腾讯-互联网暴露面收敛——从风险识别到动态清零的攻防实战

互联网暴露面风险趋势与能力建设本产品孵化自腾讯安全实验室，历经多年攻防实战的锤炼，专注于在大型攻防演练和日常安全运营中精准发现风险，最终为企业实现降本增效。关于暴露面梁国锋多年大型攻防演练经验，对攻与防有深入的实战理解，负责暴露面的产品设计与技术规划，从0到1的落地与建设。讲师介绍暴露面产品负责人目录 Menu•互联网暴露面风险趋势•构建持续的暴露面收敛能力互联网暴露面风险趋势攻击趋利化，自动化，成主流攻击手段威胁主体利用技术趋势National Governments“国家级”攻击力量Terrorists / Hacktivists恐怖分子/无政府主义黑客Industrial Spies and Organized Crime Groups商业间谍和有组织犯罪（黑灰产）Hackers一般黑客Insiders内部无意识/恶意用户Foreign intelligence servicesBot-network operatorsSpyware/malware controllerPhishers/SpammersBotnet控制者0Day研究 / APT供应链攻击硬件/固件攻击物理设施/设备攻击Botnet DDOS勒索软件挖矿软件邮件/钓鱼/恶意软件0Day利用/APT针对AI的攻击AI辅助攻击受攻击目标National critical infrastructure 国家关键基础设施：能源、交通、金融、通信等关键领域的机密性和可用性 Controlled Unclassified Information 受控未分类信息：政府和重要企事业单位的非涉密信息Commercial data 一般商业数据：一般企业的商业和业务经营数据Personally identifiable information (PII) 个人敏感信息：个人身份、隐私相关的敏感数据Classified information 分类(涉密)信息：政府及军事领域的涉密信息和系统邮件/钓鱼/恶意软件0Day利用/扫描弱口令Web漏洞邮件/钓鱼/恶意软件弱口令/无意识信息泄露越权访问保密法分级保护军工保密FAA 1600.2DOD SRGITAR/FIPS信息安全法等级保护 4+FISMAFedRAMPHigh网络安全法等级保护 3+FISMAFedRAMPLow+SOXHIPAAPCI-DSSHIPAAGDPR个人信息保护法数据安全法➢ 针对企业和重要机构的高危害攻击案例每年增加约27%。➢ 2025年国际国内政企行业勒索事件、数据窃取事件，层出不穷。产品告警驱动向暴露面管理驱动转变误报事件授权事件情报事件主机安全事件SOC（威胁情报、漏洞情报）（密钥泄露、代码泄露等）（HIDS）（控制台操作）良性事件泄露事件恶意事件（漏洞误报等）误配置（产品/系统/应用不当配置）暴力破解（暴力破解成功）木马事件（木马/病毒/webshell等）反弹shell（命令执行、远程提权）产品告警驱动威胁暴露面驱动 业务数据IT 边界暴露面漏洞/入侵利用•防火墙•IPS/XDR•……从 产品告警 驱动向 攻击视角威胁暴露面 转变 互联网隐匿攻击案例A PI 接口泄露利用API接口的未授权、越权等问题，低速非法获取数据、敏感token、密钥等因权限设置不当被恶意上传引流。导致存储桶被盗刷流量、造成财产损失、损害域名信誉、被通报。存储桶盗刷信息泄露隐私泄露被入侵风险Stealer 泄露直接访问核心系统利用暗网泄露的凭据直接绕开认证登录系统传统扫描VS渗透存在的局限性渗透测试及红蓝原理漏扫聚焦已知漏洞，存在局限性渗透测试可识别暴露面，但实施成本较高漏洞扫描原理报告生成扫描结果扫描数据库用户界面漏洞库扫描引擎扫描对象➢ 业务对外暴露面持续增加，可以被攻击者利用的风险点增加，往往在没有意识到的地方出现安全风险，导致业务被入侵➢ 架构复杂度持续增加，使用的业务组件和服务应用往往导致不可控的风险，疏漏之处往往是被入侵的突破点攻强防弱—攻防演练常态化下的运营困境差距点：攻击方往往占据攻防主动权，开展 持续、深度的风险面管理，才能化被动为主动攻击方防守方✓ 技术精湛，各单位优秀渗透人员✓ 团队作战，各人才分工明确高效人员武器资金情报人员武器天时地理✓ 大量0day漏洞储备✓ 专业攻防协作平台及工具集✓ 多团队投入，形成A/B多联队✓ 外网专家储备✓ 精良部队，各单位优秀渗透人员✓ 团队作战，分工专业✗ 缺攻防经验，负责人以项目经理为主✗ 缺乏磨合，临时组建无实战配合✗ 已有安全厂商设备，IP封堵为主✗ 设备能力层次不齐✗ 价低者中标✗ 部分单位租借或友情支持✗ 情报滞后，响应较晚✗ 虚假情报满天飞，干扰分析精力✓ 战场主动权，随意选择攻击目标✓ 技术精湛，各单位优秀渗透人员✓ 团队作战，各人才分工明确高效✓ 专业攻防协作平台及工具集✓ 更多攻防数据挖掘平台（社工、云等）✓ 持久战，随意选择攻击时间、以逸待劳✗ 仅了解已知资产，供应链、分子公司等风险覆盖不全以前的攻防演练（14天高频对抗）现在的攻防演练（持续且深入的较量）✗ 防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力✗ 缺乏云服务、员工社工钓鱼风险发现能力✗ 缺攻防经验，负责人以项目经理为主✗ 缺乏磨合，临时组建无实战配合✗ 黑白交替、拉锯战容易导致身心俱疲解决思路——暴露面管理服务威胁暴露面管理 = 攻击面管理+风险验证+自动化修复改进漏洞管理行业正在从有针对性的漏洞识别和修复发展为更全面的暴露管理方法，Gartner 将其称为持续威胁暴露管理 ( CTEM )来源：https://techcommunity.microsoft.com/t5/microsoft-defender-for-cloud/exposure-management-the-evolution-of-vulnerability-management/ba-p/4084587持续威胁暴露面管理（CTEM）– Continuous Threat Exposure ManagementCTEM 官方定义世界TOP企业安全实践即持续不断评估企业数字和物理资产的可访问性、暴露性和可利用性腾讯实践对比项持续威胁暴露面（需具备的能力）腾讯服务解决方案（落地手段）范围界定✓腾讯 EM 暴露面管理平台持续发现✓优先级划分✓风险验证✓动员修复✓漏洞扫描 VS 暴露面管理漏洞扫描暴露面管理关注范围查看组织系统、配置和软件中的弱点漏洞（CVEs）攻击者可能可见和访问的所有内容，包括但不限于：漏洞（CVEs or non-CVEs）、云配置错误、凭据被盗、钓鱼风险等攻击面端点（系统、应用）内部、外部、云、物联网设备、用户和供应链实施方式周期扫描，每周1-2次近实时监测及扫描、原生集成各种API（测绘、数据泄露、子公司、情报等）评估方法严重度严重度、威胁等级、安全措施有效性、利用实施难度、业务影响风险量化无法量化风险量化方式（VPT），基于情报动态评估，联动业务团队对齐风险修复补丁补丁、控制措施（策略、MFA等）、配置修改等运营价值单向依赖 CMDB，通常资产易过期双向集成，EM 平台能 帮助更新 CMDB 资产案例1：漏洞