腾讯安全：平战结合趋势下的攻防演练活动如何开展-办公网如何做到“零”失分（2023）（22页）.pdf

《腾讯安全：平战结合趋势下的攻防演练活动如何开展-办公网如何做到“零”失分（2023）（22页）.pdf》由会员分享，可在线阅读，更多相关《腾讯安全：平战结合趋势下的攻防演练活动如何开展-办公网如何做到“零”失分（2023）（22页）.pdf（22页珍藏版）》请在三个皮匠报告上搜索。

1、?-?0101?0202?型攻防演练活动演进趋势2018年不在指定攻击标及时间，不限定攻击段，全检 验企业应对真实攻击能2020年重点检验云计算、数据、物联等新型技术平台的 安全防御能2017年针对指定标业务系统进 模拟定向攻击，检验防守企 业安全防御能2019年允许攻击队采社会程学攻击、0Day漏洞利等流 客攻击段2021年允许攻击队采更加接近实 战的攻击技战术，检验防守 的应急响应能2022年越来越近真实攻击，使用的手段也不再那么局限；促使大部分企业已经开始弱化演习活动的时效性，而是平战结合，作为常态化的安全工作来做2016?年规定动作进检查，完 成络应急响应预案，定期做演练即为合格攻防案

2、例分享 钓鱼是怎样成为攻击的攻击利器的？靶标供应商/营业部办公区生产区集团内网管理区子公司域控域控DMZ对外业务服务一般业务办公OA普通终端防 火 墙V P N普通终端运维域终端防 火 墙堡 垒 机V P N网 闸/防 火 墙运维域终端外网打点：漏洞利用钓鱼RDP爆破/钓鱼不规范网络配置，直连集团核心区供应商/营业部账号利用横移横移账号利用横向横向横向横向供应商缺乏权限管控子公司权限过高分支、供应链接入是最性价比最高的布控环节突防阶段利用漏洞、钓鱼等进行突防横向移动利用系统服务横移、攻击域控反渗透通过进程注入、提权等执行后渗透阶操作侦查阶段信息收集1侦查阶段攻击队通过各种途径收集可能被利用到的

3、信息，包括各种对外暴露的互联网资产，各种招标文件里的供应链采购，互联网或暗网上存在的企业相关的系统账号密码等钓鱼+横移是成功率最高的组合2突防阶段（利用钓鱼成功突破）1、外网打点（失败）：通过批量的方式对所有可以访问到的互联网资产进行初步的探测，发现暴露面之后尝试进行攻击，一般配合 nday甚至 0day；2、钓鱼（成功）：通过邮件、IM、u盘等方式传播钓鱼文件，诱骗用户点击后，完成对终端的控制，实现突破；3、RDP 爆破（失败）：很多终端为了工作方便直接将远程桌面映射到互联网，攻击者直接对其进行爆破实现控制。3横移（借分支和供应链设备横移）突防后攻击者以此为据点收集内网信息，寻找高价值主机，

4、通过多次横移后最终锁定靶标机器。4反渗透通过注入提权等方式拿下靶标主机获取数据分支、供应链是最薄弱的环节经过多年演练，集团总部人员和设备安全意识和防御措施已经非常已经非常充分，分支和供应链无论安全投入还是安全意识都要差很多，管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节“分接”与“供应链接”存在的安全管理痛点与难点为什么“分支接入”与“供应链接入”会成为被重点针对的突破口？（痛点）为什么“分支接入”与“供应链接入”会成为难以解决的安全短板？（难点）、相较于总部员及对应设备，分与供应链的与设备更容易被收集信息、社和实施钓更容易被收集信息、社和实施钓（易突破）

5、（易突破）三、由于业务优先与管理疏忽等问题，很多时候拿下分与供应链单点收益与突破内收益相近，甚更拿下分与供应链单点收益与突破内收益相近，甚更（攻击收益）（攻击收益）“供应链接入”挑战“多分支接入”挑战、通过分与供应链进突破渗透的攻击为会更隐蔽，难以及时响应攻击为会更隐蔽，难以及时响应（难被发现）（难被发现）易突破难被发现攻击收益高人员安全意识不可控设备安全基线不可控缺乏安全状态可见性访问控制松散人员外编安全追责难人员分布广信息易被收集准入难实施VPN体验差难要求供应链设备安装安全软件（兼容性、抵触心理）角色繁多变动频繁，难管理易被近站攻击无安全抓手，存在大量非标设备缺乏安全状态可见性访问控制松

6、散易突破难被发现攻击收益高部分分支接入存在NAT难以精准审计与管控0101?0202?如何对“分接”与“供应链接”当前存在的安全挑战？挑战是什么？应对思路是什么？要做什么？“供应链接入”挑战“多分支接入”挑战更好的安全抓手在接入层构建内生安全能力，让安全融于业务，让业务成为安全的抓手，拒绝安全短板在极易被攻破的接入场景，通过最小化授权理念进行管理，最大化规避安全短板存在的风险人员外编，安全意识薄弱，追责难人员分布广，信息易被收集准入难实施，VPN体验差，无抓手难要求供应链设备安装安全软件（兼容性、抵触心理）角色繁多变动频繁，难管理部分分支接入存在NAT难以精准审计与管控安全融于业务，确保100

7、%覆盖体系化构建防钓鱼能力，尽量降低特定群体的脆弱性产生的风险针对风险接入场景落地更精细的管控基于身份进行“端到端”管理“生产力友好”+“可高效运营”的精细化访问控制能力更易落地和办公体验更好的准入落实“最小化授权访问”原则腾讯零信任解决案 提供办公安全短板补齐的新思路分支营业部分公司12接入内生安全，让业务成为安全抓手在混合办公与数字化推动形成的扁平化网络对抗不可控的人和设备潜藏的内外部威胁1最小化授权访问，最大化隔离风险提供“可落地”的最小化授权访问能力，在平衡业务的同时，尽可能隔离风险与资产2内安全能-让安全融于业务，拒绝“安全桶短板”核心能力：业务隐身、权限治理、动态访问控制、全球加速

8、更高效、安全、稳定地连接任何位置的人与业务核心能力：高级威胁检测、事件调查与溯源等更全面和更易用的威胁溯源与风险控制能力聚焦痛点事件/场景打造更简单、有效的威胁防护能力核心能力：防病毒、漏洞防御、热门威胁防护可信接入威胁防护风险控制核心能力：资产管理、脆弱性管理、资产合规基线为客户提供更精细和有效的办公安全威胁预防能力安全管理业务业务安全安全让安全服务于业务让业务成为安全的抓手让安全软件不仅有对IT团队的管理/安全价值，同时能够给终端用户创造业务价值确保业务所能够服务的所有用户和设备都是安全状态可视与可控的事前事中事后内安全能 先服务好业务，再谈安全iOASPA单包授权（难被发现）、以攻促防（

9、难被攻击）、控制层与数据层隔离（难被利用）脆弱性多，且容易被利用，已不适合作为远程接入的重要基础设施VPN架构安全持续验证+纵深的最小化授权架构缺乏持续验证的机制与实现最小化授权的配套能力访问安全支持对终端软件、进程、网络、配置、指纹及动态行为进行实时多维度检测和校验支持对终端指纹、指纹进行检查和校验终端安全集合桌面管控+水印+沙箱+敏感行为审计，覆盖事前事中事后的数据泄密管控能力缺乏对数据泄密的管控（缺乏对风险的处理能力），VPN的使用将会给企业带来巨大的数据安全风险数据安全并发多短连接模式，在弱网环境下可以避免由于丢包而产生的业务访问堵塞，保持极佳的访问速率单通道长连接模式，由于设备中的连

10、接都需要复用单一tcp连接，因此任意业务发生丢包都会影响其他业务的传输，致使访问速率慢访问速度用户访问业务网站时，零信任网关才会转发用户的访问请求，用户意识不到短暂的网络不稳定（http原生态支持断点续传）VPN隧道的链路取决于整个链路网络嘴不稳定的一环，比如：wifi信号弱，闪断1秒，用户就需要重新登录访问稳定性纯软部署+控制平面和数据平面分离，扩容仅需增加横向添加网关，无需考虑多平台建设或复杂集群，大大减少扩容周期和人力成本VPN扩容往往需要替换或增加厂商的VPN硬件设备，甚至重新部署新的VPN平台，灵活度不足，这导致VPN扩容的周期长，成本高可拓展性统一的访问访问审计与策略管理，避免重复

11、和冗余的管理工作；统一监控平台实现集约化运维，提升业务支撑的敏捷度和质量管理员可能需要在多套VPN平台进行分散的碎片化管理运维便利性更更安安全全更更好好的的用用户户体体验验更更高高的的管管理理效效率率内安全能 利业务抓，对接设备进脆弱性整改资产可视终端可管脆弱性发现脆弱性加固全平台Agent客户端（PC/移动/信创）终端资产发现企业资产库对接资产基本/软件/硬件信息采集软硬件变更记录资产智能自定义标签资产关键信息运营（所属权、停更系统）资产脆弱性、威胁、安全基线采集终端资产与身份绑定客户端自保护（卸载/退出保护、升级）模块定制远程协助特权模式客户端诊断工具外设管理（注册U盘）外联管控系统安全加

12、固进程/服务/网络端口管控终端网络访问控制软件管理（分发、卸载、管控）软件仓库软件脆弱性系统高危漏洞管理Office组件漏洞管理软件版本漏洞管理停更系统终端管理设备基线：入域、弱密码、防火墙网络基线：端口、进程、服务系统基线：漏洞、杀软、能力库版本软件基线：必装软件、违规软件安全加固（密码加固/屏幕保护/防火墙）高危端口/违规进程/风险服务管控软件管理安全基线联动可信接入（观察/禁用模式）设备属性、风险联动访问策略可信软件联动访问策略RDP登录联动MFA认证策略个人/公司设备管理未绑定设备管理风险软件管理（由企业运营需求决定）病毒查杀实时防护系统防御（热补丁/防爆破）文档守护基于设备属性自动分

13、组基于搜索结果快捷分组基于组织架构标准分组资产分组用于访问、管控、安全场景使用广度：资产汇聚（统一管理视角）广度：资产汇聚（统一管理视角）深度：资产梳理（全面掌握资产信息）深度：资产梳理（全面掌握资产信息）关联：资产绑定（重塑身份与资产关系）关联：资产绑定（重塑身份与资产关系）聚类：智能分组（满足各种管理场景）聚类：智能分组（满足各种管理场景）自身：运维管理（自身：运维管理（ITIT运维保障）运维保障）硬件：终端管控（桌面管理保障）硬件：终端管控（桌面管理保障）软件：软件管控（软件管理保障）软件：软件管控（软件管理保障）基线场景：安全基线脆弱性基线场景：安全基线脆弱性漏洞场景：漏洞脆弱性漏洞场

14、景：漏洞脆弱性运维场景：运维场景：ITIT运维脆弱性运维脆弱性联动：可信接入联动联动：可信接入联动管理：终端管控加固管理：终端管控加固防御：安全防护加固防御：安全防护加固iOA贯穿企业从资产管理到脆弱性加固的全生命周期，通过与可信接入能力深度联动，形成一体化的零信任解决方案内安全能 利业务做抓，构建零死的体化侵为防御体系，拒绝“安全可见性”与“安全可控性”短板横向行为防御横向移动后渗透突防阶段信息收集利用漏洞、钓鱼等进行突防利用系统服务横移、攻击域控从入侵者视角，围绕入侵攻击链的四个关键环节中的三大环节，结合腾讯的安全大数据与攻防经验积累，构建设备威胁对抗防线侦查阶段通过进程注入、提权等执行后

15、渗透阶操作钓鱼识别RPC行为防护域控攻击防御文件特征检测钓鱼行为文件追踪攻击链关键环节漏洞利用行为防御流量侧识别拦截热补丁（二进制防御）内网持续渗透行为防御恶意进程注入检测网络扫描行为检测C端沉淀&安全大数据腾讯安全专家实战对抗经验总结沉淀的专家规则漏洞行为检测文件特征检测敏感共享防护伪造绕过行为检测。社工突防技术对抗躲避杀软（持续对抗，难以根治）外联通信利用人性弱点，防不胜防伪装成正常文件文件变形(vbs、rtf、wsf，lnk等)域前置云函数来源路径监测企业微信IM(微信/QQ/等)其它文件形态识别定开后门Office宏白加黑Lnk+shellcode联网零信任审计未知程序联网可信程序联网

16、腾讯是被钓鱼攻击最多的互联网公司，有多年对抗钓鱼攻击的经验腾讯有丰富的通信（IM工具，邮箱）终端安全治理经验与一手威胁情报腾讯是唯一有云+管+端产品联动的厂商，可对钓鱼防护形成互补看得见防得住理论上腾讯零信任可对钓鱼攻击行为实现100%覆盖231攻击路径分析钓鱼攻击特点（为啥难防）应对应对钓鱼攻击行为分析腾讯钓鱼防护方案立体防护解决方案防护效果核心优势初始访问（投递样本）执行&持久化驻留&凭据窃取&信息收集&横向移动等命令和控制（外联C2）IM投递邮箱投递定向角色投递回连接受指令无文件加载内安全能 “懈”可击的钓鱼防护注：投递和外联C2是必备阶段，如果实现对这两个阶阶段进一一头一尾关联行为监测

17、，攻击者无法绕过关联行为监测，攻击者无法绕过CDN命令混淆变形(powershell，cmd等)恶意程序加壳免杀引诱执行创建启动项内核提权IP/Port扫描漏洞利用内存加载WMI/SMB/PtH/PtT横向隧道转发密码破解白+黑签名伪造核心思路：核心思路：对高危渠道落地文件进行外联监测和关联分析关联分析，确保“看得见”，确保“看得见”&“防得住”“防得住”定向人群投递多种绕过手段躲避杀软，持续对抗，难以根治多种可利用的投递渠道通信加密&利用隐秘隧道流量设备单点难避免漏报内安全能 终端横移对抗，将风险扼杀在摇篮内事前加固RDP登录二次认证本地账号网络认证高危端口管控防御思路：事前安全基线加固，事

18、中可疑行为零信任审计内网据点被攻击者域控服务12终端横移2域控攻击域控攻击l 本地信息收集l 内网信息收集l 命令执行l RPC调用l PtH PtTl 共享目录投递事中防护终端横移拦截域控攻击拦截攻击者视角防御者视角终端横移行为覆盖100%域控攻击行为覆盖90%内网横移路径分析腾讯横移防护方案内网横移防护方案防护效果横移场景的覆盖广度和对抗深度遥遥领先行业横移场景(广度)横移技术(深度)可疑命令执行RPC 远程调用共享目录投递KerberosPtT终端横移域控攻击基础高级中级腾讯友商一友商二最化授权访问-可落地的最化授权体系用户攻击者越权用户风险用户&设备企业核心数据资产最小化按需授权收敛资

19、产暴露面风险驱动自适应访问提供多种接入方式实现全场景业务访问收敛端口隐藏（SPA）访问加密RBAC授权管理全网访问行为测绘智能按需授权推荐僵尸权限自动回收权限自申请用户行为威胁感知与控制设备高级威胁感知与控制已知威胁防御动态访问控制创造安全收益：更好地隔离资产与风险1 1、收敛、收敛攻击面攻击面：提升恶意用户侵害企业重要资产的难度2 2、收敛、收敛风险面风险面：降低风险通过访问主体扩散的概率克服生产力阻力：解决与生产效率的矛盾问题1 1、管理、管理成本低成本低：数据驱动运营，极低的管理投入即可实现最小化授权2 2、生产力、生产力负担小负担小：“按需授权+精准防控”，充分兼顾业务访问需求最化授权

20、访问-端隐藏（SPA），拒绝暴露被正突破需求场景远程办公兴起，企业边界瓦解，业务从内网访问转向无边界访问，外部攻击加剧（DDoS、漏洞利用）业务暴露面扩大易受攻击传统VPN对外暴露端口，配合扫描工具，攻击方可快速利用VPN 0day漏洞（eg.20/21年xx服 vpn0day漏洞）VPN类接入服务暴露端口风险极大技术特点复杂网络场景：多种协议敲门包支持高并发场景：SPA处理效率高全系统端口隐藏：控制平面隐身【全端口隐藏】支持总控及网关全端口隐藏，实现对外完全隐身【增强型SPA】支持UDP/TCPSYN/ICMP三种敲门方式，适配复杂网络场景【按需启用模式】支持对单/多个网关独立开启隐身阻断及

21、审计模式，可对网关启用独立策略【多端支持】支持Windows/MacOS/Android/iOS多系统领先独家独家稳定携带SPA包的可信终端未携带SPA包的终端SPA单包授权安全机制实现服务隐身SPA单包授权安全机制实现服务隐身建立TLS连接携带合法SPA包，连接建立成功！建立TLS连接未携带合法spa包，连接建立失败！代理访问不对外暴露服务端口，扫描器无法扫描到，有效杜绝外部攻击最化授权访问 权限治理企业/机构的业务现状及痛点组织架构纵深，用户角色繁多需要被零信任保护的系统资产众多，且数量还在持续扩张现状：全网用户和资源的权限关系非常复杂白名单用户：用户体验差，且容易出现僵尸权限，导致策略腐

22、化白名单角色/组：权限关系过于复杂，策略梳理困难，运营工作量大痛点：权限运营难兼顾管理效率，用户体验与精细授权会给企业/机构带来什么负面影响？访问策略难定义，大大增加了零信任落地的阻力授权粗放，并非最小化授权，风险与资产的隔离效果差企业/机构的诉求即使面对海量的资产与用户，也仅需极少的人力物力投入支撑运营极低的运营成本（管理效率）：用户可以根据所属部门或角色自动继承权限，无需额外申请即可访问为用户提供其需要的权限（用户体验）：仅授予用户常规业务需要的访问权限，最小化收敛暴露面最小化按需授权（精细化授权）：最化授权访问 适应访问风险隔离控制持续监控终端可信环境，根据不可信的评估结果动态降权/阻断

23、/要求二次身份验证，保障企业业务安全访问资源监控应用进程监控访问时间监控基于业务资源敏感度做权限校验异于系统规定的闲时/工作时间访问终端风险等级监控自定义终端违规风险等级（高中低）应用进程可信/风险校验访问地点监控异于系统规定的网络访问(内外网)异于系统规定的国家位置访问访问行为异常监控（持续规划上线）异地登录访问、异常时间访问禁止访问限制访问二次认证挑战审计私有化部署架构访问控制策略引擎身份安全零信任网关(VPN?CLIENT)零信任安全控制台可信评估终端安全管控企业安全运营中心控制平面数据平面终端/用户Web应用OA/ERP/CRMC/S应用Email/SSH/RDP企业 IDC业务资源W

24、eb应用OA/ERP/CRMC/S应用Email/SSH/RDP阿里云/aws/华为内网Web应用OA/ERP/CRMC/S应用Email/SSH/RDP腾讯云企业互联网入口/核心汇聚层有客户端企业员工三方伙伴无客户端企业互联网出口/核心汇聚层企业安全中心SOC/SIEM威胁情报NDRIAM其他安全系统SaaS?部署架构访问控制策略引擎身份安全通道服务Web应用OA/ERP/CRMC/S应用Email/SSH/RDP企业 IDC管理控制台可信评估安全管控业务资源控制平面数据平面终端/用户连接器腾讯云DDoS防护/WAF/边缘加速有客户端企业员工三方伙伴无客户端Web应用OA/ERP/CRMC/S应用Email/SSH/RDP阿里云/aws/华为内网连接器Web应用OA/ERP/CRMC/S应用Email/SSH/RDP腾讯云连接器THANK?YOUTHANK?YOU欢迎扫码加 V 联系