腾讯安全在网络安全方面是怎么做的?

近些年，安全新形势在各个领域都有不同的变化趋势，例如APT团伙更加活跃，Cobalt Strike类的武器更泛滥，终端和移动设备类型越来多多，企业边界越来越模糊，云上业务爆发式增长等。面对这些新形势给安全建设和运营带来了新的命题和挑战，腾讯安全聚焦在大数据、行为分析、应急响应、反向校验这四个方向对TSOC能力进行重点建设。

大数据
第一个方向是构建安全大数据，数据能够真实反映安全威胁和风险。TSOC通过各种senser采集的安全数据有广度和深度两个度量维度。广度上需要全覆盖所保护资产，深度上则需要和攻击者保持同一个深度或者更深，否则就会出现看不到已有攻击情况。这点是往往比较考验对攻击视角手法和技术的理解，举个例子，高级木马的注入和驻留使用白进程注入、shellcode和无内存化，上线外联使用DNS隧道和https隧道，数据深度不够，就看不到这些异常。
TSOC每日需分析处理终端，网络，系统和应用千亿条，这样的量级，已经不是ES级别的工具能够支持的了，所以很多年前，腾讯安全就主动和腾讯的大数据平台团队合作，基于Hadoop、HDFS等大数据平台、自研索引和分析引擎。

行为分析
第二个方向是构建行为分析，行为分析是区别正常和异常的规则模型。在早期阶段，规则模型是依赖有实战经验的安全专家进行编写的，近年随着行业ATTCK攻击手法模型的完善，能很好的给与专家规则完善性和有效性的指导。
专家规则可以是针对单行为的，也可以是针对多行为的，甚至是行为链的，这就需要TSOC的分析引擎除了匹配规则的能力外，还需要有关联的能力，比如基于Flink。
但是，专家规则有局限的地方，例如有些攻击手法场景的对抗规则是动态的不能明确的写出来， 另外有效检出率和误报率之间不能很好的平衡。这就需要把安全场景问题转化为安全数据的机器学习的问题，同时需要TSOC具备有监督，无监督，统计建模，深度学习的分析能力。

应急响应
第第三个方向是构建有效及时的应急响应体系，以前腾讯安全是专业的安全人员借助TSOC中的各种工具来手工操作风险发现、止损、定损、溯源、加固和教育。虽然有工具的辅助，但是高效高质量的结果依赖操作人员的专业性。
为了保障整个应急响应体系的有效性及时性，腾讯安全在TSOC中借助SOAR的思想，对应急响应环节中的动作进行拆解，然后通过模板根据告警类型进行动作的自动编排，达到了面向非专业安全人员的效果。

反向校验
第四个方向是构建TSOC效果和能力的反向校验，以前防守方红队依赖事件和自身的经验来评估TSOC的检测防御效果和能力，这种驱动方式整体节奏较慢，也很难站在攻击者角度思考问题。
现在腾讯安全组建和联合共建攻击方蓝队，红蓝对抗，以攻促防来进行驱动。蓝队以攻击方视角，会从防守方红队防守薄弱或是忽视的地方进行突破，比如近源抵近，无线网络，IOT攻击等，边缘突破，迂回作战，避开正面。而防守方红队则需要拒绝被动，反客为主，采用高危防御思想。

　　【云巴巴严选云】作为腾讯的金牌代理商，携手腾讯安全，搭配出了提供了包括等保2.0、等保3.0基础方案、等保3.0高级方案，还有包括网商\电商加固方案在内覆盖各行各业的网络安全实施方案。一站式解决企业上云的安全问题，保障业务稳定进行。

 

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！