8月29日，2018網(wǎng)絡(luò)安全分析與情報(bào)大會(huì)在北京新云南皇冠假日酒店正式開幕，本次大會(huì)由國內(nèi)威脅情報(bào)領(lǐng)軍企業(yè)微步在線主辦，十?dāng)?shù)位來自政府、央企、金融、互聯(lián)網(wǎng)等一線公司的安全專家將對威脅情報(bào)的落地應(yīng)用進(jìn)行多點(diǎn)發(fā)散的深度剖析，來自國內(nèi)外頂級(jí)安全公司的學(xué)者、研究員也將根據(jù)全球威脅態(tài)勢，結(jié)合自身業(yè)務(wù)分享最新溯源對象和研究成果，拓寬網(wǎng)絡(luò)威脅分析的時(shí)間空間跨度，與參會(huì)者共同探討威脅情報(bào)應(yīng)用落地的典型行業(yè)、場景和解決方案。

騰訊企業(yè)IT部安全運(yùn)營中心信息安全組組長、高級(jí)工程師王森出席本次大會(huì)，并在會(huì)上發(fā)表《騰訊企業(yè)終端安全管理最佳實(shí)踐》的主題演講，以下為王森演講全文：

今天我的分享主要有三個(gè)內(nèi)容：騰訊這樣一個(gè)體量的互聯(lián)網(wǎng)企業(yè)日常面臨的安全風(fēng)險(xiǎn)和挑戰(zhàn)都有哪些，在座的各位專家是否也有共鳴。騰訊經(jīng)過十幾年的安全建設(shè)，應(yīng)對這些挑戰(zhàn)的時(shí)候?qū)嵺`的理念是什么，這些理念和思路在有些企業(yè)沒有辦法快速落地，騰訊通過自己的技術(shù)積累有什么成熟的產(chǎn)品可以輸出給行業(yè)幫助到大家。

這里列出了騰訊內(nèi)網(wǎng)的三大安全挑戰(zhàn)：

首先是釣魚郵件，2016年一直到今年，整個(gè)行業(yè)面臨的釣魚郵件態(tài)勢應(yīng)該是差不多的，非常嚴(yán)重的就是勒索軟件，其實(shí)勒索軟件的鼻祖級(jí)家族：locky，對騰訊的攻擊是最嚴(yán)重的，基本上就是不計(jì)成本、非常蠻力的方式，一天當(dāng)中峰值收到locky的攻擊郵件可以達(dá)到幾十萬次，而且一天可以完成多次變種，doc變成js等等。另一種是高級(jí)后門，我們同樣也會(huì)收到這種釣魚，這種攻擊基本上是小范圍點(diǎn)到點(diǎn)的，比如Adwind家族，還有Formbook是一個(gè)外國的木馬家族，其實(shí)它也是緊跟著最新的安全對抗技術(shù)，比如去年Office DDE和OLE Link漏洞出來后，Formbook馬上會(huì)用最新的漏洞投送。帳號(hào)釣魚也有很多，比如模擬高管對敏感崗位的釣魚，一個(gè)釣魚郵件內(nèi)容可能會(huì)模擬pony說“幫我看一看這個(gè)帳號(hào)怎么回事”，點(diǎn)擊進(jìn)去的話就是讓你輸入帳號(hào)和密碼。

再就是軍工木馬，行業(yè)當(dāng)中有些比較高級(jí)的后門和所謂的0Day都是掌握在職業(yè)黑客手里，但16年以來，HackingTeam、方程式組織等職業(yè)黑客團(tuán)隊(duì)的黑客工具在互聯(lián)網(wǎng)被公開以后，這種軍工木馬平民化的趨勢也是越來越嚴(yán)峻，黑客團(tuán)隊(duì)又會(huì)針對這種軟件供應(yīng)鏈展開攻擊。比如Xshell后門，它是采用DNS隧道激活和遠(yuǎn)控，同時(shí)是隱藏在Xshell的一個(gè)合法DLL模塊中，可以想像一下，如果一個(gè)企業(yè)開發(fā)或者運(yùn)維使用這樣被植入過后門的軟件去登錄服務(wù)器運(yùn)維的話，它的威脅是非常嚴(yán)峻的。我們也有遭遇到一個(gè)中國的職業(yè)黑客團(tuán)隊(duì)，采用的通訊方式也是類似于DNS隧道，但利用偷盜來的合法數(shù)字簽名，同時(shí)又采用全內(nèi)存化的運(yùn)作方式，白加黑啟動(dòng)，隱蔽性也非常強(qiáng)，這是軍工木馬的攻擊態(tài)勢。

廣譜木馬，我們一年大概會(huì)發(fā)現(xiàn)五千多個(gè)廣普木馬，比較常見的有廣告和蠕蟲，最近兩年比較多的是挖礦。

除了應(yīng)對上面的威脅，騰訊的終端管理還要考慮一些其它的內(nèi)容。比如我們的業(yè)務(wù)騰訊云、微信支付、游戲等等，要在國內(nèi)或者海外進(jìn)行業(yè)務(wù)上線推廣的時(shí)候要符合當(dāng)?shù)氐男袠I(yè)法規(guī)要求，所以我們的終端管理和內(nèi)網(wǎng)安全就要針對當(dāng)?shù)氐姆煞ㄒ?guī)來做一些定制化，比如國內(nèi)的等級(jí)保護(hù)，國外的PCI以及歐盟新推出的GPDR。如果我們不做這些事情會(huì)怎么樣呢？一旦內(nèi)網(wǎng)發(fā)生了數(shù)據(jù)泄露，不僅僅是用戶信心丟失，監(jiān)管層面也會(huì)有天價(jià)罰款，比如GDPR最多會(huì)罰到企業(yè)一年百分之四的營收額度。

另外，企業(yè)的管理層，比如CIO、CSO這種級(jí)別可能會(huì)想知道內(nèi)網(wǎng)有多少終端，有多少windows、多少mac，都是誰在使用，有沒有被黑客入侵等等，這種摸底的需求也是我們需要去支持的。

要應(yīng)對前面講的風(fēng)險(xiǎn)挑戰(zhàn)和管理要求，我們認(rèn)為有三點(diǎn)是最重要的：首先是高可見，只有對安全數(shù)據(jù)的高可見才能通過數(shù)據(jù)掌握全網(wǎng)。發(fā)生安全事件的時(shí)候一定要有急速處置的能力，第一時(shí)間將風(fēng)險(xiǎn)隔離出去。通過云管云控給用戶一個(gè)比較輕量的客戶端，同時(shí)又可以靈活地部署。

我們只有通過高可見，才能發(fā)現(xiàn)黑客入侵內(nèi)網(wǎng)整個(gè)過程的痕跡。比如黑客入侵過程當(dāng)中會(huì)在我們的出口和終端還有網(wǎng)絡(luò)、服務(wù)器上面留下痕跡。比如利用釣魚軟件或者網(wǎng)站投毒的時(shí)候會(huì)在網(wǎng)關(guān)留下惡意代碼痕跡，員工在終端上面打開惡意文件，觸發(fā)shellcode執(zhí)行，也會(huì)在終端留下一些痕跡，然后shellcode去云端拉取后門，后門通過HTTP/DNS/ICMP等隧道的方式進(jìn)行遠(yuǎn)控，也會(huì)在網(wǎng)絡(luò)上面留下痕跡，然后通過拿下的PC又進(jìn)行層層的內(nèi)部滲透，通過掃描入侵關(guān)鍵終端和服務(wù)器，比如滲透AD、OA系統(tǒng)等等，也會(huì)在服務(wù)器上面留下痕跡。

要想發(fā)現(xiàn)這些痕跡必須要有高可見的能力，具體來說高可見包括兩個(gè)維度：首先是數(shù)據(jù)的廣度，就是對數(shù)據(jù)安全分析的種類和維度夠不夠廣。騰訊內(nèi)網(wǎng)每天搜集的安全數(shù)據(jù)大概是四百五十億左右，包括兩百多個(gè)數(shù)據(jù)維度，比如我們的應(yīng)用帳號(hào)、互聯(lián)網(wǎng)出口終端。其次是數(shù)據(jù)的深度，比如剛才說的中國的職業(yè)黑客使用的這種木馬是沒有文件落地的，就是全內(nèi)存運(yùn)作，這個(gè)時(shí)候如果檢測還是停留在文件級(jí)別是沒有辦法發(fā)現(xiàn)它的，需要把我們的檢測下沉到API，看一看內(nèi)存當(dāng)中怎么進(jìn)行系統(tǒng)調(diào)用的。

比如Xshell后門，網(wǎng)絡(luò)層面采用的是DNS的隧道通信，一般企業(yè)對HTTP、TCP都會(huì)監(jiān)控得比較好，但基本上認(rèn)為DNS udp53的通訊請求還是合法的訪問，沒有這方面的監(jiān)控規(guī)則，所以黑客利用這種工具和我們對抗的時(shí)候，我們是沒有辦法發(fā)現(xiàn)它的。

再如Powershell后門在13年被Fireeye曝光以后，這種后門目前非常流行，越來越被黑客青睞，因?yàn)樗哪芰Ψ浅?qiáng)大，同時(shí)又是Windows的合法組件，我們的殺毒軟件沒有辦法通過簽名、文件檢查這種方式識(shí)別，所以我們可能要看Powershell執(zhí)行的日志和函數(shù)，要看它調(diào)用的系統(tǒng)函數(shù)有哪些。

有了這些數(shù)據(jù)的深度和廣度分析，我們需要通過一種可視化的能力把風(fēng)險(xiǎn)推送給安全人員，安全人員可以知道出口出現(xiàn)了什么攻擊事件，有多少掃描在內(nèi)網(wǎng)發(fā)生，然后把這種風(fēng)險(xiǎn)分成高中低的級(jí)別有效地處置。可視化背后是需要一系列強(qiáng)大的后臺(tái)支撐，比如大數(shù)據(jù)計(jì)算的能力、機(jī)器學(xué)習(xí)的能力等等。可視化還可以幫助我們安全決策者們第一時(shí)間知道我們面臨的主要挑戰(zhàn)都有哪些，是否需要追加資源輔助進(jìn)行安全決策。

具體到終端層面，做到什么程度才算是高可見能力達(dá)到了呢？我們就拿一個(gè)APT木馬入侵的過程來分析，一般分為三個(gè)步驟：首先是要進(jìn)來撬門，然后通過完整的后門站穩(wěn)腳跟，最后就是竊密。進(jìn)來的時(shí)候無非使用兩種手段：一種就是通過應(yīng)用和系統(tǒng)的漏洞，比如常見的IE的UAF漏洞，或者系統(tǒng)的遠(yuǎn)程代碼執(zhí)行漏洞，另一種可能會(huì)利用漏洞的觸發(fā)技術(shù)，比如堆噴或者ROP等，結(jié)合這兩種技術(shù)可以達(dá)到執(zhí)行黑客指定的shellcode執(zhí)行。其實(shí)，漏洞攻擊時(shí)內(nèi)存里面是有痕跡可尋的，比如堆噴可能會(huì)導(dǎo)致內(nèi)存空間急劇增長。行業(yè)當(dāng)中已經(jīng)有很多成熟的工具幫助我們應(yīng)對這種漏洞利用的攻擊，比如微軟的EMET、最新的Windows10專業(yè)版集成了exploit Guard組件，加上企業(yè)及時(shí)打補(bǔ)丁，百分之九十的漏洞攻擊在這個(gè)階段是可以被杜絕的。

到了第二個(gè)階段，執(zhí)行shellcode后，shellcode只是一個(gè)敲門磚，執(zhí)行后無非為了讓終端感染一個(gè)完整的后門木馬，常見的方式有2種，1通過互聯(lián)網(wǎng)下載一個(gè)完整木馬，比如通過powershell WebClient拉取一個(gè)遠(yuǎn)端木馬下載，2直接釋放一個(gè)小馬、比如偽裝成txt的一個(gè)dll或者exe，這個(gè)dll或者exe被拉起來后，會(huì)進(jìn)行explorer等注入、提權(quán)、進(jìn)一步下載更多攻擊模塊等，變成一個(gè)完整后門。這個(gè)過程，完全在內(nèi)存中進(jìn)行，我們就需要監(jiān)控Powershell的執(zhí)行、DLL拉起、注入行為、文件釋放等API行為。

?

第三個(gè)階段，后門竊密，一個(gè)完整后門，會(huì)具備多種竊密能力，一個(gè)后門具備密碼、剪貼板、cookie、鍵盤等多類竊密能力，我們統(tǒng)計(jì)過，大約需要40-60個(gè)底層API才能完整的監(jiān)控常見的竊密行為。

?

?木馬會(huì)有多種不同組合技巧來進(jìn)行漏洞利用和提權(quán)駐留，一旦完成，它肯定會(huì)原形畢露做壞事，就是進(jìn)行竊密，所以竊密監(jiān)控是非常重要的。

舉個(gè)竊密的例子：行業(yè)非常流行一款企黑客工具，mimikatz，可以在終端竊取多種類型的票據(jù)，比如密碼、ntlmhash、Kerberos、AESkey等等，甚至可以通過這些竊取的票據(jù)，直接入侵AD，獲取域控權(quán)限，我們看一個(gè)典型的PTH攻擊，在API層面的表現(xiàn)：

??? 1、提權(quán)：需要獲取系統(tǒng)權(quán)限，或者精確說需要一個(gè)debug權(quán)限，才可以對核心系統(tǒng)進(jìn)程進(jìn)行訪問

?? 2、獲取憑據(jù)：通過以高權(quán)限的方式訪問lsass進(jìn)程，用戶的票據(jù)存在這個(gè)進(jìn)程的內(nèi)存空間，調(diào)用系統(tǒng)解密函數(shù)，可以竊取本機(jī)和域上的用戶票據(jù)，票據(jù)就是訪問各種資源的憑據(jù)

?? 3、偽造身份：通過獲取的ntlmhash、AES key等票據(jù)，可以進(jìn)行偽造身份登錄，比如偽造成pc管理員甚至域控管理員登錄，然后可以直接入侵AD

如果我們要監(jiān)控這種pth竊密行為，就需要監(jiān)控sedebugprivilege的提權(quán)行為，高權(quán)限訪問lsass進(jìn)程的行為，以及模擬用戶登錄的行為。

?

話說回來，正常的進(jìn)程也會(huì)有這種竊密的行為，IE瀏覽器也會(huì)監(jiān)控用戶的鍵盤輸入，包括用戶安全軟件也會(huì)注入系統(tǒng)進(jìn)程，應(yīng)該怎么辦呢？需要降低誤報(bào)，我們的做法就是類似于評分模型。

我們會(huì)實(shí)時(shí)監(jiān)控一個(gè)程序的行為，累積一定的信用評分，在一個(gè)程序?qū)嵤┝硕鄠€(gè)高危操作后，拉響警報(bào)。比如一個(gè)進(jìn)程可以有網(wǎng)路訪問，也可以在特定情況下獲取高權(quán)限，甚至來獲取鍵盤記錄，但只要他又做了明文密碼盜取，這個(gè)信用評分立即達(dá)到報(bào)警閥值，標(biāo)識(shí)成惡意程序。綜合這些來看可以降低誤報(bào)，同時(shí)還要考慮父進(jìn)程、子進(jìn)程，把整個(gè)進(jìn)程樹一起串起來進(jìn)行評分，基本上可以把誤報(bào)降到最低，分析維度也是以天、月這樣的跨度。

通過上面的分析，這樣就比較自然的可以得出一個(gè)分層、分時(shí)的檢測體系：

?? 1、基于已知特征的、單維度的檢測：比如hash、pe、證書、c2、url等，這些檢測引擎可以有多個(gè)來源，比如騰訊自有的電腦管家、業(yè)界的多引擎、管家的TAV、包括情報(bào)廠商提供的IOC，此類檢測通過單一維度就可以報(bào)警，可以發(fā)現(xiàn)絕大多數(shù)的廣譜木馬，比如流行的挖礦、勒索病毒等；黑客的繞過成本很低，隨意編譯一行代碼就搞定了，所以對于一些高端入侵，這種情況很難對抗；

?? 2、基于行為特征，多維度的檢測：分析多個(gè)維度的數(shù)據(jù)和行為，綜合做一個(gè)評分報(bào)警。比如對讀寫敏感位置的注冊表和文件、加載異常DLL、竊密API、異常的內(nèi)存行為等進(jìn)行監(jiān)控，可以發(fā)現(xiàn)繞過殺軟的一些高級(jí)樣本，變種后門，比如我們內(nèi)網(wǎng)會(huì)發(fā)現(xiàn)一些隱藏很深的挖礦后門（以插件形式存在），甚至一些黑客工具比如前面說的mimikatz等；

?? 3、最后是基于大數(shù)據(jù)分析的上下文、時(shí)間窗的行為評分：這部分對潛伏很久、動(dòng)作很小的軍工木馬比較有效，這些木馬不是落地就進(jìn)行各種破壞、敏感操作，而是動(dòng)靜很小，甚至不做操作，只是搜集上報(bào)信息，我們遇到過進(jìn)入內(nèi)網(wǎng)潛伏一周后，才觸發(fā)執(zhí)行遠(yuǎn)控上線，而且是通過釋放多個(gè)作惡文件來進(jìn)行，所以需要關(guān)聯(lián)家族、父子關(guān)系等才可以揪住。

針對情報(bào)我們是怎么看的？我們認(rèn)為情報(bào)可以幫助企業(yè)加速應(yīng)對行業(yè)當(dāng)中出現(xiàn)的新型病毒布防速度和能力，比如我們所在的行業(yè)，如果黑客拿了一個(gè)新型的木馬病毒攻擊同行，這個(gè)時(shí)候情報(bào)供應(yīng)商監(jiān)控到了以后可以通過情報(bào)共享的方式同步給我們，內(nèi)網(wǎng)再通過一系列的聯(lián)動(dòng)下發(fā)給終端的監(jiān)控，或者下放到網(wǎng)絡(luò)和出口防火墻，直接提前布防，如果黑客再拿同樣工具攻擊我們，我們已經(jīng)具備了監(jiān)控和防御的能力。

我們認(rèn)為一個(gè)好的情報(bào)是有三個(gè)方面的特性：情報(bào)要是比較開放的，因?yàn)轵v訊經(jīng)過這么多年的建設(shè)，形成了以自研產(chǎn)品為主的安防體系，如果情報(bào)還是一個(gè)黑盒產(chǎn)品沒有辦法和騰訊的安防體系有效對接，進(jìn)行工程化和自動(dòng)化融合的話，我們就用不了。我們認(rèn)為情報(bào)應(yīng)該是比較高效的，給到騰訊的情報(bào)應(yīng)該是在十五分鐘到三十分鐘反映出來這個(gè)行業(yè)最新的病毒和木馬，如果超過這個(gè)時(shí)間的話就沒有多大價(jià)值了，因?yàn)轵v訊往往是新型病毒木馬攻擊的第一梯隊(duì)。我們認(rèn)為情報(bào)的質(zhì)量非常重要，情報(bào)可以有效反映比較高的威脅，不能有太多的誤報(bào)，我們會(huì)有情報(bào)的評測庫，這里面包括了最新的APT家族，還有一些最新的漏洞利用工具，可以說是少數(shù)人才有的庫，如果情報(bào)對這個(gè)庫的檢出率比較高，我們可能會(huì)認(rèn)為它的質(zhì)量還不錯(cuò)。

有了情報(bào)，我們還需要依靠一個(gè)強(qiáng)有力的運(yùn)營來保障。打個(gè)比方，一個(gè)平民拿著一把裝配精良的狙擊槍是沒有辦法打出職業(yè)軍人那樣百步穿楊、千里之外取敵人性命的效果，關(guān)鍵就是看這把狙擊槍怎么用好。

比如出現(xiàn)了一個(gè)淪陷指標(biāo)IOC的報(bào)警，我們的團(tuán)隊(duì)首先找到報(bào)警的機(jī)器負(fù)責(zé)人問是不是他做的，如果確定是他做的肯定是誤報(bào)，因?yàn)轵v訊內(nèi)部有很多安全人員在做分析，同時(shí)會(huì)有一些安全類的文章提到類似的樣本，這些都會(huì)觸發(fā)情報(bào)的報(bào)警。我們要排除這部分誤報(bào)，然后就要分析訪問對應(yīng)的進(jìn)程，看里面是不是有些惡意DLL的掛載，是否有shellcode等，只有做到這樣的分析我們才能定性，這個(gè)IOC指標(biāo)的報(bào)警到底是誤報(bào)還是入侵。

極速處置，大家看到我這里列的處置時(shí)間比較緊，5、15、30分鐘，因?yàn)槲覀冇龅铰殬I(yè)黑客可以在三十分鐘內(nèi)把一臺(tái)PC所有的敏感信息拿到，包括密碼、內(nèi)網(wǎng)IP，可以在一百二十分鐘內(nèi)通過拿到的信息對多臺(tái)PC和服務(wù)器入侵，然后把服務(wù)器的信息打包出去。經(jīng)過這么多年的建設(shè)，騰訊可以做到五分鐘以內(nèi)把全網(wǎng)的安全數(shù)據(jù)上報(bào)，十五分鐘以內(nèi)通過大數(shù)據(jù)的分析和海量的專家規(guī)則把風(fēng)險(xiǎn)識(shí)別出來，三十分鐘以內(nèi)，通過各種平臺(tái)工具讓安全人員把風(fēng)險(xiǎn)第一時(shí)間隔離，這也為后面的一兩天爭取更多的時(shí)間，可以分析黑客是怎么進(jìn)來的，偷了什么東西，我們的對手是誰等等。

我們還有一個(gè)比較高的要求，就是對內(nèi)網(wǎng)終端有一個(gè)比較高的覆蓋率和策略執(zhí)行率，騰訊內(nèi)網(wǎng)有十萬臺(tái)的終端，百分之一的策略沒有覆蓋到的話意味著一千臺(tái)機(jī)器都是監(jiān)控盲點(diǎn)，我們這兩年的工作重點(diǎn)就是提升零點(diǎn)一個(gè)百分點(diǎn)，這樣才能跟黑客對抗的過程當(dāng)中做到全面的普查和清理。

通過云管云控的方式實(shí)現(xiàn)輕量級(jí)的客戶端，簡單來說客戶端只做兩個(gè)事情：一個(gè)是數(shù)據(jù)上報(bào)，一個(gè)是云端的策略執(zhí)行，這跟傳統(tǒng)的安全客戶端不太一樣，傳統(tǒng)安全客戶端可能是本地的安全檢查執(zhí)行完了才會(huì)上報(bào)。

所以，我們的客戶端就比較輕比較快，可以做到三秒鐘以內(nèi)讓我們的機(jī)器從外面接入進(jìn)來，運(yùn)行的過程當(dāng)中只占CPU的百分之一，所以我們的員工是感覺不到終端上有這樣的客戶端在運(yùn)行。

另一個(gè)是把計(jì)算量比較大、數(shù)據(jù)量比較大的胖的DATA放到私有云進(jìn)行深度檢測和態(tài)勢感知，然后把數(shù)據(jù)量和計(jì)算量比較小的DATA放在公有云，這樣可以實(shí)現(xiàn)靈活的架構(gòu)部署，同時(shí)也照顧了用戶體驗(yàn)。

騰訊通過大概十五年的安全建設(shè)經(jīng)驗(yàn)沉淀出了比較重要的四款產(chǎn)品：

1、iOA，騰訊內(nèi)網(wǎng)的PC上面都安裝了IOA，它可以支持Windows和Mac，支持終端的防黑加固和APT入侵檢測。同時(shí)可以和殺毒軟件管家進(jìn)行有效聯(lián)動(dòng)，當(dāng)然也可以跟其他的殺軟聯(lián)動(dòng)；iOA也是國內(nèi)首家自研支持MAC入域、安全加固和入侵檢測的客戶端，可以比較好地滿足企業(yè)員工的自帶Mac設(shè)備辦公的需求。

2、我們還有一款MDM的產(chǎn)品ITlogin，它是以SDK的形式嵌入到移動(dòng)辦公APP當(dāng)中，它不需要安裝高權(quán)限的證書，所以企業(yè)的管理者不必?fù)?dān)心員工有這種隱私的顧慮，每天通過ITlogin登錄的設(shè)備有十五萬臺(tái)，它除了可以進(jìn)行統(tǒng)一的權(quán)限驗(yàn)證外，還可以對設(shè)備進(jìn)行遠(yuǎn)程管理，比如設(shè)備丟了以后可以把上面的企業(yè)數(shù)據(jù)遠(yuǎn)程抹掉，同時(shí)回收用戶的登錄權(quán)限，保護(hù)企業(yè)數(shù)據(jù)不丟失。

3、第三款是企業(yè)云盤，為了公司資料的安全，我們推出企業(yè)云盤，即滿足員工云存儲(chǔ)的需求，也可以滿足員工在職場內(nèi)、外，在PC和移動(dòng)端進(jìn)行便利獲取云端工作文件的需求。

4、在騰訊內(nèi)部有一個(gè)具備豐富安全大數(shù)據(jù)的云端，叫TSOC。它收集企業(yè)終端、內(nèi)部網(wǎng)絡(luò)、應(yīng)用，以及行為數(shù)據(jù)，數(shù)據(jù)進(jìn)到TSOC以后，里面有對抗模式、專家規(guī)則、機(jī)器學(xué)習(xí)，發(fā)現(xiàn)問題和風(fēng)險(xiǎn)。通過態(tài)勢感知將我們的風(fēng)險(xiǎn)可視化，第一時(shí)間給到企業(yè)安全人員去收斂風(fēng)險(xiǎn)，幫助企業(yè)高層管理者對安全風(fēng)險(xiǎn)進(jìn)行決策。

我們認(rèn)為騰訊這4款產(chǎn)品對騰訊的企業(yè)安全，有非常重要的意義。

?

這是我們的iOA產(chǎn)品主頁和公眾號(hào)，有興趣的同學(xué)可以訪問一下。

?

謝謝大家。

?

?

總結(jié)

以上是生活随笔為你收集整理的威胁情报大会直击 | 企业IT部王森：腾讯企业终端安全管理最佳实践的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。