誕生兩年,這個產(chǎn)品便成為騰訊安全的“秘密武器”

  • 人閱讀
  • 2023-05-19 15:58:27

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

Made in Tencent

騰訊既是企業(yè)服務(wù)產(chǎn)品的服務(wù)商又是使用者,很多產(chǎn)品最原始的出發(fā)點最早只是為了解決騰訊自身某一個需求,經(jīng)過不斷地發(fā)展完善和業(yè)務(wù)場景錘煉,最終從進(jìn)化成一個成熟的企服產(chǎn)品。本系列文章講述的是這樣一組Made in Tencent故事,這是系列的第二篇。

由于攻防實力盛名在外,騰訊安全專家服務(wù)團(tuán)隊經(jīng)常需要扮演處理疑難雜癥“老中醫(yī)”的角色,為企業(yè)用戶解決各種棘手安全問題。

各類面向企業(yè)的攻擊事件層出不窮,勒索病毒、供應(yīng)鏈攻擊、數(shù)據(jù)竊取、挖礦木馬……救客戶之所急是騰訊安全職責(zé)所在,但是如果僅靠專家“人肉”處理,長期以往會面臨幾個問題,一是攻擊事件只會持續(xù)增加,而專家精力有限;二是專家攻防經(jīng)驗無法復(fù)刻和傳承。兩者加起來,造成的結(jié)果就是專家服務(wù)能力的瓶頸,如果再發(fā)生一次WannaCry這樣的全球性網(wǎng)絡(luò)安全事件,很多企業(yè)可能會束手無策。而且在供應(yīng)鏈攻擊大行其道的今天,WannaCry的重演是極有可能發(fā)生的。

如何解決這個問題?騰訊安全的答案是MSS——安全托管服務(wù)。

通常,一個典型的安全廠商研發(fā)一個新產(chǎn)品是這樣的流程:先做市場調(diào)研和客戶痛點分析,尋找到若干機(jī)會點,再基于對自身優(yōu)勢能力的判斷,匹配適合自己企業(yè)的產(chǎn)品切入。但在騰訊情況稍有不同,某種意義上騰訊本身就是騰訊安全的客戶,所以很多情況下,騰訊安全產(chǎn)品的誕生是基于解決騰訊自身的訴求而萌生并逐漸成熟——騰訊安全MSS就是典型的這樣的情況。這要從騰訊云平臺本身的安全建設(shè)說起。

從2016年成立以來,騰訊安全云鼎實驗室一直負(fù)責(zé)騰訊云的平臺安全保障,2019年,隨著數(shù)字化進(jìn)程加快,企業(yè)的核心資產(chǎn)上云,針對云上的攻擊量顯著增加,云鼎又增加了一項新職責(zé):承擔(dān)云上租戶的安全治理與應(yīng)急響應(yīng)工作。“雖然國際上的慣例是云平臺和云租戶‘責(zé)任共擔(dān)’,但一是在國內(nèi)這個理念尚沒有形成共識,二是很多客戶信息化起步比較晚,也缺乏應(yīng)對云上風(fēng)險的能力,所以那個階段需要云平臺去承擔(dān)一些租戶風(fēng)險和漏洞收斂的工作。”騰訊云安全總經(jīng)理李濱介紹。

剛接手的時候,由于缺乏經(jīng)驗和工具,云鼎實驗室陷入了漏洞戰(zhàn)爭的汪洋大海中,每個人都滿負(fù)荷運轉(zhuǎn),即便如此依然很吃力。“騰訊云在全球20多個國家和地區(qū)有八九十個數(shù)據(jù)中心分布,付費用戶規(guī)模超過了100萬,要響應(yīng)這么龐大體量的云平臺和租戶的安全問題,每天面臨的安全事件數(shù)以億計。”李濱說。

但是,硬幣都有兩面,如果換一個視角看這些海量的攻擊事件,它也可以是一個“安全金礦”。“基于騰訊云在全球的節(jié)點,我們可以看到全球安全態(tài)勢。今天很多攻擊是組織化、規(guī)?;?它也同樣會在全球范圍進(jìn)行嘗試,通過大數(shù)據(jù)分析和長時間的人工智能的跟蹤,最終我們會知曉有什么攻擊源頭、控制了哪些惡意節(jié)點、對誰發(fā)生了怎樣的攻擊。”

在護(hù)航騰訊云平臺的經(jīng)驗中,云鼎實驗室發(fā)現(xiàn),雖然云上有海量的攻擊事件,但是它們其實是有限種類的攻擊事件的無限重復(fù),比如其中有大部分安全問題是由初級的配置錯誤、密鑰泄露和已知漏洞等事件觸發(fā)的——其中密鑰泄露就占了22%,僅僅在騰訊云上,每年會發(fā)生數(shù)千起因開發(fā)人員把密鑰寫在代碼里分享到開源平臺上造成的信息泄露事件。

云鼎團(tuán)隊粗略算了一下,發(fā)現(xiàn)只需要通過一些技術(shù)手段——例如提取每一種事件的抽象特征,并把相對應(yīng)的專家處理流程用一種自動化工作流的方法固定下來,通過機(jī)器的自動化批量處理——把這些共性問題消除掉,就能將安全事件的處置效率提升80%。

基于這個觀察,云鼎實驗室做了一系列工具構(gòu)建,整合集團(tuán)內(nèi)部、國內(nèi)外各類資產(chǎn)測繪、漏洞掃描、配置分析、泄漏監(jiān)測以及工單管理等模塊能力,同時也聯(lián)動Gitbub做了密鑰泄露響應(yīng)的自動化機(jī)制,從發(fā)現(xiàn)到通知用戶處置,整個周期能縮減到分鐘級別——而傳統(tǒng)的處理周期可能短輒以天為計,并且前提是已經(jīng)發(fā)現(xiàn)了密鑰泄露。

對于那些重復(fù)性很高的的攻擊事件,云鼎采取的則是一種“拼積木”的方法來消減:

第一步:幾名工程師將事件處置所需的通用模塊能力進(jìn)行了提取和封裝,它們包含了常見安全掃描、工單、企業(yè)IM通知、開放API等在內(nèi)的幾十個模塊;

第二步:如何搭這些“積木”?雖然市面上已經(jīng)有SOAR,但是SOAR引擎一方面不透明,不利于調(diào)試流程,對業(yè)務(wù)的影響未知,另一方面開放性及靈活性不足,支撐場景有限,云鼎于是自己從0到1開發(fā)了一套流程編排引擎,把這幾十個“積木”按照不同的事件處置流程進(jìn)行編排,來實現(xiàn)一勞永逸。

這項工作讓團(tuán)隊的效率極大提升,專家也得以從重復(fù)勞動中解放出來,去做更重要的工作。“通過自動化工作流,在業(yè)務(wù)上線、重保值守期間事件的MTTD/MTTR(平均檢測時間/平均響應(yīng)時間)大大降低。”騰訊云鼎實驗室高級安全專家劉志高提到,“有了這項能力,我們會有更多精力聚焦問題解決本身,想清楚用什么樣的能力和流程可以更好地解決或閉環(huán)某類事件,剩下要做的,就是借助工作流引擎對解決方案進(jìn)行快速落地和實踐運營。”

這個時間段,網(wǎng)絡(luò)安全產(chǎn)業(yè)也在發(fā)生一些顯著的變化。2020年前后,在上一輪IT和信息化建設(shè)的高峰過去后,企業(yè)對于網(wǎng)絡(luò)安全已經(jīng)主要不再是買買買的需求,而是如何讓采購的若干種網(wǎng)絡(luò)安全產(chǎn)品和工具真正產(chǎn)生效用、規(guī)則生效起來,很多研究機(jī)構(gòu)都不約而同地認(rèn)為,未來網(wǎng)絡(luò)安全產(chǎn)品服務(wù)化是一個發(fā)展趨勢。騰訊安全服務(wù)總監(jiān)曾勇江判斷,平臺交付、安全運營托管化將是企業(yè)應(yīng)對未來安全挑戰(zhàn)的主流方向。

這意味著,云鼎構(gòu)建的這些工具不僅僅可以為騰訊集團(tuán)內(nèi)部各安全運營團(tuán)隊所用,也有機(jī)會成為一個企業(yè)服務(wù)產(chǎn)品,被更多企業(yè)客戶使用。

但如果要作為一種企業(yè)服務(wù)級的產(chǎn)品,僅僅做到這些還不足夠。在很多次重保、客戶應(yīng)急響應(yīng)的交流中,騰訊安全專家服務(wù)團(tuán)隊發(fā)現(xiàn)很多客戶對于安全管理有一個切膚之痛——不僅僅是系統(tǒng)被攻陷了,而且是在很多情況下,安全部門對于系統(tǒng)是如何被攻陷的、處置進(jìn)度到了哪里無從知曉,他們面前是一個黑盒。“一個人處理攻擊事件,一群人圍觀”是客戶應(yīng)急現(xiàn)場的常態(tài),因為在沒有工具可以讓他們洞悉處置進(jìn)度的情況下,客戶只能通過“在場”的方式緩解焦慮。

云鼎實驗室決定要把這個工具進(jìn)一步完善。首先是在平臺上引入更多高級安全能力,比如業(yè)務(wù)基線行為檢測、漏洞情報、ASM(資產(chǎn)測繪)——其中不乏一些騰訊安全研究團(tuán)隊專家自研的獨門工具;此外是不得不提的BAS(入侵與攻擊模擬),騰訊安全聯(lián)合實驗室集結(jié)了業(yè)內(nèi)一流的安全攻防專家,對于各種攻擊手法了如指掌,為了達(dá)到“以攻促防”的目的,他們將實戰(zhàn)中的攻擊方式寫成“攻擊劇本”,用自動化工作流編排之后,去驗證客戶的WAF能不能被繞過、防火墻的策略是不是嚴(yán)謹(jǐn)、主機(jī)安全Agent功能有效性——以從安全有效性驗證的角度幫用戶發(fā)現(xiàn)更深層次的安全問題。

騰訊安全服務(wù)團(tuán)隊每年要做100多場重保、打十幾次攻防演練,在這個過程中積累了一整套完整的流程。“一場重保項目開始之前,什么時間安全團(tuán)隊需要入場,了解和分析整個系統(tǒng)架構(gòu),什么時候做系統(tǒng)安全檢測、代碼檢測,什么時候要進(jìn)行紅藍(lán)對抗的演練、應(yīng)急演練,要進(jìn)行幾輪,需要留多長的事件進(jìn)行漏洞整改,什么時候進(jìn)行最終的復(fù)測、系統(tǒng)的封閉,開始轉(zhuǎn)入持續(xù)的監(jiān)控的階段。監(jiān)控階段我們可能有一系列表和流程,什么事件觸發(fā)什么樣的信號、應(yīng)該怎么樣處置,哪些是聯(lián)動到情報中心,情報中心區(qū)分哪些信號要及時應(yīng)急,等等。”李濱說。

而這些寶貴的專家經(jīng)驗也以工作流的方式沉淀在騰訊安全MSS中,企業(yè)只需要根據(jù)自己的實際IT情況配置參數(shù),就可以開展安全運營工作。在MSS平臺上,企業(yè)可以“看見”自己安全狀況,以及處置進(jìn)度。

網(wǎng)絡(luò)安全的本質(zhì)是對抗,對抗形式是一直在變化的。對于一個好的MSS服務(wù)來說,在一系列的自動化工具之外,還需要有一個“專家智囊團(tuán)”實時去維護(hù)攻擊劇本、漏洞庫、情報,這也正是騰訊安全的長處。在自身的海量業(yè)務(wù)體量下,騰訊天然需要保持對于各種攻擊態(tài)勢的感知。

網(wǎng)絡(luò)安全攻和守之間永遠(yuǎn)都存在不公平的較量,對于攻擊者來說,攻擊就是往芝麻里撒一把沙子,輕而易舉;而防守方則需要把沙子從芝麻里找出來。數(shù)字化以摧枯拉朽的方式席卷了每一個行業(yè),所有企業(yè)必然都要走向數(shù)字化,但是否每一個企業(yè)都做好了準(zhǔn)備?對于那些沒有專業(yè)安全團(tuán)隊的企業(yè)來說,他們?nèi)绾尾拍艿謸踹@樣的不公平較量?

MSS,也許是一個答案。對于大企業(yè)來說,它可以用MSS補(bǔ)齊安全體系建設(shè)中薄弱的地方,或通過MSS團(tuán)隊的平臺工具能力提升自身運營能力,在自己的安全團(tuán)隊之外獲得一個強(qiáng)援;對于業(yè)務(wù)托管在公有云上的小企業(yè)來說,則可以以很低的成本獲取到和大企業(yè)一樣的安全服務(wù)。

MSS(托管安全服務(wù))最早起源于上世紀(jì)90年代,北美的運營商、云廠商和安全廠商率先推行,近幾年在中國網(wǎng)絡(luò)安全市場也呈現(xiàn)顯著的增長趨勢。IDC數(shù)據(jù)顯示,2020年安全托管服務(wù)市場成為全球網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)市場中最大的子市場,占比超過20%;2021年至2025年,中國安全托管服務(wù)市場將保持39%的復(fù)合增長率。

百川入海。對于云鼎實驗室來說,也許它最早并沒有預(yù)期要做一個next big thing,它只是從簡單地解決自己和客戶的痛點需求出發(fā),但最后也走向了一個冉冉升起的大藍(lán)海市場。

“目前,騰訊安全MSS已經(jīng)服務(wù)于數(shù)字廣東、廣交會、中海地產(chǎn)、一汽大眾、暢游、中旅集團(tuán)等多個企業(yè)中,保障了第七次全國人口普查、央視頻春晚重保等重大時刻的0事故、0風(fēng)險。”曾勇江說。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實,并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )