近年來����,攻防演練趨于常態(tài)化、實(shí)戰(zhàn)化����,實(shí)網(wǎng)演練時(shí)間拉長、參與主體增多�����、安全挑戰(zhàn)升級,對企業(yè)安全建設(shè)提出了更高的要求�。在當(dāng)前的攻防對抗條件下,特別是在AIGC等新興技術(shù)的發(fā)展推動(dòng)下��,出現(xiàn)了哪些最新�����、最難防守的攻擊手法��?面對挑戰(zhàn)升級�����,金融企業(yè)如何利用新的理念和技術(shù)產(chǎn)品提升自身實(shí)戰(zhàn)能力�?以及未來,攻防演練的方式和趨勢將發(fā)生哪些變化�?
12月19日,騰訊安全聯(lián)合數(shù)世咨詢��、金科創(chuàng)新社舉辦“企業(yè)安全����,攻防有道——企業(yè)在攻防演練中的實(shí)戰(zhàn)智慧”直播研討會,由數(shù)世咨詢創(chuàng)始人李少鵬主持����,并邀請到北銀金融科技有限責(zé)任公司安全團(tuán)隊(duì)負(fù)責(zé)人張勇、騰訊安全玄武實(shí)驗(yàn)室高級攻防專家丁天澤�����、騰訊安全云鼎實(shí)驗(yàn)室高級安全服務(wù)專家藍(lán)江平�����,圍繞攻防實(shí)戰(zhàn)化現(xiàn)狀與未來趨勢的變化展開專業(yè)討論�����,分享典型攻防案例及防御經(jīng)驗(yàn)分享�,探尋攻防常態(tài)化趨勢下的金融安全發(fā)展路徑。
攻擊視角
最新攻擊手法具備什么特點(diǎn)�?
李少鵬:聚焦金融行業(yè),目前存在哪些難以防御的新型攻擊手段��?它們各自有哪些特點(diǎn)��,使得傳統(tǒng)安全措施難以有效應(yīng)對�?
丁天澤:基于攻擊方視角�,隨著攻防演練的深入�����,攻防常態(tài)化和時(shí)間延長為攻擊方提供了更多機(jī)會針對高難度目標(biāo)�����,特別是在國產(chǎn)化趨勢下�����,國內(nèi)軟件逐漸替代原有產(chǎn)品時(shí)出現(xiàn)的0day漏洞成為攻擊方關(guān)注的重點(diǎn)�����,此外�����,企業(yè)在更新IT基礎(chǔ)設(shè)施時(shí)可能引入新的安全弱點(diǎn)�,為攻擊者提供可乘之機(jī)。
不同于依賴明顯的安全漏洞��,單點(diǎn)登錄系統(tǒng)(SSO)攻擊����、非常規(guī)入口RCE漏洞和邏輯漏洞這兩類新型攻擊手法的特點(diǎn)在于利用現(xiàn)有系統(tǒng)的正常功能和邏輯缺陷,使得傳統(tǒng)安全防護(hù)機(jī)制難以有效應(yīng)對�。
藍(lán)江平:從防守方視角來看,當(dāng)前的攻防技戰(zhàn)術(shù)變化不大����,常見的攻擊手法仍為0day漏洞利用、Web攻擊�、供應(yīng)鏈攻擊及社會工程釣魚等傳統(tǒng)方式,盡管手法老套但仍具威脅�����。大型企業(yè)的做法是繼續(xù)遵循體系化防御策略�����,涵蓋代碼審計(jì)����、滲透測試與整體安全防護(hù),企業(yè)還需關(guān)注合法用戶的異常行為和提高告警的準(zhǔn)確性和置信度����,以有效應(yīng)對威脅�����。
李少鵬:以上提到的攻擊手法�����,是不是目前在金融行業(yè)碰到的數(shù)量最多的��?
張勇:金融行業(yè)業(yè)務(wù)模式廣泛��,線上線下渠道眾多��,包括APP��、小程序��、H5等互聯(lián)網(wǎng)系統(tǒng)和線下網(wǎng)點(diǎn)的智能終端�����,這使得攻防范圍更廣�����,需要關(guān)注更多潛在的安全威脅��。另外��,0day和API都是當(dāng)下仍需關(guān)注的挑戰(zhàn)��,特別0day總是防不勝防�,對此��,我們團(tuán)隊(duì)成立了“精衛(wèi)安全攻防實(shí)驗(yàn)室”����,專注于攻防技術(shù)研究,利用大模型進(jìn)行自動(dòng)化信息收集�����,提高攻擊演練效率�。
李少鵬:除了研究0day外,還有哪些方便公開透露的攻擊手法嗎�����?
丁天澤:隨著攻防演練時(shí)間的延長��,攻擊方策略從快速直接轉(zhuǎn)向慢速隱蔽,攻擊者開始轉(zhuǎn)向更具行業(yè)屬性的釣魚方式����,如招投標(biāo)或項(xiàng)目合作等,并且更加注重利用與目標(biāo)行業(yè)業(yè)務(wù)強(qiáng)相關(guān)的情境進(jìn)行釣魚攻擊�。由于攻擊者更了解防守方的培訓(xùn)和防范措施,因此能夠設(shè)計(jì)出更隱蔽�、更難以被識別的攻擊手法,以提高攻擊的成功率�����。
李少鵬:隨著AI在防守方應(yīng)用日益廣泛�,攻擊方是否也大量在使用AI輔助,具體方式和效果如何����?
丁天澤:攻擊方利用AI生成高度定制化的釣魚郵件內(nèi)容,同時(shí)AI被用于加速信息收集過程�,處理大量非標(biāo)準(zhǔn)化文本信息,如從外部網(wǎng)絡(luò)和API文檔中提取關(guān)鍵數(shù)據(jù)��,大幅節(jié)省了人力和時(shí)間�����。在工具開發(fā)方面,AI輔助編寫滲透測試所需的定制化腳本和工具�,通過生成接近完成的代碼,使攻擊者只需稍作修改即可使用����,極大地提高了生產(chǎn)力。幾乎所有的釣魚攻擊都已經(jīng)接入AI能力�,成為標(biāo)準(zhǔn)流程的一部分。
防御視角
金融機(jī)構(gòu)攻防對抗最佳實(shí)踐
李少鵬:針對釣魚工程��,防守側(cè)除了意識培訓(xùn)��,有沒有哪些具體的防社工釣魚的方法�����?
藍(lán)江平:面對不斷演化的社會工程釣魚攻擊�����,目前形式主要有郵件�����、即時(shí)通訊(IM)工具(如企業(yè)微信����、釘釘?shù)龋㈦娫捄投绦诺?����,防守方需要采取多層面的防御策略�����,包括技術(shù)防御和人員培訓(xùn)��,信息收集和對抗都十分重要��。當(dāng)然無論什么技術(shù)�����,最后還是要回到保護(hù)信息資產(chǎn)的本源上來�����。
李少鵬:銀行等金融機(jī)構(gòu)作為攻防演練中的防守方��,如何構(gòu)建有效的安全體系�?如何進(jìn)行員工意識培訓(xùn)以應(yīng)對潛在的安全威脅�����,可以制定怎樣的策略����?
張勇:在員工安全意識層面�,采用定期安全培訓(xùn)和考試,將培訓(xùn)成績與部門績效掛鉤����,同時(shí),使用郵件網(wǎng)關(guān)和安全沙箱技術(shù)來攔截釣魚郵件�����,并探索利用大模型進(jìn)行內(nèi)容檢測和識別��,為員工提供一個(gè)安全助手入口����;在應(yīng)急響應(yīng)方面����,建立快速監(jiān)控和響應(yīng)機(jī)制�,采用SOAR技術(shù)提高響應(yīng)速度��,并創(chuàng)建線上作戰(zhàn)室以快速集結(jié)相關(guān)人員分析研判可疑攻擊�。此外,引入AI技術(shù)進(jìn)行告警關(guān)聯(lián)分析并保持長期警惕和實(shí)施24小時(shí)值守輪班制度����,來確保全天候的監(jiān)控和響應(yīng)能力。
李少鵬:隨著攻防演練時(shí)間拉長�����,怎么平衡好攻防演練和人員精力關(guān)系��?
張勇:的確�����,常態(tài)化的攻防演練在提高企業(yè)防御能力的同時(shí)也帶來了資金和資源的投入����,需要找到合適的平衡點(diǎn)。在人員動(dòng)員方面�����,非專業(yè)安全人員如運(yùn)維團(tuán)隊(duì)可以通過培訓(xùn)和溝通參與到高強(qiáng)度的防守工作中,提高整體安全防護(hù)����。對于運(yùn)維與安全的一體化趨勢,大型機(jī)構(gòu)由于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場景的復(fù)雜性�����,運(yùn)維和安全崗位可能會保持細(xì)分�,但在中小企業(yè)中可能會出現(xiàn)一體化的趨勢。在管理層面��,一些銀行機(jī)構(gòu)已經(jīng)實(shí)現(xiàn)了安全部門和運(yùn)維部門的融合����,以實(shí)現(xiàn)更好的協(xié)同工作。
新產(chǎn)品�����、新理念
企業(yè)實(shí)戰(zhàn)能力提升路徑
李少鵬:如何將攻防演練中采購的服務(wù)和能力融入企業(yè)日常的業(yè)務(wù)和經(jīng)營管理呢�����?這不是技術(shù)問題�����,而是一個(gè)管理問題�����。
藍(lán)江平:安全產(chǎn)品需要從單純的合規(guī)驅(qū)動(dòng)轉(zhuǎn)向?qū)崙?zhàn)效能驅(qū)動(dòng)�����,通過引入如BAS�、EM等新技術(shù)和工具,結(jié)合自動(dòng)化攻擊模擬與驗(yàn)證�����,以及安全托管平臺的應(yīng)用����,來全面提升企業(yè)的防護(hù)能力和響應(yīng)效率。騰訊安全新的解決方案:
-
BAS(模擬攻擊系統(tǒng)):騰訊安全云鼎實(shí)驗(yàn)室自研的BAS系統(tǒng)�����,結(jié)合EM(企業(yè)資產(chǎn)監(jiān)控)工具�����,能夠持續(xù)發(fā)現(xiàn)企業(yè)對外發(fā)布的資產(chǎn)情況,并實(shí)時(shí)探測已知或未知的漏洞����。這不僅提高了漏洞發(fā)現(xiàn)的及時(shí)性,還能驗(yàn)證現(xiàn)有防護(hù)措施的有效性�����。
-
自動(dòng)化與驗(yàn)證結(jié)合:通過自動(dòng)化攻擊模擬和安全驗(yàn)證相結(jié)合的方式�,可以實(shí)現(xiàn)7×24小時(shí)的常態(tài)化防護(hù),減少對大量人力的依賴�,同時(shí)提高效率并降低成本。
-
安全托管平臺(MS):將應(yīng)急響應(yīng)流程數(shù)字化�,使事件處理更加高效,確保事件主動(dòng)找人而非人去找事件����,提升了整體響應(yīng)速度和準(zhǔn)確性。
李少鵬:未來�����,攻擊手法會有哪些方面的變化�����?
丁天澤:攻擊常態(tài)化的背景下�,攻擊手法日益隱蔽,AI技術(shù)的加持以及企業(yè)海外業(yè)務(wù)防御不足����,就需要特別注意海外業(yè)務(wù)的安全防御,以彌補(bǔ)演練中的盲區(qū)����,注意提前為海外業(yè)務(wù)制定防御預(yù)案,以應(yīng)對實(shí)際威脅����。
藍(lán)江平:事實(shí)上在防守方面只要服務(wù)方能提供真正的價(jià)值,如提供可靠技術(shù)工具產(chǎn)品�����、建立客戶信任�����、產(chǎn)品本身的經(jīng)驗(yàn)沉淀,以及服務(wù)方在幫助甲方提升安全能力方面的作用�,這些做足了就能贏得客戶的信任和采用。
張勇:希望供應(yīng)商在未來能夠更加積極主動(dòng)地進(jìn)行戰(zhàn)時(shí)情報(bào)共享�,確保已發(fā)現(xiàn)的漏洞不會在合作伙伴之間反復(fù)被利用。
