在数字化转型加速的背景下，企业不仅要应对不断变化的市场环境，还需确保网络安全的稳定性和可靠性。当前，实网攻防日趋常态化，尤其今年攻防演练行动的特殊变化，时间长度拉长、参与主体增多，安全挑战升级，对企业整体的安全防御能力提出了更高的要求。

攻防演练重要阶段，企业如何应对防御压力升级？攻防演练中的经验、教训如何沉淀成企业的数字化安全建设的“硬肌肉”？

金融行业作为传统重监管行业，如何提升自身免疫防御体系？

腾讯安全和数世咨询联合打造《安全先行者》研讨，由数世咨询创始人李少鹏主持，并邀请到乐信集团信息安全中心总监刘志诚、腾讯玄武实验室产业安全负责人周君宇，从甲方建设、乙方产品及服务、第三方观察三个视角，深度分析重保期实网攻防下安全防御的变化发展，复盘金融企业安全布防思路，从实战经验中提炼有效的手段及解决方案助力企业提高网络安全威胁防范能力。

以下为本期《安全先行者》文字实录。

李少鹏：近几年的网络安全攻防有哪些明显的变化趋势？

刘志诚：从整体的安全建设工作角度来说，企业需要对安全风险进行判断和识别，并进行相应的能力建设，以及持续的安全运营。因此近些年，基于BaaS的攻防演练已成为检验企业实际安全水平的重要手段之一，攻防演练呈现出从静态检验到动态的实战化检验的变化趋势。

周君宇：从攻击方视角，企业整体的安全水位逐年提升，攻防演练难度不断增加，对企业内网的突破渗透已逐渐升级到0day漏洞、供应链攻击等高级攻击手段，这意味着需要更高精尖的技术人才，成本也越来越高。

我们也在尝试将安全专家的知识经验沉淀到工具中，将大量的可重复性操作或较低技术含量的操作自动化，通过自动化替代人工以减少对人力的需求。

李少鹏：从防御角度看，企业应该着重关注哪些内容？

周君宇：防守方的核心在于安全设备的部署和使用，使用不当或配置有误，其效果将大打折扣。安全体系是系统化的，这不仅考验乙方的产品能力，也考验甲方对安全产品的综合应用能力。例如，尽管近年来攻击溯源不再作为加分项，但蜜罐对于企业安全防御仍具有重要意义，因为攻击者进入内网后通常会进行持续的探测和扫描，蜜罐可以及时发现这些攻击行为。例如SOC、SIEM等，可以对安全日志进行综合分析，从而提升企业的主动防御能力。

李少鹏：从甲方和腾讯的角度，目前观测到哪些新兴且重要的攻防场景和手段？

周君宇：现在的研究方向偏向于“攻击不可见”，即如何绕开安全设备告警。每个安全设备都有盲点，这种规避技术相当于从安全检测根源上进行规避，而不是针对某一条规则，这在原理上很难解决。从攻击者视角，钓鱼攻击的性价比远高于0day漏洞攻击。企业员工的流动性增加了钓鱼的机会，攻入内网的成功率也更高，而0day漏洞的挖掘成本更高，时间也比较长。

例如，很多主机安全产品会使用正则表达式来检测命令行，攻击者如果使用自研工具生成无特征的命令行就可以避开安全检测。主机安全产品当然可以使用更高级的检测手段，但同时也会产生大量误报，这就需要在误报量和检测精度之间进行权衡。

刘志诚：首先是安全意识教育。反钓鱼攻击非常重要，也是企业安全建设最大的盲区之一。很多企业都会开展安全意识教育，当然总有部分员工不参与，而钓鱼攻击往往也都是从这些员工身上进行突破。针对这部分员工，我们会进行内部的钓鱼攻防演练，重点培训。但因为人员的生命周期管理，这是一个持续不断的长期过程，不可能一蹴而就。

其次是安全能力建设，企业作为防守方，应建立起多层次的纵深防御体系。有一种说法，安全的预算没有上限，其实安全防御手段也是。比如我们刚才提到的，现在很多安全手段是基于关键词和正则表达式，这必然会带来一定的漏报和误报，因为规则检测不能做到实时更新。

另外就是风险管理。比如企业内部资产的生命周期管理、威胁暴露面管理、办公网与业务网隔离的问题等，整体的防守策略很关键。我们也在研究基于大模型、机器学习的方法来替代关键词检测等，进一步降低被轻易攻破的概率，当然技术升级需要一个过程，需要投入大量的数据训练，以及威胁情报的持续更新等等。

李少鹏：在攻防常态化的背景下，企业面临什么样的压力？

周君宇：攻击方其实就是合规问题，确保所有的行为符合攻防演练的规则。防守方的主要压力在于资源的投入，以前可能可以通过外包驻场的方式来应对，但是攻防常态化下显然是不可行的。关键在于日常的防御工作，比如对攻击方常用的工具、渗透平台、测绘工具等进行全局的扫描，发现存在的风险从而针对性地补足。

刘志诚：要解决防守方面临的压力，关键在于日常工作要做到位。防守方需要提高自身风险感知能力，确保能够及时发现并应对安全威胁，避免数据泄露和更严重的损失。常态化地进行安全检测和防御工作不仅能减少突发压力，还能提升整体安全水平，在真正面临威胁时从容应对，减少风险和损失。

李少鹏：实网攻防下，我们应该做好哪些事情？如何建立好安全运营体系应对常态化的重保？

刘志诚：第一是“看见”，风险可见。企业必须了解自身资产、漏洞和面临的威胁，并能及时发现事件。资产管理其实是从安全属性出发，动态的、全生命周期的资产管理，能够跟踪所有变更并及时预警问题。这不仅包括互联网暴露资产，也包括企业内部资产，需要整合各个资产管理系统，并确保它们的安全属性和变更过程都在掌控之中。

第二是检测能力，包括威胁检测和事件检测。这其实也取决于自身资产的可见性，以及第三方威胁情报。这两年也常见通过ATT&CK、威胁狩猎的方式，形成攻击链，虽然在真实生产环境中很难实现，但可以以此作为追溯依据。

第三是数据分析能力。NDR流量数据、安全设备日志等各种数据汇聚在一起，进行关联分析，需要克服不同厂商数据不兼容、数据降噪等问题，让SEIM、SOC和XDR等系统发挥真正的作用不太容易，这其实是一个逐步整合的过程。

第四是响应能力，一旦发生事件，能把事件的影响控制在可控范围内。一是资源整合，员工的安全意识教育需要到位；二是外部的联动协作，企业能够与安全厂商、监管部门建立起良性的沟通机制。

李少鹏：腾讯有哪些理念和经验，以及哪些工具产品服务可以帮助企业提升防御能力？

周君宇：腾讯构建了数字安全免疫力模型，在这个模型指引下提供多种产品和技术支持，帮助企业化被动为主动。腾讯安全NDR天幕安全治理平台，区别于传统串联防火墙，通过旁路部署的方式，无变更、无侵入地实现秒级实时阻断，这在腾讯内部已经得到验证。

腾讯零信任iOA，集成下一代VPN、EDR、DLP和网络准入NAC等多重能力，全面守护企业终端安全。腾讯天御风控解决方案，以人工智能为核心，为金融领域客户提供欺诈识别、金融级身份认证等服务。在数据安全方面，腾讯安全也推出了一站式的数据安全治理方案，帮助客户实现一站式数据安全建设和高效数据安全治理运营。