诞生两年,这个产品便成为腾讯安全的“秘密武器”

news2024/12/25 12:34:26

腾讯既是企业服务产品的服务商又是使用者,很多产品最原始的出发点最早只是为了解决腾讯自身某一个需求,经过不断地发展完善和业务场景锤炼,最终从进化成一个成熟的企服产品。本系列文章讲述的是这样一组Made in Tencent故事,这是系列的第二篇。

由于攻防实力盛名在外,腾讯安全专家服务团队经常需要扮演处理疑难杂症“老中医”的角色,为企业用户解决各种棘手安全问题。

各类面向企业的攻击事件层出不穷,勒索病毒、供应链攻击、数据窃取、挖矿木马……救客户之所急是腾讯安全职责所在,但是如果仅靠专家“人肉”处理,长期以往会面临几个问题,一是攻击事件只会持续增加,而专家精力有限;二是专家攻防经验无法复刻和传承。两者加起来,造成的结果就是专家服务能力的瓶颈,如果再发生一次WannaCry这样的全球性网络安全事件,很多企业可能会束手无策。而且在供应链攻击大行其道的今天,WannaCry的重演是极有可能发生的。

如何解决这个问题?腾讯安全的答案是MSS——安全托管服务。

通常,一个典型的安全厂商研发一个新产品是这样的流程:先做市场调研和客户痛点分析,寻找到若干机会点,再基于对自身优势能力的判断,匹配适合自己企业的产品切入。但在腾讯情况稍有不同,某种意义上腾讯本身就是腾讯安全的客户,所以很多情况下,腾讯安全产品的诞生是基于解决腾讯自身的诉求而萌生并逐渐成熟——腾讯安全MSS就是典型的这样的情况。这要从腾讯云平台本身的安全建设说起。

从2016年成立以来,腾讯安全云鼎实验室一直负责腾讯云的平台安全保障,2019年,随着数字化进程加快,企业的核心资产上云,针对云上的攻击量显著增加,云鼎又增加了一项新职责:承担云上租户的安全治理与应急响应工作。“虽然国际上的惯例是云平台和云租户‘责任共担’,但一是在国内这个理念尚没有形成共识,二是很多客户信息化起步比较晚,也缺乏应对云上风险的能力,所以那个阶段需要云平台去承担一些租户风险和漏洞收敛的工作。”腾讯云安全总经理李滨介绍。

刚接手的时候,由于缺乏经验和工具,云鼎实验室陷入了漏洞战争的汪洋大海中,每个人都满负荷运转,即便如此依然很吃力。“腾讯云在全球20多个国家和地区有八九十个数据中心分布,付费用户规模超过了100万,要响应这么庞大体量的云平台和租户的安全问题,每天面临的安全事件数以亿计。”李滨说。

但是,硬币都有两面,如果换一个视角看这些海量的攻击事件,它也可以是一个“安全金矿”。“基于腾讯云在全球的节点,我们可以看到全球安全态势。今天很多攻击是组织化、规模化的,它也同样会在全球范围进行尝试,通过大数据分析和长时间的人工智能的跟踪,最终我们会知晓有什么攻击源头、控制了哪些恶意节点、对谁发生了怎样的攻击。”

在护航腾讯云平台的经验中,云鼎实验室发现,虽然云上有海量的攻击事件,但是它们其实是有限种类的攻击事件的无限重复,比如其中有大部分安全问题是由初级的配置错误、密钥泄露和已知漏洞等事件触发的——其中密钥泄露就占了22%,仅仅在腾讯云上,每年会发生数千起因开发人员把密钥写在代码里分享到开源平台上造成的信息泄露事件。

云鼎团队粗略算了一下,发现只需要通过一些技术手段——例如提取每一种事件的抽象特征,并把相对应的专家处理流程用一种自动化工作流的方法固定下来,通过机器的自动化批量处理——把这些共性问题消除掉,就能将安全事件的处置效率提升80%。

基于这个观察,云鼎实验室做了一系列工具构建,整合集团内部、国内外各类资产测绘、漏洞扫描、配置分析、泄漏监测以及工单管理等模块能力,同时也联动Gitbub做了密钥泄露响应的自动化机制,从发现到通知用户处置,整个周期能缩减到分钟级别——而传统的处理周期可能短辄以天为计,并且前提是已经发现了密钥泄露。 

对于那些重复性很高的的攻击事件,云鼎采取的则是一种“拼积木”的方法来消减:

第一步:几名工程师将事件处置所需的通用模块能力进行了提取和封装,它们包含了常见安全扫描、工单、企业IM通知、开放API等在内的几十个模块;

第二步:如何搭这些“积木”?虽然市面上已经有SOAR,但是SOAR引擎一方面不透明,不利于调试流程,对业务的影响未知,另一方面开放性及灵活性不足,支撑场景有限,云鼎于是自己从0到1开发了一套流程编排引擎,把这几十个“积木”按照不同的事件处置流程进行编排,来实现一劳永逸。

这项工作让团队的效率极大提升,专家也得以从重复劳动中解放出来,去做更重要的工作。“通过自动化工作流,在业务上线、重保值守期间事件的MTTD/MTTR(平均检测时间/平均响应时间)大大降低。”腾讯云鼎实验室高级安全专家刘志高提到,“有了这项能力,我们会有更多精力聚焦问题解决本身,想清楚用什么样的能力和流程可以更好地解决或闭环某类事件,剩下要做的,就是借助工作流引擎对解决方案进行快速落地和实践运营。”

这个时间段,网络安全产业也在发生一些显著的变化。2020年前后,在上一轮IT和信息化建设的高峰过去后,企业对于网络安全已经主要不再是买买买的需求,而是如何让采购的若干种网络安全产品和工具真正产生效用、规则生效起来,很多研究机构都不约而同地认为,未来网络安全产品服务化是一个发展趋势。腾讯安全服务总监曾勇江判断,平台交付、安全运营托管化将是企业应对未来安全挑战的主流方向。

这意味着,云鼎构建的这些工具不仅仅可以为腾讯集团内部各安全运营团队所用,也有机会成为一个企业服务产品,被更多企业客户使用。

但如果要作为一种企业服务级的产品,仅仅做到这些还不足够。在很多次重保、客户应急响应的交流中,腾讯安全专家服务团队发现很多客户对于安全管理有一个切肤之痛——不仅仅是系统被攻陷了,而且是在很多情况下,安全部门对于系统是如何被攻陷的、处置进度到了哪里无从知晓,他们面前是一个黑盒。“一个人处理攻击事件,一群人围观”是客户应急现场的常态,因为在没有工具可以让他们洞悉处置进度的情况下,客户只能通过“在场”的方式缓解焦虑。

云鼎实验室决定要把这个工具进一步完善。首先是在平台上引入更多高级安全能力,比如业务基线行为检测、漏洞情报、ASM(资产测绘)——其中不乏一些腾讯安全研究团队专家自研的独门工具;此外是不得不提的BAS(入侵与攻击模拟),腾讯安全联合实验室集结了业内一流的安全攻防专家,他们对于各种攻击手法了如指掌,为了达到“以攻促防”的目的,将实战中的攻击方式写成“攻击剧本”,用自动化工作流编排之后,去验证客户的WAF能不能被绕过、防火墙的策略是不是严谨、主机安全Agent功能有效性——以从安全有效性验证的角度帮用户发现更深层次的安全问题。

腾讯安全服务团队每年要做100多场重保、打十几次攻防演练,在这个过程中积累了一整套完整的流程。“一场重保项目开始之前,什么时间安全团队需要入场,了解和分析整个系统架构,什么时候做系统安全检测、代码检测,什么时候要进行红蓝对抗的演练、应急演练,要进行几轮,需要留多长的事件进行漏洞整改,什么时候进行最终的复测、系统的封闭,开始转入持续的监控的阶段。监控阶段我们可能有一系列表和流程,什么事件触发什么样的信号、应该怎么样处置,哪些是联动到情报中心,情报中心区分哪些信号要及时应急,等等。”李滨说。

而这些宝贵的专家经验也以工作流的方式沉淀在腾讯安全MSS中,企业只需要根据自己的实际IT情况配置参数,就可以开展安全运营工作。在MSS平台上,企业可以“看见”自己安全状况,以及处置进度。

网络安全的本质是对抗,对抗形式是一直在变化的。对于一个好的MSS服务来说,在一系列的自动化工具之外,还需要有一个“专家智囊团”实时去维护攻击剧本、漏洞库、情报,这也正是腾讯安全的长处。在自身的海量业务体量下,腾讯天然需要保持对于各种攻击态势的感知。

网络安全攻和守之间永远都存在不公平的较量,对于攻击者来说,攻击就是往芝麻里撒一把沙子,轻而易举;而防守方则需要把沙子从芝麻里找出来。数字化以摧枯拉朽的方式席卷了每一个行业,所有企业必然都要走向数字化,但是否每一个企业都做好了准备?对于那些没有专业安全团队的企业来说,他们如何才能抵挡这样的不公平较量?

MSS,也许是一个答案。对于大企业来说,它可以用MSS补齐安全体系建设中薄弱的地方,或通过MSS团队的平台工具能力提升自身运营能力,在自己的安全团队之外获得一个强援;对于业务托管在公有云上的小企业来说,则可以以很低的成本获取到和大企业一样的安全服务。

MSS(托管安全服务)最早起源于上世纪90年代,北美的运营商、云厂商和安全厂商率先推行,近几年在中国网络安全市场也呈现显著的增长趋势。IDC数据显示,2020年安全托管服务市场成为全球网络安全产品与服务市场中最大的子市场,占比超过20%;2021年至2025年,中国安全托管服务市场将保持39%的复合增长率。

百川入海。对于云鼎实验室来说,也许它最早并没有预期要做一个next big thing,它只是从简单地解决自己和客户的痛点需求出发,但最后也走向了一个冉冉升起的大蓝海市场。

“目前,腾讯安全MSS已经服务于数字广东、广交会、中海地产、一汽大众、畅游、中旅集团等多个企业中,保障了第七次全国人口普查、央视频春晚重保等重大时刻的0事故、0风险。”曾勇江说。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/544170.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

2023年 - 我们遇到的那些面试题 (1) - 面试技巧和功能测试篇

前言 最近收到了很多粉丝反馈的面试题 。。 有主观题 ,有功能测试题,有python编程题 ,有自动化测试题,有数据库题,linux等。。 本文作为《测试面试宝典》内容,将面试题以及部分参考答案开放出来。。 1、…

只要做好这布成为测试经理不是梦!

之前说了太多的测试技术和测试用例设计方法,猛地发现有点“偏科“了。今天我们放松一些,泡一杯茶,一起来聊一聊测试策略吧。 当然,文章脉络肯定是咱们老三样:什么是测试策略,为什么要制定测试策略&#xf…

3年测试经验,跳进腾讯,3面终获20K的Offer...

前言 时间过得飞快,一代又一代就这么成长了起来,曾经的95后备受争议,如今的95后进入社会,扮演者各行角色,成为了行业顶梁柱,今天,要分享的是自己的成长经历。今年24岁,毕业之后进入…

5th-Generation Mobile Communication Technology(六)

目录 一、5G/NR 1、 快速参考(Quick Reference) 2、5G Success 3、5G Challenges 4、Qualcomm Videos 二、PHY and Protocol 1、Frame Structure 2、Numerology 3、Waveform 4、Frequency Band 5、BWP 6、Synchronization 7、Beam Management 8、CSI Fra…

UE4 监听游戏窗口最小化事件

UE4 监听游戏窗口最小化事件 结论: 先说结论:Windows相关事件在UE4中引擎部分也会处理,包括窗口创建,销毁,最大化最小化,窗口尺寸改变等。通常,每个事件与Windows一样都是WM_***的样子表示&…

静态程序分析学习心得 tai-e

0x00 前言 经过将近2个月的时间,看完了b站上南大的静态程序分析课程,并且完成了其oj上的作业,在这里记录一下在做题过程中,遇到的一些坑点,文章不会贴源码,只记录一下思路,因此大家可以放心阅读…

aac怎么转化为mp3?4个超简易转换方法推荐给大家!

aac怎么转化为mp3?音乐是人类灵魂的表达,只有懂得欣赏音乐的人才能领略到生活的美好与价值。除了运动、看电影等,聆听音乐也是小伙伴们调剂生活的一个好方式。很多小伙伴都有在网上下载音乐的习惯,通过我们也都知道音乐的格式种类…

Linux系统编程——多线程[下]:生产消费模型信号量线程池

0.关注博主有更多知识 操作系统入门知识合集 目录 1.生产者消费者模型 1.1基于阻塞队列的生产者消费者模型 1.2生产消费模型的效率问题 2.信号量 2.1信号量 2.2基于环形队列的生产者消费者模型 2.3环形队列的生产消费模型的效率问题 3.线程池 3.1线程池的实现 1.生…

javaIO流之转换流

目录 简介一、编码和解码二、字符集2.1ASCII 字符集2.2Unicode 字符集2.3GBK 字符集 三、乱码四、InputStreamReader4.1构造方法4.2解决编码问题 五、OutputStreamWriter六、小结 简介 转换流可以将一个字节流包装成字符流,或者将一个字符流包装成字节流。这种转换…

Ajax、Promise、Axios前端三剑客

文章目录 🐳前言关系二维表: 🐳Ajax定义:特点:🐡核心对象XMLHttpRequest:XMLHttpRequest对象的五种状态: 使用:1.Jquery的ajax:2.Vue的ajax: &…

【C#】GridControl增加选择列(不用二次点击)

系列文章 【C#】单号生成器(编号规则、固定字符、流水号、产生业务单号) 本文链接:https://blog.csdn.net/youcheng_ge/article/details/129129787 【C#】日期范围生成器(开始日期、结束日期) 本文链接:h…

【FMC156】基于VITA57.1标准的2路2.5GSPS采样率16位分辨率直流耦合DA播放FMC子卡模块(DAC38J82)

产品概述 FMC156 是一款基于VITA57.1 标准规范,实现2 路2.5GSPS 采样率16 位分辨率直流耦合DAC 播放子卡模块。该模块遵循VITA57.1 标准,可直接与FPGA 载卡配合使用,板卡DAC 器件采用TI 公司的DAC38J82 芯片,该芯片提供4 个模拟输…

2023,有哪些适合网工跳槽的好公司?(不是BAT)

大家好啊,我的网工朋友 都说行业内卷,卷的不成人形,这内卷,一卷就卷了好几年。 很多网工同行都讨厌被卷来卷去,但是看到同行进了大厂,免不了还是要羡慕嫉妒恨一波。 作为主编几年,我就发现了…

注册ChatGPT时提示Oops! The email you provided is not supported

问题描述 今天本想出一个ChatGPT的注册与使用的教程,结果上来吃了个闭门羹。之前我通过微软账号登录验证是没有问题的,但这次想使用另一个微软账号,结果提示Oops! The email you provided is not supported(您提供的电子邮件不支…

C# 给winfrom窗体添加皮肤控件

如何快速给C# winform添加好看的皮肤C# Winform中窗体的美化 SkinEngine的应用 皮肤控件换肤素材包,IrisSkin2.dll皮肤素材资源下载 压缩包内一共有22种皮肤素材,使用说明:把控件拖到你的form上,只需一行代码,即可实…

Ubuntu安装时没注册root用户密码,怎么登录root

一、Ubuntu设置root密码: 1.桌面空白处右键菜单 点击“打开终端“。 2.输入命令 "sudo passwd root

Cinema 4d 和 3ds Max:哪个软件更好?

3D 设计有很多挑战。设计师通常需要克服他们的看法和偏见,此外还要学习一些深入的程序来有效地使用 3D 风格的软件系统。市场上有很多用于3D设计的软件,因此对于哪一种对您的需求最有效会令人困惑。如果您不熟悉3D,或者您正在四处寻找新的软件…

数据进行分组后同一字段字符串连接方法

数据源如下:期望将同一个id_supplier_basic_info输出的supplier_type写在一行上,可以按‘/’分隔 一开始的时候使用的是但是一直提示找不到这个函数,一时陷入迷惑,难道是mysql不支持这个函数?但是百度明明都说mysql是支…

Mss32.dll丢失怎么办?怎么修复Mss32.dll文件

Mss32.dll丢失怎么办?如果你打开游戏或者应用程序时出现了如下错误提示:“找不到Mss32.dll”,那么你就需要解决这个问题。 Mss32.dll是一个动态链接库文件,它通常用于多媒体应用程序和游戏中的音频功能。如果该文件丢失或损坏&…

谷歌seo怎么做?2023做好谷歌seo的7个关键点

谷歌seo怎么做? 谷歌搜索引擎优化(SEO)是一系列的技术和策略,旨在通过改进网站结构、内容和其他因素,提高网站在搜索引擎结果页面(SERP)中的排名和可见性。以下是一些常用的谷歌SEO技术和策略&…