在誕生之初，零信任理念被譽(yù)為“可以解決一切安全問(wèn)題”的終極手段。隨著近幾年從理念向?qū)崙?zhàn)演進(jìn)，基于零信任理念的安全工具和防御思路逐步完整，在攻防場(chǎng)景中的實(shí)戰(zhàn)價(jià)值也逐漸脫穎而出。

在攻防演練中，由于涉及到的企業(yè)越來(lái)越多，業(yè)務(wù)形態(tài)越來(lái)越多元化、復(fù)雜化，因此對(duì)“實(shí)戰(zhàn)”的考量至關(guān)重要。部分企業(yè)采取“臨時(shí)抱佛腳”的心態(tài)，拼湊一支防守隊(duì)伍希望蒙混過(guò)關(guān)，而老舊的VPN、傳統(tǒng)殺毒等安全手段已經(jīng)難以抵御各類(lèi)高級(jí)安全威脅的進(jìn)攻，在實(shí)戰(zhàn)中輕易就被攻方打穿。

騰訊iOA是基于騰訊內(nèi)部實(shí)踐與零信任思想的全模塊自研終端安全一體化產(chǎn)品，從最早的零信任接入（ZTNA）、終端保護(hù)（EPP）、終端管理（UEM）開(kāi)始，騰訊iOA就堅(jiān)定的在一個(gè)客戶端上持續(xù)構(gòu)建新的安全能力，為了幫助用戶在攻防演練場(chǎng)景解決更多的安全問(wèn)題，讓iOA真正成為用戶在終端安全側(cè)的有力抓手。騰訊iOA重磅推出了終端檢測(cè)與響應(yīng)（EDR）模塊，同時(shí)提供了騰訊安全專家在線協(xié)助分析服務(wù)，讓安全建設(shè)行之有效，落地有聲。

在攻防演練場(chǎng)景中，騰訊iOA主要通過(guò)兩個(gè)場(chǎng)景為用戶提供終端側(cè)的安全能力，主要是終端入侵對(duì)抗場(chǎng)景和業(yè)務(wù)安全接入場(chǎng)景。

攻防演練之終端入侵對(duì)抗場(chǎng)景

場(chǎng)景一：釣魚(yú)攻擊防防護(hù)場(chǎng)景

在實(shí)戰(zhàn)攻防演練中，釣魚(yú)攻擊是攻擊隊(duì)突破防守最常用的攻擊手法之一，這類(lèi)攻擊手段往往隱藏在日常辦公流程中，利用人性的弱點(diǎn)誘導(dǎo)用戶上鉤，這也導(dǎo)致傳統(tǒng)安全產(chǎn)品難以從高頻的辦公事件中識(shí)別出釣魚(yú)攻擊。

騰訊iOA-EDR可針對(duì)釣魚(yú)入侵路線實(shí)現(xiàn)全鏈路染色追蹤，在釣魚(yú)樣本投遞階段和外聯(lián)通信階段實(shí)現(xiàn)首尾關(guān)聯(lián)行為分析，最大程度識(shí)別和阻攔釣魚(yú)攻擊。

●騰訊iOA-EDR可對(duì)風(fēng)險(xiǎn)渠道落地文件進(jìn)行外聯(lián)監(jiān)測(cè)和關(guān)聯(lián)分析，利用iOA內(nèi)置的釣魚(yú)樣本檢測(cè)引擎，專項(xiàng)識(shí)別偽裝后的釣魚(yú)文件，從傳輸渠道和傳輸內(nèi)容上進(jìn)行雙重識(shí)別，進(jìn)一步提升檢測(cè)效果，同時(shí)利用iOA的主動(dòng)防御能力，對(duì)進(jìn)程鏈和內(nèi)存進(jìn)行持續(xù)監(jiān)測(cè)，實(shí)現(xiàn)對(duì)釣魚(yú)攻擊行為的精準(zhǔn)攔截。幫助用戶在“看得見(jiàn)”的同時(shí)也能“防得住”。

●針對(duì)橫移防護(hù)，騰訊iOA可在事前進(jìn)行安全基線加固，事中進(jìn)行可疑行為審計(jì)和阻斷，提供了超過(guò)13種域滲透攻擊方式攔截，12種遠(yuǎn)程命令攻擊方式攔截，6種協(xié)議爆破防護(hù)能力，及時(shí)阻斷非法橫移行為，保護(hù)核心資產(chǎn)和數(shù)據(jù)安全。

場(chǎng)景二：高級(jí)威脅檢測(cè)場(chǎng)景

伴隨著網(wǎng)絡(luò)攻擊技術(shù)的持續(xù)發(fā)展，0Day漏洞、無(wú)文件攻擊、基于內(nèi)存的攻擊等高級(jí)攻擊手段變得愈發(fā)常見(jiàn)，這類(lèi)攻擊給傳統(tǒng)的終端防護(hù)軟件帶來(lái)了極大的挑戰(zhàn)，大量的遠(yuǎn)控類(lèi)無(wú)文件木馬想方設(shè)法隱藏自己，本地落盤(pán)的惡意文件極少，真正的惡意行為大多放在在內(nèi)存中執(zhí)行，靜態(tài)的檢測(cè)引擎難以識(shí)別到這類(lèi)攻擊行為，因此也給參與攻防演練的企業(yè)帶來(lái)了諸多挑戰(zhàn)。

依托騰訊安全多年來(lái)的惡意樣本和威脅情報(bào)積累，騰訊iOA-EDR模塊提供了終端行為采集、威脅狩獵、事件調(diào)查、告警溯源、規(guī)則運(yùn)營(yíng)等多項(xiàng)安全能力，完整覆蓋ATT&CK攻擊鏈，快速發(fā)現(xiàn)各類(lèi)高級(jí)安全威脅。

在實(shí)戰(zhàn)攻防中，騰訊iOA-EDR可針對(duì)魚(yú)叉攻擊、APT29、APT32、MuddyWater等APT攻擊鏈進(jìn)行精準(zhǔn)檢測(cè)。同時(shí)iOA-EDR配套了完整的安全事件調(diào)查、溯源、響應(yīng)體系，可以實(shí)現(xiàn)全景威脅溯源（進(jìn)程/文件/網(wǎng)絡(luò)行為鏈路聚合展示），極大降低強(qiáng)安全運(yùn)營(yíng)能力產(chǎn)品的使用門(mén)檻，保障了攻防期間企業(yè)安全運(yùn)營(yíng)的靈活性和效率。

場(chǎng)景三：供應(yīng)鏈攻擊/分支安全加固場(chǎng)景

和大型企業(yè)的集團(tuán)總部相比，供應(yīng)鏈和分支往往是網(wǎng)絡(luò)安全建設(shè)的短板所在，供應(yīng)鏈和分支的網(wǎng)絡(luò)安全專業(yè)人才相對(duì)更少，被攻擊者突破成為跳板的可能性更大。近年來(lái)，越來(lái)越多的攻擊者通過(guò)集團(tuán)分支/供應(yīng)鏈進(jìn)行突破，讓防守者苦不堪言。

為提升企業(yè)針對(duì)供應(yīng)鏈/分支場(chǎng)景的安全防護(hù)能力，騰訊iOA可提供輕量化終端安全方案（mini-EDR），以輕量化無(wú)感的產(chǎn)品形態(tài)，在不影響供應(yīng)鏈/分支現(xiàn)有業(yè)務(wù)穩(wěn)定運(yùn)行的情況下，幫企業(yè)管好供應(yīng)鏈/分支終端。

●可提供獨(dú)立的輕量化 EDR 客戶端，安裝包僅25MB 大小，且無(wú)客戶端窗口界面。

●EDR在終端僅做輕量化數(shù)據(jù)采集，即使用戶已部署第三方殺毒軟件，也不會(huì)與之產(chǎn)生沖突或性能搶占，可做到與殺毒軟件零風(fēng)險(xiǎn)共存使用。

●通過(guò)iOA-EDR模塊，可實(shí)現(xiàn)對(duì)終端威脅行為持續(xù)的風(fēng)險(xiǎn)檢測(cè)與及時(shí)的風(fēng)險(xiǎn)響應(yīng)。同時(shí)結(jié)合多終端關(guān)聯(lián)分析，可視化展示攻擊鏈條，及時(shí)發(fā)現(xiàn)惡意攻擊行為并進(jìn)行溯源和阻斷。確保針對(duì)供應(yīng)鏈和分支的入侵行為無(wú)處遁形。

●結(jié)合騰訊專家的托管檢測(cè)與響應(yīng) EMDR 服務(wù)，無(wú)需擔(dān)心現(xiàn)有運(yùn)營(yíng)人力無(wú)法支撐分支和供應(yīng)鏈的BYOD設(shè)備的威脅運(yùn)營(yíng)工作，由騰訊安全專家為企業(yè)7*24小時(shí)關(guān)注針對(duì)供應(yīng)鏈/分支終端的入侵風(fēng)險(xiǎn)。

攻防演練之業(yè)務(wù)安全接入場(chǎng)景

在實(shí)戰(zhàn)攻防演練中，大量用戶采用 VPN 等安全產(chǎn)品對(duì)互聯(lián)網(wǎng)業(yè)務(wù)的暴露面進(jìn)行收斂，但傳統(tǒng) VPN 產(chǎn)品需要對(duì)互聯(lián)網(wǎng)暴露自身端口，容易被攻擊者利用 0day漏洞、密碼爆破等方式正面突破，同時(shí)傳統(tǒng)的 VPN 產(chǎn)品檢測(cè)能力較弱，攻擊者一旦成功盜用 VPN 賬戶，進(jìn)入內(nèi)網(wǎng)后即可快速橫移至靶標(biāo)系統(tǒng)，進(jìn)而造成防守方失分。

騰訊 iOA 具備零信任接入模塊，相比傳統(tǒng) VPN，提供了更強(qiáng)大的動(dòng)態(tài)訪問(wèn)控制能力和單包授權(quán) SPA 方案，結(jié)合騰訊iOA 企微網(wǎng)關(guān)，在實(shí)戰(zhàn)攻防期間，可以全面收縮互聯(lián)網(wǎng)業(yè)務(wù)暴露面。

（1）通過(guò)單包授權(quán) SPA 方案，可以進(jìn)一步對(duì)零信任設(shè)備自身的暴露面進(jìn)行收斂，達(dá)到“零端口暴露”的方案效果，即使攻擊者手握強(qiáng)大的0Day 漏洞，也難以突破 SPA 防線。

（2）與此同時(shí)，騰訊 iOA 還可以通過(guò)零信任接入、安全管控、安全檢測(cè)與響應(yīng) EDR 模塊之間的相互聯(lián)動(dòng)，構(gòu)建靈活的訪問(wèn)控制引擎，實(shí)時(shí)驗(yàn)證用戶的可信度，確保只有合法用戶才能安全訪問(wèn)業(yè)務(wù)。

（3）結(jié)合騰訊 iOA 企微網(wǎng)關(guān)，能夠提供企業(yè)微信工作臺(tái)業(yè)務(wù)防護(hù)能力，獨(dú)家“0應(yīng)用改造”能力及“用戶無(wú)感”接入方案，能夠助力企業(yè)客戶在攻防演練期間快速收斂應(yīng)用暴露面，實(shí)現(xiàn)安全與效率的協(xié)同，為企業(yè)提供自建內(nèi)網(wǎng)應(yīng)用在外網(wǎng)安全訪問(wèn)的能力。

騰訊iOA在實(shí)戰(zhàn)攻防中的三大核心能力

在實(shí)戰(zhàn)攻防中，騰訊 iOA-EDR圍繞安全效果、輕量化構(gòu)建了三大核心能力：

1、精準(zhǔn)檢測(cè)

騰訊 iOA-EDR 具備包括終端行為采集、威脅告警、告警溯源、事件調(diào)查、威脅響應(yīng)和威脅狩獵等功能，可靈活自定義檢測(cè)和告警規(guī)則，支持多終端行為關(guān)聯(lián)分析能力，數(shù)據(jù)可見(jiàn)性強(qiáng)。可幫助用戶發(fā)現(xiàn)更多惡意行為，同時(shí)將分散長(zhǎng)尾的告警，智能歸并重組為少量的安全事件，降低運(yùn)營(yíng)門(mén)檻和提升運(yùn)營(yíng)效率。值得一提的是，在賽可達(dá)實(shí)驗(yàn)室近期發(fā)布的 EDR 檢測(cè)報(bào)告中，騰訊 iOA-EDR 能力全國(guó)第一，威脅可見(jiàn)性達(dá)到了 100%！

2、輕量落地

考慮到大部分參與實(shí)戰(zhàn)攻防演練的用戶基本已部署了終端殺毒產(chǎn)品，為了在提升安全能力的同時(shí)，與現(xiàn)有終端安全體系無(wú)縫兼容，騰訊 iOA-EDR 可提供輕量化的Mini-EDR客戶端，在無(wú)需替換現(xiàn)有殺毒軟件的同時(shí)，對(duì)傳統(tǒng)殺毒進(jìn)行能力補(bǔ)齊，對(duì)現(xiàn)有安全體系的影響降至最低。 Mini-EDR安裝包大小僅為 25MB，可實(shí)現(xiàn)員工無(wú)感知安裝和使用，和現(xiàn)有終端安全體系形成耦合對(duì)接，讓企業(yè)推廣零障礙！

3、服務(wù)協(xié)同

安全攻防的本質(zhì)是人與人之間的對(duì)抗，iOA-EDR 作為一套強(qiáng)有力的終端安全工具，為了達(dá)到最佳的使用效果，騰訊安全還配套了終端托管檢測(cè)與響應(yīng)服務(wù)（EMDR），通過(guò)安全專家和安全工具的協(xié)同配合，讓安全效果最大化呈現(xiàn)！

●事前，由騰訊安全專家協(xié)助用戶進(jìn)行規(guī)則巡檢和運(yùn)營(yíng)優(yōu)化，也可根據(jù)用戶需求開(kāi)展釣魚(yú)演練服務(wù)；

●事中，進(jìn)行 7*24h 的威脅監(jiān)控和威脅研判服務(wù)，幫助用戶跟蹤溯源和快速處置，同時(shí)還會(huì)根據(jù)騰訊安全所積累的 APT 攻擊情報(bào)，協(xié)助用戶對(duì)未知威脅進(jìn)行持續(xù)的威脅狩獵；

●事后，幫助用戶按月/季度輸出企微安全分析報(bào)告，幫助用戶看清企業(yè)內(nèi)部安全問(wèn)題，為安全決策提供強(qiáng)有力的數(shù)據(jù)支撐。

——重保季，騰訊iOA優(yōu)惠來(lái)啦！——

福利 1：現(xiàn)在申請(qǐng) iOA EDR 模塊，即可免費(fèi)試用 3 個(gè)月！

福利 2：訂閱采購(gòu)，即贈(zèng)送一年專家線上運(yùn)營(yíng)服務(wù)（EMDR），由騰訊安全在線協(xié)助分析處置安全風(fēng)險(xiǎn)！

免責(zé)聲明：市場(chǎng)有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買(mǎi)賣(mài)依據(jù)。

關(guān)鍵詞：