2025年构建安全攻防矩阵 增强数字安全免疫力报告-腾讯云安全（张华）.pptx

构建安全攻防矩阵增强数字安全免疫力

腾讯云安全，知攻更懂防

腾讯云安全张华;;

?缺攻防经验，负责人以项目经理为主

?缺乏磨合，临时组建无实战配合

?防护手段以漏扫、配置检查为主，缺乏攻击者视角风险发现能力

?缺乏云服务、员工社工钓鱼风险发现能力

?黑白交替、拉锯战容易导致身心俱疲

?仅了解已知资产，供应链、分子公司等风险覆盖不全;

企业安全防护措施

（FW、WAF、主机安全等）;;

云产品迭代快，按需接入即开即用，容易造成暴露面的风险敞开，安全团队难以快速感知。

云产品数量大，哪些产品在开通后能被公网访问或泄漏云凭证，对安全团队是盲盒，管理上有很大困难。

不同云厂商的不同安全管理工具、使用复杂，学习门槛高，云网络关系复杂，经过多跳（NAT，LB）才到达真实主机;

金办发[99]号，是仅次于“金发”的二级发文，属于高标准要求；可见总局对此方向的重视程度。;

1.覆盖范围广，涵盖了之前发文没有涉及的更多金融机构

不仅涵盖了传统的政策性银行、国有大行、股份制、保司，还增加了外资银行、直销银行、资管管理、理财公司、金融控股公司等更大范围金融机构。

2.要求标准高，明确了责任边界

虽然冠以“移动互联网应用程序”，但不限于APP、小程序、公众号。“运行在移动智能终端上”、“向内、外部用户提供服务”的应用软件都涵

盖在内。

3.强化了对第三方、开源的安全要求

要求“加强第三方软件开发工具包安全需求分析”，“对源代码或组件（含第三方组件）开展风险管理”，影响的范围包括AI代码开发工具、IDE插件（如一些安全开发、扫描插件）、第三方提供的软件包等。

4.老旧版本下线、风险评估、隐私保护、仿冒应用

重点应关注老旧版本及时下线，以及相对应的API接口、权限的回收，对安全暴露面的监测；

相比APP仿冒，但小程序的仿冒还是比较高发，尤其是黑灰产高度抄袭的仿冒小程序，通过利用暴露的API接口、权限、数据等来进行欺诈。

5.对监管职责和问责制度进行了明确

明确裁判员定位，各地管局主体责任，并明确“加大风险漏洞通报力度”、“监督整改”，“加强违法违规问题触发问责力度”，“严肃问

责”。

【预期会有“体制内”（央国企背景）的支撑单位，帮助管局进行监测预警和渗透测试等检查工作。】;;

Gartner:

关键结论：

CTEM是Gartner于2022年7月推出的一个框架，可帮助企业持续、一致地评估其物理和数字资产的脆弱性。

Gartner预测，到2026年，根据CTEM计划确定安全投资优先级别的企业机构将减少三分之二的漏洞。

CTEM融合了暴露面管理、情报、VPT、安全验证等技术。;

依赖进化;

反入侵与自动化平台能力——快速拦截、修复、响应

?构建网络自动化攻击阻断能力

?构建编排与运营自动化运营能力

?通过流程可以打通各类安全运营场景处置

?工具/动作标准化、流程标准化、场景标准化

?反入侵系统，持续监测及响应各类攻击行为;

能力中心;

安全运营（自动化运营+反入侵）

定位：作战部队

职责：使用产品提供的“武器”，设计制定战术（产品策略及解决方案），同威胁作战，保护客户（安全运维）;

风险研判+影响面分析+自动发单;;

1.庞大的体系与快速迭代

50+产品分类，200+一级产品，XXXX二级产品最多日均近10个新产品上线，日常N个版本发布

2.复杂的产品形态与研发场景

自研、合作研发、OEM等

SaaS、PaaS、IaaS

专有云、私有云、公有云、混合云

3.多样化的技术栈与架构

C、JAVA、GO、PHP、Python、NodeJS…Web应用、APP、客户端、小程序…

各种中间件、一些新型架构等

4.多重组织与人员结构

总部、子公司、投资全资子公司、外部企业

正式员工、驻场外包、子公司员工、研发外包跨公司、跨BG、跨部门、跨业务线、跨中心;

发现能力（威胁情报）：海量数据积淀，更前瞻、深入的风险挖掘能力储备

腾讯拥有全球最大、覆盖最全的安全大数据库，并通过持续运营，对海量数据多维度分析，可以快速对威胁