敲響“兩高一弱”安全警鐘！企業(yè)如何高效實現(xiàn)安全風(fēng)險治理？

近年來，全國公安機關(guān)持續(xù)開展“凈網(wǎng)”系列專項行動，全力打擊黑客違法犯罪，同時以保護網(wǎng)絡(luò)、數(shù)據(jù)和公民個人信息安全為重點，堅持以打促管、以管促治，消除網(wǎng)絡(luò)頑瘴痼疾。公安部強調(diào)，企業(yè)做好網(wǎng)絡(luò)安全工作，首先要嚴格落實主體責(zé)任，按照“誰主管誰負責(zé)、誰運營誰負責(zé)”的要求，對網(wǎng)站進行備案登記和等級保護測評，落實與業(yè)務(wù)重要程度匹配的安全防護措施，扎實做好日常網(wǎng)絡(luò)安全防護工作。

具體而言，公安機關(guān)提示三個方面的注意事項：

●  一是要高度重視“兩高一弱”的問題，即高度重視高危漏洞和高危端口，這是“兩高”、“一弱”就是弱口令這樣的問題，加強防火墻和安全軟件管理，合理分配員工權(quán)限，升級多層次的密碼保護，加強軟件和設(shè)備防護，防止黑客入侵系統(tǒng)

●  二是要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，經(jīng)常組織安全演練，及時發(fā)現(xiàn)、整改網(wǎng)絡(luò)安全隱患漏洞，保障網(wǎng)絡(luò)安全，也把系統(tǒng)進行穩(wěn)定運行。

●  三是要建立風(fēng)險預(yù)警機制，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等安全風(fēng)險，依法留存服務(wù)器日志；發(fā)現(xiàn)被黑客攻擊時，要立刻斷網(wǎng)，保存好現(xiàn)場證據(jù)，及時向公安機關(guān)報案。

對于企業(yè)來說，安全意識、安全體系和安全能力不僅僅是合規(guī)需要，也是成長與發(fā)展的核心議題。對于黑客、黑灰產(chǎn)來說，針對企業(yè)的“兩高一弱”等網(wǎng)絡(luò)安全風(fēng)險隱患發(fā)動攻擊，具有低投入、高收益的攻擊特點。因此，“兩高一弱”一直以來都是困擾眾多企業(yè)的安全短板，也是企業(yè)安全建設(shè)投入是否有效的核心校驗項。

企業(yè)安全建設(shè)的“木桶短板”

“兩高一弱”問題的存在，將使網(wǎng)絡(luò)系統(tǒng)在攻擊者面前“不設(shè)防”，攻擊者可以輕而易舉觸達企業(yè)核心信息系統(tǒng)、后臺“大搞破壞”，危害極大：

●  高危漏洞：指存在嚴重安全風(fēng)險的軟件或系統(tǒng)漏洞，主要為CVE漏洞、攻擊者經(jīng)常攻擊使用的漏洞等，包括但不限于以下遠程代碼執(zhí)行、數(shù)據(jù)泄露、拒絕服務(wù)、提權(quán)攻擊、跨站腳本攻擊等漏洞。

●  高危端口：指存在高危漏洞或者弱口令，同時相關(guān)端口暴露在互聯(lián)網(wǎng)上，易被攻擊者攻擊利用的特定端口，包括但不限于大數(shù)據(jù)系統(tǒng)、數(shù)據(jù)庫等涉及到數(shù)據(jù)安全、易被遠程攻擊利用的、不應(yīng)該暴露在互聯(lián)網(wǎng)上的端口。

●  弱口令：指容易被破解或猜測的密碼，通常因為缺乏足夠的復(fù)雜性和安全性而容易被攻擊者猜解，成為網(wǎng)絡(luò)攻擊的主要突破口。

在攻防場景中，“兩高一弱”所代表的高危隱患也一直是攻擊者的首要突破口，通過“兩高一弱”進行攻擊，往往能夠迅速突破企業(yè)的防線，因此在歷年全國攻防演練數(shù)據(jù)中，以“兩高一弱”隱患為入口打進企業(yè)內(nèi)網(wǎng)的比率一直“遙遙領(lǐng)先”。與此同時，在網(wǎng)絡(luò)安全專項行動中，企業(yè)也往往因為“兩高一弱”隱患被國家網(wǎng)絡(luò)安全通報中心通報。

高危隱患應(yīng)對之法

預(yù)警-巡檢-維護

企業(yè)存在“兩高一弱”隱患，通常是企業(yè)安全建設(shè)意識不強，對高危風(fēng)險和薄弱環(huán)節(jié)缺乏有效的管理維護，具體而言，存在以下風(fēng)險行為： 

●  缺乏維護：由于缺乏日常維護，導(dǎo)致存在大量未被發(fā)現(xiàn)或未被修復(fù)的安全漏洞，這些漏洞給黑客提供了可乘之機，系統(tǒng)容易受到攻擊。

●  高危端口開放：一些系統(tǒng)開放了不必要的高危端口，如135、137、138、139、445、3389等，這些端口容易被黑客利用進行非法訪問和攻擊。

●  賬號口令問題：系統(tǒng)的賬號或口令設(shè)定不合理，賬號自動登錄或登錄密碼過于簡單。

●  數(shù)據(jù)未加密備份：沒有對機要數(shù)據(jù)信息進行加密，沒有第一時間對重要數(shù)據(jù)信息進行備份，以及關(guān)于用戶等級權(quán)限的界定也缺乏明確性。

因此，解除“兩高一弱”安全隱患，企業(yè)應(yīng)加強網(wǎng)絡(luò)安全管理，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時發(fā)現(xiàn)整改網(wǎng)絡(luò)安全隱患，建立風(fēng)險預(yù)警及常態(tài)化巡檢機制。 

●  預(yù)警：建立風(fēng)險預(yù)警機制，及時發(fā)現(xiàn)并處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊等風(fēng)險。依法留存服務(wù)器日志以便在發(fā)生安全事件時進行追溯和調(diào)查。 

●  巡檢：定期更新系統(tǒng)和軟件補丁，以減少高危漏洞被利用的風(fēng)險；部署防火墻等安全產(chǎn)品/手段，及時發(fā)現(xiàn)并阻斷潛在的攻擊行為；合理配置端口訪問權(quán)限，并對高危端口進行重點防護；提升密碼策略管理能力，制定并執(zhí)行嚴格的密碼策略，避免使用弱口令，提高系統(tǒng)的安全性。 

●  維護：提升安全監(jiān)控與應(yīng)急響應(yīng)能力，建立完善的安全監(jiān)控體系，及時發(fā)現(xiàn)并處置安全事件，降低損失；加強網(wǎng)絡(luò)安全意識培訓(xùn)，提高員工對網(wǎng)絡(luò)安全威脅的認識和防范能力。 

騰訊云

以默認安全思維 守護云上租戶安全

在企業(yè)上云的大背景下，騰訊云既是平臺方也是租戶。如果云平臺高危服務(wù)暴露問題頻發(fā)，那么非專業(yè)的租戶勢必要受影響；而一些在租戶側(cè)比較常見、破壞力較大、技術(shù)門檻較高或者無法根治的方向，平臺方主動處置的成本更低、效率更高，能夠顯著降低云租戶的安全風(fēng)險。

因此，騰訊云持續(xù)推進“默認安全”，在確保用戶體驗的前提下，采取多種手段，實現(xiàn)在基礎(chǔ)安全防護上，與租戶共同解決“兩高一弱”問題。 

覆蓋事前-事中-事后的

長效一體化風(fēng)險管理

用戶面臨兩高一弱風(fēng)險，主要源于暴露面管理、API安全、漏掃、弱口令未授權(quán)等方面的關(guān)注不夠、管理不全、應(yīng)對不力，在監(jiān)管、重�；蛎鎸�黑客時被發(fā)現(xiàn)、被攻破。在騰訊安全的產(chǎn)品矩陣中，可以在事前-事中-事后助力用戶建立長效的自檢自查和處置能力，建立一體化的風(fēng)險管理能力。

騰訊云優(yōu)勢：支持混合云接入，全產(chǎn)品SaaS免安裝部署，一鍵體檢自動梳理云上安全風(fēng)險

云安全中心

通過一鍵體檢幫助企業(yè)主動發(fā)現(xiàn)云暴露面、漏洞、弱口令等風(fēng)險問題，防患于未然。

●  云暴露面：自動收集云上IP+域名資產(chǎn)，并通過CLB、CDN、安全組等配置情況自動分析暴露路徑，在公網(wǎng)進行測繪、漏洞掃描，形成端口暴露、漏洞暴露面、風(fēng)險資產(chǎn)暴露面的風(fēng)險等級標(biāo)記和管理。 

●  云資源配置檢查：提供云資源配置風(fēng)險的自動化檢查評估功能，覆蓋云服務(wù)器、容器、安全組、對象存儲、云數(shù)據(jù)庫及負載均衡等多種云資源。 

●  AK異常檢測：對所有AK、訪問源IP進行統(tǒng)一管理和治理，通過調(diào)用源、高危接口等進行異常關(guān)聯(lián)分析，實時進行告警，支持自定義檢測規(guī)則，支持泄露檢測。 

●  智能化安全治理：利用AI技術(shù)進行漏洞介紹、影響資產(chǎn)、修復(fù)建議智能化分析，并對告警進行AI智能分析。

主機/容器安全

基于騰訊安全積累的海量威脅數(shù)據(jù)，提供資產(chǎn)管理、安全加固、入侵防御、安全運營四大模塊的安全防護功能，解決服務(wù)器面臨的主要網(wǎng)絡(luò)安全風(fēng)險，幫助企業(yè)構(gòu)建服務(wù)器安全防護體系。 

●  漏洞基線檢測：從主機內(nèi)對應(yīng)用漏洞、鏡像安全、系統(tǒng)組件漏洞、弱口令、未授權(quán)、等�；�線等進行檢測，并對漏洞/基線優(yōu)先級進行評估，支持系統(tǒng)組件漏洞自動修復(fù)，部分漏洞支持防御。 

●  入侵檢測：實時監(jiān)測網(wǎng)絡(luò)攻擊、異常進程命令、異常外聯(lián)、暴破、異常登錄IP、內(nèi)存馬、核心文件篡改等行為 

●  事件調(diào)查：對入侵事件進行溯源和響應(yīng)，支持查看完整的攻擊鏈路和日志。 

云防火墻

提供訪問控制、入侵防御、身份認證等安全能力，自動梳理云上資產(chǎn)、發(fā)現(xiàn)并收斂暴露面。

●  訪問控制：發(fā)現(xiàn)并收斂暴露面，在流量邊界進行全局ACL管控，支持域名級別的訪問控制，支持萬級IP黑名單攔截管理。 

●  入侵防御：結(jié)合威脅情報，支持4層/7層入侵防御。

●  蜜罐部署：支持一鍵部署蜜罐。

Web應(yīng)用防火墻

保護Web網(wǎng)站、APP和小程序免受Web攻擊、0day漏洞利用等威脅。提高 Web 站點的安全性和可靠性。通過 BOT 行為分析，防御惡意訪問行為，保護網(wǎng)站核心業(yè)務(wù)安全和數(shù)據(jù)安全。 

●  入侵防御：精準有效防御常見 Web 攻擊，如 SQL 注入、非授權(quán)訪問、XSS 跨站腳本、CSRF 跨站請求偽造，Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊。

●  API安全：主動學(xué)習(xí)的方式自動發(fā)現(xiàn)業(yè)務(wù)訪問中存在的 API 接口，幫助用戶快速梳理網(wǎng)絡(luò)中的已知與未知 API 資產(chǎn)并進行分類分級，構(gòu)建 API 畫像清單；同時，基于威脅檢測與數(shù)據(jù)識別引擎，提供攻擊防護、盜用防護、濫用防護和數(shù)據(jù)保護等能力。

運維安全中心（堡壘機）

是集用戶管理、授權(quán)管理、認證管理及綜合審計于一體的集中運維管理系統(tǒng)，提供 IT 資產(chǎn)訪問代理以及智能操作審計服務(wù)，為用戶構(gòu)建一套完善的事前預(yù)防、事中監(jiān)控、事后審計安全管理體系，實現(xiàn)異常行為告警，防止內(nèi)部數(shù)據(jù)泄密，助力企業(yè)開展等保測評。 

●  支持托管資產(chǎn)：主機、數(shù)據(jù)庫、應(yīng)用（待發(fā)布） 

●  部署方式：SaaS部署，騰訊云控制臺統(tǒng)一管理 

●  “4A”管理：認證管理（Authentication）、授權(quán)管理（Auehorization）、賬號管理（Account）、審計管理（Audit） 

●  效能提升：混合云管理、自動化運維、工單系統(tǒng)