威胁情报产品能力升级&生态合作能力2.0发布

腾讯威胁情报产品规划负责人高睿主讲人： 网络安全市场的“孤岛求生” 如何破局安全运营建设的碎片化 安全行业现状：有挑战、有思路、有困难 “赛博”世界网络化,安全防护孤岛化 业务现状：互联网业务发展快，安全防护能力跟不上 挑战：对抗压力大 有困难：供需关系与情报共享 有思路：威胁情报联动 外部：常规威胁专业化 应用威胁情报实现主动防御 内部：孤岛性产品部署仍是主流 情报相关预算投入增长＞30%（各行业头部客户使用意愿＞80%） 攻击者角度： 惯性思维，“糖葫芦”式建设； 可标记攻击者最新资产； 前期准备很充分； 大量补丁策略如“添油战术”； 可快速精准分级攻击事件； 情报生产依赖数据积累+攻防经验大量企业通过自研仅解决有无问题 攻击方式多样化； 规则简单松弛，造成大量虚警； 可提炼最新的技战术指标； 常规攻击APT化； 格式不统一，无法形成联动； 甲方缺乏有效评估手段，含泪继续用用户侧对情报效果褒贬不一 可为事件响应、溯源分析提供建议。 失陷状态发现很晚； 重复性建设，未达成能力提升 攻击者技战术提升+社工方式，很难防御 基于全面的威胁视野进行专业化运营 传统的安全防御方式显得愈发捉襟见肘 政策、标准、研报：鼓励网络威胁防护层面的生态合作 政策法规 国家标准 国内外研报 国标–情报格式 Gartner “十四五”《纲要》 聚焦在选择技术领先且应用可落地的情报供应商，以减少对海量告警分析投入过多的分析压力。《Market Guide for Security Threat Intelligence Productsand Services》Gartner, 2023.05 GB/T 36643-2018《信息安全技术网络安全威胁信息格式规范》：定义了一个通用的网络安全威胁信息模型，从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述。 •强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。 36.7%的企业缺乏将威胁情报工具集成到其环境中的技术能力。《Network Threat Intelligence Boosts EnterpriseCommunications Security》Gartner,2024.06 中华人民共和国网络安全法 •第二十九条：国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，对信息收集、合作与建立相关行业标准与合作机制做出了积极的指导意见•第五十一条：国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息•第五十二条：负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息 赛迪顾问 国标-等保2.0 安全厂商更多的是将威胁情报作为一种高级安全能力，赋能到自有网络安全产品和服务中，与防火墙、WAF、蜜罐、IDS/IPS、SOC、XDR等产品联动，助力企业对高级威胁、新型威胁进行识别和处理，帮助企业来实现自身安全能力和体系的升级。《中国威胁情报市场研究报告（2023）》 GB∕T 28448-2019《信息安全技术网络安全等级保护测评要求》中，首次提出了对“威胁情报检测系统”和“威胁情报库”的要求。 基于威胁情报集成的安全产品实践 情报之于产品，本质上是一种安全能力“加乘” 威胁情报产品矩阵：全面支持生态合作模式 能力基础：科恩实验室安全大数据挖掘与攻防对抗经验 如何集成？——腾讯威胁情报产品系列对接方式 需求背景 •对于新型威胁造成的失陷主机，存在漏报情况。•用户互联网业务防护方面，目前告警中误报较多，安全设备会将部分公共服务IP误拦截，影响了正常业务的开展。 伙伴在优化过程中遇到的痛点 •在流量检测、边界网关扩大规则检测范围后，造成了告警过多的问题。•临时采用过API方式对接，但是延迟较高无法做到实时阻断。•对于部分高可疑来源分析时，缺乏上下文画像信息。无法判断来访源是否是否是VPN、TOR等不可靠资产。 合作后收益 •防火墙：对于矿池识别、C2回连等威胁行为获取了判断依据，误报也大大减少。且由于SDK-Lite兼容度高，系统资源占用少，未影响大吞吐流量业务。•流量检测：重保期间，针对可疑来源告警进行了身份标签标记，及时有效上报。•态势感知：增加告警分诊手段，关键告警进一步压缩70%。 案例2：反病毒引擎应用案例 需求背景 •对于攻击者利用社工手段造成的钓鱼远控攻击，不具备有效识别能力，特别是进一步横向渗透后，难以寻找关键证据。•因为钓鱼攻击低成本，变化快，成功率高，隐蔽性强，一旦目前自研的引擎能力不足，而境外引擎能力覆盖国内样本能力有限，且服务跟不上。客户侧部署的终端安全产品很容易漏过相关威胁事件。 合作考量点 •腾讯安全威胁情报体系，能够及时获取最新的钓鱼样本和攻击识别能力。•TAV的深度解析扫描能力，识别伪装类钓鱼木马，特别是一年内的流行恶意样本，准确率较高。•认可腾讯TAV的多维启发检测，强脱壳能力有效对抗相关样本的免杀技术。 合作后收益 •借助TAV钓鱼木马检测能力，实现了伙伴安全产品可在钓鱼文件落地，访问，执行等各个攻击阶段进行扫描，达成了钓鱼类攻击的全链路检测。 如何售卖？——商业化合作模式概述 情报SDK-专业版（适合运营平台关联分析场景） 情报SDK-轻量版（适合网关类高速检测场景） 情报云查接口API（SaaS-API） 对接模式：可选模块：付费方式：交付物：•点数+时长（年）•时长（年）【限制单客户范围】SDK软件包+SDK开发手册+授权文件 对接模式：可选模块：付费方式：交付物：•查询次数+时长（年）API开发手册+API-Token 对接模式：可选模块：付费方式：交付物：•点数+时长（年）•时长（年）【限制单客户范围】SDK软件包+SDK开发手册+授权文件 攻击面管理ASM（SaaS化平台） 反病毒引擎TAV（私有化样本检测） 本地威胁情报平台TIP（私有化软件平台） 对接模式：可选模块：付费方式：交付物：•点数+时长（年）•时长（年）【限制单客户范围】SDK软件包+SDK开发手册+授权文件 付费方式：软件平台+可选模块*时长（年）+软件维保服务交付物：软件化平台+授权文件+交付手册+用户手册对接模式：可选模块： 对接模式：可选模块：付费方式：交付物：•机构数量x时长（年）SDK软件包+SDK开发手册+授权文件 部分生态合作伙伴 共筑安全新模式 重磅发布：“情报加乘”计划发布 该计划是什么 基于腾讯安全威胁情报中心与多家头部安全企业的最佳实践，旨在通过威胁情报能力维度的产品合作，助力成员组织打造更具有市场竞争力的网络安全产品和解决方案。 计划包含什么 有案例 有标准 有权益 有技术 首批认证会员独享1年免费版TAV、SDK、API、TIX权益。深度合作用户将提供专项订阅内容，以便在项目竞争中建立差异化优势。 分享头部安全厂商威胁情报最佳实践案例，参与线上线下技术研讨会，获取第一手业内产品应用经验。 获取最新政策解读，参与行业标准制定，建立长期稳定的合作机制，确保产品功能优势与稳定性。 与情报研究、产品研发团队直面交流，了解最新威胁事件资讯与情报场景化实践经验，快速融入产品底层能力。 “情报加乘”计划：会员权益 产品福利 联合营销 圈内活动 •产品推荐：腾讯安全威胁情报中心TIX提供合作产品宣传页，基于腾讯品牌势能及技术优势，助力伙伴产品能力、案例实践推广•品牌联动：参与腾讯组织或腾讯联合举办的安全类会议，伙伴可获得更多自身品牌、产品的曝光机会•专家站台：对接腾讯网络安全专家资源库，相关市场活动可联动演讲，助力技术能力宣贯 •能力认证：基于发布的标准，为会员伙伴产品提供腾讯与权威合作机构提供的认证•探讨交流：会员部伙伴可参与腾讯侧定期举办的线下研讨会，了解第一手业界资讯，目前已举办超过5场活动•荣誉申报：会员伙伴可获得与腾讯联合申请生态案例、产品奖项的机会，实现行业认可度的进一步增强 •SDK：1年内，SDK高精准检测情报包基准版免费（10万级情报）•API：1年内，免费使用API云查接口基础版，进阶版本还可获取专属折扣•TAV：1年内，提供基础版特征库免费更新（带1年流行病毒）•TIX：情报查询分析账号提升免费使用额度 预发布：国内首个针对情报集成落地的执行标准 标准制定的总体目标 基于场景最佳实践，标准化情报能力的应用类别，指导安全产品与情报能力建立有机的结合机制，针对最新威胁构建“联防联动”的主动防御体系。 发起方 落地后的价值 腾讯、中国信通院，与其他“情报加乘”计划成员单位 1.建立生态合作信任：健全公开的标准，意味着长期合作的稳定2.提高利用率：从应用视角，指导各类安全产品完成场景化应用3.降低使用难度：标准包括格式说明和对接方式，便于开发人员快速对接4.安全合规：提供完整情报应用方案，而非明文数据，保障数据安全和隐私合规5.确保独立性：情报是一种底座能力不需要显性露出，安全产品可以提供统一产品界面 使用范围 ✓“情报加乘”计划成员单位内情报应用产品✓其他组织、公司也可参考使用 合作展望 携手打造细分产品、细分行业的威胁情报标准体系 通过各安全厂商在垂直领域的实践经验，构建满足用户场景要求的特性化标准，促进安全产品中威胁情报的应用效果。 情报生产运营共创，落地行业情报、专项场景情报威胁情报量级大、覆盖广，在通用情报数据解决80%的威胁事件后，可以结合场景特点共建专项情报，满足如行业、重保等特殊场景需要。 打造基于威胁情报最佳实践的产品解决方案 威胁情报驱动主动防御，在成熟标准化+集成合作基础上，通过威胁情报的全流程优化提效，落地实现联防联动的安全体系解决方案。 “情报加乘”计划：如何加入我们 我们希望您是 伙伴企业类型 合作产品范围 完全自主研发，或具有同等法律权益、知识产权保障的售卖产品或服务平台。 在中国大陆地区具有独立法人的企业个体 业务咨询-企微联系方式产品经理 登录https://tix.qq.com腾讯安全威胁情报中心获取更多计划细则。了解更多