2025年构建安全攻防矩阵 增强数字安全免疫力报告

微信扫码，打开到小程序

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 人员 武器 资金 情报 人员 武器 天时 地理 ü 大量0day漏洞储备 ü 专业攻防协作平台及工具集 ü 多团队投入，形成A/B多联队 ü 外网专家储备 ü 精良部队，各单位优秀渗透人员 ü 团队作战，分工专业 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 ✗ 价低者中标 ✗ 部分单位租借或友情支持 ✗ 情报滞后，响应较晚 ✗ 虚假情报满天飞，干扰分析精力 ü 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 黑白交替、拉锯战容易导致身心俱疲 ✗ 仅了解已知资产，供应链、分子公司等风险覆盖不全 以前的攻防演练（14天高频对抗） 现在的攻防演练（持续且深入的较量） 防御挑战：企业对安全建设结果的保障需求 业务数据 企业安全防护措施 （FW、WAF、主机安全等） 是否存在数据外泄？ 还有哪些可利用路径？ 1. 漏洞利用 2. 配置不当 3. …… 企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性 运营挑战：安全运营事件层出不穷，如何持续提升运营效率？ 安全运营现状 误报事件 授权事件 情报事 件 主机安全事 件 SOC （威胁情报、漏洞情报） （密钥泄露、代码泄露等） （HIDS） （控制台操作） 良性 事件 泄露事件 恶意事件 （漏洞误报等） 误配置 （产品/系统/应用不当配置） 暴力破解 （暴力破解成功） 木马事件 （木马/病毒/webshell等） 反弹shell （命令执行、远程提权） 漏洞扫描任务 配置检查任务 入侵响应事件 报告 A 报告 B 事件 C 邮件报告 发送报告 发送工单系统 工单催办告警 IM 提醒 复扫 秘钥泄露事件 IM 告警 邮件告警 发送工单系统 威胁情报事件 … … … 安全事件来源 安全运营挑战 重复造轮子 人工易出错 过程难回溯 云安全挑战：云服务独有的安全风险挑战 Ø 云产品迭代快，按需接入即开即用，容易造成暴露面的风险敞开，安全团队难以快速感知。 Ø 云产品数量大，哪些产品在开通后能被公网访问或泄漏云凭证，对安全团队是盲盒，管理上有很大困难。 Ø 不同云厂商的不同安全管理工具、使用复杂，学习门槛高，云网络关系复杂，经过多跳（NAT，LB）才到达真实主机 100 + 云产品 100 + 变更次数/天 2000 + 子产品 阿里云RDS数据库暴露路径 合规挑战：移动应用、供应链科技风险成监管关注的重点方向 金办发[99]号，是仅次于“金发”的二级发文，属于高标准要求；可见总局对此方向的重视程度。 金融监督管理总局99号文响应策略 覆盖范围 责任边界 兼容性 网络安全 数据安全 再次强调 问责机制 深度解读 1 1. 覆盖范围广，涵盖了之前发文没有涉及的更多金融机构 不仅涵盖了传统的政策性银行、国有大行、股份制、保司，还增加了外资银行、直销银行、资管管理、理财公司、金融控股公司等更 大范围金融机构。 监控运营 2. 要求标准高，明确了责任边界 虽然冠以“移动互联网应用程序”，但不限于APP、小程序、公众号。“运行在移动智能终端上”、“向内、外部用户提供服务”的应用软件都涵 盖在内。 3. 强化了对第三方、开源的安全要求 要求“加强第三方软件开发工具包安全需求分析”，“对源代码或组件（含第三方组件）开展风险管理”，影响的范围包括AI代码开发工具、IDE插 件（如一些安全开发、扫描插件）、第三方提供的软件包等。 4. 老旧版本下线、风险评估、隐私保护、仿冒应用 重点应关注老旧版本及时下线，以及相对应的API接口、权限的回收，对安全暴露面的监测； 相比APP仿冒，但小程序的仿冒还是比较高发，尤其是黑灰产高度抄袭的仿冒小程序，通过利用暴露的API接口、权限、数据等来进行欺诈。 明确裁判员定位，各地管局主体责任，并明确“加大风险漏洞通报力度”、“监督整改”，“加强违法违规问题触发问责力度”，“严肃问 责”。 【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】 5. 对监管职责和问责制度进行了明确 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 安全运营趋势：国际顶尖企业安全运营建设趋势 关键结论： CTEM是 Gartner 于 2022 年 7 月 推出的一个框架，可帮助企业持续、 一致地评估其物理和数字资产的脆 弱性。 Gartner 预测，到 2026 年，根据 CTEM 计划确定安全投资优先级别的 企业机构将减少三分之二的漏洞。 CTEM融合了暴露面管理、情报、VPT、 安全验证等技术。 关键结论： 自主安全运营是理念、实践和工具的结合，通 过自适应、敏捷和高度自动化的威胁管理方法 来提高组织抵御安全攻击的能力。 安全运营 趋势 自适应、敏捷、 高度自动化 持续威胁 暴露面管理 安全设计/默认安全/安全运营 自主(Autonomic)安全运营 安全设计/默认安全/安全运营 持续威胁暴露管理 关键结论： 安全三原则：Secure by design， Secure by default，Secure Operations 对产品或服务做安全设计；安全保护措施默认启 用并强制执行，无需额外配置，且不可选；持续 改进安全控制和监控以应对当前和未来的威胁。 安全运营朝着持续化(常态化)、自动化、默认安全方向演进 安全运营趋势洞察：从被动防御向主动防御转变 CONFIDENCIAL MATERIAL FROM TENCENT CLOUD 依赖 进化 • 安全域 • 安全加固 • 补丁管理 • 应用内建 • 基础对抗 • 自动化执行 • 消耗攻击资源 • 迟滞攻击 • 安全分析 • 快速验证 • 响应处置 • 人的参与 • 信息收集 • 情报生产 • 分析验证 • 情报猎捕 • 反制措施 • 法律手段 • 自我防卫 架构安全 被动防御 积极防御 安全情报 进攻反制 科学规划 强身健体 构筑工事 纵深防御 全面检测 快速响应 获取情报 准确预警 进攻反制 先发制人 Source：SANS 安全将不会再以“防范”为中心，而会更加强调“检测与响应”，情报驱动、协同防御将会是发展的趋势，全链 关注，消除盲点：被动安全+主动安全 安全运营思路：情报+数据+攻防驱动 快速 感知 全面 检测 自动 处置 持续 验证 情报体系建设——了解对手攻击资源、手段方法 • 收集外部最新的情报[如漏洞情报、泄露情报、投毒情报等] ，提前掌握 自身软硬件系统脆弱点 • 漏洞风险的的研判分析 持续验证能力——确保防护有效性 • 开展安全测试服务渗透测试 • 建立安全产品有效性验证能力 • 红蓝对抗 • 高级红队服务 威胁及暴露面管理能力CTEM——全网风险识别 • 梳理组织互联网/暗网等IP/域名/证书/端口/数据库等 • 检测企业的暴露面存在的弱点（漏洞、配置） • 检测员工手机号/邮箱/微信信息等人员暴露面 • 检测供应链及分子公司暴露面 反入侵与自动化平台能力——快速拦截、修复、响应 • 构建网络自动化攻击阻断能力 • 构建编排与运营自动化运营能力 • 通过流程可以打通各类安全运营场景处置 • 工具/动作标准化、流程标准化、场景标准化 • 反入侵系统，持续监测及响应各类攻击行为 安全 能力 情报 驱动 数据 驱动 攻防 驱动 治理架构：建立起自上而下的安全治理架构、组织体系和文化体系 安全BP 解决方案 变革推动 关系管理 战略落地 数据驱动的自动化安全运营 能 力 中 心 SOAR（流云） BAS 安全内核 主机安全（洋葱） 安全态势大盘 漏洞扫描（洞犀） 策略引擎 网络安全（天幕） 安全运营平台 应急响应平台 RASP 应用安全（门神） 安 全 运 营 准确率/误报率 漏报率/召回率 ROI MTTC MTTD SOAR覆盖率 二线上升率 SOP覆盖率 事件转化率 安全能力覆盖率 及时修复率 漏洞收敛率 业务伙伴 应急响应 平台安全 重保值守 安全水位 可视化 流程优化 监管合规 规范流程 数据泄露 账号风险 入侵攻击 监管处置 合规风险 云原生风险 云平台管控风险 业务安全风险 安全建设 风险导向 业务受益 闭环解决 响应常见需求 落地安全能力 玄武实验室 科恩实验室 提出需求 制定方案、给出结果 复杂问题上升 标准化能力沉淀 响应常见需求 攻 防 驱 动 情 报 驱 动 云鼎实验室 TSRC 云鼎实验室 腾讯安全重点能力建设方向 发现能力 处置能力 验证能力 安全能力（情报+暴露面） 安全运营（自动化运营+反入侵） 攻防研究（攻防验证） 定位：雷达 定位：作战部队 定位：科技中心 职责：发现并分析威胁事件，提供丰富及 准确的战术情报及战场信息，指导作战及 武器生产 职责：使用产品提供的“武器”，设计制定战 术（产品策略及解决方案），同威胁作战，保 护客户（安全运维） 职责： 研究尖端攻击技术、沉淀攻击武 器和战法，以攻促防，促进防御系统升 级进化 基于情报驱动的 威胁暴露面管理 基于数据驱动的 自动化运营能力 基于攻防驱动的 持续防御验证能力 关键运营能力：各关键安全能力应用场景 能力2：暴露面管理(EM) 能力1：漏洞情报监测[VI] 能力定位：最新风险极速感知与发现 能力SLA：7*24小时，MTTD<30min 应用场景： 1、提前感知业务最新漏洞威胁 2、提供PoC复现以及资产关联分析 能力定位：持续威胁与暴露面管理 能力SLA：7*24小时，MTTD<8h 应用场景： 1、应用SOAP平台实现暴露面挖掘过 程编排，提升覆盖度及时效 2、攻击者视角，覆盖5类攻击面元素 能力3：自动化运营及反入侵 能力定位：风险快速处置及响应 能力SLA：指标大盘 应用场景： 1、日常安全运营事件、告警的自动化处置 2、入侵事件、高风险事件的响应 能力4：对抗验证体系(BAS) 能力定位：安全控制措施的有效性验证 能力特点：：2000+剧本，100+场景 应用场景： 1、人工验证：渗透、专项/红蓝演练 2、WAF绕过、EDR检测逃逸… 3、社工突破，热点漏洞利用… 安全策略有效性 漏洞修复有效性 防护措施有效性 情报及暴露面管理 自动化运营及反入侵 默认安全及防御验证 平台工具 安全有效性验证 漏洞及数据泄露情报 资产管理 脆弱性及威胁识别 风险处置 运营设施 业务资产 平台同步 外部导入 主机 网络 应用 漏洞扫描 主机HIDS 安全能力 WAF …… 敏感信息 风险处置（工单） RASP 默认HTTPS 默认MFA 云资源覆盖 社工类情报 安全运营自动化（工作流平台） 事件处置（加白+拉黑） 事件恢复（记录+统计） 数据泄露情报 默认防护 云默认安全风险治理（XSPM） 安全有效性验证服务(BAS) 失陷账号 漏洞 暴露面 风险研判+影响面分析+自动发单 红蓝对抗服务 渗透测试 情报监测 + 暴露面管理 云默认安全风险治理 + 防御有效性验证 反入侵平台 天幕网络入侵防护系统 安全内核/镜像 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 全运营及防护体系介绍 知攻更懂防，服务看得见 1. 庞大的体系与快速迭代 50+产品分类，200+一级产品，XXXX二级产品 最多日均近10个新产品上线，日常N个版本发布 2. 复杂的产品形态与研发场景 自研、合作研发、OEM等 SaaS、PaaS、IaaS 专有云、私有云、公有云、混合云 3. 多样化的技术栈与架构 C、JAVA、GO、PHP、Python、NodeJS… Web应用、APP、客户端、小程序… 各种中间件、一些新型架构等 4. 多重组织与人员结构 总部、子公司、投资全资子公司、外部企业 正式员工、驻场外包、子公司员工、研发外包 跨公司、跨BG、跨部门、跨业务线、跨中心 互联网业务 • 业务差异化需求大 • 风险发现速度要快 • 响应处置时效要高 种类多 百万级 服务器 支撑组件 组织架构 发布频繁 版本多 形态复杂 平台多 跨组织 跨部门 弱管控 建设背景：复杂产品体系与人员组织，漏洞发现全面及修复速度要求高 发现能力（威胁情报）：海量数据积淀，更前瞻、深入的风险挖掘能力储备 腾讯拥有全球最大、覆盖最全的安全大数据库，并通过持续运营，对海量数据多维度分析，可以快速对威胁及时作出智能处置，助力企业安全 应用场景： • 入侵发现，接入检测模型，对于高危MD5、域名、IP等进行告警。 • 入侵追溯，追溯特定事件攻击行为 • 数据来源覆盖PC端、手机终端、企业邮箱和公有云上的各类产品，构建最实 时、最全的威胁情报数据库。 云管端最全安全数据库 主要威胁情报来源 • 腾讯安全沉淀的各类安全数据均来源于自身丰富的业务，具备甲方思维。 暗网、TG等情报网络 搭建外网蜜罐搜集 入侵策略历史发现 外部公开开源情报搜集 VT/微步等外部情报 ...... 发现能力（其他情报）：持续监测全球暗网数据泄露事件以及特殊时期攻防情报 暗网数据泄漏监测能力，针对客户资产、品牌、人员、系统等进行暗 网监测，监测渠道覆盖Telegram、暗网以及数据交易论坛等渠道。 暗网数据泄露情报 HW 攻防情报 国家护网期间，提供专项情报监控，监控包括来自微信群、安全论 坛、公众号等渠道的HW情报，覆盖0day、PoC 、钓鱼情报、攻击 手法、失陷情报等内容。 攻击者特征情报 收集监测HW期间所 使用到的 IP/IOC 情 报，进行拦截 最新漏洞情报 监测最新爆发 开 源组件漏洞，自检 是否存在新突破口 HW事件情报 收集整理HW规则 及行业调整动态， 便于调整防护策略 攻击手段情报 收集监测0Day/Nday 漏洞、钓鱼社工等情 报，便于自检自纠 外部论坛 微信群& 朋友圈 公众号 TG/Twitte r 发现能力（暴露面管理）：持续评估企业资产暴露面 威胁暴露面管理 = 攻击面管理（ASM）+风险验证+自动化修复改进 漏洞管理行业正在从有针对性的漏洞识别和修复发展为更全面的暴露管理方法，Gartner 将其称为持续威胁暴露管理 ( CTEM ) 来源：https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/exposure-management-the-evolution-of-vulnerability-management/ba-p/4084587 世界TOP企业安全实践 即持续不断评估企业数字和物理资产的可访问性、暴露性和可利用性 腾讯实践 对比项 CTEM持续威胁暴露面 （需具备的能力） 腾讯CTEM服务解决方案 （落地手段） 范围界定 ✓ 腾讯 EM 暴露面管理平台 持续发现 ✓ 腾讯 EM 暴露面管理平台 优先级划分 ✓ 腾讯 VI 漏洞情报 +TVPT模型 风险验证 ✓ 腾讯 BAS 安全有效性验证平台 动员修复 ✓ 腾讯 MSP 安全运营自动化平台 Gartner：2024年企业机构需要探索的10大战略技术 趋势 持续威胁暴露面管理（CTEM）– Continuous Threat Exposure Management CTEM 官方定义 发现能力（暴露面管理）：捕获到漏洞情报后，快速编写漏洞检测PoC，进行风险排查 漏洞情报告警 暴露面检测流程 （腾讯暴露面管理平台） 扫描结果核查 PoC无害化扫描 加固复测 响应+缓解 风险推送 漏洞推修流程 分析研判 流程对接 受影响IP、域名清单 拉群通知 漏洞监测与分析 复现验证 情报影响面扫描 编写扫描规则插件 CMDB（常态化） 导入外部暴露面资产 分子公司名单（按需） 外部资产信息 业务测试域名（按需） ...... 发现能力（暴露面管理）：建立两高一弱、移动应用、供应链、人员等风险识别能力 700+漏洞情报渠道 供应链挖掘渠道 移动应用发现平台 自动化渗透平台 多种DNS查询数据 代码仓库泄漏分析 HW PoC库 动静态数据 小程序风险库 0day漏洞库 密钥数据特征库 数万个 精准指纹库 数百个计算节点 4600+黑产渠道 话术剧本库 攻防情报联动 云鼎实验室 弱口令库 玄武实验室 行业研究团队 平台与资源支撑 战术经验与人员储备 暴露面发现（技术） 攻防知识库（流程） 资产发现 暴露面识别 攻击路径发现 企业主体 主域名 子域名 IP地址 网站后台 API服务 小程序 公众号 证书 云服务/容器 Github代码 邮箱账号 域名解析 开放端口 服务指纹 操作系统 网络设备 安全设备 网站指纹 应用服务 网站接口 IoT系统 API接口 …… 漏洞情报 配置安全 数据泄露 提权利用 应用安全 社会工程 云安全 钓鱼攻击 配置安全 两高一弱专项 供应链攻击 ……. 失陷账号监测平台 仿冒小程序、公众号识别 发现能力（漏洞管理流程） ：基于情报开展监测、研判、检测与处置 情报+暴露面能力建设及运营架构 收到情报 情报研判 影响清查 推动修复 对外同步 漏洞复盘 l 情报监测与订阅 判断并确认可能影响 情况，启动应急： l 情报研判(严重性+ 影响度) l 启动应急 l 安全预警与通知 多手段清查与防护： l 外网PoC扫描 l 上线WAF规则 l 主机文件探测 l SCA代码分析 l 重点产品人工排查 l 入侵排查与响应 l 制定修复方案与编写 修复指引 推进问题修复： l 上升同步影响 l 风险数据同