敲響“兩高一弱”安全警鐘！企業(yè)如何高效實(shí)現(xiàn)安全風(fēng)險(xiǎn)治理？

近年來，全國公安機(jī)關(guān)持續(xù)開展“凈網(wǎng)”系列專項(xiàng)行動(dòng)，全力打擊黑客違法犯罪，同時(shí)以保護(hù)網(wǎng)絡(luò)、數(shù)據(jù)和公民個(gè)人信息安全為重點(diǎn)，堅(jiān)持以打促管、以管促治，消除網(wǎng)絡(luò)頑瘴痼疾。公安部強(qiáng)調(diào)，企業(yè)做好網(wǎng)絡(luò)安全工作，首先要嚴(yán)格落實(shí)主體責(zé)任，按照“誰主管誰負(fù)責(zé)、誰運(yùn)營誰負(fù)責(zé)”的要求，對(duì)網(wǎng)站進(jìn)行備案登記和等級(jí)保護(hù)測評(píng)，落實(shí)與業(yè)務(wù)重要程度匹配的安全防護(hù)措施，扎實(shí)做好日常網(wǎng)絡(luò)安全防護(hù)工作。

具體而言，公安機(jī)關(guān)提示三個(gè)方面的注意事項(xiàng)：

●  一是要高度重視“兩高一弱”的問題，即高度重視高危漏洞和高危端口，這是“兩高”、“一弱”就是弱口令這樣的問題，加強(qiáng)防火墻和安全軟件管理，合理分配員工權(quán)限，升級(jí)多層次的密碼保護(hù)，加強(qiáng)軟件和設(shè)備防護(hù)，防止黑客入侵系統(tǒng)

●  二是要制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，經(jīng)常組織安全演練，及時(shí)發(fā)現(xiàn)、整改網(wǎng)絡(luò)安全隱患漏洞，保障網(wǎng)絡(luò)安全，也把系統(tǒng)進(jìn)行穩(wěn)定運(yùn)行。

●  三是要建立風(fēng)險(xiǎn)預(yù)警機(jī)制，及時(shí)處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)入侵等安全風(fēng)險(xiǎn)，依法留存服務(wù)器日志；發(fā)現(xiàn)被黑客攻擊時(shí)，要立刻斷網(wǎng)，保存好現(xiàn)場證據(jù)，及時(shí)向公安機(jī)關(guān)報(bào)案。

對(duì)于企業(yè)來說，安全意識(shí)、安全體系和安全能力不僅僅是合規(guī)需要，也是成長與發(fā)展的核心議題。對(duì)于黑客、黑灰產(chǎn)來說，針對(duì)企業(yè)的“兩高一弱”等網(wǎng)絡(luò)安全風(fēng)險(xiǎn)隱患發(fā)動(dòng)攻擊，具有低投入、高收益的攻擊特點(diǎn)。因此，“兩高一弱”一直以來都是困擾眾多企業(yè)的安全短板，也是企業(yè)安全建設(shè)投入是否有效的核心校驗(yàn)項(xiàng)。

企業(yè)安全建設(shè)的“木桶短板”

“兩高一弱”問題的存在，將使網(wǎng)絡(luò)系統(tǒng)在攻擊者面前“不設(shè)防”，攻擊者可以輕而易舉觸達(dá)企業(yè)核心信息系統(tǒng)、后臺(tái)“大搞破壞”，危害極大：

●  高危漏洞：指存在嚴(yán)重安全風(fēng)險(xiǎn)的軟件或系統(tǒng)漏洞，主要為CVE漏洞、攻擊者經(jīng)常攻擊使用的漏洞等，包括但不限于以下遠(yuǎn)程代碼執(zhí)行、數(shù)據(jù)泄露、拒絕服務(wù)、提權(quán)攻擊、跨站腳本攻擊等漏洞。

●  高危端口：指存在高危漏洞或者弱口令，同時(shí)相關(guān)端口暴露在互聯(lián)網(wǎng)上，易被攻擊者攻擊利用的特定端口，包括但不限于大數(shù)據(jù)系統(tǒng)、數(shù)據(jù)庫等涉及到數(shù)據(jù)安全、易被遠(yuǎn)程攻擊利用的、不應(yīng)該暴露在互聯(lián)網(wǎng)上的端口。

●  弱口令：指容易被破解或猜測的密碼，通常因?yàn)槿狈ψ銐虻膹?fù)雜性和安全性而容易被攻擊者猜解，成為網(wǎng)絡(luò)攻擊的主要突破口。

在攻防場景中，“兩高一弱”所代表的高危隱患也一直是攻擊者的首要突破口，通過“兩高一弱”進(jìn)行攻擊，往往能夠迅速突破企業(yè)的防線，因此在歷年全國攻防演練數(shù)據(jù)中，以“兩高一弱”隱患為入口打進(jìn)企業(yè)內(nèi)網(wǎng)的比率一直“遙遙領(lǐng)先”。與此同時(shí)，在網(wǎng)絡(luò)安全專項(xiàng)行動(dòng)中，企業(yè)也往往因?yàn)椤皟筛咭蝗酢彪[患被國家網(wǎng)絡(luò)安全通報(bào)中心通報(bào)。

高危隱患應(yīng)對(duì)之法

預(yù)警-巡檢-維護(hù)

企業(yè)存在“兩高一弱”隱患，通常是企業(yè)安全建設(shè)意識(shí)不強(qiáng)，對(duì)高危風(fēng)險(xiǎn)和薄弱環(huán)節(jié)缺乏有效的管理維護(hù)，具體而言，存在以下風(fēng)險(xiǎn)行為： 

●  缺乏維護(hù)：由于缺乏日常維護(hù)，導(dǎo)致存在大量未被發(fā)現(xiàn)或未被修復(fù)的安全漏洞，這些漏洞給黑客提供了可乘之機(jī)，系統(tǒng)容易受到攻擊。

●  高危端口開放：一些系統(tǒng)開放了不必要的高危端口，如135、137、138、139、445、3389等，這些端口容易被黑客利用進(jìn)行非法訪問和攻擊。

●  賬號(hào)口令問題：系統(tǒng)的賬號(hào)或口令設(shè)定不合理，賬號(hào)自動(dòng)登錄或登錄密碼過于簡單。

●  數(shù)據(jù)未加密備份：沒有對(duì)機(jī)要數(shù)據(jù)信息進(jìn)行加密，沒有第一時(shí)間對(duì)重要數(shù)據(jù)信息進(jìn)行備份，以及關(guān)于用戶等級(jí)權(quán)限的界定也缺乏明確性。

因此，解除“兩高一弱”安全隱患，企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全管理，制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時(shí)發(fā)現(xiàn)整改網(wǎng)絡(luò)安全隱患，建立風(fēng)險(xiǎn)預(yù)警及常態(tài)化巡檢機(jī)制。 

●  預(yù)警：建立風(fēng)險(xiǎn)預(yù)警機(jī)制，及時(shí)發(fā)現(xiàn)并處置系統(tǒng)漏洞、計(jì)算機(jī)病毒、網(wǎng)絡(luò)攻擊等風(fēng)險(xiǎn)。依法留存服務(wù)器日志以便在發(fā)生安全事件時(shí)進(jìn)行追溯和調(diào)查。 

●  巡檢：定期更新系統(tǒng)和軟件補(bǔ)丁，以減少高危漏洞被利用的風(fēng)險(xiǎn)；部署防火墻等安全產(chǎn)品/手段，及時(shí)發(fā)現(xiàn)并阻斷潛在的攻擊行為；合理配置端口訪問權(quán)限，并對(duì)高危端口進(jìn)行重點(diǎn)防護(hù)；提升密碼策略管理能力，制定并執(zhí)行嚴(yán)格的密碼策略，避免使用弱口令，提高系統(tǒng)的安全性。 

●  維護(hù)：提升安全監(jiān)控與應(yīng)急響應(yīng)能力，建立完善的安全監(jiān)控體系，及時(shí)發(fā)現(xiàn)并處置安全事件，降低損失；加強(qiáng)網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，提高員工對(duì)網(wǎng)絡(luò)安全威脅的認(rèn)識(shí)和防范能力。 

騰訊云

以默認(rèn)安全思維 守護(hù)云上租戶安全

在企業(yè)上云的大背景下，騰訊云既是平臺(tái)方也是租戶。如果云平臺(tái)高危服務(wù)暴露問題頻發(fā)，那么非專業(yè)的租戶勢必要受影響；而一些在租戶側(cè)比較常見、破壞力較大、技術(shù)門檻較高或者無法根治的方向，平臺(tái)方主動(dòng)處置的成本更低、效率更高，能夠顯著降低云租戶的安全風(fēng)險(xiǎn)。

因此，騰訊云持續(xù)推進(jìn)“默認(rèn)安全”，在確保用戶體驗(yàn)的前提下，采取多種手段，實(shí)現(xiàn)在基礎(chǔ)安全防護(hù)上，與租戶共同解決“兩高一弱”問題。 

覆蓋事前-事中-事后的

長效一體化風(fēng)險(xiǎn)管理

用戶面臨兩高一弱風(fēng)險(xiǎn)，主要源于暴露面管理、API安全、漏掃、弱口令未授權(quán)等方面的關(guān)注不夠、管理不全、應(yīng)對(duì)不力，在監(jiān)管、重保或面對(duì)黑客時(shí)被發(fā)現(xiàn)、被攻破。在騰訊安全的產(chǎn)品矩陣中，可以在事前-事中-事后助力用戶建立長效的自檢自查和處置能力，建立一體化的風(fēng)險(xiǎn)管理能力。

騰訊云優(yōu)勢：支持混合云接入，全產(chǎn)品SaaS免安裝部署，一鍵體檢自動(dòng)梳理云上安全風(fēng)險(xiǎn)

云安全中心

通過一鍵體檢幫助企業(yè)主動(dòng)發(fā)現(xiàn)云暴露面、漏洞、弱口令等風(fēng)險(xiǎn)問題，防患于未然。

●  云暴露面：自動(dòng)收集云上IP+域名資產(chǎn)，并通過CLB、CDN、安全組等配置情況自動(dòng)分析暴露路徑，在公網(wǎng)進(jìn)行測繪、漏洞掃描，形成端口暴露、漏洞暴露面、風(fēng)險(xiǎn)資產(chǎn)暴露面的風(fēng)險(xiǎn)等級(jí)標(biāo)記和管理。 

●  云資源配置檢查：提供云資源配置風(fēng)險(xiǎn)的自動(dòng)化檢查評(píng)估功能，覆蓋云服務(wù)器、容器、安全組、對(duì)象存儲(chǔ)、云數(shù)據(jù)庫及負(fù)載均衡等多種云資源。 

●  AK異常檢測：對(duì)所有AK、訪問源IP進(jìn)行統(tǒng)一管理和治理，通過調(diào)用源、高危接口等進(jìn)行異常關(guān)聯(lián)分析，實(shí)時(shí)進(jìn)行告警，支持自定義檢測規(guī)則，支持泄露檢測。 

●  智能化安全治理：利用AI技術(shù)進(jìn)行漏洞介紹、影響資產(chǎn)、修復(fù)建議智能化分析，并對(duì)告警進(jìn)行AI智能分析。

主機(jī)/容器安全

基于騰訊安全積累的海量威脅數(shù)據(jù)，提供資產(chǎn)管理、安全加固、入侵防御、安全運(yùn)營四大模塊的安全防護(hù)功能，解決服務(wù)器面臨的主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，幫助企業(yè)構(gòu)建服務(wù)器安全防護(hù)體系。 

●  漏洞基線檢測：從主機(jī)內(nèi)對(duì)應(yīng)用漏洞、鏡像安全、系統(tǒng)組件漏洞、弱口令、未授權(quán)、等保基線等進(jìn)行檢測，并對(duì)漏洞/基線優(yōu)先級(jí)進(jìn)行評(píng)估，支持系統(tǒng)組件漏洞自動(dòng)修復(fù)，部分漏洞支持防御。 

●  入侵檢測：實(shí)時(shí)監(jiān)測網(wǎng)絡(luò)攻擊、異常進(jìn)程命令、異常外聯(lián)、暴破、異常登錄IP、內(nèi)存馬、核心文件篡改等行為 

●  事件調(diào)查：對(duì)入侵事件進(jìn)行溯源和響應(yīng)，支持查看完整的攻擊鏈路和日志。 

云防火墻

提供訪問控制、入侵防御、身份認(rèn)證等安全能力，自動(dòng)梳理云上資產(chǎn)、發(fā)現(xiàn)并收斂暴露面。

●  訪問控制：發(fā)現(xiàn)并收斂暴露面，在流量邊界進(jìn)行全局ACL管控，支持域名級(jí)別的訪問控制，支持萬級(jí)IP黑名單攔截管理。 

●  入侵防御：結(jié)合威脅情報(bào)，支持4層/7層入侵防御。

●  蜜罐部署：支持一鍵部署蜜罐。

Web應(yīng)用防火墻

保護(hù)Web網(wǎng)站、APP和小程序免受Web攻擊、0day漏洞利用等威脅。提高 Web 站點(diǎn)的安全性和可靠性。通過 BOT 行為分析，防御惡意訪問行為，保護(hù)網(wǎng)站核心業(yè)務(wù)安全和數(shù)據(jù)安全。 

●  入侵防御：精準(zhǔn)有效防御常見 Web 攻擊，如 SQL 注入、非授權(quán)訪問、XSS 跨站腳本、CSRF 跨站請(qǐng)求偽造，Webshell 木馬上傳等 OWASP 定義的十大 Web 安全威脅攻擊。

●  API安全：主動(dòng)學(xué)習(xí)的方式自動(dòng)發(fā)現(xiàn)業(yè)務(wù)訪問中存在的 API 接口，幫助用戶快速梳理網(wǎng)絡(luò)中的已知與未知 API 資產(chǎn)并進(jìn)行分類分級(jí)，構(gòu)建 API 畫像清單；同時(shí)，基于威脅檢測與數(shù)據(jù)識(shí)別引擎，提供攻擊防護(hù)、盜用防護(hù)、濫用防護(hù)和數(shù)據(jù)保護(hù)等能力。

運(yùn)維安全中心（堡壘機(jī)）

是集用戶管理、授權(quán)管理、認(rèn)證管理及綜合審計(jì)于一體的集中運(yùn)維管理系統(tǒng)，提供 IT 資產(chǎn)訪問代理以及智能操作審計(jì)服務(wù)，為用戶構(gòu)建一套完善的事前預(yù)防、事中監(jiān)控、事后審計(jì)安全管理體系，實(shí)現(xiàn)異常行為告警，防止內(nèi)部數(shù)據(jù)泄密，助力企業(yè)開展等保測評(píng)。 

●  支持托管資產(chǎn)：主機(jī)、數(shù)據(jù)庫、應(yīng)用（待發(fā)布） 

●  部署方式：SaaS部署，騰訊云控制臺(tái)統(tǒng)一管理 

●  “4A”管理：認(rèn)證管理（Authentication）、授權(quán)管理（Auehorization）、賬號(hào)管理（Account）、審計(jì)管理（Audit） 

●  效能提升：混合云管理、自動(dòng)化運(yùn)維、工單系統(tǒng)