互聯(lián)網(wǎng)暴露面風(fēng)險趨勢關(guān)于暴露面本產(chǎn)品孵化自騰訊安全實驗室，歷經(jīng)多年攻防實戰(zhàn)的錘煉，專注于在大型攻防演練和日常安全運營中精準(zhǔn)發(fā)現(xiàn)風(fēng)險，最終為企業(yè)實現(xiàn)降本增效。?互聯(lián)網(wǎng)暴露面風(fēng)險趨勢?構(gòu)建持續(xù)的暴露面收斂能力互聯(lián)網(wǎng)暴露面風(fēng)險趨勢攻擊趨利化，自動化，成主流攻擊手段威脅主體利用技術(shù)趨勢受攻擊目標(biāo)ClassifiedinformationClassifiedinformation分類(涉密)信息：政府及軍事領(lǐng)域的涉密信息和系統(tǒng)0Day研究/APT供應(yīng)鏈攻擊硬件/固件攻擊物理設(shè)施/設(shè)備攻擊BotnetDDOSBotnetDDOS勒索軟件挖礦軟件郵件/釣魚/惡意軟件0Day利用/APT針對AI的攻擊AI輔助攻擊ControlledUnclassifiControlledUnclassifi郵件/釣魚/惡意軟件郵件/釣魚/惡意軟件0Day利用/掃描弱口令Web漏洞PersonallyidentifiablePersonallyidentifiableinformation(PII)個人敏感信息：個人身份、隱私相關(guān)的敏感數(shù)據(jù)Commercialdata一般商業(yè)數(shù)據(jù)：一般企業(yè)的商業(yè)和業(yè)務(wù)經(jīng)營數(shù)據(jù)郵件/釣魚/惡意軟件弱口令/無意識信息泄露越權(quán)訪問針對企業(yè)和重要機構(gòu)的高危害攻擊案例每年增加約27%。2025年國際國內(nèi)政企行業(yè)勒索事件、數(shù)據(jù)竊取事件，層出威脅暴露面驅(qū)動威脅暴露面驅(qū)動情報事件（威脅情報、漏洞情報）（木馬/病毒/webshell等）件授權(quán)事件●惡意事件?業(yè)務(wù)數(shù)據(jù)情報事件（威脅情報、漏洞情報）（木馬/病毒/webshell等）件授權(quán)事件●惡意事件?業(yè)務(wù)數(shù)據(jù){??●（產(chǎn)品/系統(tǒng)/應(yīng)用不當(dāng)配置）（命令執(zhí)行、遠(yuǎn)程提權(quán)）主機安全事件泄露事件（密鑰泄露、代碼泄露等）從從產(chǎn)品告警驅(qū)動向攻擊視角威脅互聯(lián)網(wǎng)隱匿攻擊案例API接口泄露存儲桶盜刷API接口泄露存儲桶盜刷隱私泄露直接訪問核心系統(tǒng)利用暗網(wǎng)泄露的憑據(jù)直接繞開認(rèn)證登錄系統(tǒng)利用暗網(wǎng)泄露的憑據(jù)直接繞開認(rèn)證登錄系統(tǒng)業(yè)務(wù)對外暴露面持續(xù)增加，可以被攻擊者利用的風(fēng)險點增加，往往在沒有意識到的地方出現(xiàn)安全風(fēng)險，導(dǎo)致業(yè)務(wù)被入侵架構(gòu)復(fù)雜度持續(xù)增加，使用的業(yè)務(wù)組件和服務(wù)應(yīng)用往往導(dǎo)致不可控的風(fēng)險，疏漏之處往往是被漏掃聚焦已知漏洞，存在局限性滲透測試可識別暴露面，但實施成本較高漏掃聚焦已知漏洞，存在局限性滲透測試可識別暴露面，但實施成本較高報告生成報告生成掃描結(jié)果掃描結(jié)果數(shù)據(jù)庫掃描對象掃描對象漏洞庫掃描引擎漏洞庫掃描引擎漏洞掃描原理滲透測試及紅藍(lán)原理漏洞掃描原理差距點：攻擊方往往占據(jù)攻防主動權(quán)，開展持續(xù)、深度的風(fēng)險面管理，才能化被動為主動技術(shù)精湛，各單位優(yōu)秀滲透人員大量0day漏洞儲備專業(yè)攻防協(xié)作平臺及工具集多團隊投入，形成A/B多聯(lián)隊外網(wǎng)專家儲備精良部隊，各單位優(yōu)秀滲透人員技術(shù)精湛，各單位優(yōu)秀滲透人員專業(yè)攻防協(xié)作平臺及工具集更多攻防數(shù)據(jù)挖掘平臺（社工、云等）持久戰(zhàn)，隨意選擇攻擊時間、以逸待勞來源：/t5/microsoft-defender-for-cloud/exposure-management-the-evolution-of-vulnerability- CTEM官方定義持續(xù)威脅暴露面管理（CTEM）-ContinuousThreatExposureManagement即持續(xù)不斷評估企業(yè)數(shù)字和物理資產(chǎn)的可訪問性、暴露性和可利用性騰訊實踐騰訊實踐威脅暴露面管理=攻擊面管理+風(fēng)險驗證+自動化修復(fù)改進(jìn)面?持續(xù)發(fā)現(xiàn)?優(yōu)先級劃分?風(fēng)險驗證??世界TOP企業(yè)安全實踐漏洞管理行業(yè)正在從有針對性的漏洞識別和修復(fù)發(fā)展為更全面的暴露管漏洞掃描暴露面管理關(guān)注范圍查看組織系統(tǒng)、配置和軟件中的弱點漏洞（CVEs）攻擊者可能可見和訪問的所有內(nèi)容，包括但不限于：漏洞（CVEsornon-CVEs）、云配置錯誤、憑據(jù)被盜、釣魚風(fēng)險等攻擊面端點（系統(tǒng)、應(yīng)用）內(nèi)部、外部、云、物聯(lián)網(wǎng)設(shè)備、用戶和供應(yīng)鏈實施方式周期掃描，每周1-2次近實時監(jiān)測及掃描、原生集成各種API（測繪、數(shù)據(jù)泄露、子公司、情報等）評估方法嚴(yán)重度嚴(yán)重度、威脅等級、安全措施有效性、利用實施難度、業(yè)務(wù)影響風(fēng)險量化無法量化風(fēng)險量化方式（VPT），基于情報動態(tài)評估，聯(lián)動業(yè)務(wù)團隊對齊風(fēng)險修復(fù)補丁補丁、控制措施（策略、MFA等）、配置修改等運營價值單向依賴CMDB，通常資產(chǎn)易過期雙向集成，EM平臺能幫助更新CMDB資產(chǎn)實戰(zhàn)案例：XX集團存在API或敏感數(shù)據(jù)泄露漏掃原理漏掃原理（基于“漏洞庫”的“應(yīng)試思維”）暴露面管理原理暴露面管理原理（基于“種子挖掘”的“發(fā)散式思維”）?暴露面管理通過主動爬蟲+被動模糊匹用js中賬號憑據(jù)（Admin/888888)成功登陸系統(tǒng)，獲取大量攝像頭、物聯(lián)網(wǎng)設(shè)備控制實戰(zhàn)案例：XX集團出現(xiàn)多個類似名稱小程序和公眾號，導(dǎo)致用戶信息泄露、監(jiān)管機構(gòu)通報?有攻擊者以“XXX”品牌特征注冊小程序和公眾號，通過活動促銷的文章收集用戶信息，被用戶投訴導(dǎo)致品牌聲譽受損?HW期間，某集團子公司私自注冊了“XX”小程序，演練期間發(fā)現(xiàn)API鑒權(quán)不當(dāng)導(dǎo)致集團客戶信用卡信息泄露漏掃的目的漏掃的目的（“系統(tǒng)有沒有已知漏洞？怎么修復(fù)”）暴露面管理的目的暴露面管理的目的（“攻擊者能不能進(jìn)來？怎么進(jìn)來？”)系統(tǒng)本身、涉及的平臺、人員、策略、供應(yīng)鏈有沒威脅可能危害系統(tǒng)漏洞威脅可能危害系統(tǒng)漏洞一個黑客可能會利用的資產(chǎn)威脅和漏洞出現(xiàn)后可能導(dǎo)致......構(gòu)建持續(xù)的暴露面收斂能力思考：實戰(zhàn)案例ForFor攻擊者ForFor防守者…暴露面監(jiān)測（Discovery）識別資產(chǎn)暴露面、攻擊向量和風(fēng)險基于歷史漏洞行為，進(jìn)行風(fēng)險優(yōu)先級劃分監(jiān)測運營中心（Validation+Mobilization）人工+工具平臺深度驗證漏洞影響，提供更精準(zhǔn)修復(fù)建議風(fēng)險|修復(fù)&緩解風(fēng)險|修復(fù)&緩解析圖暴露面分析（分析能力）暴露面測繪平臺云暴露面風(fēng)險管理基礎(chǔ)能力暴露面分析（分析能力）暴露面測繪平臺云暴露面風(fēng)險管理基礎(chǔ)能力核心能力暴露面監(jiān)測系統(tǒng)（發(fā)現(xiàn)能力）混元混元模型型VPT優(yōu)先級分析模型?可交互編排引擎可交互編排引擎情報字段豐富可編排引擎交互??????服務(wù)運營中心（運營能力）人員組成服務(wù)運營中心（運營能力）人員組成動員整改暴露面發(fā)現(xiàn)（技術(shù)）運營能力優(yōu)化（人員暴露面發(fā)現(xiàn)（技術(shù)）運營能力優(yōu)化（人員）發(fā)現(xiàn)工作流（流程）企業(yè)主體企業(yè)主體API服務(wù)公眾號器域名解析服務(wù)指紋API接口開放端口操作系統(tǒng)安全設(shè)備應(yīng)用服務(wù) 商業(yè)化軟件漏洞挖掘WAF繞過技術(shù)研究云平臺及服務(wù)攻擊利用主機安全防御繞過數(shù)據(jù)泄露提權(quán)利用應(yīng)用安全社會工程云安全釣魚攻擊配置安全近源攻擊資產(chǎn)發(fā)現(xiàn)暴露面識別攻擊路徑發(fā)現(xiàn)資產(chǎn)發(fā)現(xiàn)暴露面識別攻擊路徑發(fā)現(xiàn)數(shù)百個計算節(jié)點數(shù)百個計算節(jié)點云鼎實驗室玄武實驗室云鼎實驗室玄武實驗室供應(yīng)鏈挖掘渠道供應(yīng)鏈挖掘渠道虛擬化安全行業(yè)研究團隊代碼倉庫泄漏分析移動應(yīng)用發(fā)現(xiàn)平臺失陷賬號監(jiān)測平臺動靜態(tài)數(shù)據(jù)密鑰數(shù)據(jù)特征庫虛擬化安全行業(yè)研究團隊代碼倉庫泄漏分析移動應(yīng)用發(fā)現(xiàn)平臺失陷賬號監(jiān)測平臺動靜態(tài)數(shù)據(jù)密鑰數(shù)據(jù)特征庫攻防情報聯(lián)動攻防情報聯(lián)動話術(shù)劇本庫話術(shù)劇本庫引入自動化工作流、整合騰訊T-VPT優(yōu)先級算法、工具庫及安全最佳實踐，最高效率識別高優(yōu)暴露面風(fēng)險?靈活工作流引擎?挖掘過程可編排?領(lǐng)先攻防對抗經(jīng)驗?高效風(fēng)險驗證平臺?精準(zhǔn)管理后臺識別?深度目錄爆破能力?廣泛泄露監(jiān)測網(wǎng)絡(luò)?獨有云暴露面測繪測繪工具自主運營，支持第三方工具集成功能亮點功能亮點精細(xì)的掃描時間顆粒度控制精細(xì)的掃描時間顆粒度控制精細(xì)的掃描時間顆粒度控制，滿足各種客戶個性化掃描需求某智能硬件客戶配置某金融客戶配置?資產(chǎn)變動監(jiān)控：持續(xù)監(jiān)測業(yè)務(wù)變更，動態(tài)捕捉變更導(dǎo)致的新?精細(xì)掃描時間控制：滿足客戶復(fù)雜業(yè)務(wù)場景安全需求，錯開精準(zhǔn)的管理后臺識別能力精準(zhǔn)的精準(zhǔn)的管理后臺識別能力功能亮點拋棄傳統(tǒng)誤報漏報率高的正則識別方式，采用多種方式進(jìn)行識別功能亮點?場景豐富，基于金融、教育、交通、文旅、政務(wù)等多種業(yè)務(wù)場景實戰(zhàn)?多識別方式，除正則外，含關(guān)鍵字庫等方式—行業(yè)目錄識別技術(shù)手段依靠狀態(tài)碼判斷，存在大量誤報導(dǎo)致無法運營404狀態(tài)碼迷惑攻擊隊實際為數(shù)據(jù)泄露的未授權(quán)接口騰訊自研目錄爆破能力功能亮點重定向頁面動態(tài)生成頁面誤報基于相似度識別算法，極大減少自定義404頁面、偽200頁面噪音干擾功能亮點重定向頁面動態(tài)生成頁面誤報?低誤報、低漏報?深層的敏感信息、影子資產(chǎn)識別引發(fā)數(shù)據(jù)泄露的“導(dǎo)火索”功能亮點引發(fā)數(shù)據(jù)泄露的“導(dǎo)火索”?監(jiān)測范圍超過4000+黑產(chǎn)渠道，其中付費、非公開渠道100+個數(shù)據(jù)泄露監(jiān)測系統(tǒng)數(shù)據(jù)泄露監(jiān)測系統(tǒng)傳統(tǒng)漏洞掃描等存在的不足傳統(tǒng)漏洞掃描等存在的不足騰訊暴露面管理“JS-Eye”模塊騰訊暴露面管理“JS-Eye”模塊傳統(tǒng)掃描無法識別接口，缺乏識別能力騰訊暴露面管理-漏洞掃描攻擊面管理漏掃無法識別業(yè)務(wù)敏感信息，或僅限于網(wǎng)頁靜態(tài)內(nèi)容，未對代碼信息進(jìn)行解析分析JS敏感信息特征規(guī)則庫云暴露面發(fā)現(xiàn)難點云暴露面發(fā)現(xiàn)難點多云環(huán)境下，傳統(tǒng)安全廠商缺乏云上安全運營實踐，對云服務(wù)及產(chǎn)品特性了解不清晰，較難識別場景：云服務(wù)域名難掃描發(fā)現(xiàn)場景：云服務(wù)域名難掃描發(fā)現(xiàn)）， 場景：云訪問控制暴露面識別較弱均衡和等復(fù)雜網(wǎng)絡(luò)，沒有外網(wǎng)云暴露面場景案例：阿里云（云暴露面場景案例：阿里云（種）多云環(huán)境下的安全風(fēng)險，傳統(tǒng)安全廠商較難識別功能亮點聯(lián)動多云安全治理平臺識別多云暴露路徑功能亮點聯(lián)動多云安全治理平臺識別多云暴露路徑騰訊云CVM（53種）?源于多云安全治理經(jīng)驗，基于云攻防矩陣ATT&CK，更全面覆蓋云暴露面?可識別漏掃等無法識別的云服務(wù)