云上安全3+1防线再升级，专为重保提质增效原创

各位嘉宾、观众朋友们，大家下午好，欢迎来到原引擎场景实战系列第三期，同时也是我们重宝场景系列的第二期云上安全重宝主题的直播活动，我是今天的主持人腾讯安全市场经理梁静。

那今年呢，我们的这个国家的数据安全法、网络安全法等政策法规的出台，重保这个场景已经成为大多数企业在安全建设方面的要点工作之一，那在重大活动保障期间，企业不仅是要面对愈发灵活隐蔽的这种新型的攻击挑战，还要在呃企业人员精力有限的情况下，应对部分昼夜的高强度的安全运维的任务。那因此我们只有充分了解攻击方的思，从全局视角事先构建完备的安全防护体系，才能提升我们的安全响应效率，才能确保在重保期间零安全事件，零损失。那本期的原引擎直播，我们将从云上安全重保场景入手，邀请腾讯安全的重宝专家们带来云上安全三加一防线再升级的主题课程。

好的，话不多说，那我们今天的分享就正式开始，首先请允许我为大家介绍今天线上分享的几位嘉宾，他们分别是腾讯云原生安全产品专家葛浩、腾讯云原生安全高级产品专家艾瑞克。腾讯。呃，腾讯云高级安全攻防工程师马子阳，腾讯云主机安全高级产品经理钟壮豪，腾讯云安全中心产品负责人周全，欢迎五位老师。那在我们正式的分享开始之前，我快速插插播一则抽奖的预告，那今天我们的直播将会有两轮的抽奖活动，每轮我们会选出十名幸运观众送出我们的特别礼品，那大家现在就可以扫描我们背景板上的这个微信群的二维码进群，同时呢，我们今天有多个腾讯云原生安全的产品试用的活动，在直播结束后也会在这个微信群内发出试用活动的报名二维码，所以感兴趣的观众可以现在就扫描我们背景板上的这个二维码入群，参与后续的抽奖和产品试用的活动。好的，那接下来我们就开始今天的第一个议题分享，首先有请腾讯云原生安全产品专家葛浩为我们带来防脚下的云上安全建设的分享，请葛浩老师开麦。

好的。嗯，等一下。好的，可以的。嗯，你这边空想要听一下。嗯，好。现在可以了吗？OK，屏幕的声音OK吗？可以的，可以开始了。

啊OK啊，各位下午好，我这边是那个腾讯云嗯云腾讯安全云生安全队这个产品团队的葛浩，然后呃第一个主题跟大家介绍一下这个腾讯这个呃云在这个云上宝的一些这个呃经验和我们洞到的一些这个呃趋势啊呃首先第一个就是我们在首先作为腾讯来讲，我们其实呃本也是在做这个日常的这个攻防的这个防护，所以其实我们可以说是每天都在参加这样的这个重报，当然有也是在过年过去的这个几年当中，我们也参与到了这个呃一些客户的这个红蓝对抗，包括了一些这种呃重保的一些事件当中去啊，所以我们也积累了一些这个呃攻防两端的经验，包括我们在过往的这个攻防的经验，看到一些这个呃比较的一些趋势，首先从这个结果上来看啊，就是大部分的这个被攻破或者是呃被入侵的这个客户有几。

几个重要的途径吧，首先第一个就是呃，现在呃呃这个这个云上的资产，相对原来我们去做传统的这个呃安全的攻防建安，安全的这个防护的建设的时候，可能有很大的这个差别，原来我们可能在IDC里面去做防护，大部分都会在呃网络的这个边界放疫的防火墙啊，所有的这个出入项的流量都会通过我的这个呃安全防护的设备去做，去做呃检测和拦截那业务上云之后，我们呃云上的这个呃资产的获取相对来讲会比较方便，我们可以直接在这个呃云的账号下面去购买相应的这个服务，呃比如说服务器的服务，或者呃这种这种costs服务，或者是呃数据库的服务，我就直接可以对外去发布这样的一些业务，所以对安全团队来讲啊，我的这个攻击面是变得更广了，所以这个暴露的风险也会更大啊，所以在呃呃攻击方通常也会利用这样的一些这个呃攻击面道的这个这个广度来去获取我入侵的这样的一些路径啊，所以在我们看到的这个入侵的。

定啊分了几大类啊，我们可能呃比较常见的，因为大家现在都会都会用这些OA办公的一些软件去做日常的这个呃，这个这个呃，办公的这个业务访问，所以这个是啊比较常见的这个这个攻击侧的。一个非常重要的入侵的路径啊，所以首先我们要去做好的就是在这个云上的这个这个呃资产的梳理啊，当然呃我们也发现呃在在过往的几年当中，呃会有越来越多的这个零的漏洞，我们可可能把它叫做核武器，因为呃常规的安全设备，对此类的这个呃零的漏洞是没有办法去做很好的检测，因为都是依赖于规则的，所以这个也是要去做重点的这个关关注的第二个就是呃，嗯供给方嗯也也是比较常用的这个手段啊，主要是钓鱼，那钓鱼的方式可能大家原来都听过，就是说我可能通过发钓鱼邮件，或者是这个发用一些这个这个呃丢个优盘去丢到这个这个呃呃办公或者职场的场环境里面去进入到内网，那现在其实慢慢的可能会发展的更高级的这样的一些钓研的方式，原来比如说我可以假装成这个HR猎头去个企业的。

可能呃，在这个保这个期间，我们去做这样的动作，很因为大家现在慢慢都会有这样的安全意识，会意识到这是一个。这是一个这个这个呃钓鱼的手段，那其实他们也会去养养这样的一些这个呃呃招聘或者是猎头的这样的一些号啊，平时的时候去跟你去保持这样良好的互动，到真正这个这个进行重保或者是进行演练的时候，才会去把这些号启用起来，那这样的话就是避免啊我的的钓鱼的对象对这个这个临时发起的这样的一些动作会起疑心，所以这样的呃钓鱼的手段也会去越来越越越越高级，所以我们也也需要不断的去对内部的这个员工去进行安全意识的这个呃，这个这个强调或者是培训啊，当然其实另外也是要对内网的这个资产或者是内网的权限去进行相应的这个收敛啊，那第三个就是呃，我们也观测到，就是原来可能大家在做，呃在在做防暑或者在做这个，呃，这个这个安全建设的时候，大部分的这个，比如说我们在主机端会有主机安全对吧，在防在边界层们有防火墙，那其实现在攻击方也慢慢的会去，嗯。

去提升这个攻击的攻击的这个这个路径啊，比如说我们原来用这个木马的方式落到服务器上，就通过这个基础的安全检测设备基本上都能检测出来，所以也会目前也会我们看到的这个趋势是会用一些内存吧，或者是无文件工具的这种方式，所以这个是呃对我们防守的这样的一些这个要求也是有呃极大的这个提升啊，因为这个呃呃大部分的这个传统的设备，只有你更新的这个出入帧之后，才能去检测到这样的一些这个呃文件的攻击，那如果他的文件都没有落到我的呃这个这个服务器当中去，只在内存里面，那就没办法去做检测了，所以这部分也是要去重点去进行这个呃针对新型的这个工具方式进行进行相应的这个防护，那呃作为防守方啊，首先我们要知道就是呃像要理解攻击方式怎么样去做的这样的一些攻击，所以就是呃知己知彼，百战不殆啊，所以呃在攻击队通常会第一个阶段会去做啊这个前期的一些准备啊，那比如说在正式的这样的一些红蓝对抗或者是演练的这过程当中会。

通常会啊，屏蔽自己的这个一些身份的信息，比如说IP地址啊，会使用一些代理的方式，或者是屏蔽自己的这个身份的信息，不去不能使用常见或者是日常使用的一些这个社交账号来登录啊，以及一些业务系统，所以这些信息都要去进行相应的这个盈利啊，第二个就是就需要去做信息的收集，那这里主要是针对，比如说我们针对定向的这个企业去进行暴露面的梳理，那这里就包括了像我们在互联网暴露的一些这个IP啊，域名资产，这里刚刚其实提到就是我们可能安全团队或者是业务团队，根本不知道我现在到底暴露在互联网上有哪些资产，我哪些资产是有防护的，哪些是没有防护的啊，那第二个就是在这些资产上面有哪些这个。

啊，应用的信息或者是开呃呃使用的一些组件，包括了哪些这个路径是对外开放的啊，这些都需要去进行呃，相应的这个防护，这也是这个供击方通常会收集的相应的这个信息来挖掘后面这个漏洞啊，第三个就是我们前面提到就利利用社工和钓鱼的方式去获取啊，啊更多的这个这个信息，那第三个就是我们在刚才收集的信息里面去找，比如说我们刚才这个IP下面有哪些啊，有哪些资产啊，通过漏扫的方式去发现啊，有哪些已知的漏洞啊，当然通常这个我们在这个呃，重宝或者红蓝演练之前已经会去做相应的这个这个收敛，那不排除还是有一些这个漏网之余没有去做修复的，还是可能被会被利用到的，那第二个就是我们可能会啊，掌握了大量这个零带的漏洞，那这个这个基本上对呃防守方的这个呃，这个要求还是比较高的，因为通常的刚才提到就是我们正常的呃这个这个传统的安全设备是没办法去对这部分的这个啊安全的漏洞去进行啊相应的这个防护的需要，我们需要去针对性的去做一些啊防护的这个，比如说我们去。

和异常行为的这样的一些分析和检测啊，对吧，那啊第三呃，这找到了相应的这个漏洞之后，就可以进行这个相应的这个验证，对吧，比如说有啊高位的端口啊，有些这个入口令，包括了一些这个这个。不当的一些配置啊，我们都可以把它把把工具发挥作为一个，呃，这个这个入侵的这个这个啊入口来进行我们的资产的这个渗透啊，那第四步就是真正进行的攻击的这个时候了啊，那主要的径就是通过我们已知的漏洞啊，或者是一零的的拿到我的这个服务器的权限，然后再进行横向的这个这个渗透，那这里主要的这个动作就是我们可能会啊呃，通过以这漏洞来绕过我的这个边界设备，直接进入到我的内网啊，拿到这个权限，然后去做相应的这个提权，那最后一步就是进行我的这个啊战果的进一步扩大啊，我通过我拿到已知的这个这个服务器的权限，进行内网的资产这个这个扫描，把刚才的这个动作再做一遍，因为我们刚才前面的这个主要的这个信息的收集漏洞，这个发现都是在互联网侧啊，那进入到内网之后啊，相相应的也会去对内网的资源去进行相应的扫描和这个漏洞的发现，那呃，我们接下来会通过两个真实的这个，呃，在重保期间，呃，这个工具队啊，通过这个这个相应的这个。

漏动去入侵到呃内网的资产的这样的一个案例，给大家介绍一下工具的是怎么样去呃真正的去这个去实施这个工具的这个操作的啊，首先第一个啊，还是也是通过这个资产测绘的方式去发现啊，比如说这个这个单位我们就通过资产测绘发现这个方式发现它有一台，有一个这个外部的系统是暴露在互联网上面的啊，但这同时这个这个系统又没有进行这个相应的防权的管控啊，就可以通过这个未授权的方式进行登录到这个后台上去。那第二步就是通过这个呃系统之后，我们发现它有一个入口令的这个登录的啊，这个漏洞啊，一个一个常见的这个123456的这样的密码，就可以直接登录到后台上面去啊，那我们就直接进入到这后头呃系统里面去了，就发现存在这个呃这个常规的像这个文件上传啊，SQ注入的这些漏洞啊，都是已经有基础的防护了，所以我们要去把呃去找其他的一些工具方式，那呃我们再进一步的去发现的之后就可以看到啊这台这个业务系统其实有存在这样的一个这个呃API和呃后台服务分离的这样的一个一个业务架构的设计啊，啊后台的这个文件的读取功能，基本上是比较还是还是比较这个这个安全的，但API这里存在未授权访问的这样的一些这个这个漏洞啊，所以就针对这个漏洞啊，就进入到我们这个这个业务系统当中去了，那同时我们就呃，这个拿到了相应的这个文件读取的这个权限啊，读取了配置文件以及历史的操作的一些信息啊，那我们发现在历史操作信息当中发现的这个。

可以通过代理突破网络限制，达到我们的内网的这个服务器，然后又发现的这个服务器其实是没有配置密码，就只啊存在这样的一个这个配置不当的问题，所以这其实还是有蛮多的这样的一些漏洞需需要去，或者是这个这个弱点是需要修复的啊，那我们利用radio之前提供的这个备份的功能啊，直接把这个备份的路径和备份的文件啊，像这个这个这个登录的凭据里面写入了我们自己的这个访问的公钥，这样的话就可以直接通过这个公钥去访问我们的这个这台主机了啊，这样的话就直接进入到我们的内网当中去了，最终我们拿到了这个，呃，这个在这个攻击事件当中拿到了呃呃，将近1500个的人员的信息，以及包括了这个呃，十家单位的这个源码，所以这个其实对啊，如果是真正的这个攻击事件，发现对这个企业的影响还是比较大的，所以这个是一个通过呃边界的资产，然后我们发现有漏入口令，以及这个未授权访问的API的AAPI服务就有未授权访问漏洞啊，直接打入了我的内网的这个这个资产进行。

这个横向资源的这个呃渗透进行获取呃权限啊，所以这这这里其实可以看到我们刚才列举的这些，比如说像入口令啊，像这个未授权访问，其实都是一些比较常见的这个这个安全的漏洞啊，那其实我也也可能会成为我们呃获得核心资产的这样的一个重要的入口，所以这对啊所有的这个安全漏洞是不能掉以轻心的啊。

第二个案例啊，我们来看一下，也是通过这样的一个几个步骤啊，首先第一个呃，这个案例主要还是通过这个这个我们刚刚提到的呃，这个钓鱼的方式进入到这个内网啊，就是我们呃假扮成供应商给这个内网员工内部的员工发了一个这个这个呃恶意的文件啊，那他打开之后就直接直接可以直在后台就执行了，那我们通过这个这个内网的员工去扫描，发现要有这个呃平台是有入口令的啊通其实跟前面也是一样，就是我们的安全问题，其实没有进行非常好的这个收敛，所以导致了就存在这样的一些这个漏洞啊，那我们通过这个呃连接到我们的这个控制端之后，息这个木马的行为来横向到横向这个在内网去做，去做测试，去发现更多的这个这个信息，那我们在内容发现之后，他的DLA里面啊，有它的这个docker的仓库的地址，包括了它的这个呃，账号密码都在这个这个源码里面啊，提取了其实这个这个在呃，以往的这个攻防演练或者中宝的这过程当中还是。

比较常见的，因为开发的同学为了比较方便的去访问我的业务系统，通常会把他的这个访问的凭据，或者甚至包括这个AK的这样的一些这个呃直接写到代码里面去，所以这样呃嗯比较容易造成这种呃权限的这个泄露，就给攻击攻击方留留下了这个我不需要再去外网去做更多的打点，就直接可以进入到内网的这个这个呃权限啊，所以我们就通过这个账号去呃进入到这个仓库，发现了这个镜像，然后我们拉取了这个呃这个这个呃订单的一些数据啊，以及包包，包括了一些账号密码的这样的一些资产。啊，那我们也通过啊这个零贷的这个方式打下了这个运维系统，所以在在呃这个每年国家级的这种购房一年当中，零还是利用的比较多的，所以这个啊还是要去做重点的这个这个防护的啊，所以我们就通过这个这台服务器息了啊其他内网接近影响了2000台服务器的这个呃这个这个配置啊，通过这个呃容器环境呃逃逸到我们的数据数据器当中去，那通常我们在呃重保的过程当中会去呃获得一些权限，但是在实际的这个生产环境里面，或者实际的这个黑客的工具当中，它可能是以这个啊这个获利为为为目的的，所以可能会种植种一些这个挖矿的木板来帮他去产生一些挖矿的这个收益啊，所以这个在在这个呃重宝的过程当中，我们是获取了啊，用户的部分的这个核心的数据，将近五十亿五十二亿条的这个这个核心订单数据，如果这份数据暴露的话，其实对客户的这个呃呃这个整体的商业的这个信誉还是会产生非常大的这个影响。

所以这个是呃两个整体的这个工具的案例，第一个就是我们通过啊信息的收集，去获取我们在啊互联网上的一些资产，包括我们通过这个呃钓鱼的方式去进入到内网去进行横向的这个渗透，然后再通过我们拿到资产的信息啊去获取我们内网的一些权限来，然后再进行横向的这个这个移，所以这这里会发现在边界在在内网都需要去进行很好的这个这个防护，包括了我们的容器的环境，其实我们也发现啊在最近的这个。

几年的这个攻击当呃呃攻攻防演练这个过程当中，大家其实已经慢慢的形成的是说我们有这样的安全意识，是对基础的这个比如说服务器的这个环境去部署相应的这个安全设备进行防护，那针对一些这个比较高呃高级的或者是这个呃这个特定的一些攻击方式，还是要去做相应的这呃这个这个呃关注的比如说我们API的安全，比如说我们的容器环境的安全，以及我们啊通过这个零漏洞去做重点这个这个防护，那作为防守方我们应该怎么样去应对这个这个呃攻击方的这个防守呢？那首先前也跟这个攻击的这个呃链路比较比较类似啊，我们要去做针针对性的这个防守，首先第一个还是要去对内部的员工进行这个，呃，这个安全意识的这个宣贯，那就这就包括了我们自己内部的这个员工，以及我们的合作伙伴，因为我们在以往哪里，呃，可能大家听听说听到过，就是我们通过供应链的这个方式，先入侵到我们的合作伙伴，然后再通过相应合作伙伴跟我。

这个这个攻击方，呃，这个被攻击方的这个专线或者是网络联通啊，直接进入到我的这个靶标里面去啊，获取相应的这个这个攻击成果。啊，第二个就是我们要去进行相应的权限的收，呃，这个这个这个收回权限的分配，做好这个最小授权啊，第三个就是还是要去部署相应的这个安全设备去进行啊主动的一些这个防御，第二个就是在信息收藏收收集这个阶段，就是我们自己要对我们自己现在有哪些资产，有哪些服务器IP是对外暴露的啊，这个要了然，了然一胸啊，然后对这些资产，呃里面有哪些这个啊服务有哪些这个这个啊，甚至包括我们要去做这个漏洞的这个扫描，对吧？到第三步里面，我们去把这个整个资产里面涉及到的一些漏洞啊去去做，能修复的去把它修复，如果不能修复的，我们可以通过一些这个啊，虚拟补丁或者是主动防御的方式来避免这些漏洞成为攻击，攻击方能够利用的这样的一些这个漏洞啊。

同时我们也尽量需要尽量去减少我们在互联网上暴露这些资产啊，尽量有些客户可能会啊，比如说呃，断网啊，或者是当然是这是比较极端的一种方式啊，或者是啊这个业务下线，当然比如说像一些这个啊，我们日常会用到的，比如说车联网，或者是我们通讯的一些系统，这种是不能下线的，所以这个还是要去做啊，这重点这个防防御的，那其实我们也可以通过自己的内部的这个生动测试的方式来对我们自己的业务去做啊，这个啊这个这个这个检验啊，是不是是否还存在相应的这个漏洞，那第四步就是我们在啊，有可能在重保这个过程当中主要的一些工作啊，就是在啊实时的去监测我们有哪些工具的行为，对吧，那主要的工作可能大家平时呃做的比较多就是在封IP，可能封到几万或者是是几十万的这样的一些IP的一些数量啊，这个是呃，当然这个时候也非常考验，就是在边界设备的这样的一些性能，我能不能去承接这么大量的这个IP的这个风啊，对吧。

啊，第二个就是我们在需要去对实时对这个呃异常行为的实时的监控，因为刚刚提到就是我们呃可能会使使用一些零的呀，或者是进入到内网之后，可能有一些这个安全设备是没办法检测到这个这个呃这个恶的攻击特征的，那所以这个时候我们会我们需要去对这个异常的一些访问行为，包括一些操作去进行这个实时的监控啊，啊能够去及时的发现内网有一些这个异常啊，同时我们也可以提前去布设一些这个比如说密罐啊，或者密网来来啊，呃这个这个诱捕这个工具的，一旦工具的踩到这个，踩到这个这个密网之后，我们可能就发现它，呃我其实可能我们内网已经实现了，那其实去把这部分这个业务去进行隔离，或者是把这个相应的这个连接给给给呃给隔离掉啊，这样的话就可以避免这个这个呃，这个工具的获取，更进一步的这个这个啊，内网的这个这个权限啊。

呃，第五步就是在横横向这里，就是在内网的资源的这个隔离这里啊，通过比如说分级分域啊，或者是我们通过这个安全组的方式去把啊资产或者是业务去进行很好的业务业务隔离啊避免啊这个呃更大更大面的这个这个实现啊，这个是整个啊防守需要去呃这个重点关注的，那在云上安全我们应该怎么去把我们刚才提到的几个关键的阶段能够去落地啊，做到很好的防护，能在腾讯云上我们提供的叫三加一的这个这个安全防护体系啊，那三加一的安全防护体系里面包含的主要的这个组件，首先第一个就是在防火墙对策啊，就是刚刚提到了，比如说我们去需要去做大量的这个IP访问，呃，防问请求IP的这个检测和封禁，那就是第一道这个防护，我们在大门侧把所有的这个流量去做，呃，检测和这个分析，同时我们可以做暴露面的梳理，那第二个就是我们针对啊，我们重要的一些业务资产，比如说我们的网站，我们的API来去做。

相应的这个安全的防护来防护我们的，就比如刚才提到的我们的API的这个未授权的问题，对吧，我们可能需要去梳理我们有哪些API资产，那第三个就是我们在在最核心的这个资产上面，我们的主机，我们的容器上面去做啊最后一道防线，包括了一些这个恶EA个文件呢，木马的这些查杀，那第四个就是我们提说的三加一的这个这个这个一啊，就是我们通过一个安全运营中心，能够把前面这些安所有的产品能够联动起来，去做统一的这个管理啊，去做统一的这个策略，息发和和联动这个分析啊，这样的话可以提升我们这个整个安全运营的这个效率，那这个是我们在这个整个三加一体系里面能够提供的这个安全防护的一些，呃，细化的安全能力啊，包括包括了防火墙里面，我们可以通过VC防火墙来去做啊，内网的这个隔离，比如说我们在IDC跟腾讯之间的这个流量的防护，包括我们可以通过防火墙来去做这个零信的防护，把我们的对外包露一些资产，通过啊呃，这个零的方式对外去提供，可以通过二次授权的方式来进行访问。那第二个就是我们在。

推测我们可以通过比如说在呃实际的这个防当中，我们可以把啊海外的流量给封禁掉啊，对吧，I资产可以去做梳理，可以去做异常调用的这个访问，那在主机测我们可以去做漏洞的主动防御，对吧？比如刚提到我们可能短期内没办法去快速的去修复我们的这个漏洞，我们可以用这个这个防御的方式来把这个漏洞先防御起来啊，那容器也是一样的这个啊在在云安全中心里面，我们可以通过把这些安全设备的这个告警，能够去做联动的这个这个这个呃分析，以及去去做联动的这个处置，比如说我们在呃主机侧发现有一个入侵的事件之后，我们可以联动防火墙，把这部分流量可以做一个很好的这个封禁啊，同时我们也可以支持这个多账号和多元的这个这管理啊，这个是后面会有详细的这个每一个部分的这个详细的介绍啊，然后这个是我们，呃，在每一个阶段，我们的这个每一道防线，能够帮助到大家能够去做怎样的这个防护啊，首先在前期准备阶段，我们可以通过防火墙来去做资产处理，然后去做一些这个啊。

这个工具面的收敛啊，第二个就是在外这里侧，我们可以去把所有的这个七层的web设的这个这个业务去做啊，这个这个啊防护啊，接入到我们的这个整个的外部应用的这个防护里面去，第三个就是在主机安全测，我们可以通过。啊，我们的啊，这个这个轻量化的一键开启的这种方式去啊，快速的去构建这个基础的这个防线，第二个在资产管理这里，我们也可以通过啊防火墙去扫描我们在云上的一些公网IP的资产啊，包括一些域名啊，可能包括我们可能有一些这个呃，已经防护的，或者还是没有没有防护的这样的一些资产，可以在同时在云安全中心里面可以统一的去做一个这个这个呃资产的处理啊，在风险发现这里，主要还是通过我们，我也会去主动的去做一些漏洞扫描，发现我们这些资产里面有哪些这个漏洞啊，去同时进行一些基线的这个扫描，发现我们有跟基线之间还有哪些差别，可以去需要去提前做修复的，那在实时的这个攻击过程当中，主要还是去利用这些设备去做检测啊，我们有哪些恶意的流量攻击，我们有哪些异常的这个访问啊，去进行这个这个关联性的分析，以及最终的这个防护啊，第五个就是在横向运动这边，我们可以通过VPC之间的防火墙跟专线之间，包括安全组，我们可以去形成在内网之间有很好的这。

可防护避免这个啊，工具面这个这个呃，实现的这个免跟呃跟扩散啊，那这个是我们在腾讯上提供的这样的一个试用的一个入口啊，大家可以领取一下，就刚才提到的这个几个安全产品或者安全防线都可以在这里去开启去试用啊，OK，然后我这边的这个分享就到这里。好的，谢谢，谢谢葛浩老师的分享，那嗯，刚刚葛浩老师非常呃，就是用一个框架性的整体介绍给我们介绍了一下云上安全重宝三加一的这个体系的一个框架哈，那我简单的总结一下，呃，这个三道防线指的就是云防火墙袜和主机安全，那它分别帮忙拦截了我们企业这种边界的啊，这种流量型的这种威胁，然后呃。

以及API资产和域名，然后以及到最核心的这种呃，企业资产的就是存存在在主机上的这种呃威胁，然后呢，通过一个云安全中心来调配所有的这种安全产品，来形成一个协同的合力。好，那嗯，刚刚提到的这个三加一防线的每一款产品和最后的这个云安全中心，我们接下来会有一个呃，细分的一个重点的介绍，那接下来我们就有请云原生安全高级产品经理专家艾瑞克带来云云防火墙，云生安全第一道防线的主题分享，请艾瑞克开麦。嗯，好的，我声音正常哈，可以的。好，那大家好，那接下来十几分钟，我我那个我给大家分享一下那个云防火墙，云上安全的第一道防线。

那我相信这个其实我们遇到重宝这种场景啊，特别是在云上的这种重保场景呢，嗯，在我们这么多年的这个实战攻防那个挑战里面啊，我我们听到客户最常反馈的是这三个声音哈，大家可以看一下，这个跟您那个当前遇到的面临的状况是不是一样的，第一个呢，就是说非常担心自己在云上的资产有不当的暴露，因为呃，我们有些客户可能是用，但是有更多的客户其实用用了好多年，嗯，那他的资产呢，其实经过这么多年，呃，比如说有一些影子资产啊，或有些呃，本来是刚刚测那个测试完成之后没有及时销毁的一些资产啊，其实客户那个客户这个时候，如果到了重保期间，就非常会担心说，那我这些呃，没有被防护的资产，会不会成为我的这样的一个被入侵的漏洞，因为因为很多客户会嗯会会说哎，我我其实我我认为我的重点资产防护还是可以的啊。

那第二个问题就是就是说我们的大家都知道云上其实有一个安全组，那这个安全组呢，我相信大家其实缺省都会呃做一些这种日常的管理，但是随着这个这个管理人员的变化，或者业务的复杂性，我相信呃如果尼的安全组有了有了几百条，甚至我们看到有些客户有了上千条的配置的时候，那遇到这种重保场景的时候，这个时候你通常来去想理安全组去做一些整，这个可能会心会些担。我其实不太敢去动我的安全组了，那在这种情况下，我们如何来去快速去？构建我们云上的安全的第一道防线啊。那另外一个痛点呢，更多的是说，嗯，在这种这种攻防场景里面哈，呃。不仅是不仅是我们这个这个这个客户，我们发现很多朋友都会有这个困惑，说我们其实始终在一个这个非常被动的角色，因为攻击者他可以聚焦到你一个弱点来攻击就够了，而防守者呢，其实是要面面俱到，那在这种情况下呢，我们作为这个防守方，我们是否有一些思路和办法来去做这些破局呢？那带着这些疑问哈，我们来看一下我们云防火墙如何来去构建云上的第一道防线哈，第一。

云方讲我们如何来梳理云上的这个资产的暴露面？那在云防火墙，其实我们那个几年前刚出生的时候，我们就有一个非常好的一个能力，叫做这个资产中心，那么这个资产中心呢，它会帮助我们去梳理我们在云上的整个资产的暴露情况，这个并且呢，我们还集成了我们的这个腾讯云安全的这个漏的能力，也就是说不仅能帮您帮助您梳理你在云上其实暴露多少资产，这些资产对外暴露什么样的漏，呃端口甚至还能帮您分析说您当前的资产或当前的这些端口下还有什么样的漏洞，那有了。

有了这个信息之后呢，实际上我们就可以快速的来构建我们第一道防线，那怎么来构建呢？有了这个信息之后，其实如果您用过这个防火墙，或者说如果没用过的话，后续我们这个这个课程完了之后，其实有一些二维码，您可以扫码去领，相应的这样的一个试用的情况，来看一下我们的界面，就会有非常呃直观的感受，在防火墙开关这个地方，实际上我们刚才谈到的所有的公网资产，在我们的这个开关界面就呃一一给您列清楚了，一方面您可以去看一下哪些资产是不应该暴露在互联网上的，您需要去给他做一些清理，那另外一方面呢，如果你看到对应的资产确实是业务所需，对外需要暴露，并且又有相应的一些风险的话，其实您可以一键就迅速的拉起了整个云上的一道防线，那拉起了这道防线之后呢，大家也都知道，我们整个的云防墙其实对标的是这个。

那N里面最核心的一个IPS防御的能力，我们是缺省，从天生缺省就是内置的，并且呢，其实在云的攻防环境下哈，对这种攻防效率的这种提升是一个非常重要的一个考量点啊，为什么这么讲呢？因为在这个真实的攻防对抗当中，我们可以看到这种零的这种这种爆发的频率和速度是非常高的，这个时候既非常考验你的防守方是否能够。及时的发现林队，或者说及时的针对这种林队有有非常好的这种呃防御措施，那由于在嗯。云的这个模式下哈，我们腾讯云其实背后承载了整个云上的近千号的这样的一个安全方，安全工方专家的团队，因为我们其实不仅是要为客户服务，还要为我们整个云的平台服务。

这么多年来积累下来的这种那个，呃，攻防的实践里面的那些这个安全的规则，其实都内置到我们这个营上，那更重要的是说在重保期间。攻击队一旦发现这样零其实就会给出相应的这样的一个我们叫做内部的叫做测试的规则。实际上就。在防火墙上做了相应的内置，比如说这是我们以前其实有个客户，其实我们侦测到在互联网上有对应相应的零，然后帮他在几个小时之内，然后写好了规则，然后灰度，然后上线发布之后，其实马上就发现其实正有攻击者利用这样的零来对他的网络进行相应的攻击行为。那值得一提的是，我们刚才谈到的是说我们其实非常快速的可以帮助您呃，构建好整个云上的互联网边界，那除了互联网边界之外呢，我们整个的云防火墙哈，也能够拓展到比如说像刚才谈到的IDC的边界，甚至您是S的这个这个设备接到云也可以实现这个安全的防护，包括这种这种接入。

总之一句话就是说网络流量在哪里，我们的这个云防护墙的边界就能够拓展防护到哪里，并且呢是在云上统一的这样的安全管控。那另外呢，其实呢，在防火墙里面呢，我们也拓展了一个非常有意思的一个能力啊，特别是在重保护网重保期间，那如果您的有一些这种。呃，资产一定要对互联网暴露，其实我们建议您需要梳理一下，特别是那种如果是对合作伙伴对内部业务开放的一些资产的，那其实我们建议采用我们一些零信的这种啊接入方式，那通过这样一个非常呃精的这样的个配置呢，其实你也不需要做任何的这种客户端的安装，也不需要有任何的这种代理，实际上比如说你有一个这种内部的这个外部业务，我需要对合作伙伴这个呃发布服务，以前如果你直接发布的话，实际上可能很容易受到互联网的攻击，如果你想通过V发布的话，那那那其实对合作伙伴来操作起来相对会比较麻烦，因为你要合作伙伴还要自己申请一个VPN的客户端，那如果你采用云防火墙的这种零信任的记录方式呢，对合作伙伴来讲非常简单，如果他他只需要通过微信，甚至是如果是用用了企业微信的话，通过企业微信这样一个认证的方式，呃，只需要这样手机扫一扫就马上可以那个。

来使用相应的这样的一些业务。好，那刚才谈到的两点呢，实际上那我们就为整个云上哈，无论是互联网边界也IDC边界也好，拉起了这么一道快速的防线，但我相信仍然会有很多朋友会有担心说哎，那我防线拉起来了之后，那我到底这个云上的这个这个是否安全，那确实作为这个防守方来讲哈，我觉得是非常难以回答这个问题的，所以说呢，我们在云防火墙产品里面，我们提供了一个网络蜜罐的能力，我们认为网络蜜罐其实是改变这种攻防这种非常不对等的这样的一个支点，为什么为什么这么理解哈，因为我们其实谈到的所有的能力哈，其他的能力都属于这种防守的能力，而只有蜜罐的能力是有可能是成为我们一个，一是延缓攻击，第二个是甚至有可能会被溯源反制的这样的一个能力，并且呢，网络密过能力也秉承了我们云防火墙这种SS化的这种，呃。

实施的理念，对于客户来讲，其实你要用用这个服务非常简单。就是简单的两个步骤，第一你只要新建蜜罐服务，绑定好幼饵，那些诱饵，其实我们在整个啊网络上已经预制了啊，将近二三十种，然后再建好一个探针，绑定到这个密罐上就可以了，那所谓的这个探针呢，其实就是网络服务，如果你把这个探针设置成公网，那这就是公网密罐，如果设置成一个内网，那其实就是一个内网密罐，这里面其实更值得一提的是说内网内密罐在这个攻防对抗当中，呃，其实应用的价值是被往往被低估的，原因是因为其实密网那个内网的蜜罐啊，因为本身蜜罐它没有提供任何的服务，一旦被的话，其实基本上就可以定，你内部是出现了这个异常，对应的CM肯定是有有问题，所以说云防火墙其实通过呃，比如说在互联网边界的这种主动外点的控制的这个点，在内部的这种呃VPC间的防火墙的隔离的点，甚至结合我们。

刚才谈到的内网蜜罐的这个点，形成了综合的这样的一个防御的体系网络。

那这里面更值得一提的是说。也有很多朋友会问我说那我我我我很担心我的蜜罐这个被打爆掉，会不会对我的这个业务系统有影响，那这个请我们在线的友们要放心，因我罐系统完全独立，网络系统，网络系统系系统完全独立离的也就是说内网密罐。就是被入侵。被那个任何被打爆掉，也不会对你的这个业务有任何的影响，这里面我可以这个这个预告一个小的很小的一个能力哈，这看起来，但是呢，非常小巧的一个能力，我们的这个密罐做到了一个什么细度的颗粒度呢，比如说如果你有一个域名，你那个域名呢，比如说3w.test.com可以直接访问到你的正常的业务，但是呢，你可以加一个其他的这种目录，哎，就访问到这个，呃，云上的一些密，那其实这个度就非常高了，通过这么一些小小巧的设置呢，使得说。

其实你为你的这个业务系统其实是埋下了很多这个这个诱饵和地雷的，那攻击者很有可能就踩中了你的这样的管，并且从我们实战攻防的角度来看，一旦有必有。有蜜罐的这样的一个业务系统。呃，攻击者通常都会选择绕道的方式，原因是因为云上有那么多业务系统，他为什么要冒险去搞你这个已经不好了，这个陷阱和诱饵的一个系统。那另外其实嗯微那个微信情报哈，也是最近几年其实在重保期间发现非常有帮助。对这个攻攻防对抗当中非常有帮助的这样的一个那个那个能力哈，那么实际上我们云防火墙也是在呃。一发布的时候就集成了我们的这个威胁，呃，情报的能力，并且呢，在重保期间呢，我们也会推出重宝专题的情报包，使得说在重保期间，您比别人能够更快一步的获得我们的情报的一样支持。

那最后呢，我概要的那个。嗯，总结一下啊，其实无论是在你日常运维的时候，还是在重保期间，做好下面几个步骤，其实基本上你的这个网络安全的水位就有七八十分以上的第一个点就是说。要梳理你整个资产的暴露面，你非必要就不暴露，如果你一定要暴露，那你要判断你这个到底是要对公众暴露，还是要对合作伙伴或者员工暴露，如果是对合作伙伴和员工暴露的，那推荐优先用白名单的这种身份认证，比如说呃，防火墙的这种微信扫码的这个服务。那第三个点是说你一定要做好分区分一的隔离管控，管控好这个那个资产的这个外联。

最后呢，要增设这个那个蜜罐的这个陷阱。来提升你的溯源反制的这样的一些能力。好，最后我总结一下哈，其实从这个实战攻防的角度来看云防火墙的价值哈，那我们刚刚才可以看到，其实不不管是这个防火墙在这个资产的这种一键的梳理啊，包括这个封禁的能力啊，其实在重期间，我们云防火墙能支持高达级别的这样的一个风禁，并且呢，呃，随着您的这个封禁列表的扩展，其实我们是可以弹性的在扩展的。啊，包括这个那个虚拟补丁的能力，这个IPS实时的阻断的能力等等吧，那最后总结一下哈，就是说一旦您需要这种，比如说风海量的IP，需要去封堵云上的这种。啊，业务对外的一些漏洞需要防入侵，你就用云防火墙，那如果你有等保场景，你有这个重保的需求，你也随时可以用防火墙这个利器。

那最后呢，其实这是我们这个，嗯，整个。云安全产品的一个试用的一个二维码，如果你想有进一步的了解这个产品，欢迎扫码来领取试用。那我今天的这个分享就到这结束了，谢谢大家。好的，谢谢Eric克，那嗯，针对呃第一道防线云防火墙的价值，呃艾瑞克给了非常详细的一个讲解，那嗯呃我我这里先呃插播提醒一下哈，因为我看到那个评论区有有观众反馈说我们之前的那个二维码扫进去，因为之前的那个群可能满圆了，所以我们紧急替换了一下二维码，然后大家可以呃现在就扫扫呃扫描现在我们背景上的这个二维码，应该是可以重新进群了，然后我们的第一轮抽奖也会在下一个分享结束后开始第一轮的抽奖，所以大家可以先扫描我现在这个背景板上的二维码，如果有问题的话，我们可以继续在评论区去反馈，然后另外呢，嗯，今天的这个呃，各位讲师的分享的内容，如果说大家在过程中有任何的问题，也可以在我们的这个评论区去提出自己对呃的疑问和互动，我们最后的这个FAQ的呃，FQ的这个环节。

我们会一起来做集中的解答，好，那接下来我们有请腾讯云高级安全攻防工程师马子阳带来第二道防线，腾讯云筑牢应用安全防线的分享，我们请子阳老师开麦。诶，好嘞，谢谢。谢谢主持人。你现在能看到我屏幕吗？好，可以了。好的，呃，大家下午好，然后今天我分享的一题是说，呃，腾讯云外服去筑牢应用安全防线，其实今天主要是说在这个重保场景下，因为我们在进行了不断上云的过程之中啊，其实我们从云从一个单体应用就会变成说我要对整个云的工作负个护到一个标题，就是们通过界便利的去屏蔽这些攻击的风险，去帮助我们这。

打赢这场关键的一个重保护航。那么这里面就是不得不提到一点，就是说在重保场景下面，WP应用会遇到一些什么样的一些风险，还有一些攻击手段了。在这边的话，其实在攻防演练的过程中啊，其实攻击者的手段呢，其实有很多种，刚才我们的那个葛浩老师也提到了啊，一些来自于说啊，一些啊零啊，或者是一些N这种方式来去做，但其实呢，在整体的一个攻击的逻辑的一个过程中，它其实我这边是把它按照不同的层级用来排列出来，说一些它一些攻击手段，就比如说老生常谈的攻击者会使用一些呃外部应用漏洞啊，或者说一些0DAY或者n day这种漏洞，对咱们的一个业务网站进行一个攻击，那这时候这种是比较直接，直截了当的这种攻击方式，就比如他会直接去造成我们系统的一些危害，就比如说我们的应用可能被提权了，或者说被命令执行啊，获取权限这种方式，另外呢，还有一些来自于说未授权的A，或者说像是一些呃。

敏感的API暴露在公网上面，这个会可能会导致攻击者会获取到一些异常的一些非正常获取信息的一些数据在里面，当然了，攻击者现随着一些技术的一些越来越引进啊，他们其实会把更多的自动化手段用在攻击的过程中，像是这里面的提到的一些自动化扫描工具啊，自动化资产采集工具啊，如果只是说攻击者在采针对一些API场景，它采取一些发的一个手段，就比如说它针对某一单点的一个API。

对这个A派进行发，然后从而去尝试去绕过防护手段这样的一个能力，并且呢，攻击者发现说诶，这个地方有漏洞可以去利用，或者说他可以有一个异常利用的地方，之后他们会把这个漏洞进行个武器化，然后通过这个武器化的工具批量的对呃相似的业务进行一个快速的获取，然后从而达到说在重保过程中。得分的一个场景在里面，那么在这里面其实我们就可以看到说，诶这一块的话，我们其实可以认为说这是一个呃，来自基础安全的一个防护措施在里面，然后另外一个呢，在攻防的一个过程中，在重保障过程中，攻击者他其实不仅仅只是说用到了一个单一的一个IP进行攻击，他们可能会使用一些比较有威胁的一个IP，像刚才我们艾瑞克老师也说到了，说攻击者可能会有一些来自微信IP代理的IP或者IP，如果只是说啊从。

互联网的一些暴露面里面，例如说一些庞啊，或者说一些意外暴露的API接口啊，或者说意外暴露的一些IP接口里面，他们通过这些点去扩大他们的一个攻击面道面，从而去。打到我们的一个，呃，后台的一个地方，然后呢，攻击者其实不单单只是说他要去做到一些做些外部应用漏洞的击啊，现在攻击其实把目光权限其实从技术安全，会把安全的一个会转移到一些应用安全，还有逻辑安全上面来，那么在这种情况下，攻击者会使用一些类似于弱口令啊，或者调邮件啊，这种方式会对业务进行一个爆破，然后去尝试说我通过一些伪造或者说是爆破出来的一个身份账号，然后去获取整个系统的一个权限。同时还有就是说攻击者可能会尝试一些利用一些滥用的一些A，就比如说我当前这个A如果是只能有A用户用的话，攻击者会尝对他进行一个滥用，就比如说他去便利这个用户的ID这样的方式，从而去尝试去获取更多一些账号信息，那这里面就涉及到一些来自于异常行为的一个防护这一块了。

还有最后一点，也是现在攻击者在重保场景下，他用到最多的一点，就是说攻击者其实会注册一些恶意账号，然后利用一些小号注册去混淆我们的一个防护视听，然后他可能会说我通过码平台，或者说一些小号平台去批量的去注册这种恶意的账号，同时呢，刚才也葛浩老师也提到一个比较有意思的一点，就是说他在呃一些地方去登U盘啊，或者说这种方式，这种通常来说是一个进园方式，通过WiFi或者说直网络去攻击我们的一个业务应用。同时呢，还有一些类似于说供应链攻击，还有合作伙伴攻击这一块供应链攻击就是说他通过一些攻击上下游的供应链，然后通过这一块去获取敏感数据啊，又或者说通过合作伙伴的一个网络，就比如说他的。

IP是从合作伙伴的IP过来的这种方式去做，如果说我们单单纯纯的只是从封锁IP这个角度来去进行一个封堵的话，可能会导致合作伙伴的正常业务会都受到一个损害，那么这时候其实就是一个我们要对它进行一个应用安全这一块的防护，那么在这里面呢，它其实也是设置了多道防线在里面，就比如说我们在应对基础安全上面，我们其实有一个基础安全最基础的能力，就是说我们一个能力在上面，就比如说他能去快速及时的去防护这种外部应用安全漏洞。保护正常的资产，不出那种web用啊，或者零的应用，或者说自动化扫描工具这种的一个危害，并且呢，万有一个boot这样的一个能力，它能帮助我们去保护我们的业务安全，然后就比如说及时的去发现这种异常的这种API调用行为啊，运行行为，还有自动化绕过这种行为在这上面。

同时呢，我们现在万还有一个是相关的一个API安全，他能及时的去发现说当前的一个核心数据资产是什么样的，然后呢，去保护我们这些核心的数据产生期不会去受到侵害，避免说因为说合作伙伴那种异常的API调度啊，或者说API越权啊，泄露啊，导致这种异常这种API的一个安全事件发生。那么刚才说到一点，就是说我们现在是有三个维度去构造这种呃重保场景下的一个防护体系，那么我们是怎么做到说比别人更强一步的，首先第一个我们在技术安全上面，其实是我们是有一个双引擎加持的一个呃能力在上面的，并且我们的能力是一个效果是比较领先的，然后我们的拦截率可以看到在这里面我们的拦截率在对比区啊，什么来说是是会有一定的一个优势在里面，并且呢，我们现在其实除了一个金属安全的规则引擎之外，我们还有一个相关的一个AI引擎，我们A的引擎会自动化的去贴合当前业务，学习当前业务的一个真实的流量是什么，从而去说去进行一个智能化防护，当一个新的一个未知漏洞可能出来时候，我们发现说A发现这个。

呃，引擎的流量，或者说这个流量发现是与正常的业务是不一样的，之后我们AI引擎就会告警出来，并且去执行相关的动作，并且呢，我们和呃卫情报还有一些安全漏洞信息，有一个高高实时性的一个漏洞监测，我们七十二十四小时去监测漏洞情报，就和零待遇补丁一样，外部应用漏洞规则其实也是及时性的更新，去快速去防护这一部分新漏的漏洞在里面。然后在这一块呢，其实除了这种基础拦截以外，我们怎么会做到说高实时性，高拦截率，还有高可用性的，其实我们是不仅是做这些，我们还做一些情报和演练，双方加持的这样去打造的，就比如说我们的一个技术引擎，其实是。

呃，由我们的一个呃，多年积累下来的攻防技术，并且威胁情报共同去构造出来说诶，它有一些什么异常的一个特征，或者说异常的漏洞污点特征在里面，然后我们通过层次化过滤啊，然后去精准的识别出来的这种异常的或者恶意的这种污点锚点在里面。并且呢，我们会通过这种攻击者的一些访问行为画像的绘制，从而说诶我们发现这个东西是不是一个正常的一个访问请求和异常访问请求，从而实现我们的一个低误报，并且我们结合语义和AI风险分析这一个功能，这个亮点，然后去识别说诶这个访问请求是不是一个位置位置，或者说它是不是一个绕过的一个访问请求，从而说达到说自动化的去优化我们的一个策略，并且呢，我们还会和一些呃白毛子去进行一个。

攻防的一个挑战赛，然后去从而去推进我们的规则的一个进一步的一个加强，从而达到我们的一个规则引擎的一个效果领先。那么在刚才说完一个技术安全防护以后呢，其实在重保场景之下，我们在发现异常识别流量，这个其实现在来说会更加的关注一点，因为现在在重保场景下，我们保护的不仅仅只是说我的服务器的的安全，或者说是呃应用层面的安全，现在数据安全这一块，其实我们也需要去及时去发现，就比如说哪些IP，哪些一个账号信息，他在做一些异常的一些访问行为，这时候我们就是要去精准的去识别出来，并且呢及时的去反馈出来，并且呢，我们的报这里面就要引出到我们的一个boot的识别，呃，Boot流量管理这个功能了，它主要功能就是说去主动的去识别和管控这种异常流量。我们这边其实是报管理里面，其实是有分三个大的模块去做一个快速的一个分析和识别，然后我们是有一个客户端，把客户端风险识别模块，其实这里面就是一个前端对抗，它里面是有一个相关的一个信誉库在里面，并且它能实时的去监控出来说诶当前的一个访问请求客户端是不是一个正常IP或者异常IP，还有一些威胁情报在里面，我们和腾讯安全威胁情报联动，去及时的去发现，说当前一个威情报是什么，还有就是它当前的一个大数据分析是什么样的，我们的AI引擎模拟出来的是什么样子的，从而达到说我们的流量管理开。

然后去收敛这种恶意的攻击，并解敌意，知道击者目是个A，问行为是想去做哪一个，从而去速去别种常。然后从而去做到说我们在重保的场景下，去智能识别这种异常的一个访问行为，通过识别对应的访问行为之后，我们快速知道说是哪些账号，哪些行为是有异常的，并且知道哪些终端有异常，方便我们后期在一个溯源，还有前期的一个封堵，都会达到一个比较好的一个效果，自动化的去对抗这种恶意的一个行为流量。

最后一个就是说，在刚才其实呃艾老师也提到一点，说我们的一个资产暴露面也是需要做一个快速一个管控的，在重保场景下，其实我们在API是遇到了这些挑战的，就比如说呃，我们的当前API资产其实逐渐会暴增，会带来我们的暴露面空间增大，有很多内部的API也会暴露出来，同时呢，因为我们现在开发集中会越来越快，我们很多API构建安全其实没有办法覆盖到的，并且呢，有一些安全事件，就比如说我当前的API有漏洞，我什么时候管控，什么时候修复完成，我其实是没有个完整事件流程去跟踪的。并且呢，呃，可能说我们当前在API里面会暴露出来一些敏感数据啊，就比如说呃，现在有一些呃数据也会说一些数据是不能暴露出来的。

呃，当然还有一些点是，比如说我们当前API可能会有一些是感受攻击是不及时，没有办法及时对这个API进行一个防护，又或者是说当前A开始逻辑漏洞，他们是比较难去发生这种逻辑漏洞。那么这时候我们上面在A上防护就有一些优势思路，我们是有全套的一个API的一个资产发现和管控的流程，并且们会对这些API有一个完整的一个事件检测，还有处置流程在上面，这时候我们就可以快速的实现出在API防护这块的闭环，包括了一些啊，因为是一个S的服务，我们的接入设定成本，A的检测和防护也是一个零成本的接入，零成本的一个方式，它可以做到说一键的快速去探测当前的接入的域名里面下面的API资产有哪些，并且呢，我们当前是一个旁路检测的一个方式，它不会主动去影响线上业务。

从而并且呢，我们是一个呃，通过被动的流量发现，去及时去发生这种暴露面，像这种敏感的资产信息呢，我们就会快速的去发现。啊，从而去避免说这种敏感资产暴露出来。并且呢，我们有一个比较高效的一个事安全事件监测的一个机制，通过这个事件监测机制呢，我们可以快速去发现这种异常事件，并且我们在检测到这个实验之后啊，我们是会给去提供一些相关的一些专家处置建议，就比如告诉你说，哎，当时这个A会有什么风险在里面，然后它处置建议是什么，我们通过API安全事件上面的一个一键配置，就可以快速去减少这一块的一个杀伤面。通，我们通过上述一系列处理之后，就可以说我们做到一个快速的一个安全事业闭环，这样的话，我们的安全落地会更加的会有一个保障在里面。我的分享就到今天就到这里结束了，然后我们刚才也一直说说我们现在三加一防线均已，这是一个免费试用了，大家可以扫码或者是说访问一下官方主页，均可以一键开启这一个免费试用。

好的，谢谢子阳，嗯，那刚刚子阳介绍到的这个云上安全重宝的第二道防线，云外运用安全的这个防护，它其中有一个非常核心的能力模块哈，叫这个BOT引擎，那BOT的这呃BOT引擎的这种流量管理的能力，它不仅仅是能够应用在我们这个重宝的场景里，那在昨天我们原引擎的直播里面，是针对这个营销风控的场景里面，我们也有提到这个BOT，呃引擎的这个产品，它能够快速的识别异常的这种访问流量，然后它对于企业在营销活动中薅羊毛的这个场景，也是有一个呃非常针对性有效的这种解决方案，那相关的呃呃那个小伙伴可以持续的关注我们的产品，包括这种试用的活动，都可以扫描我们现在屏幕上的这个二维码，进进群去领取我们的那个产品试用的链接好吗？

那好，我们，呃，现在第一轮的抽奖环节即将开始哈，呃，请大家扫描现在我们屏幕上的这个二维码，那如果说就是呃，因为我们一开始的那个二维码不对，所以我这里再提醒一下哈，就一定是扫描我们现在的这个屏幕上的二维码进群，然后呢，本轮我们为大家准备了十个腾讯怪企鹅的金枕，嗯，然后呃，大家进群之后呢，我会告诉大家这一次获取礼品的一个密钥，那在群里面打呃前十名正确打出我们密令的小伙伴就会获得我们的这个礼品，好的，那嗯，接下来我会发布我们第一轮抽奖的密令是。腾讯云，腾讯云上安全三加一防线。我再说一遍哈，腾讯云上安全三加一防线请将腾讯云上安全三加一防线发布在我的微信群内，那一会儿群里的小助手会公布我们的获奖名单，那屏幕前的你如果还没有入群，欢迎马上扫描我现在屏幕上的这个二维码入群，后面我们还会有一轮抽奖，还有精彩的礼品等着大家。

好的，那接下来我们有请腾讯云主机高级产品经理钟壮豪带来第三道防线，主机安全守护云上最后一道安全防线的分享，请壮豪开麦。哎，能听得到吗？欢迎哈。Hello，正豪，可能还要麻烦你开一下视频。嗯，好的。

好了，可以了。好的，我那个投屏正常吗？呃，正好我们现在不太听得见你的声音。嗯，要不我重新进一下会议室一下。可以吗？哦，可以哦，可以了，可以了，不好意思，是我这边把那个声音关掉了，可以了，好好好好，嗯。行，那那我这边就先开始了啊。然后线上的朋友们大家下午好，然后很高兴大家抽啊，今天抽空来听我们的这一个直播啊，对，然后今天我讲的主题呢，是说啊，如何在重时期做好这个主机和容器的一个安全啊，我们都知道就是啊攻击者来做攻击的时候，他无论做什么动作，比如说是前期的一些信息采集啊，或者研发新的一些PC工具，或者说给一些啊发一些调件等等，他无论如何做什么动作，他攻击者的一个最终目的，它的一个落点都是在服务器上，他就是想要拿到我们服务器的一个权限，还有数据啊，所以呢，如何做好主机的容器安全这最后一道防线就会显得至关重要。

然后接下来呢，我会从以下几个方面展开来讲啊，第一个呢，就是啊腾讯主机容器安全产品的一个整体架构和防护思，那第二点就是重保啊三个三个不同阶段的一个工作重点啊，第三个的话就是啊，我们的这个产品如何跟重保去配合这一个使用的。那首先我腾讯的一个主机安，呃，主机中心安全产品，它的一个整体架构呢，是一个CS的一个架构啊，那我们的控制台，也就是我们的server端是在腾讯云上的，那client端也就是我们的A，那是安装在需要防护的一个服务器上啊，我们的A呢，是可以兼容常见的这一个64位操作系统的，那腾讯云的一个机器，它可以不需要去动这一个A准，我们只要开通授权后，就会自动帮我把这个A准给它装上去。

啊，然后呢，目前我们的一个啊平台啊，它是做到了一个控制台，可以同时管多云平台的一个机器，比如说您在IDC的机器，他器是可支管来啊装解决。呃，主机安全，还有容器集群的一个安全问题的，那它也是同样适用于啊，多云和混合云的这样的一个场景。另外呢，就是啊，我们腾讯云的这一个主机中器安全产品，它的一个整体思路啊，是从一个预防防御啊，检测和响应这四个阶段来去构建我们的一个完整的防护体系的，那其实这里面也是一个事前事中事后的一个逻辑啊。

那在预防阶段的话，我们主要做的一个呢，就是梳量，梳理我们的一个全量资产，然后构建我们的一个作战地图，找出我们资产的一个薄弱点，那比如说找出这些补丁啊，漏洞啊，做密码或者等等的一个风险，然后对于这些风险啊做。的扫描的话，我们的A呢，是运行在服务器上的嘛，所以它是一种白扫描的一个形式，所那这样这种呃，这种机制来扫描的话，我们对各种风险的一个扫描是会更加的一个精准，而且是全面的啊。那在防御阶段的话，我们主要是针对一些来自外界的攻击，做这一个主动的一个防御，比如说对一些啊，啊R漏洞的一个啊拦截，那比如说我这个机器发起一些恶意外联啊，我给他主动做一个阻断，那在检测阶段的话，我们主要是通过这个多锚点的一个实时监控的一个方式啊，然后来及时发现这一个黑客的一些入侵攻击行为，比如说爆破啊，反弹提权啊等等的一些攻击。

然后呢，在响应阶段的话，主要是对攻击，对这一个攻击行为做一个。应急处置啊，然后阻断他的一个攻击，然后呢，同时我们会提供一些原始的一些资，然后供用户去做这一个溯源，同时我们还能够自动的去还原出我们的一个完整的链路。然后最终是帮我们去啊，完善我们就是查漏补缺啊，帮我们完善我们的一个整体的一个安全建设啊。然后接下来的话是对于重三个啊，三个阶段的这一个详细介绍那。重磅的一个前期，主要是我们要构建啊一道铜乡铁壁啊，梳理出我们的完善的一个作战地图，然后清理出我们的一个加私资场啊，那为什么这么说呢？因为现在几乎所有的客户啊，他都会上云，或者呢说他本地使用虚拟化或容器化的这种技术啊，那在虚拟化和容器化的这个时代下啊，它相比我们的物理机时代，它有一个很明显的一个特点，就是说我的资产数量会成倍的增长，但是呢，对于资产，但是资产的一个生命周期呢，会更加的短啊，可能是分钟级别或者小事级别都有可能啊，尤尤其是这种容器的一个资产啊，另外呢，就是上云之后，我的安全边界是会更加的模糊，所以我第一步一定要做的事情就是理清楚，哎，我们需要防护的范围到底是有是哪里啊，然后清除没有人证你的一些僵尸资产，然后对有效的一些资产做一个防护啊，那再回到我们的这个啊，我们的一个主机融项券产品这一块的话。

我们有这个资产清点的一个功能，它是可以做到啊，自动化的，然后定时的去梳理我们的一个存量资产啊，然后。从上而下的话，我们可以看到就是可以梳理集群啊，节点容器以及主机上的一些资产，然后呢，目前支持的一个资产大类，我们可以接近到100种这样子，然后这里呢，图片这里啊，PPT这里呢，只展示了一些部分的一个资产啊，那对找呃，找出资产梳理。

呃，梳理出资产之后呢，就是要找到资产的一个薄弱点，然后并且根据这一个啊，资产的一个重要性啊，是否对外啊，是否是高风险啊等等的一个情况，然后针对性的去做一个修复。啊，然后目前我们是可以支持这个啊，补定漏洞啊，合规配置啊，还有应用配置啊等等的这一些风险的一个扫描啊，那具体来看的话，我们可以像啊，这里面就几大类啊，比如说支持像web CS漏洞的一个检查，然后KS的一个组件漏洞，镜像漏洞啊，以及对于各种担保合规啊，C啊，以及系统的一个入口的一个检测，那针对于检测出来的这些风险呢，我们产品是提供了有很详细的一个解决方案，供客户去闭环掉的，闭环掉这一个风险的啊，比如我们可提供详细到文件级别或者命令行级别这样子的一个修复建议啊。

然后呢，我们拿呃漏洞来举这一个例子啊，然后来看我们这个产品做的一个整体的一个思路啊，那每个漏洞针对于我们扫出来的每个漏洞啊，我们都会有这一个详细的一个描述啊，比如说我们如何检测出这个漏洞，说是版本比对还是POC啊，那我们这个漏洞呢，应该升级到哪个版本，它才是安全的啊，以及说我要做升级修复，具体要执行哪一个指令啊等等这些信息我们都会有。在除了这些详细信息之外呢，我们还会对每个漏洞都打上一个，都打上一个标签啊，比如说这个漏洞是否是可远程利用的，是否存在一叉P啊，是否可提，那为什么我们要给这些漏洞打标签呢？因为很多客户在修漏洞的时候都会遇到一个疑问啊，比如我上的100台机器啊，我扫出来有500个漏洞啊，或者800个漏洞，好，那这么多漏洞我怎么我要如何确定我这个修复的一个优先级呢？

那有了标标签之后呢，这个问题就迎刃而解了啊，我们推荐给客户做的第一优先级啊，第一优先级就是修复那一些业务有对外啊，同时它是存在可远程利用的这些漏洞啊，因为这些漏洞呢，往往就是被黑客攻击进来的第一个入口啊。那除了这些信息之外，我们在啊漏洞啊修复方面呢，我们还提供了像啊一键修复，还有磁盘快照的一个功能，对，就是让客户在修复漏洞时可以更加的省心和放心啊，他不用担心说我修完了这一个漏洞之后，服务器起不来了，我怎么办啊。那同时在修复漏洞修复这一个过程中啊，很多客户也还会遇到另一个问题啊，就比如说我的服务器比较老旧啊，操作系统比较老旧，然后呢，我对这个业务的连续性有很高的一个要求，那我没办法对这个漏洞去做修复啊，那客户就提一个问题，那我这些漏洞我不修复，那是不是有办法可以帮我防住这一个攻击呢？啊那针对于这个问题呢，我们腾讯的主机容器安全产品给出的答案呢，是可以的啊，然后呢，我们这个产品有这一个啊漏洞防御的功能，它是可以针对云上的这一个热点攻击漏洞，做这一个主动的一个。

然后看一下我们这一个漏洞防御功能的一个介绍，对啊，漏洞防御功能呢，它是基于这一个虚拟补丁去开发的这一个漏洞防御系统啊，它融合了腾讯自研的这一个太引擎啊，然后主要是用来啊应对这种0N和一对和N队等等的这样子的一个漏洞啊。那大家在啊，重保或者公关演练的期间啊，他一会发现一个事实，就是在这个过程中，因为攻击队呢，为了都平时洞来，而且这御能力弱的防守方去打。

啊，那这个时候呢，就是谁具备了防御能力，就可以把这个攻击者拒之门外啊，然后对于攻击队来讲，他评估诶，我要拿下某个目标的一个难度太大的话，他自己就会放弃，诶我这个攻击目标，所以对于防守方来讲，我拥有的这一个功能，那我的一个安全级别就会变得更高啊。然后呢，我们的这一个功能呢，它啊相比于这种传统的技术啊，它有三大优势啊，第一个啊，我们落地是很简单的，就我们在我们的产品界面啊，打开这个一键防御啊，打开这个开关啊，那就可以去防护了，它不需要做任何复杂的一些配置，也不需要重启业务啊，那第二点的话，就是我们这个产品呢，它是啊原生的，它的一个金融性稳定性都很好，那这一方面的话，我们在云上呢，已经有一个百万级别的一个机器的一个验证。

那第三个的话就是我们主装一个是高达99.999%这样子，然后相比于这种呃，通用通用规则来去防御的这一类产品，我们的一个误报率也会更低啊。好，刚刚讲的是事前的一个阶段，然后到事中的一个阶段，那这个阶段主要就是有去实时的监控各种设备的一个告警，然后分析是否有入侵成功这样子的一个情况啊，那在适中这一个阶段，很多客户都会跟我们有反馈啊，就是说啊中保的时候，我的设备有很多，那告警有很多，那假如他实在是分析不过来的一个情况下，那他们就会以这个腾讯云的主机安全产品为准啊，主要这个产品没有告警，他就可以很放心啊，那这里面的逻辑其实前面也有讲过啊，就是因为攻击者他无论做任何的动作，那最终啊的一个落点还是要到服务器上来，假如没有到服务器上来，那么我们可以认为就是这一个攻击是还没有成功的。

啊。那在中这一个阶段，我们要如何去衡量一个安全产品呢，它是否是有价值啊，那在这里我认为有两点啊，第一个点呢，就是啊，这个产品它的一个告警是否及时啊，那假如告警不是及时的话，打等攻击者打到靶击了啊，我们才反应过来，那就晚了啊，那第二点的话就是我们要看这一个产品呢，它是否具备这一个攻防对抗的一个能力。啊，那这一点要怎么理解，就是因为其实在重保和公保演练啊，这个场景下啊，我们其实是可以把它看作是某种意义上的这个攻击啊，那对这种的时候呢，其实我的就是要有强大的，有大的这个库动情报库啊，第二个呢，就是要有一个先进的这一些检测引擎啊，假如产品是不具备这些能力的话，那它是没有办法去与之抗衡的，因为他们都是很专业的这一些攻击队，他们有很强的这一个渗透能力，还有这个写POC的一个能力啊。

那腾讯集团呢，在安全方面是有多年的一个积累啊，所以我们产品呢，其实也是集成了腾讯集团的一个能力啊，比如我们现在已经集成了像啊AITV、洋葱以及容器逸等等的这些核心引擎啊，就是集成了腾讯的一些威胁情报啊，以及云上的这一个百亿级别的这一个样板库啊，所以在入侵啊，攻防对抗，入侵检测这一个层面，我们可以很自信的去说啊，我们的入侵检测能力在攻防对抗场景下，是一定可以给客户带来很大的一个价值的啊。

然后目前呢，这些啊。PP这里呢，就像啊文件查杀防篡改啊，核心文件监控啊，啊系统命令啊等等呢，这些是我们可以支持的一些类型啊，检测的类型，然后呢，针对于检测出来的这些攻击呢，啊，我们是提供了手动和或者自动响应的一个能力啊，比如我们可以把。啊，某个文件做自动隔离，或者说我把一个。呃，恶意进程给他杀了，或者把某个IP给他封了等等这样子的一些响应啊，然后呢，呃，这里面由于时间原因啊，这里面每个功能我就不仔细展开来讲啊，然后我们就挑其中的两个来讲吧，啊，比如第一个的这一个啊漏洞逃逸检测啊，那针对于现在的这个漏洞逃逸检测呢，我们产品是可以支持七大场景的这个逃逸检测啊，然后针对这方面的检测，我们有专门的这一个容器逃逸引擎来去做的啊，我们在这方面有很有做过多年的一个深根啊，那为什么我们要很重点去做这一个容器逃逸的一个检测呢？

因为啊，当业务容器化之啊，黑客他拿下一个容实力或者获得权限啊，他首先要做的事情就是会尝试到这一个宿主机啊，那因为为什么呢？因为容器它的一个生命周期很短啊，可能是一个分钟级别的，或者是一个小时级别的，假如我不逃逸到这一个速度机啊，比如说它的虚拟机或物理机的话，那我可能很快就会失去一个据点啊，说白了就是我前面的攻击都白打了啊，因为容器它的生命周期结束，那我整个连接就断开了。

那比如还第二个的功能，这个呃内存码这一个，那这种内存码呃的一个攻击方式呢，其实是呃会更加隐秘，然后也更加的难去检测出来，然后从我们现在云上的这一个攻击态势来看啊，那个内存码的一个攻击占比是会是已经越来越重了，然后目前我们已经支持了像很多种内存码的一呃内存码的一个检测，比如说呃Java web容器的一个内存码，还有ser等等的这些类型的一个内存码。对，然后这一个是呃，事后阶段的一些呃讲解啊，那假如事后阶段就是说假如哎，我真的被攻击成功了，那这个时候就需要去溯源，然后把我的整个攻击链路给他找出来，确认被攻击的这一个范围，还有源头，然后赶紧查漏的补缺，总结经验啊，以免被二次攻击这样的一个情况啊，那通常呢，我们要做溯源呢，至少是需要有两个条件的啊，第一个呢，是要有完整的一些原始日志啊，比如说主题上的或者网络上的一些日志，那第二个的话是要有专业的安抚人员啊。

两者结合呢？才能有机会去还原完整的这一个攻击链，对，那在这种重重场景下啊，啊，我还原出这一个，呃，攻击链路的这一个结果呢，肯定是越快越好啊，一定是要争分夺秒的，不然就可能遭就是更多的攻击，因为攻击者发现你还没找出我怎么打打你进来的好，他就依然还会用这个方式去打你啊，那腾讯的这个主机容器安全产品啊，它在溯源上我们一方面是提供了。很种这个原始的一个日志啊，比如程日志，那另一方面呢，我们是可以自动的去生成攻击链路图啊，我们可以知道就是啊，攻击源是从哪里来的，然后打进来之后，他在这个服务器上做了哪些操作啊，然后他又横向的去尝试攻击了哪些机器啊，那对那做这一块的话，我们主要是通过啊内置的两大模块，威胁检测，还威胁分析引擎去做出来的啊所以呢。

我们刚刚前面讲的嘛，就是哎，我在做这一个。呃，溯源的，通常情况下我需要资质加安抚，那现在呢，我们有了，有了我们这个产品的这一个事件调查的这一个能力之块，是可以帮我们去帮助用户啊，去节省了很多的一些人力资源，还有时间的，然后呢，在重保的一个场景下，我是可以快速的针对一轮攻击去做出一个反应的啊。

然后呃，右边的这一个图是我们呃产品功能的一个部分的一个截图，它其实呢，是记录了某一次的一个呃，真实的一个攻击，然后从这图里面我们可以看到啊，就是。攻击者呢，他是通通啊从外网啊，从个113.62这个外网的一个IP，然后利用我这个com的一个RCE漏洞打进来的啊，那进来之后呢，他接着去。啊，做了这一个下载一个挖矿脚本，然后对挖矿脚本赋予权限，然后去执行这一个脚本的一个操作，然后呢，他同时也去查看了系统的一些配置，啊，这个是我们其中的一个部分的一个截图。这个是事后阶段的一个讲解啊。

对，然后以上呢，就是我们的一个主机容器安全产品呢，在重保期间，事前事中和事后三个阶段的一些应用和实践啊，然后呢，这一个二维码是我们的一个产品的一个试用链接，大家可以去扫码去领取这一个试用，对，然后最后再次感谢这个大家啊，抽出这一个宝贵的一个时间来聆听啊。好的，谢谢。好嘞。谢谢张豪。那呃，我们前面的四位讲师将我们的这个三加一的体系，还有这个三加一体系里面的三道防线都做了一个很详细的介绍和讲解，那接下来我们有请云安全中心产品负责人周全带来重宝一站式安全门户云安全中心腾讯安全云上重宝套餐的。呃，一个介绍分享，那我们请周老师开麦。

好的，呃，我确认一下哈，就是我的声音是可以听到的吗？好，稍等。这边可能呃，PPT没有看到。现在可以看到了吧，可以了。好，那各位朋友大家下午好，呃，我是来自腾讯安全的一名产品经理，那目前在负责我们腾讯云安全中心的一些产品的工作，今天呢，呃，这个机会给大家去分享一下云安全中心这款产品的呃一些这个内容，以及说在众下能够给大家带来什么样的一些价值。首先其实呃，在开始之前我想讲一下这个聊一下安全跟效率的一个关系哈，为什么要聊效率呢？其实有两个点，第一呢，就是在大家了解到，在重宝这样一个实习的场景下，其实往往是争分夺秒的，那我们很多的同学其实都参加过这个真实的一些攻防演练，都能够感受到当时在那种啊，值守的时候的那种焦虑感跟压迫感啊，所以效率其实是很关键的。那第二呢，抛开重不谈哈，其实我们有了解到，从去年开始吧，很多行业呢，呃的企业都在这个追求一个降本增效对吧，那降本这个东西我们今天不聊，但是我们可以聊一下这个效率这一块。

不可否认哈，整个这个安全的从业这个环境里头，大家都认同的一个客观事实是什么呢？是安全，无论是网络安全，还是我们传统的这种线下的安防，其实本质上都是呃，一定程度的牺牲效率的。就不管我们做一些什么样的安全的动作，其实都会增增加一些管理的成本，增加一些这种呃额外的消耗，所以呢，呃，我们看到的就是这个，呃，很多时候呢，安全效率是其实是没有办法放在一起去啊，去这个去讨论的。

因此呢，整个呃呃，整个行业里头，安全的从业人员，以及我们的安全的产品经理呢，都在一直追求这里面啊，试图寻找一个不同场景下安全跟效率的一个平衡。那这里面，呃。可能就会出现不同程度的倾斜，比如说当我们呃过分的强调安全的时候，可能往往又会带来一些这种生产效率的极度的下降，最简单的两个例子，第一，比如说我们以前传统的VPN都非常难用，那就会导致我们在一些这个远程办公的场景，会直接导致生产效率的一个大大的降低。那第二呢，就是另外一个例子，当我们会要求一些呃，要求一些系统把安全的这个口令设置的足够复杂的时候。大家记不住啊，就会选择把用笔把密码写下来，然后贴在上啊，这样的话就相当于没有密码。那这是一方面，但是在另外一方面就是如果我们只追求生产效率，而完全忽略安全的话，也会带来一些更严重的后果啊，这也是为什么这个呃合规层面一直在推出一些这种呃呃等保合规啊，以及重保演练啊等等这样的一个呃这个呃事项的一个本质目的吧。

所以呢，其实腾讯安全在这个呃二一年的时候就开始思考一个问题，就是我们不认安全，确实一定程度的会这个牺牲效率，但是我们想要探索的就是安全这个场景下，有没有可能跟效率是有一定的相关性和一定的交集的。所以呢，呃，我们做了一些这种，根据我们积累到的一些数据，做一些分析之后，我们会有三个洞察，第一就是呃，我们发现安全其实要处理的问题非常多，就表现在资产很多，我们的头部用户基本上都有2000多个资产，那并且呢，呃，我我其实拜访交流过很多的客户。我目前哈，没有发现，没有遇到过任何一个客户可以准确的告诉我他上下一共有多少资产。

那第二呢，很多的这个业务啊，他会部署在不同的账号或者不同的云环境当中，那在重宝这样一个争分夺秒的环境下，让我去切个登录，让我去啊这个啊，啊平移使用另一个控制台，其实也会造成这里面的这个效率的，那最后就是说告警是非常多的，这个就不用说了，我们腾讯安全一年可以累计拦截万亿量级的攻击告警，其中在重保期间可能就能达到百亿甚至几百亿。那第二呢，其实大家应该知道，安全有的时候真的挺难的，因为攻厂守弱，这个敌岸我明，或者是说这个，呃，这个永远都是被动的防守嘛，那刚才其实有个同学讲的比较好，因为我们想要解决安全的问题，其实呃，其实就可以，呃互联网嘛，对吧，那但是呢，呃，真实的情况可能就是我们往往是很难完全的避免我们东我们的业务对外暴露的，尤其在重重保期间，我们可以看到重保期间仍然会有。

比较大的占比的有效的攻击是从这个外网去做渗透的，那其中被贡献的最多的就是我们的一些办公效率的一些工具，就是OA系统。那同时这个漏洞也是很难去治理，我们我们整个这个云的一个综合数据来看啊，漏洞修复率是非常低的，基本上都低于20%重期零，并且击分十以零。我现。那这里面有一个更深的一个洞是什么呢？是重保期间发现的一些漏洞啊，往会在结束的后的几个月的时间之内就流到黑客手中了，这里面这个大家应该知道，去年就发生过一起这样的案了。那第三个呢，就是其实呃面临这么多的问题，这么难的一个情况，其实呃整个行业都是缺少安全的人才的，这里面我们看到我们的用户里头，所有使用腾讯的用户里头，可能只有5%的人是有安全的专业背景，或者是全职做安全运营的，那同时呢，安全的产品呢，其实呃这个门槛比较高，使用也比较复杂，那大家如果用过一些传统的一些防火墙产品的话，你会发现如果不是这个有专门的这个呃这个培训的话，基本上是很难用起来。

那针对这些问题哈，就是我们在思考，我们是不是要做一个管理型的一个产品，能够去提升全的效率，那针对这三个问题呢，我们就分别要做到几个关键吧，第一就是我们要做个一式的东西，尽可能的全面，甚至是一个界面里。给给大家去解决一个具体的问题。那第二呢，就是说我们说安全很难与其被动的防守，其实我们真的会建议所有的用户主动的去做一些风险的发现和体检的动作，那我们如果把一些这种前置的风险隐患给杜绝掉了的话，呃，这个相比于我们去响应攻击的行为，肯定是能够提升很大的效率的。

这里面比如说嗯，我们家里东西被偷了，我们去找小偷对吧，那还不如我们去设防，去把这个这个呃，监控做好。那针对第三点呢，就是要求我们可能想要做一款这种产品，是让用户可以去很好的，很容易的使用，很容易获得，最好呢，呃，能做成一的东西，我就一就搞定了。所以呢，针对这三个前提哈，所以这也是我们做原中心这个产品的一个初衷，我们是想要说尽可能一站式的啊，去一键化的去解决刚才的一些安全。那这里面呃，来讲一下这个什么是安全中心，或者怎么做呢？其实安全中心是建设在三道防线基础之上的一个这种安全的门户，那我们会把这个防线型产品所产生的一些数据做一个集中的一个聚合，并且呢会这个呃，梳理到不同的这个插件式的模块当中，比如说我们会。

一个页面把你所有的资产全部梳理出来，那并且针对于这些资产当中的一些核心资产，我们可以支持呃回购回到三套防线里面去做一键的防护开启，那同时呢，我们也会一键检的风险中心，一站式的发现所有的安全隐患，那当然了，这个我们也会去所有的日志和告警，那把所有的告警聚合在一起之后呢，就能够去做关联分析，并且能够做到一键的响应跟处置。在这个基础之上呢，诶，我们就会提供一些安全管理的能力，这里面有两个核心的点哈，第一个就是我们打破了账号的边界，我们可以做到多账号的管理啊，这里是指的腾讯云账号，然后第二个就是我们的重保期间也会支持多云的管理，就比如说不仅仅是腾讯云，然后阿里云或者其他云的东西我们都可以啊，做一个统一的管理。

所以本质上来讲，我们说它是一个安全门户，那它其实就是一安全管理的工具，能够提升大家的效率，那我们应对到这个呃，这个呃攻击队的一些动作里头，其实是能够发现，我们是能够做一些呃呼应的，比如说呃梳理好资产，就能够避免这个攻击者去做更多的这种信息收集，然后收理好呃，收敛好这个风险，就能够避免我们的落点被攻击者发现，那以及告警，这个就不用说，大家应该都了解。所以呢，接下来就稍微花一点点时间分别讲，展开讲一下这四个核心的价值能力吧。第一就是我们讲资产中心们目资产理系，通过API的一些方式自动的去拉取所有云的资产之外，我们还会在重保期间支持大家去，呃，这个通过配置一些token或者API key的方式，我们也会自动这个实现其他云资产的一个获取。

与啊，这个与此同时呢，我们还有一些这种的能力，测绘的能力，能够去主动的发现云的或者云外的资产。啊，把这些资产全部收拢到一个面之后呢，就可以做什么事情呢？第一我们可以做资产的分组，基于什么分组，基于业务能够提升，因为同一个业务的资产，它可能啊策略是一致的，这边可以提升后续的一些这个安全策略的一个效率，第二呢，我们可以做一些核心资产的识别。比如说我们会根据资产的一个大致的用量情况啊，去判断这个是不是你核心业务的资产，如果是的话，那我们会建议你啊，可以一键的去开启一个对应的护，如果是子资产的话，我们会建议你及时的把它下线处理掉。那有了资产之后哈，其实我们就说到，诶，我们想也会同时帮你去看一下资产当中是不是有些弱点，是不是有些暴露，不应该这个对啊，被攻击者发现的，那我们也会有一个第二个核心能力，就是风险中心，我们会把资产所有的数据呢，结合我们腾讯安全目前所有的检测型的能力，就包括网络的漏洞扫描，然以及刚才说的件安全的一个来自于端点的一个检测。

然后以及我们会有一个这个，呃，就是CM嘛，也就是我们资源配置检查的功能，那同时呢，我们也会在重磅期间上线一个叫自动模拟攻击的能力，就是它会通过自动化的方式实现一次这个深度测试。那有了这些东西之后，我们就会把我们发现的所有的风险啊，暴露面的漏洞的等等入口令的啊，这个啊，内容相关的啊，以及你的安全策略的所有的风险梳理一个页面，那同时呢，我们可以支持针对一些特定的风险，我们是可以给直接给这里面处理并且闭的。那在这个呃，风险中心基础之上，我们就装了一个一键体检的能力，那大家可以在我们的产品首页啊，包括我们腾讯控制台的总览页，以及我们官网的首页上都可以直接的去获取到，那同时呢，我们在重宝期间呢，我们会免费的开放，开放这个一键提检的能力，那大家都可以去啊，看一看自己是不是有一些这种安全的隐患啊，没有做好及时的防护，那同时呢，我们会提供一个安全检测的报告给到大家。

那这里面也会伴随一定的这种解读的一些服务吧。那如果说这个呃呃前面都是啊，去做一些这种呃安全预防性的工作的话，那其实在重保期间呃，攻击和对抗是不可避免的。那所以呢，呃，安全中心能否提供一些真正能够带来安全价值的东西呢？也是有的，就是我们第三个告警中心这个模块。那我们会呃，采集上所有的攻击告警，以及一些其他的，就通过C的方式对接其他第三方的告警来源，或者说我们腾讯云的云审级的告警日志等等，全部采集到同一个这个存储的地方之后啊，我们就会对这里面的一些告警信息做一些聚合关联啊，以及做一些提供一些溯源分析的工作，最终呢，会给大家生成一个这个一个一个的这个告警的完整的事件，那这个事件可能就包含攻击者从哪里进来的，那他从哪个弱点打进来之后做了什么事情。

那啊，有了这个东西这些信息之后呢，我们就会提供一些这种偏处置的动作，比如说你需要把它封掉，还是要把它把这个资产做隔离，还是说我需要重新去加固一下。所以这里面呢啊，告警中心除了日志检索之外哈，可以给可以给大家提供的就是一个啊事件的还原，那通过事件还原以及通过我们报，包括流量日志的一些化，我们是可以发现一些传统的I规则检测不到的一些异常异常行为的，比如说异常的首次连接啊，或者说有一些这种呃，很明显看上去就是啊不正常的一些这种访问行为。

那这里面啊，后面我们也会去做一个这种呃，自动平台响应的一个功能，就是我们大家说的这个的一个功能嘛。那最终呢，就会还是会把这些东西变成处置的建议跟动作落到对应的防线上，并且呢，也可以提供一定的加固防御的功能，在这个在这个模块当中都是可以直接去做到一个这种操作性的闭环的。那呃呃，刚才讲了这个云安全中心其实是一个提升管理安全管理效率的工具哈，所以呢，我们也真正的实现了突破账号跟云的边界，实现多账号跟多云的管理了，那这里面就是可以看到说我们在这个腾讯云的这个集团账号下，如果把我们的多个账号配置在同一个集团下之后。那我们就可以真正的实现在一个页面就能够以管理员的视角看到你集团下所有账号的所有数据，并且呢，是可以直接做企业的操作的，当然这里的前提是啊，我们要妥善的分配好这里的权限。

那多云管理的话，也在重时候会去这个做到一个上线的，就是我们会通过各种各样的这种，包括这个无客户端的一些能力，来一站式的实现多云数据的接入，就刚才说的所有的能力其实都可以覆盖多个云，甚至是云下或者云外的。那这个资产中心，风险中心跟告警中心呢，其实呃，最终都会落到一定的动作上，比如说资产是不是要处理，是不是要防护风险，是不是要这个去，呃呃去这个做一个处理处置去啊，预防这里一个隐患，告警是不是要去做响应，去做一个具体的动作，所以呢，呃，针对这些这三种不同的三大类型的这个突度吧，我们都会把这里面需要大家做的事情浓缩在一个地方，就是我们的代办管理中心，这里面就可以需要你处理的所有的安全的问题，都会在这一个列表里面全部呈现下来。

那也就是说，呃，这里会包括说我们会去别办事，就跟我们平常使用的一些这种系办中很，就是想要把它做成一个这个能够啊，能够集中式一站式的去做这个安全的to list，大概是这样一个东西。那刚才呢，其实都是分享的一些产品的切片，所以呢，我们尝试还原一下这个产品的全貌呢，那其实就是啊，通过联动我们的所有的安全的能力，那通过啊集中的采集所有的安全相关的数据，在资产的管理，风险的预防跟告警攻击的处置三个维度去啊建设一个。这个一站式的门户，那目标呢，就是刚才说的，我们可以尽可能的供一站式的一的这种产品的这个效率的提升，来帮助大家尽可能的在重保的实期或者重保的这个检验当中取得更好的一个结果和成绩。

OK，其实刚才这个每一位同事都已经分享过了，就是我们的权限产品都已经开放一个免费的试用，那大家其实就可以来到我们的这个，呃，这个扫码的页面，或者是直接在腾讯云的官方主页上就可以直接去呃，一键的去领取全套的试用，然后可以去试试看刚才我们讲的这些功能是不是真的能够啊，帮助你更好的去应对重宝。OK，那最后的话给大家做一个预告哈，就是呃呃，我们也在推出设计一个叫重宝套餐的一个东西，呃，大家可以直接前往腾讯的官网，在首页上会有一个安全的一个入口，那进来之后呢，我们就会通过几个简单的步骤就可以把。重宝时期大家可能会用到的一些产品跟能力，呃，全部包在一个套餐里面，大家就可以直接去获取到了，那这里面我会我们会给大家在实会有一个呃，力度还可以的。

那同时呢，呃，还有另外一个这个呃预告的信息想要分享给大家，也是一个好消息吧，就是呃，除了重宝外，那腾讯安全呢，在也在积极的响应啊，来自社会的这个号召，那我们也推出了一个助力中小企业的一个计划，始放全些础全能。一定程度的免费的体检，并且呢，我们的主机安全，也就是这个服务器的安全管家，是可以免费的给大家去做这个安装部署的，帮助你去解决一些基础的安全问题。那呃，这个大家有兴趣的话哈，其实在嗯非重保的时期呢，如果要需要一做一些日常的一些这种呃，基础的一些安全建设的话也可以，呃也可以了解一下。

OK，所以呢，以上就是我今天分享的内容，那也谢谢大家的收听，那我们请把这个话筒交给主持人。嗯，好的，谢谢赵老师的精彩内容，那也再次感谢今天我们五位讲师的一个分享，那刚刚我们看到这个在咱们的这个直播过程中，有很多同学都在呃各个平台上积极的互动和提问，那我们也选取了一些比较有代表性的问题，请我们的五位讲师一起来进行解答，那这个呃问答环节结束了后也会呃就是我们今天最后的一轮抽奖的活动哈。好，我们先来看一下我们的第一个问题是，呃，有漏洞。修补的建议吗？修补后导致产生环，呃，导致生产环境，有一些项目没有办法运行的话，能回滚备份吗？那这个问题看看我们哪位讲师来开解一下。

诶，这个要不我来吧啊，应该是属于啊组建安全的一个范畴，对，然后诶第一个呢，是有漏洞修复建议吗？这个是有的啊，就我们主机安全产品呢，它是可以把服务器上的像呃呃S软件，Windows漏洞和CMS啊等等的这一些漏洞给扫描出来，然后扫描出来之后呢，我们对这个漏洞有很详细的一个，呃，这一个。这个描述信息，然后有这一个修复建议。然后有些修补建议呢，我们是会提供一些精确到这种函级别这样子的一个啊，一条具体的一个令，对，然后呢，就是第二个点，就是说修补后导致生产环境有些项目无法运行，然后回滚备份这一块。

啊，这一块我们刚刚在讲的过程中有提到，就是啊我们组织安全产品呢，它针对漏洞修复这一块呢，它有提供啊一键修复，还有磁盘快照的一个功能啊就是说诶，我们目前可以针对这种S软件的一个漏洞，然后。啊，一键下发这个修复，然后在修复啊，下发修复过任务的过程中呢，我是可以选择把我的一个呃一些磁盘啊做一个快照的，然后假如修啊这个修复任务完成之后，你发现诶这一个系统环境没法运行起来的话，你是可以通过那一个快照给回滚的。对，那除了诶刚刚问到这两个问题之外，我们这个产品啊，也还有一个叫漏洞防御的一个功能啊，刚聊的时候有提到，就是说如我们的一个系统比较旧啊，或者于其他业务连续性的一个原因，没法去修的话啊，我们建议就是可以用我们的主机安全的一个旗舰版的这个功能，它。

里面有一个叫漏洞防御的一些功能，是可以对利用漏洞来攻击的这些行为，我们做这一个主动的啊。针对这个问题，我就回答这三点啊。好的，谢谢张豪，嗯，那我们第二个问题是，呃，想问一下，现在市场上的私有云需求越来越多，但私有云安全能力存在不确定性，那我们企业如何去确保重宝时期稳定的这种安全防护呢？呃，这个问题要不我们请周全老师来回答一下。嗯，好的，呃，首先呃，我尝试从我的一些视角来来来解答这个问题哈，那其实其实刚才尤其是葛浩老师分享的那个就是呃攻击步骤啊，包括如何去应对这个攻击，尤其是重宝场景，其实不论是在云上云下，公有云私有云其实都是通用的，简单来讲就是方法是通用的。

那其实呃就呃就看啊咱们的用户是不是有两方面的考虑，一方面就是如果方法是通用的话，那其实其实在各个地方，比如说私有云哦，我们可能如果是腾讯云的专有云TCE的话，其实我们各个产品都是有适配的，那如果是纯私有云的环境的话，也是可以通过呃集成第三方的一些安全产品来达到三加一防线的目的的，所以这是第一个考虑，那第二个考虑是这个呃呃就看呃咱们是不是有需要说私有云跟公有云也要做统一的一个管和这种安全的一个呃呃运营了，如果是有这方面需要的话，其实嗯，我了解到，比如说我们现在腾讯云上的一些公有云产品，其实也是能够呃能够去呃。

打通一些呃偏私有云或者私有化的数据的，然后呢，呃这是一方面，然后另一方面就是其实也可以去考虑说呃是不是可以利用一些这个传统的，比如说呃，呃整个业界都在使用的一些传统第三方的开源的东西，然后我们把所有的数据都导入到一个集群当中去做统一的分析跟呃梳理，然后以及根据自己的安全运营的能力去输出对应的这种处置动作。呃，我大概的大概的思路大概是这个样子。好，谢谢周璇老师，然后我们看看其他讲师还有没有补充关于这个问题。那没有的话，我们进入第三个问题哈，安全工作常规化是现在的一个趋势，那对于中小企业来说，安全还是比较小的一部分支出，那么呃，中小企业要怎么去开展部署安全的工作呢？

嗯，那我我是艾，我来回答一下这个问题吧，好的。嗯，其实中小企业可以从这几个方面来考虑哈，第一呢，是您的业务上了云之后啊，其实云上呢，其实还是为中小企业提供了一些免费的这种安全组件，比如说你一上来肯定会用PC，天然就做到了租户和租户之间的隔离，你也会用到安全组，那那在这种情况下呢，并且呢，我们每个产品可能都会有些这个那个叫做原生的安全机制，比如这些白名单，所以说在用好云的同时，你要把云原生的这个安全机制给用好，并且呢，我们一直讲强调一个说那个非必要不不不不啊，非必要不暴露，所以说你不要轻易的把你呃该暴那个不该暴露资产暴露掉，做好你的资产的暴露的控制面，那另外呢，其实我们刚才有老师也提到了，说今天我们正发布了一些为中小企业版的一个免费的一些这个安全的能力，那如果对这部分有兴趣的，回头也可以去看一下，这是第一部分的内容哈。

那第二个建议是说了你的业务上的云之后啊，云其实是一个，呃，有一个非常便捷的这个叫做快照的机制，你要定期去做好你的快照的一个备份，就比如说你给自己一个命题假设，如果你真的是中了病了。嗯，你的企业会受到什么样的损失，如果你心中对这个有了答案的话呢，其实那你可能会想到我给你的第三个建议，就是说不管你这个企业有多小，其实一般安全对于企业来讲，就是说你企业的估值来评估安全的投入，但他通常说企业估值很难估，那业有个通通用的做法，就是说你云上比如说每年的消耗乘以10%~15%左右，就是你应该在上的安全上的投入，如果你连这个投入都没有到的话，意味着说你的这个安全投入的水位是远远低于你的同行业的，那第一同行业的。

潜在的风险就在于说你的被攻击的概率就会变更大，所以说我相信我们中小企业用到用好我才到的三点的话呢，呃，提高你的安全风险意识，会使你整个企业的安全的这个水位建设会比其他传统企业要高得多。好，我我的我的我的回答就这些，对。好，谢谢艾瑞克。嗯，我们其他讲师还有补充吗。好的，那呃沿着刚刚那个艾瑞克老师他提到的哈，确实就是安全的建设，嗯其实应该是一个长期的一个过程，而不是说我们就在这个重保的长期里面，我们可以快速的去部署，那所以呃就是可能更多的能力的建设，在我们平时的呃过程中就是已经要建立起来了，所以呃大家也可以就是多多关注我们这个原引擎系列的一些直播，在各个场景中我们都会有不同的安全的这种呃方案给到大家。

那嗯，好，那现在我们这个F，呃FQA的环节就结束了，那接下来我们就进行今天的最后一轮抽奖，呃，这里说一下哈，看到评论区，呃，那个还是有很多的观众在积极的提问互动，那我们可以进群里面继续去讨论这个问题，我们的讲师也在群里面会给大家做一个回应。好的，那现在开启我们今天最后一轮抽奖，本轮我们为大家准备了十个腾讯的兔年生肖公仔，那请大家先扫描屏幕上的二维码进群，那刚刚我们这个社群里面有观众有提到说能不能换种抽奖方式哈，那这一次我们的这个抽奖方式就有所变化，那呃，之前我们讲师有提到说腾讯安全面向中小企业免费开放的这个基础安全能力，那所以呃，今天呢，我们也是有这样的一篇推文和长图的内容，那接下来我们的抽奖方式就是。

大家转发小助手发到群内的推文或者长图推文或者长图二选一即可哈，发到朋友圈，然后集30个赞并截图发到我们的社群里，然后我们会抽取前十名集满30个赞的小伙伴，送出我们的腾讯兔年的生肖公仔。好，那现在请我们的小助手把这个长图和推文发到社群里面，那前十名集满30个赞并截图发到群里的小伙伴，就会获得我们今天的兔年公仔。好啦，那今天我们原引擎云上珠宝系列场景的直播到这里就结束了，大家可以继续扫描呃，扫码入群跟我们的专家进行进一步的互动和交流，最后也预告一下我们原引擎重宝系列的直播第三期，也是最后一期企业单位如何确保数字化资产安全的主题直播将于下周四下午三点正式开播，那呃，我们今天的直播到这里就结束了，感谢大家，我是主持人梁静，那再次感谢大家的参与，我们下期活动再见，拜拜。