騰訊安全：平戰(zhàn)結(jié)合趨勢(shì)下的攻防演練活動(dòng)如何開(kāi)展-辦公網(wǎng)如何做到“零”失分2023

平戰(zhàn)結(jié)合趨勢(shì)下的攻防演練活動(dòng)如何開(kāi)展--辦公網(wǎng)如何做到“零”失分攻防演練活動(dòng)趨勢(shì)攻防演練活動(dòng)趨勢(shì)辦公網(wǎng)如何做到“零”失分2019年2019年攻擊、0Day漏洞利用等流行2021年接近實(shí)戰(zhàn)的攻擊技戰(zhàn)術(shù)，檢驗(yàn)防守方針對(duì)指定目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行模擬定向攻擊，檢驗(yàn)防守企業(yè)安2018年2018年2016年規(guī)定動(dòng)作進(jìn)行檢查，2020年2016年規(guī)定動(dòng)作進(jìn)行檢查，2020年信息，包括各種對(duì)外暴露的互聯(lián)網(wǎng)資產(chǎn)，信息，包括各種對(duì)外暴露的互聯(lián)網(wǎng)資產(chǎn)，）：）：成對(duì)終端的控制，實(shí)現(xiàn)突破；）： ,尋找高價(jià)值主機(jī)，通過(guò)多次橫移后最偵查階段偵查階段突防階段突防階段橫向移動(dòng)反滲透橫向移動(dòng)②集團(tuán)內(nèi)網(wǎng)生產(chǎn)區(qū)①②②③\供應(yīng)商/營(yíng)業(yè)部管理區(qū)③子公司③②集團(tuán)內(nèi)網(wǎng)生產(chǎn)區(qū)①②②③\供應(yīng)商/營(yíng)業(yè)部管理區(qū)③子公司③標(biāo)③DMZ墻墻墻域廠為什么“分支接入”與“供應(yīng)鏈接入”會(huì)成為被重點(diǎn)針對(duì)的突破口痛點(diǎn)）?、相較于總部員?及對(duì)應(yīng)設(shè)備，分?與供應(yīng)鏈的?與設(shè)備更容易被收集信息、社?和實(shí)施釣?（易突破）?、通過(guò)分?與供應(yīng)鏈進(jìn)?突破滲透的攻擊?為會(huì)更隱蔽，難以及時(shí)響應(yīng)（難被發(fā)現(xiàn)）三、由于業(yè)務(wù)優(yōu)先與管理疏忽等問(wèn)題，很多時(shí)候拿下分?與供應(yīng)鏈單點(diǎn)收益與突破內(nèi)?收益相近，甚?更?（攻擊收益?）“多分支接入”挑戰(zhàn)“供應(yīng)鏈接入”挑戰(zhàn)↓攻防演練活動(dòng)趨勢(shì)攻防演練活動(dòng)趨勢(shì)辦公網(wǎng)如何做到“零”失分更好的安全抓手更好的安全抓手針對(duì)風(fēng)險(xiǎn)接入場(chǎng)景落地更精細(xì)的管控“供應(yīng)鏈接入”挑戰(zhàn)“多分支接入”挑戰(zhàn)路騰訊零信任解決?案–提供辦公?安全短板補(bǔ)齊的新思路221分公司分公司分支營(yíng)業(yè)部分支營(yíng)業(yè)部22事前事前事中事中事后事后讓安全服務(wù)于業(yè)務(wù)讓業(yè)務(wù)成為安全的抓手讓安全服務(wù)于業(yè)務(wù)確保業(yè)務(wù)所能夠服務(wù)的所有用戶和設(shè)備都是安全狀態(tài)可視與可控的讓安全軟件不僅有對(duì)IT團(tuán)隊(duì)的管理/安全確保業(yè)務(wù)所能夠服務(wù)的所有用戶和設(shè)備都是安全狀態(tài)可視與可控的iOAiOAVPN脆弱性多，且容易被利用，已不適合作為遠(yuǎn)程接入的重要基礎(chǔ)設(shè)施架構(gòu)安全SPA單包授權(quán)（難被發(fā)現(xiàn)）、以攻促防（難被攻擊）、控制層與脆弱性多，且容易被利用，已不適合作為遠(yuǎn)程接入的重要基礎(chǔ)設(shè)施架構(gòu)安全 全支持對(duì)終端指紋、指紋進(jìn)行檢查和校驗(yàn)終端安全全支持對(duì)終端指紋、指紋進(jìn)行檢查和校驗(yàn)終端安全更好的更好的單通道長(zhǎng)連接模式，由于設(shè)備中的連接都需要復(fù)用單一tcp連接，因此任意業(yè)務(wù)發(fā)生丟包都會(huì)影響其他業(yè)務(wù)的傳戶體驗(yàn)用戶體驗(yàn)更高的用戶訪問(wèn)業(yè)務(wù)網(wǎng)站時(shí)，零信任網(wǎng)關(guān)才會(huì)轉(zhuǎn)發(fā)用戶更高的用戶訪問(wèn)業(yè)務(wù)網(wǎng)站時(shí)，零信任網(wǎng)關(guān)才會(huì)轉(zhuǎn)發(fā)用戶無(wú)需考慮多平臺(tái)建設(shè)或復(fù)雜集群，大大減少理效率管理效率統(tǒng)一的訪問(wèn)訪問(wèn)審計(jì)與策略管理，避免重統(tǒng)一的訪問(wèn)訪問(wèn)審計(jì)與策略管理，避免重內(nèi)?安全能?–利?業(yè)務(wù)抓?，對(duì)接?設(shè)備進(jìn)?脆iOA貫穿企業(yè)從資產(chǎn)管理到脆弱性加固的全生命周期，通過(guò)與可信接入能力深度聯(lián)動(dòng)，形成一體化的零信任解決方案聯(lián)動(dòng)：可信接入聯(lián)動(dòng)聯(lián)動(dòng)：可信接入聯(lián)動(dòng)?RDP登錄聯(lián)動(dòng)MFA認(rèn)證策略廣度：資產(chǎn)匯聚（統(tǒng)一管理視角）?全平臺(tái)Agent客戶端（PC/移動(dòng)/信創(chuàng)）深度：資產(chǎn)梳理（全面掌握資產(chǎn)信息）?資產(chǎn)基本/軟件/硬件信息采集關(guān)聯(lián)：資產(chǎn)綁定（重塑身份與資產(chǎn)關(guān)系）聚類：智能分組（滿足各種管理場(chǎng)景）管理：終端管控加固?高危端口/違規(guī)進(jìn)程/風(fēng)險(xiǎn)服務(wù)管控防御：安全防護(hù)加固資產(chǎn)可視終端可管自身：運(yùn)維管理（IT運(yùn)維保障）硬件：終端管控（桌面管理保障）?進(jìn)程/服務(wù)/網(wǎng)絡(luò)端口管控軟件：軟件管控（軟件管理保障）基線場(chǎng)景：安全基線脆弱性漏洞場(chǎng)景：漏洞脆弱性?Office組件漏洞管理運(yùn)維場(chǎng)景：IT運(yùn)維脆弱性內(nèi)?安全能?–利?業(yè)務(wù)做抓?，構(gòu)建零死?的?體化?侵?從入侵者視角，圍繞入侵攻擊鏈的四個(gè)關(guān)鍵環(huán)節(jié)中的三大環(huán)節(jié)，結(jié)合騰訊的安全大數(shù)據(jù)與攻防經(jīng)驗(yàn)積累，構(gòu)建設(shè)備威脅對(duì)抗防線偵查階段突防階段突防階段橫向移動(dòng)橫向移動(dòng)后滲透后滲透內(nèi)網(wǎng)持續(xù)滲透行為防御橫向行為防御內(nèi)網(wǎng)持續(xù)滲透行為防御橫向行為防御漏洞利用行為防御流量側(cè)識(shí)別攔截RPC行為防護(hù)惡意進(jìn)程注入檢測(cè)偽造繞過(guò)行為檢測(cè)熱補(bǔ)丁（二進(jìn)制防御）敏感共享防護(hù)域控攻擊防御網(wǎng)絡(luò)掃描行為檢測(cè)漏洞行為檢測(cè)漏洞利用行為防御流量側(cè)識(shí)別攔截RPC行為防護(hù)惡意進(jìn)程注入檢測(cè)偽造繞過(guò)行為檢測(cè)熱補(bǔ)?。ǘM(jìn)制防御）敏感共享防護(hù)域控攻擊防御網(wǎng)絡(luò)掃描行為檢測(cè)漏洞行為檢測(cè)釣魚識(shí)別釣魚行為文件追蹤文件特征檢測(cè)文件特征檢測(cè)釣魚攻擊行為分析回連接受指令執(zhí)行&持久化駐留&憑據(jù)竊取&信息收集&橫向移動(dòng)等創(chuàng)建啟動(dòng)項(xiàng)內(nèi)存加載IP/Port掃描漏洞利用WMI/SMB/PtH/PtT橫向密碼破解初始訪問(wèn)（投遞樣本）IM投遞初始訪問(wèn)（投遞樣本）IM投遞定向角色投遞★外聯(lián)通信★外聯(lián)通信技術(shù)對(duì)抗躲避殺軟（持續(xù)對(duì)抗，難以根治）★社工突防騰訊釣魚防護(hù)方案看得見(jiàn)防得住來(lái)源路徑監(jiān)測(cè)看得見(jiàn)防得住來(lái)源路徑監(jiān)測(cè)文件形態(tài)識(shí)別聯(lián)網(wǎng)零信任審計(jì)聯(lián)網(wǎng)零信任審計(jì)……核心思路：對(duì)高危渠道落地文件進(jìn)行外聯(lián)監(jiān)測(cè)和關(guān)聯(lián)分析，確保“看得見(jiàn)”&“防得住”段進(jìn)一一頭一尾段進(jìn)一一頭一尾關(guān)聯(lián)行為監(jiān)測(cè)，攻擊者無(wú)法繞過(guò)132132騰訊是唯一有云+管+端產(chǎn)品聯(lián)動(dòng)騰訊是唯一有云+管+端產(chǎn)品聯(lián)動(dòng)騰訊有豐富的通信（IM工具，郵箱）終端安全治理經(jīng)驗(yàn)與一手威脅情報(bào)橫移橫移路徑分析域控攻擊2域控攻擊2域控服務(wù)11騰訊橫移防護(hù)方案防御思路：防御思路：事前安全基線加固，事中可疑行為零信任審計(jì) 本地賬號(hào)網(wǎng)絡(luò)認(rèn)證高危端口管控終端橫移行為覆蓋100%橫移技術(shù)(深度)橫移技術(shù)(深度)友商二友商一橫移場(chǎng)景的覆蓋廣度和對(duì)抗深度遙遙領(lǐng)先行業(yè)最小化按需授權(quán)?RBAC授權(quán)管理最小化按需授權(quán)?RBAC授權(quán)管理風(fēng)險(xiǎn)驅(qū)動(dòng)自適應(yīng)訪問(wèn)收斂資產(chǎn)暴露面收斂資產(chǎn)暴露面?端口隱藏（SPA）攻擊者越權(quán)用戶1、管理成本低：數(shù)據(jù)驅(qū)動(dòng)運(yùn)營(yíng)，極低的管理投入即可實(shí)現(xiàn)最小化授權(quán)1、收斂攻擊面：提升惡意用戶侵害企業(yè)重要資產(chǎn)的難度2、生產(chǎn)力負(fù)擔(dān)小：“按需授權(quán)+精準(zhǔn)防控”，充分兼顧業(yè)務(wù)訪問(wèn)需求2、收斂風(fēng)險(xiǎn)面：降低風(fēng)險(xiǎn)通過(guò)訪問(wèn)主體擴(kuò)散的概率?VPN類接入服務(wù)暴露端口風(fēng)險(xiǎn)極大傳統(tǒng)VPN對(duì)外暴露端口，配合掃描工具，攻擊方可快速利用VPN0day漏洞（eg.20/21年xx服vpn高并發(fā)場(chǎng)景：SPA處理效率高攜帶SPA包的可信終端SPA單包授權(quán)安全機(jī)制建立TLS連接攜帶合法攜帶SPA包的可信終端SPA單包授權(quán)安全機(jī)制建立TLS連接攜帶合法未攜帶SPA包的終端建立TLS連接未攜帶合SPASPA單包授權(quán)安全機(jī)制不對(duì)外暴露服務(wù)端口，掃描器無(wú)法掃描到，有不對(duì)外暴露服務(wù)端口，掃描器無(wú)法掃描到，有【增強(qiáng)型SPA】支持UDP/TCPSYN/ICMP三種敲門方式，適配復(fù)雜網(wǎng)絡(luò)場(chǎng)景【多端支持】支持Windows/MacOS/Android/iOS多系統(tǒng)最?化授權(quán)訪問(wèn)–權(quán)限治理企業(yè)/機(jī)構(gòu)的業(yè)務(wù)現(xiàn)狀及痛點(diǎn)痛點(diǎn)：權(quán)限運(yùn)營(yíng)難兼顧管理效率，用戶體驗(yàn)?授權(quán)粗放，并非最小化授權(quán)，風(fēng)險(xiǎn)與資產(chǎn)的隔離效果差企業(yè)/機(jī)構(gòu)的訴求）：）：?用戶可以根據(jù)所屬部門或角色自動(dòng)繼承權(quán)限，無(wú)需額外申請(qǐng)即可訪問(wèn)）：?僅授予用戶常規(guī)業(yè)務(wù)需要的訪問(wèn)權(quán)限，最小化收斂暴露面最?化授權(quán)訪問(wèn)–?適應(yīng)訪問(wèn)風(fēng)險(xiǎn)隔離控制持續(xù)監(jiān)控終端可信環(huán)境，根據(jù)不可信的評(píng)估結(jié)果動(dòng)態(tài)降權(quán)/阻斷/要求二次身份驗(yàn)證，保障企業(yè)業(yè)務(wù)安全?基于業(yè)務(wù)資源敏感度做權(quán)限校驗(yàn)?基于業(yè)務(wù)資源敏感度做權(quán)限校驗(yàn)?異于系統(tǒng)規(guī)定的閑時(shí)/