干货合集丨腾讯安全重保经验分享，助力企业构建全方位安全防护

受重保防护时间和保障需求特殊性的影响，企业在重保的关键时期，往往面临着准备期难以控制、防护任务重、安全要求高的三大挑战。随着互联网新技术的发展，各种高级网络攻击不断迭代演化，攻击手法复杂多样。黑客会准备大量的兵器库以及全方位攻击手段，包括攻击情报库、0day库、敏感信息库等，以至于企业在重要时期保障中难以一已之力对抗庞大的黑产组织。

在此背景下，腾讯安全联合腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf举办了《原引擎：重保特辑》系列产业安全公开课，通过三期直播课程邀请多位安全专家进行经验分享和行业洞察，帮助企业构建完善的基础安全防护能力，高效开展安全工作，顺利度过重要保护时期。

以下为重点演讲内容：

针对政企机构、金融企业在重保期间，面临的数字化资产防护难点与环节弱点，腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高，聚焦重保备战与实战两个阶段，以全局视角分享企业安全建设的思路与心得，以期帮助企业构建更高效、更完备的安全防御体系。

1、攻防演练常态化，安全建设要朝实战化方向发展

黄羽：当前，在政策的推动下，网络安全上升至国家战略，国家级、行业级安全攻防演练常态化，更注重实战效果，因此企业安全建设需要从实战角度补足安全攻防能力。

面对重保期间指数级增长的威胁和告警以及企业安全建设需求，腾讯安全推出SOC+安全运营体系，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵，带来中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

2、安全运营挑战日益严峻，威胁情报助力主动防御

高睿：随着全球数字化进程的不断加快，网络安全威胁也在逐步攀升。“威胁情报”作为一种新兴的安全防御手段，能够通过多维度、全方位的情报感知，以及情报信息的深度挖掘与分析，帮助信息系统安全管理人员及时了解系统的安全态势，并作出合理预判，对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

为帮助企业建立全面的安全运营体系，腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM（攻击面管理情报）、TIX-SDK/API（情报原子能力）、TIX-TIP（威胁情报平台）四大产品矩阵，提供第一手威胁情报、一站式情报服务，为安全运营提质增效，增强现有安全体系威胁检出能力。

3、攻防演练更贴近实战，零信任为企业内网安全再加“砝码”

刘现磊：近年来，攻防演练愈发贴近实战，钓鱼成为最有效攻击方式。针对这一趋势，企业需要更加规范内网安全管理，避免内部防线被钓鱼突破。其中，零信任作为一种无边界安全策略，能够在企业传统的网络基础架构之上，构建以身份为中心的，贯穿企业网络-应用-资源-数据全链路、一体化的安全网络，为企业内网安全加上一道“阀门”。在攻防演练中，零信任“以完全，应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期，展现出了新的价值。

4、知己知彼，从“攻”、“守”角度看重保工作要点

葛浩：从蓝军视角来看，攻击队在攻击前期会隐藏网络资源标识，并对企业资产暴露面进行分析，收集目标企业的对外资产信息；接下来，对网络漏洞进行扫描，分析并验证入侵路径；当分析得到有效漏洞入侵攻击路径后，蓝军将针对目标服务器的脆弱性发起渗透攻击；外网打点突破边界后，蓝军将继续进行横向渗透，逐步扩大攻击成果。

基于蓝军的攻击方式，防守方可以在攻击的前、中、后期有针对性地应对重保：

在前期的准备阶段，防守方需要提高全员安全意识；收回所有系统权限，按最小权限原则重新分配；主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段，进行资产的梳理和管理；识别风险隐患，并通过渗透攻击与红蓝对抗的方式，深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段，实时监测攻击，快速响应；在内网实施更严格的隔离管控措施。

5、新攻防态势下，企业需提升发现、检测、响应、度量能力

刘志高：重保期间，攻击日的一次扫描就会触发大量告警，给安全运营带来巨大挑战，对互联网业务可用性、风险发现速度、漏洞修复时效提出了更高要求，企业亟需加强技术力、流程化能力、运营人效三方面的能力，以保障能够应对激增的网络安全威胁。基于此，腾讯安全加速布局安全运营领域，并沉淀出三大系统，推动安全建设工作向纵深发展。

● 工作流系统：腾讯内部7大BG在用的自动化工作平台，能够在重保时期研判告警攻击IP行为并联动威胁情报进行拦截；

● 数据泄露监测系统：覆盖主流数据泄露渠道，深入行业的分钟级泄露监测响应系统；

● 漏洞监测订阅系统：覆盖500一手情报源，支持上千种组件订阅的情报订阅系统。

聚焦重保期间云上资产防护难题，腾讯云原生安全产品专家葛浩、腾讯云原生安全高级产品专家Eric、腾讯云高级安全攻防工程师马子扬、腾讯云主机安全高级产品经理钟壮豪、腾讯云安全中心产品负责人周荃，结合腾讯安全云上解决方案及相关实践，分享云上安全建设的思路和心得，以期帮助企业高效安稳度过实战期。

1、云上攻击猖獗，“3+1”安全防护全链路布防

葛浩：根据过往重保调研显示，外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。为帮助企业建立更全面、高效的防护体系，腾讯安全推出“3+1”一站式重保解决方案，构筑三道坚实的安全防线。

第一道防线——云防火墙：提供访问控制、入侵防御、身份认证等安全能力，可自动梳理云上资产、发现并收敛暴露面；

第二道防线——Web应用防火墙：可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护；

第三道防线——主机/容器安全：提供纵深防御能力和漏洞自动修复能力，实现入侵行为的有效阻断。

安全中心——管理三道防线、多账号、多云统一管理：联动各产品原子能力，实现云安全的一站式联动控制、功能互通与数据协同，极大提效安全运营与响应。

2、腾讯云防火墙，筑牢云上安全第一道防线

Eric：重保场景下，企业常常会面临资产的不当暴露、安全组配置疏漏、攻防角色PK不对等挑战。针对这些问题，腾讯云防火墙从封IP、堵漏洞、防入侵三方面入手，为企业提供互联网边界防护，并沉淀出四大能力：

● 资产自动梳理：自动梳理云上资产，内置漏洞扫描，识别暴露面；

● 坚实云上防御：分钟级别拉起云上第一道防线，具备小时级别IPS虚拟补丁，防护边界拓展到混合云边界；

● 东西向流量管控：VPC间防火墙、企业安全组、网络蜜罐三大能力加持，改变攻防对抗支点；

● 秒级别威胁情报：基于腾讯全球的威胁情报库，实时监测主动外联行为，阻止用户资产访问恶意IP和域名。

3、WAAP一体化防护，快捷便利屏蔽攻击风险

马子扬：随着技术的不断演进，攻击者将更多的自动化手段利用到攻击过程中。这一趋势也表明，企业需要更自动化、更便捷的高防措施来屏蔽攻击风险，打赢重保护航战。

基于此，腾讯云WAF构建了多维度的防护体系，帮助企业提升安全防护、行为管控、收敛暴露面等能力，保障重保时期多项业务及资产的安全。

基础安全——WAF：保护基础设施及资产不受Web应用漏洞侵害、防护0day、Nday等攻击。

业务安全——BOT：保护业务的核心关键逻辑不受侵害、防护来自越权、自动化绕过等攻击。

数据应用安全——API：保护核心资产数据信息不受侵害，防止因为API越权、泄漏等风险造成业务敏感数据信息泄露。

4、主机+容器安全，守护云上最后一道防线

钟壮豪：从攻击者视角来看，无论攻击手段有多复杂，其最终目的在于服务器，包括服务器权限及数据。因此做好重保时期的主机/容器安全，守护好最后一道防线至关重要。针对重保时期的网络攻击防护，企业的工作重点可以放在三个方面：一是事前的资产梳理，风险收敛；二是事中的攻击检测，阻断行为；三是事后的溯源分析，还原现场。

为帮助企业闭环事前、事中、事后的攻击防御，腾讯安全基于海量威胁数据推出主机＋容器安全，可提供资产管理、漏洞防御、文件查杀、入侵检测、漏洞风险预警、安全基线等安全防护功能，解决服务器面临的主要安全风险，帮助企业构建从“预防一防御一检测一响应”的安全防护体系。

5、云安全中心2.0，一键提升重保时期的安全与效率

周荃：安全和效率之间一直存在着矛盾，过分强调安全时，可能会带来生产效率的极度下降，只追求生产效率而完全忽略安全则会带来更严重的后果。然而在重保时期，安全和效率都极为重要。据数据分析显示，企业内资产多、账号多、告警多，部分企业存在多云/跨云部署，加上暴露面难发现、漏洞难根治，以及缺乏有经验的安全人才、易用的安全产品等问题，使得安全工作效率下降，难以达到重保值守对于快速响应的要求。

针对这些问题，腾讯安全全新打造云安全中心2.0，为企业提供一站式多账号安全管理平台，提升安全运营效率。在资产中心，通过最全的资产管理，帮助企业发现影子资产、加固核心资产；在风险中心，通过一键体检帮助企业主动发现暴露面、漏洞、弱口令等风险问题，防患未然；另外，为高效应对重保期间的攻击行为，在告警中心，通过采集告警日志、聚合攻击事件并联动防线处置，提升响应效率，助力重保。

聚焦重保期间大型企事业单位数字化资产防护难题，腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全零信任高级产品经理刘现磊，结合安全运营、威胁情报、零信任等产品能力与实践，分享企业如何做好网络应急响应准备和安全保障工作，安稳度过实战时期。

1、重保工作进入“新常态”，SOC+安全运营体系是应对“法宝”

黄羽：随着重保工作进入“新常态”，企业安全防护工作也趋向“平战结合”，强调事前监测及事中响应的自适应安全成为企业关注的重点。腾讯安全SOC+安全运营体系结合腾讯自身20多年攻防对抗经验和安全实验室顶尖技术，驱动客户安全运营整体能力朝“实战化”不断升级和演进。

腾讯安全SOC+安全运营体系具有三大能力：

● 原子力：包含丰富的威胁情报和坚实的攻防对抗能力，能够让企业在威胁预测、感知、响应上占领先机；在攻防对抗方面，依托集团业务攻防经验和国家级大型攻防项目经验，不断探索提升安全防护能力和效率。

● 产品力：包含TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四个核心模块，能够提供威胁情报数据、威胁闭环运营、智能化安全部署、标准化安全运营。

● 生态力：主要包括渠道伙伴和能力伙伴，腾讯安全通过在行业内形成“生态资源共享、能力互补、生态共建”的全新合作机制，推动全行业安全运营。

2、威胁情报打造全局感知，将安全防御“前置”

高睿：面对越来越多的网络入侵事件，企业除了要加深对内部资产的了解和认识之外，基于外部风险情报监测的及早感知及时防御也必不可少。在重保期间，越早获取到新被利用的高危漏洞信息，就能更大程度避免成为下一个受害者。

威胁情报作为企业安全防御“化被动为主动”的利器，能够为面临威胁的资产主体提供全面的、准确的、能够执行和决策的信息，为企业重保工作提供全周期的监测响应。包括筹备期的查验历史漏洞、收敛高风险攻击面，重保期监控可疑资产、识别定向钓鱼、监测信息泄露等，形成“查漏补缺、实时监视、动态感知、溯源反制”的全局防御，极大降低资产泄露的风险。

3、分支和供应链接入成为攻击突破口，零信任iOA 保障办公网“零”失分

刘现磊：回顾以往攻防演练，可以发现，针对VPN、OA类系统等接入系统和办公设施发动的攻击占据攻击数量高位，通过 IM等工具进行钓鱼完成突防，然后进行渗透，“分支接入”与“供应链接入”成为被重点针对的突破口。要想有效降低攻击渗透率，对内提升安全水平，对外缩小访问权限是最优解。

基于此，腾讯安全将“零信任”理念引入办公场景的重保防护中，提出iOA零信任解决方案，提供办公网安全短板补齐的新思路。

● 接入安全，让业务成为安全抓手。腾讯安全iOA帮助企业在混合办公与数字化推动形成的扁平化网络，对抗不可控的人和设备潜藏的内外部威胁，并对接入设备进行脆弱性整改。

● 最小化授权访问，最大化隔离风险。腾讯安全iOA能提供“可落地”的最小化授权访问能力，在平衡业务的同时，尽可能隔离风险与资产。

● 防钓鱼、防横移，iOA 可覆盖 100%的钓鱼攻击，实现快速告警、拦截，覆盖 TT&CK 中横移所有 TTP，针对域控有更加精准的识别。

以上是本次重保专题公开课三期专家观点的精华整理，感兴趣的朋友可以扫描下方二维码提取重保主题课程资料（讲师PPT）。未来，腾讯安全还将针对更多行业、更多场景，分享企业安全建设思路以及成功实践经验，帮助大家深入了解网络安全，构建自适应的安全防护体系。