1、大型攻防演练中的零信任 持安科技 何艺关于我关于我何艺何艺 持安科技持安科技 创始人兼创始人兼CEOCEO17年甲方安全经验，原完美世界资深安全总监聚焦企业安全建设、安全架构、零信任、安全分析和响应等领域2015年开始研究和实施零信任，零信任产业标准工作组专家、CAS云安全联盟专家、零信任认证CZTP专家组、参与了零信任产业标准和国标编写、零信任认证体系培训授课2021年开始创业，专注零信任领域！Cybersecurity Ventures 预计，未来五年全球网络犯罪造成的损失，将以每年 15%的速度增长，到 2025 年达到每年 10.5 万亿美元，高于2015 年的 3 万亿美元。COVI

2、D-19 后，网络暴露面激增，到 2023 年，地球上的联网设备将是人类的 3 倍。2022 年，我们周围的世界将嵌入 1 万亿个联网传感器，20 年内将达到 45 万亿个。2021年，网络犯罪在全球造成总计6 万亿美元的损失。高净值企业可能成为网络攻击的目标，需提升运营者网络安全事件应急处置能力，完善应急处置流程和工作机制，提升网络安全运营综合能力水平。攻防演练背景攻防演练背景趋势：企业需要新的安全防御思路来扭转被动防守的局面2001820202017针对指定目标业务系统进行模拟定向攻击，检验防守企业安全防御能力规定动作进行检查，完成网络应急响应预案，定期做演练即为合格

3、允许攻击队采用社会工程学攻击、0Day漏洞利用等流行黑客攻击手段不在指定攻击目标及时间，不限定攻击手段，全面检验企业应对真实攻击能力重点检验云计算、大数据、物联网等新型技术平台的安全防御能力允许攻击队采用更加接近实战的攻击技战术，检验防守方的应急响应能力现状与发展趋势现状与发展趋势攻击模型 Cyber-Kill-Chain攻击杀伤链APTAPT的攻击方式的攻击方式攻击分析攻击分析攻击阶段攻击前期搜集情报，寻找突破口、建立突破据点攻击中期横向移动攻击内网，进攻目标系统攻击后期删除日志及攻击工具、建立持久控制权安装植入通信控制目标达成侦查追踪突防利用荷载投递武器构建攻击分析攻击分析实战攻防演练与A

4、PT攻击的差别实战攻防演练 防守方：关键信息基础设施运营者；攻击方：攻击手法与实现方式部分受限，一般不可对企业重要业务产生严重影响；时间与攻击范围：有明确的时间限制，有明确的靶标系统。APT攻击 防守方：有潜在利益价值的对象 攻击方：攻击手法多样，不受任何限制，企业防线一旦被突破，损失不可估量；时间与攻击范围：任一时间、任一产品都可能收到攻击。零信任模型是一种新的安全防护思想，它删除了默认的信任，对全网业务系统的请求实施严格的身份和设备进行强化认证，并对其访问行为进行实时动态评估。默认“信任”所有内部网络流量，对内部网络不做任何限制传统防护方式传统防护方式零信任防护方式零信任防护方式 防火墙等

5、安全设备可以阻断来自外网的攻击，对内网失陷中断防护防御能力有限 在零信任体中，没有默认的“信任”，所有请求都需要经过零信任网关，进行身份确认与安全评估 一旦内网中断被黑客入侵，零信任网关利用动态决策引擎可以自动快速进行拦截零信任的特点持安零信任平台架构解决复杂网络下的办公安全问题微服务、模块化的原生零信任架构独立部署模式，支持上云基于攻击链路的零信任的防护理念安全评估收敛暴露面 掌握其企业自身暴漏在互联网的系统、端口、后台管理系统等信息；采取必要的安全措施对业务系统暴漏面进行收敛；资产梳理针对性防御 全面盘点业务资产，并对根据系统的重要性划分出防守工作重点；针对重点系统进行梳理和加固，并对加固

6、效果进行验证；主动防御多维防攻击 基于零信任思想安全防御框架，强制提升员工安全意识，实现业务系统隐身 从终端、网络、应用、数据多个维度对访问行为进行持续保护攻防演习体系化作战 及时发现多方协同效率及现有安全防御体系的不足，发现问题提前弥补 通过相互配合协同作战，形成体系化作战能力应急响应处置高风险 演练期间配置具有安全事件分析及响应处置能力的安全专家；通过提前制定应急处置预案，发现问题快速响应处理；溯源反制优化防御力 配置经验丰富、思路清晰的溯源人员，基于零信任安全防御平台，进行快速应急响应；快速查清入侵过程，并及时调整防护策略，防止再次入侵。攻击前期攻击中期攻击后期可见可感可控YESNO业务

7、资产“可见”账号资产“可见”设备资产“可见”数据资产“可见”业务请求“可感”内网钓鱼“可感”终端状态“可感”业务数据“可感”是否具有访问权限？是通过系统登录认证？使用的终端设备是否安全？零信任决策引擎判断零信任网关代理转发内网业务系统摒弃传统“围栏式”防御模型，引入新的基于“零信任”思想的方法论对安全防御体系进行优化升级，变“被动”为“主动”以更好应对当前愈发严峻的持续高级威胁攻击。“可见”，防守的前提条件“可感”，防守的必要条件“可控”，防守的保障手段方案设计思路方案设计思路资产梳理n资产清单整理n网络结构调研n资产信息收集调研n资产管理方式调研资产梳理主要通过现场访谈和被动资产扫描方式进行

8、，服务团队对用户业务及资产基本情况进行调研，摸清楚资产的位置和对外提供的服务，以了解服务单位的基本情况，全面排查外网以及办公网的资产暴露面。n 利用自动化扫描工具对防御区域内实施全网扫描，并将扫描结果与访谈清单进行对比，找出未在访谈清单中的资产，避免遗漏 准备阶段：资产梳理以保护业务系统安全和数据安全为核心目标，从安全技术、安全管理两个层面出发，同时贯彻“持续监测、动态分析、快速响应、研判预测”的自适应安全理念，完成产品的布控。演习阶段：产品部控图资产探测账号破解终端钓鱼应用攻击内网扫描1day使用多路攻击核心靶标n 通过零信任网关收缩外网暴露面，将OA、邮箱、客服系统等全部收缩到内网n 零信

9、任网关与身份系统打通。01 收缩攻击面02 终端应用安全03 应用防护04 会话监控n 启用平台的主机蜜罐能力n 加强1day漏洞舆情监测，每日更新漏洞更新脚本n 推动零信任办公端的部署，启用内网应用的的访问。n 接入审计日志，持续运营，将应用的权限进行精细化的控制n 持续会话监控，设置会话白名单n 设置零信任防护规则，定义合法用户允许访问核心靶机或业务系统在实际防守过程中，本方案基于攻击队最佳实践攻击框架设计，参考Cyber Kill Chain以及ATT&CK攻击模型将攻击方的攻击流程进行了总结，结合零信任框架特点，在各阶段实施布控，依照每一个阶段的攻击特点进行防护。演习阶段：产品布控演习

10、阶段：策略调优n通过零信任网关确认业务系统暴漏情况，检查是否有遗漏n根据业务系统类型，针对发现的高危漏洞制定精细化防控策略n评估终端环境状态，完善应用基线和合规基线规则，要求特定人员执行基线自动修复n评估各类型员工账号风险等级，对敏感账号加强认证n对内网风险资产如AD域、IAM、门户系统加强安全防护策略有效性检验与策略调优精细化策略调优风险暴漏面检查弱口令检查高频攻击AD、IAM等保障阶段：专家值守告警监控&策略优化故障处理应急处置&事件上报定期巡检协同溯源7*24 小时 n告警检测&策略优化：具有丰富攻防经验的红队成员参与值守n应急处置&事件上报：一旦出现高危安全事件，值守团队第一时间对事件

11、进行分析，同时利用零信任平台制作修复策略，并及时上报n故障处理：对零信任平台在演习过程中出现的事故进行定位处理，解决企业员工日常使用问题，对复杂将调用公司专家组协同处理，确保演习顺利n定期巡检：对零信任框架涉及的产品进行定期巡检，并填写巡检日志，同时还将配合企业安全团队，对其他相关设备进行巡检n协同溯源：在多方配合溯源时，零信任平台可提供基于身份的完整请求日志，协助其他参演团队进行联合分析、溯源保障阶段：溯源分析病毒、钓鱼邮件、终端木马、入口攻击payload分等暴力破解异地登陆攻击负载（payload）结合告警分析获取攻击队的情报信息，关联攻击行为和过程配合威胁情报及其他安全设备的告警日志，

12、溯源攻击者入侵方式应急处置，清理入侵脚本应用系统告警分析入侵日志告警分析攻击者画像分析溯源攻击者信息确认攻击者身份提交溯源报告在实战攻防演练期间，持安科技技术专家协助主防单位对相应攻击进行溯源分析，同时借助零信任安全平台对业务流量身份化的功能，快速定位事件信息。红/防守方服务办公网红队模拟防守方服务n信息收集n系统渗透测试n靶标系统攻击模拟n现场潜伏社工攻击n物理渗透测试n应急预案n对抗演习n安全检查n团队组建n方案制定持安科技除了提供协助主防单位提供安全防守服务外，还可以为企业客户提供专业化的红/防守方服务服务团队由多名具有实战经验的渗透工程师组成，其中包括前攻击对队长、行业知名安全研究员、

13、资深攻防专家等。采用尽可能贴近实战的方式模拟攻防对抗场景，从而发现有可能被黑客利用的漏洞和防守体系中缺陷，并为企业客户提供可落地的建设性解决方案。关于持安科技北京持安科技是聚焦办公安全领域的新兴网络安全公司，提供面向企业级市场的基于零信任的办公安全产品和解决方案。公司致力于将近20年的甲方方安全经验以及7年零信任实际落地经验，转化为高效、低成本低的一体化安全能力，为客户输出价值，真实解决安全问题。天使轮 数千万2021 5月cPre-A 数千万2022 2月2010年Forrester提出零信任概念2015年完美世界启动零信任项目2019年完美世界零信任项目全面落地2021年持安科技成立，专注零信任2022年持安科技，多个零信任项目落地2014年Google 发布Beyondcorp白皮书2018年ISC安全从零开始，首次引入零信任理念2020年完美世界疫情下零信任远程办公行业最早，7年零信任落地经验Thanks