2025年构建安全攻防矩阵+增强数字安全免疫力报告-腾讯云安全（张华）

构建安全攻防矩阵 增强数字安全免疫力腾讯云安全 张华腾讯云安全，知攻更懂防目录挑战与趋势CONTENTS123安全防御体系建设思路安全运营及防护体系介绍知攻更懂防，服务看得见外部环境：攻击者越来越专业化，攻击手段向平台化、自动化演变差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动攻击方防守方ü 技术精湛，各单位优秀渗透人员ü 团队作战，各人才分工明确高效人员武器资金情报人员武器天时地理ü 大量0day漏洞储备ü 专业攻防协作平台及工具集ü 多团队投入，形成A/B多联队ü 外网专家储备ü 精良部队，各单位优秀渗透人员ü 团队作战，分工专业✗ 缺攻防经验，负责人以项目经理为主✗ 缺乏磨合，临时组建无实战配合✗ 已有安全厂商设备，IP封堵为主✗ 设备能力层次不齐✗ 价低者中标✗ 部分单位租借或友情支持✗ 情报滞后，响应较晚✗ 虚假情报满天飞，干扰分析精力ü 战场主动权，随意选择攻击目标ü 技术精湛，各单位优秀渗透人员ü 团队作战，各人才分工明确高效ü 专业攻防协作平台及工具集ü 更多攻防数据挖掘平台（社工、云等）✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力✗ 缺乏云服务、员工社工钓鱼风险发现能力ü 持久战，随意选择攻击时间、以逸待劳✗ 缺攻防经验，负责人以项目经理为主✗ 缺乏磨合，临时组建无实战配合✗ 黑白交替、拉锯战容易导致身心俱疲✗ 仅了解已知资产，供应链、分子公司等风险覆盖不全以前的攻防演练（14天高频对抗）现在的攻防演练（持续且深入的较量）防御挑战：企业对安全建设结果的保障需求业务数据企业安全防护措施（FW、WAF、主机安全等）是否存在数据外泄？还有哪些可利用路径？1. 漏洞利用2. 配置不当3. ……企业缺乏对最终防御结果的保障能力，无法验证当前产品能力、防御策略等的有效性运营挑战：安全运营事件层出不穷，如何持续提升运营效率？安全运营现状误报事件授权事件情报事件主机安全事件SOC（威胁情报、漏洞情报）（密钥泄露、代码泄露等）（HIDS）（控制台操作）良性事件泄露事件恶意事件（漏洞误报等）误配置（产品/系统/应用不当配置）暴力破解（暴力破解成功）木马事件（木马/病毒/webshell等）反弹shell（命令执行、远程提权）漏洞扫描任务配置检查任务入侵响应事件 报告 A 报告 B 事件 C邮件报告发送报告发送工单系统工单催办告警IM 提醒 复扫秘钥泄露事件IM 告警邮件告警发送工单系统威胁情报事件………安全事件来源安全运营挑战重复造轮子人工易出错过程难回溯云安全挑战：云服务独有的安全风险挑战Ø云产品迭代快，按需接入即开即用，容易造成暴露面的风险敞开，安全团队难以快速感知。Ø云产品数量大，哪些产品在开通后能被公网访问或泄漏云凭证，对安全团队是盲盒，管理上有很大困难。Ø不同云厂商的不同安全管理工具、使用复杂，学习门槛高，云网络关系复杂，经过多跳（NAT，LB）才到达真实主机100 + 云产品100 + 变更次数/天2000 + 子产品阿里云RDS数据库暴露路径合规挑战：移动应用、供应链科技风险成监管关注的重点方向金办发[99]号，是仅次于“金发”的二级发文，属于高标准要求；可见总局对此方向的重视程度。金融监督管理总局99号文响应策略覆盖范围责任边界兼容性网络安全数据安全再次强调问责机制深度解读11. 覆盖范围广，涵盖了之前发文没有涉及的更多金融机构不仅涵盖了传统的政策性银行、国有大行、股份制、保司，还增加了外资银行、直销银行、资管管理、理财公司、金融控股公司等更大范围金融机构。监控运营2. 要求标准高，明确了责任边界虽然冠以“移动互联网应用程序”，但不限于APP、小程序、公众号。“运行在移动智能终端上”、“向内、外部用户提供服务”的应用软件都涵盖在内。3. 强化了对第三方、开源的安全要求要求“加强第三方软件开发工具包安全需求分析”，“对源代码或组件（含第三方组件）开展风险管理”，影响的范围包括AI代码开发工具、IDE插件（如一些安全开发、扫描插件）、第三方提供的软件包等。4. 老旧版本下线、风险评估、隐私保护、仿冒应用重点应关注老旧版本及时下线，以及相对应的API接口、权限的回收，对安全暴露面的监测；相比APP仿冒，但小程序的仿冒还是比较高发，尤其是黑灰产高度抄袭的仿冒小程序，通过利用暴露的API接口、权限、数据等来进行欺诈。明确裁判员定位，各地管局主体责任，并明确“加大风险漏洞通报力度”、“监督整改”，“加强违法违规问题触发问责力度”，“严肃问责”。【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】5. 对监管职责和问责制度进行了明确目录挑战与趋势CONTENTS123安全防御体系建设思路安全运营及防护体系介绍知攻更懂防，服务看得见安全运营趋势：国际顶尖企业安全运营建设趋势关键结论：CTEM是 Gartner 于 2022 年 7 月推出的一个框架，可帮助企业持续、一致地评估其物理和数字资产的脆弱性。Gartner 预测，到 2026 年，根据 CTEM 计划确定安全投资优先级别的企业机构将减少三分之二的漏洞。CTEM融合了暴露面管理、情报、VPT、安全验证等技术。关键结论：自主安全运营是理念、实践和工具的结合，通过自适应、敏捷和高度自动化的威胁管理方法来提高组织抵御安全攻击的能力。安全运营趋势自适应、敏捷、高度自动化持续威胁暴露面管理安全设计/默认安全/安全运营自主(Autonomic)安全运营安全设计/默认安全/安全运营持续威胁暴露管理关键结论：安全三原则：Secure by design， Secure by default，Secure Operations对产品或服务做安全设计；安全保护措施默认启用并强制执行，无需额外配置，且不可选；持续改进安全控制和监控以应对当前和未来的威胁。安全运营朝着持续化(常态化)、自动化、默认安全方向演进安全运营趋势洞察：从被动防御向主动防御转变CONFIDENCIAL MATERIAL FROM TENCENT CLOUD依赖进化•安全域•安全加固•补丁管理•应用内建•基础对抗•自动化执行•消耗攻击资源•迟滞攻击•安全分析•快速验证•响应处置•人的参与•信息收集•情报生产•分析验证•情报猎捕•反制措施•法律手段•自我防卫架构安全被动防御积极防御安全情报进攻反制科学规划强身健体构筑工事纵深防御全面检测快速响应获取情报准确预警进攻反制先发制人Source：SANS安全将不会再以“防范”为中心，而会更加强调“检测与响应”，情报驱动、协同防御将会是发展的趋势，全链关注，消除盲点：被动安全+主动安全安全运营思路：情报+数据+攻防驱动快速感知全面检测自动处置持续验证情报体系建设——了解对手攻击资源、手段方法• 收集外部最新的情报[如漏洞情报、泄露情报、投毒情报等] ，提前掌握自身软硬件系统脆弱点• 漏洞风险的的研判分析持续验证能力——确保防护有效性• 开展安全测试服务渗透测试• 建立安全产品有效性验证能力• 红蓝对抗• 高级红队服务威胁及暴露面管理能力CTEM——全网风险识别• 梳理组织互联网/暗网等IP/域名/证书