攻防场景驱动下的敏捷安全运营 -新攻防态势下的核心能力建设.pdf

新攻防态势下的核心能力建设攻防场景下的敏捷安全运营我们所处的时代03行业安全新探索09目录content腾讯敏捷安全运营实践14部分能力分享演示26Part1我们所处的时代我们所处的时代AI 技术革新，攻击效率聚变nOpenAI 在2022年11月30日发布了可以与人对话的AI机器人n能够非常好地完成多种任务：写故事、写代码、找bugn2023年1月底在中文社区火爆：“革命性”、“新纪元”、“重新定义”检测漏洞，创建PoC逆向工程shellcodeChatGPT我们所处的时代开源组件被业务广泛应用，业务支撑生态风险面扩大Gartner：99%的组织在其IT系统中使用了开源软件Gartner：现代软件大多数是被“组装”出来的，不是被“开发”出来的Forrester：软件开发中，80-90%的代码来自于开源软件我们所处的时代云/IoT等新技术普及迭代，企业风险引入面持续增加传统的IT架构漏洞分布在传统基础设施IT 架构革新漏洞风险 变化开发模式 革新ThenNow云技术/IOT等广泛应用漏洞扩展到IoT设备、云产品系统交付效率系统生命周期硬件：1-3月/软件：月-年服务器：3-5年/网络设备：5-10年业务开发模式？周系统交付效率系统生命周期云基础设施：毫秒/秒/分钟级100毫秒-DevSecOps开发模式？天/？小时业务快速迭代，变更周期变短业务较少迭代，变更周期较长我们所处的时代攻击对手横行，告警溢出导致人才资源短缺国家力量网络犯罪组织无政府主义黑客恐怖分子恶意用户内部威胁地缘政治经济利益意识形态意识形态暴力满足感不满/牢骚网络威胁对象攻击动机我们的对手我们的环境误报事件授权事件情报事件主机安全事件SOC（威胁情报、漏洞情报）（密钥泄露、代码泄露等）（HIDS）（控制台操作）良性事件泄露事件恶意事件（漏洞误报等）误配置（产品/系统/应用不当配置）暴力破解（暴力破解成功）木马事件（木马/病毒/webshell等）反弹shell（命令执行、远程提权）比防守者更有效的共享信息更专注自动化攻击能力建设更懂得团队资源整合人才短缺，新技术知识不匹配告警太多，人力处理不过来缺乏对组织部分环境的可见性我们所处的时代攻防手段多变，钓鱼及供应链攻击逐步成为突破口攻击队数量200+国内安全厂商产品500+0day漏洞储备：50+供应链厂商关联数：10 家Part2行业安全运营新探索行业安全运营最新实践“自主安全运营是理念、实践和工具的结合，可以改进组织通过自适应、敏捷和高度自动化的系统抵御安全攻击的能力”安全人员应该专注于安全，而不是基础设施管理，利用额外的工时和人员来专注于 更高阶的挑战 Autonomic Security Operations“安全操作自动化正处于复兴时期，我们看到了从通用安全自动化平台到由领域专家领导的目标驱动自动化的转变”安全运营的转型主要由以下趋势驱动，1）云资源覆盖：安全运营必须检测并响应整个企业资产（包括云资源）的攻击，2）云遥测处理，本地资源很难满足安全操作对时间敏感的需求安全运营专业人员应该通过自动化在他们的计划中寻求收益，但要有选择性，领域专家提供的目标特定知识应作为其核心平台的一部分云资源是一个快速发展的新平台，而云遥测处理借助了大规模分析、机器学习和行为分析的SaaS云服务，这些技术有助于快速提取价值，以满足安全操作的时间敏感需求 Azure Security Operations Model未来安全运营应具备核心能力更敏锐的风险发现能力基线行为分析能力大规模分析机器学习能力10X 技术能力（Technology）10X 流程化能力（Process）更全面的攻击面管理能力比黑客更高效的情报共享能力更精准的目标资产检测定位更成熟文档的监测体系10X 运营人效（People）云SaaS安全能力SaaS 云安全能力更强的SaaS云安全能力攻击面管理能力云原生资源覆盖能力风险优先级评估能力未来安全运营应具备核心能力成熟的安全能力模块丰富的企业应用生态10X 技术能力（Technology）10X 流程化能力（Process）10X 运营人效（People）灵活、快速的安全响应能力可追溯、审计的流程管理能力快捷的编排操作快速的流程运行支持各类企业应用简单的流程编排操作流程回溯及审计漏洞扫描配置检查威胁情报告警通知工单发送未来安全运营应具备核心能力智能化技术的应用能力安全人力资源及经验补充增强最后安全缺失板块10X 技术能力（Technology）10X 流程化能力（Process）10X 运营人效（People）安全资源的整合能力自动化流程构建及实现安全运营过程的回溯及审计AutomaticProcessBacktrackAm I Secure?验证How to Deal?处置What Risks?发现腾讯敏捷安全运营实践分享Part3破局安全建设背景1.庞大的体系与快速迭代50+产品分类，X00+一级产品，XXXX二级产品最多日均近10个新产品上线，日常N个版本发布2.复杂的产品形态与研发场景自研、合作研发、OEM等SaaS、PaaS、IaaS专有云、私有云、公有云、混合云3.多样化的技术栈与架构C、JAVA、GO、PHP、Python、NodeJSWeb应用、APP、客户端、小程序各种中间件、一些新型架构等4.多重组织与人员结构总部、子公司、投资全资子公司、外部企业正式员工、驻场外包、子公司员工、研发外包跨公司、跨BG、跨部门、跨业务线、跨中心互联网业务业务可用性要求高风险发现速度要快事件响应时效更高种类多要求高支撑组件组织架构发布频繁版本多形态复杂平台多跨组织跨部门弱管控实战对抗中，面临的现实安全问题1.有哪些最新的威胁？2.如何快速解决这些威胁？3.安全防御体系是否有效？有哪些最新漏洞？近期正在流行EXP？我的数据是否有泄露？漏洞响应处置HIDS/WAF/FW等高危事件处置闭环数据泄露风险处置？WAF防护策略有无生效？补丁是否打上？配置是否生效？功能是否正常？安全意识是否健壮？如何更快速发现而少漏报？较难发现供应链安全风险？威胁数量级增长，SOC运营成本高 攻击手段复杂化，人才短缺逐步加剧缺乏持续的安全防护有效性验证新的攻击手法和经验难转化已有手段漏洞监测/扫描渗透测试渗透测试/红蓝演练安全量化月报SOC/工单系统自研运营平台面临的问题安全问题拆解n最新漏洞n数据泄露n行业事件nn供应链信息n网站指纹/服务/端口n人员社工信息nn整合办公生态n支持复杂逻辑n操作便捷可视nn业务行为基线分析n机器学习n大规模数据分析nn安全运营度量n风险可视化n奖惩机制nn红蓝对抗n渗透测试n入侵攻击模拟n 如何更快速发现而少漏报？无法发现供应链安全风险？威胁数量级增长，SOC运营成本高 攻击手段复杂化，人才短缺逐步加剧缺乏持续的安全防护有效性验证新的攻击手法和经验难转化面临的问题 快速、精准、全面威胁感知能力 自动化、可视的运营处置能力 可持续的安全防护有效性验证发现检测处置分析度量验证信息收集攻击探测攻击执行攻击绕过横向移动实施影响持久化发现检测响应度量发现能力构建即时的情报感知能力发现检测响应度量漏洞情报泄漏情报威胁情报资产情报组件漏洞监测0day漏洞监测PoC发布监测漏洞订阅预警威胁行为判定应急溯源分析联动防御拦截Github泄漏监测CSDN泄漏监测暗网交易监测攻击面管理500+情报源25 类渠道覆盖MTTD 30min100+监测渠道专职交易分析MTTD 7minMTTR 10s20+腾讯工具集40+云资源覆盖MTTD 4h漏洞情报运营覆盖近500家一手情报源，支持上千种组件订阅，提升情报精准度和自闭环率发现能力构建多维情报即时感知能力，降低MTTD发现检测响应度量典型问题日均有效情报月均漏报率MTTD监测运营 阶段0.2%30min3060监测运营漏报解决误报解决解决措施失效解决漏报误报网站改版渠道失效查漏补缺，新增情报源或规则完善调整策略，优化情报监测规则旁站分析，分析其他关联渠道反向验证，失效后开发新监控节点 运营持续利用监控，变种舆情监控 发现能力构建即时的情报感知能力发现检测响应度量提供暗网数据泄漏监测服务，针对客户资产、品牌、人员、系统等进行暗网监测，监测渠道覆盖Telegram、暗网以及数据交易论坛等渠道。暗网监测重保期间国家护网期间，提供专项情报监控，监控包括来自微信群、安全论坛、公众号等渠道的情报，覆盖0day、PoC、钓鱼情报、攻击手法、失陷情报等内容。攻击者特征情报收集监测HW期间所使用到的 IP/IOC 情报，进行拦截最新漏洞情报监测最新爆发 开源组件漏洞，自检是否存在新突破口HW事件情报收集整理HW规则及行业调整动态，便于调整防护策略攻击手段情报收集监测0Day/Nday漏洞、钓鱼社工等情报，便于自检自纠外部论坛微信群&朋友圈公众号TG/Twitter检测能力攻击面管理能力发现检测响应度量!#$%&()*+,-./0&123456&789:;?IP/域名/证书开放端口/应用服务NTPDNS开源组件及框架网站指纹云产品资源分公司/子公司供应商安全产品安全漏洞配置不当风险管理后台员工手机号/邮箱微信号/微博号/小红书号脉脉AK/SK泄漏泄漏的代码失陷的主机泄漏的数据库IoT设备影子资产第三方资产检测能力攻击面管理能力发现检测响应度量攻击视角下的有效防守基于攻击者视角，在基础风险识别之上，覆盖包括资产、供应链、人员等相关安全风险在1初始访问阶段，提前识别攻击者获取到的脆弱资产信息和旁路攻击路径4567896凭据获取凭据获取6逃避逃避检测检测5321在2执行阶段阶段，捕获攻击者利用漏洞、配置、敏感信息等执行攻击，建立立足点在6凭据获取阶段，分析攻击者在内、外网收集登陆凭据，扩大访问权限，阻止接近靶标1621212初始访问初始访问12执行执行212初始访问初始访问1执行执行2响应能力构建智能、敏捷的自动化处置能力发现检测响应度量工具/动作标准化precedure流程标准化（process场景标准化（project）工具动作服务全流程项目场景自动化能力迭代响应能力构建智能、敏捷的自动化处置能力发现检测响应度量聊天工具确认 IP 是否封禁？IP封禁审批工作流告警筛选分析对重复高频告警信息聚合自定义过滤高危告警IP 情报标记利用威胁情报数据进行分析沟通确认封禁操作梳理待封禁IP列表准备封禁确认话术告警关联分析攻击复合：IP存在多攻击手法高频地域：IP归属地在高频区域密集网段：IP属于次数突出网段执行封禁策略网络层：防火墙入侵防御拦截 IP主机层：安全组/FW策略添加应用层：WAF 黑名单 封禁 IP同步封禁结论Then：人工流转为主Now：自动化主导的 重保场景IP封禁1、编写处置工作流2、实施同步运营结果度量能力风险度量，量化呈现安全风险现状发现检测响应度量安全风险度量安全信誉积分 云PaaS化能力 情报能力建设 攻击面管理 流程自动化能力 定期安全验证 漏洞情报监测 数据泄露情报 威胁情报接入 业务基线行为分析 机器学习能力 大规模计算能力 云SaaS安全扫描（存储桶/ACL等）云资源覆盖 组织及供应链 社工信息采集 安全流程梳理及编排 自动化工作流平台 Web/系统安全扫描 开源组件扫描（fastjson/nacos等）安全有效性验证（BAS）渗透测试 红蓝对抗 安全运营风险度量 安全卓越榜/信誉积分 安全意识培训 安全度量与激励敏捷安全运营度量能力有效性度量，持续验证安全防护有效性发现检测响应度量部署架构模拟攻击者，持续验证控制措施有效性，包括HW TOP漏洞、边界突破、内网横移、办公网等场景原理描述核心组件在企业不同网络区域部署验证机和靶机，进行无害化的持续攻击验证，形成自动化规则策略验证闭环，实现安全防护、检测等安全设备的有效性验证模拟攻击者，对靶机发起攻击的组件攻击 模拟器管理控制台靶机 A/B/C/D攻击模拟管理平台，负责任务调度、数据分析及结果呈现等模拟被攻击探针，无真实生产业务，部署真实环境一致的防护软件/设备工作流系统腾讯内部 7大BG在用的自动化工作平台典型场景：重保时期，研判告警攻击IP行为并联动威胁情报进行拦截数据泄露监测系统覆盖主流数据泄露渠道，深入行业的分钟级泄露监测响应系统Thanks谢谢