近年来,攻防演练趋于常态化、实战化,实网演练时间拉长、参与主体增多、安全挑战升级,对企业安全建设提出了更高的要求。在当前的攻防对抗条件下,特别是在AIGC等新兴技术的发展推动下,出现了哪些比较新、最难防守的攻击手法?面对挑战升级,金融企业如何利用新的理念和技术产品提升自身实战能力?以及未来,攻防演练的方式和趋势将发生哪些变化?
12 月 19 日,腾讯安全联合数世咨询、金科创新社举办“企业安全,攻防有道——企业在攻防演练中的实战智慧”直播研讨会,由数世咨询创始人李少鹏主持,并邀请到北银金融科技有限责任公司安全团队负责人张勇、腾讯安全玄武实验室高档攻防专家丁天泽、腾讯安全云鼎实验室高档安全服务专家蓝江平,围绕攻防实战化现状与未来趋势的变化展开专业讨论,分享典型攻防案例及防御经验分享,探寻攻防常态化趋势下的金融安全发展路径。
攻击视角
比较新攻击手法具备什么特点?
李少鹏:聚焦金融行业,目前存在哪些难以防御的新型攻击手段?它们各自有哪些特点,使得传统安全措施难以有效应对?
丁天泽:基于攻击方视角,随着攻防演练的深入,攻防常态化和时间延长为攻击方提供了更多机会针对高难度目标,特别是在国产化趋势下,国内软件逐渐替代原有产品时出现的0day漏洞成为攻击方关注的重点,此外,企业在更新IT基础设施时可能引入新的安全弱点,为攻击者提供可乘之机。
不同于依赖明显的安全漏洞,单点登录系统(SSO)攻击、非常规入口RCE漏洞和逻辑漏洞这两类新型攻击手法的特点在于利用现有系统的正常功能和逻辑缺陷,使得传统安全防护机制难以有效应对。
蓝江平:从防守方视角来看,当前的攻防技战术变化不大,常见的攻击手法仍为0day漏洞利用、Web攻击、供应链攻击及社会工程钓鱼等传统方式,尽管手法老套但仍具威胁。大型企业的做法是继续遵循体系化防御策略,涵盖代码审计、渗透测试与整体安全防护,企业还需关注合法用户的异常行为和提高告警的准确性和置信度,以有效应对威胁。
李少鹏:以上提到的攻击手法,是不是目前在金融行业碰到的数量最多的?
张勇:金融行业业务模式广泛,线上线下渠道众多,包括APP、小程序、H5 等互联网系统和线下网点的智能终端,这使得攻防范围更广,需要关注更多潜在的安全威胁。另外,0day和API都是当下仍需关注的挑战,特别0day总是防不胜防,对此,我们团队成立了“精卫安全攻防实验室”,专注于攻防技术研究,利用大模型进行自动化信息收集,提高攻击演练效率。
李少鹏:除了研究0day外,还有哪些方便公开透露的攻击手法吗?
丁天泽:随着攻防演练时间的延长,攻击方策略从快速直接转向慢速隐蔽,攻击者开始转向更具行业属性的钓鱼方式,如招投标或项目合作等,并且更加注重利用与目标行业业务强相关的情境进行钓鱼攻击。由于攻击者更了解防守方的培训和防范措施,因此能够设计出更隐蔽、更难以被识别的攻击手法,以提高攻击的成功率。
李少鹏:随着AI在防守方应用日益广泛,攻击方是否也大量在使用AI辅助,具体方式和效果如何?
丁天泽:攻击方利用AI生成高度定制化的钓鱼邮件内容,同时AI被用于加速信息收集过程,处理大量非标准化文本信息,如从外部网络和API文档中提取关键数据,大幅节省了人力和时间。在工具开发方面,AI辅助编写渗透测试所需的定制化脚本和工具,通过生成接近完成的代码,使攻击者只需稍作修改即可使用,极大地提高了生产力。几乎所有的钓鱼攻击都已经接入AI能力,成为标准流程的一部分。
防御视角
金融机构攻防对抗理想实践
李少鹏:针对钓鱼工程,防守侧除了意识培训,有没有哪些具体的防社工钓鱼的方法?
蓝江平:面对不断演化的社会工程钓鱼攻击,目前形式主要有邮件、即时通讯(IM)工具(如企业微信、钉钉等)、电话和短信等,防守方需要采取多层面的防御策略,包括技术防御和人员培训,信息收集和对抗都十分重要。当然无论什么技术,最后还是要回到保护信息资产的本源上来。
李少鹏:银行等金融机构作为攻防演练中的防守方,如何构建有效的安全体系?如何进行员工意识培训以应对潜在的安全威胁,可以制定怎样的策略?
张勇:在员工安全意识层面,采用定期安全培训和考试,将培训成绩与部门绩效挂钩,同时,使用邮件网关和安全沙箱技术来拦截钓鱼邮件,并探索利用大模型进行内容检测和识别,为员工提供一个安全助手入口;在应急响应方面,建立快速监控和响应机制,采用SOAR技术提高响应速度,并创建线上作战室以快速集结相关人员分析研判可疑攻击。此外,引入AI技术进行告警关联分析并保持长期警惕和实施 24 小时值守轮班制度,来确保全天候的监控和响应能力。
李少鹏:随着攻防演练时间拉长,怎么平衡好攻防演练和人员精力关系?
张勇:的确,常态化的攻防演练在提高企业防御能力的同时也带来了资金和资源的投入,需要找到合适的平衡点。在人员动员方面,非专业安全人员如运维团队可以通过培训和沟通参与到高强度的防守工作中,提高整体安全防护。对于运维与安全的一体化趋势,大型机构由于网络环境和业务场景的复杂性,运维和安全岗位可能会保持细分,但在中小企业中可能会出现一体化的趋势。在管理层面,一些银行机构已经实现了安全部门和运维部门的融合,以实现更好的协同工作。
新产品、新理念
企业实战能力提升路径
李少鹏:如何将攻防演练中采购的服务和能力融入企业日常的业务和经营管理呢?这不是技术问题,而是一个管理问题。
蓝江平:安全产品需要从单纯的合规驱动转向实战效能驱动,通过引入如BAS、EM等新技术和工具,结合自动化攻击模拟与验证,以及安全托管平台的应用,来全面提升企业的防护能力和响应效率。腾讯安全新的解决方案:
• BAS(模拟攻击系统):腾讯安全云鼎实验室自研的BAS系统,结合EM(企业资产监控)工具,能够持续发现企业对外发布的资产情况,并实时探测已知或未知的漏洞。这不仅提高了漏洞发现的及时性,还能验证现有防护措施的有效性。
• 自动化与验证结合:通过自动化攻击模拟和安全验证相结合的方式,可以实现7× 24 小时的常态化防护,减少对大量人力的依赖,同时提有效率并降低成本。
• 安全托管平台(MS):将应急响应流程数字化,使事件处理更加有效,确保事件主动找人而非人去找事件,提升了整体响应速度和准确性。
李少鹏:未来,攻击手法会有哪些方面的变化?
丁天泽:攻击常态化的背景下,攻击手法日益隐蔽,AI技术的加持以及企业海外业务防御不足,就需要特别注意海外业务的安全防御,以弥补演练中的盲区,注意提前为海外业务制定防御预案,以应对实际威胁。
蓝江平:事实上在防守方面只要服务方能提供真正的价值,如提供可靠技术工具产品、建立客户信任、产品本身的经验沉淀,以及服务方在帮助甲方提升安全能力方面的作用,这些做足了就能赢得客户的信任和采用。
张勇:希望供应商在未来能够更加积极主动地进行战时情报共享,确保已发现的漏洞不会在合作伙伴之间反复被利用。