誕生兩年,這個(gè)產(chǎn)品便成為騰訊安全的“秘密武器”

  • 人閱讀
  • 2023-05-19 15:58:27

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

Made in Tencent

騰訊既是企業(yè)服務(wù)產(chǎn)品的服務(wù)商又是使用者,很多產(chǎn)品最原始的出發(fā)點(diǎn)最早只是為了解決騰訊自身某一個(gè)需求,經(jīng)過不斷地發(fā)展完善和業(yè)務(wù)場景錘煉,最終從進(jìn)化成一個(gè)成熟的企服產(chǎn)品。本系列文章講述的是這樣一組Made in Tencent故事,這是系列的第二篇。

由于攻防實(shí)力盛名在外,騰訊安全專家服務(wù)團(tuán)隊(duì)經(jīng)常需要扮演處理疑難雜癥“老中醫(yī)”的角色,為企業(yè)用戶解決各種棘手安全問題。

各類面向企業(yè)的攻擊事件層出不窮,勒索病毒、供應(yīng)鏈攻擊、數(shù)據(jù)竊取、挖礦木馬……救客戶之所急是騰訊安全職責(zé)所在,但是如果僅靠專家“人肉”處理,長期以往會面臨幾個(gè)問題,一是攻擊事件只會持續(xù)增加,而專家精力有限;二是專家攻防經(jīng)驗(yàn)無法復(fù)刻和傳承。兩者加起來,造成的結(jié)果就是專家服務(wù)能力的瓶頸,如果再發(fā)生一次WannaCry這樣的全球性網(wǎng)絡(luò)安全事件,很多企業(yè)可能會束手無策。而且在供應(yīng)鏈攻擊大行其道的今天,WannaCry的重演是極有可能發(fā)生的。

如何解決這個(gè)問題?騰訊安全的答案是MSS——安全托管服務(wù)。

通常,一個(gè)典型的安全廠商研發(fā)一個(gè)新產(chǎn)品是這樣的流程:先做市場調(diào)研和客戶痛點(diǎn)分析,尋找到若干機(jī)會點(diǎn),再基于對自身優(yōu)勢能力的判斷,匹配適合自己企業(yè)的產(chǎn)品切入。但在騰訊情況稍有不同,某種意義上騰訊本身就是騰訊安全的客戶,所以很多情況下,騰訊安全產(chǎn)品的誕生是基于解決騰訊自身的訴求而萌生并逐漸成熟——騰訊安全MSS就是典型的這樣的情況。這要從騰訊云平臺本身的安全建設(shè)說起。

從2016年成立以來,騰訊安全云鼎實(shí)驗(yàn)室一直負(fù)責(zé)騰訊云的平臺安全保障,2019年,隨著數(shù)字化進(jìn)程加快,企業(yè)的核心資產(chǎn)上云,針對云上的攻擊量顯著增加,云鼎又增加了一項(xiàng)新職責(zé):承擔(dān)云上租戶的安全治理與應(yīng)急響應(yīng)工作。“雖然國際上的慣例是云平臺和云租戶‘責(zé)任共擔(dān)’,但一是在國內(nèi)這個(gè)理念尚沒有形成共識,二是很多客戶信息化起步比較晚,也缺乏應(yīng)對云上風(fēng)險(xiǎn)的能力,所以那個(gè)階段需要云平臺去承擔(dān)一些租戶風(fēng)險(xiǎn)和漏洞收斂的工作。”騰訊云安全總經(jīng)理李濱介紹。

剛接手的時(shí)候,由于缺乏經(jīng)驗(yàn)和工具,云鼎實(shí)驗(yàn)室陷入了漏洞戰(zhàn)爭的汪洋大海中,每個(gè)人都滿負(fù)荷運(yùn)轉(zhuǎn),即便如此依然很吃力。“騰訊云在全球20多個(gè)國家和地區(qū)有八九十個(gè)數(shù)據(jù)中心分布,付費(fèi)用戶規(guī)模超過了100萬,要響應(yīng)這么龐大體量的云平臺和租戶的安全問題,每天面臨的安全事件數(shù)以億計(jì)。”李濱說。

但是,硬幣都有兩面,如果換一個(gè)視角看這些海量的攻擊事件,它也可以是一個(gè)“安全金礦”。“基于騰訊云在全球的節(jié)點(diǎn),我們可以看到全球安全態(tài)勢。今天很多攻擊是組織化、規(guī)?;?它也同樣會在全球范圍進(jìn)行嘗試,通過大數(shù)據(jù)分析和長時(shí)間的人工智能的跟蹤,最終我們會知曉有什么攻擊源頭、控制了哪些惡意節(jié)點(diǎn)、對誰發(fā)生了怎樣的攻擊。”

在護(hù)航騰訊云平臺的經(jīng)驗(yàn)中,云鼎實(shí)驗(yàn)室發(fā)現(xiàn),雖然云上有海量的攻擊事件,但是它們其實(shí)是有限種類的攻擊事件的無限重復(fù),比如其中有大部分安全問題是由初級的配置錯誤、密鑰泄露和已知漏洞等事件觸發(fā)的——其中密鑰泄露就占了22%,僅僅在騰訊云上,每年會發(fā)生數(shù)千起因開發(fā)人員把密鑰寫在代碼里分享到開源平臺上造成的信息泄露事件。

云鼎團(tuán)隊(duì)粗略算了一下,發(fā)現(xiàn)只需要通過一些技術(shù)手段——例如提取每一種事件的抽象特征,并把相對應(yīng)的專家處理流程用一種自動化工作流的方法固定下來,通過機(jī)器的自動化批量處理——把這些共性問題消除掉,就能將安全事件的處置效率提升80%。

基于這個(gè)觀察,云鼎實(shí)驗(yàn)室做了一系列工具構(gòu)建,整合集團(tuán)內(nèi)部、國內(nèi)外各類資產(chǎn)測繪、漏洞掃描、配置分析、泄漏監(jiān)測以及工單管理等模塊能力,同時(shí)也聯(lián)動Gitbub做了密鑰泄露響應(yīng)的自動化機(jī)制,從發(fā)現(xiàn)到通知用戶處置,整個(gè)周期能縮減到分鐘級別——而傳統(tǒng)的處理周期可能短輒以天為計(jì),并且前提是已經(jīng)發(fā)現(xiàn)了密鑰泄露。

對于那些重復(fù)性很高的的攻擊事件,云鼎采取的則是一種“拼積木”的方法來消減:

第一步:幾名工程師將事件處置所需的通用模塊能力進(jìn)行了提取和封裝,它們包含了常見安全掃描、工單、企業(yè)IM通知、開放API等在內(nèi)的幾十個(gè)模塊;

第二步:如何搭這些“積木”?雖然市面上已經(jīng)有SOAR,但是SOAR引擎一方面不透明,不利于調(diào)試流程,對業(yè)務(wù)的影響未知,另一方面開放性及靈活性不足,支撐場景有限,云鼎于是自己從0到1開發(fā)了一套流程編排引擎,把這幾十個(gè)“積木”按照不同的事件處置流程進(jìn)行編排,來實(shí)現(xiàn)一勞永逸。

這項(xiàng)工作讓團(tuán)隊(duì)的效率極大提升,專家也得以從重復(fù)勞動中解放出來,去做更重要的工作。“通過自動化工作流,在業(yè)務(wù)上線、重保值守期間事件的MTTD/MTTR(平均檢測時(shí)間/平均響應(yīng)時(shí)間)大大降低。”騰訊云鼎實(shí)驗(yàn)室高級安全專家劉志高提到,“有了這項(xiàng)能力,我們會有更多精力聚焦問題解決本身,想清楚用什么樣的能力和流程可以更好地解決或閉環(huán)某類事件,剩下要做的,就是借助工作流引擎對解決方案進(jìn)行快速落地和實(shí)踐運(yùn)營。”

這個(gè)時(shí)間段,網(wǎng)絡(luò)安全產(chǎn)業(yè)也在發(fā)生一些顯著的變化。2020年前后,在上一輪IT和信息化建設(shè)的高峰過去后,企業(yè)對于網(wǎng)絡(luò)安全已經(jīng)主要不再是買買買的需求,而是如何讓采購的若干種網(wǎng)絡(luò)安全產(chǎn)品和工具真正產(chǎn)生效用、規(guī)則生效起來,很多研究機(jī)構(gòu)都不約而同地認(rèn)為,未來網(wǎng)絡(luò)安全產(chǎn)品服務(wù)化是一個(gè)發(fā)展趨勢。騰訊安全服務(wù)總監(jiān)曾勇江判斷,平臺交付、安全運(yùn)營托管化將是企業(yè)應(yīng)對未來安全挑戰(zhàn)的主流方向。

這意味著,云鼎構(gòu)建的這些工具不僅僅可以為騰訊集團(tuán)內(nèi)部各安全運(yùn)營團(tuán)隊(duì)所用,也有機(jī)會成為一個(gè)企業(yè)服務(wù)產(chǎn)品,被更多企業(yè)客戶使用。

但如果要作為一種企業(yè)服務(wù)級的產(chǎn)品,僅僅做到這些還不足夠。在很多次重保、客戶應(yīng)急響應(yīng)的交流中,騰訊安全專家服務(wù)團(tuán)隊(duì)發(fā)現(xiàn)很多客戶對于安全管理有一個(gè)切膚之痛——不僅僅是系統(tǒng)被攻陷了,而且是在很多情況下,安全部門對于系統(tǒng)是如何被攻陷的、處置進(jìn)度到了哪里無從知曉,他們面前是一個(gè)黑盒。“一個(gè)人處理攻擊事件,一群人圍觀”是客戶應(yīng)急現(xiàn)場的常態(tài),因?yàn)樵跊]有工具可以讓他們洞悉處置進(jìn)度的情況下,客戶只能通過“在場”的方式緩解焦慮。

云鼎實(shí)驗(yàn)室決定要把這個(gè)工具進(jìn)一步完善。首先是在平臺上引入更多高級安全能力,比如業(yè)務(wù)基線行為檢測、漏洞情報(bào)、ASM(資產(chǎn)測繪)——其中不乏一些騰訊安全研究團(tuán)隊(duì)專家自研的獨(dú)門工具;此外是不得不提的BAS(入侵與攻擊模擬),騰訊安全聯(lián)合實(shí)驗(yàn)室集結(jié)了業(yè)內(nèi)一流的安全攻防專家,對于各種攻擊手法了如指掌,為了達(dá)到“以攻促防”的目的,他們將實(shí)戰(zhàn)中的攻擊方式寫成“攻擊劇本”,用自動化工作流編排之后,去驗(yàn)證客戶的WAF能不能被繞過、防火墻的策略是不是嚴(yán)謹(jǐn)、主機(jī)安全Agent功能有效性——以從安全有效性驗(yàn)證的角度幫用戶發(fā)現(xiàn)更深層次的安全問題。

騰訊安全服務(wù)團(tuán)隊(duì)每年要做100多場重保、打十幾次攻防演練,在這個(gè)過程中積累了一整套完整的流程。“一場重保項(xiàng)目開始之前,什么時(shí)間安全團(tuán)隊(duì)需要入場,了解和分析整個(gè)系統(tǒng)架構(gòu),什么時(shí)候做系統(tǒng)安全檢測、代碼檢測,什么時(shí)候要進(jìn)行紅藍(lán)對抗的演練、應(yīng)急演練,要進(jìn)行幾輪,需要留多長的事件進(jìn)行漏洞整改,什么時(shí)候進(jìn)行最終的復(fù)測、系統(tǒng)的封閉,開始轉(zhuǎn)入持續(xù)的監(jiān)控的階段。監(jiān)控階段我們可能有一系列表和流程,什么事件觸發(fā)什么樣的信號、應(yīng)該怎么樣處置,哪些是聯(lián)動到情報(bào)中心,情報(bào)中心區(qū)分哪些信號要及時(shí)應(yīng)急,等等。”李濱說。

而這些寶貴的專家經(jīng)驗(yàn)也以工作流的方式沉淀在騰訊安全MSS中,企業(yè)只需要根據(jù)自己的實(shí)際IT情況配置參數(shù),就可以開展安全運(yùn)營工作。在MSS平臺上,企業(yè)可以“看見”自己安全狀況,以及處置進(jìn)度。

網(wǎng)絡(luò)安全的本質(zhì)是對抗,對抗形式是一直在變化的。對于一個(gè)好的MSS服務(wù)來說,在一系列的自動化工具之外,還需要有一個(gè)“專家智囊團(tuán)”實(shí)時(shí)去維護(hù)攻擊劇本、漏洞庫、情報(bào),這也正是騰訊安全的長處。在自身的海量業(yè)務(wù)體量下,騰訊天然需要保持對于各種攻擊態(tài)勢的感知。

網(wǎng)絡(luò)安全攻和守之間永遠(yuǎn)都存在不公平的較量,對于攻擊者來說,攻擊就是往芝麻里撒一把沙子,輕而易舉;而防守方則需要把沙子從芝麻里找出來。數(shù)字化以摧枯拉朽的方式席卷了每一個(gè)行業(yè),所有企業(yè)必然都要走向數(shù)字化,但是否每一個(gè)企業(yè)都做好了準(zhǔn)備?對于那些沒有專業(yè)安全團(tuán)隊(duì)的企業(yè)來說,他們?nèi)绾尾拍艿謸踹@樣的不公平較量?

MSS,也許是一個(gè)答案。對于大企業(yè)來說,它可以用MSS補(bǔ)齊安全體系建設(shè)中薄弱的地方,或通過MSS團(tuán)隊(duì)的平臺工具能力提升自身運(yùn)營能力,在自己的安全團(tuán)隊(duì)之外獲得一個(gè)強(qiáng)援;對于業(yè)務(wù)托管在公有云上的小企業(yè)來說,則可以以很低的成本獲取到和大企業(yè)一樣的安全服務(wù)。

MSS(托管安全服務(wù))最早起源于上世紀(jì)90年代,北美的運(yùn)營商、云廠商和安全廠商率先推行,近幾年在中國網(wǎng)絡(luò)安全市場也呈現(xiàn)顯著的增長趨勢。IDC數(shù)據(jù)顯示,2020年安全托管服務(wù)市場成為全球網(wǎng)絡(luò)安全產(chǎn)品與服務(wù)市場中最大的子市場,占比超過20%;2021年至2025年,中國安全托管服務(wù)市場將保持39%的復(fù)合增長率。

百川入海。對于云鼎實(shí)驗(yàn)室來說,也許它最早并沒有預(yù)期要做一個(gè)next big thing,它只是從簡單地解決自己和客戶的痛點(diǎn)需求出發(fā),但最后也走向了一個(gè)冉冉升起的大藍(lán)海市場。

“目前,騰訊安全MSS已經(jīng)服務(wù)于數(shù)字廣東、廣交會、中海地產(chǎn)、一汽大眾、暢游、中旅集團(tuán)等多個(gè)企業(yè)中,保障了第七次全國人口普查、央視頻春晚重保等重大時(shí)刻的0事故、0風(fēng)險(xiǎn)。”曾勇江說。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )