周辛酉-基于融媒混合云业务架构下的安全能力体系建设-CCNS&ISBT2024

长亭科技 融媒混合云业务架构下的安全能力体系建设分享 周辛酉 解决方案副总裁 融媒时代的安全能力成为重中之重 媒体融合的十年历程与变化 2012年-2014年8月，行业变革下的自主探索，从行业自主探索到融合奠基阶段 2014年-2018年，国家战略规划下，媒体融合的全面推进阶段 2014年8月，国家出台《关于推动传动媒体和新兴媒体融合发展的指导意见》，媒体融合发展上升为国家战略。 2016年2月，指出了媒体融合应当以建设新型主流媒体为目标，并将其内涵凝练为”融为一体、合二为一“提出”要尽快从相加阶段迈向相融阶段，着力打造一批新型主流媒体“ 2018年8月，县级融媒体中心的概念首次在中央级会议提出，由此掀起了县级融媒体中心的建设热潮。 2019年至今，融合媒体纵深加速阶段，全媒体传播体系建设加强 2019年10月，国家明确将媒体融合战略的目标描述为”建设以内容建设为根本、先进技术为支撑、创新管理为保障的全媒体传播体系“ 2020年6月下发《关于加快推进媒体深度融合发展的指导意见》，引领媒体融合加速迈向纵深发展 2022年《”十四五“文化发展规划》和党的二十大报告进一步明确”全媒体传播体系建设“的发展方向 媒体行业云计算的关键作用 当前阶段媒体融合转型的核心动能之一就是对数字技术的应用与升级，技术赋能产品，技术服务创新，而以云计算、大数据、人工智能等前沿技术的赋能作用在媒体行业已非常普遍。 中国语境下，媒体融合的实践路径陈新概念出专业媒体互联网化的趋势，专业媒体依托大数据、人工智能、云计算等智能技术对内容、渠道、平台、经营、管理五个层面进行数字化转型改造，信息智能技术已经融入信息传播环节， 省级媒体发挥区域性传播的带头作用，如浙江广电集团、浙江日报报业集团共同打造省级媒体融合云“天目蓝云”，全省媒体融合一张网；湖南广电以“新湖南云”为平台整合省级-县级垂直融合生态圈，近百家县级融媒体入住；湖北广电推出“湖北全景红色教育地图”，联动全省、市、县三级媒体，打造湖北网络视听当时学习教育红色新高地。 这表明省级媒体在区域性传播与连接过程中已经将地方媒体的融合及相互之间的联动落到实处，四级媒体融合在基础设施层已经走向深水区。 复杂环境下安全趋势 近年来海内外多家知名企业遭受勒索病毒的攻击，影响恶劣； 近年来勒索软件向着双重勒索、定向攻击、大规模攻击的方向发展，主要方式为加密重要文件、泄露敏感数据； 勒索攻击已经发展成庞大的产业链，勒索组织提供“勒索即服务，为买家提供勒索病毒、内网权限、攻击工具，越来越多的勒索软件完成了RaaS化的“业务转型”。 全球勒索事件层出不穷 关基保护的基本原则：以关键业务为核心的整体防控，以风险管理为导向的动态防护，以信息共享为基础的协同联防； 理解“在等级保护基础上进行重点保护”：网络安全等级保护制度是基础，国标GB/T39204-2022中定义的六个能力就是重点方向； 核心能力目标：保护关键信息基础设施业务连续运行，及其重要数据不受破坏。 关键基础设施安全成为重点 整体性导向：整体周期变长，实战化趋势明显，希望参演单位通过自身常态化安全运营能力取代高强度的集中值守。 防守方导向：即在面临恶意势力的长线攻击上，完全攻不进内网的可能性不大。关注应对APT或长周期攻防的能力，弱化强调防守“零”失分。 攻击方导向：给攻击队留有更多的时间施展长线策略（进一步模拟真实APT），对于顶尖攻击队而言将会有更多的发挥空间。鼓励更多防守方自建蓝军作为攻击队参与，提升自建蓝军实战能力将成为趋势。 安全大检查常态化 0 1攻击方式演进 攻击从单点到多面，来自供应链&影子资产的威胁和供应链漏洞与日俱增缺乏互联网和攻击者视角，安全技术与管理手段跟不上勒索病毒的进化脚步 95%20% 0 2行业政策变化 从「关注事中的防御」到「关注事前的预防」从「专项的演练活动」到「常态化能力保障」 过去五年攻击渗透的成功率一直维持在95%以上 大型攻防演练活动中仅有不到20%的参加单位能做到不失分 0 3 从单一的线下机房到多元化架构、混合云架构 多云成为标配从以硬件资产为主到基础设施的复杂异构模式 86%>92% 根据国资委数据统计，中央企业上云率已经超过86% 根据软件资产管理商Flexera的报告，超过92%的企业在IT架构上选择多云模式 变化 影子资产 责任交接不清的系统 边缘资产 分子公司资产 供应链/第三方 公开信息平台 公开网盘文库 已上线加载业务但未正式交付系统 衰退期系统 测试系统 供应商产品公开漏洞 恶意开源组件投毒 论坛社区 退网未离网资产 私搭业务系统 无主资产 合作伙伴共同运营的系统 IoT智能设备侵入 公开代码托管平台 4 多云时代的网络边界不确定性持续增加 公有云 公有云A SLBSLB 应用防护引擎应用防护引擎主机安全引擎 流量检测引擎 Internet CDN 等保套件vm 漏洞扫描引擎vm 容器安全引擎vm 基线引擎vm VPC K8S docker … … 公有云BSLBSLB 应用防护引擎应用防护引擎主机安全引擎 流量检测引擎 等保套件漏洞扫描引擎容器安全引擎 基线引擎 CDN vmvmvmvm VPC K8S docker … … 安全交互边界 本地IDC IDC机房 私有云 托管机房 应用防护引擎 等保套件 应用防护引擎 等保套件 应用防护引擎 漏洞扫描引擎 统一流量分析中心 漏洞扫描管理中心 应用防护引擎 漏洞扫描引擎 vm 应用防护引擎 统一应用防护平台 … vm K8S 主机安全引擎 等保套件 统一主机安全平台 K9S vm 主机安全引擎 … K9S 主机安全引擎 流量检测引擎流量检测引擎 vm docker K8S 应用防护引擎 漏洞扫描引擎 docker vm docker K8S 流量检测引擎 核心生产网 业务生产网 办公网边界 互联网边界 破边界：突破进入办公网、业务生产网（三条战术路线） 战术路线1 互互联联网网无无限限制制 漏外洞部挖接掘入点 •OT设备 •漏CD洞N利/用边缘节点 •APP/小程序数据泄露利用 防护设备绕过 •互联网业务 未授权访问 弱口令猜解 •应用供程应序链攻击 突破驻留 DMZ 互联网区 配置错误 云管平台 战术路线2 场场地地与与人人员员 ••分分支支机机构构 ••网网点点 ••第第三三方方 漏洞服利务用器 •社VP工N钓/鱼云桌面 内部业务运维管理 •邮件服务器 •物OA理办近公源系统 第三办方公迂终回端 突破驻留 •测试区域 •研发区域 •办公应用 •协同系统 大数据平台 网 4A集权平台 战术路线3 •监管机构 •云厂商 •合作机构 批量迂回攻击 云资源池 漏洞挖掘 •混合云专线 前置渗透驻留 政务与监管 控制前置•机电子政务 •金融城域网 突破驻留 专网外联区 工业控制系统 •业务协作专•网数链据路上分报析 •证联网突破专网核心 核心系统 核心数据库 专网边界 安全管理平台 摸数据：跨网横向渗透，窃取高价值数据、控制核心系统 战术路线1 互联网无限制 漏外洞部挖接掘入点 •OT设备 •漏CD洞N利/用边缘节点 •APP/小程序数据泄露利用 防护设备绕过弱口令猜解配置错误 未授权访问 •互联网业务 •应用供程应序链攻击 DMZ 互联控网制区隧道 互联网边界 云管平台 核心系统 战术路线2场地与人员 •分支机构 •网点 •第三方 漏洞服利务用器 •社VP工N钓/鱼云桌面 •邮件服务器 •物OA理办近公源系统 •测试区域 办公网边界 •研控发制区域 •办隧公道应用 •协同系统网 内部业务运维管理 业务生产网 规避检测 大数据平台 核心生产网 寻找跨网信任链路 第三办方公迂终回端 跨网 攻击横向渗透 网络隧道穿透 后门仿真伪装 突破隔离 控制4集A权集权系平统台 跨网击 横透 战术路线3 •监管机构 批量迂云回资攻源击池 漏洞挖掘 专网边界 •混合云专线 收集信息：代码配置拓扑身份凭据 专网 •云厂商 •合作机构 前置政渗务透与驻监留管 •业务协作专•网数链据路上分报析 •电子政务 控制前置机 •金融城域网 •证联网突破专网核心 外控联制区隧道 工业控制系统 核心数据库 邮箱/人员 证书 容器 Github项目 网站接口 IoT/OT设备 API接口 物理场所 配置安全 近源攻击 漏洞情报 供应链攻击 三方供应链 运营者需要建立常态化安全巡检计划：持续攻击路径分析 子域名 IP地址 网站 API服务 服务指纹 操作系统 网络设备 安全设备 数据泄漏 攻击面暴露 应用安全 社会工程 三方供应商 摸清资产家底、充分识别暴露面、快速挖掘暴露面上存在的真实业务风险，并推动缓解修复 企业主体 主域名 域名解析 开放端口 高危漏洞 基线偏移 云资源 公众号/小程序 网站指纹 应用服务 云安全 钓鱼攻击 目标资产发现 暴露面识别 风险攻防知识 数字资产攻击面 社会工程攻击面 物理攻击面 目标资产 (5个) 暴露面 (10个) 风险知识(攻击技术) (3个) 穷举攻击路径 (150个) 实施步骤与关键动作 CTEM（ContinuousThreatExposureManagement） 01 了解自己 ‣安全资产库 ‣安全知识库 ‣威胁情报库 02 界定范围 ‣明确定义风险偏好 ‣梳理组织机构、分子公司关系 ‣梳理业务关系 ‣资产生命周期管理 ‣资产与业务优先级确认 ‣穷举风险清单与优先级 03 发现风险 ‣获取全面可见性 ‣持续外部暴露面识别 ‣持续攻击路径分析，发现关键攻击路径 ‣持续有效的安全测试 ‣降低误报 ‣降低噪音 ‣覆盖更多的风险类型 04 验证风险 ‣以最终结果为导向，评估最大潜在影响 ‣识别风险是否能够攻击成功，验证是否可以利用 ‣安全控制与缓解能力验证 ‣验证对业务的影响 ‣确认修复优先级，是否存在可用的控制措施和缓解选项 05 动员修复 ‣得到组织认可，邀请业务负责人参与 ‣说服业务利益相关者进行补救修复 ‣向组织其他团队提供充分的背景信息 ‣缓解修复过程带来的跨团队协作摩擦 ‣持续地优化改进 持续威胁暴露面管理最佳实践 暴露面管理 管理基线 暴露面红线与基线 专家评估 风险全景 暴露面初始化 企业信息收集与台账录入 暴露面梳理 互联网资产和暴露面盘点 标签分组与数据聚合暴露面风险 两高一弱 持续监控 增量风险监控 基础运营 日常保障 考核监督 监督考核机制 效果跟踪 自动复验与规则调优 处置收敛 整改方案和工单下发 攻击面管理SOP 告警推送 阶段性报告与实时告警 分析运营 结果核验与报告生成 风险评估 专家模拟攻击验证与风险评估 云图产品 技术底座 制度标准 管理基线 典型案例：某大型省级通信运营商项目 管理短板 ⊗缺少关联资产的发现能力。目前资产发现主要通过对自用地址段的全量扫描来发现未知资产，对于不在自用段、但承担维护职责的关联资产，缺少发现能力。如前端客户经理、运维开发人员、供应商等开放的对外测试或业务系统，因不在自用资产清单，导致缺少防护和检测能力，容易成为被突破点。 ⊗暴露面覆盖不足。安全管理仅覆盖了域名、IP和端口，对于目前外部攻击者重点关注的接口服务、SSL证书、托管代码、网盘资料等信息，尚无法掌握，已经多次导致如接口未授权调用、维护资料泄漏、内部文档泄漏、代码硬编码密钥泄漏等问题。 ⊗运营效率低，缺少运营技术手段，以往采用人工方式检查，效率较低，单个泄漏网站检查需10人天，且难以保证检测及时性，容易出现检查遗漏。 UserCase 解决方案 建设收益 某省级 运营商 自研部分少，三方服务多，管理难 业务部门不懂安全，不按安全流程操作5G新技术发展应用，从传统互联网侧网站应用转