近年來，攻防演練趨于常態化、實戰化，實網演練時間拉長、參與主體增多、安全挑戰升級，對企業安全建設提出了更高的要求。在當前的攻防對抗條件下，特別是在AIGC等新興技術的發展推動下，出現了哪些最新、最難防守的攻擊手法？面對挑戰升級，金融企業如何利用新的理念和技術產品提升自身實戰能力？以及未來，攻防演練的方式和趨勢將發生哪些變化？

12月19日，騰訊安全聯合數世咨詢、金科創新社舉辦“企業安全，攻防有道——企業在攻防演練中的實戰智慧”直播研討會，由數世咨詢創始人李少鵬主持，并邀請到北銀金融科技有限責任公司安全團隊負責人張勇、騰訊安全玄武實驗室高級攻防專家丁天澤、騰訊安全云鼎實驗室高級安全服務專家藍江平，圍繞攻防實戰化現狀與未來趨勢的變化展開專業討論，分享典型攻防案例及防御經驗分享，探尋攻防常態化趨勢下的金融安全發展路徑。

攻擊視角

最新攻擊手法具備什么特點？

李少鵬：聚焦金融行業，目前存在哪些難以防御的新型攻擊手段？它們各自有哪些特點，使得傳統安全措施難以有效應對？

丁天澤：基于攻擊方視角，隨著攻防演練的深入，攻防常態化和時間延長為攻擊方提供了更多機會針對高難度目標，特別是在國產化趨勢下，國內軟件逐漸替代原有產品時出現的0day漏洞成為攻擊方關注的重點，此外，企業在更新IT基礎設施時可能引入新的安全弱點，為攻擊者提供可乘之機。

不同于依賴明顯的安全漏洞，單點登錄系統（SSO）攻擊、非常規入口RCE漏洞和邏輯漏洞這兩類新型攻擊手法的特點在于利用現有系統的正常功能和邏輯缺陷，使得傳統安全防護機制難以有效應對。

藍江平：從防守方視角來看，當前的攻防技戰術變化不大，常見的攻擊手法仍為0day漏洞利用、Web攻擊、供應鏈攻擊及社會工程釣魚等傳統方式，盡管手法老套但仍具威脅。大型企業的做法是繼續遵循體系化防御策略，涵蓋代碼審計、滲透測試與整體安全防護，企業還需關注合法用戶的異常行為和提高告警的準確性和置信度，以有效應對威脅。

李少鵬：以上提到的攻擊手法，是不是目前在金融行業碰到的數量最多的？

張勇：金融行業業務模式廣泛，線上線下渠道眾多，包括APP、小程序、H5等互聯網系統和線下網點的智能終端，這使得攻防范圍更廣，需要關注更多潛在的安全威脅。另外，0day和API都是當下仍需關注的挑戰，特別0day總是防不勝防，對此，我們團隊成立了“精衛安全攻防實驗室”，專注于攻防技術研究，利用大模型進行自動化信息收集，提高攻擊演練效率。

李少鵬：除了研究0day外，還有哪些方便公開透露的攻擊手法嗎？

丁天澤：隨著攻防演練時間的延長，攻擊方策略從快速直接轉向慢速隱蔽，攻擊者開始轉向更具行業屬性的釣魚方式，如招投標或項目合作等，并且更加注重利用與目標行業業務強相關的情境進行釣魚攻擊。由于攻擊者更了解防守方的培訓和防范措施，因此能夠設計出更隱蔽、更難以被識別的攻擊手法，以提高攻擊的成功率。

李少鵬：隨著AI在防守方應用日益廣泛，攻擊方是否也大量在使用AI輔助，具體方式和效果如何？

丁天澤：攻擊方利用AI生成高度定制化的釣魚郵件內容，同時AI被用于加速信息收集過程，處理大量非標準化文本信息，如從外部網絡和API文檔中提取關鍵數據，大幅節省了人力和時間。在工具開發方面，AI輔助編寫滲透測試所需的定制化腳本和工具，通過生成接近完成的代碼，使攻擊者只需稍作修改即可使用，極大地提高了生產力。幾乎所有的釣魚攻擊都已經接入AI能力，成為標準流程的一部分。

防御視角

金融機構攻防對抗最佳實踐

李少鵬：針對釣魚工程，防守側除了意識培訓，有沒有哪些具體的防社工釣魚的方法？

藍江平：面對不斷演化的社會工程釣魚攻擊，目前形式主要有郵件、即時通訊（IM）工具（如企業微信、釘釘等）、電話和短信等，防守方需要采取多層面的防御策略，包括技術防御和人員培訓，信息收集和對抗都十分重要。當然無論什么技術，最后還是要回到保護信息資產的本源上來。

李少鵬：銀行等金融機構作為攻防演練中的防守方，如何構建有效的安全體系？如何進行員工意識培訓以應對潛在的安全威脅，可以制定怎樣的策略？

張勇：在員工安全意識層面，采用定期安全培訓和考試，將培訓成績與部門績效掛鉤，同時，使用郵件網關和安全沙箱技術來攔截釣魚郵件，并探索利用大模型進行內容檢測和識別，為員工提供一個安全助手入口；在應急響應方面，建立快速監控和響應機制，采用SOAR技術提高響應速度，并創建線上作戰室以快速集結相關人員分析研判可疑攻擊。此外，引入AI技術進行告警關聯分析并保持長期警惕和實施24小時值守輪班制度，來確保全天候的監控和響應能力。

李少鵬：隨著攻防演練時間拉長，怎么平衡好攻防演練和人員精力關系？

張勇：的確，常態化的攻防演練在提高企業防御能力的同時也帶來了資金和資源的投入，需要找到合適的平衡點。在人員動員方面，非專業安全人員如運維團隊可以通過培訓和溝通參與到高強度的防守工作中，提高整體安全防護。對于運維與安全的一體化趨勢，大型機構由于網絡環境和業務場景的復雜性，運維和安全崗位可能會保持細分，但在中小企業中可能會出現一體化的趨勢。在管理層面，一些銀行機構已經實現了安全部門和運維部門的融合，以實現更好的協同工作。

新產品、新理念

企業實戰能力提升路徑

李少鵬：如何將攻防演練中采購的服務和能力融入企業日常的業務和經營管理呢？這不是技術問題，而是一個管理問題。

藍江平：安全產品需要從單純的合規驅動轉向實戰效能驅動，通過引入如BAS、EM等新技術和工具，結合自動化攻擊模擬與驗證，以及安全托管平臺的應用，來全面提升企業的防護能力和響應效率。騰訊安全新的解決方案：

? BAS（模擬攻擊系統）：騰訊安全云鼎實驗室自研的BAS系統，結合EM（企業資產監控）工具，能夠持續發現企業對外發布的資產情況，并實時探測已知或未知的漏洞。這不僅提高了漏洞發現的及時性，還能驗證現有防護措施的有效性。

? 自動化與驗證結合：通過自動化攻擊模擬和安全驗證相結合的方式，可以實現7×24小時的常態化防護，減少對大量人力的依賴，同時提高效率并降低成本。

? 安全托管平臺（MS）：將應急響應流程數字化，使事件處理更加高效，確保事件主動找人而非人去找事件，提升了整體響應速度和準確性。

李少鵬：未來，攻擊手法會有哪些方面的變化？

丁天澤：攻擊常態化的背景下，攻擊手法日益隱蔽，AI技術的加持以及企業海外業務防御不足，就需要特別注意海外業務的安全防御，以彌補演練中的盲區，注意提前為海外業務制定防御預案，以應對實際威脅。

藍江平：事實上在防守方面只要服務方能提供真正的價值，如提供可靠技術工具產品、建立客戶信任、產品本身的經驗沉淀，以及服務方在幫助甲方提升安全能力方面的作用，這些做足了就能贏得客戶的信任和采用。

張勇：希望供應商在未來能夠更加積極主動地進行戰時情報共享，確保已發現的漏洞不會在合作伙伴之間反復被利用。