2020滴滴網絡安全峰會報告：跨越攻防的壁壘：漫談企業內部安全藍軍建設實踐 - 馬慧培1222.pdf

1、跨越攻防的壁壘 漫談企業內部安全藍軍建設實踐 馬慧培騰訊藍軍 2020.12.17 關于我01 馬慧培 騰訊藍軍 l 威脅情報處置、內部紅藍對抗 安全引擎 公眾號作者 l 先后從事威脅情報體系建設、業務風控前端攻防、反入侵紅藍對抗實 戰演練等領域的工作 l 負責以攻擊者視角檢驗安全態勢和縱深防護體系水平，挖掘風險盲點 目錄 工作方向與發展歷程02 安全藍軍，以攻促防01 內部藍軍探索與實踐03 挑戰與展望04 01 安全藍軍，以攻促防 關于藍軍01 為什么需要藍軍01 每天攔截惡意Web請求 千萬余次每天清洗流量 數百TB 為什么需要藍軍01 通信社交 數字內容 金融科技服務 工具、企業服務

2、騰訊云 產業互聯 為什么需要藍軍01 現狀不清晰、效果無法衡量 策略缺漏、場景認知不全面 對抗戰場升級 檢驗安全態勢和防護水平 挖掘風險盲點和攻防場景 還原攻擊現場，提升認知 安全意識問題？100自動化？ 02 工作方向與發展歷程 內部藍軍工作，點線面02 l 攻防場景地圖 l 測試環境 / 真實環境 l 完整的攻擊鏈路 / 關聯告警 l 嚴格的風險控制 l 對抗、建設、復盤提升 點 線 面 廣度：攻防技術點，單點對抗與繞過 深度：完整攻擊演習，隱蔽性、躲避檢測 探索：攻擊面、風險盲點、舉一反三 歷程01 策略驗證紅藍對抗 攻防 路徑 縱深 防御 業務安 全風險 漏洞舉 一反三 新業務 新安全

3、 APT 滲透演習 漏洞風險縱深防御體系對抗攻擊面挖掘、實戰 紅藍工作指標02 入侵發現率 攻擊場景發現率 攻擊覆蓋度 演習頻次/安全風險數/策略缺陷數/效率提升 攻擊成本 目標達成率 03 內部藍軍的探索與實踐 了解真實世界的攻擊者03 辦公 環境 線上 資產 組織 人員 合作方 投后 供應鏈 其他 賦能業務，安全共生03 網絡接入 遠程辦公 用戶認證 以身份為基石 零信任 業務形態，打破傳統管 理通道 虛擬化、Docker、K8S 微服務、應用網關 云原生 數字資產轉化升級 深入業務流程 剖析APT風險面 金融科技 紅藍對抗實踐03 攻擊目標趨于具象化，貼近真實業務，甚至APT攻擊目標 獲取權限- 獲取數據- 完成特定業務攻擊目標（比如：資金） 特定的業務攻擊目標，可以檢驗業務系統自身的審計、風控機制 面臨的場景： 1. 龐大而復雜的業務架構 2. 戒備森嚴、專項加固的目標環境 3.