网络安全实战攻防演习 防守方案 汇报人 XXX 致力于打造世界一流网络安全企业 1. 概述 网络安全实战攻防演习简介 检测国家关键基础设施与单位备案重要信息系统的安全问题和隐患，检验其 事件监测、安全防护与应急处置，快速协同、应急处突的能力。 目 的 涉及的行业众多、范围广泛，包含政府、金融、电力、运营商、重点企业等 国家关键基础设施行业，每年由选中单位上报资产或国家指定对应关键目标。 针对真实关键目标开展红蓝攻防对抗，攻击方在不破坏目标正常业务工作的 前提下挖掘相关安全隐患，并将结果实时上报至指挥部，防护方依据监测的 安全事件开展追踪溯源、应急处置、安全防护工作。 形 式 2.攻击视角 从攻击者视角分析整体安全视图 以核心系统为目标（重要系统、重要人） 总部无法突破打击分支机构 分支机构无法突破打击供应链（研发） 国舜一所的金融工作站，攻防演练攻击队成员，从攻击者视角分析客户问题和隐患 视角分析客户问题和隐患 攻击者视角 攻击方入侵方式及思路 攻防演练攻击战法中出现的新特征，传统安全防御手段难以检测 新型攻击战法介绍 利用百度文 库、 github 、 fofa 、脉 脉等渠道收集信息 利用网站、 VPN 、邮件 系统、 JAVA 等应用的漏 洞打开入口 迂回攻击下属单位，进 入内网后绕道攻击总部 目标 对内部员工发动邮件、 即时通讯的钓鱼攻击接 入内网

构建安全攻防矩阵 增强数字安全免疫力 腾讯云安全 张华 腾讯云安全，知攻更懂防 目录 挑战与趋势 CONTENTS 1 2 3 安全防御体系建设思路 安全运营及防护体系介绍 知攻更懂防，服务看得见 外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变 差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动 攻击方 防守方 ü 技术精湛，各单位优秀渗透人员 团队作战，各人才分工明确高效 人员 武器 资金 情报 人员 武器 天时 地理 ü 大量0day漏洞储备 ü 专业攻防协作平台及工具集 ü 多团队投入，形成A/B多联队 ü 外网专家储备 ü 精良部队，各单位优秀渗透人员 ü 团队作战，分工专业 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 已有安全厂商设备，IP封堵为主 ✗ 设备能力层次不齐 战场主动权，随意选择攻击目标 ü 技术精湛，各单位优秀渗透人员 ü 团队作战，各人才分工明确高效 ü 专业攻防协作平台及工具集 ü 更多攻防数据挖掘平台（社工、云等） ✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力 ✗ 缺乏云服务、员工社工钓鱼风险发现能力 ü 持久战，随意选择攻击时间、以逸待劳 ✗ 缺攻防经验，负责人以项目经理为主 ✗ 缺乏磨合，临时组建无实战配合 ✗ 黑白交替、拉锯战容易导致身心俱疲

但单阶段博弈模型只考虑了攻防过程中各种随机因素稳 定不变的情况,并不符合真实网络攻防情景[５５]. ②多阶段博弈指所有参与者可以在多个阶段进行决策, 根据其他参与者的决策及时调整策略,每个阶段的决策都可 能影响后续阶段的决策和收益.参与者之间进行相互博弈, 力求自身收益最大化.多阶段博弈模型考虑了长期攻防对抗 中,攻防策略改变等随机因素的影响,扩大了移动目标防御机 制在攻防场景下的适用范围. Chen等根据攻防具有多阶段多状态的特性,提出一种移 动目标 Markov信号博弈模型,引 入 贝 叶 斯 决 策 重 新 量 化 双 方收益,加强高权重阶段中防御策略的制定[５６]. ２)根据博弈时间性分类 ①基于离散时间的博弈指在博弈过程中时间被离散化为 一系列固定的时间点,所有参与者必须在指定的时间点进行 决策. Lei等将 MTD 对抗过程看作离散时间序列上的多阶段 动态事件 弈 模 型 的 移 动 目 标 防 御 系统,将攻防行为转化为攻击面和探测面的变化,提高了模型 的通用性[５７]. ②基于连续时间的博弈指在博弈过程中时间是连续的而 不是离散的,所有参与者可以在任何的时间点进行决策. Huang等根据当前网络攻防过程中连续化、动态化的特 点与传统博弈模型下时间离散、多阶段攻防的特性不同,提出 一种网络攻防定性微分博弈模型,引入多维空间欧氏距离评 估威胁程度

典型厂商 1、 应用层0Day漏洞自免疫 2、 内存马注入攻击防护及应急查杀 3、 组件资产全量测绘及漏洞治理 4、 API资产全量排查及风险预警 5、 应用弱密码检测 1、 攻防演练高危未知威胁防护 2、 供应链安全风险治理与闭环 3、 云上应用防护 4、 API风险防护能力提升 5、 老旧业务风险治理 1、 对多样化应用的兼用适配能力 2、 防护效果和性能占用的平衡机制 防御、内外兼顾”的 一体化防护，真正实现战时可防+日常可用。 方案拓扑图： 1. 面对令客户谈虎色变的0Day漏洞、内存马等新型高危未知威胁，高效、精准防护和 查杀，保护客户核心应用，轻松应对攻防演练及可能发生的实网攻击。 2.面对日益严峻的外采供应链、老旧业务、云上应用及互联网暴露面风险，为客户应用 提供兜底方案，实现供应链安全风险治理闭环，并排查“两高一弱” 等风险。 3.AI智能 业级网络安全产品和服务，在人员规模、收入规模和产品覆盖度上均位居行业第一。2019年，中国电子战略入股奇安信，奇安信成为网络安全“国家 队”，迄今已完成91次国家重要活动网络安全保障任务，参与近千场实战攻防演习。 作为网络安全领军企业，奇安信将针对新技术下产生的新业态、新业务和新场景，继续为用户提供全面、有效的网络安全解决方案，向成为“全球第一 的网络安全公司”的愿景目标不断奋进，助力实现“十五五”良好开局。

试图用一个产品代替一个体系 18 安全攻防 BG- 威胁检测与响应 1. 威胁感知 1. 威胁感知（天眼） 2. 网神攻击诱捕系统（蜜罐） 3. 邮件 威 胁检测系统 4. 自动化渗透测试系统 5. 应急响应分析处置系统 6. 安全 DNS 检测防御系统 7. 权威 DNS 防护与备份服务平台 2. 实战攻防演习平台 1. 网神实战攻防演习平台 2. 实战 化威 胁运营平台 3. 产品部（上网行为管理） 反金融犯罪产品部 代码安全事业部 代码卫士 开源卫士 4. 安全攻防 BG 全球鹰事业部 补天事业部 天眼事业部 5. 安全监管 BG 态势感知事业部 6. 安全运营 BG 盛华安事业部（ SOAR ） NGSOC 事业部 取证事业部（盘古） 防水堡 脆弱性检测 威胁检测 持续响应 攻防演习 安全咨询规划 安全运营 考试与培训 举例：终端安全治理 21 举例：终端自适应防御模型 威胁检测能力 响应处置能力 风险预警能力 安全运行能力 数据支撑能力 持续监测能力 情报获取 业务管理能力 指挥决策能力 脆弱性检测服务 威胁检测服务 持续响应服务 安全咨询规划服务 攻防演习服务 安全运营服务 认证培训服务 身份认证 PKI 深度包检测（ DPI ） 深度流检测（ DFI ） 应用行为检测 Metadata 检测 全非编程 特征库 39 结论 所有已经有的框架、参考架构、会

供操作界面”的软件（命令解析器） 。它类似于 DOS 下 的 command. com 和 后 来 的 cmd. exe 。 它 接 收 用户命令，然后调用相应的应用程序。 攻防对抗理解能力 c\at /e\t\c/\ho\s\ts 是一个命令注入攻击的 payload ，该 payload 使用了插入了特殊字符 , 还原后的 payload 为： /index.action HTTP/1.1 ... 通过海量的 HTTP 流量、日志、代码等数据的预训练而成的深信服大 模 型具备了 HTTP 流量理解能力、代码理解能力、攻防对抗理解能力 和安 全常识理解能力 , 类似一个攻防专家。 大模型突出的“语言”能力，高效解析安全文本 自注意力机制的引入，大大减轻了遗忘问题并提高了上下文关联性的识别。 颜色越深说明与生成词之间的相关性越高。 0 网页语义意图 投递方式识别 附件行为意图 URL 跳转意图 历史邮件分析 正文语义意图 视觉特征分析 攻击目的分析 防钓鱼新时代 基于“攻击理解 + 逻辑推理”识别钓鱼 懂攻防、懂技术、 懂人情世故的“安 全专家” 安全 GPT ：钓鱼防御“新时代” 防 钓 鱼 核 心 能 力 全 景 图 终端检测 安全

IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 IEC62443 国际安全标准认证的工业网络安全企业，打造的“天墀”、“地盾”、“和睿”、“兴 邦”四大产品系列，覆盖检测评估、防护隔离、审计分析、平台管理等全域工业网络安全需求， 具备安全风险管理、渗透测试、攻防演练、安全培训、安全测评、应急响应等全方位的工业网 络安全服务能力。 网址：http://www.tdhx.com 电话：010-56380988 地址：北京市海淀区西北旺东路 10 号院 7 里，一 直专注于网络安全产品与服务领域。以创新研发和实战攻防为核心，致力于探索网络安全的最 新前沿方向。 在科研成果方面，累计获得了福建省、市科学技术进步奖 8 项；发明专利授权 10 项；拥 有软件著作权 100 多项。海峡信息独立承担的福建省高新技术重点项目、火炬计划项目及福建 省重大招标项目。所有产品均以创新研发和实战攻防为核心，构建了一个基于主动防御、动态 防御、精准防护、整体

中再次强调了梳理网络资产、建立资产 档案、分区分域及收敛暴露面的重要性 APT 、勒索软件等威胁的屡屡得手和安 全防护失效的根本原因往往都是资产底 数不清、防护有死角； 不管是实际的网络战还是在攻防演习当 中，资产暴露面的风险程度直接决定了 防守方的安全能力 在统一安全管理体系的建设中，除了传 统的威胁统计和漏洞管理之外，还需要 从资产管理的角度来合理组织线索； 在安全规范落地的过程中，除了技术实 求 © Copyright 2021 WebRAY Tech （ BeiJing ） Co., Ltd. All rights reserved 现状需求 • 新资产快速识别的要求 • 实战化攻防水平的要求 • 风险自查能力的要求 • 应急响应能力的要求 • 从静态到动 态检测的需求 • 从被动 到主动 防御的需求 • 从堆叠到有机结合的需求 • 从技术到技管并重的需求 短期能合规

网络安全保障保护 O 管理体系 技术体系 O 运营体系 构建“四保一体系一能力”网络安全工作框架 参与网络安全攻防演习、 赛事等专项活动 关键信息基础 设施安全保护 组织红蓝对抗 ，模拟、 实战演练 发现、阻断、固证、 溯源对抗能力 分级保护 / 等级保护 保 障 攻防对抗 能力 支 撑 完 善 培 养 数据安全 保护 综合治理 体系 O 保障体系 29

资产指纹库 安全事件库 标准流量库 威胁情报库 用户信息库 安全主题库 数 据 采 集 数 据 治 理 数 据 仓 库 外部攻击态势 横向威胁感知 资产失陷态势 数据中心态势 攻击追踪溯源 攻防演练态势 态 势 感 知 监 测 预 警 安全管理体系设计 安全管理制度  制定安全策略  建立安全管理制度  专人负责制定和发 布管理  定期评审和修订管 理制度 安全管理机构 源异构数据进行综合分析，形成对网络安全全面的态势感知分析。平台结合网络安全监管的实战需要，实现等级保护、实时 监测、态势感知、通报预警、追踪溯源、应急处置、安保指挥、攻防演习、管理考核等系列网络安全监管业务系统，为当下 网络安全监管提供手段、方法，为攻防实战提供应用。以满足包括公安、网信、行业主管单位、大型企业等领域在内的新监 管需求。 内网 产品 / 独立 ip 谢谢观看 Thank you