8月29日，2018網(wǎng)絡安全分析與情報大會在北京新云南皇冠假日酒店正式開幕，本次大會由國內威脅情報領軍企業(yè)微步在線主辦，十數(shù)位來自政府、央企、金融、互聯(lián)網(wǎng)等一線公司的安全專家將對威脅情報的落地應用進行多點發(fā)散的深度剖析，來自國內外頂級安全公司的學者、研究員也將根據(jù)全球威脅態(tài)勢，結合自身業(yè)務分享最新溯源對象和研究成果，拓寬網(wǎng)絡威脅分析的時間空間跨度，與參會者共同探討威脅情報應用落地的典型行業(yè)、場景和解決方案。

騰訊企業(yè)IT部安全運營中心信息安全組組長、高級工程師王森出席本次大會，并在會上發(fā)表《騰訊企業(yè)終端安全管理最佳實踐》的主題演講，以下為王森演講全文：

今天我的分享主要有三個內容：騰訊這樣一個體量的互聯(lián)網(wǎng)企業(yè)日常面臨的安全風險和挑戰(zhàn)都有哪些，在座的各位專家是否也有共鳴。騰訊經(jīng)過十幾年的安全建設，應對這些挑戰(zhàn)的時候實踐的理念是什么，這些理念和思路在有些企業(yè)沒有辦法快速落地，騰訊通過自己的技術積累有什么成熟的產(chǎn)品可以輸出給行業(yè)幫助到大家。

這里列出了騰訊內網(wǎng)的三大安全挑戰(zhàn)：

首先是釣魚郵件，2016年一直到今年，整個行業(yè)面臨的釣魚郵件態(tài)勢應該是差不多的，非常嚴重的就是勒索軟件，其實勒索軟件的鼻祖級家族：locky，對騰訊的攻擊是最嚴重的，基本上就是不計成本、非常蠻力的方式，一天當中峰值收到locky的攻擊郵件可以達到幾十萬次，而且一天可以完成多次變種，doc變成js等等。另一種是高級后門，我們同樣也會收到這種釣魚，這種攻擊基本上是小范圍點到點的，比如Adwind家族，還有Formbook是一個外國的木馬家族，其實它也是緊跟著最新的安全對抗技術，比如去年Office DDE和OLE Link漏洞出來后，Formbook馬上會用最新的漏洞投送。帳號釣魚也有很多，比如模擬高管對敏感崗位的釣魚，一個釣魚郵件內容可能會模擬pony說“幫我看一看這個帳號怎么回事”，點擊進去的話就是讓你輸入帳號和密碼。

再就是軍工木馬，行業(yè)當中有些比較高級的后門和所謂的0Day都是掌握在職業(yè)黑客手里，但16年以來，HackingTeam、方程式組織等職業(yè)黑客團隊的黑客工具在互聯(lián)網(wǎng)被公開以后，這種軍工木馬平民化的趨勢也是越來越嚴峻，黑客團隊又會針對這種軟件供應鏈展開攻擊。比如Xshell后門，它是采用DNS隧道激活和遠控，同時是隱藏在Xshell的一個合法DLL模塊中，可以想像一下，如果一個企業(yè)開發(fā)或者運維使用這樣被植入過后門的軟件去登錄服務器運維的話，它的威脅是非常嚴峻的。我們也有遭遇到一個中國的職業(yè)黑客團隊，采用的通訊方式也是類似于DNS隧道，但利用偷盜來的合法數(shù)字簽名，同時又采用全內存化的運作方式，白加黑啟動，隱蔽性也非常強，這是軍工木馬的攻擊態(tài)勢。

廣譜木馬，我們一年大概會發(fā)現(xiàn)五千多個廣普木馬，比較常見的有廣告和蠕蟲，最近兩年比較多的是挖礦。

除了應對上面的威脅，騰訊的終端管理還要考慮一些其它的內容。比如我們的業(yè)務騰訊云、微信支付、游戲等等，要在國內或者海外進行業(yè)務上線推廣的時候要符合當?shù)氐男袠I(yè)法規(guī)要求，所以我們的終端管理和內網(wǎng)安全就要針對當?shù)氐姆煞ㄒ?guī)來做一些定制化，比如國內的等級保護，國外的PCI以及歐盟新推出的GPDR。如果我們不做這些事情會怎么樣呢？一旦內網(wǎng)發(fā)生了數(shù)據(jù)泄露，不僅僅是用戶信心丟失，監(jiān)管層面也會有天價罰款，比如GDPR最多會罰到企業(yè)一年百分之四的營收額度。

另外，企業(yè)的管理層，比如CIO、CSO這種級別可能會想知道內網(wǎng)有多少終端，有多少windows、多少mac，都是誰在使用，有沒有被黑客入侵等等，這種摸底的需求也是我們需要去支持的。

要應對前面講的風險挑戰(zhàn)和管理要求，我們認為有三點是最重要的：首先是高可見，只有對安全數(shù)據(jù)的高可見才能通過數(shù)據(jù)掌握全網(wǎng)。發(fā)生安全事件的時候一定要有急速處置的能力，第一時間將風險隔離出去。通過云管云控給用戶一個比較輕量的客戶端，同時又可以靈活地部署。

我們只有通過高可見，才能發(fā)現(xiàn)黑客入侵內網(wǎng)整個過程的痕跡。比如黑客入侵過程當中會在我們的出口和終端還有網(wǎng)絡、服務器上面留下痕跡。比如利用釣魚軟件或者網(wǎng)站投毒的時候會在網(wǎng)關留下惡意代碼痕跡，員工在終端上面打開惡意文件，觸發(fā)shellcode執(zhí)行，也會在終端留下一些痕跡，然后shellcode去云端拉取后門，后門通過HTTP/DNS/ICMP等隧道的方式進行遠控，也會在網(wǎng)絡上面留下痕跡，然后通過拿下的PC又進行層層的內部滲透，通過掃描入侵關鍵終端和服務器，比如滲透AD、OA系統(tǒng)等等，也會在服務器上面留下痕跡。

要想發(fā)現(xiàn)這些痕跡必須要有高可見的能力，具體來說高可見包括兩個維度：首先是數(shù)據(jù)的廣度，就是對數(shù)據(jù)安全分析的種類和維度夠不夠廣。騰訊內網(wǎng)每天搜集的安全數(shù)據(jù)大概是四百五十億左右，包括兩百多個數(shù)據(jù)維度，比如我們的應用帳號、互聯(lián)網(wǎng)出口終端。其次是數(shù)據(jù)的深度，比如剛才說的中國的職業(yè)黑客使用的這種木馬是沒有文件落地的，就是全內存運作，這個時候如果檢測還是停留在文件級別是沒有辦法發(fā)現(xiàn)它的，需要把我們的檢測下沉到API，看一看內存當中怎么進行系統(tǒng)調用的。

比如Xshell后門，網(wǎng)絡層面采用的是DNS的隧道通信，一般企業(yè)對HTTP、TCP都會監(jiān)控得比較好，但基本上認為DNS udp53的通訊請求還是合法的訪問，沒有這方面的監(jiān)控規(guī)則，所以黑客利用這種工具和我們對抗的時候，我們是沒有辦法發(fā)現(xiàn)它的。

再如Powershell后門在13年被Fireeye曝光以后，這種后門目前非常流行，越來越被黑客青睞，因為它的能力非常強大，同時又是Windows的合法組件，我們的殺毒軟件沒有辦法通過簽名、文件檢查這種方式識別，所以我們可能要看Powershell執(zhí)行的日志和函數(shù)，要看它調用的系統(tǒng)函數(shù)有哪些。

有了這些數(shù)據(jù)的深度和廣度分析，我們需要通過一種可視化的能力把風險推送給安全人員，安全人員可以知道出口出現(xiàn)了什么攻擊事件，有多少掃描在內網(wǎng)發(fā)生，然后把這種風險分成高中低的級別有效地處置。可視化背后是需要一系列強大的后臺支撐，比如大數(shù)據(jù)計算的能力、機器學習的能力等等。可視化還可以幫助我們安全決策者們第一時間知道我們面臨的主要挑戰(zhàn)都有哪些，是否需要追加資源輔助進行安全決策。

具體到終端層面，做到什么程度才算是高可見能力達到了呢？我們就拿一個APT木馬入侵的過程來分析，一般分為三個步驟：首先是要進來撬門，然后通過完整的后門站穩(wěn)腳跟，最后就是竊密。進來的時候無非使用兩種手段：一種就是通過應用和系統(tǒng)的漏洞，比如常見的IE的UAF漏洞，或者系統(tǒng)的遠程代碼執(zhí)行漏洞，另一種可能會利用漏洞的觸發(fā)技術，比如堆噴或者ROP等，結合這兩種技術可以達到執(zhí)行黑客指定的shellcode執(zhí)行。其實，漏洞攻擊時內存里面是有痕跡可尋的，比如堆噴可能會導致內存空間急劇增長。行業(yè)當中已經(jīng)有很多成熟的工具幫助我們應對這種漏洞利用的攻擊，比如微軟的EMET、最新的Windows10專業(yè)版集成了exploit Guard組件，加上企業(yè)及時打補丁，百分之九十的漏洞攻擊在這個階段是可以被杜絕的。

到了第二個階段，執(zhí)行shellcode后，shellcode只是一個敲門磚，執(zhí)行后無非為了讓終端感染一個完整的后門木馬，常見的方式有2種，1通過互聯(lián)網(wǎng)下載一個完整木馬，比如通過powershell WebClient拉取一個遠端木馬下載，2直接釋放一個小馬、比如偽裝成txt的一個dll或者exe，這個dll或者exe被拉起來后，會進行explorer等注入、提權、進一步下載更多攻擊模塊等，變成一個完整后門。這個過程，完全在內存中進行，我們就需要監(jiān)控Powershell的執(zhí)行、DLL拉起、注入行為、文件釋放等API行為。

?

第三個階段，后門竊密，一個完整后門，會具備多種竊密能力，一個后門具備密碼、剪貼板、cookie、鍵盤等多類竊密能力，我們統(tǒng)計過，大約需要40-60個底層API才能完整的監(jiān)控常見的竊密行為。

?

?木馬會有多種不同組合技巧來進行漏洞利用和提權駐留，一旦完成，它肯定會原形畢露做壞事，就是進行竊密，所以竊密監(jiān)控是非常重要的。

舉個竊密的例子：行業(yè)非常流行一款企黑客工具，mimikatz，可以在終端竊取多種類型的票據(jù)，比如密碼、ntlmhash、Kerberos、AESkey等等，甚至可以通過這些竊取的票據(jù)，直接入侵AD，獲取域控權限，我們看一個典型的PTH攻擊，在API層面的表現(xiàn)：

??? 1、提權：需要獲取系統(tǒng)權限，或者精確說需要一個debug權限，才可以對核心系統(tǒng)進程進行訪問

?? 2、獲取憑據(jù)：通過以高權限的方式訪問lsass進程，用戶的票據(jù)存在這個進程的內存空間，調用系統(tǒng)解密函數(shù)，可以竊取本機和域上的用戶票據(jù)，票據(jù)就是訪問各種資源的憑據(jù)

?? 3、偽造身份：通過獲取的ntlmhash、AES key等票據(jù)，可以進行偽造身份登錄，比如偽造成pc管理員甚至域控管理員登錄，然后可以直接入侵AD

如果我們要監(jiān)控這種pth竊密行為，就需要監(jiān)控sedebugprivilege的提權行為，高權限訪問lsass進程的行為，以及模擬用戶登錄的行為。

?

話說回來，正常的進程也會有這種竊密的行為，IE瀏覽器也會監(jiān)控用戶的鍵盤輸入，包括用戶安全軟件也會注入系統(tǒng)進程，應該怎么辦呢？需要降低誤報，我們的做法就是類似于評分模型。

我們會實時監(jiān)控一個程序的行為，累積一定的信用評分，在一個程序實施了多個高危操作后，拉響警報。比如一個進程可以有網(wǎng)路訪問，也可以在特定情況下獲取高權限，甚至來獲取鍵盤記錄，但只要他又做了明文密碼盜取，這個信用評分立即達到報警閥值，標識成惡意程序。綜合這些來看可以降低誤報，同時還要考慮父進程、子進程，把整個進程樹一起串起來進行評分，基本上可以把誤報降到最低，分析維度也是以天、月這樣的跨度。

通過上面的分析，這樣就比較自然的可以得出一個分層、分時的檢測體系：

?? 1、基于已知特征的、單維度的檢測：比如hash、pe、證書、c2、url等，這些檢測引擎可以有多個來源，比如騰訊自有的電腦管家、業(yè)界的多引擎、管家的TAV、包括情報廠商提供的IOC，此類檢測通過單一維度就可以報警，可以發(fā)現(xiàn)絕大多數(shù)的廣譜木馬，比如流行的挖礦、勒索病毒等；黑客的繞過成本很低，隨意編譯一行代碼就搞定了，所以對于一些高端入侵，這種情況很難對抗；

?? 2、基于行為特征，多維度的檢測：分析多個維度的數(shù)據(jù)和行為，綜合做一個評分報警。比如對讀寫敏感位置的注冊表和文件、加載異常DLL、竊密API、異常的內存行為等進行監(jiān)控，可以發(fā)現(xiàn)繞過殺軟的一些高級樣本，變種后門，比如我們內網(wǎng)會發(fā)現(xiàn)一些隱藏很深的挖礦后門（以插件形式存在），甚至一些黑客工具比如前面說的mimikatz等；

?? 3、最后是基于大數(shù)據(jù)分析的上下文、時間窗的行為評分：這部分對潛伏很久、動作很小的軍工木馬比較有效，這些木馬不是落地就進行各種破壞、敏感操作，而是動靜很小，甚至不做操作，只是搜集上報信息，我們遇到過進入內網(wǎng)潛伏一周后，才觸發(fā)執(zhí)行遠控上線，而且是通過釋放多個作惡文件來進行，所以需要關聯(lián)家族、父子關系等才可以揪住。

針對情報我們是怎么看的？我們認為情報可以幫助企業(yè)加速應對行業(yè)當中出現(xiàn)的新型病毒布防速度和能力，比如我們所在的行業(yè)，如果黑客拿了一個新型的木馬病毒攻擊同行，這個時候情報供應商監(jiān)控到了以后可以通過情報共享的方式同步給我們，內網(wǎng)再通過一系列的聯(lián)動下發(fā)給終端的監(jiān)控，或者下放到網(wǎng)絡和出口防火墻，直接提前布防，如果黑客再拿同樣工具攻擊我們，我們已經(jīng)具備了監(jiān)控和防御的能力。

我們認為一個好的情報是有三個方面的特性：情報要是比較開放的，因為騰訊經(jīng)過這么多年的建設，形成了以自研產(chǎn)品為主的安防體系，如果情報還是一個黑盒產(chǎn)品沒有辦法和騰訊的安防體系有效對接，進行工程化和自動化融合的話，我們就用不了。我們認為情報應該是比較高效的，給到騰訊的情報應該是在十五分鐘到三十分鐘反映出來這個行業(yè)最新的病毒和木馬，如果超過這個時間的話就沒有多大價值了，因為騰訊往往是新型病毒木馬攻擊的第一梯隊。我們認為情報的質量非常重要，情報可以有效反映比較高的威脅，不能有太多的誤報，我們會有情報的評測庫，這里面包括了最新的APT家族，還有一些最新的漏洞利用工具，可以說是少數(shù)人才有的庫，如果情報對這個庫的檢出率比較高，我們可能會認為它的質量還不錯。

有了情報，我們還需要依靠一個強有力的運營來保障。打個比方，一個平民拿著一把裝配精良的狙擊槍是沒有辦法打出職業(yè)軍人那樣百步穿楊、千里之外取敵人性命的效果，關鍵就是看這把狙擊槍怎么用好。

比如出現(xiàn)了一個淪陷指標IOC的報警，我們的團隊首先找到報警的機器負責人問是不是他做的，如果確定是他做的肯定是誤報，因為騰訊內部有很多安全人員在做分析，同時會有一些安全類的文章提到類似的樣本，這些都會觸發(fā)情報的報警。我們要排除這部分誤報，然后就要分析訪問對應的進程，看里面是不是有些惡意DLL的掛載，是否有shellcode等，只有做到這樣的分析我們才能定性，這個IOC指標的報警到底是誤報還是入侵。

極速處置，大家看到我這里列的處置時間比較緊，5、15、30分鐘，因為我們遇到職業(yè)黑客可以在三十分鐘內把一臺PC所有的敏感信息拿到，包括密碼、內網(wǎng)IP，可以在一百二十分鐘內通過拿到的信息對多臺PC和服務器入侵，然后把服務器的信息打包出去。經(jīng)過這么多年的建設，騰訊可以做到五分鐘以內把全網(wǎng)的安全數(shù)據(jù)上報，十五分鐘以內通過大數(shù)據(jù)的分析和海量的專家規(guī)則把風險識別出來，三十分鐘以內，通過各種平臺工具讓安全人員把風險第一時間隔離，這也為后面的一兩天爭取更多的時間，可以分析黑客是怎么進來的，偷了什么東西，我們的對手是誰等等。

我們還有一個比較高的要求，就是對內網(wǎng)終端有一個比較高的覆蓋率和策略執(zhí)行率，騰訊內網(wǎng)有十萬臺的終端，百分之一的策略沒有覆蓋到的話意味著一千臺機器都是監(jiān)控盲點，我們這兩年的工作重點就是提升零點一個百分點，這樣才能跟黑客對抗的過程當中做到全面的普查和清理。

通過云管云控的方式實現(xiàn)輕量級的客戶端，簡單來說客戶端只做兩個事情：一個是數(shù)據(jù)上報，一個是云端的策略執(zhí)行，這跟傳統(tǒng)的安全客戶端不太一樣，傳統(tǒng)安全客戶端可能是本地的安全檢查執(zhí)行完了才會上報。

所以，我們的客戶端就比較輕比較快，可以做到三秒鐘以內讓我們的機器從外面接入進來，運行的過程當中只占CPU的百分之一，所以我們的員工是感覺不到終端上有這樣的客戶端在運行。

另一個是把計算量比較大、數(shù)據(jù)量比較大的胖的DATA放到私有云進行深度檢測和態(tài)勢感知，然后把數(shù)據(jù)量和計算量比較小的DATA放在公有云，這樣可以實現(xiàn)靈活的架構部署，同時也照顧了用戶體驗。

騰訊通過大概十五年的安全建設經(jīng)驗沉淀出了比較重要的四款產(chǎn)品：

1、iOA，騰訊內網(wǎng)的PC上面都安裝了IOA，它可以支持Windows和Mac，支持終端的防黑加固和APT入侵檢測。同時可以和殺毒軟件管家進行有效聯(lián)動，當然也可以跟其他的殺軟聯(lián)動；iOA也是國內首家自研支持MAC入域、安全加固和入侵檢測的客戶端，可以比較好地滿足企業(yè)員工的自帶Mac設備辦公的需求。

2、我們還有一款MDM的產(chǎn)品ITlogin，它是以SDK的形式嵌入到移動辦公APP當中，它不需要安裝高權限的證書，所以企業(yè)的管理者不必擔心員工有這種隱私的顧慮，每天通過ITlogin登錄的設備有十五萬臺，它除了可以進行統(tǒng)一的權限驗證外，還可以對設備進行遠程管理，比如設備丟了以后可以把上面的企業(yè)數(shù)據(jù)遠程抹掉，同時回收用戶的登錄權限，保護企業(yè)數(shù)據(jù)不丟失。

3、第三款是企業(yè)云盤，為了公司資料的安全，我們推出企業(yè)云盤，即滿足員工云存儲的需求，也可以滿足員工在職場內、外，在PC和移動端進行便利獲取云端工作文件的需求。

4、在騰訊內部有一個具備豐富安全大數(shù)據(jù)的云端，叫TSOC。它收集企業(yè)終端、內部網(wǎng)絡、應用，以及行為數(shù)據(jù)，數(shù)據(jù)進到TSOC以后，里面有對抗模式、專家規(guī)則、機器學習，發(fā)現(xiàn)問題和風險。通過態(tài)勢感知將我們的風險可視化，第一時間給到企業(yè)安全人員去收斂風險，幫助企業(yè)高層管理者對安全風險進行決策。

我們認為騰訊這4款產(chǎn)品對騰訊的企業(yè)安全，有非常重要的意義。

?

這是我們的iOA產(chǎn)品主頁和公眾號，有興趣的同學可以訪問一下。

?

謝謝大家。

?

?

總結

以上是生活随笔為你收集整理的威胁情报大会直击 | 企业IT部王森：腾讯企业终端安全管理最佳实践的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。