近年來，攻防演練趨于常態(tài)化、實(shí)戰(zhàn)化，實(shí)網(wǎng)演練時(shí)間拉長、參與主體增多、安全挑戰(zhàn)升級(jí)，對(duì)企業(yè)安全建設(shè)提出了更高的要求。在當(dāng)前的攻防對(duì)抗條件下，特別是在AIGC等新興技術(shù)的發(fā)展推動(dòng)下，出現(xiàn)了哪些比較新、最難防守的攻擊手法？面對(duì)挑戰(zhàn)升級(jí)，金融企業(yè)如何利用新的理念和技術(shù)產(chǎn)品提升自身實(shí)戰(zhàn)能力？以及未來，攻防演練的方式和趨勢將發(fā)生哪些變化？

12 月 19 日，騰訊安全聯(lián)合數(shù)世咨詢、金科創(chuàng)新社舉辦“企業(yè)安全，攻防有道——企業(yè)在攻防演練中的實(shí)戰(zhàn)智慧”直播研討會(huì)，由數(shù)世咨詢創(chuàng)始人李少鵬主持，并邀請到北銀金融科技有限責(zé)任公司安全團(tuán)隊(duì)負(fù)責(zé)人張勇、騰訊安全玄武實(shí)驗(yàn)室高檔攻防專家丁天澤、騰訊安全云鼎實(shí)驗(yàn)室高檔安全服務(wù)專家藍(lán)江平，圍繞攻防實(shí)戰(zhàn)化現(xiàn)狀與未來趨勢的變化展開專業(yè)討論，分享典型攻防案例及防御經(jīng)驗(yàn)分享，探尋攻防常態(tài)化趨勢下的金融安全發(fā)展路徑。

攻擊視角

比較新攻擊手法具備什么特點(diǎn)？

李少鵬：聚焦金融行業(yè)，目前存在哪些難以防御的新型攻擊手段？它們各自有哪些特點(diǎn)，使得傳統(tǒng)安全措施難以有效應(yīng)對(duì)？

丁天澤：基于攻擊方視角，隨著攻防演練的深入，攻防常態(tài)化和時(shí)間延長為攻擊方提供了更多機(jī)會(huì)針對(duì)高難度目標(biāo)，特別是在國產(chǎn)化趨勢下，國內(nèi)軟件逐漸替代原有產(chǎn)品時(shí)出現(xiàn)的0day漏洞成為攻擊方關(guān)注的重點(diǎn)，此外，企業(yè)在更新IT基礎(chǔ)設(shè)施時(shí)可能引入新的安全弱點(diǎn)，為攻擊者提供可乘之機(jī)。

不同于依賴明顯的安全漏洞，單點(diǎn)登錄系統(tǒng)（SSO）攻擊、非常規(guī)入口RCE漏洞和邏輯漏洞這兩類新型攻擊手法的特點(diǎn)在于利用現(xiàn)有系統(tǒng)的正常功能和邏輯缺陷，使得傳統(tǒng)安全防護(hù)機(jī)制難以有效應(yīng)對(duì)。

藍(lán)江平：從防守方視角來看，當(dāng)前的攻防技戰(zhàn)術(shù)變化不大，常見的攻擊手法仍為0day漏洞利用、Web攻擊、供應(yīng)鏈攻擊及社會(huì)工程釣魚等傳統(tǒng)方式，盡管手法老套但仍具威脅。大型企業(yè)的做法是繼續(xù)遵循體系化防御策略，涵蓋代碼審計(jì)、滲透測試與整體安全防護(hù)，企業(yè)還需關(guān)注合法用戶的異常行為和提高告警的準(zhǔn)確性和置信度，以有效應(yīng)對(duì)威脅。

李少鵬：以上提到的攻擊手法，是不是目前在金融行業(yè)碰到的數(shù)量最多的？

張勇：金融行業(yè)業(yè)務(wù)模式廣泛，線上線下渠道眾多，包括APP、小程序、H5 等互聯(lián)網(wǎng)系統(tǒng)和線下網(wǎng)點(diǎn)的智能終端，這使得攻防范圍更廣，需要關(guān)注更多潛在的安全威脅。另外，0day和API都是當(dāng)下仍需關(guān)注的挑戰(zhàn)，特別0day總是防不勝防，對(duì)此，我們團(tuán)隊(duì)成立了“精衛(wèi)安全攻防實(shí)驗(yàn)室”，專注于攻防技術(shù)研究，利用大模型進(jìn)行自動(dòng)化信息收集，提高攻擊演練效率。

李少鵬：除了研究0day外，還有哪些方便公開透露的攻擊手法嗎？

丁天澤：隨著攻防演練時(shí)間的延長，攻擊方策略從快速直接轉(zhuǎn)向慢速隱蔽，攻擊者開始轉(zhuǎn)向更具行業(yè)屬性的釣魚方式，如招投標(biāo)或項(xiàng)目合作等，并且更加注重利用與目標(biāo)行業(yè)業(yè)務(wù)強(qiáng)相關(guān)的情境進(jìn)行釣魚攻擊。由于攻擊者更了解防守方的培訓(xùn)和防范措施，因此能夠設(shè)計(jì)出更隱蔽、更難以被識(shí)別的攻擊手法，以提高攻擊的成功率。

李少鵬：隨著AI在防守方應(yīng)用日益廣泛，攻擊方是否也大量在使用AI輔助，具體方式和效果如何？

丁天澤：攻擊方利用AI生成高度定制化的釣魚郵件內(nèi)容，同時(shí)AI被用于加速信息收集過程，處理大量非標(biāo)準(zhǔn)化文本信息，如從外部網(wǎng)絡(luò)和API文檔中提取關(guān)鍵數(shù)據(jù)，大幅節(jié)省了人力和時(shí)間。在工具開發(fā)方面，AI輔助編寫滲透測試所需的定制化腳本和工具，通過生成接近完成的代碼，使攻擊者只需稍作修改即可使用，極大地提高了生產(chǎn)力。幾乎所有的釣魚攻擊都已經(jīng)接入AI能力，成為標(biāo)準(zhǔn)流程的一部分。

防御視角

金融機(jī)構(gòu)攻防對(duì)抗理想實(shí)踐

李少鵬：針對(duì)釣魚工程，防守側(cè)除了意識(shí)培訓(xùn)，有沒有哪些具體的防社工釣魚的方法？

藍(lán)江平：面對(duì)不斷演化的社會(huì)工程釣魚攻擊，目前形式主要有郵件、即時(shí)通訊（IM）工具（如企業(yè)微信、釘釘?shù)龋?、電話和短信等，防守方需要采取多層面的防御策略，包括技術(shù)防御和人員培訓(xùn)，信息收集和對(duì)抗都十分重要。當(dāng)然無論什么技術(shù)，最后還是要回到保護(hù)信息資產(chǎn)的本源上來。

李少鵬：銀行等金融機(jī)構(gòu)作為攻防演練中的防守方，如何構(gòu)建有效的安全體系？如何進(jìn)行員工意識(shí)培訓(xùn)以應(yīng)對(duì)潛在的安全威脅，可以制定怎樣的策略？

張勇：在員工安全意識(shí)層面，采用定期安全培訓(xùn)和考試，將培訓(xùn)成績與部門績效掛鉤，同時(shí)，使用郵件網(wǎng)關(guān)和安全沙箱技術(shù)來攔截釣魚郵件，并探索利用大模型進(jìn)行內(nèi)容檢測和識(shí)別，為員工提供一個(gè)安全助手入口；在應(yīng)急響應(yīng)方面，建立快速監(jiān)控和響應(yīng)機(jī)制，采用SOAR技術(shù)提高響應(yīng)速度，并創(chuàng)建線上作戰(zhàn)室以快速集結(jié)相關(guān)人員分析研判可疑攻擊。此外，引入AI技術(shù)進(jìn)行告警關(guān)聯(lián)分析并保持長期警惕和實(shí)施 24 小時(shí)值守輪班制度，來確保全天候的監(jiān)控和響應(yīng)能力。

李少鵬：隨著攻防演練時(shí)間拉長，怎么平衡好攻防演練和人員精力關(guān)系？

張勇：的確，常態(tài)化的攻防演練在提高企業(yè)防御能力的同時(shí)也帶來了資金和資源的投入，需要找到合適的平衡點(diǎn)。在人員動(dòng)員方面，非專業(yè)安全人員如運(yùn)維團(tuán)隊(duì)可以通過培訓(xùn)和溝通參與到高強(qiáng)度的防守工作中，提高整體安全防護(hù)。對(duì)于運(yùn)維與安全的一體化趨勢，大型機(jī)構(gòu)由于網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)場景的復(fù)雜性，運(yùn)維和安全崗位可能會(huì)保持細(xì)分，但在中小企業(yè)中可能會(huì)出現(xiàn)一體化的趨勢。在管理層面，一些銀行機(jī)構(gòu)已經(jīng)實(shí)現(xiàn)了安全部門和運(yùn)維部門的融合，以實(shí)現(xiàn)更好的協(xié)同工作。

新產(chǎn)品、新理念

企業(yè)實(shí)戰(zhàn)能力提升路徑

李少鵬：如何將攻防演練中采購的服務(wù)和能力融入企業(yè)日常的業(yè)務(wù)和經(jīng)營管理呢？這不是技術(shù)問題，而是一個(gè)管理問題。

藍(lán)江平：安全產(chǎn)品需要從單純的合規(guī)驅(qū)動(dòng)轉(zhuǎn)向?qū)崙?zhàn)效能驅(qū)動(dòng)，通過引入如BAS、EM等新技術(shù)和工具，結(jié)合自動(dòng)化攻擊模擬與驗(yàn)證，以及安全托管平臺(tái)的應(yīng)用，來全面提升企業(yè)的防護(hù)能力和響應(yīng)效率。騰訊安全新的解決方案：

? BAS（模擬攻擊系統(tǒng)）：騰訊安全云鼎實(shí)驗(yàn)室自研的BAS系統(tǒng)，結(jié)合EM（企業(yè)資產(chǎn)監(jiān)控）工具，能夠持續(xù)發(fā)現(xiàn)企業(yè)對(duì)外發(fā)布的資產(chǎn)情況，并實(shí)時(shí)探測已知或未知的漏洞。這不僅提高了漏洞發(fā)現(xiàn)的及時(shí)性，還能驗(yàn)證現(xiàn)有防護(hù)措施的有效性。

? 自動(dòng)化與驗(yàn)證結(jié)合：通過自動(dòng)化攻擊模擬和安全驗(yàn)證相結(jié)合的方式，可以實(shí)現(xiàn)7× 24 小時(shí)的常態(tài)化防護(hù)，減少對(duì)大量人力的依賴，同時(shí)提有效率并降低成本。

? 安全托管平臺(tái)（MS）：將應(yīng)急響應(yīng)流程數(shù)字化，使事件處理更加有效，確保事件主動(dòng)找人而非人去找事件，提升了整體響應(yīng)速度和準(zhǔn)確性。

李少鵬：未來，攻擊手法會(huì)有哪些方面的變化？

丁天澤：攻擊常態(tài)化的背景下，攻擊手法日益隱蔽，AI技術(shù)的加持以及企業(yè)海外業(yè)務(wù)防御不足，就需要特別注意海外業(yè)務(wù)的安全防御，以彌補(bǔ)演練中的盲區(qū)，注意提前為海外業(yè)務(wù)制定防御預(yù)案，以應(yīng)對(duì)實(shí)際威脅。

藍(lán)江平：事實(shí)上在防守方面只要服務(wù)方能提供真正的價(jià)值，如提供可靠技術(shù)工具產(chǎn)品、建立客戶信任、產(chǎn)品本身的經(jīng)驗(yàn)沉淀，以及服務(wù)方在幫助甲方提升安全能力方面的作用，這些做足了就能贏得客戶的信任和采用。

張勇：希望供應(yīng)商在未來能夠更加積極主動(dòng)地進(jìn)行戰(zhàn)時(shí)情報(bào)共享，確保已發(fā)現(xiàn)的漏洞不會(huì)在合作伙伴之間反復(fù)被利用。

（推廣）