騰訊安全：平戰(zhàn)結(jié)合趨勢下的攻防演練活動如何開展-辦公網(wǎng)如何做到“零”失分2023

平戰(zhàn)結(jié)合趨勢下的攻防演練活動如何開展--辦公網(wǎng)如何做到“零”失分攻防演練活動趨勢攻防演練活動趨勢辦公網(wǎng)如何做到“零”失分2019年2019年攻擊、0Day漏洞利用等流行2021年接近實戰(zhàn)的攻擊技戰(zhàn)術(shù)，檢驗防守方針對指定目標(biāo)業(yè)務(wù)系統(tǒng)進(jìn)行模擬定向攻擊，檢驗防守企業(yè)安2018年2018年2016年規(guī)定動作進(jìn)行檢查，2020年2016年規(guī)定動作進(jìn)行檢查，2020年信息，包括各種對外暴露的互聯(lián)網(wǎng)資產(chǎn)，信息，包括各種對外暴露的互聯(lián)網(wǎng)資產(chǎn)，）：）：成對終端的控制，實現(xiàn)突破；）： ,尋找高價值主機(jī)，通過多次橫移后最偵查階段偵查階段突防階段突防階段橫向移動反滲透橫向移動②集團(tuán)內(nèi)網(wǎng)生產(chǎn)區(qū)①②②③\供應(yīng)商/營業(yè)部管理區(qū)③子公司③②集團(tuán)內(nèi)網(wǎng)生產(chǎn)區(qū)①②②③\供應(yīng)商/營業(yè)部管理區(qū)③子公司③標(biāo)③DMZ墻墻墻域廠為什么“分支接入”與“供應(yīng)鏈接入”會成為被重點針對的突破口痛點）?、相較于總部員?及對應(yīng)設(shè)備，分?與供應(yīng)鏈的?與設(shè)備更容易被收集信息、社?和實施釣?（易突破）?、通過分?與供應(yīng)鏈進(jìn)?突破滲透的攻擊?為會更隱蔽，難以及時響應(yīng)（難被發(fā)現(xiàn)）三、由于業(yè)務(wù)優(yōu)先與管理疏忽等問題，很多時候拿下分?與供應(yīng)鏈單點收益與突破內(nèi)?收益相近，甚?更?（攻擊收益?）“多分支接入”挑戰(zhàn)“供應(yīng)鏈接入”挑戰(zhàn)↓攻防演練活動趨勢攻防演練活動趨勢辦公網(wǎng)如何做到“零”失分更好的安全抓手更好的安全抓手針對風(fēng)險接入場景落地更精細(xì)的管控“供應(yīng)鏈接入”挑戰(zhàn)“多分支接入”挑戰(zhàn)路騰訊零信任解決?案–提供辦公?安全短板補(bǔ)齊的新思路221分公司分公司分支營業(yè)部分支營業(yè)部22事前事前事中事中事后事后讓安全服務(wù)于業(yè)務(wù)讓業(yè)務(wù)成為安全的抓手讓安全服務(wù)于業(yè)務(wù)確保業(yè)務(wù)所能夠服務(wù)的所有用戶和設(shè)備都是安全狀態(tài)可視與可控的讓安全軟件不僅有對IT團(tuán)隊的管理/安全確保業(yè)務(wù)所能夠服務(wù)的所有用戶和設(shè)備都是安全狀態(tài)可視與可控的iOAiOAVPN脆弱性多，且容易被利用，已不適合作為遠(yuǎn)程接入的重要基礎(chǔ)設(shè)施架構(gòu)安全SPA單包授權(quán)（難被發(fā)現(xiàn)）、以攻促防（難被攻擊）、控制層與脆弱性多，且容易被利用，已不適合作為遠(yuǎn)程接入的重要基礎(chǔ)設(shè)施架構(gòu)安全 全支持對終端指紋、指紋進(jìn)行檢查和校驗終端安全全支持對終端指紋、指紋進(jìn)行檢查和校驗終端安全更好的更好的單通道長連接模式，由于設(shè)備中的連接都需要復(fù)用單一tcp連接，因此任意業(yè)務(wù)發(fā)生丟包都會影響其他業(yè)務(wù)的傳戶體驗用戶體驗更高的用戶訪問業(yè)務(wù)網(wǎng)站時，零信任網(wǎng)關(guān)才會轉(zhuǎn)發(fā)用戶更高的用戶訪問業(yè)務(wù)網(wǎng)站時，零信任網(wǎng)關(guān)才會轉(zhuǎn)發(fā)用戶無需考慮多平臺建設(shè)或復(fù)雜集群，大大減少理效率管理效率統(tǒng)一的訪問訪問審計與策略管理，避免重統(tǒng)一的訪問訪問審計與策略管理，避免重內(nèi)?安全能?–利?業(yè)務(wù)抓?，對接?設(shè)備進(jìn)?脆iOA貫穿企業(yè)從資產(chǎn)管理到脆弱性加固的全生命周期，通過與可信接入能力深度聯(lián)動，形成一體化的零信任解決方案聯(lián)動：可信接入聯(lián)動聯(lián)動：可信接入聯(lián)動?RDP登錄聯(lián)動MFA認(rèn)證策略廣度：資產(chǎn)匯聚（統(tǒng)一管理視角）?全平臺Agent客戶端（PC/移動/信創(chuàng)）深度：資產(chǎn)梳理（全面掌握資產(chǎn)信息）?資產(chǎn)基本/軟件/硬件信息采集關(guān)聯(lián)：資產(chǎn)綁定（重塑身份與資產(chǎn)關(guān)系）聚類：智能分組（滿足各種管理場景）管理：終端管控加固?高危端口/違規(guī)進(jìn)程/風(fēng)險服務(wù)管控防御：安全防護(hù)加固資產(chǎn)可視終端可管自身：運(yùn)維管理（IT運(yùn)維保障）硬件：終端管控（桌面管理保障）?進(jìn)程/服務(wù)/網(wǎng)絡(luò)端口管控軟件：軟件管控（軟件管理保障）基線場景：安全基線脆弱性漏洞場景：漏洞脆弱性?Office組件漏洞管理運(yùn)維場景：IT運(yùn)維脆弱性內(nèi)?安全能?–利?業(yè)務(wù)做抓?，構(gòu)建零死?的?體化?侵?從入侵者視角，圍繞入侵攻擊鏈的四個關(guān)鍵環(huán)節(jié)中的三大環(huán)節(jié)，結(jié)合騰訊的安全大數(shù)據(jù)與攻防經(jīng)驗積累，構(gòu)建設(shè)備威脅對抗防線偵查階段突防階段突防階段橫向移動橫向移動后滲透后滲透內(nèi)網(wǎng)持續(xù)滲透行為防御橫向行為防御內(nèi)網(wǎng)持續(xù)滲透行為防御橫向行為防御漏洞利用行為防御流量側(cè)識別攔截RPC行為防護(hù)惡意進(jìn)程注入檢測偽造繞過行為檢測熱補(bǔ)?。ǘM(jìn)制防御）敏感共享防護(hù)域控攻擊防御網(wǎng)絡(luò)掃描行為檢測漏洞行為檢測漏洞利用行為防御流量側(cè)識別攔截RPC行為防護(hù)惡意進(jìn)程注入檢測偽造繞過行為檢測熱補(bǔ)丁（二進(jìn)制防御）敏感共享防護(hù)域控攻擊防御網(wǎng)絡(luò)掃描行為檢測漏洞行為檢測釣魚識別釣魚行為文件追蹤文件特征檢測文件特征檢測釣魚攻擊行為分析回連接受指令執(zhí)行&持久化駐留&憑據(jù)竊取&信息收集&橫向移動等創(chuàng)建啟動項內(nèi)存加載IP/Port掃描漏洞利用WMI/SMB/PtH/PtT橫向密碼破解初始訪問（投遞樣本）IM投遞初始訪問（投遞樣本）IM投遞定向角色投遞★外聯(lián)通信★外聯(lián)通信技術(shù)對抗躲避殺軟（持續(xù)對抗，難以根治）★社工突防騰訊釣魚防護(hù)方案看得見防得住來源路徑監(jiān)測看得見防得住來源路徑監(jiān)測文件形態(tài)識別聯(lián)網(wǎng)零信任審計聯(lián)網(wǎng)零信任審計……核心思路：對高危渠道落地文件進(jìn)行外聯(lián)監(jiān)測和關(guān)聯(lián)分析，確?！翱吹靡姟?“防得住”段進(jìn)一一頭一尾段進(jìn)一一頭一尾關(guān)聯(lián)行為監(jiān)測，攻擊者無法繞過132132騰訊是唯一有云+管+端產(chǎn)品聯(lián)動騰訊是唯一有云+管+端產(chǎn)品聯(lián)動騰訊有豐富的通信（IM工具，郵箱）終端安全治理經(jīng)驗與一手威脅情報橫移橫移路徑分析域控攻擊2域控攻擊2域控服務(wù)11騰訊橫移防護(hù)方案防御思路：防御思路：事前安全基線加固，事中可疑行為零信任審計 本地賬號網(wǎng)絡(luò)認(rèn)證高危端口管控終端橫移行為覆蓋100%橫移技術(shù)(深度)橫移技術(shù)(深度)友商二友商一橫移場景的覆蓋廣度和對抗深度遙遙領(lǐng)先行業(yè)最小化按需授權(quán)?RBAC授權(quán)管理最小化按需授權(quán)?RBAC授權(quán)管理風(fēng)險驅(qū)動自適應(yīng)訪問收斂資產(chǎn)暴露面收斂資產(chǎn)暴露面?端口隱藏（SPA）攻擊者越權(quán)用戶1、管理成本低：數(shù)據(jù)驅(qū)動運(yùn)營，極低的管理投入即可實現(xiàn)最小化授權(quán)1、收斂攻擊面：提升惡意用戶侵害企業(yè)重要資產(chǎn)的難度2、生產(chǎn)力負(fù)擔(dān)?。骸鞍葱枋跈?quán)+精準(zhǔn)防控”，充分兼顧業(yè)務(wù)訪問需求2、收斂風(fēng)險面：降低風(fēng)險通過訪問主體擴(kuò)散的概率?VPN類接入服務(wù)暴露端口風(fēng)險極大傳統(tǒng)VPN對外暴露端口，配合掃描工具，攻擊方可快速利用VPN0day漏洞（eg.20/21年xx服vpn高并發(fā)場景：SPA處理效率高攜帶SPA包的可信終端SPA單包授權(quán)安全機(jī)制建立TLS連接攜帶合法攜帶SPA包的可信終端SPA單包授權(quán)安全機(jī)制建立TLS連接攜帶合法未攜帶SPA包的終端建立TLS連接未攜帶合SPASPA單包授權(quán)安全機(jī)制不對外暴露服務(wù)端口，掃描器無法掃描到，有不對外暴露服務(wù)端口，掃描器無法掃描到，有【增強(qiáng)型SPA】支持UDP/TCPSYN/ICMP三種敲門方式，適配復(fù)雜網(wǎng)絡(luò)場景【多端支持】支持Windows/MacOS/Android/iOS多系統(tǒng)最?化授權(quán)訪問–權(quán)限治理企業(yè)/機(jī)構(gòu)的業(yè)務(wù)現(xiàn)狀及痛點痛點：權(quán)限運(yùn)營難兼顧管理效率，用戶體驗?授權(quán)粗放，并非最小化授權(quán)，風(fēng)險與資產(chǎn)的隔離效果差企業(yè)/機(jī)構(gòu)的訴求）：）：?用戶可以根據(jù)所屬部門或角色自動繼承權(quán)限，無需額外申請即可訪問）：?僅授予用戶常規(guī)業(yè)務(wù)需要的訪問權(quán)限，最小化收斂暴露面最?化授權(quán)訪問–?適應(yīng)訪問風(fēng)險隔離控制持續(xù)監(jiān)控終端可信環(huán)境，根據(jù)不可信的評估結(jié)果動態(tài)降權(quán)/阻斷/要求二次身份驗證，保障企業(yè)業(yè)務(wù)安全?基于業(yè)務(wù)資源敏感度做權(quán)限校驗?基于業(yè)務(wù)資源敏感度做權(quán)限校驗?異于系統(tǒng)規(guī)定的閑時/