背景：5月23-24日，以“煥啟”為主題的騰訊“云+未來”峰會再廣州召開，廣東省各級政府機構(gòu)領(lǐng)導、海內(nèi)外業(yè)內(nèi)學術(shù)專家、合作伙伴及行業(yè)大咖悉數(shù)到場，共話云計算與行業(yè)數(shù)字化新發(fā)展。

騰訊企業(yè)IT部安全運營中心總監(jiān)蔡晨，在24日下午的安全分論壇上，介紹了騰訊如何將十幾年在內(nèi)網(wǎng)安全建設的經(jīng)驗輸出成為解決方案，助力更多企業(yè)實現(xiàn)業(yè)務安全。

以下為蔡晨演講全文：

大家早上好！

我是來自于騰訊技術(shù)工程事業(yè)群企業(yè)IT部總監(jiān)蔡晨，也是騰訊安全專家工程師。我在騰訊13年，都在做企業(yè)安全相關(guān)的工作，也是一個安全方面的一個老兵。

首先，我要介紹一下，騰訊到底在企業(yè)內(nèi)網(wǎng)或者企業(yè)安全上遇到哪些問題或者是哪些挑戰(zhàn)，這些困難是否會引起大家的共鳴。

第二，騰訊在內(nèi)網(wǎng)安全方面做了十幾年，騰訊跟其他傳統(tǒng)安全廠商或者是企業(yè)內(nèi)網(wǎng)安全的思路和理念到底是否一致？或者說我們的特點是什么。

第三，我今天講很多東西，可能沒有辦法通過幾個月的時間，或者是一兩年的時間就能實現(xiàn)，想告訴大家，現(xiàn)在會有什么樣產(chǎn)品可以幫助到大家。所以這個時候，也是非常感謝騰訊云的黎巍總，我跟黎巍總申請了機會給大家講。

騰訊面臨的終端安全威脅

騰訊的內(nèi)網(wǎng)或騰訊企業(yè)面臨過的安全問題是什么？我把最近一年騰訊面臨的主要三大企業(yè)安全問題呈現(xiàn)出來：首先對我們來說最嚴重的一類就是釣魚郵件，去年整個大行業(yè)趨勢比較相像，勒索病毒很多企業(yè)都受到了攻擊，在騰訊勒索病毒攻擊是非常厲害的。大家知道Wannacry和petya，可能大家不知道Locky，這是對騰訊發(fā)起的勒索病毒的攻擊形態(tài)，除了勒索病毒的攻擊形態(tài)，還有大量的比較高級的后門。比如說Adwind，這是一個高級木馬家族，持續(xù)性對騰訊定點的釣魚攻擊，針對高管、財務人員等重要崗位的郵件釣魚，還有帳號，種植木馬等，一年差不多有3百萬封的釣魚郵件。

第二類是軍工級木馬。我們知道很多一些高價值的漏洞，或者是一些沒有被公開的漏洞，甚至是軍工木馬，相當于核武器技術(shù)在互聯(lián)網(wǎng)開放，這兩年軍工木馬平民化趨勢明顯加快。騰訊內(nèi)部，內(nèi)網(wǎng)的安全團隊，包括跟電腦管家的團隊、安平的廠家合作，我們會遇到一些對企業(yè)邊界穿透力非常強的DNS隧道木馬，例如去年整個行業(yè)影響比較大的Xshell供應鏈式木馬等。可能我們員工從互聯(lián)網(wǎng)下載一個運維工具，本身是植入過后門的，這個后門，通過DNS隧道式進行啟發(fā)激活，并且進行遠端操控。這種植入方式是越來越普遍。

第三類是廣譜木馬。騰訊大概每一年可以從內(nèi)網(wǎng)的機器上挖出來大概有5千起普通病毒木馬的情況，可能常規(guī)的挖礦、勒索、蠕蟲類的東西，這是我們遇到企業(yè)內(nèi)網(wǎng)比較嚴重的三大類威脅。

騰訊企業(yè)終端安全管理全景

除了剛才這些威脅之外，企業(yè)內(nèi)網(wǎng)終端安全包括非常多的內(nèi)容。像騰訊云的業(yè)務、微信的業(yè)務、游戲的業(yè)務，他們在國內(nèi)的運營和上線及海外的運營上線都需要過很多的安全合規(guī)性的內(nèi)容。比如說等保3、PCI ，還有歐盟的規(guī)則，這些規(guī)則對終端方面都有明確的要求。

所以在終端安全方面，我們會根據(jù)業(yè)務需求，對合規(guī)性的要求做定制化的功能支持。

另一方面，企業(yè)IT的一些管理者或者我們的企業(yè)CIO或者是CTO可能對企業(yè)的終端進行摸底的情況，比如說這一家企業(yè)有多少的PC，有多少個Windows，有多少Mac OS，以及這些設備在哪里，在什么地方，它安不安全等信息盤點的情況。包括對抗被動式的黑客入侵，我的終端有沒有防黑的加固，對APT有沒有深度的安全檢測，這些都是騰訊終端安全要考慮的內(nèi)容。

理念（高可見、極速處置、云管云控）

剛才講的是說我們遇到的一些問題和我們面臨的一些業(yè)務場景和訴求。究竟騰訊是怎么考慮這些事，其實我們想了想，總結(jié)了一下，我們跟人家有不太一樣的地方，其實歸結(jié)為三點：

第一點是高度重視數(shù)據(jù)安全，安全數(shù)據(jù)是高可見的，因為只有透過浩瀚的數(shù)據(jù)才對全網(wǎng)進行管控；

第二是遇到緊急的情況，或者是安全危機的情況下，我們一定要有極速處置的能力，才能第一時間把風險隔離掉；

第三，作為一家互聯(lián)網(wǎng)企業(yè)，我們注重體驗和系統(tǒng)部署的靈活性，比如終端是一個非常輕量的控制模式，我們采用的架構(gòu)是云管、云控的模式。

高可見是指安全數(shù)據(jù)的高可見，這一直是我們近年來奮斗的方向和目標。如果跟黑客對抗，你都看不到它，那你相當于跟它不在一個維度上，你沒有看到它，就沒有辦法消滅它，所以它一定會打敗你。

我們數(shù)據(jù)的高可見有兩個維度，一是說我們的數(shù)據(jù)夠不夠廣，我們會把終端、內(nèi)網(wǎng)的所有數(shù)據(jù)，包括所有的應用系統(tǒng)，還有帳號類的數(shù)據(jù)全部歸結(jié)在一起，騰訊一天內(nèi)網(wǎng)有400億的規(guī)模，數(shù)據(jù)類型大概200多類；

還有一個緯度就是數(shù)據(jù)夠不夠深。舉個例子：一個中國黑客團隊開發(fā)的木馬家族，木馬是沒有文件的，一旦感染到內(nèi)存中，常駐內(nèi)存并不在OS上。如果你的防御監(jiān)控手段還停留在文件級是看不到它的，這時候需要把終端的監(jiān)控下沉，下沉到進程API的級別，看木馬注入到哪個層面進行API調(diào)用，還有是XShell DNS接受指令的方式，通常我們看的是tcp、http等連接，但是對DNS這一塊，對大多數(shù)企業(yè)來說，53 UDP通訊不會有相應的檢測規(guī)則，當黑客用這種武器跟你對抗的時候，你發(fā)現(xiàn)你根本沒有辦法發(fā)現(xiàn)黑客的存在。

當然我們收集了大量廣度和深度的數(shù)據(jù)后，這些東西如何對企業(yè)安全人員形成可見的效應。這張圖是我們企業(yè)內(nèi)部安全人員第一時間能夠看到的，比如終端、服務器、我們的應用、出口、我們的網(wǎng)絡到底發(fā)生了怎樣的安全事件。這些都有強大的后臺去支撐大量的數(shù)據(jù)運算和機器學習，由大量的規(guī)則檢測模型得出的結(jié)果。

根據(jù)這些事件，它會把它分成高中低等風險級別，然后安全人員就有序?qū)@些事件進行風險的處置、隔離，或者是風險進一步排查，還有源頭溯源工作。在遇到安全問題或者發(fā)現(xiàn)安全有風險的時候，我們希望是，一定要有一種方式或者是一種工具能夠做到極速的處置。

為什么要極速？大家可以看我這張圖上，把時間要求得非常苛刻，5分鐘、10分鐘、30分鐘，原因是這樣的。在我們十幾年跟職業(yè)黑客團隊對抗積累的經(jīng)驗，當高級木馬激活的狀態(tài)下，它在30分鐘內(nèi)有能力將單臺PC數(shù)據(jù)和文件進行獲取，并且把關(guān)鍵的帳號，或者你企業(yè)的信息或者是IP地址池都拿到手，向內(nèi)網(wǎng)的服務器或者是更多的PC進行掃描，120分鐘已經(jīng)有能力拿下多臺服務器、多臺PC，并且從服役器、PC轉(zhuǎn)移相關(guān)的文件上傳到網(wǎng)上。

所以在騰訊里面，經(jīng)過十幾年的構(gòu)建，我們其實是做到了從5分鐘的時間可以把我們所需要的數(shù)據(jù)采集到云端，在15分鐘的時間內(nèi)，云端通過各種的安全規(guī)則分析，數(shù)據(jù)的挖掘，數(shù)據(jù)的串聯(lián)，可以把風險識別出來。安全人員在30分鐘內(nèi)就可以對這些風險進行處置或隔離清理。在接下來的一天和兩天內(nèi)贏得足夠的時間追查黑客、病毒木馬到底是怎么進來的，或者是信息是怎么泄露出去，然后再溯源相關(guān)的工作，這就大大爭取了時間，贏得了跟黑客對抗的生死時速競賽。

云管、云控，作為騰訊這樣一個互聯(lián)網(wǎng)企業(yè)而言，其實員工的生產(chǎn)力跟工作效力是非常重要的，互聯(lián)網(wǎng)的員工希望有一個輕量的客戶端在終端保護到它。我們在騰訊員工的終端上部署的安全系統(tǒng)只做兩件事：一個是數(shù)據(jù)的匯報，一個是云端接收和策略下發(fā)。

但是我們在云端分成兩朵云，一朵云是用來處理基本的策略管理和加固類策略、軟件管理策略。這些都是數(shù)據(jù)量比較輕的輕DATA，存放在公有云。

一朵云我們會把客戶端匯報的數(shù)據(jù)進行深度的分析，大數(shù)據(jù)的分析，或者平臺的一些時間窗的數(shù)據(jù)，這些數(shù)據(jù)量比較大，運算量比較大，這種胖DATA會放在私有云。

所以說客戶端是非常瘦的形態(tài)，云是非常胖的形態(tài)，用這種方式在云端保證用戶的體驗和安全分析決策是非常精準的。

騰訊云+IT企業(yè)終端安全管理產(chǎn)品矩陣

在騰訊的終端安全領(lǐng)域，我們提煉出騰訊現(xiàn)行的四款產(chǎn)品，這些產(chǎn)品對終端安全、終端管理有重要意義。

終端使用的安全產(chǎn)品叫iOA，支持Windows跟Mac兩個系統(tǒng)，終端高級APT的防護還有常規(guī)的入侵防護，當然它可以兼容其他的殺毒軟件模塊。比如說我們跟電腦管家有很好的聯(lián)動和融合的作用，騰訊內(nèi)部使用殺毒軟件是電腦管家，iOA跟電腦管家有一個聯(lián)動。

騰訊有5萬員工，移動端有一個做MDM的產(chǎn)品，IT Login，企業(yè)內(nèi)部使用，嵌入員工使用辦公移動的APP里面；比如說大家看到的KM、MOA等，它所完成的事情除了統(tǒng)一認證，還可以對企業(yè)員工使用的移動設備進行遠程管理；比如說設備丟失以后如何擦除，IT login大概接入了18萬移動辦公設備。

對于終端文件的管理，其實騰訊內(nèi)部不太希望員工各自選用形形色色的云SAAS類的文檔儲存產(chǎn)品，其實我們對內(nèi)部提供了名字叫做企業(yè)云盤的云存儲類的產(chǎn)品。它除了常規(guī)的云存儲，還會提供其他的功能，比如文件漫游、同步盤等。能夠滿足員工在多設備、多PC、多移動端、移動場景這些基本的功能場景下的日常的遠程工作或者是移動工作需求，騰訊有13000多人去使用這個產(chǎn)品，大概每一天會新增1T的文件量。

在騰訊內(nèi)部有一個具備豐富安全大數(shù)據(jù)的云端，叫TSOC。它收集企業(yè)終端、內(nèi)部網(wǎng)絡、應用，以及行為數(shù)據(jù)、安全性數(shù)據(jù)，數(shù)據(jù)進到TSOC以后，里面有對抗模式，態(tài)勢感知，能夠?qū)⑽覀兊娘L險可視化，第一時間給到企業(yè)安全管理人員或者是企業(yè)安全管理者。能夠幫助他們快速去收斂風險，還有決策企業(yè)的風險到底出在哪里，問題在哪里。我們認為騰訊這4款產(chǎn)品對騰訊的企業(yè)安全，有非常重要的意義。

下面是我們產(chǎn)品主頁和鏈接，大家有需要歡迎隨時訪問和聯(lián)系我們。

騰訊技術(shù)工程官號

騰訊前沿技術(shù) | 產(chǎn)品 | 行業(yè)信息交流發(fā)布平臺

?

總結(jié)

以上是生活随笔為你收集整理的腾讯企业IT部安全运营中心总监蔡晨：十年沉淀，腾讯iOA为企业安全保驾护航...的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。