随着数字化发展进入大模型时代,网络安全形势愈发严峻,企业的信息安全防线正遭受着前所未有的考验。而攻防演练,通过模拟真实网络攻击和防御场景,真刀真枪对抗来检验企业的安全建设水平,为企业安全能力提升提供一个关键检验平台。也因此,攻防演练逐渐趋向常态化,从几天、一两周的“闪电战”演练,逐步覆盖全业务面、全数字化环境、全供应链。可以预计,随着网络安全攻防演练的常态化和实战化,演练的态势也正逐步从“闪电战”演变至“持久战”再演变到“消耗战”。
反观今年的外部攻击态势,我们不难发现几个核心的变化:一个是,AI大模型正在构成全新的企业数字化基础设施,新技术的双面性势必会对安全防护带来新的挑战,并成为攻防演练的全新考验项目;二是攻防演练的目标,正在从“完成作业”向“实战”转型,现实中具有破坏力的风险点,全都在攻防演练覆盖范围之内。加之演练考验越深入,演练时间更持久,企业需要考虑的是如何把投入巨大的成本转换为企业核心安全能力提升的收益。
企业数字化进程面临的关键命题:
- 数字化水平不断提升,资产暴露面也增加30%+,API接口年均增长超200%;
- 供应链风险加剧,开源组件漏洞利用占比达65%,第三方服务入侵事件年增45%;
- AI驱动攻击升级,深度伪造钓鱼攻击成功率提升3倍,自动化攻击工具绕过传统防御效率提升70%;
- 安全人力不足,在越来越持久的作战逻辑中,安全人力及专业经验的缺失依旧是企业安全建设的痛点,如何用更加高效率低成本的方式实现重保级防护成为关键课题。
此外,企业面临的攻防态势也不断严峻:
- 攻击入口多元化:社工钓鱼、API漏洞利用、云配置错误成为TOP3突破口;
- 攻击手段隐蔽化:无文件攻击、内存马驻留、AI流量混淆等技术应用率增长120%;
- 攻击链条工业化:RaaS(勒索即服务)工具包、自动化渗透框架降低攻击门槛,攻击效率大幅提升。
因此,企业不仅要在人员、精力有限的情况下应对不分昼夜的高强度安全运维任务,也要从自身需求出发,确保投入资源人力锻造的实战队伍和能力体系,能够真正融入到业务体系当中,实现战时可胜、平时可用。
为此,在历年配合企业客户通过演练提升自身安全体系的基础上,腾讯云安全进一步升级了“1+4+1”防护体系,本文将从实战出发,为读者详细展开。
腾讯云安全
“1+4+1”防护体系
为帮助企业建立全面、高效的防护体系,腾讯安全推出“1+4+1”一站式重保解决方案。
“1”:启动必备-暴露面管理
现代企业数字资产众多且规模不断增长,一方面管理监控难度大,企业容易存在未发现的脆弱资产遭到攻击;另一方面大量影子资产游离于资产管理范畴之外,存在业务违规遭到主管单位处罚的可能性。因此,企业必须在落实防护体系建设之前,全面夯实自身的暴露面管理能力。
- 69%的企业因未知、未受管理或管理不善的面向互联网的资产(影子)而受到攻击;
- 30%的暴露面是常规资产管理系统之外的(泄露的敏感信息、对外服务、漏洞和错误配置);
- 不到1/3的组织拥有正式的外部攻击面管理解决方案。
暴露面管理是攻防对抗战场上的情报兵,探查敌方进攻路线,提前布防,掌握对战先机。作为攻防演练启动的必备武器,暴露面管理可弥补过往单纯部署攻击面管理时,可发现攻击面但无法发现和验证攻击路径的不足,提升企业应对攻击的韧性和可持续性。
具体而言,腾讯持续威胁暴露面管理(CTEM)包括暴露面监测、暴露面分析、监测运营中心三大核心组件:暴露面监测依托测绘工具集(如云暴露面、暗网暴露面等)识别资产暴露面、攻击向量和风险;暴露面分析以腾讯漏洞优先级技术(T-VPT)为助力,提升风险识别精准度,其基于历史漏洞行为,助力企业组织进行风险优先级划分;监测运营中心由人工+工具平台深度验证漏洞影响,提供更精准修复建议。
“4”:联合参谋部-一站式安全门户云安全中心
安全防线如何协同,如何在重保场景下提升运营效率?腾讯云安全中心下辖四道防线(云防火墙、Web应用防火墙、主机安全、数据安全),并通过插件化串联起各安全产品能力,为企业打造云上一站式全科医院。打破云账号边界,实现跨账号数据互通,为客户提供更加简单易用的多产品/多账号一体化运营体验。
同时,云安全中心结合腾讯云原生数据,为企业提供0部署、0性能消耗的威胁发现能力。分析云上资产关联关系(如CLB/CDN绑定关系等),结合安全组、端口信息,细粒度梳理资产对外开放状态,自动关联后端暴露路径。提供AK及云DNS威胁监测能力,主动发现AK恶意调用、恶意C2等强对抗场景常见攻击手段。
第一道防线——云防火墙:作为最外层城墙,覆盖用户云上业务的所有流量边界,提供访问控制、入侵防御、身份认证、全流量分析(NDR)等安全能力,并集成漏洞扫描与网络蜜罐。在重保场景下,可自动梳理云上资产、发现并收敛暴露面。借助网络蜜罐诱捕与溯源反制、以及基于身份认证的访问控制能力应对未知攻击,让攻击者无处藏匿;
第二道防线——Web应用防火墙:在客户端和客户业务源站之间筑起一道七层应用防火墙;可提供细粒度的处置策略,保障重保及常态情境下业务与数据安全,为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护;
第三道防线——主机/容器安全:主机安全为企业提供纵深防御能力。事前,结合暴露面评估、端上攻击流量及漏洞可利用性,一键筛选必修漏洞(即将上线)。结合自动修复/热点漏洞精准防御,快速闭环漏洞治理,帮助企业快速完成资产安全加固,从源头解决安全威胁;事中,支持3大类恶意行为自动拦截,有效阻断入侵行为;事后,自动采集、聚合日志,秒级分析攻击链路,一键还原入侵事件。
第四道防线——数据安全:提供数据安全核心能力,有效保障云上数据安全及合规,提供数据风险分析、数据审计、敏感数据加解密、数据脱敏等核心能力。
“1”:一站式专家重保服务
在重点演练场景,对安全人才、安全技术、安全运营的需求激增,安全托管不失为企业及组织抵御威胁的一种非常有效的方法。腾讯安全MSS安全托管服务,依托腾讯20多年的攻防实战经验和行业领先的情报感知能力,可为用户提供持续、高效的安全监控和运营管理服务,助力用户轻松构建平台级安全服务能力,免去安全后顾之忧,专注业务发展。
针对攻防演练场景,腾讯安全MSS服务提供腾讯云鼎实验室顶级专家,分析风险,提供优化方案,保障结果,助力企业构建三位一体的人防、技防、联防三防体系,为攻防演练提供全流程有效性保障。
- 人防:构建覆盖筹备-预演-实战全周期的标准化风险发现、安全加固、监测响应能力;
- 技防:技术防御体系升级,整合现有系统,全面提升自动化响应与处置能力;
- 联防:依托情报和流程化体系,强化跨组织跨团队合作,建立协同联防机制。
2025攻防演练
最佳兵器组合
每一年的攻防演练,不同企业都要应对截然不同的态势,需要“因地制宜”。例如,攻击者每年发起攻击采取的手段和途径都截然不同,如针对网络层、应用层、数据层,单一安全产品无法覆盖所有层面的威胁;不断变化的黑客技术和恶意软件更新换代,意味着多种安全产品需要基于一套实时变化的威胁情报进行协同调整;企业业务、IT基础设施、服务体系以及生态链供应链的变化,也大大提升了不同系统、应用之间协同防护的难度,需要通盘部署。
因此,重点企业在攻防演练中,必须采取多元化安全产品组合甚至“多兵种”“多单位”协同的方式,甚至及时果断地纳入“外援”,补充防守各环节的薄弱之处。不仅能有效应对当前复杂多变的攻防环境,更能够逐步构建一套具有弹性、自适应的数字安全免疫力体系。
腾讯云安全“1+4+1”防护体系,以暴露面管理为先驱,梳理资产暴露面,前置风险;云防火墙、Web应用防火墙、主机安全、数据安全四道防线构筑稳固的云上安全防御体系,并通过云安全中心统一管理、统一运营;针对演练期间的人力需求激增,提供MSS 重保护航服务,备战巡检及战时护航双组合,以前沿专家经验及服务助力企业演练顺利进行。
一套基于攻防最佳实践的威胁情报解决方案,可以有效助力企业增强安全免疫力。腾讯安全威胁情报(TIX)产品重保方案,旨在通过知己知彼的策略,识别和应对潜在的安全威胁。TIX威胁情报矩阵拥有完整的情报数据触点,覆盖边界防护、流量检测、安全运营、威胁管理等场景所需的各类高精准情报服务。
在实战攻防演练中,高级安全威胁已成为实战对抗中最常见的攻击手段,而从办公网寻找突破口入侵进而入侵攻击生产网也已成为攻击方常用的路径之一。腾讯iOA助力企业构建一体化终端安全体系,通过零信任能力管控所有终端接入,在重保期间快速收敛业务暴露面。以企业最关注的钓鱼攻击为例,腾讯iOA可对高危渠道落地文件进行外联监测和关联分析,覆盖确保钓鱼攻击全链条跟踪,确保攻击“看得见”、“防得住”。理论上,通过云+管+端+IM+邮箱产品联动,腾讯iOA可对钓鱼攻击行为实现100%覆盖。
同时,腾讯iOA-EDR模块协助配合,帮助发现更多高级安全威胁,建立终端安全纵深防御。具体地,腾讯iOA-EDR模块主要功能包括终端行为采集、威胁告警、告警溯源、事件调查、威胁响应和威胁狩猎,同时平台具备检测与告警规则灵活自定义、联动其余模块自动化处置和关联威胁情报等能力,结合腾讯在线终端安全运营服务(EMDR),可帮助企业更好地对抗高级终端安全威胁,同时为企业安全运营建设提供强有力的终端抓手。
我们也为参与攻防演练的企业提供数字安全免疫力水平的免费体检,让企业在演练开始之前就清楚自己的安全薄弱点,重点进行布防。后续《腾讯安全》公众号还会针对腾讯云安全提供的重保“兵器”分别拆解,助您顺利完成攻防演练。欢迎您持续关注。
