网络安全新形势，安全免疫新能力--腾讯安全的思考和实践

⽹络安全新形势安全免疫新能⼒ 腾讯安全的思考和实践 演讲人腾讯安全副总经理吕一平 从“合规”到“免疫” 安全能⼒建设从被动到主动，形成数字安全免疫能⼒ 生态安全 全世界最完整的产业体系、超大规模市场的需求优势、产业体系完备的供给优势 优势产业——强化自主、安全、可控 创新产业——用安全护航发展，加速沉淀竞争力 企业安全 攻防驱动-合规驱动-发展驱动提升企业主体的数字安全免疫力 数字经济安全 网络安全和信息化是一体之两翼、驱动之双轮助力实现新质生产力与高质量发展 国家安全 全球数字治理、国际互联网发展四项原则和五点主张；网安相关法律，政府性文件，行业主管部门文件； 腾讯安全：构筑企业数字安全免疫⼒，守护企业⽣命线 数智化时代，企业业务发展面临的安全威胁和挑战日趋复杂，安全建设的范式从被动安全逐步演变为主动防御，成为企业建设安全的核心考量。以数据资产和业务资业务资产为目标，企业急需构建一套全新的安全范式以及安全框架。 基于全球1500位CSO实战总结，腾讯联合著名分析机构IDC提出了一套“发展驱动”为核心的【数字安全免疫力模型】，助力企业构建数字安全体系，守护企业生命线！ 数字安全免疫⼒模型 静态安全弹性、自适应、可拓展 治已病 治未病 被动防御 主动防御 构建完善的信息技术融合创新安全产品矩阵 构建完善的信息技术融合创新安全产品矩阵 腾讯NDR 针对网络流量监测，发现高级威胁，有效实现攻击阻断 天御决策操作系统 落地决策类AI行业实践，助力业务经营提效 腾讯威胁情报 构建主动防御型威胁情报能力，构建体系化 情报共享生态 腾讯里约网关 收敛业务对外暴漏面，建立高效安全的应用与服务治理体系 腾讯科恩安全审计套件 全方位、高精度、自动化安全审计，助力企 业降低威胁处理成本 腾讯安全湖 挖掘海量安全产品数据价值，实现PB级安全数据智能分析，构建自主高效安全数据底座 腾讯数据安全治理一体化平台 形成企业数据安全治理闭环，降低数据安全治理TCO，提高数据安全保障能。 应对重保时期的免疫体系建设创新实践 腾讯NDR 针对网络流量监测，发现高级威胁，有效实现攻击阻断 腾讯威胁情报 构建主动防御型威胁情报能力，构建体系化情报共享生态 腾讯数据安全治理一体化平台 形成企业数据安全治理闭环，降低数据安全治理TCO，提高数据安全保障能。 腾讯安全湖 挖掘海量安全产品数据价值，实现PB级安全数据智能分析，构建自主高效安全数据底座 腾讯科恩安全审计套件 全方位、高精度、自动化安全审计，助力企业降低威胁处理成本 应对重保时期的免疫体系建设创新实践 腾讯NDR 针对网络流量监测，发现高级威胁，有效实现攻击阻断 腾讯威胁情报 构建主动防御型威胁情报能力，构建体系化情报共享生态 腾讯数据安全治理一体化平台 形成企业数据安全治理闭环，降低数据安全治理TCO，提高数据安全保障能。 腾讯安全湖 挖掘海量安全产品数据价值，实现PB级安全数据智能分析，构建自主高效安全数据底座 腾讯科恩安全审计套件 全方位、高精度、自动化安全审计，助力企业降低威胁处理成本 以NDR+安全湖，构建从检测，响应到常态化保障的最佳实践 针对某金融行业Top企业重保需求扩展流量检测能力，实现长周期全流量数据存储与深度分析回溯 方案部署： 安全检测告警 数据接入 网络流量元数据 丰富的可视化BI 低成本的数据存储 强大的分析引擎 安全能力提升效果 安全湖 NDR御界 逻辑架构： 客户重保主要应用场景： 1.根据检测规则，回溯历史数据，排查风险；比如SQL注入规则、敏感数据访问规则、合规审计规则 2.新的0day利用和攻击事件，回溯历史数据，追溯入侵痕迹；比如寻找历史0day利用入侵痕迹、攻击队攻击事件识别 灵活自定义的各类仪表盘与图表 长周期的 全流量数据留存与回溯 简化和加速安全分析与调查 实施后全流量存储与分析数据效果： 通过安全湖的高压缩比，全流量存储由十几台降低到4台服务器 全流量回溯分析由只能回溯一周，实现回溯180+天数据 查询分析耗时由2-3小时降低为平均每次安全事件分析耗时0.5小时左右 安全可视化分析报告从至少两天，实现安全可视化图标、报表、秒级生成 3.基于长周期历史数据，对网络行为、API接口进行基线统计和梳理，比如API接口梳理，IP互访关系统计，数据传输情况统计 + 以NDR+安全湖，构建从检测，响应到常态化保障的最佳实践 针对某金融行业Top企业重保需求扩展流量检测能力，实现长周期全流量数据存储与深度分析回溯 方案部署： 安全检测告警 数据接入 网络流量元数据 丰富的可视化BI 低成本的数据存储 强大的分析引擎 安全能力提升效果 安全湖 NDR御界 逻辑架构： 客户重保主要应用场景： 1.根据检测规则，回溯历史数据，排查风险；比如SQL注入规则、敏感数据访问规则、合规审计规则 2.新的0day利用和攻击事件，回溯历史数据，追溯入侵痕迹；比如寻找历史0day利用入侵痕迹、攻击队攻击事件识别 灵活自定义的各类仪表盘与图表 长周期的 全流量数据留存与回溯 简化和加速安全分析与调查 实施后全流量存储与分析数据效果： 通过安全湖的高压缩比，全流量存储由十几台降低到4台服务器 全流量回溯分析由只能回溯一周，实现回溯180+天数据 查询分析耗时由2-3小时降低为平均每次安全事件分析耗时0.5小时左右 安全可视化分析报告从至少两天，实现安全可视化图标、报表、秒级生成 3.基于长周期历史数据，对网络行为、API接口进行基线统计和梳理，比如API接口梳理，IP互访关系统计，数据传输情况统计 + 以威胁情报&攻击⾯管理能⼒，构建知⼰知彼的主动防御体系 正常纳管资产 （严密防护中） 未报备资产 （已接入防护） 违规资产 （无防护、弱密码） 三方资产 （供应商、外包） 仿冒资产 （钓鱼、欺诈） 收敛暴露面风险 作战期 资产回顾 （重保期间每日1次） 基线 发现新上线资产 （重保期间一般不上线新服务） 0&1Day漏洞 （订阅更新） 发现高危资产 （未报备、违规、三方、仿冒） 更新 SDK IOC 下发 服务 研判 对比内部资产台账 （建立资产基线） 资产发现 (日常巡检、免疫检查) 鉴定可疑来源IP 基于高精准IOC 阻断威胁访问 关注攻击者 重保威胁情报服务 （订阅更新） 针对某金融行业Top企业重保需求，构建战备结合的安全体系筹备期 验证 ASM 发现可疑资产 （未报备、违规、三方、仿冒） 收敛暴露面风险 扫描并修复漏洞 捕获最新未知威胁 关注防御者 历史高危漏洞 （预加载） 重保前提供暴露面体检，提升日常安全运营能力： •发现200+暴露在互联网的资产，包含域名资产50+，IP资产100+，公号和小程序资产20+ •识别资产环境安全风险，发现资产配置风险10+，敏感风险服务20+ •为客户提供暴露面收敛整改方案，降低风险，预警历史重保相关漏洞风险； 以威胁情报&攻击⾯管理能⼒，构建知⼰知彼的主动防御体系 正常纳管资产 （严密防护中） 未报备资产 （已接入防护） 违规资产 （无防护、弱密码） 三方资产 （供应商、外包） 仿冒资产 （钓鱼、欺诈） 收敛暴露面风险 作战期 资产回顾 （重保期间每日1次） 基线 发现新上线资产 （重保期间一般不上线新服务） 0&1Day漏洞 （订阅更新） 发现高危资产 （未报备、违规、三方、仿冒） 更新 SDK IOC 下发 服务 研判 对比内部资产台账 （建立资产基线） 资产发现 (日常巡检、免疫检查) 鉴定可疑来源IP 基于高精准IOC 阻断威胁访问 关注攻击者 重保威胁情报服务 （订阅更新） 针对某金融行业Top企业重保需求，构建战备结合的安全体系筹备期 验证 ASM 发现可疑资产 （未报备、违规、三方、仿冒） 收敛暴露面风险 扫描并修复漏洞 捕获最新未知威胁 关注防御者 历史高危漏洞 （预加载） 重保前提供暴露面体检，提升日常安全运营能力： •发现200+暴露在互联网的资产，包含域名资产50+，IP资产100+，公号和小程序资产20+ •识别资产环境安全风险，发现资产配置风险10+，敏感风险服务20+ •为客户提供暴露面收敛整改方案，降低风险，预警历史重保相关漏洞风险； 建⽴软件供应链安全防护体系保障HW软件全⽣命周期安全 更高效 •系统安全基线审计 科恩安全审计套件 能力 软件供应链攻击防御 许可证合规性管理 风险发现与修复建议 深度依赖分析 价值     精准把控开源组件风险 透明化管理软件资产链条最小化风险治理成本 最快实现安全组件选型 能力 快速定位风险组件 软件供应链安全威胁情报 漏洞补丁信息与漏洞函数定位 价值 对漏洞受影响组件进行快速定位 通过预警联动处置机制，全面提升HW 中软件供应链安全管理水平 BinaryAI：解决二进制程序函数相似性分析二进制代码/源代码端到端匹配问题 某头部股份制银行 事中 事前 更丰富 •主流语言、鸿蒙生态 •内核CVE检测 •远程信息动态采集 •通讯、权限、服务权限审计 更坚实 •软件成分分析SBOM •供应链安全体系建设 •开发安全建设实践 •数字孪生安全 嵌入式设备安全检测 二进制SCA 开发安全 开源组件知识库 源码SCA APK 安全审计 支持 •代码自研率精准匹配 •开源许可合规性 •漏洞存在性与触发性 •信息技术融合创新检测支持 更完善 •未知漏洞挖掘 •非预期行为扫描 •最佳安全开发范例 •漏洞利用链详细解析 •腾讯自有商业漏洞库 •安全专家人工维护 •市场领先 •威胁情报监控与告警 护网备战阶段：对于HW中被破防的软件，事前做重点软件相关开源组件的风险排查 场景临战阶段：利用SBOM完整软件台账数据，对开源组件风险进行快速排查和响应 建⽴软件供应链安全防护体系保障HW软件全⽣命周期安全 更高效 •系统安全基线审计 科恩安全审计套件 能力 软件供应链攻击防御 许可证合规性管理 风险发现与修复建议 深度依赖分析 价值     精准把控开源组件风险 透明化管理软件资产链条最小化风险治理成本 最快实现安全组件选型 能力 快速定位风险组件 软件供应链安全威胁情报 漏洞补丁信息与漏洞函数定位 价值 对漏洞受影响组件进行快速定位 通过预警联动处置机制，全面提升HW 中软件供应链安全管理水平 BinaryAI：解决二进制程序函数相似性分析二进制代码/源代码端到端匹配问题 某头部股份制银行 事中 事前 更丰富 •主流语言、鸿蒙生态 •内核CVE检测 •远程信息动态采集 •通讯、权限、服务权限审计 更坚实 •软件成分分析SBOM •供应链安全体系建设 •开发安全建设实践 •数字孪生安全 嵌入式设备安全检测 二进制SCA 开发安全 开源组件知识库 源码SCA APK 安全审计 支持 •代码自研率精准匹配 •开源许可合规性 •漏洞存在性与触发性 •信息技术融合创新检测支持 更完善 •未知漏洞挖掘 •非预期行为扫描 •最佳安全开发范例 •漏洞利用链详细解析 •腾讯自有商业漏洞库 •安全专家人工维护 •市场领先 •威胁情报监控与告警 护网备战阶段：对于HW中被破防的软件，事前做重点软件相关开源组件的风险排查 场景临战阶段：利用SBOM完整软件台账数据，对开源组件风险进行快速排查和响应 以数据安全风险治理能⼒，构建数据全⽣命周期安全体系 针对某汽车行业Top企业重保需求，构建战备结合的安全体系 筹备期（事前）作战期（事中） 资产识别 （风险识别、分级分类） 事件应急 （密钥轮转、事件告警） 敏感数据加密 （字段级加密，动态脱敏） 数据库操作审计 （SQL异常识别、高危行为告警） 密钥治理 （密钥加密、凭据托管） AKSK异常行为 （密钥异常发现） 访问控制 （堡垒机、数据库管控） 内网横移告警 （异常命令告警） 重保前提供暴露面体检，提升日常安全运营能力：