数字化进程的加速发展以及新技术的引入使网络攻击手段日益复杂,AI技术让攻击手段更加隐蔽。为此,企业需升级防御技术应对安全挑战。威胁情报作为网络生态安全中关键的一环,能以其灵活的形式与现有安全工具协同合作,因此,加强威胁情报的技术投入和应用普及,对于提升数字经济安全水位、护航产业数字化发展意义重大。
为了探索威胁情报如何高效地应用在各类网络安全产品中,以实现信息共享、策略联动与防御协同,8月16日,中关村网络安全与信息化产业联盟联合腾讯安全发起威胁情报技术应用沙龙,汇聚腾讯及各行业领先企业的安全专家,共同探讨威胁情报在企业安全体系建设中的联防联控,助力企业升级知己知彼一体化安全免疫力。
智能安全新阶段,威胁情报应用场景更加广泛
当前,随着数字化转型的迫切需求,威胁情报应用在各类网络安全产品中成为趋势。中关村网络安全与信息化产业联盟秘书长邹冬在开场致辞中介绍,威胁情报是智能化时代网络安全生态中不可或缺的一环,可以让企业在安全对抗中处于主动且有利的位置。
面对钓鱼攻击、社工攻击、漏洞攻击等攻击手法更频发、更隐蔽、更难以防范的现状,一方面,威胁情报以其灵活的形态,能和各种现有的网络安全产品联动,为产品赋予智能的“千里眼”和“顺风耳”,快速提升产品防护能力,为企业的安全防护注入“接种式疫苗”;另一方面随着厂商不断升级威胁情报,这项技术的全面性、即时性和准确性不断提升,企业如何有效运用威胁情报对自身安全发展意义重大。
中关村网络安全与信息化产业联盟秘书长邹冬
公安部第三研究所研究员任卫红和中国科学院计算机网络信息中心研究员肖彪分别就威胁情报的典型应用进行了分享。任卫红着重讨论了威胁情报在关键信息基础设施保护中的重要性,而肖彪则介绍了威胁情报在实际应用中的信息,展示了其广泛的应用场景。
公安部第三研究所研究员任卫红
中国科学院计算机网络信息中心研究员肖彪
威胁情报需求增长,腾讯安全威胁情报产品适应发展
威胁情报的赋能作用无处不在,无论是短期安全决策还是长期安全规划,这项技术的应用价值都在显著提升。随着威胁情报在追踪攻击者方面的能力日益增强,企业对具有战略意义且与组织紧密相关的情报报告需求也在持续增长。
Gartner发现威胁情报服务被广泛用于制造、通信和媒体、IT服务和软件、零售、金融、医疗保健和公用事业的战略决策等,同时金融和政府垂直市场是主要消费者。此前,Gartner发布了《2024年专用移动网络服务成熟度曲线》报告,腾讯也凭借威胁情报中心攻击面管理入选该领域“代表厂商”。
腾讯威胁情报产品总经理聂森表示,威胁情报是腾讯整体安全能力的放大器,集合了腾讯安全二十多年发展以来与黑灰产对抗的经验并持续进化,助力企业建立“攻击者”视角的主动防御体系。
腾讯威胁情报产品总经理聂森
据了解,去年7月18日,腾讯安全宣布升级威胁情报产品,新版本在资产范围、威胁角度、用户体验上进行升级。在威胁情报攻击面管理能力上,升级后产品覆盖企业全量数据资产,并对攻击面风险发现范围升级。在SDK部署能力上,其组建性能提升40%。在数据支撑能力上,腾讯安全科恩实验室表示其在云原生场景进出生产流程的数据量提升3倍,SAS沙箱吞吐量提升了2.4倍。
在会上,腾讯安全威胁情报产品规划负责人高睿具体介绍了腾讯威胁情报的技术能力及应用场景。腾讯安全威胁情报中心能提供一站式情报服务,包括威胁情报本地检测引擎SDK、威胁情报云查服务API、反病毒引擎TAV、威胁情报查询分析平台TIX、攻击面管理ASM、本地威胁情报平台TIP等。在安全运营和应急响应中,腾讯安全提供的威胁情报能力可以通过不同的产品形态与生态合作伙伴的产品进行有机集成,确保在攻防对抗中能够识别关键威胁,提升安全运营效率,帮助最终用户构建知己知彼一体化安全体系。
腾讯安全威胁情报产品规划负责人高睿
在商业化合作层面,腾讯安全威胁情报产品也提供了多种合作模式,不止包括产品级集成的SDK、API形态,还包括可转售、项目组合方案的SaaS化产品和私有化平台,目前已经与多家合作伙伴形成了合作方案。
作为一种助力主动防御的安全能力,威胁情报能够提供攻击者行为、工具、技术的相关指征,从而更好地预测和应对潜在威胁。腾讯安全威胁情报团队也衷心欢迎更多合作伙伴的加入,提供更多威胁情报实践的应用案例。
威胁情报与安全产品联动,助力企业安全防御体系升级
基于威胁情报技术的应用价值和发展趋势,在不同的应用场景,威胁情报是如何服务企业安全体系架构建设?会上,中科曙光、天融信的安全负责人也分别从信息基础设施和科技公司角度分享威胁情报的思考和实践,为企业应用威胁情报技术提供借鉴与参考。
中科曙光集团网络安全产品研发总经理李锋伟分享了威胁情报在曙光网络安全产品中的探索与应用。作为国内信息基础设施的领军企业,中科曙光在整合腾讯威胁情报后,对网络安全产品进行了深入的探索和应用。
李锋伟表示,网络流量分析系统在关键威胁的快速识别、海量告警的处理以及复杂事件的处置上存在挑战。为了应对这些难题,目前,曙光公司已经推出了两款新产品,这些产品全面融合了腾讯的威胁情报库,双方携手打造高性能国产化安全产品,并面向数据中心防护、等保、企业安全、网络审计等多场景推出产品与方案。
中科曙光集团网络安全产品研发总经理李锋伟
而天融信作为腾讯安全多年的好伙伴,自2019年起双方就开始在前沿技术、产品研发等方面展开深度合作,此前双方曾签署合作协议将威胁情报能力集成到防火墙产品中,强强联合打造的下一代防火墙,在不断升级进化中,腾讯安全为天融信提供更强的边界安全防护能力。
天融信科技集团的产品总监黄雅静重点阐述了腾讯威胁情报在其产品中的应用效果,突出了数据的多样性、实时性、精确度和低误报率等关键优势。得益于腾讯威胁情报的支持,产品具备了小时级情报感知和秒级情报验证的能力。此外,产品根据不同行业和场景的需求,实现了定制化的应用和推广。目前,该技术已成功部署在一所顶尖985高校的出口防火墙中,并与腾讯威胁情报集成,运行效果良好。黄雅静表示,未来将与腾讯安全进行深度合作,陆续发布集成威胁情报的产品。
天融信科技集团的产品总监黄雅静
威胁情报向成熟期迈进,未来扩大合作场景
去年9月,信通院与腾讯合作启动的威胁情报能力集成技术要求团体标准引起了关注。当前,大量情报数据的处理常常以明文形式进行,这使得用户在分享情报时有所犹豫。情报工作不仅需要收集数据,还需要进行专业的分析和对海量数据进行有效的检索,这增加了情报工作的专业性和使用难度。
因此,行业人士建议从应用视角推动标准建设,并将安全厂商的产品与情报厂商的服务和能力整合,最终提出一个专注于情报能力和服务集成的标准,从而不断完善这一标准。
腾讯标准副总监黄超强调,标准对安全产业的发展至关重要,它有助于规范情报数据的生产与使用,确保情报质量,并促进厂商间的共享与协作,推动整个行业的发展。这从侧面反映出威胁情报市场逐步走向成熟。
腾讯标准副总监黄超
随着相关技术能力的进一步发展,威胁情报将以更多样化的形式融入企业整体网络安全防护体系,并发挥越来越重要的作用。未来,腾讯安全将致力于构建一个甲乙方协同的威胁情报生态系统,将攻防经验和数据积累转化为先发制人的威胁情报,打造更具前瞻性和适应性的数字安全防护体系。