腾讯安全：平战结合趋势下的攻防演练活动如何开展-办公网如何做到“零”失分2023

平战结合趋势下的攻防演练活动如何开展--办公网如何做到“零”失分攻防演练活动趋势攻防演练活动趋势办公网如何做到“零”失分2019年2019年攻击、0Day漏洞利用等流行2021年接近实战的攻击技战术，检验防守方针对指定目标业务系统进行模拟定向攻击，检验防守企业安2018年2018年2016年规定动作进行检查，2020年2016年规定动作进行检查，2020年信息，包括各种对外暴露的互联网资产，信息，包括各种对外暴露的互联网资产，）：）：成对终端的控制，实现突破；）： ,寻找高价值主机，通过多次横移后最侦查阶段侦查阶段突防阶段突防阶段横向移动反渗透横向移动②集团内网生产区①②②③\供应商/营业部管理区③子公司③②集团内网生产区①②②③\供应商/营业部管理区③子公司③标③DMZ墙墙墙域厂为什么“分支接入”与“供应链接入”会成为被重点针对的突破口痛点）⼀、相较于总部员⼯及对应设备，分⽀与供应链的⼈与设备更容易被收集信息、社⼯和实施钓⻥（易突破）⼆、通过分⽀与供应链进⾏突破渗透的攻击⾏为会更隐蔽，难以及时响应（难被发现）三、由于业务优先与管理疏忽等问题，很多时候拿下分⽀与供应链单点收益与突破内⺴收益相近，甚⾄更⾼（攻击收益⾼）“多分支接入”挑战“供应链接入”挑战↓攻防演练活动趋势攻防演练活动趋势办公网如何做到“零”失分更好的安全抓手更好的安全抓手针对风险接入场景落地更精细的管控“供应链接入”挑战“多分支接入”挑战路腾讯零信任解决⽅案–提供办公⽹安全短板补齐的新思路221分公司分公司分支营业部分支营业部22事前事前事中事中事后事后让安全服务于业务让业务成为安全的抓手让安全服务于业务确保业务所能够服务的所有用户和设备都是安全状态可视与可控的让安全软件不仅有对IT团队的管理/安全确保业务所能够服务的所有用户和设备都是安全状态可视与可控的iOAiOAVPN脆弱性多，且容易被利用，已不适合作为远程接入的重要基础设施架构安全SPA单包授权（难被发现）、以攻促防（难被攻击）、控制层与脆弱性多，且容易被利用，已不适合作为远程接入的重要基础设施架构安全 全支持对终端指纹、指纹进行检查和校验终端安全全支持对终端指纹、指纹进行检查和校验终端安全更好的更好的单通道长连接模式，由于设备中的连接都需要复用单一tcp连接，因此任意业务发生丢包都会影响其他业务的传户体验用户体验更高的用户访问业务网站时，零信任网关才会转发用户更高的用户访问业务网站时，零信任网关才会转发用户无需考虑多平台建设或复杂集群，大大减少理效率管理效率统一的访问访问审计与策略管理，避免重统一的访问访问审计与策略管理，避免重内⽣安全能⼒–利⽤业务抓⼿，对接⼊设备进⾏脆iOA贯穿企业从资产管理到脆弱性加固的全生命周期，通过与可信接入能力深度联动，形成一体化的零信任解决方案联动：可信接入联动联动：可信接入联动•RDP登录联动MFA认证策略广度：资产汇聚（统一管理视角）•全平台Agent客户端（PC/移动/信创）深度：资产梳理（全面掌握资产信息）•资产基本/软件/硬件信息采集关联：资产绑定（重塑身份与资产关系）聚类：智能分组（满足各种管理场景）管理：终端管控加固•高危端口/违规进程/风险服务管控防御：安全防护加固资产可视终端可管自身：运维管理（IT运维保障）硬件：终端管控（桌面管理保障）•进程/服务/网络端口管控软件：软件管控（软件管理保障）基线场景：安全基线脆弱性漏洞场景：漏洞脆弱性•Office组件漏洞管理运维场景：IT运维脆弱性内⽣安全能⼒–利⽤业务做抓⼿，构建零死⾓的⽴体化⼊侵⾏从入侵者视角，围绕入侵攻击链的四个关键环节中的三大环节，结合腾讯的安全大数据与攻防经验积累，构建设备威胁对抗防线侦查阶段突防阶段突防阶段横向移动横向移动后渗透后渗透内网持续渗透行为防御横向行为防御内网持续渗透行为防御横向行为防御漏洞利用行为防御流量侧识别拦截RPC行为防护恶意进程注入检测伪造绕过行为检测热补丁（二进制防御）敏感共享防护域控攻击防御网络扫描行为检测漏洞行为检测漏洞利用行为防御流量侧识别拦截RPC行为防护恶意进程注入检测伪造绕过行为检测热补丁（二进制防御）敏感共享防护域控攻击防御网络扫描行为检测漏洞行为检测钓鱼识别钓鱼行为文件追踪文件特征检测文件特征检测钓鱼攻击行为分析回连接受指令执行&持久化驻留&凭据窃取&信息收集&横向移动等创建启动项内存加载IP/Port扫描漏洞利用WMI/SMB/PtH/PtT横向密码破解初始访问（投递样本）IM投递初始访问（投递样本）IM投递定向角色投递★外联通信★外联通信技术对抗躲避杀软（持续对抗，难以根治）★社工突防腾讯钓鱼防护方案看得见防得住来源路径监测看得见防得住来源路径监测文件形态识别联网零信任审计联网零信任审计……核心思路：对高危渠道落地文件进行外联监测和关联分析，确保“看得见”&“防得住”段进一一头一尾段进一一头一尾关联行为监测，攻击者无法绕过132132腾讯是唯一有云+管+端产品联动腾讯是唯一有云+管+端产品联动腾讯有丰富的通信（IM工具，邮箱）终端安全治理经验与一手威胁情报横移横移路径分析域控攻击2域控攻击2域控服务11腾讯横移防护方案防御思路：防御思路：事前安全基线加固，事中可疑行为零信任审计 本地账号网络认证高危端口管控终端横移行为覆盖100%横移技术(深度)横移技术(深度)友商二友商一横移场景的覆盖广度和对抗深度遥遥领先行业最小化按需授权•RBAC授权管理最小化按需授权•RBAC授权管理风险驱动自适应访问收敛资产暴露面收敛资产暴露面•端口隐藏（SPA）攻击者越权用户1、管理成本低：数据驱动运营，极低的管理投入即可实现最小化授权1、收敛攻击面：提升恶意用户侵害企业重要资产的难度2、生产力负担小：“按需授权+精准防控”，充分兼顾业务访问需求2、收敛风险面：降低风险通过访问主体扩散的概率•VPN类接入服务暴露端口风险极大传统VPN对外暴露端口，配合扫描工具，攻击方可快速利用VPN0day漏洞（eg.20/21年xx服vpn高并发场景：SPA处理效率高携带SPA包的可信终端SPA单包授权安全机制建立TLS连接携带合法携带SPA包的可信终端SPA单包授权安全机制建立TLS连接携带合法未携带SPA包的终端建立TLS连接未携带合SPASPA单包授权安全机制不对外暴露服务端口，扫描器无法扫描到，有不对外暴露服务端口，扫描器无法扫描到，有【增强型SPA】支持UDP/TCPSYN/ICMP三种敲门方式，适配复杂网络场景【多端支持】支持Windows/MacOS/Android/iOS多系统最⼩化授权访问–权限治理企业/机构的业务现状及痛点痛点：权限运营难兼顾管理效率，用户体验•授权粗放，并非最小化授权，风险与资产的隔离效果差企业/机构的诉求）：）：•用户可以根据所属部门或角色自动继承权限，无需额外申请即可访问）：•仅授予用户常规业务需要的访问权限，最小化收敛暴露面最⼩化授权访问–⾃适应访问风险隔离控制持续监控终端可信环境，根据不可信的评估结果动态降权/阻断/要求二次身份验证，保障企业业务安全•基于业务资源敏感度做权限校验•基于业务资源敏感度做权限校验•异于系统规定的闲时/