数字化时代,网络边界不断扩张,安全威胁也变得愈加复杂。包括高级持续性威胁(APT)、勒索软件、供应链攻击等,新型威胁层出不穷,对企业信息安全、数据防护以及业务稳定性带来了巨大的挑战。这样的环境下,威胁情报作为网络安全的核心组成部分,其重要性日益凸显。
腾讯安全凭借强大的技术实力和丰富的数据安全经验,在网络安全防护方面始终扮演着至关重要的角色。通过积极投身于威胁情报的收集、分析、共享与应用,并从现实业务和实践中不断更新、迭代,腾讯安全构建出更加安全、可信的威胁情报;并进一步将能力产品化,为用户赋能的同时,推动产业生态的发展。
为了进一步探索威胁情报的技术应用,以及腾讯安全的实践和愿景,腾讯安全威胁情报产品规划负责人高睿、安在新媒体创始人张耀疆、易车安全总监李玲,三位嘉宾坐而论道,共话“从鹅厂安全基石到产业生态协同,威胁情报能力该怎么用”。
从人工到场景化
威胁情报的十年历程
威胁情报历经十年发展,从最初依赖人工及社群挖掘情报,发展为根据具体场景为用户提供准确判断。腾讯基于其业务的多样性,在进入此领域后,为业内构建了可以共享的数据池,并在具体的场景化上引领了威胁情报的发展道路。
Q:威胁情报经历了怎样的发展脉络?
高睿:从行业来看,威胁情报的发展和引入已有十年之久。威胁情报的核心在于将安全经验和事件转化成一种可复用的数据。起初,这一概念通过“杀伤链”得以体现,即将攻击流程细分为七个步骤,并通过数据化处理,使之转化为可重复利用的经验,而这些基础能力逐渐构成了威胁情报的核心。在实际应用中,又进一步抽象出如IOC(失陷指标)等具体概念,它通常指代失陷主机回联服务器的地址,因其便于安全设备使用而被狭义化。
从腾讯己身来看,作为互联网领域的巨头,因其业务范围广泛,尤其是在云计算领域,近年来发展迅猛。在云防护的特定场景下,腾讯亟需一种技术,能将各类安全事件凝练为可重复利用的数据资源,这与威胁情报的理念不谋而合。同时,无论是QQ、微信还是浏览器等互联网业务,均存在安全防护的需求,而腾讯的云防护体系,包括防火墙、WAF及主机防护等,也均融入了威胁情报的数据。腾讯的优势在于业务的多样性,因此有能力构建共享的数据池,既可用于整理攻防经验,又能为各业务板块提供实践支持。
Q:相比过去,如今的情报收集有着怎样的变化和提升?
高睿:最初,威胁情报因对其定义严谨,所以许多数据来源及生产流程会把控得比较严。同时,技术局限与厂商数据源限制导致数据量有限,故情报生产多依赖人工及社群挖掘。腾讯涉足此领域后,面临数据源繁多等问题,并在威胁情报运营中发现,数据疲劳已成主要挑战。换言之,数据来源广泛导致了无论是浏览器侧还是终端侧、安全防护侧,腾讯都会从多个角度发现威胁与风险。此时,腾讯的重心已非数据收集,而是需要验证其准确性、及时性及威胁类型,比如比对更多维度的数据,比如构建专家模型模拟运行,甚至进行灰度测试,以确保为用户提供准确判断。
另一方面,早期的威胁情报更偏向于通用性,对场景化要求较低。而腾讯在运营这些数据后,发现已能聚焦具体场景,如近年来频发的勒索、挖矿等。
李玲:过去,为了发现隐藏颇深、颇为复杂的威胁和风险,我们需要依赖深入到底层的检测机制,比如内存与内核级别的检测。如今,在威胁情报不断升级后,我们可以在网络层面就捕捉到相应的情报,比如银狐病毒,一旦在网络层监测到异常外联行为,我们就能迅速追溯到源头主机。
换言之,过去我们需要依赖终端安全监测agent来检测这些威胁,现在可以直接结合情报信息与终端EDR技术,以更快、更有效的方式做出应对。从意识层面来讲,这种转变也让大众更能理解病毒,以及认知到网络安全防护的重要性。
Q:对于甲方而言,威胁情报的实际应用是怎样的?
李玲:作为甲方,我们在运用情报能力时,尤为注重其在特定场景中的应用。对于如入站、出站等通用性场景,我们会联合多家厂商进行交叉验证,构建一个全面的检测体系,以确保威胁检测的全面性。
其次,在攻击面或暴露面的管理维度上,我们目前主要通过自主扫描和公开数据收集等方式进行补充。由于这一领域较为新颖,且尚未发现特别优质的数据源或单一替代方案,因此我们需要采取多种方式并行。同时,在漏洞情报方面,腾讯的情报质量在业内较高且颇为准确。尽管我们也会使用国外的情报,但它们在未经处理前可能仍存在一定问题。而腾讯在接收这些情报时,会进行进一步的质量管理。
从业务到对外赋能
腾讯威胁情报的价值呈现
历经五个阶段,腾讯威胁情报在业务领域已有卓越的实践。通过发掘合适的应用场景,与多家企业合作,输出威胁情报SDK,腾讯威胁情报实现了情报共享,并在最大化其情报效用的基础上对外赋能,旨在打造产品中最具吸引力的价值展现。
Q:腾讯在威胁情报场景化方面经历了哪些阶段?
高睿:腾讯威胁情报场景化一共经历了五个阶段。
阶段一,由于众多风险未能被及时察觉,因此重点落在了尽可能多地发出告警上。这时,流量监测设备如NDR(曾被称为IDS、IPS)扮演了关键角色,它们能够捕捉到网络中的异常行为,无论是出站还是入站方向。然而,这一阶段面临的问题是,情报作为实证性指征,单纯追求发现更多威胁会导致运营压力剧增。
阶段二,运营团队开始关注数据质量,试图在检出率与准确度之间找到平衡点。但这也带来了数据运营的巨大压力,尤其是在腾讯这样数据量庞大的环境中。
阶段三,由于不同产品对情报的需求各异,例如防火墙更注重疏通型功能,即在确认绝对威胁后才进行阻断,以避免业务受影响;而流量监测设备则更倾向于发现更多威胁。因此需要对数据进行分级,为不同产品提供定制化的情报。
阶段四,腾讯认识到情报只是解决问题的一部分,还需要与其他设备协同作战。同时在情报生产环节,反病毒引擎的准确性至关重要,其不仅能在生产时提供上下文信息,还能在实际应用中协助终端侧分析样本和网络行为。
阶段五,更多涉及业务层面,包括攻防安全以外的灰黑产、猫池、代理池、暗网等威胁标签。这些新挑战促使腾讯不断调整策略和方法,以更好地应对情报发展的过程。
Q:腾讯在威胁情报上是如何对外赋能的?
高睿:威胁情报从本质上而言就是数据,由于数据本身缺乏场景化的特性,这意味着在应用时对使用者构成了一定的门槛。鉴于此,腾讯在面对不同场景和具体问题时,自行探索出了一套产品化的思路,即在API层面进行场景化的包装,甚至将数据封装成特定的SDK,以便业务方直接使用。
许多企业希望借助腾讯的安全能力来加强自身建设,包括一些不涉及威胁情报领域的安全厂商。比如在与天融信、锐捷等企业合作时,腾讯会输出威胁情报的SDK,即引擎。天融信现已全线集成了腾讯的SDK,在私有化场景下,即使完全不联网,也能利用这些情报进行辅助研判。这种合作方式相较于传统的API或数据解耦式合作更为全面,因为它不会因缺乏场景而导致效果片面。
Q:在业务层面,威胁情报的应用是怎样的?
李玲:对于甲方而言,在举办活动时,面对薅羊毛和刷流量等行为,我们需要相应的威胁情报能力。此外,在登录环节,我们也存在合规性的需求。而随着实名制和登录合规要求的提升,甲方在这方面也需要威胁情报的支持,以便能批量完成合规工作。此外,由于目前资讯相关业务较多,包括发帖、回帖以及图片管理等,我们也需要多维度的情报支持。这些情报不仅涉及违规内容的识别,还包括谣言的监测,以确保我们的资讯更加健康、安全。
Q:作为甲方,我们该如何应用、运营自身的威胁情报体系?
李玲:从应用角度来看,最常见的事前、事中、事后防护体系中:
事前防护主要依赖威胁情报,关注新威胁及预防体系,包括0day、1day、舆情情报、攻击链情报及合规情报。
事中采用纵深防御,无论是在网络、主机还是应用层,都结合规则与情报进行全面检测。
事后则需专业细致的情报来支撑溯源。
此外,甲方需运营自身情报,通过复盘事件与漏洞,建立标准情报基线,并应用于所有纵深防御系统,以此形成闭环。同时,甲方需要大量威胁情报来检测环境。威胁不可避免,但若无漏洞则无法产生风险。因此,应将所有威胁情报广泛应用于检测中,发现风险并及时管理漏洞。
对用户、生态而言
不可或缺的腾讯服务
腾讯威胁情报拥有成熟的线上SaaS化能力和订阅模式,能全方位保障用户体验。同时,腾讯凭借多样化的产品形态,与安全厂商及甲方客户紧密合作,共同推动资源共享,以此满足威胁情报生态的繁荣发展。
Q:腾讯威胁情报有何独特的能力和优势?
高睿:腾讯与其他厂商的区别在于:
首先,腾讯率先将情报能力付诸内部实践,并且应用范围广泛,众多情报数据已大量应用于集团内部业务。
其次,腾讯会积极寻求与业界各方的合作,无论是甲方还是乙方,都持开放态度。传统安全领域在威胁情报方面往往倾向于保守,倾向于将数据限制在特定黑盒用户内,而非推动共享。但作为情报的运营方及拥有十多年安全建设经验的腾讯,深知威胁情报的价值在于共享,只有如此,才能最大化其效用。这一点,在腾讯的威胁情报SDK产品上体现得尤为明显。
Q:腾讯威胁情报产品会以怎样的方式服务于用户?
高睿:威胁情报作为一种产品形态,其本质更倾向于订阅模式,因为订阅模式能够为情报提供持续的质量保障。试想,如果向客户出售一个为期十年的产品,却在一锤子买卖后不再负责,那么后续九年的信誉度将成疑。相反,若采用订阅付费的模式,对于用户而言,每年都能保持相同的高质量要求,这显然更为合理。然而,就中国国内现状而言,许多甲方企业仍倾向于一次性买断,以减少依赖或实现自我掌控。而腾讯在此领域的优势是,作为公有云运营商,其线上SaaS化能力已相当成熟,拥有完善的订阅模式并配套了相应的团队,因此能够全方位保障用户的使用体验。
Q:腾讯会如何助力威胁情报的生态环境?
高睿:如今,对威胁情报而言,“买卖之后,用所得资金进一步发展产品”的模式已不再适用于威胁情报的生态发展。因此,腾讯深入反思了业界的发展历程,并结合自身特点,探索了一系列模式创新。
首先,从角色定位上看,腾讯非常适合参与构建这一生态。腾讯能够提供丰富的数据与多样化的产品形态,与安全厂商及甲方客户展开紧密合作,共同推动资源共享。
其次,作为互联网厂商,腾讯具备一定的中立性,且在品牌建设、资源整合等方面具有独特优势。腾讯能够通过多方联动,为合作伙伴赋能,推动生态的繁荣发展。
此外,腾讯还与信通院等组织携手,致力于制定一套更加实用、易于落地的威胁情报标准。此标准将着重于降低使用门槛、明确应用场景与形态建议,以类似于API手册的方式提供统一指导。值得一提的是,此标准是开源标准,旨在向甲方传递一个积极信号:即使使用了腾讯产品,也不会产生依赖性问题。
腾讯在互联网模式方面拥有丰富的经验。在推动情报共享的过程中,腾讯愿意提供一些免费模式,以支持刚起步的安全企业及对威胁情报感兴趣的企业进行前期试用,这样就能降低它们的适配成本,为业内生态带来更有效地推动。
Q:社群等形式的组织能否助力生态发展?
高睿:若以社群形态来运营,用户群体多偏向于个人角色,如安服人员或企业的安全运营人员。他们提供的情报虽与腾讯在海量数据、多维度防护(包括云上、端侧等)方面具备互补之处,但由于情报内容过于细小且具体,虽有代表性却缺乏覆盖率。因此,要构建一个既能满足这些具体需求,又能形成有机结合的体系,目前而言难度较大。
然而,这一领域还是有很大的加强空间。目前已有一些安全厂商、企业和机构在涉足此领域,未来这些平台之间若能加强互动与互补,无疑将对整个行业的发展产生积极的推动作用。
不止AI
威胁情报的变革与创新
AI为威胁情报领域带来了新的影响和提升,同时也进一步彰显了安全工作的复杂性。此外,国内威胁情报市场相较于欧美仍存在巨大差距。未来,威胁情报将融入更多安全产品和应用场景,这样才能为企业、社会、国家带来更安全的保障。
Q:AI对威胁情报而言有着怎样的提升和影响?
高睿:目前,与威胁情报相关的AI大模型,其主要应用场景在于风险解读、告警分级以及运营降噪,这些方面与情报工作有着诸多契合之处。而对于常规性的攻击事件,由于运营能力的提升无疑会提高处理效率,因此所需人力也将逐渐减少。
然而,攻防对抗的核心始终在于人的因素,其变化难以用规则来描述。因此,所产生的新的问题,需要人力去挖掘并辅助算法进行提升。甚至可以说,新问题的出现会丰富大模型的语料库,使其需要更多数据来进行运算,从而生成更优质的模型。所以,至少在短期内,运营人员仍然是不可或缺的。
李玲:在AI+威胁情报的实际应用中,效果最为显著的是降噪功能。然而,降噪之后,我们观察到虽然人效有所提升,但工作的复杂性却增加了。从现实来看,降噪的过程相当于将最基础、每天需要人工重复处理的任务交给了AI,从而解放了人力资源,这样安全运营人员就能转向研究更深入、更具挑战性的安全问题。但当我们的安全人员深入这一领域后,突然发现,安全工作竟变得更为复杂了,所揭示的问题也变得更加深刻了。这不禁让人联想到行业内的一句玩笑话:“没有安全部门,或许就没有安全问题;正因为有了安全部门,安全问题才层出不穷。”
Q:未来,威胁情报还能有着怎样的发展和革新?
李玲:随着安全领域所积累的数据日益增多,目前仍面临着告警疲劳等挑战,而告警量巨大可能会导致一些重要的安全事件被忽视。其次,情报特征的应用需结合具体场景,通过对数据的标准化处理,使其能够更有效地用于异常事件的提取。我们期待未来能有更多的标准化情报出现,并且这些情报数据的深度和广度都能得到增强。这样,无论是对于我们甲方用户,还是对于整个安全大数据领域里,安全事件的挖掘方面,都能发挥出更大的作用。
高睿:威胁情报真正的价值在于能够服务于多样化的场景并解决更多的情报问题。而就中国市场而言,威胁情报相较于欧美市场,尤其是美国,还存在几十倍的差距,这表明在中国,威胁情报有着巨大的发展空间和潜力。随着威胁情报逐渐融入更多的安全产品和应用场景,其将成为更为基础的资源。届时,我们可能会发现更多的问题和场景,威胁情报也将不再是一个老生常谈的话题,而是自然而然地融入到我们的日常生活中。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。