互聯(lián)網(wǎng)暴露面風險趨勢與能力建設(shè)本產(chǎn)品孵化自騰訊安全實驗室，歷經(jīng)多年攻防實戰(zhàn)的錘煉，專注于在大型攻防演練和日常安全運營中精準發(fā)現(xiàn)風險，最終為企業(yè)實現(xiàn)降本增效。關(guān)于暴露面梁國鋒多年大型攻防演練經(jīng)驗，對攻與防有深入的實戰(zhàn)理解，負責暴露面的產(chǎn)品設(shè)計與技術(shù)規(guī)劃，從0到1的落地與建設(shè)。講師介紹暴露面產(chǎn)品負責人目錄

Menu

互聯(lián)網(wǎng)暴露面風險趨勢構(gòu)建持續(xù)的暴露面收斂能力互聯(lián)網(wǎng)暴露面風險趨勢攻擊趨利化，自動化，成主流攻擊手段 威脅主體

利用技術(shù)趨勢National

Governments“國家級”攻擊力量Terrorists/

Hacktivists恐怖分子/無政府主義黑客IndustrialSpiesandOrganizedCrime

Groups商業(yè)間諜和有組織犯罪（黑灰產(chǎn)）Hackers一般黑客Insiders內(nèi)部無意識/惡意用戶ForeignintelligenceservicesBot-networkoperatorsSpyware/malwarecontrollerPhishers/SpammersBotnet控制者0Day研究

/

APT供應鏈攻擊硬件/固件攻擊物理設(shè)施/設(shè)備攻擊Botnet

DDOS勒索軟件挖礦軟件郵件/釣魚/惡意軟件0Day利用/APT針對AI的攻擊AI輔助攻擊受攻擊目標National

critical

infrastructure

國家關(guān)鍵基礎(chǔ)設(shè)施：能源、交通、金融、通信等關(guān)鍵領(lǐng)域的機密性和可用性Controlled

Unclassified

Information

受控未分類信息：政府和重要企事業(yè)單位的非涉密信息Commercial

data一般商業(yè)數(shù)據(jù)：一般企業(yè)的商業(yè)和業(yè)務經(jīng)營數(shù)據(jù)Personallyidentifiableinformation

(PII)個人敏感信息：個人身份、隱私相關(guān)的敏感數(shù)據(jù)Classifiedinformation分類(涉密)信息：政府及軍事領(lǐng)域的涉密信息和系統(tǒng)郵件/釣魚/惡意軟件0Day利用/掃描弱口令Web漏洞郵件/釣魚/惡意軟件弱口令/無意識信息泄露越權(quán)訪問保密法分級保護軍工保密FAA

1600.2DODSRGITAR/FIPS信息安全法等級保護

4+FISMAFedRAMPHigh網(wǎng)絡(luò)安全法等級保護

3+FISMAFedRAMPLow+SOXHIPAAPCI-DSSHIPAA

GDPR個人信息保護法數(shù)據(jù)安全法針對企業(yè)和重要機構(gòu)的高危害攻擊案例每年增加約27%。2025年國際國內(nèi)政企行業(yè)勒索事件、數(shù)據(jù)竊取事件，層出不窮。產(chǎn)品告警驅(qū)動向暴露面管理驅(qū)動轉(zhuǎn)變 情報事件SOC（威脅情報、漏洞情報）（密鑰泄露、代碼泄露等）主機安全事件（HIDS）授權(quán)事件（控制臺操作）良性事件泄露事件惡意事件誤報事件（漏洞誤報等）誤配置（產(chǎn)品/系統(tǒng)/應用不當配置）暴力破解（暴力破解成功）木馬事件（木馬/病毒/webshell等）反彈shell（命令執(zhí)行、遠程提權(quán)）產(chǎn)品告警驅(qū)動威脅暴露面驅(qū)動業(yè)務數(shù)據(jù)IT邊界暴露面漏洞/入侵利用防火墻IPS/XDR……從 產(chǎn)品告警驅(qū)動向 攻擊視角威脅暴露面

轉(zhuǎn)變互聯(lián)網(wǎng)隱匿攻擊案例A

P

I

接口泄露利用API接口的未授權(quán)、越權(quán)等問題，低速非法獲取數(shù)據(jù)、敏感token、密鑰等因權(quán)限設(shè)置不當被惡意上傳引流。導致存儲桶被盜刷流量、造成財產(chǎn)損失、損害域名信譽、被通報。存儲桶盜刷信息泄露隱私泄露被入侵風險S

t

e

a

l

e

r

泄露直接訪問核心系統(tǒng)利用暗網(wǎng)泄露的憑據(jù)直接繞開認證登錄系統(tǒng)傳統(tǒng)掃描VS滲透存在的局限性 滲透測試及紅藍原理漏掃聚焦已知漏洞，存在局限性滲透測試可識別暴露面，但實施成本較高漏洞掃描原理報告生成掃描結(jié)果掃描數(shù)據(jù)庫用戶界面漏洞庫掃描引擎掃描對象業(yè)務對外暴露面持續(xù)增加，可以被攻擊者利用的風險點增加，往往在沒有意識到的地方出現(xiàn)安全風險，導致業(yè)務被入侵架構(gòu)復雜度持續(xù)增加，使用的業(yè)務組件和服務應用往往導致不可控的風險，疏漏之處往往是被入侵的突破點攻強防弱—攻防演練常態(tài)化下的運營困境人員武器資金情報人員武器天時地理技術(shù)精湛，各單位優(yōu)秀滲透人員團隊作戰(zhàn)，各人才分工明確高效大量0day漏洞儲備專業(yè)攻防協(xié)作平臺及工具集多團隊投入，形成A/B多聯(lián)隊外網(wǎng)專家儲備精良部隊，各單位優(yōu)秀滲透人員團隊作戰(zhàn)，分工專業(yè)?

缺攻防經(jīng)驗，負責人以項目經(jīng)理為主?

缺乏磨合，臨時組建無實戰(zhàn)配合?

已有安全廠商設(shè)備，IP封堵為主?

設(shè)備能力層次不齊?

價低者中標?

部分單位租借或友情支持?

情報滯后，響應較晚?

虛假情報滿天飛，干擾分析精力差距點：攻擊方往往占據(jù)攻防主動權(quán)，開展

持續(xù)、深度的風險面管理，才能化被動為主動以前的攻防演練（14天高頻對抗）攻擊方防守方戰(zhàn)場主動權(quán)，隨意選擇攻擊目標技術(shù)精湛，各單位優(yōu)秀滲透人員團隊作戰(zhàn)，各人才分工明確高效專業(yè)攻防協(xié)作平臺及工具集更多攻防數(shù)據(jù)挖掘平臺（社工、云等）持久戰(zhàn)，隨意選擇攻擊時間、以逸待勞?

僅了解已知資產(chǎn)，供應鏈、分子公司等風險覆蓋不全現(xiàn)在的攻防演練（持續(xù)且深入的較量）?

防護手段以漏掃、配置檢查為主，缺乏攻擊者視角風險發(fā)現(xiàn)能力?

缺乏云服務、員工社工釣魚風險發(fā)現(xiàn)能力?

缺攻防經(jīng)驗，負責人以項目經(jīng)理為主?

缺乏磨合，臨時組建無實戰(zhàn)配合?

黑白交替、拉鋸戰(zhàn)容易導致身心俱疲解決思路——暴露面管理服務 威脅暴露面管理=

攻擊面管理+風險驗證+自動化修復改進漏洞管理行業(yè)正在從有針對性的漏洞識別和修復發(fā)展為更全面的暴露管理方法，Gartner

將其稱為持續(xù)威脅暴露管理

(

CTEM

)來源：CTEM

官方定義世界TOP企業(yè)安全實踐持續(xù)威脅暴露面管理（CTEM）–

Continuous

Threat

Exposure

Management即持續(xù)不斷評估企業(yè)數(shù)字和物理資產(chǎn)的可訪問性、暴露性和可利用性騰訊實踐對比項持續(xù)威脅暴露面（需具備的能力）騰訊 服務解決方案（落地手段）范圍界定?騰訊

EM

暴露面管理平臺持續(xù)發(fā)現(xiàn)?優(yōu)先級劃分?風險驗證?動員修復?漏洞掃描

VS

暴露面管理漏洞掃描暴露面管理關(guān)注范圍查看組織系統(tǒng)、配置和軟件中的弱點漏洞（CVEs）攻擊者可能可見和訪問的所有內(nèi)容，包括但不限于：漏洞（CVEs

or

non-CVEs）、云配置錯誤、憑據(jù)被盜、釣魚風險等攻擊面端點（系統(tǒng)、應用）內(nèi)部、外部、云、物聯(lián)網(wǎng)設(shè)備、用戶和供應鏈實施方式周期掃描，每周1-2次近實時監(jiān)測及掃描、原生集成各種API（測繪、數(shù)據(jù)泄露、子公司、情報等）評估方法嚴重度嚴重度、威脅等級、安全措施有效性、利用實施難度、業(yè)務影響風險量化無法量化風險量化方式（VPT），基于情報動態(tài)評估，聯(lián)動業(yè)務團隊對齊風險修復補丁補丁、控制措施（策略、MFA等）、配置修改等運營價值單向依賴

CMDB，通常資產(chǎn)易過期雙向集成，EM

平臺能

幫助更新

CMDB

資產(chǎn)案例1：漏洞掃描

VS

暴露面管理 實戰(zhàn)案例：XX集團

存在API或敏感數(shù)據(jù)泄露場景開發(fā)商不小心把測試的相關(guān)數(shù)據(jù)寫在JS代碼文件的問題紅隊在Web網(wǎng)站的JS文件檢測出相關(guān)的敏感數(shù)據(jù)與API接口，包含了賬號密碼、各種云的密鑰，Saas化產(chǎn)品等各種各樣的憑據(jù)、敏感信息直接通過密鑰滲透進入企業(yè)內(nèi)部系統(tǒng)，獲得業(yè)務生產(chǎn)數(shù)據(jù)漏掃原理（基于“漏洞庫”的“應試思維”）暴露面管理原理（基于“種子挖掘”的“發(fā)散式思維”）基于指紋的漏洞掃描：可識別組件，但無法識別數(shù)據(jù)泄露及API基于PoC的漏洞掃描：可識別漏洞，但無法識別數(shù)據(jù)泄露及API暴露面管理通過

主動爬蟲+被動模糊匹配+AI分析

獲取到敏感信息以及系統(tǒng)入口，利用

js

中賬號憑據(jù)（Admin/888888)成功登陸系統(tǒng)，獲取大量攝像頭、物聯(lián)網(wǎng)設(shè)備控制權(quán)限案例2:漏洞掃描

VS

暴露面管理實戰(zhàn)案例：XX集團出現(xiàn)多個類似名稱小程序和公眾號，導致用戶信息泄露、監(jiān)管機構(gòu)通報有攻擊者以“XXX”品牌特征注冊小程序和公眾號，通過活動促銷的文章收集用戶信息，被用戶投訴導致品牌聲譽受損HW期間，某集團子公司私自注冊了“XX”小程序，演練期間發(fā)現(xiàn)API鑒權(quán)不當導致集團客戶信用卡信息泄露漏掃的目的（“系統(tǒng)有沒有已知漏洞？怎么修復”）關(guān)注點：自身系統(tǒng)有沒有

漏洞？有哪些漏洞？哪些事高危的漏洞？暴露面管理的目的（“攻擊者能不能進來？怎么進來？”）關(guān)注點：系統(tǒng)本身、涉及的平臺、人員、策略、供應鏈有沒有

風險？風險有哪些？哪些風險可以直接進到內(nèi)網(wǎng)來？威脅一個潛在的、可能危害系統(tǒng)的新事件漏洞一個黑客可能會利用的資產(chǎn)的弱點風險威脅和漏洞出現(xiàn)后可能導致的潛在損失和危害敏感信息（員工郵箱、管理后臺...）登錄憑據(jù)（RDP、API

key...）0/1Day攻擊情報小程序/公眾號仿冒......弱口令Nday漏洞......社工釣魚主機失陷加密勒索數(shù)據(jù)泄露品牌聲譽供應鏈攻擊......構(gòu)建持續(xù)的暴露面收斂能力思考：實戰(zhàn)案例For攻擊者1、是否能全自動覆蓋？2、需要多久的時間？For防守者1、所有主機被入侵了都能發(fā)現(xiàn)嗎？2、新增一個子域名

是否可知？3、發(fā)現(xiàn)問題多久能聯(lián)系到負責人？…暴露面管理服務設(shè)計思路 暴露面分析（

Prioritization

）以T-VPT為助力，提升風險識別精準度基于歷史漏洞行為，進行風險優(yōu)先級劃分暴露面監(jiān)測（Discovery）測繪工具集（如云暴露面、暗網(wǎng)暴露面等）識別資產(chǎn)暴露面、攻擊向量和風險監(jiān)測運營中心（ Validation+Mobilization）人工+工具平臺深度驗證漏洞影響，提供更精準修復建議暴露面管理-服務內(nèi)容資產(chǎn)測繪（IP、域名、服務、證書等）脆弱性探測（漏洞、配置等脆弱性風險）暴露面識別（供應鏈、服務、憑據(jù)等）關(guān)聯(lián)分析

資產(chǎn)與暴露面數(shù)據(jù)分析優(yōu)先級研判（VPT、過濾規(guī)則算法）路徑驗證

驗證暴露面潛在攻擊路徑輸出暴露面測繪報告輸出安全運營改進建議暴露面監(jiān)測指紋及策略優(yōu)化工具

|

監(jiān)測分析算法

|

優(yōu)先級評估

&

驗證風險

|

修復&緩解暴露面管理服務暴露面動態(tài)監(jiān)測運營暴露面關(guān)聯(lián)分析及人工驗證重點事件的統(tǒng)計分析，策略改進服務內(nèi)容暴露面管理-服務能力構(gòu)成和核心能力分布 暴露面分析（分析能力）服務運營中心（運營能力）暴露面監(jiān)測系統(tǒng)（發(fā)現(xiàn)能力）基礎(chǔ)能力互聯(lián)網(wǎng)/暗網(wǎng)資產(chǎn)測繪網(wǎng)站指紋分析可編排引擎交互內(nèi)置7大發(fā)現(xiàn)工作流PoC監(jiān)測學習……VPT優(yōu)先級分析模型情報自動化過濾漏洞修復研判……情報字段豐富分析模型可交互編排引擎混元 模型暴露面測繪平臺風險驗證對抗驗證細節(jié)分析（運營）

暴露面風險核查（運營） 分析滲透測試（紅隊） 攻擊模擬（BAS）安全漏洞推修團隊暴露面分析及驗證（

Validation

）是否受影響影響業(yè)務？影響范圍？風險等級？利用難度？攻擊路徑？檢測方案？修復方案？緩解方案？人員組成動員組織修復（

Mobilization

）動員整改考核指標組織流程工具平臺數(shù)據(jù)漏洞流程優(yōu)化研判標準優(yōu)化防護策略優(yōu)化自動化處置能力提升安全運營實踐分享……..規(guī)則優(yōu)化能力擴展數(shù)據(jù)聯(lián)動輔助研判風險告警騰訊安全服務藍軍動員修復漏洞及基線檢查供應鏈風險挖掘社工信息挖掘核心能力數(shù)據(jù)泄漏風險挖掘云暴露面風險管理國內(nèi)外多方商業(yè)化情報愛上騰訊紅隊攻擊情報……暴露面自定義編排能力暴露面監(jiān)測發(fā)現(xiàn)與運營能力 暴露面發(fā)現(xiàn)（技術(shù)）發(fā)現(xiàn)工作流（流程）資產(chǎn)發(fā)現(xiàn)攻擊路徑發(fā)現(xiàn)企業(yè)主體主域名子域名IP地址網(wǎng)站后臺小程序證書Github代碼API服務公眾號云服務/容器郵箱賬號域名解析開放端口服務指紋操作系統(tǒng)網(wǎng)絡(luò)設(shè)備安全設(shè)備網(wǎng)站指紋應用服務網(wǎng)站接口IoT系統(tǒng)API接口

……暴露面識別漏洞情報配置安全數(shù)據(jù)泄露提權(quán)利用社會工程應用安全云安全釣魚攻擊配置安全近源攻擊供應鏈攻擊…….發(fā)現(xiàn)能力強化商業(yè)化軟件漏洞挖掘WAF繞過技術(shù)研究網(wǎng)絡(luò)攻擊檢測繞過云平臺及服務攻擊利用主機安全防御繞過虛擬化逃逸研究…….700+漏洞情報渠道移動應用發(fā)現(xiàn)平臺自動化滲透平臺HW

PoC庫動靜態(tài)數(shù)據(jù)云配置風險庫0day漏洞庫密鑰數(shù)據(jù)特征庫數(shù)百個計算節(jié)點4600+黑產(chǎn)渠道多種DNS查詢數(shù)據(jù)代碼倉庫泄漏分析話術(shù)劇本庫攻防情報聯(lián)動虛擬化安全行業(yè)研究團隊平臺與資源支撐戰(zhàn)術(shù)經(jīng)驗與人員儲備云鼎實驗室 玄武實驗室運營能力優(yōu)化（人員）數(shù)萬個

精準指紋庫供應鏈挖掘渠道失陷賬號監(jiān)測平臺基于大型互聯(lián)網(wǎng)企業(yè)攻防實戰(zhàn)能力沉淀平臺能力優(yōu)勢基礎(chǔ)引擎通用功能運營能力重點能力引入自動化工作流、整合騰訊T-VPT優(yōu)先級算法、工具庫及安全最佳實踐，最高效率識別高優(yōu)暴露面風險能力優(yōu)勢靈活

工作流引擎挖掘

過程可編排精準

管理后臺

識別深度

目錄爆破

能力廣泛

泄露監(jiān)測網(wǎng)絡(luò)獨有

云暴露面測繪領(lǐng)先

攻防對抗

經(jīng)驗高效

風險驗證

平臺測繪工具自主運營，支持第三方工具集成測繪流程 （可自主編排）測繪工具自主運營，支持第三方工具集成與企業(yè)現(xiàn)有安全產(chǎn)品或工具

無縫融合暴露面發(fā)現(xiàn)流程

按需編排、更加靈活基于自動化工作流構(gòu)建，過程可視可管理清晰了解屬于哪家子公司提供更多技術(shù)細節(jié)供分析為下發(fā)通報提供證據(jù)佐證功能亮點測繪流程 （可自主編排）測繪結(jié)果 （ 清晰可看見）及時的資產(chǎn)變動感知+靈活的實施細節(jié)控制自研

資產(chǎn)變動監(jiān)控

能力資產(chǎn)變動監(jiān)控：持續(xù)監(jiān)測業(yè)務變更，動態(tài)捕捉變更導致的新增或遺漏風險精細掃描時間控制：滿足客戶復雜業(yè)務場景安全需求，錯開客戶業(yè)務高峰期功能亮點精細的掃描時間顆粒度控制，滿足各種客戶個性化掃描需求精細的掃描

時間顆粒度控制某智能硬件客戶配置某金融客戶配置精準的管理后臺識別能力 精準的

管理后臺識別

能力場景豐富，基于金融、教育、交通、文旅、政務等多種業(yè)務場景實戰(zhàn)多識別方式，除正則外，含關(guān)鍵字庫等方式功能亮點拋棄傳統(tǒng)誤報漏報率高的正則識別方式，采用多種方式進行識別獨有的

目錄爆破分析

能力目錄暴露技術(shù)的困境目錄爆破相關(guān)的開源技術(shù)都有

10年，但

為何友商不全自動化集成？—行業(yè)目錄識別技術(shù)手段依靠狀態(tài)碼判斷，存在大量誤報導致無法運營典型案例騰訊自研目錄爆破能力基于相似度識別算法，極大減少自定義404頁面、偽200頁面噪音干擾實際為數(shù)據(jù)泄露的未授權(quán)接口response預料庫無意義預料列表語義匹配真實目錄識別算法調(diào)優(yōu)自定義錯誤頁面重定向頁面動態(tài)生成頁面誤報低誤報、低漏報深層的敏感信息、影子資產(chǎn)識別功能亮點404狀態(tài)碼迷惑攻擊隊數(shù)據(jù)泄漏風險挖掘能力引發(fā)數(shù)據(jù)泄露的“導火索”賬號泄露風險挖掘監(jiān)測范圍超過4000+黑產(chǎn)渠道，其中付費、非公開渠道100+個監(jiān)控超過200+勒索組織動態(tài)，基于資產(chǎn)自動關(guān)聯(lián)企業(yè)資產(chǎn)泄露風險功能亮點數(shù)據(jù)泄露監(jiān)測系統(tǒng)自研

JS

敏感信息檢測/API發(fā)現(xiàn)能力大量誤報功能不可用，人工運營頻繁漏報傳統(tǒng)漏洞掃描等存在的不足場景 ： 資產(chǎn)識別能力場景 ：敏感信息識別能力傳統(tǒng)掃描無法識別 接口，缺乏 識別能力JS

API

特征規(guī)則庫密鑰漏掃無法識別業(yè)務敏感信息，或僅限于網(wǎng)頁靜態(tài)內(nèi)容，未對 代碼信息進行解析分析JS敏感信息特征規(guī)則庫用戶名、密碼漏洞掃描規(guī)則以 漏洞為主信息泄露漏洞注入漏洞數(shù)據(jù)庫漏洞未授權(quán)訪問漏洞以 網(wǎng)頁內(nèi)容 暗網(wǎng) 為主JS-Eye

? 資產(chǎn)測繪（ 證書等）接口 ? 暗網(wǎng)泄露監(jiān)測憑據(jù) ? 網(wǎng)站敏感信息識等供應鏈風險評估分子公司風險評估騰訊暴露面管理-敏感信息模塊攻擊面管理騰訊暴露面管理“JS-Eye”模塊漏掃、ASM基礎(chǔ)功能+

網(wǎng)站動態(tài)腳本JS語法樹解析管理后臺識別準確度達98%以上（遠超主流友商）深入動態(tài)代碼層面持續(xù)運營的

JS

語法樹解析庫3000

+業(yè)務管理后臺積累功能亮點云暴露面風險管理能力多云環(huán)境下，傳統(tǒng)安全廠商缺乏云上安全運營實踐，對云服務及產(chǎn)品特性了解不清晰，較難識別云暴露面發(fā)現(xiàn)難點場景 ： 段檢測對云資產(chǎn)失效傳統(tǒng) 段掃描，可以很好識別資產(chǎn) 分配分散，無