2022年腾讯安全威胁情报能力中心分析报告

沙利文市场研读|2022/12 2022年 报告标签：威胁溯源自动化、物联网安全、勒索重组追踪 腾讯安全威胁情报能力中心分析报告 报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明�处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、�版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。 头豹研究院 弗若斯特沙利文咨询（中国） 沙利文市场研读|2022/12网络安全系列 研究框架 腾讯安全威胁情报能力建设 •腾讯安全威胁情报能力中心建设 •科恩实验室核心优势及产业贡献 •安全大数据实验核心优势及产业贡献 腾讯安全威胁情报能力应用 •情报原子能力应用优势及成果 •攻击面情报应用优势及成果 •业务情报应用优势及成果 腾讯安全威胁情报价值实践 •威胁情报中心助力业务场景商业价值增益 •威胁情报中心推动用户安全管理水平升级 名词解释 方法论 法律声明 www.leadleo.com2 400-072-5588 Chapter1 腾讯安全威胁情报能力建设 腾讯安全威胁情报能力中心建设 科恩实验室核心优势及产业贡献 安全大数据实验核心优势及产业贡献 3 腾讯安全威胁情报能力中心建设（1/3） •情报能力中心是由科恩实验室和大数据实验室联合打造的产品能力底座，科恩实验室全面整合威胁情报生产和应用能力，实现情报数据在安全事件预测、防御、检测、响应整个生命周期中的应用；大数据实验室提供数据治理引擎底座，提升威胁情报加工和生产效率。 多形态情报能力聚合：腾讯安全从情报信息全维度采集和情报信息深度分析两个维度�发，从底层规划威胁情报能力中心平台的建设，该平台全面整合基础情报、攻击面情报和业务情报，构建三合一的情报开放平台， 为腾讯内部用户、B端用户、C端用户以及产业内其他安全服务商提供一手的一站式情报服务。 灵活交付和触达，情报应用渗透用户业务生命周期：在情报服务交付形式方面，腾讯安全以SaaS化模式为核心，支持Web端、小程序、公众号、API、SDK、TIP等多模态交互方式，满足不同业务场景下用户对情报触达 手段灵活性的诉求。在情报应用方面，腾讯安全对人读情报、机读情报进行降噪处理，针对物理层、地理层、逻辑层和社会层攻击特征，对用户业务场景所遭遇安全事件进行全生命周期的情报服务渗透。 赋能安全产品，用户防御策略前置：基于安全左移理念，腾讯安全威胁情报能力中心助力用户聚焦事前阶段，通过全面资产评估、资产暴露面研判等方式预判风险点，并通过赋能的方式实现与腾讯安全其他基础和新型原生安全产品的融合，提升用户在业务运营过程中对安全事件的响应能力和效率。 赋能行业伙伴，提升溯源分析能力：在对产业生态赋能方面，腾讯安全结合两大实验室能力，为合作伙伴提供更趋精准和多维度的情报，并嵌入运营类安全产品，助力合作伙伴支撑用户进行高效溯源分析和响应处置。 融合构建威胁情报平台化底座能力 基于科恩实验室和腾讯安全大数据实验室构建威胁情报能力中心——数据资源全域整合协同 •融合科恩实验室情报挖掘和检�能力、算法研究能力 + 基础情报 IP、domain、 Md5、URL情报 黑灰产、仿冒、劫 业务情报 持、信息泄露情报 情报底座数据底座 以及安全大数据实验室数据处理和引擎分析能力 •共建腾讯威胁情报中心能力底座 攻击面情报资产测绘、资产扫 描、攻击面收敛 威胁情报统一开放平台 以SaaS化为核心的多元交付形式 多维度情报测绘形态 Web 公众号 小程序 人读情报 机读情报 物理层 SDK API TIP 地理层 逻辑层 社交层 应用环节 事前事中事后 •腾讯安全威胁情报服务在安全事件的不同环节渗透 传统应用场景 应用场景拓展 桌面端移动端车联网物联网其他 来源：腾讯安全、沙利文、头豹研究院 •对内融合能力：从产品融合方面而言，腾讯安全威胁情报中心能力与原生安全产品融合，为11类以上核心安全场景赋能，持续输�攻防和算法研究能力，通过高精准情报数据，助力用户在运营过程中实现更高效率的安全响应效果。 腾讯安全情报能力中心对多元安全产品赋能：融合后生态能力呈现 显著改善 经济损失降低导向 检测效率提升导向 情报能力+勒索软件探知：融合情报能力避免数据资产或计算资源被绑架并要求赎金的威胁。 情报能力+网银木马检测： 融合情报能力检测针对金融 支付场景的木马病毒潜伏，避免金融资产被窃取。 情报能力+漏洞利用检测：融合情报能力披露程序中漏洞，避免系统权限的非法获取以及非法系统控制。 经济 损失 缩减情报能力+窃密木马检测： 程度融合情报能力披露系统关键 数据可能被窃取的风险点。 情报能力+APT检测：融合情报能力对持久而强针对性的威胁进行有效捕获和阻断。 情报能力+僵尸网络修复：融合情报能力探知被僵尸程序感染的主机，追溯僵尸程序并完全清除，复原网络。 情报能力+重保/护网行动：融合情报能力，针对重保服务周期内恶意流量和行为进 行有效监测。 基本改善 情报能力+挖矿软件探知： 融合情报能力探知黑客非法 使用算力获取加密货币的行为，保障算力归属 情报能力+域名生成检测：融合情报能力探知恶意软件算法生成的域名列表，降低 服务器被控制几率。 情报能力+SinkHole：情报能力与DNSSinkHole融合，对机器人程序和恶意流量进 行高效检测和阻断。 情报能力+常规木马检测： 融合情报能力快速发现木马 病毒，事前防范，避免计算机被监控和信息篡改。 基本提升 未知威胁探知效率 显著提升 来源：腾讯安全、沙利文、头豹研究院 •腾讯安全威胁情报中心能力与多元安全产品融合： 腾讯安全持续扩大威胁情报能力对云上原生安全产品线的赋能作用，如针对防火墙检测中网关防护、勒索防护、挖矿检测等场景提供高精准情报，针对重网保护场景提供专项情报，针对WAF防护场景提供综合性入站情报，针对NDR防护场景下检测和威胁溯源需求提供相应情报，针对业务风险防护场景提供入站高精准IOC情报等。此外，通过促进信誉情报与高精准情报的融合，腾讯安全助力用户实现日常运营场景下的告警优化，并对攻击者画像进行更加清晰的研判呈现和溯源。 自建情报基础设施场景 流量检测分析类场景 SOC类运营场景 FW类防护场景 WAF类防护场景 腾讯安全威胁情报能力中心建设（3/3） •对外协作生态：从对外优势互补融合方面而言，腾讯安全威胁情报中心与近百家安全厂商对接，并面向安全生态圈提供标准化API接口，通过SDK合作模式覆盖核心安全业务场景，以情报原子能力输�推动安全产业协同发展。 腾讯安全协同百家安全服务商构建产业情报服务生态：以SDK模式为核心 安全 厂商生态合作 SDK 合作对接线程  SDK 生态安全业务场景 WAF类应用和业FW类安全风险检SOC/SIEM/SplunkDNS/NAT/EDR等自建情报基础设施 务攻击检测场景：测场景：安全风平台类失陷检测：失陷检测场景：场景：提供腾讯安 结合威胁情报数险监测及情报聚应用于广泛失陷检高精准的誉类情全的情报数据源，据对恶意IP进行合，提供重保专测场景，优化告警报与各类失陷检助力用户搭建情报拦截，降低WAF项情报，提高入效率，支持关联分测场景下IP进行中心平台，以威胁误报率，支持侵防御效力，管析和溯源分析，实匹配，提升失陷情报原子能力为外WAF一键封装控主动非法外联现主动防御效果检测有效性部产品赋能 续签授权 延期 签单授权 激活 部署测试 初始化 产品开发 集成SDK 建立合作 产品建档 协同应用 协同开发 腾讯安全 安全服务商 延期阶段 授权周期延长 激活阶段 正式提供情报授权 授权阶段 提供测试授权 下发情报升级包 供应阶段 为用户定制SDK， 提供开发指南 签约阶段 基于序列号下单 部署阶段用户侧产品部署联网初始化SDK 开发阶段 集成SDK 建档阶段 针对产品信息的 情报订阅需求 近百家安全服务商合作伙伴 来源：腾讯安全、沙利文、头豹研究院 •构建威胁情报外部生态，通过与友商安全产品融合实现能力矩阵赋能：在对外协作方面，腾讯安全持续拓展安全合作生态，与境内外百家主流安全服务商对接，实现情报能力的协同开发和协同应用。 •对外情报协作生态为全域业务安全场景提供解决方案：通过腾讯安全SDK工具包在协作生态中的应用，腾讯安全与主流安全服务商显著提升核心安全业务场景的检�能效。例如在常规风险检测、攻击检测场景下提升拦截能力、主动防御能力、关联分析能力、误报降噪能力等，在各类失陷检测场景下提升告警收敛、 威胁情报匹配、溯源研判等方面效率。 科恩实验室核心优势及产业贡献 •①技术积累：基于在不同领域构建安全体系的实践，科恩实验室持续提升高精检�能力；②研究突破：科恩实验室一方面促进AI算法与安全研究的融合，一方面推进研究落地应用； ③产业实践：基于产业互联网业务场景特征构筑安全平台 •研究侧、技术侧、产业应用侧并行发展：腾讯安全科恩实验室在基础安全（桌面端安全、移动端安全等）领域积累攻防经验已超10年，通过在“安全+AI”领域的持续性研究，持续提升安全事件检�的精益化水 平，在中国和全球赛事中获取头部竞争成果和认可。融合理论和技术方面的突破，科恩实验室在车联网、5G通信、IoT等前沿场景应用威胁情报中心能力。在安全产品侧，通过高质量情报优化告警准确性。在生态侧，联合各大安全服务商和业务场景用户共同优化数字化升级过程中的情报服务效果。 前沿应用方向 产业互联安全 物联网 安全 车联网 安全 AI安全 实验室能力积累和突破 腾讯安全科恩实验室研究进展及产业应用成果 科恩实验室核心技术研究方向 产业应用 2013年 -2017年 Pwn2Own系列赛事评估：科恩实验室连续五年参加国际黑客大赛Pwn2Own，取得16项单 项冠军，3次MasterofPwn（大赛总冠军）成绩。 DEFCONCTF赛事评估：科恩实验室组建腾讯eee战队并于DEFCONCTF赛事取得冠军。 国际黑帽大会：科恩实验室获取BlackhatPwnie奖项评比中五项最佳提名。 2018年 -2020年 人工智能+车联网研究：科恩实验室2019年发布全球首个商用自动驾驶系统图像识别功能 专项安全研究案例“特斯拉Autopilot的实验性安全研究”，落实“AI+安全”的产业价值。 AI算法+软件安全：科恩实验室于2020年发布以AI算法解决传统二进制安全问题为主题的论 文，得到国际AI权威会议AAAI-20和NeurIPS-2020的收录，并应用于产品工具中。 检测技术积累与情报精益：科恩实验室持续提升检测引擎自动化水平和情报数据分析效率，拓展情报检测维度，并优化威胁检测流程。 结合业务场景提升检测精准度：科恩实验室针对不同类型业务特征 （运营类、流量分析类等）丰富情报画像标签，提升告警降噪能力。 AI算法+威胁情报应用：腾讯安全威胁情报中心自研AI引擎，强化恶意流量检测算法，在移动端、桌面端、系统端推进智慧情报产品化应用。 AI算法+软件安全应用：科恩实验室自研二进制软件分析工具BinaryAI 及BSCA，AI算法推动软件供应链安全建设。 产业互联网安全渗透：结合数字化转型背景，科恩实验室推进安全产 品和服务在车联网、5G、IoT等产业中的应用。 平台化能力建设：科恩实验室自研嵌入式系统安全审计平台sysAuditor， 针对攻击面、漏洞、安全风险构建威胁模型，提升安全产品工程能力。 工程能力应用 AI 算法研究 检测精度 代表性成果 来源：腾