热门搜索：

攻击者视角下的安全运营实践

信息技术2024-09-20江国龙腾讯E***

攻击者视角下的安全运营实践江国龙腾讯安全云鼎实验室 GOPS全球运维大会暨XOps技术创新峰会2024·北京站请替换您的照片江国龙腾讯安全云鼎实验室安全专家主要负责云安全相关领域的技术研究与安全能力建设、腾讯云安全治理与运营，有着丰富的云安全技术和实践经验。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站企业安全运营的挑战目录攻击者视角下的暴露面管理基于安全验证度量的风险评估总结 01企业安全运营的挑战 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站企业安全建设持续投入，为什么还是防不住应用安全云安全数据安全网络安全物联网安全终端安全 why 安全建设已基本完善，仍然还是会被攻破攻击渗透的成功率⼀直维持在95%以上。做到少量失分的防守单位不到20%。 97%的被攻击⽬标已经部署了安全设备。 99%的漏洞攻击是已知的，并且已经存在多年。 99% 97% 20% 95% 安全防御体系的有效性需要进行评估验证告警日志丢失,10% 01 安全产品实际防御能力与预期不一致 02 规则策略未配置，或配了但是未生效 03 新的漏洞与攻击手段，不确定是否能防的住 04 安全产品性能不足，告警延迟过大防御效果⽆法达到预期建设的⽬标覆盖度不足,10% 设备性能不足,10% 安全能力不足,30% 安全规则配置不当,40% GOPS全球运维大会暨XOps技术创新峰会2024·北京站⾯对防御体系的失效，需要提前进⾏安全有效性验证，发现安全防御体系存在的⻛险，提升整体的防护能⼒。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站业务架构的复杂性，使得云及供应链风险逐步升高 业务对外暴露⾯持续增加，可以被攻击者利⽤的⻛险点增加，往往在没有意识到的地⽅出现安全⻛险，导致业务被⼊侵 架构复杂度持续增加，使⽤的业务组件和服务应⽤往往导致不可控的⻛险，疏漏之处往往是被⼊侵的突破点云大智物移资产及风险可见性下沉，深层暴露面风险难发现已报告的针对组织的网络攻击，至少有一半来自未知或疏漏的资产来源：2022StateoftheThreat:AYearinReview（SecureWorks）/SapioResearch&TrendMicro,April2022 SurfaceWeb DeepWeb 已知资产未知资产仿冒资产第三方资产你看到的 DarkWeb 云服务 IoT设备子公司安全产品域名IP地址开放端口证书 DNS 网站指纹泄露数据开源组件及框架攻击者看到的 URLS失陷主机产品品牌社工信息不安全协议 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 02攻击者视角下的暴露面风险管理 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站什么是CTEM CTEM（ContinuousThreatExposureManagement）不是一项单一的技术或者产品，而是一整套提升安全运营质量的方法论和能力集合。通过采用这一套方法论，可以持续监控和管理潜在的攻击面，增强安全防御能力 CTEM的五个阶段诊断 Scoping，资产范围界定 确定哪些类型资产将要纳入管理 Discovery，资产和风险的发现 全量的资产和风险识别，单点识别 Prioritization，风险优先级判断 攻击路径分析、模拟；对风险的优先级进行评估 GOPS全球运维大会暨XOps技术创新峰会2024·北京站行动 Validation，风险验证 验证风险发生的可能性，评估防御有效性 Mobilization，修复动员 根据优先级进行修复并进行修复验证 GOPS全球运维大会暨XOps技术创新峰会2024·北京站腾讯持续威胁暴露面管理服务设计思路智能运营中心（持续验证+行动方案）以红队+BAS+渗透测试方式，实战验证漏洞影响，持续验证攻击路径，更精准的修复建议协同分析系统（持续分析） VPT+AI能力，筛选风险数据基于海量测绘数据，进行风险优先级划分暴露面监测系统（持续监测）测绘工具集（如XSPM、暗网引擎等）识别资产暴露面、攻击向量和风险 03基于安全验证度量的风险评估 GOPS全球运维大会暨XOps技术创新峰会2024·北京站攻击者视角下的安全验证方案，让安全可观测、可度量边界安全验证发现安全防御薄弱点实现安全效果可观测全⾯⽴体安全验证内⽹流量安全验证主机/端点安全验证数据安全验证安全运营能⼒验证现有的安全能⼒是否能防御所有攻击？安全能⼒是否持续有效？安全规则是否完备？安全建设投⼊是否充⾜？接下来重点投⼊⽅向？攻击路径 GOPS全球运维大会暨XOps技术创新峰会2024·北京站指标驱动的验证度量体系设计多个视角下，全方位制定验证指标体系，确保指标设计的完整性、合理性、可操作性合规要求 •等保、国标、行标等技术标准对相应安全建设的能力要求 •ATT&CK攻防矩阵技战术分析 •腾讯蓝军的实践沉淀 •安全攻防技术研究成果转化攻击视角防御视角 •产品能力规格，能力清单分析 •结合运营结果数据，进行安全运营数据分析，指导验证指标制定 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站容器安全(CNAPP) -验证对于容器逃逸、容器内提权、异常通信等⼊侵⾏为的检测和防御能⼒终端安全(EDR) -验证对于勒索、漏洞利⽤、后⻔等攻击⾏为的检测和拦截能⼒主机安全(CWPP) -验证对主机上的暴⼒破解、恶意⽂件、本地提权等攻击⾏为的检测与拦截能⼒内网安全 -验证对内⽹透明代理、内⽹扫描等异常操作的检测和防御能⼒边界流量安全(IDPS/FW) -验证对⾼危端⼝扫描、恶意域名解析、隐秘通信等恶意流量的检测和防御能⼒ Web安全(WAF) -验证对⼤包绕过、RCE、路径穿越等攻击的防御能⼒互联网资产管理 -验证github等公⽹信息泄露的检测和防御能⼒⽹络层运维验证主机层验证场景全景能力性能验证从防守者视角，面向纵深防御体系，进行全面安全验证基础安全防护验证应⽤层身份安全 -验证利⽤账号管理、账号权限等身份进⾏攻击⾏为的检测与拦截能⼒数据安全(DLP) -验证对于数据未授权导出、敏感数据外发等数据泄露威胁的拦截能⼒邮件安全(SEG) -验证对钓⻥邮件、恶意邮件等邮件投递攻击的拦截能⼒专项验证 HW专项办公安全专项勒索专项供应链安全专项云安全专项威胁情报专项 APT专项运营响应专项 -验证HW期间常 -验证办公终 -验证对勒索软件 -验证对组件漏洞、 -验证利⽤云 -验证IOC、漏洞 -验对于APT攻 -验证覆盖度、应⻅的漏洞、⻛险端、OA等防御能的通信、加密、落软件源安全性等检测 API、云账号等进等情报能⼒击的检测和防御急响应等安全运营配置等防御能⼒⼒盘等的防御能⼒能⼒⾏攻击的检测防御能⼒能⼒能⼒ GOPS全球运维大会暨XOps技术创新峰会2024·北京站验证剧本全景用例从攻击者视角，基于ATT&CK攻防矩阵框架，覆盖主流的技战术方法 Web边界防护验证验证WAF对于各种Web攻击的防御能力情况 01 常见Web攻击验证 •主要针对WAF对于各种常见Web攻击的防御能力进行验证 •包括：SQL注入、文件包含、Web后门、XXE、服务端请求伪造、路径遍历、远程代码执行、XSS等 03 虚拟漏洞补丁验证 •主要针对WAF对于各种高风险级别漏洞的防御水平进行验证 •包括：0day漏洞防护虚拟补丁、高危漏洞虚拟补丁等高级攻防验证 02 •主要针对WAF对于各种绕过方法的防御水平进行验证 •包括：协议绕过、编码绕过、性能绕过等 04 Bot防护验证 •主要针对WAF对于Bot相关攻击的防御水平进行验证 •包括：爬虫bot的行为阻断、CC攻击、指纹扫描等 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 Web边界验证结果示例⾼危88.89% 96/108 11.11% （通过/总数） • 中危83.54% 16.46% 低危76.52% 132/158 （通过/总数）101/132 23.48%（通过/总数）• 0% 50% 100% 从⾼、中、低三个⻛险维度，对所有Web站点在WAF防御上的脆弱点数量进⾏汇总；存在⼀定数量的⾼危⻛险暂时不具备防护能⼒；通过未通过总体⻛险情况评估 43 1879 •对将近2000个Web站点进⾏资产管理以及安全分析； •发现有40多个站点并未被 WAF覆盖；已覆盖未覆盖 Web站点的WAF覆盖情况常⻅Web攻击防御 •从5个指标对Web防护能⼒进安全运维能⼒⾼危漏洞虚拟补丁⾏全⾯的验证分析； •常⻅web攻击防御以及⾼危漏洞虚拟补丁两个指标⽔平有待提升；数据安全防御 Web安全深度防御 Web防护⽔平情况分析 100 • 88 89 98 78 50 • 0 总分常⻅Web攻击验证虚拟补丁验证深度防护验证数据安全验证运维能⼒验证当前值平均值结合⾏业平均⽔平，判断当前的防御情况处在什么样的⽔位；该⽤户的常⻅web攻击防御能⼒以及数据安全防御能⼒低于⾏业平均⽔平； 89 100 100 98 当前⽤户与⾏业平均⽔平的对⽐ 82 90 88 94 GOPS全球运维大会暨XOps技术创新峰会2024·北京站存在⻛险的站点主要存在的⻛险类型 Web边界验证结果示例站点攻击成功剧本数 www.xxx.com 34 www.xxx.com 27 www.xxx.com 20 www.xxx.com 18 …… …… 剧本验证指标攻击成功次数攻击者利⽤web服务漏洞进⾏exec反弹shell RCE远程代码执⾏ 34 验证MySQL注⼊漏洞，poc包含bypass SQL注⼊ 28 GeoServer2.18.5和2.19.x⾄2.19.2版本，允许通过设置代理主机选项进⾏服务器端请求伪造。 SSRF 17 …… …… …… 300 • ⻛险总数⾼危中危低危 200 100 • 0 对于总体的⻛险情况，在两周时间内，逐步进⾏了处置解决；⻛险数量逐步降低，针对⾼危以及中危⻛险，实现了⻛险清零； 5⽉8⽇5⽉10⽇5⽉12⽇5⽉14⽇5⽉16⽇5⽉18⽇5⽉20⽇5⽉22⽇5⽉24⽇⻛险数量变化趋势 GOPS全球运维大会暨XOps技术创新峰会2024·北京站邮件网关验证结果示例 •外部邮箱客户邮箱； •采⽤钓⻥邮件进⾏测试，验证邮件⽹关对恶意邮件的拦截效果； •外部向指定验证邮箱投递钓⻥邮件，防御成功率83.3%；防御成功防御失败邮件⽹关对钓⻥邮件拦截情况分析攻击类型邮件标题投递状态收件状态邮件⽹关处理⽅式使⽤OfficeRTF漏洞进⾏钓⻥ 5⽉薪资发放通知单成功未收到疑似丢弃使⽤OfficeOOXML漏洞进⾏钓⻥ 6⽉薪资发放通知单成功收到放⾏使⽤OfficeOLE2Link漏洞进⾏钓⻥ 7⽉薪资发放通知单成功未收到疑似丢弃使⽤OfficeEditor漏洞进⾏钓⻥ 9⽉薪资发放通知单失败未收到拒绝发送请求使⽤OfficeEPS脚本解析漏洞进⾏钓⻥ 8⽉薪资发放通知单成功未收到告知拦截使⽤AdobePlayerUAF漏洞进⾏钓⻥【紧急

点击免费查看完整报告