《騰訊安全：平戰結合趨勢下的攻防演練活動如何開展-辦公網如何做到“零”失分（2023）（22頁）.pdf》由會員分享，可在線閱讀，更多相關《騰訊安全：平戰結合趨勢下的攻防演練活動如何開展-辦公網如何做到“零”失分（2023）（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、?-?0101?0202?型攻防演練活動演進趨勢2018年不在指定攻擊標及時間，不限定攻擊段，全檢 驗企業應對真實攻擊能2020年重點檢驗云計算、數據、物聯等新型技術平臺的 安全防御能2017年針對指定標業務系統進 模擬定向攻擊，檢驗防守企 業安全防御能2019年允許攻擊隊采社會程學攻擊、0Day漏洞利等流 客攻擊段2021年允許攻擊隊采更加接近實 戰的攻擊技戰術，檢驗防守 的應急響應能2022年越來越近真實攻擊，使用的手段也不再那么局限；促使大部分企業已經開始弱化演習活動的時效性，而是平戰結合，作為常態化的安全工作來做2016?年規定動作進檢查，完 成絡應急響應預案，定期做演練即為合格攻防案

2、例分享 釣魚是怎樣成為攻擊的攻擊利器的？靶標供應商/營業部辦公區生產區集團內網管理區子公司域控域控DMZ對外業務服務一般業務辦公OA普通終端防 火 墻V P N普通終端運維域終端防 火 墻堡 壘 機V P N網 閘/防 火 墻運維域終端外網打點：漏洞利用釣魚RDP爆破/釣魚不規范網絡配置，直連集團核心區供應商/營業部賬號利用橫移橫移賬號利用橫向橫向橫向橫向供應商缺乏權限管控子公司權限過高分支、供應鏈接入是最性價比最高的布控環節突防階段利用漏洞、釣魚等進行突防橫向移動利用系統服務橫移、攻擊域控反滲透通過進程注入、提權等執行后滲透階操作偵查階段信息收集1偵查階段攻擊隊通過各種途徑收集可能被利用到的

3、信息，包括各種對外暴露的互聯網資產，各種招標文件里的供應鏈采購，互聯網或暗網上存在的企業相關的系統賬號密碼等釣魚+橫移是成功率最高的組合2突防階段（利用釣魚成功突破）1、外網打點（失?。和ㄟ^批量的方式對所有可以訪問到的互聯網資產進行初步的探測，發現暴露面之后嘗試進行攻擊，一般配合 nday甚至 0day；2、釣魚（成功）：通過郵件、IM、u盤等方式傳播釣魚文件，誘騙用戶點擊后，完成對終端的控制，實現突破；3、RDP 爆破（失?。汉芏嘟K端為了工作方便直接將遠程桌面映射到互聯網，攻擊者直接對其進行爆破實現控制。3橫移（借分支和供應鏈設備橫移）突防后攻擊者以此為據點收集內網信息，尋找高價值主機，

4、通過多次橫移后最終鎖定靶標機器。4反滲透通過注入提權等方式拿下靶標主機獲取數據分支、供應鏈是最薄弱的環節經過多年演練，集團總部人員和設備安全意識和防御措施已經非常已經非常充分，分支和供應鏈無論安全投入還是安全意識都要差很多，管理上不夠規范，容易被釣魚突破然后往總部內網走，是當前最有效的攻擊手段和最薄弱的環節“分接”與“供應鏈接”存在的安全管理痛點與難點為什么“分支接入”與“供應鏈接入”會成為被重點針對的突破口？（痛點）為什么“分支接入”與“供應鏈接入”會成為難以解決的安全短板？（難點）、相較于總部員及對應設備，分與供應鏈的與設備更容易被收集信息、社和實施釣更容易被收集信息、社和實施釣（易突破）

5、（易突破）三、由于業務優先與管理疏忽等問題，很多時候拿下分與供應鏈單點收益與突破內收益相近，甚更拿下分與供應鏈單點收益與突破內收益相近，甚更（攻擊收益）（攻擊收益）“供應鏈接入”挑戰“多分支接入”挑戰、通過分與供應鏈進突破滲透的攻擊為會更隱蔽，難以及時響應攻擊為會更隱蔽，難以及時響應（難被發現）（難被發現）易突破難被發現攻擊收益高人員安全意識不可控設備安全基線不可控缺乏安全狀態可見性訪問控制松散人員外編安全追責難人員分布廣信息易被收集準入難實施VPN體驗差難要求供應鏈設備安裝安全軟件（兼容性、抵觸心理）角色繁多變動頻繁，難管理易被近站攻擊無安全抓手，存在大量非標設備缺乏安全狀態可見性訪問控制松

6、散易突破難被發現攻擊收益高部分分支接入存在NAT難以精準審計與管控0101?0202?如何對“分接”與“供應鏈接”當前存在的安全挑戰？挑戰是什么？應對思路是什么？要做什么？“供應鏈接入”挑戰“多分支接入”挑戰更好的安全抓手在接入層構建內生安全能力，讓安全融于業務，讓業務成為安全的抓手，拒絕安全短板在極易被攻破的接入場景，通過最小化授權理念進行管理，最大化規避安全短板存在的風險人員外編，安全意識薄弱，追責難人員分布廣，信息易被收集準入難實施，VPN體驗差，無抓手難要求供應鏈設備安裝安全軟件（兼容性、抵觸心理）角色繁多變動頻繁，難管理部分分支接入存在NAT難以精準審計與管控安全融于業務，確保100

7、%覆蓋體系化構建防釣魚能力，盡量降低特定群體的脆弱性產生的風險針對風險接入場景落地更精細的管控基于身份進行“端到端”管理“生產力友好”+“可高效運營”的精細化訪問控制能力更易落地和辦公體驗更好的準入落實“最小化授權訪問”原則騰訊零信任解決案 提供辦公安全短板補齊的新思路分支營業部分公司12接入內生安全，讓業務成為安全抓手在混合辦公與數字化推動形成的扁平化網絡對抗不可控的人和設備潛藏的內外部威脅1最小化授權訪問，最大化隔離風險提供“可落地”的最小化授權訪問能力，在平衡業務的同時，盡可能隔離風險與資產2內安全能-讓安全融于業務，拒絕“安全桶短板”核心能力：業務隱身、權限治理、動態訪問控制、全球加速

8、更高效、安全、穩定地連接任何位置的人與業務核心能力：高級威脅檢測、事件調查與溯源等更全面和更易用的威脅溯源與風險控制能力聚焦痛點事件/場景打造更簡單、有效的威脅防護能力核心能力：防病毒、漏洞防御、熱門威脅防護可信接入威脅防護風險控制核心能力：資產管理、脆弱性管理、資產合規基線為客戶提供更精細和有效的辦公安全威脅預防能力安全管理業務業務安全安全讓安全服務于業務讓業務成為安全的抓手讓安全軟件不僅有對IT團隊的管理/安全價值，同時能夠給終端用戶創造業務價值確保業務所能夠服務的所有用戶和設備都是安全狀態可視與可控的事前事中事后內安全能 先服務好業務，再談安全iOASPA單包授權（難被發現）、以攻促防（

9、難被攻擊）、控制層與數據層隔離（難被利用）脆弱性多，且容易被利用，已不適合作為遠程接入的重要基礎設施VPN架構安全持續驗證+縱深的最小化授權架構缺乏持續驗證的機制與實現最小化授權的配套能力訪問安全支持對終端軟件、進程、網絡、配置、指紋及動態行為進行實時多維度檢測和校驗支持對終端指紋、指紋進行檢查和校驗終端安全集合桌面管控+水印+沙箱+敏感行為審計，覆蓋事前事中事后的數據泄密管控能力缺乏對數據泄密的管控（缺乏對風險的處理能力），VPN的使用將會給企業帶來巨大的數據安全風險數據安全并發多短連接模式，在弱網環境下可以避免由于丟包而產生的業務訪問堵塞，保持極佳的訪問速率單通道長連接模式，由于設備中的連

10、接都需要復用單一tcp連接，因此任意業務發生丟包都會影響其他業務的傳輸，致使訪問速率慢訪問速度用戶訪問業務網站時，零信任網關才會轉發用戶的訪問請求，用戶意識不到短暫的網絡不穩定（http原生態支持斷點續傳）VPN隧道的鏈路取決于整個鏈路網絡嘴不穩定的一環，比如：wifi信號弱，閃斷1秒，用戶就需要重新登錄訪問穩定性純軟部署+控制平面和數據平面分離，擴容僅需增加橫向添加網關，無需考慮多平臺建設或復雜集群，大大減少擴容周期和人力成本VPN擴容往往需要替換或增加廠商的VPN硬件設備，甚至重新部署新的VPN平臺，靈活度不足，這導致VPN擴容的周期長，成本高可拓展性統一的訪問訪問審計與策略管理，避免重復

11、和冗余的管理工作；統一監控平臺實現集約化運維，提升業務支撐的敏捷度和質量管理員可能需要在多套VPN平臺進行分散的碎片化管理運維便利性更更安安全全更更好好的的用用戶戶體體驗驗更更高高的的管管理理效效率率內安全能 利業務抓，對接設備進脆弱性整改資產可視終端可管脆弱性發現脆弱性加固全平臺Agent客戶端（PC/移動/信創）終端資產發現企業資產庫對接資產基本/軟件/硬件信息采集軟硬件變更記錄資產智能自定義標簽資產關鍵信息運營（所屬權、停更系統）資產脆弱性、威脅、安全基線采集終端資產與身份綁定客戶端自保護（卸載/退出保護、升級）模塊定制遠程協助特權模式客戶端診斷工具外設管理（注冊U盤）外聯管控系統安全加

12、固進程/服務/網絡端口管控終端網絡訪問控制軟件管理（分發、卸載、管控）軟件倉庫軟件脆弱性系統高危漏洞管理Office組件漏洞管理軟件版本漏洞管理停更系統終端管理設備基線：入域、弱密碼、防火墻網絡基線：端口、進程、服務系統基線：漏洞、殺軟、能力庫版本軟件基線：必裝軟件、違規軟件安全加固（密碼加固/屏幕保護/防火墻）高危端口/違規進程/風險服務管控軟件管理安全基線聯動可信接入（觀察/禁用模式）設備屬性、風險聯動訪問策略可信軟件聯動訪問策略RDP登錄聯動MFA認證策略個人/公司設備管理未綁定設備管理風險軟件管理（由企業運營需求決定）病毒查殺實時防護系統防御（熱補丁/防爆破）文檔守護基于設備屬性自動分

13、組基于搜索結果快捷分組基于組織架構標準分組資產分組用于訪問、管控、安全場景使用廣度：資產匯聚（統一管理視角）廣度：資產匯聚（統一管理視角）深度：資產梳理（全面掌握資產信息）深度：資產梳理（全面掌握資產信息）關聯：資產綁定（重塑身份與資產關系）關聯：資產綁定（重塑身份與資產關系）聚類：智能分組（滿足各種管理場景）聚類：智能分組（滿足各種管理場景）自身：運維管理（自身：運維管理（ITIT運維保障）運維保障）硬件：終端管控（桌面管理保障）硬件：終端管控（桌面管理保障）軟件：軟件管控（軟件管理保障）軟件：軟件管控（軟件管理保障）基線場景：安全基線脆弱性基線場景：安全基線脆弱性漏洞場景：漏洞脆弱性漏洞場

14、景：漏洞脆弱性運維場景：運維場景：ITIT運維脆弱性運維脆弱性聯動：可信接入聯動聯動：可信接入聯動管理：終端管控加固管理：終端管控加固防御：安全防護加固防御：安全防護加固iOA貫穿企業從資產管理到脆弱性加固的全生命周期，通過與可信接入能力深度聯動，形成一體化的零信任解決方案內安全能 利業務做抓，構建零死的體化侵為防御體系，拒絕“安全可見性”與“安全可控性”短板橫向行為防御橫向移動后滲透突防階段信息收集利用漏洞、釣魚等進行突防利用系統服務橫移、攻擊域控從入侵者視角，圍繞入侵攻擊鏈的四個關鍵環節中的三大環節，結合騰訊的安全大數據與攻防經驗積累，構建設備威脅對抗防線偵查階段通過進程注入、提權等執行后

15、滲透階操作釣魚識別RPC行為防護域控攻擊防御文件特征檢測釣魚行為文件追蹤攻擊鏈關鍵環節漏洞利用行為防御流量側識別攔截熱補?。ǘM制防御）內網持續滲透行為防御惡意進程注入檢測網絡掃描行為檢測C端沉淀&安全大數據騰訊安全專家實戰對抗經驗總結沉淀的專家規則漏洞行為檢測文件特征檢測敏感共享防護偽造繞過行為檢測。社工突防技術對抗躲避殺軟（持續對抗，難以根治）外聯通信利用人性弱點，防不勝防偽裝成正常文件文件變形(vbs、rtf、wsf，lnk等)域前置云函數來源路徑監測企業微信IM(微信/QQ/等)其它文件形態識別定開后門Office宏白加黑Lnk+shellcode聯網零信任審計未知程序聯網可信程序聯網

16、騰訊是被釣魚攻擊最多的互聯網公司，有多年對抗釣魚攻擊的經驗騰訊有豐富的通信（IM工具，郵箱）終端安全治理經驗與一手威脅情報騰訊是唯一有云+管+端產品聯動的廠商，可對釣魚防護形成互補看得見防得住理論上騰訊零信任可對釣魚攻擊行為實現100%覆蓋231攻擊路徑分析釣魚攻擊特點（為啥難防）應對應對釣魚攻擊行為分析騰訊釣魚防護方案立體防護解決方案防護效果核心優勢初始訪問（投遞樣本）執行&持久化駐留&憑據竊取&信息收集&橫向移動等命令和控制（外聯C2）IM投遞郵箱投遞定向角色投遞回連接受指令無文件加載內安全能 “懈”可擊的釣魚防護注：投遞和外聯C2是必備階段，如果實現對這兩個階階段進一一頭一尾關聯行為監測

17、，攻擊者無法繞過關聯行為監測，攻擊者無法繞過CDN命令混淆變形(powershell，cmd等)惡意程序加殼免殺引誘執行創建啟動項內核提權IP/Port掃描漏洞利用內存加載WMI/SMB/PtH/PtT橫向隧道轉發密碼破解白+黑簽名偽造核心思路：核心思路：對高危渠道落地文件進行外聯監測和關聯分析關聯分析，確?！翱吹靡姟?，確?！翱吹靡姟?“防得住”“防得住”定向人群投遞多種繞過手段躲避殺軟，持續對抗，難以根治多種可利用的投遞渠道通信加密&利用隱秘隧道流量設備單點難避免漏報內安全能 終端橫移對抗，將風險扼殺在搖籃內事前加固RDP登錄二次認證本地賬號網絡認證高危端口管控防御思路：事前安全基線加固，事

18、中可疑行為零信任審計內網據點被攻擊者域控服務12終端橫移2域控攻擊域控攻擊l 本地信息收集l 內網信息收集l 命令執行l RPC調用l PtH PtTl 共享目錄投遞事中防護終端橫移攔截域控攻擊攔截攻擊者視角防御者視角終端橫移行為覆蓋100%域控攻擊行為覆蓋90%內網橫移路徑分析騰訊橫移防護方案內網橫移防護方案防護效果橫移場景的覆蓋廣度和對抗深度遙遙領先行業橫移場景(廣度)橫移技術(深度)可疑命令執行RPC 遠程調用共享目錄投遞KerberosPtT終端橫移域控攻擊基礎高級中級騰訊友商一友商二最化授權訪問-可落地的最化授權體系用戶攻擊者越權用戶風險用戶&設備企業核心數據資產最小化按需授權收斂資

19、產暴露面風險驅動自適應訪問提供多種接入方式實現全場景業務訪問收斂端口隱藏（SPA）訪問加密RBAC授權管理全網訪問行為測繪智能按需授權推薦僵尸權限自動回收權限自申請用戶行為威脅感知與控制設備高級威脅感知與控制已知威脅防御動態訪問控制創造安全收益：更好地隔離資產與風險1 1、收斂、收斂攻擊面攻擊面：提升惡意用戶侵害企業重要資產的難度2 2、收斂、收斂風險面風險面：降低風險通過訪問主體擴散的概率克服生產力阻力：解決與生產效率的矛盾問題1 1、管理、管理成本低成本低：數據驅動運營，極低的管理投入即可實現最小化授權2 2、生產力、生產力負擔小負擔?。骸鞍葱枋跈?精準防控”，充分兼顧業務訪問需求最化授權

20、訪問-端隱藏（SPA），拒絕暴露被正突破需求場景遠程辦公興起，企業邊界瓦解，業務從內網訪問轉向無邊界訪問，外部攻擊加?。―DoS、漏洞利用）業務暴露面擴大易受攻擊傳統VPN對外暴露端口，配合掃描工具，攻擊方可快速利用VPN 0day漏洞（eg.20/21年xx服 vpn0day漏洞）VPN類接入服務暴露端口風險極大技術特點復雜網絡場景：多種協議敲門包支持高并發場景：SPA處理效率高全系統端口隱藏：控制平面隱身【全端口隱藏】支持總控及網關全端口隱藏，實現對外完全隱身【增強型SPA】支持UDP/TCPSYN/ICMP三種敲門方式，適配復雜網絡場景【按需啟用模式】支持對單/多個網關獨立開啟隱身阻斷及

21、審計模式，可對網關啟用獨立策略【多端支持】支持Windows/MacOS/Android/iOS多系統領先獨家獨家穩定攜帶SPA包的可信終端未攜帶SPA包的終端SPA單包授權安全機制實現服務隱身SPA單包授權安全機制實現服務隱身建立TLS連接攜帶合法SPA包，連接建立成功！建立TLS連接未攜帶合法spa包，連接建立失??！代理訪問不對外暴露服務端口，掃描器無法掃描到，有效杜絕外部攻擊最化授權訪問 權限治理企業/機構的業務現狀及痛點組織架構縱深，用戶角色繁多需要被零信任保護的系統資產眾多，且數量還在持續擴張現狀：全網用戶和資源的權限關系非常復雜白名單用戶：用戶體驗差，且容易出現僵尸權限，導致策略腐

22、化白名單角色/組：權限關系過于復雜，策略梳理困難，運營工作量大痛點：權限運營難兼顧管理效率，用戶體驗與精細授權會給企業/機構帶來什么負面影響？訪問策略難定義，大大增加了零信任落地的阻力授權粗放，并非最小化授權，風險與資產的隔離效果差企業/機構的訴求即使面對海量的資產與用戶，也僅需極少的人力物力投入支撐運營極低的運營成本（管理效率）：用戶可以根據所屬部門或角色自動繼承權限，無需額外申請即可訪問為用戶提供其需要的權限（用戶體驗）：僅授予用戶常規業務需要的訪問權限，最小化收斂暴露面最小化按需授權（精細化授權）：最化授權訪問 適應訪問風險隔離控制持續監控終端可信環境，根據不可信的評估結果動態降權/阻斷

23、/要求二次身份驗證，保障企業業務安全訪問資源監控應用進程監控訪問時間監控基于業務資源敏感度做權限校驗異于系統規定的閑時/工作時間訪問終端風險等級監控自定義終端違規風險等級（高中低）應用進程可信/風險校驗訪問地點監控異于系統規定的網絡訪問(內外網)異于系統規定的國家位置訪問訪問行為異常監控（持續規劃上線）異地登錄訪問、異常時間訪問禁止訪問限制訪問二次認證挑戰審計私有化部署架構訪問控制策略引擎身份安全零信任網關(VPN?CLIENT)零信任安全控制臺可信評估終端安全管控企業安全運營中心控制平面數據平面終端/用戶Web應用OA/ERP/CRMC/S應用Email/SSH/RDP企業 IDC業務資源W

24、eb應用OA/ERP/CRMC/S應用Email/SSH/RDP阿里云/aws/華為內網Web應用OA/ERP/CRMC/S應用Email/SSH/RDP騰訊云企業互聯網入口/核心匯聚層有客戶端企業員工三方伙伴無客戶端企業互聯網出口/核心匯聚層企業安全中心SOC/SIEM威脅情報NDRIAM其他安全系統SaaS?部署架構訪問控制策略引擎身份安全通道服務Web應用OA/ERP/CRMC/S應用Email/SSH/RDP企業 IDC管理控制臺可信評估安全管控業務資源控制平面數據平面終端/用戶連接器騰訊云DDoS防護/WAF/邊緣加速有客戶端企業員工三方伙伴無客戶端Web應用OA/ERP/CRMC/S應用Email/SSH/RDP阿里云/aws/華為內網連接器Web應用OA/ERP/CRMC/S應用Email/SSH/RDP騰訊云連接器THANK?YOUTHANK?YOU歡迎掃碼加 V 聯系