敲响“两高一弱”安全警钟！企业如何高效实现安全风险治理？

腾讯云“两高一弱” 安全防治方案 目录Menu “两高一弱”的背景概述 “两高一弱”检查范围及细节 云上“两高一弱”的防治思路及方案 “两高一弱”治理背景概述 “两高一弱”检查背景 攻防对抗力量不对等，网络安全防护进行常态化防御阶段，要求组织具备实战化防御能力，其中攻击失陷大多源于两高一弱的安全风险，国家监管推进落实“两高一弱”专项治理。 2023年 2024年 随着公安部于2023年11月30日举办的“公安心向党护航新征程”主题发布，各个行业须高度重视“两高一弱“（高危端口、高危漏洞和弱口令）问题。 2024年夏天，根据公安部“重点行业发布‘两高一弱’风险隐患排查整治管理工作的通知”，重点行业已全面开展“两高一弱”风险排查整治工作。 未来两高一弱将成为监管机关检查和企业安全风险治理建设的常态化工作。 “两高一弱”检查形式 检查对象：关键信息基础设施单位、政府、金融、交通、能源、央国企等重点行业单位，由当地执法机构进行抽查以及监督检查 检查内容：要求各单位机构要利用资产测绘和风险监测验证技术，结合“两高一弱”技术要求和实际情况，自主发现、整改本机构的主机、系统、网络、物联网设备等IT资产，尤其是关键信息基础设施、重要网络系统、门户网站、物联网设备系统存在的“两高一弱”问题隐患。 检查形式：要严防问题隐患整改不到位或者反弹，针对性加强复测复核的给“回头看”措施，自2024年7月起，每月月底，将按时上报整改进展情况，以保障工作的有效推进与成果的持续巩固 两高一弱-检查要求及细节 高危漏洞 高危漏洞指存在严重安全风险的软件或系统漏洞，主要为CVE漏洞、攻击者经常攻击使用的漏洞等，本次专项整治包括但不限于以下远程代码执行、数据泄露、拒绝服务、提权攻击、跨站脚本攻击等漏洞。 资产类似包括：办公系统、操作系统、中间件、数据库、第三方组件、开发框架、网络设备、网络安全产品、摄像头、联网电子屏系统、工控设备等。 高危端口 高危端口指存在互联网上暴露了易被攻击者攻击利用的特定端口，本次专项整治包括但不限于核心业务系统、网站门户、大数据系统、数据库等涉及到数据安全、易被远程攻击利用的、不应该暴露在互联网上的端口。 特别值得注意的：本次不仅是要求端口号，同时还有端口涉及到的业务。 弱口令 弱口令是指容易被破解或猜测的密码，通常因为缺乏足够的复杂性和安全性而容易被攻击者猜 口令长度不够（小于或等于8位）：例如0000、1234567等 解，成为网络攻击的主要突破口。 弱（一） 口令常见 特 （二） （四） （三） 口令复杂度不够（只包含数字或者字母）：例如00112233、abcdefg等 口令缺少特殊字符（口令组成缺少特殊字符）：例如缺少！、@、#、 口令包含易被推测的字段（键盘上相邻按键的字符）：例如qweasdzxc等 $、&、^等 征（五） 网络应用或设备的默认口令：例如root、password、administor、admin等。特别值得注意的：•对密码复杂度提出明确要求。•未明确范围，理论上所有系统、中间件、业务账户口令都应该按照以上要求 两高一弱--执法案例 在此背景下，建立一套行之有效的“两高一弱”场景解决方案对各单位安全运营人员而言迫在眉睫 “两高一弱”安全防治思路及方案 云上“两高一弱”的防治难点 资产分散，管理效率低 多个业务团队管理多个云账号，资产管 理工作量大，效率低 业务调整频繁，风险变化快 ③ ② 云上业务资产变化快，两高一弱情况也在不断变化，难以掌控 ① 漏洞问题是整治难点 漏洞问题误报多，缺少有效手段验证，漏洞问题整改周期长 安全意识薄弱，问题屡次发生 ④ 人员安全意识薄弱，两高一弱的风险问题 屡禁不止，要求难以落实 云上两高一弱的防治思路 需要能快速全面的发现多个账号资产详情，发现影子资产，全面高效管理云上资产 需要漏洞信息精准无误，另外需要提供闭环措施给业务团队，减少协作困难 分钟级发现云上资产的变化及对应的风险问题，持续且精准地发现“两高一弱” 全面高效的资产 发现和管理 持续精准的发现 “两高一弱” 漏洞问题的高效 闭环处置 安全意识提高实 现默认安全 全员安全意识水平台提高能从管理上减少两高一弱的问题发生概率，实现安全左移 多云资产统一发现管理“两高一弱”风险一键体检顽固漏洞风险一键高效处置红蓝攻防演练提高安全意识 云安全中心：一站式“两高一弱”安全防治中心，高效持续风险治理。 一键处置的告警中心 3 网络探测高危命令 暴力破解文件查杀 漏洞利用主动外联 Webshell “两高一弱”安全全防治方案架构 云数据安全 云CWPP 云WAF 云防火墙 四道防线 资产 风险 告警 主机资产 云安全中心 域名资产 资产 网络资产 资产 告警 风险 告警 风险 主机行为告警 弱口令、配置、漏洞风险 Web攻击、BOT 泄漏、内容风险 网络攻击告警 攻击面风险 防治流程 1、资产发现 4、演练提升 3、修复处置 2、风险分析 1 一键开启防护的资产中心 公网IPWeb服务 域名 SSH/RDP 主机云资源 数据库 “两高一弱” 一键体检的风险中心 2 端口基线 漏洞内容风险 弱口令 等保合规 配置风险 4 服务演练 日常管理规范 管理流程制度 安全意识培训 红蓝对抗演练 钓鱼邮件演练 全面高效的云资产发现和管理 腾讯云API 其他云API 主动发现云外资产 手动添加 资产中心 1、持续自动发现：通过API自动获取云资产，无需动手，持续自动同步资产资产情况； 2、外部视角测绘：通过威胁情报/测绘主动发现云外资产，全面发现整体资产信息； 3、智能分组管理：覆盖公网IP、域名、云服务器、网关、数据库等30+资产类型； 4、最全资产管理：我们会为你自动完成70%的分组，通过分组/标签提升资产管理与策略管理的效率； 持续精准的发现“两高一弱”安全风险 网络漏洞扫描 主机端点检测资源配置检查自动模拟攻击 风险中心 资产中心 云安全中心：一键精准发现云上所有资产的“两高一弱”情况 1、网络漏洞扫描：整合腾讯云漏洞扫描能力，在网络侧主动发现风险暴露面、暴露端口、暴露漏洞与网站内容风险 2、主机基线检查：联动主机安全能力，提供终端的漏洞风险、弱口令风险、基线检测 3、云资源配置检查：检测资源是否存在配置风险，应对合规 4、互联网资产测绘：集成网络测绘能力，发现影子资产，进一步收敛攻击面 关键漏洞问题的高效闭环处置 高危漏洞：一键提供提供应用RASP补丁、网络虚拟补丁、云主机补丁等多种能力实现高危漏洞的快速闭环 高危端口：一键封禁高危端口，提供堡垒机、零信任、WAF等接入防护手段，保障业务需求的同时避免暴露端口 资产中心 弱口令：云默认安全提升全部资产登录的口令强度，从根源上避免弱口令，主机安全支持弱口令爆破攻击防护 高危漏洞告警高危端口告警弱口令告警 其他攻击告警 处置中心 一站式待办处置中心 云WAF 响应单元 闭环能力 效果 第一道防线云防火墙 封堵高危暴露端口 收敛暴露高危端口防止端口扫描 第二道防线Web应用防火墙 漏洞虚拟补丁 实现业务漏洞修复 第三道防线主机安全 漏洞虚拟补丁弱密码管理 一键修复弱口令 第四道防线配置管理堡垒机 配置修改远程安全运维 一键修复弱口令问题一键修复高危端口暴露 联动云防火墙 主机\容器安全 数据安全 安全意识提高能帮助实现安全左移 多个模块，分层培训 云安全与等级保护 网络安 全原理 项目模拟 渗透测试技术基础 信息安全基础 网络安全分析与应用 服务名称 服务描述 服务形式 网络安全基础培训 通过网络安全技术课程培训可以深入理解攻击操作，进而达到能够在漏洞被利用之前修补的能力。通过了解所开发应用系统的漏洞和缺陷，能用简单的脚本编写验证代码，验证已发布漏洞的真实性。 现场或远程 安全运维培训 通过安全运维培训课程可以提高人员信息安全事件响应及处置能力，实现事前防护到位，事中监管有效，事后响应及时，从而提升信息系统运维人员的整体安全防护能力。 现场或远程 安全意识培训 通过定制的培训课程内容，使用相关教材和知识点讲解案例资料等，帮助防守单位内部人员强化安全意识，了解网络安全攻防知识，以便更好的在攻防演习行动攻击过程中有效应对。 现场或远程 红蓝攻防演练 通过钓鱼邮件攻击模拟和模拟实战攻击等方式进行攻防演练，通过实战发现真实问题，通过实战提升员工和运维人员的安全意识和安全水平 现场或远程 WEB漏 洞原理 •基础层面：信息安全基础、安全原理、Web安全 •应用层面：云安全、攻防渗透、安全分析 •实战层面：项目模拟 通过攻防演练和相关培训，提高全员安全意识，实现“两高一弱”防治的安全左移。 感谢观看！ Thankyou 腾讯云“两高一弱” 防治实践 讲师介绍 资深安全工程师 毛武斌 十年互联网大厂安全运营经验，曾以甲方视角负责公司网络安全建设，也曾以乙方身份为多个客户负责国家级攻防演练的加固与防护工作。 目录Menu “两高一弱”防治的三个环节 预防：规范、流程与机制 发现：“两高一弱”检测能力 处置：响应与应急 “两高一弱”防治的三个环节 “两高一弱”防治的三个环节 处置预防 发现 预防：规范、流程与制度 预防：规范、流程与机制 规范：1.员工安全意识培训，从源头上进行收敛；2.建立安全开发规范，在开发阶段减少高危漏洞；3.建立安全事件的惩处机制，敲响警钟；4.最小开放原则。 流程：1.建立DevSecOps流程，在开发阶段安全就要入场：白盒审计、镜像扫描；2.对云账号权限进行管控收敛 ，避免随意的开放端口；3.建立安全风险处置流程，处理提速；4.业务下线流程。 机制：1.镜像规划化，持续对镜像进行加固维护；2.提供更便利的支持给到研发：开发框架、SSO体系；3.防火墙默认策略；4.系统密码复杂度要求、密码过期机制、双因素；5.网络暴露面的常态收敛。 发现：“两高一弱”的 检测能力 •检出的时效性 •资产的全面性 检测要求 发现：“两高一弱”的检测能力 •域名 •IP •组件 •…. 资产CMDB 如果面向互联网开放SSH端口，并且设置弱口令？ 企业云资产管理的难点 企业云资产安全管理 复杂 变化 离散 厂商多 账号多 产品多 随时建 区域离散 离散 方案：通过云API读取云资产列表，实时维护资产CMDB。 云安全中心：从资产到扫描 资产自动同步 端口扫描弱口令、漏洞扫描 发现：“两高一弱”检测能力 •主机Agent •日志检测 匹配 •漏洞情报 •镜像扫描 •暴露面管理 •渗透测试 黑盒白盒 •代码审计 •插桩扫描 •RASP 主机安全在“两高一弱”的应用 主机安全会在服务器上部署高权限Agent。 原理Agent能够采集主机软件、组件、jar、文件等信息。 根据版本或配置识别漏洞，根据口令hash的碰撞识别弱口令。 优势 检测效率高 检出率高 没有网络连通性的依赖 不容易区分漏洞是否能被真实利用。 不足无法检测自研模块、Web通用型的漏洞。 漏洞或弱口令是否对外未知。 主机安全在“两高一弱”的应用 最佳实践：巧用主机安全“高优修复漏洞” 主机安全在“两高一弱”的应用 最佳实践：自定义弱口令字典。 主机安全在“两高一弱”的应用 最佳实践：主机暴露状态与主机风险的有机结合 日志在“两高一弱”的应用 思路 Web日志包含密 码，可检测弱口令 发现：“两高一弱”检测能力 处置预防 发现 通过发现的风险来审视预防环节的不足。 处置：响应与应急 处置：响应与应急 止血修 复 影响判 断 应急响 应 关闭或限制访问源 修复风险 WAF及防火墙防护 数据是否泄露 主机是否失陷 主机隔离 入侵行为复现 定损 影响判断——数据是否泄露 •腾讯