威胁情报被集成加速,强强联合助力构建数字安全免疫力

新闻
8月前

11月16日,由腾讯安全、中国信通院和CSA大中华区研究院联合发起的“安全先行者系列”之《威胁情报技术趋势与应用研讨会》召开,本次研讨会邀请业内多位专家与嘉宾共同分享威胁情报发展的整体进程、有效应用案例及经验,以探索建立一个全方位、多级别、多领域、多渠道的安全运行体系。

网络安全形势日益严峻,威胁情报“被集成”加速

当前我国数字经济快速发展,中国信息通信研究院《中国数字经济发展研究报告(2023年)》数据显示,2022年我国数字经济规模高达50.2万亿元,其中数字产业化规模为9.2万亿元,产业数字化规模为41万亿元。国家出台多项政策法规加强数字经济的顶层规划和统计,制造业、金融和能源等多个行业走上数字化转型发展道路,我国产业数字化各项工作进入快车道。

然而,随着网络规模的不断扩大,网络攻击数量激增,企业面临多变复杂的安全威胁。研讨会上,信通院云大所开源和软件安全部副主任孔松表示,信通院云大所围绕威胁情报新发展态势开展了系列研究,并将发布《威胁情报最新洞察》,她表示,安全防御与外部威胁对抗处于不对等地位,而威胁情报作为应对数字化时代新需求中原生安全体系的重要组成,可以通过多种赋能形式实现先发制敌,实现由被动抵御到主动防护,进而帮助企业掌握安全主动权。

此外,作为整个安全体系的必备东西,威胁情报能协同安全工具, 赋能安全运营技术新活力,如联动防火墙提升流量识别能力,联动WAF强化应用与业务的可信访问,联动SOC提升海量安全数据中的安全运营效率,营造情报共享生态,提高企业整体安全资源利用率。

20231117183145.png
信通院云大所开源和软件安全部副主 
任孔松

针对网络攻击行为呈现更具隐蔽性与持久性的发展趋势,CSA大中华区研究院执行院长吕鹂啸指出,AI的出现为威胁情报提供了更有效、更高效的新方向,是安全研究领域的一个新突破。吕鹂啸结合云、业务、安全的发展历程,基于市场生命周期的维度,通过四季象限代表云安全的关键技术方向的不同阶段,对当前的AI的安全技术进行了前瞻性的预测。他表示,从信息化时代走内部流程,到数字化时代打造线上线下协同,再到智能化时代的AI驱动,数字化与智能化带来了网络空间延伸和数字主权新趋势。使用新的模型覆盖云、网、边、端、数、应六大数字场景和资产,借助AI对互联网产品和企业安全有重要作用。

20231117183226.png
CSA大中华区研究院执行院长 吕鹂啸

因此,作为企业安全防御“化被动为主动”的利器,威胁情报具备诸多优势,可提前获取攻击者的攻击工具、攻击途径、攻击意图等信息,直接推动安全事件的快速响应。随着网络安全形势的不断升级,威胁情报平台在保护网络安全方面的地位越来越重要。

以实战化威胁情报,为企业注入安全免疫力

腾讯安全情报资深专家胡龙在《威胁情报技术与应用探索》主题演讲中认为,威胁情报作为核心原子能力,对安全业务十分重要。从需求端看,超过半数的企业会生产并使用威胁情报,威胁情报已成为重要的生产资料且可单独售卖;从供给端看,几乎所有安全产品会用到威胁情报。

作为腾讯数字安全免疫力产品矩阵中的重要一环及原子能力之一,腾讯安全威胁情报能力持续进化。在构建威胁情报原子能力上,依托腾讯自身大规模的实践,威胁情报原子能力在资产范围、威胁角度、用户体验上进行的升级,帮助金融、泛互、汽车、物流、能源和重保等领域用户实现更精准的有效防护。

在“前店后厂”合作模式上,腾讯安全与科恩实验室、安全大数据实验室、玄武实验室深度合作为威胁情报入更强的底层技术和数据支撑能力。腾讯安全科恩实验室聚焦情报原子能力的大模和提升,通过构建产品矩阵,布局攻击面管理、情报SDK新赛道,SOC+团队则打造情报产品矩阵,赋能内外部产品。与此同时,腾讯安全拥有覆盖云、管、端的复杂异构情报源,通过构建安全数据体系,能够实现情报挖掘、情报运营和产品应用效能的全面提升。

任何威胁情报能力和体系,都必须来源于实战,回归于实战。威胁情报的价值就在于它能赋能整个安全生态,促进产业发展。

一是威胁情报提供API/SDK,作为原子能力持续服务安全生态;二是用SDK实现威胁情报与安全产品实现底层适配,可以降低门槛;其次腾讯安全威胁情报产品进一步升级SDK部署能力,性能提升40%。同时,SDK是易适配的高性能组件,集成方式不受限。最终,从产品场景到业务场景,威胁情报达到对多元安全产品赋能的效果。如今,腾讯安全全线产品已集成情报能力,产品具备实战主动防御能力。

经过腾讯自身以及腾讯安全全系列产品的实践检验,腾讯还将威胁情报能力输出助力企业提升安全免疫力,推出集成基础情报、攻击面情报、业务情报三大情报能力的开放平台——腾讯安全威胁情报中心(TIX) 。腾讯安全威胁情报中心(TIX) 目前已经构建了国内最完整的情报触点网,覆盖云、管、端以及安全产品等积累的安全防护数据,每日处理安全数据可达30000亿,自产情报数量占比95%以上 ,高精准IOCs情报准确率达到99.99%。目前,腾讯安全威胁情报中心(TIX) 服务内外部超数千家客户,每日调用超数十亿次。

威胁情报充分利用海量黑灰产数据、攻防能力与算法积累这三大优势不断发展,融合AI、攻防和数据三大能力实现了产品化,其中TIX 威胁情报中心赋能生态产品,SOC安全运营平台提升威胁运营效率,NDR 以实战驱动智能化部署网络安全防护体系,MDR构建最佳的安全运营效果,最终,威胁情报为客户数字安全、风控反欺诈产品以及安全服务注入了核心竞争力。

20231117183250.png
腾讯安全情报资深专家 胡龙

强强联合加速度,威胁情报标准正式启动

研讨会下半场,锐捷安全产品、天融信科技集团、绿盟科技等企业负责人通过与腾讯安全的战略合作,从优势互补的角度探讨了威胁情报能力“被集成”战略的实际应用落地。

针对当前威胁情报行业,不缺后端数据情报生产,也不缺前端情报和架构安全的结合,但缺乏能提供一站式情报服务的可落地情报方案的现状,锐捷安全产品事业部战略部总监邬猛以“场景创新,共守网络边界安全”分享了锐捷和腾讯强强联合的合作方案,双方安全能力被集成,联手推出一款集成了腾讯安全威胁情报的新一代防火墙。

在威胁情报方面,腾讯安全威胁情报中心TIX拥有强大的情报生产能力;在安全能力方面,锐捷具备精细化的安全策略,拥有提供下一代防火墙的强大安全防护能力;在开发实施过程中,锐捷和腾讯深度调研防火墙产品的场景特点,结合腾讯安全大数据能力,锚定情报应用场景关键点。腾讯提供整套情报TIX-SDK集成套件和授权,锐捷在此基础上进行威胁情报的融合,并联合创新突破阻断时效性、精准度、性能等多项难题。

天融信科技集团产品总监黄雅静通过腾讯安全与天融信的情报集成合作,探讨共建企业边界安全免疫力的新模式。随着网络安全威胁趋于复杂化、智能化、多元化,勒索攻击频发,供应链攻击、API攻击加剧,天融信下一代防火墙与腾讯安全威胁情报携手搜集多元安全威胁,实现主动防护、动态防护,提高整体安全防护能力。

天融信下一代防火墙融入了AI智能检测引擎,通过AI技术感知加密流量检测、隐蔽通道检测等能力。腾讯安全拥有面向C端丰富的黑灰产知识图谱、雄厚的攻防知识积累和面向终端的安全工具,补充完善了天融信的威胁情报能力,使天融信威胁情报更加全面,覆盖面更广,双方深度合作使天融信下一代防火墙快速搜集更完善的多元安全威胁,实现主动防御和动态防御。

在实际客户应用中,防火墙+腾讯威胁情报的联动,让客户网络边界具备了较强的出站安全检测和阻断能力,通过快速检测、实时阻断,显著降低了客户面临的安全威胁。

绿盟科技主任研究员欧帅则分享基于典型安全场景的威胁情报应用实践,他表示,面对威胁情报应用过程的关注点及其痛点,诸如高时效、可信任、分场景、可融合、智冲突和特殊化等,绿盟威胁情报中心为用户提供更精细更准确的情报应用,“可信任”情报应用同时兼顾“全”与“准”,“云地联动”模式保障情报应用时效性,本地化威胁情报平台应用照顾到“特殊性”和情报融合需求。

在研讨会的最后,腾讯标准资深专家刘海涛宣布由腾讯、中国信通院等单位联合牵头的《威胁情报能力集成技术要求》团体标准在粤港澳大湾区标准创新联盟正式立项,内容聚焦于威胁情报的三种主要集成方式(API、SDK、本地化)和四种主要协同模式(云工作负载保护平台+威胁情报、防火墙+威胁情报、WAF+威胁情报和SOC+威胁情报)。目前,标准已启动草案的编制工作,计划2024年H1完成标准制定并发布。

图片

刘海涛表示,希望通过威胁情报的标准化工作,一方面促使威胁情报的广泛使用,从而带动威胁情报相关产业合作和产品、服务的规模化发展;另一方面以标准化保障威胁情报的质量和准确性,从而提升社会总体和组织内部的安全防御能力,减少安全事件的发生和损失。

在AI大模型时代,网络安全比任何时候都更重要。未来,腾讯威胁情报能力将继续进化和壮大,依托海量黑灰产数据、攻防能力、算法积累三大优势能力,威胁情报正稳步迈向智能安全阶段,建立开放平台和安全合作生态将是其发展的重要趋势。 

— 【 THE END 】—