重保备战部署，如何高效构建企业基础安全防护能力？原创

首先请允许我为大家介绍今天线上分分享的几位嘉宾，他们分别是腾讯so加产品负责人黄宇讯、高腾葛。好的，那在我们今天演讲开始之前也先插播一个抽奖的预告，那今天我们的直播将有两轮抽奖活动，每轮我们会选出十名幸运观众，送出我们的特别礼品，大家可以现在就扫描呃，我这个背景板上的微信群的二维码，欢迎大家扫码进群，那进群之后呢，后续可以参与我们的这个互动抽的环节，那接下来我们就开始今天的第一个议题分享，首先有请腾讯加产品策划负责人黄宇为我们带来攻防视角下完善网络安全攻防重点能力建设的分享，那请黄老师开。

好的好的，请问请问各位可以看到我这个屏幕吗？可以的，是清楚的。好的好的，那我就开始我的分享，好感谢大家，大家下午好，我是腾讯安全管理中心的黄宇，那么今天呢，我为大家分享的题目是安全攻防场景下网络安全攻防重点能力建设，也会结合我们自己的一些这种项目经验和腾讯安全攻防的一些这种能力，为大家做一些这种重点的这种讲解。那今天我的讲解的这种议题的话，主要分为四个，第一个议题是安全攻防面临的一些这种问题和挑战，会结合我们一些这种安防，安全攻防场景下我们的一些这种项目经验，做一个呃问题和挑战的一些这种总结。第二块的话是安全攻防场景能力这种建设思路，会结合我们呃的一些这种问题和挑战，会呃呃制定一些我们自己的一些这种能力建设思路。第三块的话，主要是在腾讯安全在重点攻防能力的一些这种介绍，那么最后的话会对我们整体腾讯安全攻方实战效果的一些做一些这种展示。

好，那第一块的话，主要是安全攻防面临的问题与挑战，那这块的话，其实大家呃应该都比较清楚的就是呃目前来看的话，就是国家级包括行业级的这种安全攻防演练是呃常态化了，呃包括从大家参与的各种这种演练来看的话，逐年的这种要求都是在这种呃要求在增大，包括我们也看到随着这个每年这种腾讯也是每年都会参加这个实战攻防这种演练，可以看到就是从2020年开始的话，公益队其实也是大量采用的像一些这种钓鱼啊进场工具，包括林队，导致我们整个防守方的整个一个检测难度也在增大，那在整个过程中的话，其实需要大家去更注重一些这种实战化，这种安全攻防这种效果，去提升我们整个一个安全攻防的一些这种能力建设。

还有就是可以大家可以看到，就是随着一些这种安全挑战呢，包括一些这种政策的这种升级，可以看到就是我列举的一些就是近几年呃，有一些这种安全事件这种频发，包括一些这种呃，外部的一些这种数据泄露啊，地S啊，勒索挖矿的一些这种事件，导致这种业务造成大量这种损失，包括其实各各全国各地的话，一些这种行业级的，包括地方级的一些这种演练啊，也在持续的这种加深这个演练这种难度。那随之而来的话，就是一些这种攻击规模高速增长，呃，高级威胁检测一些这种日日常化，呃安全事故呢，其实是这种企业也是比较难承受的，还有就是政策法规是持续加强，导致这种安全责任制的这种升级，需要企业更多的去注重这种主动防御种框架，然后各行各业的话，这种演练的话，基本上也是成为这种常态化，需要注重这些实战的这种防护能力。那么目前来看的话，传统的这种检测和防御这种方案的话，其实是难以应对这种不断更新这种攻击方式的，需要我们去专注的话，去提升我们一些安全攻防能力这种建设。

那目前来看的话就是呃，腾讯参加了呃非常多的这种呃安全攻防这种防守的这种项目，呃跟客户做一些这种交流啊，包括在防守过程中的话，就遇到了一些这种问题，比如说很多这种呃客户反应分支机构过多，互联网，互联网的这种暴露面呃比较大，还有一些经常会遭受一些这种社工啊，包括一些这种多密码的这种攻击啊，还有一些这种攻击发生了以后，导致一些这种溯源比较难，经常发生一些这种零队一队这种漏洞比较难修复。那在整个过程中的话，其实我们也也是总结了一些这种我们自己看到的一些这种呃防守方的一些这种痛点吧，痛点一主要是呃无法呃应对一些这种呃零队还有一队的这种攻击，大家可以看到就是呃目前越来越多这种安全攻防期间的话，会爆发一些这种零队和一对漏洞，那基本上是如果没有很好很好的这种呃呃有效防护方式是无法去应对的，还有就是攻击队呢，目前的话也会利用一些这种类去躲避一些这种检测，导致我们一些这种传统安全设备去无法去识别被绕过一些这种攻击。

还有就是发生了一些这种零对一对的话，其实我们无法去精准定位一些这种高级风险的，聚焦一些这种有价值的这种攻击行为。那第二块的话就是我们有一些这种呃呃检测场景的话，其实是覆盖不足的，包括缺乏一些这种全网的这种风险评估，覆盖一些这种安全，这种常见的这种攻击手法，包括异常检测去能更直接的去发现一些问题，还有就是缺少比如像一些这种呃邮件检测，包括恶意文件这种检测隐蔽吸等这种未知威胁，这种发现能力。呃，第三块的话就是就是比如说我们在这种互网过程中的话，其实是缺少一些这威胁情报的这种可靠的这种情报数据来支撑我们一些这种威胁的这种预警啊，检测和分析。那么第三块的这种痛点的话，是缺少一些这种快速这种响应和联动的这种机制，我们在整个一个安全攻防的这种过程中的话，是大量依靠这个人工去处置，无法对一些这种明显的这种攻击啊，做一些这种自动化的这种响应处置这种策略，然后变得有些这种海量的攻击行为的时候，导致我们有一些这种呃，阻断效率和阻断这种成功率都比较低，很多攻击都被漏过了，所以的话，我们失守的这种风险也会比较大，还有就是我们有一些这种攻击的话，需要应急处置的过程中呢，无法通过这种自定义规则去快速实现我们的防护效果，那么这些痛点的话，都导致我们有一些种安全攻防的这种效果比较差，就包呃，甚至有一些这种失分呐，或者说一一些这种严重的这种安全后果，那这块的话，其实在这整个过程的话，我们腾讯安全的话，也会对这种安全攻防场景的话，有一些这种能力建设思路的一些这种想法。

那整个我们的一些这种安全攻防建设这种思路呢，主要是围绕着一些这种安全这种攻防场景下的一些这种漏洞防护攻击方式的这种检出率去提升，还有的话就是去深化一些这种安全攻防的一些这种专项威胁情报能力，能与我们自己的一些这种目前现有的这种安全防护体系做一些这种融合的这种应用。具体来看的话，第一块是我们需要去加强一些这种零对检测的一些这种能力。

那么在这个零队和未知威胁这种预警的这种情况下，我们呃主要是想突出一些这种零类检测啊，包括一些这种黑客渗透到我们内部，有一些这种恒系呃横溢的这种检测能力可以检测呃检测出比如说一些这种呃通用的一些这种组件，这种零类啊，包括这种预控，这种渗透啊，还有一些这种变种，这种这种web效这种攻击的。然后的话，攻击的话，这种方式手法也是多样的，我们需要通过这种攻击者视角去补齐我们一些这种攻防检测这种能力，包括通过一些这种AI的手段，这种模型去赋能，能覆盖一些这种常见的这种攻击绕过的这种手段。那么第二块的话，主要是在一些这种防护的规则，要去做一些这种及及时这种更新，从而去提升我们对一些这种安全风险的这种响应种速度，那具体来看的话，是我们需要建立一些这种全面的安全风险的这种检测机制，可以去覆盖一些这种，比如说最广泛的一些这种新型的这种新的一些这种漏洞啊，包括新新新新出的一些这种攻击者能快速的去响应一些这种最新的种攻击方式。

还有的话就是其实攻防情况下的话，整个一个微情报能力这种建设也是尤为重要的，需要通过这种情报能力去快速发现一些这种恶意IP啊，包括一些这种境外的这种非法这种访问，实现这种主机等。那第三块的话，就是在我们检测出来一些这种安全威胁的时候，怎么样去通过我们这些这种响应阻断方式，达到一些这种秒级的这种攻击阻断这块能力的话，就是需要需要去体现一些这种快速的这种联动阻断，去避免一些这种攻击，这种持续的这种进行。包括在一些这种海量攻击这种场景下，可以去避免攻击率绕过，需要去具备一些这种高的这种攻击，这种阻断率，还有就是我们需要去灵活适配一些这种安全公告场景下的一些这种攻击阻阻断这种规则，具备一些这种全面这种阻断方式。然后第三块的话是主要是在一些这种场景下，我们可以去制定一些这种呃阻断这种策略，能提升一些这种自动化阻断处置的一些这种能力，来提升我们自动化中响应处置效果，降低我们对人工的一些这种依赖。

那具体来看的话，我们想达成的一些这种效果的话是，呃呃，希望能构建一个自适性的这种安全攻防体系，去免疫一些这种我们针对性的这种攻防场景下这种安全风险。主要是体现在首先我们需要具备这个安全这种防护能力，能快速去迭代，还有就是我们能快速去识别这种一些这种外部的这种威胁和内部的一些这种呃异常这种风险。然后针对性的能去对这种安全风险去做一些这种，比如说一些这种立体评估啊和可视化这种呈现，帮助我们快速直观的去了解，了解我们现在的一些这种风险的这种状态，那第四块的话就是我们希望我们整体一个这个这个方案，或者说我们整体一个防护能力是能做到一些这种云原生架构的一些这种适配，能满足一些我们比如说一些这种私有云呢，和公有云，包括这种多云混合云场景下的一些这种环境，环境这种兼容性。还有就是我们整体一个安全攻防能力这种建设啊，还有一些安全攻防能力这种补齐的话，需要通过一些这种快速的这种安装部署啊，包括一些这种业务侵入式的这种部署方式，甚至能达到一些这种几乎不需要人工去配置，能快速提升我们一些这种安全攻防能力的这种效果。

那这块的话，主要就是体现在我们呃腾讯安全在一些这种重点攻防能力的一些这种呃呃能力这种一些这种介绍了，来实现我们刚才所说的一些这种呃呃问题风险的这种解决，和我们一些思路的一些这种实现。那具体来看的话，我们主要是通过一些这种腾讯造家的一些这种安全运营体系，去构建一些从闭环响应到一些这种安全攻防的这种最佳这种实验效果，那整体一个效果的呈现能力的话，是通过一些这种安全攻防的一些这种呃设备的这种部署，实现一些这种中低的这种风险，可以自动化处置，高风险的话通知到人，包括一些这种真实的一些攻击行为，可以做到一些这种一键的高效高效阻断和自动化阻断。

那么具体实验来看的话，呃，我们主要是打造了一些这种小闭环的NDR能力，通过我们一些这种旁路的这种检测设备，去镜像我们一些这种流量，发现一些安全这种一些这种问题，通过这种安全这种阻断指令下发到我们一些糖果阻断这种设备里面，形成了一个从检测响应到情报的一些这种小闭环的一些这种呃呃呃N加这种方案，如果涉及到一些这种大闭环的这种方案，比如说我们要结合更多的这种多元知识，作为一些这种分析，可以引入到我们一些这种so火，形成一些这种差这种方案。就构成了一些这种从响应阻断到情报到服务到多元安全日志，还有一些我们一些这种偏指挥运营协调的一些这种方案，那整个一个我们体验的这种价值呢，是对一些这种零类和一类有一些这种读报检测能力，还有就是安全攻防期间的话，可以对一些这种呃规则进行一些这种及时更新，包括有一些这种安全的这种事件的话，我们可以做一些做到一些这种呃秒级这种阻断和一些自动化这种响应策略。通过一些我们专项的这种情报，可以去获取这些最新的这种情报和事件，达到一个呃，最快速的这种这种响应。

那这块通过部署我们这套方案的话，这边客户主要的收益的话，主要是提升在一些这种安全攻防场景下的一些这种独报，这种备，这种工体检测，及时的去响应安全攻防期间的一些这种风险，那么如在这种安安全攻防期间的话，日均的话，基本上可以达到抵挡上亿次的这种攻击，无一漏过，还有就是通过我们一些这种专项的这种情报能力可以去。推送我们专项的这种IC这种情报，达到一些这种快速这种响应。那具体来看的话，就是我们整体，呃，通过我们这个NDR网络检测与响应的这种产品，去通过结合我们一些这种专家规则呀，还有一些这种沙箱情报AI算法，包括我们一些这种技术，可以对这种流量进行一些这种协议的这种深度解析，文件还原，呃，对一些这种全全流量的信息就进行一些存储，发现一些这种恶意和潜在的威胁。具体来看的话，就是体现在我们会对一些这种深度的这种威胁进行一些检测，包括常见的像一些这种，呃，交易邮件发放啊，多种木马APP攻击啊，横向渗透这种能力，会结合我们这种情报做一些这种IOC，这种精准的这种情实现做一些这种检测，会通过我们情报补齐一些这种威胁者这种画像。

那溯源这块的话，会也会结合我们一些这种流量，这种日志做一个全文解锁，包括一些这种深度的这种分析还原，去做一些这种溯源。响应的话，这块主主要是通过我们一些这种旁路阻断这种方式，提升我们这种阻断这种效率，基本上可以达到这个四个九的这种响应阻断这种能力，那么我们的一些这种阻断能力的话，也可以通过这种API给第三方去做一些这种调用，实现一些这种自动化响应阻断效果。安全专题的话，也是针对我们聚焦的一些这种专门的安全问题，像一些这种密码安全呢，一些这种登录行为啊，数据泄露邮件安全的话，都有一些这种专项能力这种体现。那so，安全运营平台的话，更多的体验是在一些这种多元的一些这种日志，这种呃采集体现我们一些这种数据遥测这种能力，包括刚才说了会结合我们腾讯自己的一些这种NDR，包括一些这种呃EDR，还有一些比如说像很多用户使用的这种多云环境，可以接公有云和私有云上的一些这种云安全运营中心这种数据，那么第三方数据的话，都会通过像一些这种C卡夫卡去做一些灵活的这种对接。

对于到我们整体一个so安全运营平台里面做一个持续的这种检测和运营，体现在我们去持续的做一些这种呃调查和响应，包括一些像一些这种呃判呃威胁这种研判狩猎啊，自动化响应啊，自动化拦截。还有就是我们有一些也会结合一些这种外部的威胁情报，结合我们一些这种关联分析这种能力和uba的内部威威胁发现能力，做一些这种大数据这种关联分析，场景这种分析，这些情报场景这种分析，包括一些这种行为的这种基线和用户的这种基线建立，那么整体来实现我们整体的一个持续监测和运营的一些这种能力。

那第四块的话，主要就是结合我们自己腾讯的一些这种安全能力的话，去具具体来给大家介绍一下我们整体一个在客户侧的一个攻防实战的一个效果的一个展示吧。那第一块的话就是主要是在一个这个这个证券行业的这种客户，我们去参与了他实际的一些这种安全攻防，一一些这种，呃，这这这种这这种项目，那么那么在整个一个流量检测和边界的这种防护的话，也是部署了我们这个NDR预界和NDR这种天幕。那么实战效果的话，主要体现在第一块的话是显呃准确率是比较高的，整个在一个安全攻攻防这个实战，实战的这个互网期间的话，我们整整体发现了呃呃接近两两千三百四八十四条这个这个安全事件，那么其中的话，已经被确认的话，达到了2000呃159条，整个一个安全的这个呃检出率是非常高的，而且误报率非常低的，那么整体来看的话，其实在过程中的话，通过我们整体一个流量检测能力，NDR的一个部署的话，也是发现了一些，比如像一些这种通用组件的一些这种。

呃，零队啊和QQ注入的一些这种，呃安全这种风险，那么其他的话，在客户已部署的安全设备里面，基本上是没有产生，呃，对这些零队啊，包括一些高级威胁这种告警。还有第二块的话，主要是体现在一些这种零队溯源的一些这种能力上面，通过我们一些这种曝光，就是实战攻防过程中曝光的一些这种零队啊，一队啊都能去在一些这种当当天完成一些这种响应，绝大部分的这种客户的话，基本上都是呃当天处置了以后就可以去呃呃防范这些零类和一类这种这这种安全事件。包括的话，通过我们这种检测能力的话，也是专项发现了一些这种零类漏洞，那么也是得到了一些这种公安部的这种呃认可，帮助这个用户去取得一些这种得分，后续的话，也是通过这个全流量这种溯源取证这种能力的话，去帮助客户去还原整个一个告警和安全事件，做一些这种深度这种调查，这种检测。那在这个过程的话，其实我们也是在百万次的这种呃攻击拦截的话，其是无一失守的，通过我们整体的一个呃黑名单的这种添加，整体防范了244万次的这种攻击，未出现这个呃这个雾蓝和这个漏栏的这种情况，并且的话也是通过我们这个API能力开放了我们整个联动，形成了一个联动阻断中心。

那这块的话，主要是当时的一个数据对比，可以看到我们腾讯界的话，整体的一个检测率是比较高的，对比客户已部署的像一些这种APP检测设备啊，防火墙啊，啊，还有一些这种主机安全。那么在误报率的话，可以看到也是相对来讲也是有比较低的这种误报率，整个过程中的话，也是帮客户沉淀了比较多的这种文档啊，和和一些安全技战术的一些能力的这种沉淀。那第二块的话，主要是在这个银行客户的一些这种实战工方演变的这种情况，那这块的话也是通过部署我们这个呃N这个预计业家这个天目这种方案，那么实战的这种效果的话，基本上是因为这个银行的客户的话，他这个规模是比较大的，在每日的话，基本上是呃有8亿次的这种攻击，那么那么我们整个一个呃攻防的话，也是抵挡住了整整个一个八次的这种攻击，会出现这个封禁失败的这种现象，而且的话，其实我们在呃很多场景下，基本上达到99.99%的四个九以上的这种阻挡率，部分场景的话，实际上已经达到了100%。

就是这边我也是举了一个例子嘛，因为像这个客户他是攻击的话是比较多的，那么一亿一亿次的这种攻击场景下，99的阻断率的话，基本上是都过了100万次攻击了，那其实的话，我们九十九九十九点九九的这种呃阻断率的话，其实是多了99万次的阻这种效果，还有的话就是我们带一些这种漏洞，这种覆盖的是呃相对比较多，也比较快的，体现在我们响应了，即使响应了八个这种零队漏洞啊，响应了几个呃59个报数这种漏洞也是更新了15次这种呃漏洞规则库和这个规则库。那么目前来看的话，就是通过每日的跟客户去梳理这种漏洞清单的话，也是大部分的这种这种这种呃漏洞的话也是可以去默认的实行一个覆盖，还有的话，其实我们提升了多样的这种风机这种效果，比如像一些这种IPV4IPV6的这种全局防护，也是在这个20万这种黑名单的这种情况下，阻断率也是达到了有四个九。

包括也是支持一些这种偏URL的这种精准防护，也是达到了非常好的这种阻断效果。那么第三块的话，就是在这个大型集团那种安全攻防的这种实战演练效果，那这块的话，我是呃，有我们这个边界防护加一些这种流量检测，还有就是我们so这个安全运营管理的这个整个一个方案的这种部署，那么实际上效果的话，也是在这个整个一个过分过程中的话，是达到这个零失分，零失守，也是提升了比较多的这种攻击检测的这种准确率，然后也是上报了五十一起的这种安全事件，达到了这种零失分，可以看到其实我们在整个一个漏洞，这种POC啊和攻防实上这种检速在没有部署我们整体一个方案。这种前提下的话，也是得到了一个呃呃，一个明显的这种数值上的这种提升，还有就是我们也是通过我们自己的一些这种基战法的这种输出啊，帮助客户去发现一些这种零类，得到了这种公安部的认可，也是通过这种溯源的话，拿到了一些这种加分。

然后的话就是通过这种安全运营这种协同，呃，通过我们这个安全运营中心，加上我们这个NT预界加TM的方案，完成了整体一个协同这种防御。然后关联到这种客户说的一些这种设备日志，提升了一些这种关联分析啊，和一些这种有效事件这种处置率，包括通过一些这种呃，大屏可视化这种展示一些这种联动数据，可以让客户达到一些这种实时的这种态势，这种监测。然后这块的话，就是我们整体一个呃，实战化的这种安全攻防效果的这种演示。那目前来看的话，整个腾讯的这种整个萨加安全运营体系的话，是面向这个未来，聚焦安全运营未来的这种，呃，安全运营的未来式提升，更多的像安全运营场景下的一些这种智能化，自动化和这个攻防能力。那这块的话也是，呃，留了两个那个联系方式，大家可以通过这个扫码去，呃跟我进行进一步的这种交流，然后我们整体一个安全攻防的这种能力啊，和一些这种产品测的一些这种方案的话，也是也是可以去做一些这种免费的这种POC，大家如果有兴趣的话，可以去扫码加入我们整个一个免免费的这种POC的这种问卷调查。

好，谢谢大家。好的，谢谢黄毅老师，呃，那那个观那个呃线上的观众们如果就是对这个so的呃，运营试用这一块有兴趣的话，可以呃扫码，如果刚刚这个黄老师投屏的码没有扫到的话，可以继续扫现在我这个屏幕上的这个群二维码进群，然后呃在群里面咨询小助手或者我们的讲师也会在群里面进行后续的这个沟通，好的，那感谢黄老师的精彩的分享，那我们呃说到这种新形式下的攻防对抗，那需要用这种不断演进的新手段来提升运营响应的一个效能，来应对场景化的威胁事件，那接下来我们有请腾讯安全威胁情报高级产品经理高瑞带来分享，他分享的议题是攻防场景下安全运营中威胁情报的场景化应用，有请高瑞老师。

大家下午好。可以看到我的屏幕吗？可以的。好的。嗯，很荣幸今天下午有时间跟大家分享我们嗯微信情报在安全运营中的一些实践经验，嗯，本次分享呢，我主要分成呃三块内容，第一块的话是在安全运营中我们采集到的一些痛点，以及呃微情报如何进行应对，第二块呢，我会借着四个场景来呃介绍一下威胁情报在具体的场景里边如何的去解决安全问题啊。第三块内容呢，是我们腾讯安全在安全运营中威胁情报的一些实践经验，以及说呃如何去面对新形势下的一些新的问题，呃给出一些具体的实践经验。

第一块内容是呃，痛点和应对思路的介绍，嗯提到安全运营的话，往往会绕不过这三个问题，第一个问题是最关键的威胁在哪里？因为呃，我们也是在具体的很多项目里边发现，用户往往的投入都是在具体安全事件发生之后如何进行缓解，但是如何去追踪到安全事件发生的第一时间，其实是一个非常。难解决的问题，嗯，然后第二块呢是嗯，在安全运营过程中，因为设备的叠加，其实每天采集到的各类威胁告警是逐渐提升的，甚至是指数级增长的，那么我们如何采取更嗯不一样的手段去缓解这种报警的压力，然后去发现其中更关键的问问题，也是一个日益提升的一个问的一个一个，呃，关键问题吧。然后第三块儿呢，呃，当我们面对具体的安全事件的时候，我们怎么样去呃提供更精确的分析，并且给出更具体的建议，其实也是安全运营过程中一个比较重要的问题。

然后在具体的那个安全运营的演进过程中，我们也发现威胁情报其实能够很好的去解决上述的几个问题，在几年前也都提出了威胁情报的一些定义，嗯，虽然这几年威胁情报的场景化应用也在不断的迭代，但是呃，我们发现这个定义还是非常呃贯穿始终的。他其实简单来说就是一个针对威胁事件的一个响应的建议，然后他通过知识化的方式去描述威胁事件，并且给出具体的响应建议，然后在呃IDC这样子的三方机构的市场报告中也提到威胁情报将会不断的提升企业在安全防护中的一些呃效能。

不只是在呃微情报这一个单独的领域，在像防火墙嗯，IPS ids这样子的流量检测设备，以及安全运营中台so这样的平台都会能起到一些赋能的效果。那具体的安呃威胁情报包括哪些内容呢？呃其实在业界比较流行的一个概念，一个示意图就是右边这个威胁情报的痛苦金字塔，嗯其实在引入威胁情报概念的初期，大家主要聚焦的都是在金字塔比较靠下的这些部分，比如说像呃恶意样本的这种哈希，或者是网络特征，IP域名这些的一些呃指征，但是这些指征获取相对容易，但是在实际实际使用过程中，因为攻击者的一些资产的变更这个。

具体的指征会变化的特别快，它的生命周期也会非常的短。所以。在威胁情报领域，大家都在不断的去攀登这个金字塔。如果说我们能够去得到更高维度的这种威胁情报，那么我们覆盖的场景将会更加广泛，然后呃，这个生命周期也会变得更长，但是这个困难也是随着攀爬过程中不断提升的，好在这个困难主要是交给安全厂商的，所以接下来我会呃给大家介绍的是，如果我们获得了这些威胁情报，我们怎么样在具体场景里面进行使用。在这里我会介绍四个场景，第一个场景是最基础的这种实现检测发现的场景，嗯，在微信情报这个概念引入到国内的这个市场里边之后，最早一批出现的威胁情报产品就是集成了IC实现检测情报的一些产品，这块的产品呢，可以帮助呃用户在。

实际的网络中，通过五元组的提取发现攻击者的资产，而在我们像重宝呃攻防演练等这种专项的场景下，我们其实很多时候也是依赖对攻击者的这种资产的发现识别，能够去定位到一些具体的呃防护手段。实验主机呢，简单来说的话，就是攻击者通过一些样本呀，或者说其他手段去控制到了最终用户的一些终端设备，然后呢，在这个过程中，大家可以看到第二步，呃，这个设备会进行一个回连，如果说我们能能捕捉到这个回连的指征，那其实对于具体的事件的发生，我们就能够得到一个最第一时间的呃确定，哪怕说这个事这个事件已经发生过了，我们也可以通过起貌的不断更新去回扫到历史中能出现的一些会出现过的一些呃攻击事件。

第二个场景呢，是在呃海量告警的情况下，我们如何分诊，嗯大家也知道，就是现在威胁的事件类型也越来越多了，然后我们边界的设备呃防护的资产服务也越来越多，那么这种告警也是呃指数级增长的，像我们在一些大型的金融机构发现每日处理的告警量都是数以千万级别，那当如果说这些。安全设备检测规则发现的一些告警，直接透传给安全运营团队的话，那其实是一种灾难。在这个过程中，其实情报能够很有效的去缓解这种呃处理压力。比如说通过外网的这种视野，我们能够去除掉这种告警中的一些噪音。比如说。

像有一些大网的测绘啊，啊，一些搜索引擎的爬虫啊，他们可能会被内网的一些检测规则误判为一些，呃。漏洞扫描的一些行为，然后在这个过程中呢，我们还可以结结合外部情报的这种呃风险等级分级，我们能够将具体的安全事件进行一个呃分级处理，将高优先级，高可信的事件进行呃有效的缓解。第三块呢，也是我们在迭代的一个内容，就是呃，我们不只要关注到具体的这种攻击者，我们还要结合自身的一些风险，比如说我们资产中比较容易被爆破的一些入口啊，然后容容易被呃利用的一些漏洞啊，我们结合情报进行一个匹配的话，我们能够更准确的掌握到被攻击者利用的一些呃服务，最后呢，也考虑到我们安全产品在具体使用的过程中，其实很难去匹配用户的一些具体业务场景，那么如果说呃，我们通过制定一些场景化的规则，比如说像有一些国内服务和国外服务的区别，再结合着威胁情报，我们就能够帮助用户去识别到哪些呃业务场景下的呃更。

广泛的这种问题。当这种呃，分级降噪，以及这种具体场景化的定性，最后我们能够将一个千万级的这种告警去聚焦到聚聚呃那个安全运营团队可处理的这种量级上。第三块儿的话，如果我们已经定位了具体的这种安全事件，我们如何进行分析，其实仅仅依赖内网的一些检测设备是非常有限的，这个时候我们通过外网威胁情报的这种补充，比如说所有者的信息，比如说这个威胁事件的活跃状态，以及说他关联的一些攻击团伙，恶意家族，我们能够更好的去识别到这一次攻击事件的一个呃，攻击的目的，以及说。

这个事件是否是一个值得更多投入的，呃，这样子的一个一个一个威胁。这个里边我们不只是简单的利用到像IP资产，域名URL这样子的，呃，还有漏洞啊，哈希这样子的一个，呃，简单的指征，我们还可以结合这种历史攻击事件的分析，能够对这些攻击团伙和家族的一些特征进行提取，补充到后续的一些事件分析的场景里边。然后除了对外网的一个知彼的关注，我们其实觉得在呃日常安全应用中，我们的这个知己的考量也要呃投入更多的精力，特别是在重保或者是其他的工方演练的场景下下，我们在事前要做更细力度的这种资产的识别，包括敏感的一些容易被利用的一些组件服务的识别，一些呃历史曾经被。

利用过的一些重点漏洞的呃补充和积累，以及最最新的这种漏洞利用的呃态势进行一个跟进。另外呢，我们还要去了解到自身资产中一些呃关联的影子资产，比如说像呃一些外包使用的纳管外的资产，一些二级三级呃机构使用的一些未报备的资产，甚至是说呃一些攻击者他仿冒出来的资产，我们如果能够对这些关联性的资产进行一个盘点的话，我们也更好的去了解攻击者的这种呃入侵的面。另外呢，就是一些类似于弱密码这样子的容易被攻破的资产入口，我们也要做到有效的这种跟呃这种排查，除了资产角度的这样一个，呃，供给角度来说，我们其实发现人其实也是一个很重要的突破口，这块的话，我们提出了一个概念叫做社工面，这嗯在物业情报角度其实能够很好的补充。

就是企业日常过程中发现的一些社工的攻击，比如说是否投放了一些定向的钓鱼邮件啊，是否去通过一些呃样本。让内部的信息进行了一些泄露，我们其实在外网中也能够捕捉到这样的一些威胁情报信息，当这些事件已经发生的事件，我们进行有效捕捉和排查之后，再结合内网的这种呃资产盘点和威胁威胁关联线索的一个比对，我们能更好的去呃更全面的去对事件进行一个盘点。

第三块内容的话，会补充一些我们在呃安全运营中实践的一些经验，嗯，首先呢，从市场角度，我们能够一个相对客观的角度，呃呃客观的维度来了解威胁情报的一个发展状况，首先呢，就是我们发现呃越来越多的企业在进行威胁情报的投入，而且每年大概有30%这样的一个增速的新用户会拥抱威胁情报，而各行业的头部用户在使用无线情报，这个意愿的占比也是在不断提升的，目前基本上已经覆盖到80%以上。但是从整个安全市场来看，其实客户在微信猫这边的投入是比较少的啊，这块的渗透率还是比较值得去提升的，那也就意味着如果我们在威胁情报这个领域投入的资源足够多，那我们就会相对于其他的呃，那个企业有更多的这种防护优势。而目前来看，微液细胞因为它能够在更多的产品里去进行赋能，所以它对于整体安全能力的提升还是非常有效果的。当然了，我们也发现在情报应用的呃领域里边会有一些问题，比如说呃情报这个使用的门槛会比较高，它很依赖具体的安全产品的，呃，具体的这种流量检测呀，边界防护啊，终端的这种，呃样本的提取，那我们怎么样去结合呢？这块的话我们也在呃探索。

呃，其实对于企业来说，它只需要关注它的一个投入的呃，一个建设的步骤，比如说像对于中小企业来说，因为自身的安全建设主要还集中在一些，比如说终端防护啊，呃，简单的关口流量的一些检测呀，这个时候情报更多的发挥的是一个集成赋能的作用，这块的话啊，就像前面我同事黄宇介绍的一样，在那个我们的so，在NDRR这样的产品里边，我们可以通过情报的赋能发现这种关键的视线主机，嗯，然后当企业建设到一定阶段以后，就会发现，呃告警更多了，威胁事件类型更多了，而我们自身安全产品的力就又也变成了一个新的问题，这个时候呢，我们可以通过呃构建一些本地化的情报平台，以及外网的攻击面的这种情报的补充，来帮助企业的这种安全体系去做一个综合性的赋能，比如说像前面提到的告警的一个分诊，然后呢。

呃，一个整体设备的协同，以及说针对安全事件，我们能够进行一个呃，多维度情报的一个关联分析。当我们的用户体量达到一定程度，比如说这种行业级别的中心，或者说要去为整个城市做安全赋能的时候，那整个内生情报的这种生产，以及说整个呃，机构之间的这种情报共享，也会成为一个呃。投入的重点。

那对于。大部分的企业来说，我们怎么样去把情报和具体的产品进行结合呢？这块呢，我们腾讯安全也是在跟各大的生态安全厂商进行合作，也探索出来了一套呃呃情报集成的模式，比如说我们提供了一套TSSDK的这样子的一个呃情报组组建这块的话，我们已经很和很多这种边界防护厂商啊，流量检测厂商嗯进行了一个合作，然后呢，这些产品呢，已经能够在像边界防护啊，安全运营啊，流量检测呀，以及威胁管理。等各种角度去做了这种警报的赋能。然后。回到我们腾讯安全整个威胁情报体系的建设，不只是在这种对外合作上，我们在自己本身能力输出上还有另外三个产品，比如说像那个情报社区，因为本身腾讯在情报的覆盖度以及准确性，以及这种实时性上有自己的一套优势，因为本身我们守护的业务比较多，所以我们也会开放出来本身的这种情报能力的呃查询平台来帮助呃用户以及安全分析师得到更准确的情报。另外呢，呃我也提到，就是说除了了解攻击者，我们还要对自身的这种呃攻击面有足够的盘点，那这块的话，我们也会提供这种供给面管理的服务出来。另外呢，由于呃国内至少是国内在本地化这个场景下，呃安全建设投入是比较高的，因为考虑到一些合规啊，以及企业业务场景的问题，所以我们也提供了这种本地化的情报平台。帮助企业在这。

这种隔离网啊，至少说网络有限制的这种环境下，能够更有效的呃，更高效的使用到我们的情报。最后呢，呃也做一些小组广告，大家可以关注我们的公众号以及官网啊，右边两个公两个二维码，一个是我们自己的公众号，我们会推送一些最新的安全资讯，以及说呃，当您这边用到我们科约情报的服务，我们也可以通过这种公众号来做相应的这种预警和呃事件推送。另外呢，我们还提供了呃不只是提供了这种网页端的这种流，那个威胁情报的使种，我们还提供了小程序的这种呃使用方式，大家也可以进行扫码使用。

最后呢，呃，给大家看一下，我们目前呃在。那个web端的这个情报社区的一个建设进展，我们这个平台是支持免费的呃使用的，大家只要注册就可以进行使用，当然了，如对于我们的企业级用户，如果能够通过这种呃企业认证的话，您是可以得到更高的这种更更新的这种服务的，嗯。简单大家可以看一下，比如说我查询一个域名这块的话，我们会提供不只说简单的标签的有效期的这种呃服务，然后我们还会提供配套这种样本关联，因为本身呃腾讯这边的情报的维度呃覆盖呃那个覆盖的精准度也都是比较高的，大家可能可以得到很多其他安全厂商得不到的一些配套信息，另外呢，我们最近也在针对重保及攻防场景会提供一些重保免疫力检测的服务，也敬请大家期待后面会在我们呃这个。

官网里面进行统一的推送，嗯，也方便大家可以去具体的试用，嗯，我今天介绍的内容大概就这些了啊，感谢。好的，感谢感谢高位老师的分享，那确实威胁情报现在是各行各业在做这个网络安全部署的时候，首要会考虑的一个建设的步骤，那呃，通过这个威胁情报它的一个告警和分析之后，那接下来应该如何解决这些安呃威胁和这种安全的问题，那在我们接下来的一系列的议题里面都会有一个承接和解答，那这里呢，我们也看到就是呃，有一些观众会有一些问题，那大家可以就是继续，呃，扫扫扫，扫描现在这个屏幕上的这个二维码，进群去提提你的问题，或者说大家直接在这个屏幕互动上面打你们的问题都可以，我们有小助手会收集一些共性的问题，在最后的这个QA环节给大家做一个统一的解答，好的，那呃，现在呢，两个精彩的议题过后，我们的第一轮抽将正式开始。那这一轮呢，我们准。

准备了十个腾讯怪企鹅的，那请大家呃，扫描这个后后进来的观众可以扫描屏幕上的二维码进群，我们会在群里面进行这个抽奖，那呃这一次呃，我们会有一一句话是呃，大家把这句话打到群里面，然后前十名我们就会呃。

呃，应该就是我们的这个中奖的观众哈，那这一句令是引擎宝系列直播。我再念一遍哈，原引擎众宝系列直播，大家可以把这句话打到群里面，然后我们的小助手会呃抽奖，然后稍后会公布获奖名单。那就算这一轮没有抽奖的观众也没有关系哈，我们呃，大家可以继续扫码进群，那后面我们还会有一轮精彩的抽奖和礼品等着大家。好的，那呃，感谢再次感谢高老师，那接下来呢，我们有请腾讯安全高级产品行销经理刘磊带来零信任在攻防演练中的价值分享，那有请刘老师开。好的主持人，我这边已经投屏啊，看得到应该可以看到，谢谢。

大家好，我是腾讯安全的林宪磊，今天我给大家分享的议题是林先任在攻防演练过程当中的这个价值，那么因为这个议题呢，可能是有两次，我这一次呢，可能侧重于是说呃，攻防演练的一个趋势和这个呃，咱们在企业做安全建设当中对林先生的一个考虑，最后的话呢，会重点阐述一下在攻防演练过程当中，林信任会起到什么样的作用，那么我们先看第一个呃互网差不多经过了这几年的发展，相信大家已经非常的这个成熟，他他的这个方向呢，其实刚才那个黄宇同学已经嗯已经做了这个介绍，整体上呢是说呃，从一开始的这个规定动作的这种检查，到后面允许更广泛的这种攻击和全面的这个攻击范围，那么到去年可能还有一些新增的，包括像信创的这种课题，然后等等等等，基本上呢，他是说。

以最真实的攻击手法和最全面的攻击，然后去检验企业在这个呃防手册啊，就是在这个安全建设过程当中是否存在一些问题，它的核心还是说度量帮助企业去做这个改进，如果是说回归初衷的话呢，去年有一种比较好的说法叫做平淡结合啊，就是咱们平时和这个互网期间最好是能够保持一致的，第二的话呢，在前期的这个互网过程当中，其实大家发现了一个这个非常明确的问题，就是呃，当时有一种嗯，可能临时说一个做法，就是说会有大量的这种消耗，就是互网可能我们要投入大量的呃这个呃人员，然后要租用设备，或者要租用人力等等等等，这样的话会持续一个消耗，站到互网结束之后呢，可能并没有说对咱们的企业留下更多的这种安全建设，那这种做法呢，可能慢慢的会。融入到咱们的这个平结合里面来，就是说互网更多的是说促进咱们的这个安全建设啊，所以这个呢，可能是我们今天一个非常重要的一个这个命题啊，再再往下呢，就是我们看除了这个大的趋势之外呢，我们看220互网的一个这个新特点，我们从攻击队那边了解这个情况呢，就是说以往大家说的这个攻击方式，可能最常用的有两个嘛，一个是外围打点，然后再一个是这个钓鱼，还有一个就是说大家呃，比较热的是这个供应链这个攻击，如果是说从这个两个最好用的这个外围打点和这个钓鱼类来看的，那7%的这个钓鱼案例呢，其实拿下了近一半的这个得分，这个是至少是从我们的这个工击队呃，数据上来看，钓鱼是性价比最高的，这个其实符合咱们这个认知，为什么呢？因为呃，在互网的前几年的时候，更多的是外围打点，就是我从外部攻，然后直接呢，可能就直接要么就零内拿下啊，要么我就很轻易的找到。

一个漏洞，然后直接就过来了，所以呢，就是那个时候外围打点是非常好用的，然后现在的话呢，外围打点经过这多年的一个建设，尤其是像金融对吧，然后说句不客气的话，就是攻击队，如果是说看一轮啊，可能连攻真正的这个攻击欲望都没有了，所以去年最好用的还是钓鱼，但钓鱼它为什么我们会好用的，第一个的话呢，是。

一旦钓鱼成功，它其实是利用的是被钓鱼者的一个身份，说白了它是一个可信的攻击，在这一块呢，其实是未来的安全里面非常重要的一个研究方向，然后呃，到目前为止，咱们的这个防御可能是在典型的传统的安全架构下面，可能如果是他真的是用一种可信攻击，那我们只能用多维的这种检测，然后去判断它是不是已经沦陷。啊，但是没有办法直接说哦哦，这个可能是已经呃被拿下了，然后第二个的话呢，就是说钓鱼基金呢，一般是在办公网，因为过去的这个几年护网呢，咱们重点的是保护的这个生产网，就是离这个攻击路径最短的那一部分啊，但是呢，呃，正常的这个攻击过程呢，呃它很难了，现在已经，所以呢，它无论是从这个呃检测的这个呃呃从这个攻击的这个安全性，然后以及说呃从新的这个法方面都要先从办公网去绕道，然后呢，我们过去几年在这个办公网的这个建设呢，可能提高的并不是太多，至少是说像咱们这个外网的这个安全建设啊，更多的这个内部的这个流量的这种检测全面性，以及包括全网零现在这个可能都没有，那所以呢，他在一旦他能够进到这个办公网，那可能是啊，非常有效的一种这个方法，然后再一个呢，就是咱们的这个，呃，新闻习惯，就比如说钓鱼，我会钓鱼谁呢，包括像运维。

开发或者是高级的这个管理人员，甚至于说一些财务对吧，那么这些电脑上面呢，可能会存放一些很重要的这个系统账号，那我直接拿到之后呢。我就可以以可信的身份直接访问这些这些业务系统啊，这是它的一个非常的一个这个重要的特点，然后我们再看从防守方看钓鱼的一个点的，就是说钓鱼本质上它利用的是人的一个弱点，它并不是说一种非常纯粹的一个呃，这个工程化的东西，它更多的是一种这个社工，所以呢，从本质上是呃，原则上是只能不断的提升人的体的安全意识，但是呢，没办法根本的去做这个避免，就跟咱们的这个诈骗一样啊，就算我们国家有反诈中心，有个这个铺天盖地的宣传，但是你没办法说我能够完全的去消除掉啊，第二个就是这个历史原因了，因为诶过多的是以前更多的是这个正面的这个防守，那像钓鱼这种可能是说最近才诶比才会这个呃，用的比较多，那我们从去年的一个客户的实战来看的话呢，呃，邮件跟微信啊，是最热门的这个工具手法，尤其是这个微信和这种即时通讯类的啊。

为什么呢？因为即时通讯类的是容易加上好好友之后，我可以慢慢的去养鱼，对吧，我去年我已经可以给你加上了，但是呢，我没有说呃，立马会对你采取动作，真正到互网的那几天，我可能偶然之间，哎，然后突然间给你发一个文件，然后你可能就哎，这个戒备心没有那么高，那可能就那个就直接中招了。钓鱼的话呢，可能是以前更为流行那种大范围的这个撒网式的，那么我们可以看一下他伪装的这个主题和被钓鱼的这个身份的一个分析，伟章的主题的话，大部分像这个占比最高的还是简历，还有这个薪资，这个也可以理解人的这个好奇心嘛，然后还有是这个，呃，像这个呃，被钓鱼的呃，人员里面呢，最重要的是这个客服HR啊，其实就是说安全意识呢，可能没有那么高，尤其是像客服这种，如果是说你不收这个文件，我可能还要再威胁你，我要投诉你，对吧，在这种压力情况之下，可能会有一定的这个妥协，那么我们再往下看，嗯，我们还看到一个现象，就。

就是跨设备的这个投递啊，就是说。我投递，呃，就是我发给你这个微信之后呢，那呃可能是我在手机上收的啊，我为了这个工作方便，我可能还要再转到我内部的这个I'm上面去，然后呢，我在内部的I'呢，一般都是会自动的在多端去做这个同步啊，只要你点了这个在某一个地方去做了这个接收，哪怕是在移动端点了接收，它也会在这个PC终端上去做这个落地，然后解压完之后去执行，然后他就可以直接去回连，然后这个时候呢，可能你的终端就被控了，这个方法呢非常的好用，那么我们通过对他的一个总结呢，其实钓鱼基本上这三个步骤。

第一个的话呢，就是说我先信息收集啊，我收集的方法可能像暗网啊，社工库啊，然后以及像这个简历库，然后像这个。呃，这个卖卖，像这个交友类的，或者说是这种呃会呃这个婚姻类的啊，这个信息想只要想收集还是很多的，一旦收集完之后呢，我就给你建立信任，可能一年的过程当中，可能没有跟你说过很多的这个呃，这个呃非常敏感的话题，只有在真正的想要这个呃呃互网的那几天啊，才会给你发一个，这个时候呢，你的警觉性一般不会那么高，那这个时候我就会呃充分的在发之前已经做了这种多轮的这种互动之后呢，其实对你的目标画像已经非常清楚了啊，比如说你可能当下需要考虑一个更高薪资的这个工作，或者是说你对希望去接一个私活，或者是说你是对一个交流的啊，你是一个技术交流的一个爱好者等等等等，或者是说当前有一个啊，这个紧急的一个这个安全事件，或者是一个呃这个呃呃，最近的一个这个热点事件等等啊，我利用你这个特点呢，就给你发一个对吧，这个时候呢，哦，我通过邮件。

好，通过I'也好，或者是通过U盘也好，但目前大部分还是通过这种微信，那我发给你之后呢，像嗯，常见的这种话术，对吧，薪资，然后福利补登记，或者是我给你这客服，甚至于说我提交一个假漏洞，或者是说啊，去年最常见的是这种安全演练的这种配合，对吧，我发现了一个漏洞，然后希望大家马上去呃更新，然后杜绝这个漏洞，就是啊等等等等等，在这种唱片，它的本质就是说先把这个水搅浑，然后呢，再利用你在这一段时间的一些信息。

不对称，因为他已经研究了很久了嘛，他利用你的一些这个信息不对称，而且这个过程当中，他还拿到了其你们内部其他的信息，用其他的信息来告诉你，他就是一个内部人员，这个时候呢，在这种情况下面，一般情况下都会中招，那在这种的这个情况下面，第一个就是说钓鱼是非常好用，第二个的话呢，就是我们还是回到这个整体的这个计战术来看，整体上来看呢，我们发现跟以前的这个计战术没有很大的区别啊，除了这个钓鱼和这个0DAY一般外围打点，你一般要配合这个0DAY，或者说是这个这个这个N嘛，那么。在这个0Z里面，以前可能更好用的是这个VPN和这个OA，对吧，那去年的话呢，可能是VPN会少一点啊，我记得前几年基本上预售后网先把VPN给关掉，可能最近这这几年用那个零信任去做这个收敛，做这个暴露面的收敛，可能收敛的比较多，所以说VPN的这个啊，这个这个效果可能没有那么好啊，呃，所以去年更更更多的看到的是这个OA类的系统，如果是大家有参与这个互网的话，其实就呃有这个感受啊，去年第一天基本上各种OA类的这个零基本上都是先打了一轮啊，这个也是符合的，但它整体上是说基基算法上是没有变，具体的变的就是这个具体的这个攻击目标，所以这一块就是说能收敛的还是收敛到零系任体系后面，然后不不能收敛的，那就要加强这个袜啊，或者说是这个呃，相关的这个，呃，其其他的这个安全检测的这个方法，这个是护网的一个一个特点，那我们对前面的做一下总结呢，其实整个的这个攻击如果是。

说呃，我们不按照那个杀伤链或是泰的那个攻击过程来看的话呢，我们精炼一些，第一个无非就是说啊，这个在侦查阶段做全面的信息收集，这个啊企业里面严格上来说只能呃只只能是说尽量的去减少的这个暴露，最关键的是在这个突防阶段啊突突防阶段呢，其基于前面来讲，可能就是两个点，一个是外围的打点，那这个时候呢，它一般会是针对咱们的这个DM地区去发起一轮攻击，第二个外围其实就是咱们的这个供应商，或者是这个子公司，然后去做这个钓鱼，嗯，目前来看。

第二种手段可能更好用，为什么呢？啊，因为过去的几年这一块儿，就是在DMC区的这一块安全建设基本上做的非常多，但是像这个供应，像这个供应商，以及咱们的这个采购的这种供应链里面的和咱们子公司里面的啊一些这个引资资影资资，这个资产是常年困扰多年的问题，它不是一个难点，但是呢，它是一个重点，就是说你可能做了很多工作，但是这稍微漏一个啊，被别人找到了，这个可能就是一个很取巧的地方，他直接就进来了。那么再一个的话呢，就是说啊，咱们的这个过去的这个建设更偏袒于这个集集团总部啊，子公司也好，还是说咱们的供应链也好，它没有那么多的这个钱，还有也没有那么多的这个紧迫去投入这个整体的这个安全建设啊，所以呢，就会导致现在大家从呃正面攻很难工作，这个情况下面直接去绕道，所以呢，我们去年还看到的现象就是分支啊供应链的这种介入，其实是重中之重啊，这个是我啊整体的一个这个。

趋势的一个这个推演，那我现在呢，是准备了一个这个视频，就是看一下，就是如果是说我们通过钓鱼，然后一般是怎么去做到的一个这个攻击。稍等啊。这个视频可能有点问题。

我播放这里的视频。大家可以看到，呃，在这个视频里面呢，啊，其实这个时候呢，我是啊，这里面我是模拟了一个比较简单的环境，所以呢，呃，通过一种这种薪资啊，我伪装成这个猎头，然后给你发一个这个啊，这个我的一个招聘的一个要求，这个时候呢，你可能出于好奇心会点击一下，那么点击完之后呢。我会去在本地做一个这个解压压，解压完成之后啊，他会自己去做一个目录的一个这个隐藏，然后这个时候呢，一般的话大家都会去点外面的这个，呃，这个快捷方式，但它其实的目录是隐藏在这里啊，Mac OS的这个文件夹下面，然后呢，你点完之后，基本上我在后端就可以看到哦，你可你的这个设备已经被调鱼成功，已经开始做这个上线，然后我就远程命令执行一下，然后这个时候其实就是咱们刚才讲了的第二个阶段，只要我突房之后，我就开始你在你本地收集更多的这个信息啊，那么我会看你本地的一些。

呃，有没有这个呃，这个预控，然后你的网关是多少，你本地有没有什么关键的这个业务服务器哦，这个时候我看到你的这个DS后缀里面可能有一个这个域控，那我所在的域，然后呢，我就再接着去找，我到了一个呃这个呃102016，就是一个DC2016的这么一个这个预预控设备，然后我去扫描之后呢，发现它存在一个漏洞，然后就直接通过这个mini，然后去做一个啊这个哈希的一个获取，这是呃这个这个过程，它其实对应的就是我们刚才讲的，只要是突防，然后在钓鱼成功之后，后面的这个基算法呢，其实是攻击队非常擅长的啊，就是在咱们前端无感知的情况下面，他这个时候其实已经把预控的这个哈希已经拿到啊，我拿到这个，呃，这个哈奇之后啊，我就可以在。

通过远端啊，通过这种哈希传递的方法，然后直接可以拿下这个预控。这个时候呢，我又是做了一个呃呃这个这个代理，这样的话呢，我可以使用本地的命令行，然后直接去对呃呃，通过这个咱们本地的被调的那台机器，然后去把流量转发到这个预库上面去，然后实现完整的这个攻击。现在是这个代理已经完成，我直接在本地通过我的这个命令行，然后直接可以发起这个攻击了。现在我就可以通过呃，这个核情传递的方式，直接拿到这个预控的一个控制权，后面呢，基本上就就不再演示了，咱们只要是能够拿到预控的这个控制权，其实在这个横移的过程当中，基本上就可以算是阶段性的这个胜这个胜利了，后面无非就是说通过预控拿下更高价值的这个终端，比如说运维的啊，比如说it主管的，比如说这个咱们呃，某个老板的这个，呃这个电脑他在电脑上面可能会访问很多。

啊，涉密或者说是非常敏感的这个服务器，然后这个电脑上有保存那个密码，或者浏览器里边啊有这个cookie，然后都可以去做这个利用等等等等，后面的这个过程就就不再展示，我们今天重点展示的是这个钓鱼的这个突防过程，那OK，我们把去年的这个呃互网的一个趋势做完那个介绍之后呢，我们再看企业当前呃在做这个安全建设的时候的一些思考啊，我们同样的其实我们可以回顾一下，就是呃，当前企业用的比较多的这个网络安全模型都有哪些啊，就包括像很很像很早之前的这个啊PT，然后从这这个一一年提出来的这个，呃，这个杀伤链，包括像一三年的这个个模型啊，包括像像一四年提来的这个网络空间，这个概念啊，以前咱们虽然叫网络安全，但是从一四年啊，那个时候才是明确叫C。

那个C，呃c security就是网络安全才呃，其实更多的是指网络空间安全，就名字就来自于这个，然后再到一五年游戏情报这个驱动的网络安全，滑动标尺这个，然后再到一八年，一个颠覆性的就是这个卡。那么呃配合当年18年还说了一个是呃，我们总结这几其实有几个特点，第一个呢，像这个呃呃呃，这个这个杀伤链的这个模型，它就是第一个提出来，站在是攻击者视角，它把攻击或呃分为了这个七个阶段吧，但是这个模型呢，它太粗了啊，就是用于直观的这个呈现去呃衡量整个攻击过程是可以的，但是你工程化还是要差一点，所以呢，中间又出了一个T的模型。这个attack呢，他把所有的这个技战术攻击手法，把每个AP的案例都放进去，这样的话用于指导这个工程化如何去做啊，如何去这个检测，其实这个时候呢，大家去发现，哦哦，原来我们其实一直在回答一个问题，就是我买了这么多的这个安全产品，那我到底建设到什么程度，我做到什么样的程度，我能够防御什么样的这个攻击，我去衡量啊，其实这个时候呢，我会去去做衡量，包括这个啊滑动标尺也是一样的，那我啊做到什么程度啊，是是第一个阶段的架构。

OK的，那那我什么阶段，我到了被动哦，这个防御什么阶段，我到了这个积极防御，其实一直在告诉这个老板一个这个这个点就是我投了这么多钱，对吧，我安全这个天天做，那我建设到什么程度，我是呃，OK的，那我大概还需要几年达到一个我理想的一个这个这个模型，那么后面这个呢，它就。呃，他就不太一样，他的这个核心呢，它就是说。呃，在过去的时候，我们可能过于注重这个安全，但是呢，这个是不可落地的，其实安全的话呢，它并不是说我们的安全产品没有效，也不是说我们我们安全的，呃，这个人员能力不不行，他更多的是说我们业务安全的一个冲突啊，所以他提出来的理念就是所有的东西都应该是说啊，是一个动态的一个过程，就是呃，我的这个业务呢，是要发展的，我不能说上来就说我因为安全的问题，你这个业务就先不要动啊，这样也不行，那还有另外一种这个。

极端情况就是说我业务先行啊，我业务先行，然后我的安全的在后面补，这样呢其实也是不行的，所以在这个情况下面呢，卡塔提出一种这个理念，叫做可持续的这种自动化的这种适应的一个安全模型，它的这个模型本身呢，其实就是说我的安全跟这个业务呢，没有说绝对的，在以前我们更多的是就是一右边这张图里面，我们的安全策略是这么做的啊，我要么允许。呃，要么是要么也许要要么是拒绝，这样的话呢，其实对整个的这个数字化的这个企业，它是很难去去接受这一点的，那有没有一种更好的方法呢，就比如说。

初始的时候我是底内的，但是我随着我的信息，我的上下文，或者说是我的一些这个判定的因素的增多，那我慢慢的开始把它啊变成了一种信任啊，就是说我的风险和这个信任之间，我永远是动态的，就跟前面的这个滑动标尺一样，我没有明确的说我具体到哪个阶段，但是呢，我是一个动态的一个这个这个这个过程就是说。我没有哦，采取一种很简单粗暴的说啊，这个啊是yes，呃是yes，那个就是no啊没有，它默认的初始都可以是说啊，我是可以是都不都不信任，但是呢，随着我对你的这个校验，随着对你的这个计算啊，我可以慢慢的偏向于去去做这个信任，只要能够达到我的一个信任等级，你就可以访问一定的这个呃敏感的这个业务资源，这是它的一个核心的一个这个理念，当然卡塔里面很多东西，我如果我们说用一句话来阐述这个卡塔，他可能想要说的就是这张图里面，我怎么能够知道啊，你能够正常的开展你的这个业务，所以呢，这个是它的一个核心，那么所以呢，他在后面的这个呃，这个呃解释卡的这个呃论文里面呢，他又提出了利用概念，就是安全的，应该是始终从这个零信任开始啊，因为呃，卡塔模型里面分为这个预防，然后检测，然后响应也以及预测嘛。那么在预。

的这个阶段，它就是安全的，始终是从零先开，就是这个zero trust啊。那么从这个开始的一个核心呢，就是说从嗯零任开始，然后呢问始终基于这个上下文自动话自自适应的去改变你的这个访问策略，那在这个时候呢，从一八年之后，其实是真正的零信任被大家广泛接受啊这个呃我可能是再敞开讲一下，就是零信任的一个发展历程，跟前面的网络安全模型的发展历程，我发现呃以往大家在了解零信任的时候，更多的是说诶呃一零年的时候，这个F分分析师提出了一些这个概念，呃那个呃Google因为受到这个极光攻击，那么我们呃是呃有一个比卡的一个这个项目落地发表了六篇论文，然后再到后面啊，然后大家开始去这个落地实践整个的这个啊这个零确认，对呢啊也是对的，但是呢，我这里面更想说的是说正是因为呃，卡塔的它的这个。

这个战略更符合我们未来的这个方向，所以呢，林信任在那个时候啊，真正的被大家广泛接受和认知，应该还是在一八年之后的事情，我查阅了一下啊，这个星的整个的这个呃发展历程，在一八年之前，其实大家更多的是呃，也就仅限于呃，Google的那六篇论文啊，是有实质性进展的，还是在一八年之后，大家始终呢，把林些任作为网络安全建设的一个这个基础，就是架构上的一个这个调整，在后面的故事，大家其实基基本上都明白了，那在整个的这个里面呢，我再提出一个点，就是说。

呃，Google的这个做林先生他也是基于这个攻击，所以呢，他跟我们前面的呃这个视角是一样的，他做这个东西呢，也是基于攻击者视角，第二个的话呢，他也在这个发表了六篇论文之后呢，啊，这六篇论文里面详细的介绍了他是怎么做，同时他也介绍了在做的过程当中，他的一些心得和体会，尤其是一些呃那个他踩过的坑，他认为一定要关注，而不是说要盲目的去采用一些这这个呃产品过程当中的一些，呃，大家都遇到的一些这个问题，所以说内里片还是值得大家去看。第二个的话呢，是ni的那个框架，你尼的再发个零系架构的时候呢，是他去定义了，现在所谓的啊这个S也好，然后I也好，还是说这个格雷也好。给我们最大的一个指导就是说啊，他统一了大家对林系的一个这个认知，以前更多的林系呢，可能是一个抽象的概念，可能大家觉得S就是人，甚至说也是，或者I也是一个人后呢，就是大家做个大家一个基本的认知，在做这个主体到客体资源的一个访问的一个控制模型的一个前提下面我的这个整个这个架构，然后。

同时为了实现更好的一个这个安全模型，那这个时候呢，我需要搭配刚才所说的啊，这个数据安全产品，然后端点安全产品，然后I'm和这个so啊，或者或者威胁情报啊，他跟林先生的一个这个结合，这个也是我们前面讲的那个，呃，滑动安全标识也好，还是其他他的也好，就是说你的防御是一个基石，就是我们每一次的这个检测，我们每一次受到的这个攻击，都希望能够转化到整个的这个防御模型里面来，就是落地到我们的这个产品架构上来，只有这个东西才是咱们企业自身的，也就是说以后所有的东西都可以沉淀到这个架构里面来，理论上你的这个能力，你的防御的这个能力会越来越强啊，啊从那个之后后呢，可能借助着这个疫情啊，啊，因为疫情期间可能大家都普遍。

比较偏向于林先生的这种方式啊，就借着这个疫情过去的两年的零先在是快速的一个这个发展，那么我们从这个garden呢，对呃，最新的这个研排上来看呢，这个是2020年的一个这个终端安全的一个，呃，那个那个cle。那个时候呢，呃呃Z应该还在这儿啊，那个时候呢，呃，其实是是到了这个谷底开始慢慢的去爬坡啊，它这个的意思呢，其实是很明确，那个时候呢，呃大大家对零星的期待价值很高，但是在落地的过程当中，有环境适配的问题，有先从哪个场景入手的问题，然后包括是说市面上大家一。一夜之间好像都在做零系任，然后这个选择供应商的这个问题等等等等，然后包括那个时候还有很多要跟咱们现有的建设，包括像APP对吧，我电脑上已经有终端啊，甚至于是这个EDR，还有买了一部分的这个U对吧，还有一些是BD这些要通盘考虑的一个问题，那么他在当年提出了这个，呃，UES啊UES呢，其实它的出现本质上就是为了配合这个zna啊，就是配合林先生访问，所以呢，他本质上还是贯彻了卡模型的那个那个里面的说法，就是安全始终从林先任开始，访问应该基于这个上下文，应该持续的监监测与评估风险，实现这个自适应。那么从。

2022年的这个呃断点安全的这个help，这个来看的多的部分呢，除了我刚才讲的202呃，2020年的一些跟零信任相关的一些东西，它还出现了这个暴露面的管理it啊，就是说这个呃基于呃呃这个呃呃这个呃这个身份威胁情报的一个这个检测，还有一个是这个bus啊，就是基于呃攻击自动化啊检测的这么一个这个啊这个相关点，虽然说在其他的地方都已经做了这个落地，但是在端点安全未来也会这么做，核心呢可能是说。

呃，未来哎就是说整个的这个端安全建设应该就是围绕着呃Z整个的这个架构为主，就是的这个架构为主，然后结合全面的这个统一的终端安全，然后再结合我们刚才讲的那些呃这个危呃这个危胁情况和这个so，然后分为事前，事中，事后，然后整体化的去做这个防御，然后持续不断的加强整个临先任的架构里面的一个这个防御的这个能力，这是未来整个的一个呃这个咱们企业里面应该呃从呃，如果是需要呃常年去考虑多年的一个这个建设的话，应该还是要慎重啊，就就是从这个零星的这个架构。方面去做这个落地，那么我们最后呢，再回到这个演练的过程当中，看这个零，看这个林先生，如果是从办公网的这个，呃，这个这个林先生来看呢，无非就是说一个办公终端，他呃在互网期间怎么去访问后端的这个业务资源的问题，那么呃，典型的离心率实现呢，如果是按照刚才的这个理想的这个方法，那么他应该在终端的每个层面都去做相应的这个啊，这个积累，比如说身份的这个层面，设备系统应用，网络数据威胁，那么。

在每个层面呢，它会再抽象一层出来，在针对每一个这个这个攻击的这个范畴，或者是咱们的这个暴露面的范畴，或者是威胁的这个范畴，那么我会去计算它的一个信任程度，或者是说它的一个风险程度，这个时候大家会发现，我通过计算完之后，我会给他一个标记，哦，它是属于什么样的等级，或者属于什么样的类别啊，就算没有等级和类别，那我在访问的时候，我也有一条策略，这条这样的这个设备，这样的这个设备，在这样的这个场景下，在这样的这个上下下文下面，它应该能够访问什么样的这个企业资源，它是可以访问高敏的，还是可以访问中敏的，还是可以访问低敏的，那么一旦在一一旦他访问完之后，后面我又发现了他新的一个风险，或者是说他的信任值，或者他的这个风险值发生了偏离和这个变化，那我要动态的去调整它的这个权限，然后这个时候呢。

快速的去做到一个最小化的收权和风险的自适应的一个啊这个这个这个过程，这是一个典型领先的一个这个产品实现这是一种比较理想效果，那现在大部分的这个这个零呢，可能更侧重于说零架构本身啊，就是典型的的一个架构，首先呢，我先做一个暴露面的一个收敛啊，至少有个SPA，然后同时呢，我有一个信任评估引擎，这个新评估引引擎呢，可能做的没有说的刚才那么复杂，可能更多的是说基于一条这个规则，或者是我基于这个新人评估引擎。

我基于已有的能力，然后对它做一些单点的这个风险的一个这个计算，但没有关系，那最后呢，我再去呃这个呃，这个策略引引擎里面告诉他哦，这个设备是不是可以访问后端的这个业务资源，并在这个过程当中发现了问题，我再做到动态的一个权限的一这个调整啊，啊同时呢，我开放充分的这个A，然后给到刚才讲的胁情I全系统把他们的数据呢，同时呢去纳入进来，然后最终做这个决啊是不是有真的这个问题，包括像uba等等，应该都属于咱们企业安全中心的一个建设，这个就是前面的网络安全模型里面讲的就是啊，基于这个架构，你可以说持续的不断的对它进行增强和对它进行这个赋能，理论上你企业安全中心的安全运营能力越强，那你这个架构的价值会越大，这个现在也是一个这个误区，很多人在觉得，哦，好像。

现在就只只只是替换一个这个VPN，或者是替换一些这个端安全的这个能力，其实它并不是这样的啊，它这个架构跟原来的那个典型的那种啊，基于一个啊，典型的网络安全架构啊，就就是传统的那种。以网络为中心的那种架构可能还不太一样，如果是VPN的话呢，那可能是，呃，控制面和这个数据面基本上就在一起啊，我先给你一个暴露面啊，我至少给你报了个四次单，然后你先过来做这个身份认证，那那你这个时候呢，其实只要是典型的黑客，他只要你给他一个这个切入点，他很很快的可以通过这个漏洞，然后直接就可以打进来啊，并且呢，在这个过程当中，他没有把。这个控制面和这个数据面去做这个分离，而且呢，它是基于一个三层的，那我像我刚才演示的那个视频里面，一旦被人钓鱼之后，基本上后呃，就可以通过VPN直直通后面所有的这个业务系统，这是非常可怕的。那我们再看这个，从攻击者这个这个嗯，这个视角我们来看这个零信任是怎么做到哦，它作为一个典型的架构来防御这个攻击的啊，在我们内部的话呢，我们对林系那个期许是说以万全应万变，就是说你把这个架构搭好之后，如果是说从外部的去做这个攻击，呃，原则上来说，呃，除非是你收敛不了的啊，其他的都应该收敛到这个林系的这个控制中心的这个，这个这个安全网关的后面，这样的话呢，啊，所有的人在做第一步的时候啊，你给我发的第一个报文，我永远会去做这个校验，那你扫一轮发现没有任何人给你回应啊，因为你没有带我的这个安全标识嘛，我是不会给你回应的，这个时候呢，你第一轮基本上就发现不了啊，除非你真的知道我某一个业务自然是存在，如果是说我在这个地方做到完，呃，做到一个最大化的一个收敛之后，那么你这个时候你只能去。

其他的地方去做，那我在这个时候呢，呃。再补齐我其他的这安全能力啊，就比如说对钓鱼的这种检测，因为钓鱼我们前面讲过啊，第一个它利用的是人的这个弱点，第二二个的话呢，它本质上是一种可信的攻击，它其实还是从原理上，它是能够绕过这个这个离性能的这种方式，那OK，那在这种情况下面呢，我只能是说第一个缩小我的这个暴露面，你的这个终端，我对你进行这个呃，安全机芯的检查，暴露面的这个这个检测，比如说你自己是不是有开这个端口，尤其是有没有映射这个RDP端等等个时端个，包括我可能初始啊，就这个终端上给了你十个权限，但是呢，我发现过去一年你从来只访问前三个，后面的七个你都没访问过，那我就把后面的七个全部给你冻结或者临时的啊，我就呃，随着这个业务的这个资源的变化，我也会给你调整你要访问的这个等级等等。

那么再往后呢，就是说，呃，因为林先生还有一个特点，就是说我是始终假设这个攻击是存在嘛，那如果我们假设钓鱼这我确实没防住，那么你下一步你肯定是在内网里面，你会尝试去做这个横移，甚至于说去做一些敏感的动作，那第一个我基于那个呃，你的这个攻击手法，那我会去做这个检测，第二个你在内网里面去做横移的时候，我会去做这个检测，那也就是说。

啊，从这个来看呢，我们可是从每个的这个过程里面啊，我们可以是把信任做一个这个这个映射，我们假设他的这个是突破了我们第一道关啊，无论是通过这个钓鱼，还是说我们有的地方啊，没有做到这个收敛，那么它在后面的每一个过程当中，我们都假设前一个存在啊，确实存在，那我这个时候应该如何去做，那在在这个阶段，腾讯内部的其实是在每个阶段都做了，做了对应的这个措施，就是为什么我们会去提这个钓鱼检测，然后以及包括这个横移，这个都是我们在内部里面非常好的一个实践，而且不仅仅是LV自己做啊，我们跟像这个S，像微一情报我们都是有联动的啊呃，去做这个事情，那讲了这么多，可能我们再给大家看一个效果，就是说我们前面放的那个视频里面，如果是说同样遇到这个问题，那么你部署了腾讯的这个LV之后，我们会是什么样的效果，这个时候呢，你会接到一个呃，这个。

呃呃，这个样本，那么在这个时候呢，你是做了一层加密，你就可以直接杀嘛，你就直接可以落地，那你在落地完之后呢，当你双击这个的时候，我会直接去检测调，呃，这个文件是不是这个钓鱼啊。这呃，这个是我们的一个这个这个这个演示效果受于这个时间关系呢，我们可能演示的话只是演示的钓鱼啊，下一次呢，我们会更加全面的把刚才讲的林先生在攻击，呃在这个演练过程当中还可以做哪些事情，我们再做一个详细的阐述，然后以及对应的这个功能效果的一个展示啊，同时呢，这段时间也希望大家能够呃去那个。

去试用我们的这个产品啊，就是这里面，嗯，也有这个二维码，大家扫完之后呢，就可以去申请试用，就包括还有就包括刚才说的那个钓鱼检测，横移的这个检测，我们都可以去尝试去做这个验证，因为试用起来也非常简单啊，是一个SARS的方式，咱们直接安装一个agent就可以去做这个啊，这个体验。嗯，我演讲的内容基本上就是这些。那个主持人好的好的，感谢刘老师非常干货的一个分享哈，的确林信任现在这种动态信任的这种架构，一定是更适合当前数字化环境下企业业务发展的这种趋势的，那它在这个重宝的呃这种场景里面也是一个非常呃实用和好用的一个呃架构的一个方案，那欢迎大家就是对我们这个零信任，腾讯零信任的这个方案呃去关注和了解，因为腾讯在这个零星的方向上的探索和实践，可以说我们国内领先的好的，那接下来我们有请腾讯云原生安全产品专家葛浩带来云上安全建设的分享。

有请葛浩老师。OK啊，屏幕能看到吗？可以的。啊OK，呃各位好，那个我是呃腾讯云安全这边负责解决方案的葛浩，然后接下来就是把腾讯云在这个原生安全这块，针对宝这个场景啊，最佳的一些实践和我们的一些经验给大家做一个分享，然后其实前面的老师也介绍到我们在呃历史的这个这个呃攻防演练的这个过程当中，也发现了一些比较呃这个呃也共性的一些趋势啊，包括了前面讲到的钓鱼啊，以及现在的的漏洞，以及我们发现的这个码的攻击，那为什么会出现这样的这些趋势，尤其是在这个呃云生的这个场景上面，可能原来在做IDC的这个安全护火出网或火云上，呃随着每一个部门或者是每一个这个呃这个业务的系统，它可以自己在云上去通过自己的账号，或者是通过自己的这个呃呃，这个权限去。

购买云上资产，包括的服务器啊，我可以直接买一个公网IP直接去对外了，或者是买一个数据库，买一个这个cos的存储，就可以直接去对外发布业务了，所以这部分的这个场景跟我们原来在IDC线下做这个安全防护的时候有着非常大的这个差别，我呃，我的网的这个暴露面可能会非常大，所以呃，在前面讲到的这个在攻防演练这个场景当中，我们可以非常方便的通过外网的些资产啊，包括一些已知漏洞或者是漏洞能够速的进入我的内网当中去拿到这个权限，那第二个就是其实前面呃提到了钓鱼的这个场景，这个也是非常普遍的，在近几年的这个这个中保中宝的这个场景当中用的非常多的这个手段，然后另外就是呃，因为呃在构建基础这个安全防线的时候，大部分的这个企业或者是用户都会去购买呃基础的一些安全产品，那这个时候其实呃嗯传统的安全产安全设备，比如说针对这种木马或者是这种文件的攻击，都能够去做一定的根据特征或者根规。

去做一定程度这个检测，那现在随着这个攻击手法不断去演变啊，我们看到可能在呃，这个文件这一块的攻击，主要还是啊，已经慢慢出现了，我们可能会用无文件的这种攻攻击方式。那这种这种工具方式，它的文件是不落地的，所以在传统的这个文件检测方面，我们就没办法去做到这个啊木马的检测啊，这个是也是要去重点关注的，那从整个的这个呃呃，攻防演练的这个过程当中，我们首先会看一下在攻击队它是一般会采用什么样的攻攻击方式，我们也是说啊，知己知彼才能去做到更好的这个防护，对吧？那前期的话，基本上攻击都会在一个固定的环境当中去准备这种攻击的攻具啊，攻击的手段啊，通过比如说像代理或者买秒包IP的这种方式去做啊攻击的这个呃，发起第二个就是在启动之后啊，我我们会去攻击队会去做这个信息的收集啊，包括了暴露在互联网的一些资产的IP啊，域名，然后做一些探测，这个这个资产下面会这个IP，下面会有哪些开放的服务和端口，包括了这个也可能会通过社工的方式进入到内网去做一些信息资产的这个收集，那第三个就是我们在发现了这些资产之后啊，我们会去这个工具都会去通。

通过扫描工具看这些资产背后有哪些已经存在的啊漏洞啊，或者是包括他们掌握的大量这个零带的漏洞，怎么样去通过这样的一些弱点去进入到我的这个网络当中去啊，那第三个就是我们会在整个这个。发现的这个啊漏洞啊，去利用这些漏洞去进入到我们的这个呃，这个这个呃内网当中去了，那就是利用我们刚才说的零的漏洞，或者是通过注入一些木马的方式来获得熟悉的权限啊，那能够啊打入边界的这个，这个边缘的资产，能够通过影子战的这种方式，能够进入核心的业务啊，那进入核心的业务或者进入网，进入我的这个边界之后，那下一步就是为了去获取更多的这个攻击成果，都可以拉动内网的这个黑一啊，去通过扫描，或者是比如像刚才提到我可以扫描这个内网的这个A啊，或者是我们内部的一些业务系统啊，可能防护比较弱的，那进一步扩大的股啊，能更多的权限和数据，那这个是攻击队一般会使用的这样的一些攻击的这个手法，或者是呃径，那第二个是跟针对啊这种呃攻防演练的这种场景下，我们应该去如何应对啊，首先第一个前期还是要去做整个的这个安全的宣导啊，可能在内部化发起有呃这个这个整个的安全意识的这个培训。

说是我们去进行相应的这个这个宣传，呃，视频啊，或者是文章一类的一些教育，第二个就是我们要去做啊，对重要的资产去做权限的收敛啊，尽量去做到最小的暴露面，我可能有些客户可能会选择把业务关停，那其像有一些这个行业的，比如说像车联网这种业务，我就没办法去把这个业务关停掉，所以针对这种重要的业务还是要去做好全新的这个收敛，那基本的基本的安全设备还是要去做啊，这个这个采购和防护的，那第二个就是在呃，我们做了基础的这个准备之后，去摸清我们有哪些资产，对吧，包括了可能现在在这个击眼中可能会会重点击的像A的资产以及容，因为大家慢慢的上云之后啊，首先是买云上的服务器，现在慢慢的也会去做容计划，那这也是核心的这个这个攻击的对象啊，那第三个就是在我们梳理的资产里面去自己去扫描我们有哪些漏洞，对吧，有哪些这个这个资产需要去做收敛的入口令的这个场景，我们要去做加固的啊，甚至包括我们自己可以去做一些深度测试，或者是通过。

第三方的这个这个安全服务的团队来去帮咱们去做安全的验证啊，去去在开始之前去做。

这个这个啊，这个风险的这个规避啊，那在实际的这个呃，攻防的这个过程当中，主要的工作还是第一个就是我们可能啊，要提前去做，做一些这个这个我们叫蜜罐或者密网的这个布线啊，那引诱攻击者获取它的一些攻击特征，然后来呃。可以封禁他的IP啊，那其实在在这个攻防演练这过程中，其实最重要的工作可能也去收集大量的这个这个情报的IP来去做封禁，那这个时候就可能会比较啊，对咱们的这个这个安全设备的防护的性能会会有一定的这个要求啊，第三个就是我们需要去做实时的这个告警的监控，那这个其实可能在在攻防演练这过程当当中主要的一些工作就是我们要去对实时的，因为基本上呃，这个这个工具手法都是呃，都是会会做一些绕过的，那这个时候其实在在网络或者在边界设设备很难去发现，那这个时候一旦进入到内网之后，只能去通过我们去对这个呃一些异常的行为或者异常的一些这个访问来去做研判啊，那这个到底是一个正常的业务访问，还是一个一个攻击的手段啊，来去做做啊实施的这个分析和拦截，那在呃第五部分就是要我们去在内蒙其实要也要通过这个我们的防屋控制的规则去做啊，去做权限的管控，另外也是要去做流量的这个实时的检测，因为。

常提到一旦进入到进入到内网拿到我的服务器的权限之后，一定会去做内网的，可以那这个时候如何能够及时的发现我内网存在这种异常啊，能够及时的把这个呃异常的资产给给啊给给这个这个啊这个规避或者是啊，就是通过安全组的方式去把这个这个权限给做一些管控，那能够达到把这个影响面达到最低的这样的一个效果，那这个是呃，基于我们在防守的视角看到的这个。业务侧的需要去做的这样的一些基本的一些动作，那腾讯云安全在这个方面我们能提供哪些工具呢？这里我们我们啊提提提出了这样的一个体系，叫三加一的这个安全防护的体系，那这三个体系分别是代表什么？第一个第一道防线我们叫啊，我们叫在大门去做整个流量的这个分析啊，基本上就就主要是在去做IP的这样个动作，第二个就是我们的呃业务资产的这样的一些这个呃业务请求的这个防护，主要呃针对的呃，像部类的这个网站A或者是这样的一些业务啊，识别一些工具的特征啊，包括了像部的击啊啊，但是通常通常也会在通常在这个攻防演练的过程中，不会用DDOS啊，CC这种有这个性能耗尽的这种工程方式，但是其实呃，这个黑灰厂也会利用这样的一个控制，在这个期间会去做这个这个主动的一些工具，所以这个其实也要去做重点的这个防护，那第三道防线就是我们在。

我们最核心的资产，我们的服务器，我们的容器上去做，啊，最后一道的这个防线，类似我们在电脑上装这个杀毒软件一样，去做最后一道防线，那前面三道防线基本上就是我们在。

我们的这个呃嗯各个领域里面，像主机侧，像流量侧去做重点的防护，那怎么样呢才能把这个各个各个呃呃安全能力能够协调起来，去做统一的这个分析和联动，这个时这个时候我们会有云上有一个安云安全中心，能够把这些安设备能够去做呃日志的关联分析，包括了这个策略的联动处置啊这个是我们原安全中心啊能够去啊帮助大家在这个共防演练当中去节省我们呃这个这个呃经济的样一个非常呃高效的一个工具，那在每一个领域里面，我们具体能够提供哪些能力呢？那防火墙这里其实首先第一个就是内网的东西，流量呢，包括了其实我们呃在以往也发现了，就是通过IDC啊渗透到云上，或者通过云上渗透到IDC这种场景也是存在的，所以在边界这侧可以通过防火墙来去做内网东西向流量的这个管控和隔离啊，第二个就是风机内网，这个可能大家比较熟悉，就是我们能够提供大量百万级的这个IP的封禁啊，那情报这块这这块其实前面也提到我们我们的安全的产品。

防防火墙，主机安全其实已经都成了我们腾讯的威胁情报的能力，在重宝这个期间，能够把这个情报能够及时的下到我们每个产品的模块当中去啊，那些生其实前面也也也介绍过了，就是我们可以去做内网应用的一些收敛啊，那那密罐就是我们可以在内网和外网去及时的去布一些这个陷阱，及时的发现一些异常的这个啊访问和请求，第二道防线就是在wa这里，我们可以去做基于啊IP或者地域的封禁，这基本上呃，在重保这个期间，我们可以把海外的流量全部都给封禁掉，或者针对一些这个IDC过来访问的请求全都给封掉啊，这个是这是一些异常的这个，呃，这个这个请求基本上在这个期间会以业务为呃，以这个安全为主，可能会在业务上会有一些误判，但这个是从安全优先的角度来考虑的，另外就是在API资产这里也可以去做API资产的梳理啊，API资产的这个啊，异常调用以及敏感据的发现，这个是在在第二道，第三道这里主要还是针对。

漏洞这侧啊，就是通常我们的漏洞的修复或者是检测啊的的的闭环，呃，通常很非常少比例的客户能把这个工，这个工作能够落地下去，所以我们也在漏洞这个防御这一侧，提供了漏洞主洞防御的这样的一些能力，不需要去做你的补丁，不需要去做重启，对业务是没有影响的啊，所以这个可以很好的帮助大家在利用在这个这个期间去啊，比如说业务可能没法机，没法去做主动修复的时候，去做一些主动的防御，第二个就是我们也会去做刚才提到的。无文件的这种工具，或者是内存码的这种攻击方式的检测啊，包括容器这的整个生生命周期的这个管理。那在整个的安全运营中心这里啊，我们可以去做统一的资产管理，包括了安全设备的这个策略配置，以及云产品的，比如说像cos的这个权限管控啊，或者数据库的这个权限管控，都可以在这里统一去做啊，这个这个啊监管和这个呃，威胁告警的这个这个分级分类啊，分级分类之后我们就可以针对重要的这个高级或者是高危的这样的一些事件去做优先的处理，另外就是针对不同产品的日志，我们可以做统一的接入啊。

另外就是比如说可能有多账号的多多个这个多元的场景，我们也可以通过统一的平台来去做整体的这个安全的这个防护，那落到就是前面我们讲到在各个各个呃这个防守方的这个呃，准备工作当中，我们可以看到就这我们几道防线能够给大家提供的啊，其实前面提到的就是在拉防线修长，修这个城墙这里我们可以去做对边界的网，边界的这个流量去做防护，内网东西向的流量防护啊，那在在在这个挖这侧我们可以提供A资产的护，域的接入和域的这个基础的类工具的这个护，那在主机安全这啊，我们可以供的就是像服务器的啊这个啊，容器环境的这个基于终端对策的这个啊。我们叫这个工作负载的这个这层面的这个这个防护，那在资产收集这块，我们防火墙可以通过我们的云上的接口去去发现我们有哪些资产，甚至包括了我们云上在在DNS这块有哪些域名啊在在云上提供服务，但是没有加入到我们云上相应的这个安全产品防护的这样的一些这个资产啊去做整体的梳理，然后在云安全中心这里统一的去做啊这个资产和风险的这个呈现，那第三第第啊第三个模块就是在啊适中我们可以去做啊流量的这个啊分析和和这个啊处置啊，包括了主机侧我们可以去做漏洞的以及机线的这样的一些检测，那在啊渗透攻击的这个过程中，可以去做很好的这个拦截，包括了啊，有基于流量层的四层的以及七层的这个外B的应用的工具的这个拦截啊，包括了我们在啊防在终端侧的，我们可以在在主机侧去做文件的查查啊，以及在云原型中心，我们可以提供这个多个维度的日志的管理分析和这个。

啊，这个结果的呈现啊，那横向移动这块主要还是依赖于防火墙来去做东西向的企业安全组啊，以及通过内网的罐的方式去做啊，这个流量的检测啊。

那呃今天主要是给大家去做一个云安全的整个框架性的呃这个介绍，那后期在呃4月14号的时候，我们也会去针对前面的每一个重点的领域，我们要给大家去做一个最佳实践，怎么样去把这个能力很好的应用到我们的这个这个重宝当中去，那首先第一个就是我们会提供的一个就是产品组合的这样的一个套餐啊，那呃可能很多这个用户再去选择，尤其像这种重宝攻防演练这个场景当中，不知道去该怎么样去选择合适的这个这个产品，所以我们会针对重宝这个产景里面会推荐啊，选择什么样的产品，以及什么样的版本最适合咱们这个啊这个这个攻防演练期间，第二就是我们刚刚提到了，就是在呃与安全这与安全中心这个产品，我们会做一个升级能力的升级啊，包括了我们呃前面三道防线的日志的接入，对吧，我们可以把这个告警的去做统一的这个分析，第二个就是我们可以提供一键的风险体检，那这里体检就包含了像我们的基线啊，一些入口令啊，包括了像我们内容内内容测的一些风险的这个识别能够能够。

及时或者高效的帮咱们去做资资产的这个梳理啊，那从落地的角度来讲，我们因为把所有的日志和告警都拉出来之后，我们就可以去做啊整个的这个啊处置，那就可以直接在我们的安全中心去息策略到这个这个执行的，比如说防火墙或者安全呃这个主机安全策去做啊，这个策略的执行啊，能够更高效的响应我们在互网或者是这个重保期间的这个这个呃这个这个高效需要解决问题的这样的一些需求，那第三个就是我们也提供了一个呃一站式的风险评估的这样的一个一个呃一个能力或者是这样的个呃呃一一个体检的体检的模块吧，就是在云上的这个呃包括了第一个就是我们可以去做资产的梳理，第二个就是我们可以调用腾讯，腾讯云安全的漏能力，帮咱们去，呃检测暴露在互联网的这个IP或者漏洞有呃，这个域名有什么样的这个风险啊，去做主检，包括产品的配置核查以及资产的。

变最重要的就是我们可以提供一个啊自动化的模拟工具的这样的一个呃能力去帮咱们去评估啊，针对这种高高规格的这个攻防演练的场景里面，我们到底能扛住多少攻击啊，所以这个对呃，我们自自己的这个防护能力，可能有一个老人凶的这样的一个认知啊，所以那前面介绍我们有产品有有这个呃，有这个安全的。啊，安全的这个这个平台来帮助去做整体的安全的运营，那其实我们也可以通过呃，腾讯云安全也能提供这个安全服务的方式，来帮咱们在这种重保的期间提供这个安全托管服务，我们可以把腾讯级别的这个安全呃攻防的能力植入到我们客户的这个安全防护的这个体系当中去把我们整个安全呃这个防护的水位能够拉到拉到跟腾讯一样的这样的一个级别啊，那这个就是我们在接下来的4月14号能够给大家分享到的，就是我们呃在三加一这个防线里面能够去在升级的这样的一些这个产品的能力啊，会有相对应的每个领域的安全专家给大家去分享啊，腾讯云安全在因为本身对腾讯来讲，我们腾讯云的这个服务每天都是其实都是在重保，我们也会自己会去做攻防呃对抗的这样的一些这个呃演练啊，所以我们也积累大量的这个这个防护的经验，会把这块的这个经验分享给大家，在比如说在边界的流量侧，在整个安全运营的这个这个这个过程当中怎么样去高效的把。

这个事件能够去识别，能够去闭环啊，我们会去会进行一个更深入的这个啊分享，在14月14号下午的三点到04:20这个时间段，欢迎大家来，呃，继续来参加我们云安全，云安全的这样的一个分享的活动啊，那个我我这边的分享就到这里。好的好的，感谢葛浩老师啊，也感谢葛浩老师来做的这个预告哈，那的确我们呃，因为云上安全是一个呃重宝里面比较大的一个场景，然后这个里面包含的内容也特别的多和细，所以在下周周五四月14号的时候，我们会专门开一期云上众宝的呃呃一期直播的分享，所以感兴趣的这个小伙伴和观众朋友可以呃关注我们后续的重宝系列的直播。

好的，那呃，接下来呢，就是我们今天最后一个议题，那将由腾讯安全专家工程师刘志高带来攻防场景下的敏捷安全运营的分享，有请志高老师。好的，嗯，各位下午好，那首先自我介绍一下，我是来自腾讯安全云顶实验室的呃，刘志高，那么今天我要跟大家分享的内容，那腾讯安全云顶实验室在，呃，腾讯公司主要是负责云上业务安全保障的，那包括腾讯云自身的安全体系建设和呃云上用户的安全业务保障啊那我今天要分享内容呢，是攻防场景下的敏捷安全运营，那内容主要包含呃三块吧，第一块就介绍一下目前我们现在遇到的呃，整个行业的安全趋势是什么样的，会有哪些新的安全的机遇和问题出现，那么第二块会介绍一下就是整个包括像微软，谷歌等等他们在行业这一块的一些新的探索，有哪些能帮助我们去看到，说整个安全运营的趋势和新技术方向是什么样的？

第三块是我们结合腾讯自己的实践去讲一下我们我们在安全运营这块我们的一些新的发现，和我们的一些平台能力方面的一些介绍，OK，那接下来进入正题，第一部分就是我们现在所处的一个时代，那其实呃呃。我右边这幅图呢，其实大家看这个标题应该能看得出来，就是AI右边这幅也是我们用AI去做的生成的一幅图，那也那现在的话，其实随着G在呃，去年年底发布之后的话，我们去针对G做了一个专门的。研究，包括大模型的整个过程的回溯，我们发现其实它在安全领域的最大的一个影响就是它可以比如说举个典型的例子，他可以去检测漏洞，创建POC也可做些一些，所以我们在我们分析了一些行国内外的一些对G全的我们自己的实践经验之后，我们发现其实它对我们做安全重保或者做安全防守言它，它使我们的攻击效率有了更高的一个提升，所以说对我们防守者而言，我们的防护的要求更高了。那另外一块的话，就是在开源组件这一块。

那么右边这幅图呢，是开源组件的一个呃，咨询的一个呃分析报告，那么从这个分析报告里面，我们其实看到像这种拓普级的这种项目啊，比如说这个阿帕奇，他们的迭代速度是非常快的，基本上15天之内就会有去缓解一些安全风险，然后呢，每个企业在安全的这个开源组件的使用率上，其实远远超过我们的想象，基本上是每年达到了31万多个。那无论是还是for这些名的it组，It机构，那他们也呃表达了一同步的，就是现在很多系统基本上都是被呃开源组件组装起来的，而不是说企业的开发人员从零到一去建设起来的，所以这意味着说我们其实呃在企业的业务支撑的背后，有我们本身的安全开源风险的这种治理是非常的这种急迫的，那还有一块就是说除了开源组建这个生态之外，那一些云呢，IOT的新技术的引入，使得我们比如说。

我们的漏洞，我们的风险面从传统的这种呃，比如说防火墙啊，交换机啊，还有一些这个服务器啊等等，已经扩展到的这种LT设备，甚至云的这种产品，比如说我们有些这种呃，云的存储啊等等一些呃风险，它的风险面呃增加了，那么同时我们在开发模式这一块，从传统的这种SL或者这种模，到了目前现在这种这种体系的这个迭代效率，之前可能三到五年或者几周到现在的这种。

几天甚至几个小时就会迭发布一个版本，所以这也会给我们这种发布模式的变更，这种外部的这种呃业务业务的这种新技术的引入，都会给我们安全的风险面来带来一个更大，呃，带来一更大的挑战，那么还有一块就是我们知道安全就是攻防制工跟懂防嘛，那我们知道自己的攻击对手有哪一些，那左边这幅图呢，就是我们也分析了一下，整个行业里面，我们真正遇到过的，我们我们每年会处理大概130多起的重大应急事件，无论是为腾讯自己的，还是外部用户的，那这些事件背后我们做了一些分析，其实有些是国家的，有些是这种无政府主义黑客的，也有一些恶意用户内部威胁的，每一类的威胁对象，它本身，它其实它的这种攻击动机都不一样，而在分析这些过程中，我们其实发现通过分析黑客的攻击手法，我们发现其实呃，这些黑客或者这些这种呃威胁组织啊，恶意攻击者，他往往比防守者能够更有效的共享信息，比如说他可能。有些漏洞，但刚发布的第三天或第二天，他就已经开始去尝试写POC去开始规模化的利用了，那另外的话，呃，他们在工具的效率方面，他们也会尝试使用过构建各种各样的一些工具来做社区的分享和相互的完善，所以在自动化的工具能力方面，他们也比传统的防守者做的更呃敏锐或者更强，那除了我们的对手之外呢，还有就是我们的环境，那这一块大家也知道，就是我们现在每个企业都会有自己的这个安全运营平台，还有各种安全的设备，基本上都该上的都上了，那这个时候很多时候可能面临一个问题，就是我们在运营方面很多新的事件不知道怎么处理，或者说事件告警量过多的时候，其实相当于就没有呃这个安全设备就没有起到作用，因为比如说在互网期间，或者说在重保期间，它的攻击日一个扫描就会触发呃上千个或者上百个这种告警，那我们怎么样就能够快速去对它做一些分析处理，那这个时候就对我们安全运营提出了一些很很大的挑战，无论是。

新事件的这种知识模型的匹配，还是说处理人力资源处理不过来，就是怎么样去高效去处理这种大规模的告警，那么这两个挑战是企业面临比较多的，那还有一就是从现攻防演练势上来，那左左两就攻击的top战和具也这些就是攻击的这个象向于OA email之外，还有更多的是偏向于安全产品呢，比如说我们的一些这个终端系统，EER啊，云桌面啊，VPN啊等等，这些成为的工具的一个重要的标榜。

嗯，那还有一部分的话，就是说一些林地漏洞的利用，还有社工钓鱼，那么这些另外就是在整个我们的呃，做这种攻击对回攻击手法回溯的过程中，我们也发现攻击者所使用的这种攻击思路，往往不是说直接从正面开始打的，大部分针对一些比如说一些银行啊，或者一些安全做的比较好的券商啊等等一些客户，那他们可能更多的是从供应链开始打，并且效果是非常好的，因为对于他们而言时间是非常有限的。

那呃，除了这一部分的话，那么这是我们整个呃面临的一个安全的一个大背景。那么接下来我们看看就是说行业在安全这一块有没有什么新的一些呃探索和实践，那这里我也呃简单分析了一下，就是我们也调研了一下行业的一些新的这种关于安全运营方面的一些理念，一个是谷歌，那么谷歌其实在今年年初的时候发布了一个安全的运营的白皮书，那么他提到了一个点，就是说现在我们他他重点提到自主安全的运营的理念，也就是他他觉得未来的安全运营一定是呃，越来越多的企业把业务分到云上来，并且种类云的业务的种类数量会越来越多，所以对安全的挑战要求就是能做到敏捷和高度自动化的系统，才能真正抵御这种批量攻击威胁，也就是跟我们前面其实提到的就是怎么样去应对大规模的批量的这种漏洞，利用比工具者更有效的共享情报，这个其实是谷歌觉得呃敏捷和高度自动化是比较好的一个解决手段，而另外高其实在最近的它的这个报告里面也提到了一个点，就是说呃安全操作的自动化，也就安全运营的自动化。

正处于复兴时期，那很多企业，但是但是呢，他说安全自动化的平台已经从呃传统大家专门的为了自动化做自动化，需要去做一些转变，转变到更多去引入一些外部的安全专家，由这些专家来去做一些自动化，那么这样一来的话，它自动化的效率可能会更好一些，那么也需要融入一些安全的专家经验来作为安全运营的一部分，那第三块的话就是微软，其实微软在它的官网的这个呃网站上，网站上发布一些安全运营的一些新的理念，那么这里面它重点提了两个点，那么第一个点就是说呃云的资源覆盖。另外一块就是说遥测处理，那么所谓云资源覆盖怎么理解呢？就是说呃，微软觉得现在很多越来越多企业在使用云的过程中，这个这个趋势是很大的，他们有数据统计，那我们他怎么样去解决安全运营的问题，就是很多企业在上云的过程中呢，他的很多云资源没有覆盖到，他还是传统的数据安全运营的那套运营模式，那么导致经常会出现安全事件，所以他觉得云，呃，在安全运营过程中把云资源覆盖到这一点，这个这个是个很重要的一个点。另外就是叫云遥测处理，那么这个主要是针对一些敏感的，对时间要求比较多的一些技术场景，比如说有很多企业可能没压根没有那么多团队去做大数据的，呃，搭建或者说做开发大数据的模型的开发和服务器资源，那这个时候他又是对一些数据分析有些相相应的要求，那这个时候怎么办？那么其实可以把一些这个类似比如机器学习大规模分析和一些机械行为分析的一些能力，放到利用外部的SS云的方式来去做一些，呃呃呃，就是接入，接入一些外部的SS的云服务，那么。

这样这样一来的话，就可以去解决在安全在部分场景下的安全运营的这种时间性的一些要求，比如说这种机械行为分析等等，这个是微软提到的一个概念，目前的话，其实从腾讯的经验来看，这也是嗯，我们在真实做安全运营过程中比较大的一个比较好的一个解决手段。

那讲完了行业的一个呃，行业厂商的一些观点，那么接下来我们提一下就是我们觉得未来可能要具备的，结合腾讯自己经验，我们觉得未来安全运营需要具备的三大能力，一块是技术能力，那么什么叫十倍的技术能力，意味着说一在发现的速度方面，我们需要比行业的厂商更快速的去发现，也就是刚刚提到的就是我们要比黑客，比黑产分子，比一些这个可能地下产业的白帽子啊啊等等，比他们更快去共享情报啊，那这个时候的话就情报的共享能力就显得尤为重要。那另外一块就是说在呃覆盖度方面，我们需要更全面的这种攻击面的管理能力，因为很多时候我们做传统的安全运营的时候，可能更多的是覆盖的以安全产品为运营的一个思路，比如说我有哪些产品，我把这些产产品告警运营起来，是不是就没有安全风险，但实际上的话，我们通过实际的给用户做了很多的大量的攻防演练，包括腾讯每年也做四三到四次的攻防演练，我们发现其实攻击的攻击的路径往往不是传统的这种设备的，比如网络主机。

它更多的是围绕你的膨胀来做一些供给，比如说呃，我们可以理解为供应链，直接把你的供应链供应商或者说去呃搜索你没有员工的事现账号泄露了，然后有事现泄露的情况，我利用你的事现的账号来登录某个外部的系统，再或者说直接去攻击你云上的某个呃小众资源，因为有很，因为现在有越来越多的用户就会使用到云存储资源，那云存储是不是有些配置没有覆盖到的地方，那可以直接，比如说配置可读了，我直接读读取你的存储桶，那么这个其实也是一个非常好的利用途径等等。还有一些暗网泄露的一些数据，比如说直接拿员工的实现账号去登录某个呃邮件平台，然后通过邮件平台获取一些敏感数据，那么这一类其实我们很很多时候传统安全运营难以覆盖到的，那另外除了覆盖度方面，还有一个就是说更强的这种分析能力，那么所谓的分析就无论是机械行为分析还是数据分析，其实企业自己去做这个成本很高，那很多时候可以采用一些S化的能力，测分析的能力，像微软说的来解决。

这对时间要求比较敏感的一些，呃，安全运营的场景。那除了我们的技术能力这一块要做到比更快更全面和呃更快更更强之外，呃，那么同时的话就是呃流程化的能力，为什么提到流程化能力呢？其实技术能力我们看到前面的很多就是帮助我们尽快更全的去发现问题，那发现问题之后，那么接下来，接下来要怎么办？那更多的是要去解决问题，怎么去解决呢？那这个时候更多企业关注的就是流程化的问题了，一方面是比如说我内部有呃漏扫啊，有配置核查，有各种情报啊等等，我就之前的响应来处理，但是这个过程中每一类的事件，随着事件量的增加，他每一类事件处理流程都不一样，我怎么样能够更加快速的去把一个事件做一些响应处置，所以一方面需要有一个比较成熟的安全能力模块，比如说我做配置核查，我就有一个固定的这个模模块，能够去做一个快速的编排操作，排查完之后，然后再做工单的发送，然后再去写报告，然后再去做复查等等，那么这些是呃需要有比较灵活快速的一些编排和响应能力的。

那除了这个呃，流程的编排响应之外，另外一块就是运营人效。也就是说我的最终事件是需要人来处理的，那这个流程，比如说我的漏洞扫描流程，我的呃配置检查流程，在整个事件从发现到处理的过程中，有没有一些环节可以优化的，其实企业是需要有这样的一个流程审计的能力的，就是可以回溯每个呃扫描到发报告，再提供单，然后再做这个写报告，这个每个过程它的应时效是多少，这个其实是可以呃在这个过程中去做一个需要有一一定的回溯能力的。第三块就是说人效，为什么刚提到GT，那其实很多一块的话，就是说现在包括我们自己内部也在使用一些GT的场景，和包括我们会训练自己的模型呢，解决一些安全服务的一些基础层面的安全问题，那么比如说我们呃常常见的一些呃攻击的这种lo的一些分析啊，比如在P上我们发现攻击，我们利用A方式来去分析这个是什行为，以及在主进行操作，都是可在内部较好的实的。另外就是说。

包层面，嗯的，在更高一个层面，比如说涉及到一些这个复杂的漏洞的一些研判分析，还有一些威胁情报的一些分析的时候，这个时候我们其实需要一些安全服务的能力，来及企业的一些薄弱点或脆弱点。来去来弥补企业的一些，呃，那提升企业的整体的一个水位，那么这是这三块的一个，我们觉得企业在未来可能需要具备的一个核心能力，那么接下来我们看下就是腾讯，我们讲了，那么就腾讯在这块具体么来做的，那么在做个人之前的话，我大概下腾讯的一个背景，就是腾讯大业务非常大，它有呃2000多个一级产品，200多个一级产品量，呃3000多个二级产品，那么我们的发布量也是非常快的，内部现在都是以S的这种模式在跑，所以我们比如说有时候的时候一天有十多个产品上线，那另外就是产品形态，我们有自研的，有S，甚至还有这种专有私有云，有呃的业类型也非常多，在技术站方面，以及在人员的组织架构方面都是非常复杂的，所以对于我们而言的话，我们在做安全的运营的保障过程中的挑战是非常大的，一方面是腾讯的业务很多是这种要有很多用户的，所以可用性的要求，包括发现问题漏洞发现的速度和一些安全事件响应的时效要求都是。

比较高的，那在这种情况下呢，我们怎么来去解决，有哪些具体的问题呢。那这里我大概提了呃三点，就是我们在整个做安全运营过程中比较典型的问题就是怎么样呢？呃，能发现我们现在有哪些最新的威胁，比如说最新的漏洞有哪些，我们有没有相关的数据泄露，以及这些问题怎么样快速解决啊，比如说我的漏洞怎么样快速响应处置，以及呃，这些事件或者ids发现这些事件怎么样快速闭环，另外就是安全防御体系有没有效果啊，我补丁有没有打上策略是不是有效的，有没有能不能防范某一个最新的漏洞的一个攻击，这些其实啊都是我们在整个过程中面临比较多的问题，虽然行业已经有比较典型的手段，比如说像漏扫啊，测呀，还有些这个啊，还有一些这个深度测试等等，但是这些问题在实际的过程中，我们其实发现这些传统的手段还还会有一些新的问题，比如说呃，在这个漏洞的，大家可能有些会用到这个，呃漏扫，或者说漏洞的一些监测，但是我们发现其实很多时候有些厂商买的，比如说360或者其他新的一些漏洞情报，但是发现其实它有很多的这种误报的问题，比如像推送。

通个几百条信息给我过来，但是我没法做一些响应，外一块的话就是说一些应链的风险，那么传统的漏和渗透测试其实很难发现应链的一些风险，另外就是说，像比如说传统的企业的工单平台，或者内部的运营平台，其实在时间运营长了之后，会发现它的威胁数量、告警数量呈现数量级的增加，就是成倍级的，成倍级或指数级的增加，那么这个时候S本身的运营成本是非常高的，这种是在一些比较成熟的企业，尤其金融类企业是遇到比较多的，有很多金融类企业客户已经遇到这种问题找到我们，那还有一块就是供给手段的复杂化，就是有新的一些供给手法出现的时候，其实企业内部往往没有这一块的，对这块比较领域比较精通的人去帮忙做分析，所以这是在呃告警的研判和分析方面面临一些人才短缺的问题，还有就是呃持续的这种有效性的防护，刚刚我们提到就是我的我在做这种重保前，我的我的我的设备的策略措施，我的功能是不是都正常在跑，其实。

有效的验证的。那基于这些问题的话，其实我们内部做一个拆解，也基思啊，将整个攻击者说我们的外部黑客所常用的这种工具的步骤作为一些简化，那么简化之后呢，我们发现其实整个呃我们需要的关键能力其实包含就是三块，第一块就是说威胁感知能力，这个感知主要分两块，一块是发现，这是更前置的，更左翼的一个能力，就是能在攻击者呃找到突破口之前，我们先发现有一些有哪些可用的这种呃工具的工具出现，或者PC漏洞出现，那第二块就是说呃检测，也就是说我实际会检测你这个企业，比如说你呃举个例子，你某某银行或某某这个呃有限公司，他你旗下用哪些，用到哪些供应商的设备产品，以及你的呃，CS用的是哪个厂商的，包括你的这个电话系统，客服系统哪些呢？我会做一些批量的这种外围的检测来去识别。你除传。

统的这种主机网络应用之外的这种供应链的一些风险，以及这个社工的一些信息，那么之后的话再去做这种呃，知道我哪些机器或我哪些呃风险点之后的话，那么接下来就是怎么样去响应我前期发现的和检测到的一些风险。这个时候就需要一些呃编排，安全编排的能力，我们本身的话，那传统的编排大家更多的是聚焦到安全产品的事件的这个编排，比如说有很多可能自带一些编排，但这种编排，但我们实际运营来看，腾讯自己的运营来看是。

不够的，所以我们现在的编排其实是包含了。呃，所以我们现在编排实际是包含了大概，呃，就是除了传统的这种安全产品之外，还会有一些很多腾讯自己的，呃，外围的一些能力，比如说外部的这种企业办公软件，还有一些会议系统等等，那么这样一来的话，其实我们再开，我们再去拉通这样一个安全事件处置过程中，它的效率就会更高一点，并且它的逻辑支持并行运行的，也就是说一些很复杂的企业的业务场景，我们都是可以支持到的，这个是腾讯其实在三年前就开始做的一个能力，因为腾讯其实大家知道一直在降本增效，一直在这个这个这个互联网企业都在裁员，所以在这过程中，我们依靠这个工具大大降低了整个安全运营的一个就是人力的一个支出，然后同时的话，解决了很多复杂场景下的安全运营的问题，那另外的话就是呃在呃响应这一块，除到的事件的这种流程的处置响应之外，我们同时还支持这种刚刚说到的云遥测的一些能力，比如说我的。

业务行为的分析啊，类似UBA的这种，我们可以分析云上的一些正常流量和业务和常流量，在最近七天的一个呃行为啊，那么这个它是通过后台的一些AI的一些算法来去分析它的业务模型，流量模型，或者说它的日志模型是什么样的，然后当出现啊一些异常的业业务流量日志的时候，我们反怀疑，比如说有没有一些未置漏洞攻击它，导致它的呃流量异常，或者说它的日志异常，那么这个时候来反向来去分析一些可以识别到一些高危的一些风险，就是在响应这一块的，那么最后就是在量这一块么，更多的是呃，那么后面我会选择介绍就是腾讯的安全度量体系是怎么来做的，怎么样去证明说我的安全是做得好的，并且的话，呃，我内部的惩罚和处罚机制是什么样的，呃，奖励机制什么样的，那么怎么样来能让整个安全是处于一个动态的良性的循环里面。

那么同时的话，最后就是说我的安全做的到底好还是不好，我有一个自我验证的一个手法，就是通过有效性的一个持续验证，入侵攻击模拟类似这种系统来去做一个持续的验证。OK，大家稍等一下，那个那个我换一个会议室。嗯。然后呃，除了这一块之外的话。然后除了这块之外的话就是。我们还我们呃把这些能力做了，按照这样一个发现，检测，响应和多量的维度，那我们做了几块的，我们呃接下来会介绍一下腾讯的一些重点的些能力，以及运营的效果啊，分别是从发现、检测，详应和多的维度来去讲，那第一块是发现能力，那目前的发现大家可能听的比较多的是威胁情报和呃这种漏洞情报，那其实腾讯我们目前在这块情报主要有四类，一类是资产情报，一类是威胁情报，还有泄露情报跟漏洞情报，那么其中。

尤其是像漏洞情报和泄露情报，反而是我们比较关注的威胁情报，大家都知道比较成熟了，很多时候是比如说行业里面有各个威胁情报厂商，包括腾讯自己也有，我们报据配一些这个事件，比如II这里面比较核心就是因为威胁情报其实它是一个偏事前的一个情报，呃不事中的一个情报，比如说某个厂商发现这个IP，呃攻击了它，然后把这个IP做一个标签，那某些情报厂商会根据这个标签来去给他打，呃，黑白灰这样一个呃tag就是这样一个探判定结果，那呃漏洞情报它更多是偏一个事前的，那威胁情报可能呃，泄漏情报可能偏事后，为什么说这两个比较重要呢？其实。

嗯。漏洞情报它会有相对于威胁情报会有一个更高的一个呃左移度，那么这里面包括像组建的漏洞监测，0POC发布，这些都是在黑客或者说黑产我们刚提的呃期内，攻击者他在攻击你之前，他也可以捕获到的些公开情报，那么如果说我们知道自己用到的组件有哪些新的漏洞出现，能哪些新的POC发布，包括您，我们如果能够去把这些内容监测起来的话，其实我呃我在黑客或者说黑产分子攻击之前，我就能提前去呃利用就把自己的这些风险修复掉，所以这个其实往往时候比我们这个危情嘛，有时候在关键的安全运营里面起到更好的一个效果。那我们内，我们目前内部是积累了500多个情报和25个，呃呃，覆盖渠道，基本上是30分钟之内可以把全球的一手的500多个情报员给取一遍，就知道说现在有最新的漏洞出现，如果出现了，那我接下来该怎么响应，所以这个M地址对于我们而言的话是非常的及时的，我们现在就依靠这个来做一个情报驱动一级响应的一个体系，另外就是泄露情报，那所谓泄露情报，它更多的是说啊，比如说我在各种安网啊，GIC泄露，那最近其实大家都知道了，很多厂商的这种泄露事件，他很多，呃，原因最后追溯到就是比如说在一些这个不同的这个站点啊，不同的外部渠道，有些比如某个员工，有些某开发人员可能在CS不小心去发了一篇文章或求助的文章，或一些自己的博博文不小心泄露的，那么这些对于我们而言其实都是呃一个，或者说对于攻击队而言是一个比较好的突破口，因为他不用说去专门去找漏洞，去对你的系统做缩。

扫描它其实可以直接通过旁站搜检索的方式，快速知道你内部的一个事现账号是什么，然后进而去直接登录到你的后台获取敏感信息，然后去做内网的横向移动，所以在这块的话，从我们实际的这个帮客户做了大量的这种数据泄露应急的情况来看，这一类情报也是非常重要的，我们目前大概是监测100多个渠道，包括暗网啊，还有一些数据交易论坛的。

呃，当然也会有些专职的交易分析，也就是针对一些，因为有些帖子在暗网的时候发布的时候，他很很很隐晦，他可能就是说中国某某银行或某某这个制造企业，呃，数据泄露，但没有提具体哪个名字，所以这个时候我们会深入去看一下这个帖子里面的截图，是涉及到哪个厂商的，来做一些专职的交易分析，并且会跟黑产去，呃加一个这个联系方式来去跟他了解这里面的一些交易的话术啊，然后一些拉圾样本信息来帮用户做一些分析，所以这块是我们做的比较深入的，那目前基本上是七分钟之内我们会捕获到，呃，国内外主流的这种，呃交易论坛啊，他们在数据泄露这一块的一些最新的情报信息，那资产报就不用提了，就是呃，我们除了企业，当然这个是从腾讯的经验来看，我们应该除了传统的这种安全的CMD那些数据，可能要把的资产覆盖到，这也是微软提到一个点，就是很多企业建全运营体系过程中容易疏忽的一个资源的覆盖。

那呃，在发现除了情报能力这一块，那么另外一块的话就是。诶。那么另外呃那么这那么这个就是我们当时建的一个情报系统，那核心的思就是我们把呃包括微博色各个场呃20呃五个分类里面的呃，这个呃渠道都做了一些监控，然后在漏洞的发布时，包括C申请啊发布呃发布前，发布时，发布中后期以及发布后期，它会有不同的这种渠道，我们啊大概树立了500多个，然后大概呃国内国内国外包括日本的，韩国的，俄罗斯的等等都会有监控，然后呃监控的主题就是围绕我们发现的这种频率的漏洞，因为有些组其实像比如说像DNSDNS有些组件出现漏率是非很少出漏洞，那这些其实我们不会或者小众很小众的我们不会去做监控，我们把主流的基本上做了一些监控，基本上可以实现，呃，30分钟之内把全球的一手渠道能跑一遍。

那这是我们现在实现的一个运营效果，就是每天大概只有30~60条的这种有效情报数据来给我们做分析，这样一来的话，其实你人工是能够真正去响应处置的，不会说有太多的这种告警风暴，另外漏报率基本上是很低的，目前基本上没有什么漏报，因为真实的有效的数量其实是不到100条的。这是我们在这过程中采购的一些坑，快速过一下，还有就是我们的暗网泄露监测这一块的能力，基本上是呃，左边这个就是我们的监测系统，包括主流的论坛安网呃，黑产交易的这种渠道呃都有覆盖到，呃另外就是我们的这个互网的情报，那这个情报其实是我们从二零年开始去积累的一个情，然后目前的话大概是覆盖了四类，包括最新的这种开源组件，比如说N啊等等，还有些这个攻击的特，比如说IL互网会使用到的一些攻击I及攻击的对的一些，还有一些行业的规互网的规则的的整理啊等等。

那左边就是我们捕获到的一些这个漏洞的这个，呃，就是我们会加了一些微信群。我们会加一微信群，然后这个微信群里面信息呢，会包含很多的这种。呃会我们会捕获这种，我们会加到很多这种互网的这种呃告警群里面去，然后这个群里面呢，基本上会有很多这种呃渗透的，或做呃白帽子，他会在里面去发布一些最新的跟互网相关的信息，那么这个是我们内部的一个渠道，大概是有呃30多个这样的一个呃情报群，那另外还会有一些这个公众号，因为从呃最近这几年情况下，很多这种新的这种呃漏洞的发布都是通过这种公众号来去发布的，所以我们关注了一批比较新兴的呃这种公众号，那这样一来的话，当他再次发布某一些漏洞的领队的一些信息的时候，我们其实能够比较快的去补活到，那么还有一种是外围的，比如我们通过这种elm或者T来去做一些呃检索，查询检索和关键的检索，来去识别到最新有没有一些新的这种呃互网相关的情报出现。

那么这是呃在感知能力我们这一块的一些建设，另外就是除了感知就是呃，感知能力是帮我们能够识别到一些外围的一些新的风险点啊，可能会对我们造成影响的，那么还有一类就是说检测，那么检测也就是我们构建的一个核心，就是攻击面管理能力。那就像这幅图里面列出了一样，就是苍蝇不会低，没有缝的蛋，那么就是那么我们在做攻击面管理的时候，我们重点构建的，呃呃，大概这七类能力，这七能力就是在我们后台是把腾讯内部使用到的各种工具做了一些整合，然后在云端会做一个pass化的一个扫描，那像左边这个互联网公开信息，业务相关信息，这个就不用写，这个企业很多企业都可以自己做的，我们重点去呃，围绕比如说AKSK的泄露，还有现主机泄露一些代码，我们做了很多渠道的一些覆盖啊，另外的话就是像组织和供应链这一块的，我们做了很多云产品资源的这种能力覆盖，比如说不同的呃，云厂商啊的一些这个代码特征，在get上介入的时候，我们会有一些这种特征库来去做一些识别，还有分公司子公司的情况，以及啊，我们在这种呃置资产，比如说L产。

嗯，另外就是在整个刚刚提到的，就是攻击战法里面用的最多的这种社工攻击手段，有一个是。利用员工的手机号和邮箱来去呃发起攻击的，呃，所以呃呃，比如说对一些某个员工钓鱼，基本上都是这里这里这里面提到的一些手段，会去这个小红书上，或者说去手机号上去搜他的微信啊，手机号啊，邮箱去发起这种钓鱼攻击，所以在这个过程中的话，我们也会去捕获这个企业员工相关的一些社工的信息，来避免一些钓鱼的威胁。

那这个就是我们所实现的一个效果图，那可以看到就是我们在做整个服务的过程中，我们会帮用户去识别它，比如说在这个组织供应链层面，资关联的资产层面，以及社工信息层面，呃，社工信息层面，还有利用情报层面等等，都会有这样一些监测的手段，那像一二和656其实是呃相对而言就是在传统企业做安全运营过程容易突破的一个点，34789其实是很多企业的安全产品，可能基本上呃能够覆的，比如说主机的his本上都能够去识别到一些，比如的一些行为，或者够识别一些探测，但是像逸检测还有获取，那么呃，前期的社工信息收取这些其实是很多企业的安全，传统安全产品其实覆盖不到的。那么除了刚才说的检测，还有一部分就是响应能力，那么响应能力其实腾讯采购很多坑，那么这里面我简单说一下，就我们我们做了三层的一个，呃标准化，就安全运营的标准化，第一层就是我们呃把很多这种腾讯内部会有很多这种扫描工具，最后我们把扫描工具做了一些封装，就选取了一个最稳定的最优的一个扫描工具，因为扫描工具大家知道在配置的时候，比如说无论是内蒙的启名单还是哪个厂商的，他都会配置一大堆的参数，那这个时候我们其实我们构建了一个我们的自动化的工作流系统。

就类似所有这种系统，那所有的这个工具只要拖过这个模块，只要选对应的IP，然后和任务名称就行了，基本上那些参数都我们以我们最优的方式去封装到里面去了。那么另外的话就是除了这一层的工具和动作的标准化之外，我们也做一些流程，比如说我们做一个渗透测试的评估或者安全评估，其实它这个过程是可以很规范的，甚至说是可以很标准化的，因此无论是可能不同厂商，它有不同的这种评估标准，那腾讯集合自己的最佳实践，我们构建一套标准，并且把它写到我们的这个剧本里面去了，这样一来的话，每次我只要去复用这样一个剧本，就可以快速去针针对不同的业务来去做这种安全评估的这个操作啊，并且这整个过程是自动化的，那么第三块的话就是场景的标准化，那么场景也就是说腾讯大家可以看到下面这图，是我们每年会开展大概30多次的这种国家级的重保的这种安全的这种防护工作，也就帮比如说国家领导人的会议，还有一些这个，呃，这个。

呃，不同的电商行业的一些安全重报，那每次重报前我们会有大量的这种前期是通过Excel来去梳理，来具体要做哪些事情，那么后来我们发现这个过程其实很耗费人力，那么之后我们把这些过程关键的一些技术能力做了一些拆解，那么形成了一个标准的一个场景，那么这个场景里面涉及到比如说漏扫啊，然后开会啊，然后还有一些资产梳理，暴露面测绘等等，我们全部呃过程的一个大的一个呃场景，场景剧本，那么这样一来的话，整个过程基本上只要启动这样一个剧本的时候，整个流程就是自动化来去推相关的人来去做一个闭环的，并且自动化就生成相应的报告，整个流程基本上做到了一个可视化和一个呃自动化，那么这个效率其实对于我们而言是非常高的，并且的话也很少会出现这种漏报的这种情况。

那刚才说那么多，其实大家可能觉得那最终效果怎么样，这个图呢，就是一个实际的重宝的封禁场景，大家可以简单看一下，左边其实是我们传统情况下，我们做这种呃互网重保的时候，可能做分析，首先就要筛选，筛选告警，然后呢去看那个告警的IP，它有没有一些这个恶意的行为，那这个时候会包含一些这个呃地域的分析，IP的归属地啊，以及它的呃威胁情报的tag啊，那么之后如果说确实它属于恶意IP，然后人工来去做一个呃封禁，封禁完之后呢，再同步话术，那么在执行封禁的过程中呢，会有主机网络应用来去选择，看是做这个防火墙的封禁，还是做这种的风镜，最后把风镜的结果同步同步出来，这个过程其实最在我们早期过程中，人工来做的时候，发现这个效率非常低，而且告警量多的时候，这种方式很呃在安全运营里面是很难达到效果，那么之后我们做了一个事情就是。

呃，基于我们的工作流的这个系统，就是M这样一个系统，我们把整个这个流程做了一些这个流程的编排，那么这个编排完之后呢，达到了效果就是呃整个流程，这个这个流程只要运行起来，常态化运行起来的话，只要呃有无论是重保场景还是日常运行场景，只要有这种攻击IP攻击进来，我们就能够快速去把这套流程里面做的工作，比如说它的IP的这个分析，内外网的分析，攻击IP的这个次数聚合，以及它的配漏的这种聚合分析，还有他的情报的一些封禁，呃情报的一些标签，包括他的这个关联的一些分析，他他同时对谁还有进行一些攻击。那最后呃，会把这些生成一个聚合的信息，同步给这个企业的这个办公软件，比如说微信啊，或者钉钉啊等等，那么他看那么办公，那么呃企业的重保人员和团队在看到这个消息时候，那他们他们可以值班人员可以直接选择同意或不同意或者终止，当他选择同意的时候，自动会去，比如说在防火墙或者wap上同时下滑规则来去阻挡这个IP的进一步的入侵，或者说进一步的利用，那么这样就达到了一个全自动化的一个呃封禁流程，基本上人工只需要短暂的介入。

这是我们的内部一个比较，呃实呃就是一个内部很常用的一个实战场景，那另外一块的话就是呃，除了我们呃在呃自动化，呃响应这一块同时，我们还做了一个事情，就是安全的量，那么这个量其实呃我们会知道会遇到很多事件，比如说企业会有入口令事件，会有各种泄露事件等等，那企业会花大量的精力来处理，那我怎么样去证明我们安全做的有是否有效，这个时候我们腾讯做的其实很核心的是两个事情，第一个就是运营风险量体系的建设，比如说我们会把相应的关键指标会去梳理出来，那么之后的话会通过可视化运营平台的方式来去展示啊，比如说自检率啊，比如说我们的落口令的数量等等，这些都是可能企业，呃。

呃，比较容易突破的一个地方，或者说关键的一些高危高优高优风险，那同时也会把每个团，每个业务团队它的一个修，呃高中高危漏洞出现的一个情况来做一个晾晒，方便每个团队了解自己现在的一个安全的一个呃建设情情况，并且针对表现差的，我们会有一个信誉积分，比如说满分100分，如果高漏洞我们扣多少分，会有一个算法，这样一来的话，每个月我们会针对这个呃信誉积分来进行一个打分，这样从企业的最高管理层面他就能知道说。我整个安全运营的建设的现状是什么样？哪个团队做的好，一个团队做的不好，那这样能够自发的去驱动团队去提升它的安全意识，改善他的一个安全运营的一个效果，那这个是目前在腾讯跑的非常顺畅的一个呃的一个体系。那么整体就是我们通过这样的一个从情报到攻击面到自动化能力，以及云端的遥测能力和量能力，实现了我们整个的一个敏捷的一个安全运营，那么最后就是我们的一个安全的有效性验证了，那么这里其实我们针对一些行业的，比如top的漏洞，还有像绕过呀，内网横移呀，比如说V的突破啊等等，还有一些邮件系统的这种社工，呃，邮件系统的一些测试啊等等，我们都会有这样不同的场景来去持续验证啊，腾讯云的一些比如说主机安全系统，旺府以及VPN等等，它的一个安全的有效性来保证，说我们的措施一直处于一个持续的一个安全状态，那这个其实是我们内部的一个呃，验证的一个图。

那么最后来看的话，就是我们刚刚提到的很多能力啊，其实我们现在都是有不同的方式来提供给我们用户的，像刚刚提到的这种呃事件处理能力，还有一些这个威胁管理能力，情报能力，我们目前都是通过公有云的方式来去给用户去提供的，就是在公有云上我们会有这种MS的安全的托管服务，那么里面会做呃大量的这种人工的这种呃规则的这个定制，去识别不同的情报的外围的这种呃资产啊，社工信息啊有哪些，然后把它推送给我们的，通过公务的方式来推送给我们的用户。另外一块的话就是我们在呃私有化里面也有很多行业的用户，比如说一些大型的制造企业，汽车，汽车行业的，交通行业的很多，他们目前是采用的这种呃MS的安全服务平台，就是把我们把很多平台的这种能力，比如说刚才提到的这四类能力，呃攻击面的，还有呃有效性验证的，以及安全编排的这种能力都呃提升到了这个平台上去了，那用户值，那么这个用户的话，其实。

可以直接去在这购买这个平台之后，直接可以在这个平台上去做内部的安全运营的一个编排操作。那除了技术的能力之外，就是这里，这里面像说到的供击链管理情报能力，都是在这个平台里面可以得到一个这个，呃呃，实际的一个运用的，那后端就是我们的一个工具管理的一个能力，就是我们会腾讯的会有大量的这种。呃，工具集就是会拿到这个工具之后呢，我们会不断的把腾讯的一些工具的能力去集成到这个平台里面去，那么这样一来的话，用户其实很多时候别人说你腾讯强跟我有什么关系，但实际上我们现在就通过这样一个平台，就能把腾讯很多自己内部用的工具策略，呃，还有一些剧本，然后直接放到这个平台里面去，那么这样一来的话，用户他在做安全运营的过程中，可以直接去服用啊腾讯这一部分的这个安全模块，这是我们整个的一个安全，呃能力一个服务化的一个举证。

一个介绍，那么最后就是一些呃，关键的一些系统的展示，比如说这里面我们在做应急响应或做漏洞描的时候，我们会有一些这个剧本，那这个剧本待会简单跟大家展示一下，就是我们怎么样去跑这个剧本，怎么样做编排的，那么这个能力其实我们现在有很多是腾讯目前包括微I各个BG都在用的，目已经有大概有1万用整个一的用户了。呃，另外的话就是我们的泄露监测能力，刚刚提到就是各个网安网，还有一些这个数据交易论坛，他们的泄露其实我们都是有实时去监测的，并且每天会有人去分析这个，呃，帖子的内容跟咱们的用户有没有关系，如果有的话，我们会第一时间去联系用户来做一个确认啊，包括这里面会涉及到一些数据的采信，也就是会去拿一些数据样本，交易的数据样本，呃，然后跟客户，呃，呃，然后发给客户，然后客户内部的去验证，说是通过哪个渠道，或者说哪个系统出现问题了，这个是我们有一些成熟的一个，呃，这个泄露的一些案例的，包括这边我们会有一些自己的关键词，这个关键词就会订阅，根据客户的这种产品品牌和他的一些这个泄露一些呃这个编码特征，我们去呃暗网，或者说去不同的代码平台里面去检索，如果说匹配到了这个时候就是呃能够很快去去去去给相当于帮用户去定制一套这个数据的一个泄露监测的一个能力了。

那么最后就是我们的漏洞订阅系统，那么这个的话就呃说白了就是我们呃整个是大概有呃六六个人的团队，包括西安的有三个人，深圳的有三个人，我们呃开发的这样一套这个漏洞情报监测系统，刚刚说了我们会把500多个情报员，然后会有呃两个同学专职做这种情报的分析和现当他发现这个情报现在在网上或说在腾讯的这个大数据平台上有这个PC的出现的时候，比如说互网期间，我们腾讯有上千个业，我们获到这个PC，我们也会第一时同给我们这个全的一个诉他这个PC是什么，然后可以直接去通过件和呃这个企业微信的方式，信的方式去到这个P详细的一个内容，然后的骤什么的都都会含到这个，呃，整个情报的一个内容里面。

OK，然后最后就是我们的整个服务的一些介绍，因为今天时间有限，我们都很多，呃，这个点都没法展开，那这里面的话，刚刚说到的，刚才说到的这个情报的这个展示界面的话，其实呃，我们是有一个专门的系统的，那当然后面我们在后嗯之后的一轮的关于安全服务的介绍里面会有详细介绍怎么样去做，帮助企业去就企业怎么样自己去建它的安全运营流程啊，比如从扫描啊，事件响应啊等等，他可以自己直接去通过拖拉拽的方式来集成，因为很多能力模块在我们的这个呃系统的模块里面都已经集成的，他可以直接呃这个去做一个编排操作。

OK，我最后的分享就到这结束了，看一下各位有没有什么问题。好的，谢谢志高老师的分享，那志高老师针对这个攻防的呃整个的一个实操给了非常非常详细的一个介绍，那呃呃我们的攻防实战的这个系列在4月20号，也就是下下周四会有一个更加详细和全面的一个讲解，那再次感谢今天几位老师的一个分享，那呃我们也看到互动区有很多同学在积极的提问哈，嗯，那个志高老师也可以关注一下，就在您演讲的期间，呃，那个对，有一些问题可以在那个对话框里面，就是我们先文字回复一下，因为确实今天这个时间呃我们呃有一些延时，那呃呃接下来我们可能选了一个共性比较强的一个问题，会请到这个刘磊老师回答一下，那这个呃QA环节结束之后，我们会进行今天最后一轮的一个抽奖活动，那这个问题是视频。

中的这个钓鱼检测需要调，呃调样本文件，那PC的时候我们该如何测试呢？那呃，刘老师能不能帮忙回答一下这个问题？呃，这个的话，如果大家申请完之后后，我们会有专门的这个运营同学，包括如何做这个钓鱼的一个检测，我们会给咱们相关的这个样本和PC的用例，包括这个横演示，我们会有对应的这个测试的啊手法和这个环境可以给到咱们，然后咱们根据那个POC的文档，然后在我们的这个专家的指导下，可以去做这个验证，当然了，如果是咱们现在已经有这样成熟的这个样本，那就可以直接检测，看是不是可以这个拦截到。

好的，谢谢，那大家有什么问题可以评论区再发一发，然后我们的这个老师看到了会在评论区及时的回复大家，或者大家扫码进群哈，OK，那我们现在就开始最后一轮的这个抽奖，那本轮呢，我们是为大家准备了十个腾讯的生肖公仔，那请大家扫描屏幕上的这个二维码进群，我们将告诉大家这一次啊获取礼品的一个命令，那前十名我们会在群内有小助手截图发出最终的一个获奖名单，那这一次呢，我们的呃，这个呃，抽奖命令是引擎场景实战系列。

我再念一遍哈原引擎场景实战系列，那请将这个原引擎场景实战系列发布到我们的微呃微信群内，那一会群内的小助手会公布获奖的名单，好的，那今天我们的这个课程基本上就告一段落了，大家可以继续扫码入群，跟我们的专家在群内进行进一步的交流和互动。那最后我也再次预告一下，那原引擎重宝系列的直播，加上今天一共是三期，那后面的两期呢，将于下周五和下下周四为大家带来重宝云上篇以及重宝实战方案片，那后两期的活动我们也会有更加精彩的内容和小礼品奉献给大家，那今天我们的直播在这里就呃结束了，感谢大家的参与，呃，我是主持人梁静，再次感谢所有所有嘉宾还有观众，我们下期活动再见，拜拜。