产业安全公开课：重保场景下，企业如何高效提升基础安全防护？

近年来，相关政策持续出台带动了各行各业网络安全意识的提升，重保已成为政企单位的要点工作之一。然而，随着互联网新技术的发展，黑产攻击手法也在升级，针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗，影响重保工作的顺利进行。

4月6日，腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点，联合举办《原引擎：重保备战部署，如何高效构建企业基础安全防护能力》产业安全公开课，邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高，分享企业安全建设的思路与心得，以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化，安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角，从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化，驱动安全能力建设提质

黄羽：当前，在政策的推动下，网络安全上升至国家战略，国家级、行业级安全攻防演练常态化，更注重实战效果，安全建设需要具备安全攻防能力。从安全攻防实战角度来看，目前安全攻防面临三大挑战：第一是无法有效应对0day/1day漏洞，第二是检测场景覆盖度不足，第三是缺少快速响应和联动机制。

因此，企业在进行重保工作的能力部署时，亟需提升安全攻防场景下漏洞防护、攻击方式检出率；同时深化安全攻防专项威胁情报能力，与安全防护体系融合应用。

2、腾讯SOC+安全运营体系，构建响应闭环“安全攻防”最佳效果

黄羽：面对指数级增长的威胁和告警，腾讯安全推出SOC+安全运营体系，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵，可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例，腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕，帮助客户提升安全攻防实际效果。经过实战检验，NDR天幕实现日均8亿次拦截攻击，阻断率达99.99%以上，无失败反馈；规则库及时更新，及时响应0day。

化“被动防御”为“主动防御”，威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点，分享威胁情报的价值，以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻，威胁情报助力主动防御

高睿：随着全球数字化进程的不断加快，网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显，企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段，能够通过多维度、全方位的情报感知，以及情报信息的深度挖掘与分析，帮助信息系统安全管理人员及时了解系统的安全态势，并对威胁动向做出合理的预判，对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿：威胁情报是企业安全运营中告警优先级排序的关键依据，并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中，将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看，主要有以下几个方面：

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机，防止个人及组织信息泄漏，或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设，安全设备的不断增多，企业每日告警量呈指数级增长，威胁情报能够通过外网视野对安全事件进行分级，有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后，企业可以根据威胁情报研判威胁来源攻击方式，并结合自身受攻击的业务属性，定性威胁入侵目的寻找更多线索，尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理，辅助收敛提升防御能力。并提供持续的风险监测能力，包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面，高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿：尽管威胁情报的市场增长快、空间大、应用价值高，但受限于成本和使用难度，威胁情报存在覆盖少、门槛高、用不好等问题，导致整体渗透率不高。

针对这一问题，腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM（攻击面管理情报）、TIX-SDK/API（情报原子能力）、TIX-TIP（威胁情报平台）四大产品矩阵，能够基于四大场景为安全运营提质增效，增强现有安全体系威胁检出能力。

l 边界防护，入侵风险阻断场景。基于攻击者视角，发现可疑\恶意来源IP，降噪误报，一键封禁。

l 流量检测，失陷主机发现场景。基于流量出站访问IP、域名、URL等特征，发现失陷资产，支撑应急响应。

l 安全运营，威胁事件分析场景。针对海量告警进行分诊，收敛威胁处置面，聚焦关键威胁。

l 威胁管理，情报数据运营场景。针对本地自有情报、告警进行威胁定性，和上下文富化，增强自建情报的质量。

攻防演练趋向成熟和体系化，安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享，结合攻防演练活动趋势，探讨企业重保应对之道。

1、攻防演练更加贴近实战，钓鱼成为最有效攻击方式

刘现磊：追溯实战攻防演练的发展，可以发现，大型攻防演练活动越发接近真实攻击，使用的手段也不再那么局限，促使大部分企业开始弱化演习活动的时效性，而是平战结合，将安全工作常态化，并以数据保护结果导向。

综合来看，在演练过程中，攻击队会在侦查阶段收集信息，在突防阶段利用漏洞、钓鱼等进行突防，然后利用系统服务横移、锁定靶标机器，最后通过进程注入、提权等方式拿下靶标主机，获取数据。

因此，企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊：基于“永不信任、持续验证”的原则，零信任能够在企业传统的网络基础架构之上，构建以身份为中心的，贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中，零信任“以完全，应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期，保障企业基础安全。

l 在事前的侦查阶段，最小化授权，收敛暴露面；

l 在事中的突防阶段，零信任架构可以对访问主体进行信任评估，持续对访问行为进行检测，防止钓鱼攻击事件的发生；

l 在事中的横向移动阶段，零信任架构能够监测到横向移动并进行动态降权，通过终端微隔离和动态访问控制，收敛攻击面；

l 在事后反渗透阶段，对终端、网络访问留痕，实现溯源反制。

2023年云上重保洞察，“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察，带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩：根据过往重保调研显示，外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中，外网打点占比达到89%，使用到0Day的占到近40%；钓鱼占比约7%，拿下近50%得分；内存马是一种无文件落地的Webshell，通过代码执行实现注入内存马，在2022重保中，所有攻击方均使用到内存马技术。

2、知己知彼，从“攻”、“守”角度看重保工作要点

葛浩：从蓝军视角来看，攻击队在攻击前期会隐藏网络资源标识，并对企业资产暴露面进行分析，收集目标企业的对外资产信息；接下来，对网络漏洞进行扫描，分析并验证入侵路径；当分析得到有效漏洞入侵攻击路径后，将针对目标服务器的脆弱性发起渗透攻击；外网打点突破边界后，蓝军将继续进行横向渗透，逐步扩大攻击成果。

基于蓝军的攻击方式，防守方可以在攻击的前、中、后期有针对性地应对重保：

在前期的准备阶段，防守方需要提高全员安全意识；收回所有系统权限，按最小权限原则重新分配；主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段，进行资产的梳理和管理；识别风险隐患，并通过渗透攻击与红蓝对抗的方式，深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段，实时监测攻击，快速响应；在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系，层层构筑安全防线

葛浩：为帮助企业建立全面、高效的防护体系，腾讯安全推出“3+1”一站式重保解决方案，构筑三道坚实的安全防线。

第一道防线——云防火墙：提供访问控制、入侵防御、身份认证等安全能力，可自动梳理云上资产、发现并收敛暴露面；

第二道防线——Web应用防火墙：可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护；

第三道防线——主机/容器安全：提供纵深防御能力和漏洞自动修复能力，实现入侵行为的有效阻断；

安全中心——管理三道防线、多账号、多云统一管理：联动各产品原子能力，实现云安全的一站式联动控制、功能互通与数据协同，极大提效安全运营与响应。

新攻防态势下，敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势，就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高：如今，数字化浪潮正席卷各行各业，企业转型升级也带来了技术、管理、人才等方面的变革，与此同时，网络安全威胁也在升级进化，企业面临以下几点困境：

l AI技术革新，攻击效率大幅提升；

l 开源组件被业务广泛应用，业务支撑生态风险面扩大；

l 云/IoT等新技术普及应用及开发模式变化，使得风险引入面持续增加；

l 攻击对手各异，告警增多导致人才处置资源短缺；

l 攻防演习手段多变，钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高：面对愈发复杂的威胁态势，企业安全运营需要进行具备三大能力：

一是技术力，包括更敏锐的风险发现能力，更全面的攻击面管理能力，更丰富的SaaS云端安全能力；

二是流程化能力，包括灵活、快速的安全响应能力，可追溯、审计的流程管理能力；

三是运营人效，即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高：重保期间，攻击日的一次扫描就会触发大量告警，给安全分析研判带来较大负担，同时安全事件的封禁处流流程往往较以来人工操作，基于此，腾讯安全加速布局安全运营领域，并沉淀出三大服务能力，推动安全建设工作向纵深发展。

l 自动化工作流平台：“融合SOAR，但不仅仅是SOAR”，腾讯工作流编排平台由腾讯云安全运营团队打造，覆盖腾讯内部7大BG，支持数百种安全应用场景，能够在常规运营阶段、重保时期等实现运营流程的10X级提速，如分析告警攻击IP行为并联动威胁情报进行安全产品拦截，漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力：覆盖主流数据泄露渠道，并具备专职交易泄露分析能力，辅助企业研判危害，具备行业的分钟级泄露监测响应系统；

l 漏洞监测响应系统：运营超过500一手情报源，支持上千种组件订阅的情报订阅系统，支持与VPT方案落地。

为帮助企业顺利度过重保季，腾讯安全将开展为期一个月的重保专场公开课，从能力构建的维度，面向企业客户进行实战经验分享与备战指导，帮助企业全面提升基础安全能力水平。下一期，我们将聚焦具有云上业务的大型企业的攻防实战，带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课，敬请期待。

产业安全公开课：重保场景下，企业如何高效提升基础安全防护？

近年来，相关政策持续出台带动了各行各业网络安全意识的提升，重保已成为政企单位的要点工作之一。然而，随着互联网新技术的发展，黑产攻击手法也在升级，针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗，影响重保工作的顺利进行。

4月6日，腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点，联合举办《原引擎：重保备战部署，如何高效构建企业基础安全防护能力》产业安全公开课，邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高，分享企业安全建设的思路与心得，以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化，安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角，从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化，驱动安全能力建设提质

黄羽：当前，在政策的推动下，网络安全上升至国家战略，国家级、行业级安全攻防演练常态化，更注重实战效果，安全建设需要具备安全攻防能力。从安全攻防实战角度来看，目前安全攻防面临三大挑战：第一是无法有效应对0day/1day漏洞，第二是检测场景覆盖度不足，第三是缺少快速响应和联动机制。

因此，企业在进行重保工作的能力部署时，亟需提升安全攻防场景下漏洞防护、攻击方式检出率；同时深化安全攻防专项威胁情报能力，与安全防护体系融合应用。

2、腾讯SOC+安全运营体系，构建响应闭环“安全攻防”最佳效果

黄羽：面对指数级增长的威胁和告警，腾讯安全推出SOC+安全运营体系，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵，可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例，腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕，帮助客户提升安全攻防实际效果。经过实战检验，NDR天幕实现日均8亿次拦截攻击，阻断率达99.99%以上，无失败反馈；规则库及时更新，及时响应0day。

化“被动防御”为“主动防御”，威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点，分享威胁情报的价值，以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻，威胁情报助力主动防御

高睿：随着全球数字化进程的不断加快，网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显，企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段，能够通过多维度、全方位的情报感知，以及情报信息的深度挖掘与分析，帮助信息系统安全管理人员及时了解系统的安全态势，并对威胁动向做出合理的预判，对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿：威胁情报是企业安全运营中告警优先级排序的关键依据，并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中，将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看，主要有以下几个方面：

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机，防止个人及组织信息泄漏，或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设，安全设备的不断增多，企业每日告警量呈指数级增长，威胁情报能够通过外网视野对安全事件进行分级，有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后，企业可以根据威胁情报研判威胁来源攻击方式，并结合自身受攻击的业务属性，定性威胁入侵目的寻找更多线索，尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理，辅助收敛提升防御能力。并提供持续的风险监测能力，包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面，高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿：尽管威胁情报的市场增长快、空间大、应用价值高，但受限于成本和使用难度，威胁情报存在覆盖少、门槛高、用不好等问题，导致整体渗透率不高。

针对这一问题，腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM（攻击面管理情报）、TIX-SDK/API（情报原子能力）、TIX-TIP（威胁情报平台）四大产品矩阵，能够基于四大场景为安全运营提质增效，增强现有安全体系威胁检出能力。

l 边界防护，入侵风险阻断场景。基于攻击者视角，发现可疑\恶意来源IP，降噪误报，一键封禁。

l 流量检测，失陷主机发现场景。基于流量出站访问IP、域名、URL等特征，发现失陷资产，支撑应急响应。

l 安全运营，威胁事件分析场景。针对海量告警进行分诊，收敛威胁处置面，聚焦关键威胁。

l 威胁管理，情报数据运营场景。针对本地自有情报、告警进行威胁定性，和上下文富化，增强自建情报的质量。

攻防演练趋向成熟和体系化，安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享，结合攻防演练活动趋势，探讨企业重保应对之道。

1、攻防演练更加贴近实战，钓鱼成为最有效攻击方式

刘现磊：追溯实战攻防演练的发展，可以发现，大型攻防演练活动越发接近真实攻击，使用的手段也不再那么局限，促使大部分企业开始弱化演习活动的时效性，而是平战结合，将安全工作常态化，并以数据保护结果导向。

综合来看，在演练过程中，攻击队会在侦查阶段收集信息，在突防阶段利用漏洞、钓鱼等进行突防，然后利用系统服务横移、锁定靶标机器，最后通过进程注入、提权等方式拿下靶标主机，获取数据。

因此，企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊：基于“永不信任、持续验证”的原则，零信任能够在企业传统的网络基础架构之上，构建以身份为中心的，贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中，零信任“以完全，应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期，保障企业基础安全。

l 在事前的侦查阶段，最小化授权，收敛暴露面；

l 在事中的突防阶段，零信任架构可以对访问主体进行信任评估，持续对访问行为进行检测，防止钓鱼攻击事件的发生；

l 在事中的横向移动阶段，零信任架构能够监测到横向移动并进行动态降权，通过终端微隔离和动态访问控制，收敛攻击面；

l 在事后反渗透阶段，对终端、网络访问留痕，实现溯源反制。

2023年云上重保洞察，“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察，带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩：根据过往重保调研显示，外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中，外网打点占比达到89%，使用到0Day的占到近40%；钓鱼占比约7%，拿下近50%得分；内存马是一种无文件落地的Webshell，通过代码执行实现注入内存马，在2022重保中，所有攻击方均使用到内存马技术。

2、知己知彼，从“攻”、“守”角度看重保工作要点

葛浩：从蓝军视角来看，攻击队在攻击前期会隐藏网络资源标识，并对企业资产暴露面进行分析，收集目标企业的对外资产信息；接下来，对网络漏洞进行扫描，分析并验证入侵路径；当分析得到有效漏洞入侵攻击路径后，将针对目标服务器的脆弱性发起渗透攻击；外网打点突破边界后，蓝军将继续进行横向渗透，逐步扩大攻击成果。

基于蓝军的攻击方式，防守方可以在攻击的前、中、后期有针对性地应对重保：

在前期的准备阶段，防守方需要提高全员安全意识；收回所有系统权限，按最小权限原则重新分配；主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段，进行资产的梳理和管理；识别风险隐患，并通过渗透攻击与红蓝对抗的方式，深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段，实时监测攻击，快速响应；在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系，层层构筑安全防线

葛浩：为帮助企业建立全面、高效的防护体系，腾讯安全推出“3+1”一站式重保解决方案，构筑三道坚实的安全防线。

第一道防线——云防火墙：提供访问控制、入侵防御、身份认证等安全能力，可自动梳理云上资产、发现并收敛暴露面；

第二道防线——Web应用防火墙：可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护；

第三道防线——主机/容器安全：提供纵深防御能力和漏洞自动修复能力，实现入侵行为的有效阻断；

安全中心——管理三道防线、多账号、多云统一管理：联动各产品原子能力，实现云安全的一站式联动控制、功能互通与数据协同，极大提效安全运营与响应。

新攻防态势下，敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势，就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高：如今，数字化浪潮正席卷各行各业，企业转型升级也带来了技术、管理、人才等方面的变革，与此同时，网络安全威胁也在升级进化，企业面临以下几点困境：

l AI技术革新，攻击效率大幅提升；

l 开源组件被业务广泛应用，业务支撑生态风险面扩大；

l 云/IoT等新技术普及应用及开发模式变化，使得风险引入面持续增加；

l 攻击对手各异，告警增多导致人才处置资源短缺；

l 攻防演习手段多变，钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高：面对愈发复杂的威胁态势，企业安全运营需要进行具备三大能力：

一是技术力，包括更敏锐的风险发现能力，更全面的攻击面管理能力，更丰富的SaaS云端安全能力；

二是流程化能力，包括灵活、快速的安全响应能力，可追溯、审计的流程管理能力；

三是运营人效，即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高：重保期间，攻击日的一次扫描就会触发大量告警，给安全分析研判带来较大负担，同时安全事件的封禁处流流程往往较以来人工操作，基于此，腾讯安全加速布局安全运营领域，并沉淀出三大服务能力，推动安全建设工作向纵深发展。

l 自动化工作流平台：“融合SOAR，但不仅仅是SOAR”，腾讯工作流编排平台由腾讯云安全运营团队打造，覆盖腾讯内部7大BG，支持数百种安全应用场景，能够在常规运营阶段、重保时期等实现运营流程的10X级提速，如分析告警攻击IP行为并联动威胁情报进行安全产品拦截，漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力：覆盖主流数据泄露渠道，并具备专职交易泄露分析能力，辅助企业研判危害，具备行业的分钟级泄露监测响应系统；

l 漏洞监测响应系统：运营超过500一手情报源，支持上千种组件订阅的情报订阅系统，支持与VPT方案落地。

为帮助企业顺利度过重保季，腾讯安全将开展为期一个月的重保专场公开课，从能力构建的维度，面向企业客户进行实战经验分享与备战指导，帮助企业全面提升基础安全能力水平。下一期，我们将聚焦具有云上业务的大型企业的攻防实战，带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课，敬请期待。

产业安全公开课：重保场景下，企业如何高效提升基础安全防护？

近年来，相关政策持续出台带动了各行各业网络安全意识的提升，重保已成为政企单位的要点工作之一。然而，随着互联网新技术的发展，黑产攻击手法也在升级，针对关基设施、重要信息系统运营使用单位、信息密集型企业的网络攻击愈发猖獗，影响重保工作的顺利进行。

4月6日，腾讯安全、腾讯云开发者社区、腾讯产业互联网学堂、安全媒体FreeBuf聚焦重保期间的数字化资产防护难点，联合举办《原引擎：重保备战部署，如何高效构建企业基础安全防护能力》产业安全公开课，邀请腾讯SOC+产品策划负责人黄羽、腾讯威胁情报高级产品经理高睿、腾讯安全高级产品行销经理刘现磊、腾讯云原生安全产品专家葛浩、腾讯安全专家工程师刘志高，分享企业安全建设的思路与心得，以期帮助企业构建更高效、更完备的安全防御体系。

攻防演练常态化，安全建设要朝实战化方向发展

腾讯SOC+产品策划负责人黄羽基于安全攻防视角，从痛点、实战等方面分享网络安全攻防重点能力建设思路。

1、攻防演练常态化，驱动安全能力建设提质

黄羽：当前，在政策的推动下，网络安全上升至国家战略，国家级、行业级安全攻防演练常态化，更注重实战效果，安全建设需要具备安全攻防能力。从安全攻防实战角度来看，目前安全攻防面临三大挑战：第一是无法有效应对0day/1day漏洞，第二是检测场景覆盖度不足，第三是缺少快速响应和联动机制。

因此，企业在进行重保工作的能力部署时，亟需提升安全攻防场景下漏洞防护、攻击方式检出率；同时深化安全攻防专项威胁情报能力，与安全防护体系融合应用。

2、腾讯SOC+安全运营体系，构建响应闭环“安全攻防”最佳效果

黄羽：面对指数级增长的威胁和告警，腾讯安全推出SOC+安全运营体系，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。腾讯SOC+安全运营体系通过集成TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵，可实现中低风险自动处置、高风险通知到人、真实攻击行为一键高效阻断/自动阻断的安全攻防效果。

以某银行客户为例，腾讯安全在流量检测和边界防护方面部署了NDR御界和NDR天幕，帮助客户提升安全攻防实际效果。经过实战检验，NDR天幕实现日均8亿次拦截攻击，阻断率达99.99%以上，无失败反馈；规则库及时更新，及时响应0day。

化“被动防御”为“主动防御”，威胁情报为安全运营提效

腾讯威胁情报高级产品经理高睿结合当下安全运营痛点、难点，分享威胁情报的价值，以及如何在百万告警中精准发现关键威胁。

1、安全运营挑战日益严峻，威胁情报助力主动防御

高睿：随着全球数字化进程的不断加快，网络安全威胁也在逐步攀升。关键威胁难以发现、海量告警难以应对、复杂威胁难以处置等问题日益凸显，企业需要实战化的检测能力、更清晰的告警分级、场景化的威胁画像来提升自身防御水平。

“威胁情报”作为一种新兴的安全防御手段，能够通过多维度、全方位的情报感知，以及情报信息的深度挖掘与分析，帮助信息系统安全管理人员及时了解系统的安全态势，并对威胁动向做出合理的预判，对提高企业网络安全防御体系的防御能力起到积极而关键的作用。

2、威胁情报在安全运营中的应用

高睿：威胁情报是企业安全运营中告警优先级排序的关键依据，并已经成为企业安全运营的“神经”和“大脑”。将威胁情报的能力部署在安全设备中，将大幅提升企业的威胁发现能力和事件分析能力。从具体的价值效果来看，主要有以下几个方面：

l 失陷主机发现。威胁情报能够帮助运营人员及时发现内部被黑客控制的主机，防止个人及组织信息泄漏，或成为攻击跳板进一步危害内网安全。

l 海量告警的分诊。随着安全体系建设，安全设备的不断增多，企业每日告警量呈指数级增长，威胁情报能够通过外网视野对安全事件进行分级，有效缓解安全运营处理压力。

l 安全事件关联分析与溯源。在威胁事件发生后，企业可以根据威胁情报研判威胁来源攻击方式，并结合自身受攻击的业务属性，定性威胁入侵目的寻找更多线索，尽快回溯攻击源。

l 资产暴露面风险评估。威胁情报能够对攻击面进行梳理，辅助收敛提升防御能力。并提供持续的风险监测能力，包括定向钓鱼行为、信息泄露情况、敏感组件&服务、可疑关联资产、弱密码入侵面，高危重点漏洞等。

3、威胁情报的应用存在覆盖少、门槛高、用不好等问题

高睿：尽管威胁情报的市场增长快、空间大、应用价值高，但受限于成本和使用难度，威胁情报存在覆盖少、门槛高、用不好等问题，导致整体渗透率不高。

针对这一问题，腾讯安全威胁情报中心集成TIX-情报查询社区、TIX-ASM（攻击面管理情报）、TIX-SDK/API（情报原子能力）、TIX-TIP（威胁情报平台）四大产品矩阵，能够基于四大场景为安全运营提质增效，增强现有安全体系威胁检出能力。

l 边界防护，入侵风险阻断场景。基于攻击者视角，发现可疑\恶意来源IP，降噪误报，一键封禁。

l 流量检测，失陷主机发现场景。基于流量出站访问IP、域名、URL等特征，发现失陷资产，支撑应急响应。

l 安全运营，威胁事件分析场景。针对海量告警进行分诊，收敛威胁处置面，聚焦关键威胁。

l 威胁管理，情报数据运营场景。针对本地自有情报、告警进行威胁定性，和上下文富化，增强自建情报的质量。

攻防演练趋向成熟和体系化，安全工作朝常态化方向发展

腾讯安全高级产品行销经理刘现磊带来《零信任在攻防演练中的价值》主题分享，结合攻防演练活动趋势，探讨企业重保应对之道。

1、攻防演练更加贴近实战，钓鱼成为最有效攻击方式

刘现磊：追溯实战攻防演练的发展，可以发现，大型攻防演练活动越发接近真实攻击，使用的手段也不再那么局限，促使大部分企业开始弱化演习活动的时效性，而是平战结合，将安全工作常态化，并以数据保护结果导向。

综合来看，在演练过程中，攻击队会在侦查阶段收集信息，在突防阶段利用漏洞、钓鱼等进行突防，然后利用系统服务横移、锁定靶标机器，最后通过进程注入、提权等方式拿下靶标主机，获取数据。

因此，企业在备战重保时需要格外注意在分支、供应链接入方面的安全投入。管理上不够规范，容易被钓鱼突破然后往总部内网走，是当前最有效的攻击手段和最薄弱的环节。

2、零信任架构在攻防演练中的作用

刘现磊：基于“永不信任、持续验证”的原则，零信任能够在企业传统的网络基础架构之上，构建以身份为中心的，贯穿企业网络-应用-资源-数据全链路、一体化的安全网络。在攻防演练中，零信任“以完全，应万变”的防护思路能够保证重保部署覆盖攻防的事前、事中、事后全周期，保障企业基础安全。

l 在事前的侦查阶段，最小化授权，收敛暴露面；

l 在事中的突防阶段，零信任架构可以对访问主体进行信任评估，持续对访问行为进行检测，防止钓鱼攻击事件的发生；

l 在事中的横向移动阶段，零信任架构能够监测到横向移动并进行动态降权，通过终端微隔离和动态访问控制，收敛攻击面；

l 在事后反渗透阶段，对终端、网络访问留痕，实现溯源反制。

2023年云上重保洞察，“3+1”安全防护全链路布防

腾讯云原生安全产品专家葛浩结合自身实践经验及以往重保的洞察，带来《重保场景云上安全建设快速掌握》主题分享。

1、过往重保攻击事件中外网打点占比高达89%

葛浩：根据过往重保调研显示，外网打点、钓鱼攻击、内存马攻击在攻防演练场景中经常出现。其中，外网打点占比达到89%，使用到0Day的占到近40%；钓鱼占比约7%，拿下近50%得分；内存马是一种无文件落地的Webshell，通过代码执行实现注入内存马，在2022重保中，所有攻击方均使用到内存马技术。

2、知己知彼，从“攻”、“守”角度看重保工作要点

葛浩：从蓝军视角来看，攻击队在攻击前期会隐藏网络资源标识，并对企业资产暴露面进行分析，收集目标企业的对外资产信息；接下来，对网络漏洞进行扫描，分析并验证入侵路径；当分析得到有效漏洞入侵攻击路径后，将针对目标服务器的脆弱性发起渗透攻击；外网打点突破边界后，蓝军将继续进行横向渗透，逐步扩大攻击成果。

基于蓝军的攻击方式，防守方可以在攻击的前、中、后期有针对性地应对重保：

在前期的准备阶段，防守方需要提高全员安全意识；收回所有系统权限，按最小权限原则重新分配；主动进行安全设备的采购部署。

在中期的信息收集和弱点分析阶段，进行资产的梳理和管理；识别风险隐患，并通过渗透攻击与红蓝对抗的方式，深度发现业务风险和防护缺陷。

在后期的渗透攻击和横向移动阶段，实时监测攻击，快速响应；在内网实施更严格的隔离管控措施。

3、腾讯云原生安全“3+1”防护体系，层层构筑安全防线

葛浩：为帮助企业建立全面、高效的防护体系，腾讯安全推出“3+1”一站式重保解决方案，构筑三道坚实的安全防线。

第一道防线——云防火墙：提供访问控制、入侵防御、身份认证等安全能力，可自动梳理云上资产、发现并收敛暴露面；

第二道防线——Web应用防火墙：可为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护；

第三道防线——主机/容器安全：提供纵深防御能力和漏洞自动修复能力，实现入侵行为的有效阻断；

安全中心——管理三道防线、多账号、多云统一管理：联动各产品原子能力，实现云安全的一站式联动控制、功能互通与数据协同，极大提效安全运营与响应。

新攻防态势下，敏捷安全运营成为安全建设方向

腾讯安全专家工程师刘志高聚焦数字化时代背景下的攻防态势，就如何构建敏捷安全运营提出了自己的思考和建议。

1、数字化新时期带来更多攻击威胁

刘志高：如今，数字化浪潮正席卷各行各业，企业转型升级也带来了技术、管理、人才等方面的变革，与此同时，网络安全威胁也在升级进化，企业面临以下几点困境：

l AI技术革新，攻击效率大幅提升；

l 开源组件被业务广泛应用，业务支撑生态风险面扩大；

l 云/IoT等新技术普及应用及开发模式变化，使得风险引入面持续增加；

l 攻击对手各异，告警增多导致人才处置资源短缺；

l 攻防演习手段多变，钓鱼及供应链攻击逐步成为突破口。

2、未来安全运营需要更快速、更高效的应对手段

刘志高：面对愈发复杂的威胁态势，企业安全运营需要进行具备三大能力：

一是技术力，包括更敏锐的风险发现能力，更全面的攻击面管理能力，更丰富的SaaS云端安全能力；

二是流程化能力，包括灵活、快速的安全响应能力，可追溯、审计的流程管理能力；

三是运营人效，即智能化技术的应用能力和安全资源的整合能力。

3、腾讯安全敏捷安全运营为安全建设再加“砝码”

刘志高：重保期间，攻击日的一次扫描就会触发大量告警，给安全分析研判带来较大负担，同时安全事件的封禁处流流程往往较以来人工操作，基于此，腾讯安全加速布局安全运营领域，并沉淀出三大服务能力，推动安全建设工作向纵深发展。

l 自动化工作流平台：“融合SOAR，但不仅仅是SOAR”，腾讯工作流编排平台由腾讯云安全运营团队打造，覆盖腾讯内部7大BG，支持数百种安全应用场景，能够在常规运营阶段、重保时期等实现运营流程的10X级提速，如分析告警攻击IP行为并联动威胁情报进行安全产品拦截，漏洞情报的自动化响应处置、数据泄露的自动化应急等场景。

l 数据泄露监测能力：覆盖主流数据泄露渠道，并具备专职交易泄露分析能力，辅助企业研判危害，具备行业的分钟级泄露监测响应系统；

l 漏洞监测响应系统：运营超过500一手情报源，支持上千种组件订阅的情报订阅系统，支持与VPT方案落地。

为帮助企业顺利度过重保季，腾讯安全将开展为期一个月的重保专场公开课，从能力构建的维度，面向企业客户进行实战经验分享与备战指导，帮助企业全面提升基础安全能力水平。下一期，我们将聚焦具有云上业务的大型企业的攻防实战，带来《云上篇-重保期间云上资产安全建设经验分享》主题公开课，敬请期待。