技术干货｜威胁情报在重保场景下的实战价值

重大活动期间往往是黑灰产频繁活动的时刻，0day漏洞、密码爆破、跨站脚本攻击、DDoS攻击、钓鱼攻击层出不穷。面对重保期间时间紧、任务重、要求高、人手不足等诸多挑战，企业该如何通过安全防护手段确保“0安全事件0损失”？如何在安全挑战层层加码之下化“被动”为“主动”？

近日，腾讯安全联合腾讯产业互联网学堂推出了“重保主题公开课”系列，希望结合腾讯安全二十多年安全实战经验，帮助企业在重保期间系统地、有效地防护云上资产。

第一期公开课——“威胁情报在重保场景下的实战价值”，邀请到了腾讯安全威胁情报技术专家閤燕山、腾讯安全云防火墙技术负责人林智鑫、腾讯安全WAF技术专家马子扬三位专家，分别从腾讯安全威胁情报、云防火墙、WAF的角度进行了经验分享，并在线解答了许多行业人士的专业问题。

以下为重点演讲内容：

威胁情报在重保场景下的最佳实践

威胁情报基于威胁数据进行数据清洗、整合，最后进行一系列分发。威胁情报的能力呈现主要分为四个维度，即基础情报、风险监测、业务情报和APT情报，閤燕山介绍了前三种。

基础情报包括出站IP和Domain、入站 IP、信誉IP和Domain、URL、MD5、IP画像、邮箱、证书；风险监测主要有，风险网站监测、漏洞风险监测、互联网暴露面探测、企业安全指数评估，业务情报则是从互联网视角进行分析和发现，如信息泄漏、仿冒APP、DNS劫持、黑灰产等。另外，出站、入站这两种高精准情报不仅适用于重保场景，在普通场景下依旧可以使用。

一、基础情报

基础情报中的出站情报（失陷情报）即是对企业服务器区域的主动外联行为进行监测，URL情报则主要针对办公区上网场景下的访问控制和检测，IP画像情报主要针对IP应用场景而刻画。以博物馆为例，企业资产相当于博物馆里的文物，文物外面的玻璃防护罩、隔离带、门禁、红外报警器等可以理解为基础情报，对博物馆内靠近文物的各种人和物进行检查校验。

二、风险监测：

风险监测可沿用上述比喻来加强理解，博物馆外围的诸如博物馆大门、窗户、围墙、古代的护城河这类的可以理解为风险监测情报，这种情报是站在博物馆外围的视角来针对整个进入博物馆内的人和物进行安全控制，它可以从攻击者视觉的角度来看待和发现整个博物馆外围的最薄弱的点。

三、业务情报

业务情报则是脱离于整个博物馆，从整个互联网外围的视角去分析企业或博物馆所存在的潜在风险。例如暗网里了解到博物馆文物存在被贩卖或非法组织想通过某种手段获取特定文物，文物的风险指数增加，那么此时我们可以针对性加强其安全防护措施。

威胁情报提供的IP画像数据，在重保期间也是有比较大的价值，尤其在WAF防护场景下面，WAF所防护业务的用户一般是人，那么真人过来访问的IP属性大概率属于住宅、基站、CDN、企业出口等，那么IP画像里面提供的VPS、IDC、云厂商、暗网节点、VPN等过来访问的大概率也有风险，那么针对于这类IP即使没有恶意行为，特殊时期我们也可以封禁的。除此之外情报侧还能提供去误报能力，且具备一端感知、多端防御的特性。在信息丰富的上面威胁情报能够提供多维度的关联信息和证据链用于事件举证或溯源。

重保期间企业应当首先关注监测内情报，知道企业的弱点了就可以针对性的加强，其次通过基础情报或业务情报进行安全加固。

重保场景下安全人员一般是无法通过电脑上网的，腾讯安全全面推出了两个端：TIX情报社区和威胁情报小程序，随时随地批量、免费查询IOC威胁信息，同时还可以将批量搜索结果导出为在线文档，便于协同工作。

防火墙在重保场景下的最佳实践

云防火墙是位于网络边界上的安全防护设备，是安全的第一道防线，是一种SaaS化的部署。其无需硬件或镜像资源的安装部署，无需客户部署双机热备系统，且内置集群技术、性能可弹性扩展，大大简化了安全组的维护工作。云防火墙为公有云租户提供云的所有网络边界的访问控制、身份认证、入侵防御（威胁情报）等流量管控能力，并集成漏洞扫描、网络蜜罐、日志审计等功能。

云上资产风险及业务痛点

具体来看，云上资产业务痛点主要有云上资产缺乏统一管控，公司内可能有很多人有权限购买资源并暴露在外网，而管理员却不知晓；主机对外发起的连接看不到也管不到，即使主机失陷了也发现不了；一旦黑客攻破边界防线，可以在内网之间自由穿梭也不被发现；管理员每天要处理大量的告警，有没有一种方式可以摆脱总是被动响应的窘境。在侦查和扫描阶段，防火墙可一键梳理暴露面并对资产暴露面进行收敛。针对资产数量庞大难管理、主动外联管控难精细、内网横移风险高以及管理员总是被动防御的云上业务风险和业务痛点，云防火墙基于腾讯全球的威胁情报库，实时监测主动外联行为，阻止用户访问恶意IP和域名。

重保期间如何系统防护资产

第一步是梳理资产与暴露面，将风险扼杀在摇篮，当有新增资产或者暴露面的时候提供自动化的告警。在防火墙的资产中心可以一眼看到有哪些资产，哪些资产有暴露端口，对应的服务是什么，这些服务是否存在漏洞；另外资产可以进行分组管理，这些分组可以应用到防火墙的所有ACL中。当有新增资产或者暴露面的时候提供自动化的告警。

第二步要开启防火墙开关，全面排查和管控边界流量。开启开关后就可以开始配置ACL和入侵防御的功能，这样能应付大部分的场景，但在重保情况下还远远不够。在重保期间因为漏洞利用是一种攻击者最常用的方式，所以重保期间会在短时间内把发现的这些漏洞形成规则，随即立刻发布到防火墙中。

第三步启用入侵防御严格模式，让攻击者无处可藏。严格模式下防火墙会采用阶梯的方式（半小时、1小时、1天）拉黑尝试攻击的IP，使得防护更加高效。

第四步开启重保专项威胁情报，不打无准备的仗。借助腾讯安全威胁情报针对重保场景推出的重保情报包，防火墙的用户只需要开启一个开关，情报包中的IP地址将会自动加入到封禁列表，拦截所有访问行为。

第五步针对脆弱业务进行安全加固，不给攻击者旁门左道。云上的常见攻击一般来源于ssh/rdp的爆破和一些oa、mail、vpn系统的漏洞攻击。随着远程办公和混合办公的常态化，ip白名单变得不够灵活。防火墙可以支持微信、企微的身份访问控制，屏蔽管理端口，避免暴破攻击，同时支持SSH和RDP，零部署、免代理、无客户端、全流程审计，将资产统一管理起来，用户只需在防火墙控制台上配置白名单即可完成对所有类型数据库的访问控制。

第六步则是管控主动外联，将漏网之鱼一网打尽。重保期间需重点关注vpc的外联流量，一般攻击成功后都会进行C2通信，下载后门等动作，通过NATFW、互联网边界的外联管控以及入侵防御能力可以快速检测到攻击事件并进行实时阻断。

第七步则是部署陷阱，主动出击，让攻击者无处遁形。除常规防护外，防火墙还提供网络蜜罐的能力。防火墙的蜜罐支持一些常用的oa系统和具备溯源攻击者能力的特殊蜜罐，可将其部署在公网来欺骗攻击者的攻击流量；也可将蜜罐部署在内网当中，一旦攻击者突破了层层防御，在做内网探测的时候便会被防火墙及时发现并做相应的隔离处置。

WAF在重保场景下的最佳实践

在攻防演练中，攻击方一般会着重挑选与“权限+数据”相关的暴露面进行攻击。并且由于攻防演练时间较紧，攻击方会大量利用自动化工具、商业化IP代理工具进行探测及绕过。

但是，当前防守方应用安全治理面临着开源软件应用广泛、云原生、应用安全逐步左移、多端接入和流量攻击增加的现状。在这种情况下，防守方往往比较被动，其防护策略通常有三种方向，即被动防护、积极防护和极端防护，要实现破局，需将基础安全硬实力与业务安全硬实力结合。

腾讯云WAF+BOT，可实现多维度多层次下体系化对抗恶意流量，具备安全防护能力，客户端风险识别能力及大数据智能分析能力。

在重保场景下，WAF最佳实践通过以下6个步骤实现：

第一步是通过开启WAF开关、BOT开关、访问日志开关接入域名并开启防护。由于WAF是一个需要接入的产品，其可以连接云上云下的一些流量，开启WAF开关后，就能通过规则引擎去识别恶意的攻击流量，进而快速保证网站的基础安全。开启BOT行为管理开关可获得监测客户端风险的能力，另外利用智能分析快速识别当前访问源则可对异常行为实现快速封禁。

第二步则是调整防护等级至超严格、配置恶意文件监测，并通过开启AI引擎、IP封禁加固Web基础安全，防患于未然。超严格模式是专为攻防演练而生，因此具有更强的防护力度和更广泛的虚拟补丁策略。AI引擎则可智能生成、梳理误报、漏报，从而更好地防护网站。

第三步则是通过配置访问控制、一键封禁来自特定地域的IP收缩暴露面、减少攻击点。在攻防演练中，需要收缩Web应用的暴露面来减少攻击者可以攻击的点，另外则需要通过配置访问控制，防止后台接口被攻击者意外访问。

第四步则是配置BOT行为管理，发现异常访问行为。开启BOT行为管理进行异常流量识别事有以下防护要点需注意，一威胁情报联动，化未知为已知 ；二客户端风险识别，保护可信终端，对抗恶意API攻击；三智能分析，快速识别攻击者异常访问行为，及时阻断异常访问；四自定义规则，精细管控，定向处置；五会话跟踪审计，自动跟踪访问会话流，恶意无所遁形。

第五步则是快速定位查看异常流量访问途径，进行流量动态评估、访问源恶意流量评估和异常流量分析。比如评估当前网站的恶意流量分布情况，0-10分，10-100分是如何分布，同时根据分布快速处置恶意流量。

第六步通过开启远端地址传递以及通过攻击日志、访问日志对攻击进行分析、审计以及溯源。通过攻击日志可快速发现异常的攻击流量并对其进行针对性的防护。鉴于攻击者常常会伪造访问源信息，在重保和攻防演练场景下，需通过开启远程端口传递，来记录远端端口传递，溯源。

以上是本次《重保主题公开课》三位专家观点的精华整理。

目前，腾讯安全威胁情报依托腾讯安全在云、管、端以及业务侧积累的安全产品和数据，可协助企业在重保期间实现事前攻击面评估、事中情报支撑以及事后追踪溯源。

云防火墙在重保场景下可实现自动梳理云上资产、智能分组管理，同时通过开启重保专项威胁情报，让黑客无处藏匿。

此外，腾讯安全WAF针对重保期间泛互行业猛烈上升的攻击趋势，可提供细粒度的处置策略，保障重保及常态情境下业务与数据安全，为企业Web应用提供0day漏洞应急响应、反爬虫、防薅羊毛等全场景防护。

未来，腾讯安全还将依据产业互联网时代不断攀升的安全需求，不断优化重保场景下安全防护工具的性能，挖掘其应用价值，从而更好地护航产业互联网的发展。

腾讯安全正在护航产业安全

金融行业

中国银行 | 招商银行 | 华夏银行 | 中国建设银行 | 江苏银行 | 光大银行 | 微众银行 | 交通银行 | 富途 ……

交通行业

海航集团 | 祥鹏航空 | 长龙航空 | 电科航电 | 国铁吉讯 | 广汽集团 | 上汽集团 | 如祺出行 ……

零售行业

五粮液 | 张裕集团 | 东鹏特饮 | 可口可乐 | 雅诗兰黛 | 永辉超市 | 多点新鲜 | 优衣库 | 名创优品 | 孩子王 | 金拱门 | 中免集团……

互联网

同程艺龙 | 虎牙直播 | 唯品会 | 哔哩哔哩 | 快手 | 知乎 | 京东 | 顺丰 | 蘑菇街 | 三七互娱 | 完美世界 ……

智能制造

三一重工 | 宁德时代 | 富士康 | 中铁集团 | 中粮集团 | 华为 | 荣耀 | 小米 | OPPO | VIVO | 海尔 | 美的……