近年來,攻防演練趨于常態(tài)化�、實(shí)戰(zhàn)化,實(shí)網(wǎng)演練時(shí)間拉長��、參與主體增多��、安全挑戰(zhàn)升級(jí)�����,對(duì)企業(yè)安全建設(shè)提出了更高的要求�����。在當(dāng)前的攻防對(duì)抗條件下,特別是在AIGC等新興技術(shù)的發(fā)展推動(dòng)下����,出現(xiàn)了哪些最新、最難防守的攻擊手法�����?面對(duì)挑戰(zhàn)升級(jí)��,金融企業(yè)如何利用新的理念和技術(shù)產(chǎn)品提升自身實(shí)戰(zhàn)能力����?以及未來���,攻防演練的方式和趨勢(shì)將發(fā)生哪些變化��?
12月19日�,騰訊安全聯(lián)合數(shù)世咨詢����、金科創(chuàng)新社舉辦“企業(yè)安全���,攻防有道——企業(yè)在攻防演練中的實(shí)戰(zhàn)智慧”直播研討會(huì),由數(shù)世咨詢創(chuàng)始人李少鵬主持�����,并邀請(qǐng)到北銀金融科技有限責(zé)任公司安全團(tuán)隊(duì)負(fù)責(zé)人張勇��、騰訊安全玄武實(shí)驗(yàn)室高級(jí)攻防專家丁天澤����、騰訊安全云鼎實(shí)驗(yàn)室高級(jí)安全服務(wù)專家藍(lán)江平,圍繞攻防實(shí)戰(zhàn)化現(xiàn)狀與未來趨勢(shì)的變化展開專業(yè)討論���,分享典型攻防案例及防御經(jīng)驗(yàn)分享��,探尋攻防常態(tài)化趨勢(shì)下的金融安全發(fā)展路徑��。
攻擊視角
最新攻擊手法具備什么特點(diǎn)�����?
李少鵬:聚焦金融行業(yè)�,目前存在哪些難以防御的新型攻擊手段?它們各自有哪些特點(diǎn)����,使得傳統(tǒng)安全措施難以有效應(yīng)對(duì)?
丁天澤:基于攻擊方視角����,隨著攻防演練的深入,攻防常態(tài)化和時(shí)間延長為攻擊方提供了更多機(jī)會(huì)針對(duì)高難度目標(biāo)�����,特別是在國產(chǎn)化趨勢(shì)下����,國內(nèi)軟件逐漸替代原有產(chǎn)品時(shí)出現(xiàn)的0day漏洞成為攻擊方關(guān)注的重點(diǎn)���,此外�����,企業(yè)在更新IT基礎(chǔ)設(shè)施時(shí)可能引入新的安全弱點(diǎn)�,為攻擊者提供可乘之機(jī)�。
不同于依賴明顯的安全漏洞,單點(diǎn)登錄系統(tǒng)(SSO)攻擊、非常規(guī)入口RCE漏洞和邏輯漏洞這兩類新型攻擊手法的特點(diǎn)在于利用現(xiàn)有系統(tǒng)的正常功能和邏輯缺陷�,使得傳統(tǒng)安全防護(hù)機(jī)制難以有效應(yīng)對(duì)。
藍(lán)江平:從防守方視角來看�,當(dāng)前的攻防技戰(zhàn)術(shù)變化不大,常見的攻擊手法仍為0day漏洞利用���、Web攻擊�、供應(yīng)鏈攻擊及社會(huì)工程釣魚等傳統(tǒng)方式�,盡管手法老套但仍具威脅。大型企業(yè)的做法是繼續(xù)遵循體系化防御策略���,涵蓋代碼審計(jì)�����、滲透測(cè)試與整體安全防護(hù)���,企業(yè)還需關(guān)注合法用戶的異常行為和提高告警的準(zhǔn)確性和置信度,以有效應(yīng)對(duì)威脅����。
李少鵬:以上提到的攻擊手法,是不是目前在金融行業(yè)碰到的數(shù)量最多的����?
張勇:金融行業(yè)業(yè)務(wù)模式廣泛�����,線上線下渠道眾多��,包括APP���、小程序、H5等互聯(lián)網(wǎng)系統(tǒng)和線下網(wǎng)點(diǎn)的智能終端����,這使得攻防范圍更廣,需要關(guān)注更多潛在的安全威脅�。另外,0day和API都是當(dāng)下仍需關(guān)注的挑戰(zhàn)����,特別0day總是防不勝防���,對(duì)此�,我們團(tuán)隊(duì)成立了“精衛(wèi)安全攻防實(shí)驗(yàn)室”�,專注于攻防技術(shù)研究,利用大模型進(jìn)行自動(dòng)化信息收集,提高攻擊演練效率����。
李少鵬:除了研究0day外,還有哪些方便公開透露的攻擊手法嗎����?
丁天澤:隨著攻防演練時(shí)間的延長,攻擊方策略從快速直接轉(zhuǎn)向慢速隱蔽��,攻擊者開始轉(zhuǎn)向更具行業(yè)屬性的釣魚方式��,如招投標(biāo)或項(xiàng)目合作等��,并且更加注重利用與目標(biāo)行業(yè)業(yè)務(wù)強(qiáng)相關(guān)的情境進(jìn)行釣魚攻擊�����。由于攻擊者更了解防守方的培訓(xùn)和防范措施����,因此能夠設(shè)計(jì)出更隱蔽、更難以被識(shí)別的攻擊手法�����,以提高攻擊的成功率。
李少鵬:隨著AI在防守方應(yīng)用日益廣泛���,攻擊方是否也大量在使用AI輔助����,具體方式和效果如何��?
丁天澤:攻擊方利用AI生成高度定制化的釣魚郵件內(nèi)容����,同時(shí)AI被用于加速信息收集過程,處理大量非標(biāo)準(zhǔn)化文本信息����,如從外部網(wǎng)絡(luò)和API文檔中提取關(guān)鍵數(shù)據(jù),大幅節(jié)省了人力和時(shí)間�����。在工具開發(fā)方面��,AI輔助編寫滲透測(cè)試所需的定制化腳本和工具�����,通過生成接近完成的代碼���,使攻擊者只需稍作修改即可使用��,極大地提高了生產(chǎn)力�����。幾乎所有的釣魚攻擊都已經(jīng)接入AI能力��,成為標(biāo)準(zhǔn)流程的一部分�。
防御視角
金融機(jī)構(gòu)攻防對(duì)抗最佳實(shí)踐
李少鵬:針對(duì)釣魚工程��,防守側(cè)除了意識(shí)培訓(xùn)�����,有沒有哪些具體的防社工釣魚的方法�?
藍(lán)江平:面對(duì)不斷演化的社會(huì)工程釣魚攻擊,目前形式主要有郵件�、即時(shí)通訊(IM)工具(如企業(yè)微信、釘釘?shù)龋?�、電話和短信等����,防守方需要采取多層面的防御策略����,包括技術(shù)防御和人員培訓(xùn)����,信息收集和對(duì)抗都十分重要。當(dāng)然無論什么技術(shù)�,最后還是要回到保護(hù)信息資產(chǎn)的本源上來。
李少鵬:銀行等金融機(jī)構(gòu)作為攻防演練中的防守方�����,如何構(gòu)建有效的安全體系�����?如何進(jìn)行員工意識(shí)培訓(xùn)以應(yīng)對(duì)潛在的安全威脅��,可以制定怎樣的策略��?
張勇:在員工安全意識(shí)層面�,采用定期安全培訓(xùn)和考試,將培訓(xùn)成績與部門績效掛鉤,同時(shí)��,使用郵件網(wǎng)關(guān)和安全沙箱技術(shù)來攔截釣魚郵件���,并探索利用大模型進(jìn)行內(nèi)容檢測(cè)和識(shí)別,為員工提供一個(gè)安全助手入口�;在應(yīng)急響應(yīng)方面,建立快速監(jiān)控和響應(yīng)機(jī)制�����,采用SOAR技術(shù)提高響應(yīng)速度���,并創(chuàng)建線上作戰(zhàn)室以快速集結(jié)相關(guān)人員分析研判可疑攻擊����。此外���,引入AI技術(shù)進(jìn)行告警關(guān)聯(lián)分析并保持長期警惕和實(shí)施24小時(shí)值守輪班制度�,來確保全天候的監(jiān)控和響應(yīng)能力����。
李少鵬:隨著攻防演練時(shí)間拉長,怎么平衡好攻防演練和人員精力關(guān)系���?
張勇:的確����,常態(tài)化的攻防演練在提高企業(yè)防御能力的同時(shí)也帶來了資金和資源的投入,需要找到合適的平衡點(diǎn)����。在人員動(dòng)員方面,非專業(yè)安全人員如運(yùn)維團(tuán)隊(duì)可以通過培訓(xùn)和溝通參與到高強(qiáng)度的防守工作中���,提高整體安全防護(hù)����。對(duì)于運(yùn)維與安全的一體化趨勢(shì)�,大型機(jī)構(gòu)由于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場景的復(fù)雜性,運(yùn)維和安全崗位可能會(huì)保持細(xì)分��,但在中小企業(yè)中可能會(huì)出現(xiàn)一體化的趨勢(shì)����。在管理層面,一些銀行機(jī)構(gòu)已經(jīng)實(shí)現(xiàn)了安全部門和運(yùn)維部門的融合�,以實(shí)現(xiàn)更好的協(xié)同工作。
新產(chǎn)品、新理念
企業(yè)實(shí)戰(zhàn)能力提升路徑
李少鵬:如何將攻防演練中采購的服務(wù)和能力融入企業(yè)日常的業(yè)務(wù)和經(jīng)營管理呢�?這不是技術(shù)問題,而是一個(gè)管理問題���。
藍(lán)江平:安全產(chǎn)品需要從單純的合規(guī)驅(qū)動(dòng)轉(zhuǎn)向?qū)崙?zhàn)效能驅(qū)動(dòng)���,通過引入如BAS����、EM等新技術(shù)和工具,結(jié)合自動(dòng)化攻擊模擬與驗(yàn)證����,以及安全托管平臺(tái)的應(yīng)用,來全面提升企業(yè)的防護(hù)能力和響應(yīng)效率�。騰訊安全新的解決方案:
-
BAS(模擬攻擊系統(tǒng)):騰訊安全云鼎實(shí)驗(yàn)室自研的BAS系統(tǒng),結(jié)合EM(企業(yè)資產(chǎn)監(jiān)控)工具����,能夠持續(xù)發(fā)現(xiàn)企業(yè)對(duì)外發(fā)布的資產(chǎn)情況,并實(shí)時(shí)探測(cè)已知或未知的漏洞����。這不僅提高了漏洞發(fā)現(xiàn)的及時(shí)性,還能驗(yàn)證現(xiàn)有防護(hù)措施的有效性。
-
自動(dòng)化與驗(yàn)證結(jié)合:通過自動(dòng)化攻擊模擬和安全驗(yàn)證相結(jié)合的方式���,可以實(shí)現(xiàn)7×24小時(shí)的常態(tài)化防護(hù)����,減少對(duì)大量人力的依賴���,同時(shí)提高效率并降低成本�。
-
安全托管平臺(tái)(MS):將應(yīng)急響應(yīng)流程數(shù)字化�,使事件處理更加高效,確保事件主動(dòng)找人而非人去找事件���,提升了整體響應(yīng)速度和準(zhǔn)確性�����。
李少鵬:未來�����,攻擊手法會(huì)有哪些方面的變化�����?
丁天澤:攻擊常態(tài)化的背景下�,攻擊手法日益隱蔽,AI技術(shù)的加持以及企業(yè)海外業(yè)務(wù)防御不足����,就需要特別注意海外業(yè)務(wù)的安全防御,以彌補(bǔ)演練中的盲區(qū)�����,注意提前為海外業(yè)務(wù)制定防御預(yù)案�����,以應(yīng)對(duì)實(shí)際威脅�。
藍(lán)江平:事實(shí)上在防守方面只要服務(wù)方能提供真正的價(jià)值�����,如提供可靠技術(shù)工具產(chǎn)品��、建立客戶信任���、產(chǎn)品本身的經(jīng)驗(yàn)沉淀�,以及服務(wù)方在幫助甲方提升安全能力方面的作用,這些做足了就能贏得客戶的信任和采用��。
張勇:希望供應(yīng)商在未來能夠更加積極主動(dòng)地進(jìn)行戰(zhàn)時(shí)情報(bào)共享��,確保已發(fā)現(xiàn)的漏洞不會(huì)在合作伙伴之間反復(fù)被利用��。
