攻击者视角下的安全运营实践

攻击者视角下的安全运营实践 江国龙 腾讯安全云鼎实验室 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 请替换您的照片 江国龙 腾讯安全云鼎实验室安全专家 主要负责云安全相关领域的技术研究与安全能力建设、腾讯云安全治理与运营，有着丰富的云安全技术和实践经验。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 企业安全运营的挑战 目录 攻击者视角下的暴露面管理 基于安全验证度量的风险评估 总结 01企业安全运营的挑战 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 企业安全建设持续投入，为什么还是防不住 应用安全 云安全 数据安全 网络安全 物联网安全 终端安全 why 安全建设已基本完善，仍然还是会被攻破 攻击渗透的成功率⼀直维持在95%以上。 做到少量失分的防守单位不到20%。 97%的被攻击⽬标已经部署了安全设备。 99%的漏洞攻击是已知的，并且已经存在多年。 99% 97% 20% 95% 安全防御体系的有效性需要进行评估验证 告警日志丢失,10% 01 安全产品实际防御能力与预期 不一致 02 规则策略未配置，或配了但是 未生效 03 新的漏洞与攻击手段，不确定 是否能防的住 04 安全产品性能不足，告警延迟 过大 防御效果⽆法达到预期建设的⽬标 覆盖度不足,10% 设备性能不足,10% 安全能力不足,30% 安全规则配置不当,40% GOPS全球运维大会暨XOps技术创新峰会2024·北京站 ⾯对防御体系的失效，需要提前进⾏安全有效性验证，发现安全防御体系存在的⻛险，提升整体的防护能⼒。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 业务架构的复杂性，使得云及供应链风险逐步升高 业务对外暴露⾯持续增加，可以被攻击者利⽤的⻛险点增加，往往在没有意识到的地⽅出现安全⻛险，导致业务被⼊侵 架构复杂度持续增加，使⽤的业务组件和服务应⽤往往导致不可控的⻛险，疏漏之处往往是被⼊侵的突破点 云 大 智 物 移 资产及风险可见性下沉，深层暴露面风险难发现 已报告的针对组织的网络攻击，至少有一半来自未知或疏漏的资产 来源：2022StateoftheThreat:AYearinReview（SecureWorks）/SapioResearch&TrendMicro,April2022 SurfaceWeb DeepWeb 已知资产未知资产 仿冒资产第三方资产 你看到的 DarkWeb 云服务 IoT设备 子公司 安全产品 域名IP地址开放端口证书 DNS 网站指纹泄露数据开源组件及框架 攻击者看到的 URLS失陷主机 产品品牌社工信息 不安全协议 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 02攻击者视角下的暴露面风险管理 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 什么是CTEM CTEM（ContinuousThreatExposureManagement）不是一项单一的技术或者产品，而是一整套提升安全运营质量的方法论和能力集合。 通过采用这一套方法论，可以持续监控和管理潜在的攻击面，增强安全防御能力 CTEM的五个阶段 诊断 Scoping，资产范围界定 确定哪些类型资产将要纳入管理 Discovery，资产和风险的发现 全量的资产和风险识别，单点识别 Prioritization，风险优先级判断 攻击路径分析、模拟；对风险的优先级进行评估 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 行动 Validation，风险验证 验证风险发生的可能性，评估防御有效性 Mobilization，修复动员 根据优先级进行修复并进行修复验证 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 腾讯持续威胁暴露面管理服务设计思路 智能运营中心（持续验证+行动方案） 以红队+BAS+渗透测试方式，实战验证漏洞影响，持续验证攻击路径，更精准的修复建议 协同分析系统（持续分析） VPT+AI能力，筛选风险数据 基于海量测绘数据，进行风险优先级划分 暴露面监测系统（持续监测） 测绘工具集（如XSPM、暗网引擎等）识别资产暴露面、攻击向量和风险 03基于安全验证度量的风险评估 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 攻击者视角下的安全验证方案，让安全可观测、可度量 边界安全验证 发现安全防御薄弱点实现安全效果可观测 全⾯⽴体安全验证 内⽹流量安全验证 主机/端点安全验证 数据安全验证 安全运营能⼒验证 现有的安全能⼒是否能防御所有攻击？安全能⼒是否持续有效？ 安全规则是否完备？ 安全建设投⼊是否充⾜？接下来重点投⼊⽅向？ 攻击路径 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 指标驱动的验证度量体系设计 多个视角下，全方位制定验证指标体系，确保指标设计的完整性、合理性、可操作性 合规要求 •等保、国标、行标等技术标准对相应安全建设的能力要求 •ATT&CK攻防矩阵技战术分析 •腾讯蓝军的实践沉淀 •安全攻防技术研究成果转化 攻击视角 防御视角 •产品能力规格，能力清单分析 •结合运营结果数据，进行安全运营数据分析，指导验证指标制定 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 容器安全(CNAPP) -验证对于容器逃逸、容器内提权、异常通信等⼊侵⾏为的检测和防御能⼒ 终端安全(EDR) -验证对于勒索、漏洞利⽤、后⻔等攻击⾏为的检测和拦截能⼒ 主机安全(CWPP) -验证对主机上的暴⼒破解、恶意⽂件、本地提权等攻击⾏为的检测与拦截能⼒ 内网安全 -验证对内⽹透明代理、内⽹扫描等异常操作的检测和防御能⼒ 边界流量安全(IDPS/FW) -验证对⾼危端⼝扫描、恶意域名解析、隐秘通信等恶意流量的检测和防御能⼒ Web安全(WAF) -验证对⼤包绕过、RCE、路径穿越等攻击的防御能⼒ 互联网资产管理 -验证github等公⽹信息泄露的检测和防御能⼒ ⽹络层 运维验证 主机层 验证场景全景能力 性能验证 从防守者视角，面向纵深防御体系，进行全面安全验证 基础安全防护验证 应 ⽤层 身份安全 -验证利⽤账号管理、账号权限等身份进 ⾏攻击⾏为的检测与拦截能⼒ 数据安全(DLP) -验证对于数据未授权导出、敏感数据外发等数据泄露威胁的拦截能⼒ 邮件安全(SEG) -验证对钓⻥邮件、恶意邮件等邮件投递攻击的拦截能⼒ 专项验证 HW专项 办公安全专项 勒索专项 供应链安全专项 云安全专项 威胁情报专项 APT专项 运营响应专项 -验证HW期间常 -验证办公终 -验证对勒索软件 -验证对组件漏洞、 -验证利⽤云 -验证IOC、漏洞 -验对于APT攻 -验证覆盖度、应 ⻅的漏洞、⻛险 端、OA等防御能 的通信、加密、落 软件源安全性等检测 API、云账号等进 等情报能⼒ 击的检测和防御 急响应等安全运营 配置等防御能⼒ ⼒ 盘等的防御能⼒ 能⼒ ⾏攻击的检测防御 能⼒ 能⼒ 能⼒ GOPS全球运维大会暨XOps技术创新峰会2024·北京站 验证剧本全景用例 从攻击者视角，基于ATT&CK攻防矩阵框架，覆盖主流的技战术方法 Web边界防护验证 验证WAF对于各种Web攻击的防御能力情况 01 常见Web攻击验证 •主要针对WAF对于各种常见Web攻击的防御能力进行验证 •包括：SQL注入、文件包含、Web后门、XXE、服务端请求伪造、路径遍历、远程代码执行、XSS等 03 虚拟漏洞补丁验证 •主要针对WAF对于各种高风险级别漏洞的防御水平进行验证 •包括：0day漏洞防护虚拟补丁、高危漏洞虚拟补丁等 高级攻防验证 02 •主要针对WAF对于各种绕过方法的防御水平进行验证 •包括：协议绕过、编码绕过、性能绕过等 04 Bot防护验证 •主要针对WAF对于Bot相关攻击的防御水平进行验证 •包括：爬虫bot的行为阻断、CC攻击、指纹扫描等 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 Web边界验证结果示例 ⾼危88.89% 96/108 11.11% （通过/总数） • 中危83.54% 16.46% 低危76.52% 132/158 （通过/总数）101/132 23.48%（通过/总数）• 0% 50% 100% 从⾼、中、低三个⻛险维度， 对所有Web站点在WAF防御上的脆弱点数量进⾏汇总；存在⼀定数量的⾼危⻛险暂 时不具备防护能⼒； 通过未通过 总体⻛险情况评估 43 1879 •对将近2000个Web站点进⾏ 资产管理以及安全分析； •发现有40多个站点并未被 WAF覆盖； 已覆盖未覆盖 Web站点的WAF覆盖情况 常⻅Web攻 击防御 •从5个指标对Web防护能⼒进 安全运维能 ⼒ ⾼危漏洞虚 拟补丁 ⾏全⾯的验证分析； •常⻅web攻击防御以及⾼危漏洞虚拟补丁两个指标⽔平 有待提升； 数据安全防 御 Web安全深 度防御 Web防护⽔平情况分析 100 • 88 89 98 78 50 • 0 总分常⻅Web攻击验证虚拟补丁验证深度防护验证数据安全验证运维能⼒验证 当前值平均值 结合⾏业平均⽔平，判断当 前的防御情况处在什么样的 ⽔位； 该⽤户的常⻅web攻击防御能⼒以及数据安全防御能⼒ 低于⾏业平均⽔平； 89 100 100 98 当前⽤户与⾏业平均⽔平的对⽐ 82 90 88 94 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 存在⻛险的站点 主要存在的⻛险类型 Web边界验证结果示例 站点 攻击成功剧本数 www.xxx.com 34 www.xxx.com 27 www.xxx.com 20 www.xxx.com 18 …… …… 剧本 验证指标 攻击成功次数 攻击者利⽤web服务漏洞进⾏exec反弹shell RCE远程代码执⾏ 34 验证MySQL注⼊漏洞，poc包含bypass SQL注⼊ 28 GeoServer2.18.5和2.19.x⾄2.19.2版本，允许通过设置代理主机选项进⾏服务器端请求伪造。 SSRF 17 …… …… …… 300 • ⻛险总数 ⾼危中危 低危 200 100 • 0 对于总体的⻛险情况，在两 周时间内，逐步进⾏了处置解决； ⻛险数量逐步降低，针对⾼危以及中危⻛险，实现了⻛ 险清零； 5⽉8⽇5⽉10⽇5⽉12⽇5⽉14⽇5⽉16⽇5⽉18⽇5⽉20⽇5⽉22⽇5⽉24⽇ ⻛险数量变化趋势 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 邮件网关验证结果示例 •外部邮箱客户邮箱； •采⽤钓⻥邮件进⾏测试，验证邮件 ⽹关对恶意邮件的拦截效果； •外部向指定验证邮箱投递钓⻥邮件， 防御成功率83.3%； 防御成功防御失败 邮件⽹关对钓⻥邮件拦截情况分析 攻击类型 邮件标题 投递状态 收件状态 邮件⽹关处理⽅式 使⽤OfficeRTF漏洞进⾏钓⻥ 5⽉薪资发放通知单 成功 未收到 疑似丢弃 使⽤OfficeOOXML漏洞进⾏钓⻥ 6⽉薪资发放通知单 成功 收到 放⾏ 使⽤OfficeOLE2Link漏洞进⾏钓⻥ 7⽉薪资发放通知单 成功 未收到 疑似丢弃 使⽤OfficeEditor漏洞进⾏钓⻥ 9⽉薪资发放通知单 失败 未收到 拒绝发送请求 使⽤OfficeEPS脚本解析漏洞进⾏钓⻥ 8⽉薪资发放通知单 成功 未收到 告知拦截 使⽤AdobePlayerUAF漏洞进⾏钓⻥ 【紧急