进入数智化新阶段,企业改进安全策略和增强网络弹性的需求越来越迫切,企业需从被动安全变为主动防御,以数据资产和业务资产为目标构建全新的免疫安全范式。威胁情报关注攻击者视角,可有效助力企业“知攻知防”,在新的网络安全建设思路中,其价值不断提升,成为安全防御体系中的核心构件。
7 月 18 日,《威胁情报理想实践研讨会》在深圳召开,来自腾讯安全、华润数科、快手、乐信集团等企业的安全负责人,共同围绕威胁情报技术发展做了前瞻分享。会上,腾讯安全升级威胁情报产品,助力企业构建更完整的数字安全免疫防护体系。
作为腾讯数字安全免疫力产品矩阵中的重要一环及原子能力之一,腾讯安全威胁情报能力也在持续进化,新版本在资产范围、威胁角度、用户体验上进行的升级,帮助用户实现更准确的有效防护。
首先,腾讯安全威胁情报攻击面管理能力再度进化,助力企业建立“攻击者”视角的主动防御体系。一是威胁情报能力全面覆盖企业云上资产、私有化IDC资产及混合云互联网资产等全量数据资产。同时,针对不同资产类型自动匹配不同的攻击面管理手段。二是攻击面风险的发现范围全面升级,从攻防风险带来的资产威胁,扩展到社工风险导致的企业信誉威胁,以及合规风险导致的企业内容威胁。事前,系统通过风险检测排除仿冒欺诈、API安全、内容安全等风险点,事后,自动梳理风险事件的可解释性,生成自动化智能分析报告,助力企业做好风险应对。另外,腾讯安全威胁情报产品还能为企业提供“网安助驾模式”,辅助安全运营人员进行风险分诊和相应策略草拟,有效降低技术应用门槛,提升安全风险的响应和处置效率。
其次,腾讯安全威胁情报产品进一步升级SDK部署能力,性能提升40%。此前,威胁情报多以本地化建设、部署,嵌入安全厂商提供的数据包或API,不仅部署成本高、也无法基于实际的攻防做出动态、准确反应。在本次升级中,腾讯安全威胁情报产品实现了威胁检测的“引擎化”,可以通过SDK将核心的检测能力提供给客户使用。在性能上,腾讯安全威胁情报能够提供高性能、易适配的组件,性能提升40%,时延降低至微秒级,无需配套中间件即可保障集成产品的业务能效,降低开发负担和迭代周期。在场景上,腾讯安全威胁情报支持从产品场景到业务场景的全面覆盖,包括边界防护、流量检测、安全运营、威胁管理等多个场景,为企业提供低成本接入的规则阻断→风险告警→关联分析→情报运营一体的威胁情报闭环。此外,腾讯安全威胁情报具有基于联邦机器学习能力的分布式智能引擎,能够做到实现不涉及用户数据上传的隐私保护能力、一点感知即可网络更新的实施更新同步能力以及本地计算资源占用最小化的性能保障。
第三,腾讯安全联合实验室为威胁情报入更强的底层技术和数据支撑能力。数据不仅是威胁情报原子能力的双底座之一,还为情报底座提供丰富的数据原料,也是高精度威胁情报产生的基础。腾讯安全拥有覆盖云、管、端的复杂异构情报源,通过构建安全数据体系,能够实现情报挖掘、情报运营和产品应用效能的全面提升。在腾讯安全大数据实验室构建的安全知识图谱中,不同数据依据来源、类别、应用场景分别关联,实现数据效率、质量和规模的同步提升,做到事前预防、事中跟踪、事后改进全流程保障数据质量。任何威胁情报能力和体系,都必须来源于实战,回归于实战。腾讯安全科恩实验室基于安全攻防的沉淀,分场景对原始素材进行探针部署和预分析,大幅提升了有效的情报生产原始素材。在情报生产流程,采取实时流的模型算法,针对当前比较流行攻击点进行模型分析,快速满足防御需求,同时也基于多种深度学习和样本分析,持续提升现有威胁情报体系的厚度;在情报出库环节,结合白名单,防误报规则,IOC算法评分等机制,对出库情报进一步过滤以保证情报的准确性。最终,通过信号驱动实现全生命周期的标准化管理,全提升情报出库的可靠性和有效性。
腾讯安全副总经理、威胁情报业务线负责人洪春华认为,AI、攻防、数据是腾讯安全 20 年来沉淀出的三大原子能力,威胁情报融合三大能力实现了产品化,也为腾讯安全基础安全、风控反欺诈产品以及安全服务注入了核心竞争力。
谈到未来威胁情报升级的具体方向,洪春华表示,腾讯内部的实践是广阔的试验田,丰富的业态可以帮助威胁情报在攻防对抗中实现更准、更全、更丰富、更实时的服务能力。其次,腾讯希望能为生态注入自身的能力,让更多行业伙伴获得威胁情报提供的安全助力,并最终创造更多业务层面的价值。
围绕威胁情报的技术发展,来自华润数科、快手、乐信集团等企业的安全负责人分别从自身企业的业务需求及实践经验进行分享。
乐信集团信息安全中心总监刘志诚表示,数字化的本质是从管理支撑的信息系统到业务作业系统,其核心是算力、算法、数据的体系化构建。安全数字化在于突破攻防为核心的检测、监测、预警、响应的功能思维,实现数据生产要素化、算法智能化和自动化、算力专业化和标准化。从这个角度看,只有实现双向的数据流通才能使威胁情报体系建设更为有效。
对于如何快速构建威胁情报体系,快手入侵检测负责人陈道光表示,外部采购优秀的解决方案,与企业自研相结合,其效率是比较高的。在快手的视角中,腾讯安全威胁情报涵盖了目前已知的所有情报数据及攻击面信息,通过实验室能力接入对数据进行系统梳理、促进情报快速更新迭代,为企业威胁情报研判提供了有力支撑。
围绕威胁情报运营的降本增效,华润数科网信安全服务部服务总监龙松青建议,企业应该明确风险点及情报应用价值,推动情报标准化,进一步加快应用。同时,将威胁情报的能力集成到现有的安全设备及防护体系中提升防御的准确度,基于AI智能的情报分析及应用使其发挥更大的价值。
网络安全风险之所以难以消灭,本质上在于攻防两端信息不对等。面对复杂多变的网络环境,日益升级的攻击手段和攻击形式,需要依靠威胁情报能力提升现有安全产品的能力和融合程度。腾讯安全将致力共建甲乙方联动的威胁情报生态,以自身优势的威胁情报能力助力生态伙伴和企业客户,将攻防、数据沉淀成“料敌先机”的威胁情报,形成更具前瞻性和弹性的数字安全免疫力。