网安强中强｜第二周赛况：数字堡垒、零信任、勒索病毒、API安全、SOAR

2022年，国内原本已有偃旗息鼓之势的新冠疫情再度卷土重来，一时之间，封控隔离、居家办公、线上作业成为许多城市与行业的主流。线下难逢，线上来见。安在新媒体再启网安强中强——2022（第二届）数字安全创新实践直播大赛。

本次直播大赛聚焦数字安全，探寻创新方向，强调落地方案，务实于供需对接。直播议题覆盖数据安全、零信任、API安全、攻防对抗、资产管理、开源治理、SASE等多个重点及前沿热点话题，针对新问题，探索新方向，提出新理念，展示新技术，分享新产品，解析新方案。

每周直播结束，我们都会对上周直播进行回顾总结。每次直播期间，我们都会从提问当中抽取若干幸运者，获得单场活动奖励，奖品包括诸子云知识星球免费券、《中国网络安全产品年度报告2022》纸质版、《中国网络安全创新报告2022》纸质版、《CSO进阶之路-从安全工程师到首席安全官》（书籍），以及各类数码潮品。

同时，本次大赛首次建立“网安强中强大赛专家评委群”，直播分享者将于诸子云甲方专家进行互动交流，共同碰撞出更多安全经验理念火花。参与互动的嘉宾都有机会抽取上述奖品。

企业数字堡垒解决方案

如今数字化进程不断加深，数字政府的建设也如火如荼。但是网络空间安全形势却日趋严峻，网络安全事件频发，攻击手段也花样百出。我国的重要信息系统和关键信息基础设施正遭到攻击者的长期渗透。

企业数字堡垒解决方案是一套“网络空间的《孙子兵法》”实践，旨在结合现有前沿技术，构建企业网络与信息安全的一揽子安全防护计划。将《孙子兵法》中4个对抗过程“上兵伐谋，其次伐交，其次伐兵，其下攻城”的概念，应用到网络空间安全对抗中，来帮助企业构建数字安全堡垒，实现防范政治黑客挂标语、防范勒索黑产攻击、防御APT持续定点渗透、提高攻防演练成绩。禹昊东老师将企业网络与信息安全防护的过程，分为4个方面，展开了深入探讨。

首先是提出了向前防御的概念，在对抗发生前提供给企业更宏观的作战防御视角。其次在互联网防御层，建立持续交火的防御体系获取来自网络攻击者的大数据，与企业内部的精细化安全威胁数据共同为边界防御层提供实时防御情报。在内网防御层通过部署迷阵等防御措施，主动改变网络地形，混淆关键网络资产，对攻击者设立更高的攻击门槛和更广泛的诱捕环境，从而有效防范攻击者渗透，并对其进行溯源。

直播提问精选：

Q:资产测绘是基于外部扫描还是终端主动接入？

A:我们的资产测绘能力，由2部分构成。一方面贴合传统的内网资产收集，通过在内网部署产品，对网段进行扫描捕获；二方面，是基于我们独有的网络空间探测雷达Zoomeye.org，通过捕捉的42亿IPv4地址和40多亿IPv6互联网数据信息，进行筛选，实现捕获在野互联网资产。

零信任技术应用实践

近三四年来，零信任是一个极为火爆的理念。翻开各家安全厂商的公众号不难发现，零信任是一个极高频率出现的词汇。各类与零信任相关的产品层出不穷，各种介绍零信任理念的文章此起彼伏。事实上，对于企业办公而言，当下零信任确实是一个不错的解决方案。

直播提问精选：

Q：内部员工数据泄露这个场景如何实现？2C的业务如何通过应用代理实现安全管控？

A：数据防泄漏具体要看实际业务场景。通常做法是通过对终端上的数据按敏感级别分类分级、合规审计、加解密等防范措施，也可以通过数据不落地方案比如像云桌面和数据沙箱等技术实现。对于2C客户腾讯云有专门的解决方案叫云盾，通过云盾连接到云端的控制台，进入SaaS化的部署模式。

如何应对勒索病毒攻击？

近年来，互联网科技迅猛发展，数字化进程也不断加速。疫情之下，远程办公、异地办公抓逐渐流行，企业的安全边界也随之再度拓宽。与此同时，企业的核心资产从来都是黑产黑客眼中的聚宝盆，他们不择手段展开攻击。因此，各种新型勒索病毒蜂拥而出，攻击手段也变幻莫测。面对这种繁杂的互联网环境，企业应该如何应对勒索病毒攻击。

直播提问精选：

Q：对于大型企业来讲，网络节点和上下游关联企业与供应商都成为潜在勒索软件的攻击漏洞，产业链中安全薄弱环节均成为攻击者实现突破的关键点。打通上下游的网络节点还不如做好备份。所以应该如何避免或从根本上解决这一问题？

A：对上下游的访问要进行严格控制，“用户、设备、访问对象、访问时间、频率”都要重新定义，部署准入、网络重新进行分段隔离等工作。另外还是要从高层着手来推动，自上向下地推进勒索病毒的风险管理，一般我们可以给高层展示一些案例的危害，包括停工停产的损失、数据丢失后商誉损失等。

企业API安全防护体系建设

如今可以称得上是一个万物接口API的时代。2021年我国《数据安全法》正式实行，数据安全步入法制化轨道，API安全也随之进入依法建设的新阶段。然而近年来，由于API数量增长过快，部分企业甚至都不清楚自己拥有多少个API，以及API处于什么状态。如果API资产不清楚，安全责任如何划分落实？又如何解决API资产的生命周期管理问题呢。

从 API 的发展角度来讲，目前 API 已经被各种各样的行业以及业内头部用户广泛使用。从研发模式来讲，现在有一种基于 API 设计并研发的思路，叫做 API First。传统的软件构建可能需要统一整体的技术评审及设计。在API出现后，很多业务组件之间以及前后端设计都是分离的。也就是说，在构建整体框架时，先明确某一功能模块提供什么服务，通过服务类型确认API的格式、文档和接入方法。然后模拟API通信的数据，将不同业务组件根据大家制定的API规范来分别开发不同的模块，最后集成一个整体。

在这种 API First的研发模式下，Gartner针对API技术能力的成熟度进行了评估。目前针对API 以及 API 经济的很多技术点都已经达到了可以落地的水平。比如说我们经常使用的API 网关或API生命周期管理平台等，这些已经在企业中被广泛使用。

直播提问精选：

Q：1、saas型业务能否实现api发现？2、敏感数据的鉴别问题：比如用户查看自己的银行卡信息，输入手机码后，后端肯定会返回明文信息，此时平台鉴定为敏感信息泄露或认为是正常现象？3、内网的流量所有流量汇总一起，流量必然很高，目前api平台能处理多少流量？如果金融行业采用全链路加密，采用agent部署能否获取api？

A：1、看基础设施架构，目前整体是通过网络汇聚点的 网关、总线、交换 做数据采集。2、首先我们内置的数十种敏感数据识别模型，会检出这一条敏感数据，然后告警的逻辑还要和历史访问行为做比对，来判断是否为恶意泄露。3、探针端会对非API流量进行清洗，清洗后的API通信单平台可处理10Gbps规模，支持扩容。针对加密的情况，低成本的方式是接入到未加密的业务第一层网关节点，直接分析明文流量；针对单项加密，可以解，但是有集成成本和流量计算成本；针对端到端加密，可以通过服务器agent或者串设备来解，但是实际设施起来成本较高‍。

SOAR落地实践

SOAR在应对钓鱼场景时（自动化剧本的流程如下图）。首先由一个钓鱼邮件告警来触发剧本。这个告警可以是我们侦听的某一个消息队列，也有可以是钓鱼上报邮箱。当发现新的告警之后，它会将告警的内容和邮件内容提取出来。如果邮件原文中有链接，它会对接日志平台，查询URL获知是否有人访问。如果邮件中有附件，它会将附件放到一个安全检测的沙箱里，来判断是否有常见的病毒。如果附件中发现病毒，它会将访问过邮件中链接或打开过邮件附件的人员名单发给信息安全人员。当然，如果在邮件中链接和附件中没有任何可疑点，那么响应也会结束。

安全人员收到名单后，可以根据邮件里面包含的信息来做一些追加响应的决策，比如说关闭受影响人员的域账号，断开其VPN以及禁用VPN权限，甚至可以推送一些提升安全意识的课程等。这些追加响应也有对应的剧本支持自动化执行。

总之，有了SOAR和这套剧本，安全人员无需7*24地查看钓鱼告警，就能收到自动化剧本处理报告。看完报告如果决定追加处置动作，也可以用SOAR几次鼠标点击完成，实现高效、轻松地处理钓鱼邮件。

直播提问精选：

Q：1、SOAR是否根据目标场景不同，需要多个联接器对接不同的系统。如防火墙、邮件系统的联接器？2、目前已实现的联接器有哪些主要类型？

A：1、对于一种设备就需要一个app,也就是连接器。比如a公司的防火墙新款和旧款可能api兼容，那么app可能是一个，b公司的防火墙则需要另一个app。2 我们最常用对接app包括：常见的安全设备如防火墙、edr、hids、waf、情报接口、沙箱等；一些数据处理平台如日志系统、es、数据库、配置数据库cmdb等；通信交互工具如消息队列mq、kafka、电话、短信、即时通信软件等。

相关演讲文档，可以加入诸子云知识星球获取。扫描下图二维码即可获取加入途径。