就是说我的安全这个东西是一个,呃,这个这个这个投入的一个一个部门就是怎么样。呈现我的一个安全的一个投入的一个价值啊,怎么去对我目前这个安全的投入进行一个。啊,分一个量化管理啊,就是我投入这些之后,到底我的这个风险的。
76:02
暴露面是减少了还是?怎么去管控这个风险啊,这个缺乏一个量化的一个指标来去衡量整个安全投入一个价值。那第三点就是刚才也前面也提了,就是安全人员的这个数量,就是具备一定安全这个攻防素质的人员,其实是偏少这些,在整个这个行业内,其实这种安全从业人员,具备对抗能力的这种安全人员,其实还是。呃,比较缺失这类,呃,有这技能的人员的啊,然后呢,所以说其实我们需要就是说有一些更加简单,就是加些产够内部全做一个视化的示。那另外呢,就是需要能够对这些安全。明确安全事件能够进行一个及时的调查跟处置啊,所以说这个都是在这个我们建筑行业,地产行业,这个整个安全建设过程中会遇到的几个痛点的问题。
77:06
那其实整个腾讯它本身哈,腾讯本身它的这个,嗯,作为一个互联网公司,它本身的这个业务体量也很大,那其实腾讯本身它的一个网络的安全的建设,就是一个非常好的一个安全建设实践啊,那腾讯在本身的网络安全检测响应安全建设思路这块呢,其实。嗯,也是依托于我们前面讲的几个痛点啊,第一个就是还是要去建立一个比较全面的一个安全监测与分析的一个体系。那将原来的被动育转化为主动发育,那其实在因为腾讯它所有的业务都是跑在这个腾讯云上面,那腾讯云的上面业务其实。有很多TOC端的业务啊,它是非常开放的,它其实整个腾讯内部的建设。呃,没有所谓的这种边界的这种说法啊,它是一个无边界网络,就是刚才前面我们同事也分享了,像他的网络构成主要是由信。还有一些边界的一些旁的检测设备。
78:01
跟分镜设备来构成的,它它本身里面内部是没有没有防火墙啊,或者是IPSB这一类的设备的啊,没有的,呃,那其实这里面就实要。嗯,其实我们在腾讯内部的最佳实践的话,它在这个主动安全体系这块,主要还是基于这个一个高级威胁的一个流量检测,还有包括一个呃用户行为的异常检测,以及呃具备的这个呃数大海量的这个大数据存储能力,能够方便于这个整个的攻击数分析。然后还有一点就是基于这个背后的这个强大的威胁情报啊,能够实现对事件的一个提前预测判断,那在第二个建设过程中,其实就是依赖于这个多元日志的一个关联分析啊,就是整合内部这些安全检测类的这些设备的一个数据,然后去做一个呃情报跟这个多元日志的一个关联跟碰撞,来提升我们整个安全运营的一个工作效果,那这个其实多元日志关联分析主要起到作用就是一个是减少安全告警一个数量啊,不是说所有的这个安全设备的告警日志我都要去看,都要去分析啊,我们会进行一个有效的降噪,把这个安全告警数量控制在一个可运营的一个级别。
79:22
那另外就是依托于这个威胁情报的一些碰撞,来降低整个安全告警一个误报率啊,我的告警一定是最精准的,就是不是需要说去去判断它到底告警是不是误报。然后这个多预报数据去做一个海量的一个集中大数据存储啊,然后方便于这个后续的一些事件的一些啊溯源分析,那最后够这个据个击链黑客画描进行一个直观的一个可视化展示。那经过了前面这个前面的检测分析跟多元关联之后呢,其实就自然而然的转化到第三步啊,就是简单的一个安全管理。
80:06
那其实这一块呢,主要呃,就是通过一些更加友好的一些可视化界面,去将整个安全的一些形式态势去进行一个呈现,那另外就是可以加一些多分支机构啊,特别是像这种地产建筑行业,其实是存在这很多这种多分支的这种场景的啊,就是在。呃,多分支其实是一个地产金融行业是比较明显的一个一个特征,它可以进行一个多分支一体化的一个运营管理啊,就不需要说在每个分支去有专门的安全团队去做管理,这样可以做一个。统一的运营管理,那另外一个就是可以针对这个安全事件漏洞进行一个全身周期管理。啊,包括一个安全自动化响应处置,来降低整个安全事件的一个处置流转效率啊。那这个是整个腾讯在安全建设这块的一个思路,那本身腾讯内部它用的这个呃,安全运营管理平台,它是呃,它的这个整个的一个产品的定位,就是在云时代一个全场景安全管理平台。
81:07
那它的几个特点,一个它是原生的,因为腾讯本身是做腾讯的啊,这个云上有非常多的这个业务租户,我们这个本身这个这个这个呃,SOC这个安全营管理平台,它是支持这个多的一个这个概念,就支持一个多户一个角色运营的一个管理。那租户的这些权限啊,组织架构啊啊,都是非常能够灵活去做一个多级的管理和适配的,那另外一个特点就是它支持多环境的一个管理,就是能够适合去做一个多云部署管理啊,因为现在很多的企业可能除了线下有自己的ID。机房之外呢,他可能还有自己的一些,呃,上了一些公有云的一些环节啊,或者是自己也有一些办公网的环节,那他其实可以把这些多云啊,然后机房呃,这个这个产品把这些安全设备都可以进行一个统一的采集管理。
82:03
那另外一个就是在检测响应这块,他有他自己独特的一个啊,这个日志的一个,这个这个规划处理以及这个规定。还要进行一个这个多元日志关联的这么一个分析的一些技术啊,方便能够将整个的一个攻击链,以及黑客的画像去进行一个。啊,这个这个描绘。那在可视化这一块呢,其实腾讯内部哈,就是利用这些,呃,游戏的一些这种引擎去做了一些这种3D可视化的一些展示效果呀,包括一些自定义的一些图表啊,其实这个是在应用性以及这个用户界面上面做的是比较好的,就是整个。啊,整个呈现出来的一个价值就是呃,光感也是比较比较比较比较好的啊,那另外就是整个腾讯的一个安全服务经验的一个沉淀啊,本身腾讯这两年在参加国家级的护法行动里面呢,也是啊,作为攻击方和守方都参与了啊,然后那个在攻击方这块,其实每年都是这两最近两年都是拿到攻击的攻击队的第一。
83:06
那在防守方去年也是第一啊,今年应该也也排名也是比较靠前的,那本身呢,腾讯内部是有这个大的安全攻防实验室啊,他是会把这些,呃,每年参加互网啊,网的一些活的一些这种攻击能力,就包括最新的一些黑客的一些攻击手法呀,一些这个漏的一些利用啊,都会把这些。呃,安全的能力作为一些,呃沉淀会沉淀到我们的产品上面来啊,那所以说我们这个腾讯安全管理中心,它能够是去采集这个网络终端,包括云端的这些啊日志,包括一些第三方的一些安全设备日志,进行统一的一个这个日志采集跟这个规划处理,然后进行一个管理分析,然后来产生这个最终达到就是告警的这个统一管理跟降噪啊,形成一个可运营事件的这么一个。啊,一个一个一个一个作用。那本身腾讯的安全体系啊的一个架构,其实前面也有提到,就腾讯本身它是没有这种边界防护类的一些安全设备啊,那它其实主要依赖的就是。
84:10
呃,从小的方面来说,它有个小环,就是在这个边界网络区啊,就是做一些的一些部署,就是腾讯的这个,呃,高级威胁检测类设备,我们内部叫腾讯的界啊,它是主要是做一个呃威胁流量的一个检测,那腾讯呢,内部有一个叫天幕的这个产品,它是一个旁路的一个阻断器,那这两个产品呢,放在这个边界网络区,它主要是呃,主要是镜像流量去部署,其实它的最大的好处就是对各个网络不会产生任何的一个变更跟影响。那通过这两个产品呢,就可以构成一个小闭环啊,通过一个异常量检测去联动这个目去做一个阻断,就能实现非常好的一个防护效果啊。这个本身在腾。业务内也是这么去部署去应用的啊,腾讯呢,它是用来去。
85:01
在用于做这个腾讯云上面的一些未备案一些网站的一些啊,都是靠这个产品去做一些拦截的,那对于这个大环来说的话,其实腾讯。就是安全管理中心,它可以去采集啊,这个边界的网络流量,包括一些这个呃,一些边界创新的一些传统安全设备的流量啊,像这些外防括墙S等等啊,通过这个标准的接口来进行一个日传输采集,那包括终端,就是像一些主机类的hids类的产品,也可以把这类的主机安全类的产品去进行采集。那通过丰富这些这个网络设备的安全日志采集上来之后呢,我们就可以去进行一个统一的数据的规划处理啊,把这个数据就是归统一化,结构化非结构化数据进行一个统一的这个这个这个这个归类分析啊,然后呢,去进行一个这个整个的一个关联分析啊,去匹配我们的这个。
86:01
啊,关联的这个引擎,然后去形成一个比较清晰的一个攻击,攻击关联的一呃攻击链画像出来啊,那其实这里面还有两个比较重要能力,就是腾讯的一个情报,还有一个安全服务的一个能力啊,那这个也其实也是整个大批里面的一个比较重要的一个一个能力的一个收入。那这个这个三角啊,这个三就是腾讯的天目预计,以及这个腾讯SOC,那就构成整个腾讯的这个安全管理体系的一个非常这个稳定的一个一个结构啊。那其实我们刚才前面啊同事也提到,其实现在在于整个行业里面遇到的这种勒索病毒,包括软件的这种攻击,其实它主要的一个。啊,威胁还是来自于内部的一些,呃呃这个这个预的呃,这个预控的一些渗透跟呃攻击啊,那这个其实是我们在最近一两年互网行动中发现黑客比较喜欢利用的一种攻击方式,就是通过在内部横移去把这个预控服务器去进行一个呃权限的这个这个这个这个采集跟提升啊,然后去把整个域控制控制,控制之后呢,那其实基本上就把内部的整个。
87:13
网络就打通了啊。其实那这个内部横向渗透,其实对于这个传统网络建设来说,因为传统的网络安全建设都是集中在边界的一个反应,那其实一旦黑客就是进来之后啊,其实内部的一个横的这个检测,是缺乏一个相应的安全检测手段去进行分析的啊,包括呃,你进来之后,你怎么去进行一个横,内部横向流量的一个检测,然后呢,对于这种横的检测啊,它都是采用一些这个比较特有的这种协议。那其实传统的安全的这个设备是不具备这种协议的解析跟分析能力的啊,另外就是整个横向渗透之后,它的这个影响的范围,它的到底这个呃,到底是做了哪些的,这个一个渗透工具的全过程是没法去可视化去去评估的啊,所以就是没有去办法进行一个快速的一个响应。
88:04
那腾讯在这块其实。在安全管理体系这一块啊,就是我们最早是基于这个,呃,这个这个。就cyber q券啊,就是攻击链的这个模型去做这个整个,呃,黑客工具一个定义,但是现在我们其实是对于这个Q券攻击链这个模型做了一个升级啊,这个是基于这个的这个at t的这个矩,去构建我们整个安全的检测评价体系。那这个检测评价体系,其实它的整个啊,检测的这个阶段啊,十几个14个阶段,然后它的里面细化到有几百种的这种配合常见的攻击手段,都把它进行了一个啊,就是地图化式的一个管理啊,就是个矩阵式的一个一个管理,那其实基本上呃,黑客的这个所有这个可能产生的这种攻击的一些行为啊,都是会我们会把它去举证化的去进行一个管理,那通过我们去多元的一个日志采集的这个的收集跟分析呢,我们会把这些。
89:04
黑客的这种攻击信息进行一个啊匹配啊,去对应到这个整个的一个击链上面来,那目前我们整个产品的这个,呃,这个黑客攻击手段的这个覆盖率也是达到了58%啊,就是是目前国内。呃,国内的安全厂商里面做的覆盖的最全的一个一个一个产品啊,我们内部总共有668个的这种安全的相应的关联规则。那其实覆盖了这个整个的A的这个十十四个阶段里面大概有百个。那其实我们会通过这个安全日志采集之后呢,会把这些日志做规划出来,然后映射到这个每个匹配到的这些安全的这个细化的一些事件上面去,那其实这个用户的管理哈,就是不需要这个很多专业通过这个的。
90:04
所有的网络安全设备里面采集到的这些安全日志到底。就是映射到了哪些一些黑客的一些攻击阶段,包括黑客的一个攻击画像什么样,其实都可以比较清晰的从这个矩阵中去进行一个,呃,这个这个解读啊。那其实这个我们做这个安全运营中心,其实也是为了最大的呃,解决前面提到的第三个痛点,就是缺乏这个安全管理人员的一个痛点,其实我们看呃日常接入的一息安全日志可能会达到这个呃一天上亿条的一个日志,那通过我们的一个关日志的一个规定告警之后,可能会减,减少到这个这个万这个级别啊,上万条的这个安全告警,那通过安全这个自动化调查关联呢,我们最终生成的安全事件可能就是剩下这个几百条啊,达到一个可运营的一这么一个级别。那最终安全用户侧的这个安全的一些啊,相关的这种,嗯,安全的这种运维人员主要去关注这这里产生的这个安全事件就可以了啊,其他的这些啊,原始日志的一些采集啊,降噪啊,其实这些都不用去太关心啊,这些就在设备层面就已经帮去去处理好了,那我们主要最终关心这个产生的安全事件就可以了。
91:14
那另外一个就是在企业啊,就是可能现在很多企业也上了一些公有企业在混合多云下面的一个安全管理痛点的话,呃,也是非常呃,企业会比较一个关注的一个一个问题啊,就是呃,对于客户在整个企业上云之后啊,就怎么样去做一个多云的安全管理,其实也是一个。非常重要的一个一个场景。那其实我们腾讯这个安全运营管理中心,它是支持这个呃,线下IDC,包括企业的这个公有云的安全日志采集,以及线下的这个所有安全设备的一个日子的一个采集啊,能够实现一个呃多云的一个日志管理,以及这个呃多户的一个账户域名的这么这么一块的一个能力啊。
92:02
呃,那这块下面其实这个呃,专门装门勒索病毒这个解决方案啊,就是其实前面也提到,就是我们这个小秘环,就是通过腾讯这个安全边界检测类的这个产品,能够去针对网络中的这些流量去进行一个主动的一个识别啊,那通过这个腾讯的一个。啊,这个,呃。预计的这个产品,它内置是有勒索病毒啊,有些安全密码,安全带都是安全专题啊,然后能够操作。呃,然后能够通过这些专题呢,去帮我们去做一个呃安全的一个呃专题的一个展示,那通过联动这个天目阻断的这个产品能够去。啊,进行一个及时的一个响应。那最后介绍一下这个整个一个客户案例啊,这个是我们在呃,某一个国内这个这个也是比较大型的一个企业啊,就是整个安全中心的一个建设实践,那通过在客户内部部署了整个腾讯安全中心的这个平台啊,然后去对接客户。
93:07
呃,客户有多达26种这个安全设备的日志啊。然后呢,去针对这些安全日志的日志进行一个统一的采集管理,包括像在公有云上面一些安全设备日志也统一对接过来啊,然后呢,去针对这些日志的采集,去做一个统一的一个安全运营分析,那同时呢,我们会去做一些安全这个可视化的一些呈现啊,就是把客户这块的一些。呃,安全的一些这个信息去做一个这个比较好的一个可视化的一个展示,那通过这个腾讯呃,云端的一个情况的一个赋能啊,然后去使这个整个安全运营达到一个比较简化的一个一个管理的这么一个一个目标。那其实这个里面其实也是针对客户的一些其他的一些业务系统啊,也做了一些深度的一些定制的接口的对接开发,包括去联动做一些这种它的这个HR系或者CD理系统啊,啊去做一些这个呃,工单的一些这种呃自动化下发,包括这个这个一些联动的工单的流转处置的一些这种处理啊,都能够去跟他的原有的业务系统去进行一个结合。
94:12
那这个是本身啊,就是本次介绍这块,就是腾讯安全管理中心,在这个呃,腾讯内部以及一些这个呃,客户侧的一个最佳事件。那我这边的分享内容大概这么多啊,谢谢各位。好好感谢许晨为我们带来的安全能力中心的分享啊,然后也感谢大家的积极参与,我们今天直播就到此结束,再次感谢大家的参与,欢迎大家扫我们屏幕上的二维码关注我们,敬请期待我们第三期的直播,再见。
我来说两句