騰訊安全：攻防場景驅(qū)動下的敏捷安全運營 -新攻防態(tài)勢下的核心能力建設(shè)

騰訊安全云鼎實驗室&安全服務(wù)專家工程師劉志高content 我們所處的時代03行業(yè)安全新探索09騰訊敏捷安全運營實踐14 部分能力分享演示26Part1我們所處的時代 檢測漏洞，創(chuàng)建PoCn 檢測漏洞，創(chuàng)建PoCnOpenAI在2022年11月30日發(fā)布了可以與人對話的AI機器人——n能夠非常好地完成多種任務(wù)：寫故事、寫代碼、找bug……n2023年1月底在中文社區(qū)火爆：“革命性”、“新紀(jì)元”、“重新定義”……逆向工程逆向工程shellcode?Gartner：99%的組織在其IT系統(tǒng)中使用了開源軟件?Gartner：現(xiàn)代軟件大多數(shù)是被“組裝”出來的，不是被“開發(fā)”出來的?Forrester：軟件開發(fā)中，80-90%的代碼來自于開源軟件傳統(tǒng)的IT架構(gòu)云技術(shù)/IOT等廣泛應(yīng)用 變化漏洞分布在傳統(tǒng)基礎(chǔ)設(shè)施漏洞擴(kuò)展到IoT設(shè)備、云產(chǎn)品新業(yè)業(yè)務(wù)開發(fā)模式系統(tǒng)交付效率系統(tǒng)生命周期硬件：1-3月/軟件：月-年業(yè)務(wù)較少迭代，變更周期較長系系統(tǒng)交付效率系統(tǒng)生命周期開發(fā)模式？天/？小時業(yè)務(wù)快速迭代，變更周期變短云基礎(chǔ)設(shè)施：毫秒/秒/分鐘級DevSecOps100毫秒-∞網(wǎng)絡(luò)威脅對象網(wǎng)絡(luò)威脅對象攻擊動機?比防守者更有效的共享信息?更專注自動化攻擊能力建設(shè)?更懂得團(tuán)隊資源整合力破解 (暴力破解成功)力破解 (暴力破解成功)件 (木馬/病毒/webshell等)件 (木馬/病毒/webshell等) (漏洞誤報等) (威脅情報、漏洞情報)授權(quán)事件 (控制臺操作)授權(quán)事件 (控制臺操作)SOC (命令執(zhí)行、遠(yuǎn)程提權(quán))SOC主機安全事件 (HIDS)泄露事件惡意事件 (密鑰泄露、代碼泄露等)?人才短缺，新技術(shù)知識不匹配?告警太多，人力處理不過來?缺乏對組織部分環(huán)境的可見性攻擊隊數(shù)量200攻擊隊數(shù)量200+供應(yīng)鏈廠商關(guān)聯(lián)數(shù)：供應(yīng)鏈廠商關(guān)聯(lián)數(shù)：0+Part2行業(yè)安全運營新探索安全人員應(yīng)該專注于安全，而不是基礎(chǔ)設(shè)施管理，利用額外的工時和人員來專注于更高階的挑戰(zhàn)——《Autonomic安全人員應(yīng)該專注于安全，而不是基礎(chǔ)設(shè)施管理，利用額外的工時和人員來專注于更高階的挑戰(zhàn)——《AutonomicSecurityOperations》安全運營專業(yè)人員應(yīng)該通過自動化在他們的計劃中尋求收益，但要有選擇性，領(lǐng)域?qū)＜姨峁┑哪繕?biāo)特定知識應(yīng)作為其核心平臺的一部分云資源是一個快速發(fā)展的新平臺，而云遙測處理借助了大規(guī)模分析、機器學(xué)習(xí)和行為分析的SaaS云服務(wù)，這些技術(shù)有助于快速提取價值，以滿足安全操作的時間敏感需求“自主安全運營是理念、實踐和工具的結(jié)合“自主安全運營是理念、實踐和工具的結(jié)合，可以改進(jìn)組織通過自適應(yīng)、敏捷和高度自動化的系統(tǒng)抵御安全攻擊的能力”““安全操作自動化正處于復(fù)興時期，我們看到了從通用安全自動化平臺到由領(lǐng)域?qū)＜翌I(lǐng)導(dǎo)的目標(biāo)驅(qū)動自動化的轉(zhuǎn)變”安全運營的轉(zhuǎn)型主要由以下趨勢驅(qū)動，安全運營的轉(zhuǎn)型主要由以下趨勢驅(qū)動，1)云資源覆蓋：安全運營必須檢測并響應(yīng)整個企業(yè)資產(chǎn)(包括云資源)的攻擊，2)云遙測處理，本地資源很難滿足安全操作對時間敏感的需求10X10X技術(shù)能力 (Technology) (People) (Process)更敏銳的風(fēng)險發(fā)現(xiàn)能力更全面的攻擊面管理能力更強的SaaS云安全能力云SaaS安全能力?比黑客更高效的情報共享能力?更精準(zhǔn)的目標(biāo)資產(chǎn)檢測定位?更成熟文檔的監(jiān)測體系?攻擊面管理能力?云原生資源覆蓋能力?風(fēng)險優(yōu)先級評估能力?基線行為分析能力?大規(guī)模分析?機器學(xué)習(xí)能力 (Process) (People)未來安全運營應(yīng)具備核心能力110X技術(shù)能力 (Technology)的安全響應(yīng)能力可追溯、審計的流程管理能力工單發(fā)送配置工單發(fā)送配置檢查威脅情報漏洞掃描告警通知審計?支持各類企業(yè)應(yīng)用?簡單的流程編排操作?成熟的安全能力模塊?豐富的企業(yè)應(yīng)用生態(tài)?快捷的編排操作?快速的流程運行 (People) (Process)110X技術(shù)能力 (Technology)智能化技術(shù)的應(yīng)用能力安全資源的整合能力AutomaticAutomaticBacktrack?安全人力資源及經(jīng)驗補充?增強最后安全缺失板塊?自動化流程構(gòu)建及實現(xiàn)?安全運營過程的回溯及審計PartPart3騰訊敏捷安全運營實踐分享WhatRisks?AmISecure?1.龐大的體系與快速迭代最多日均近10個新產(chǎn)品上線，日常N個版本發(fā)布2.復(fù)雜的產(chǎn)品形態(tài)與研發(fā)場景專有云、私有云、公有云、混合云3.多樣化的技術(shù)棧與架構(gòu)各種中間件、一些新型架構(gòu)等4.多重組織與人員結(jié)構(gòu)總部、子公司、投資全資子公司、外部企業(yè)正式員工、駐場外包、子公司員工、研發(fā)外包跨公司、跨BG、跨部門、跨業(yè)務(wù)線、跨中心風(fēng)險發(fā)現(xiàn)速度要快2.如何快速解決這些威脅？????2.如何快速解決這些威脅？????響應(yīng)處置3.安全防御體系是否有效？?????缺乏持續(xù)的安全防護(hù)有效性驗證?新的攻擊手法和經(jīng)驗難轉(zhuǎn)化?威脅數(shù)量級增長，SOC運營成本高?攻擊手段復(fù)雜化，人才短缺逐步加劇?如何更快速發(fā)現(xiàn)而少漏報？?較難發(fā)現(xiàn)供應(yīng)鏈安全風(fēng)險？實戰(zhàn)對抗中，面臨的現(xiàn)實安全問題???????洞監(jiān)測/掃描試???試/紅藍(lán)演練月報…?SOC/工單系統(tǒng)?自研運營平臺?…攻擊執(zhí)行持久化攻擊繞過橫向移動實施影響攻擊探測?攻擊執(zhí)行持久化攻擊繞過橫向移動實施影響攻擊探測?自動化、可視的運營處置能力?可持續(xù)的安全防護(hù)有效性驗證??如何更快速發(fā)現(xiàn)而少漏報？?無法發(fā)現(xiàn)供應(yīng)鏈安全風(fēng)險？??威脅數(shù)量級增長，SOC運營成本高?攻擊手段復(fù)雜化，人才短缺逐步加劇??缺乏持續(xù)的安全防護(hù)有效性驗證?新的攻擊手法和經(jīng)驗難轉(zhuǎn)化??快速、精準(zhǔn)、全面威脅感知能力度量化度量化分析學(xué)習(xí)檢測信息息處置可視驗證擊模擬…nnn度度量發(fā)現(xiàn)檢測報?威脅行為判定?應(yīng)急溯源分析?報?威脅行為判定?應(yīng)急溯源分析?聯(lián)動防御攔截?MTTR<10s?攻擊面管理?20+騰訊工具集?40+云資源覆蓋?MTTD<4h發(fā)現(xiàn)檢測響應(yīng)度量?組件漏洞監(jiān)測?0day漏洞監(jiān)測?PoC發(fā)布監(jiān)測?漏洞訂閱預(yù)警?500+情報源?25類渠道覆蓋?MTTD<30min?Github泄漏監(jiān)測?CSDN泄漏監(jiān)測?暗網(wǎng)交易監(jiān)測?100+監(jiān)測渠道?專職交易分析?MTTD<7min查漏補缺，新增情報源或規(guī)則完善調(diào)整策略，優(yōu)化情報監(jiān)測規(guī)則旁站分析，分析其他關(guān)聯(lián)渠道反向驗證，失效后開發(fā)新監(jiān)控節(jié)點持續(xù)利用監(jiān)控，變種輿情監(jiān)控……MTTD檢測響應(yīng)查漏補缺，新增情報源或規(guī)則完善調(diào)整策略，優(yōu)化情報監(jiān)測規(guī)則旁站分析，分析其他關(guān)聯(lián)渠道反向驗證，失效后開發(fā)新監(jiān)控節(jié)點持續(xù)利用監(jiān)控，變種輿情監(jiān)控……漏漏洞情報運營MTTD30min典型問題漏報漏報誤報誤報網(wǎng)網(wǎng)站改版渠渠道失效覆蓋近500家一手情報源，支持上千種組件訂閱，提升情報精準(zhǔn)度和自閉環(huán)率30~60<0.2%監(jiān)測運營階段漏報解決漏報解決誤誤報解決解決措施解決措施失失效解決……運營微信群&朋友圈外部論壇公眾號TG/Twitter攻擊手段情報最新漏微信群&朋友圈外部論壇公眾號TG/Twitter攻擊手段情報最新漏洞情報提供暗網(wǎng)數(shù)據(jù)泄漏監(jiān)測服務(wù)，針對客戶資產(chǎn)、品牌、人員、系統(tǒng)等進(jìn)行暗網(wǎng)監(jiān)測，監(jiān)測渠道覆蓋Telegram、暗網(wǎng)以及數(shù)據(jù)交易論壇等渠道。發(fā)現(xiàn)檢測響應(yīng)度量重保期重保期間國家護(hù)網(wǎng)期間，提供專項情報監(jiān)控，監(jiān)控包括來自微信群、安全論壇、公眾號等渠道的情報，覆蓋0day、PoC、釣魚情報、攻擊手法、失陷情報等內(nèi)容。攻擊者攻擊者特征情報行攔截及行業(yè)調(diào)整動態(tài)，便于調(diào)整防護(hù)策略開是否存在新突破口洞、釣魚社工等情于自檢自糾?開源組件及框架?網(wǎng)站指紋?……??開源組件及框架?網(wǎng)站指紋?……?云產(chǎn)品資源?分公司/子公司?供應(yīng)商?安全產(chǎn)品?……?AK/SK泄漏?泄漏的代碼?失陷的主機?泄漏的數(shù)據(jù)庫?……?安全漏洞?配置不當(dāng)風(fēng)險?管理后臺?……發(fā)現(xiàn)檢測響應(yīng)度量?IP/域名/證書?開放端口/應(yīng)用服務(wù)?NTP?DNS?……??IoT設(shè)備?影子資產(chǎn)??第三方資產(chǎn)?……?員工手機號/郵箱?微信號/微博號/小紅書號?脈脈?……在1初始訪問階段，提前識別在1初始訪問階段，提前識別攻擊者獲取到的脆弱資產(chǎn)信息和旁路攻擊路徑62攻擊視角下的有效防守發(fā)現(xiàn)檢測響應(yīng)度量視角，在基礎(chǔ)風(fēng)險識別之上，覆蓋包括資產(chǎn)、供應(yīng)鏈、人員等相關(guān)安全風(fēng)險攻擊視角下的有效防守222執(zhí)行6憑據(jù)獲取5逃避檢測2執(zhí)行48 6在2執(zhí)行階段階段，捕獲攻擊者利用漏洞、配置、敏感信息等執(zhí)行攻擊，建立立足點6在6憑據(jù)獲取階段，分析攻擊者在內(nèi)、外網(wǎng)收集登陸憑據(jù)，擴(kuò)大訪問權(quán)限，阻止接近靶標(biāo)工具動作工具動作發(fā)現(xiàn)檢測響應(yīng)度量自動化能力迭自動化能力迭代[precedure]流程標(biāo)準(zhǔn)化 (process]標(biāo)準(zhǔn)化 (project)服服務(wù)全流程項目場景Then：人工流轉(zhuǎn)為主1、編寫處置工作流2、實施同步運營結(jié)果IP封禁審批工作流聊天工具確認(rèn)IPThen：人工流轉(zhuǎn)為主1、編寫處置工作流2、實施同步運營結(jié)果IP封禁審批工作流聊天工具確認(rèn)IP是否封禁？發(fā)現(xiàn)檢測響應(yīng)度量NowNow：自動化主導(dǎo)的重保場景IP封禁告告警篩選分析?對重復(fù)高頻告警信息聚合?自定義過濾高危告警IP情報標(biāo)記?利用威脅情報數(shù)據(jù)進(jìn)行分析告警關(guān)聯(lián)分析P溝溝通確認(rèn)封禁操作?梳理待封禁IP列表?準(zhǔn)備封禁確認(rèn)話術(shù)策略網(wǎng)絡(luò)層：防火墻入侵防御攔截IP主機層：安全組/FW策略添加同步封禁結(jié)論?安全有效性驗證(BAS)?滲透測試?紅藍(lán)對抗?安全有效性驗證(BAS)?滲透測試?紅藍(lán)對抗?安全運營風(fēng)險度量?安全卓越榜/信譽積分?安全意識培訓(xùn)?業(yè)務(wù)基線行為分析?機器學(xué)習(xí)能力?大規(guī)模計算能力?云SaaS安全掃描(存儲桶/ACL等)發(fā)現(xiàn)檢測響應(yīng)