威胁情报产品能力升级&生态合作能力2.0发布

威胁情报产品能力升级发布 生态合作模式v2.0 主讲人： 腾讯威胁情报产品规划负责人高睿 网络安全市场的“孤岛求生” 如何破局安全运营建设的碎片化 安全行业现状：有挑战、有思路、有困难 业务现状：互联网业务发展快，安全防护能力跟不上 “赛博”世界网络化,安全防护孤岛化 数字化转型业务上云全面SaaS化远程办公流程信息化分布式数据中心供应链数据打通… 传统安全建设节奏无法满足防护要求 外部：常规威胁专业化 挑战：对抗压力大 内部：孤岛性产品部署仍是主流 有思路：威胁情报联动 应用威胁情报实现主动防御 有困难：供需关系与情报共享 攻击者角度： 前期准备很充分；攻击方式多样化；常规攻击APT化；失陷状态发现很晚； 攻击者技战术提升+社工方式，很难防御 惯性思维，“糖葫芦”式建设；大量补丁策略如“添油战术”；规则简单松弛，造成大量虚警；格式不统一，无法形成联动；重复性建设，未达成能力提升 传统的安全防御方式显得愈发捉襟见肘 可标记攻击者最新资产；可快速精准分级攻击事件；可提炼最新的技战术指标； 可为事件响应、溯源分析提供建议。基于全面的威胁视野进行专业化运营 需求情报相关预算投入增长＞30% （各行业头部客户使用意愿＞80%） 供给情报生产依赖数据积累+攻防经验 大量企业通过自研仅解决有无问题 效果 用户侧对情报效果褒贬不一 甲方缺乏有效评估手段，含泪继续用 政策、标准、研报：鼓励网络威胁防护层面的生态合作 政策法规国家标准国内外研报 “十四五”《纲要》 •强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。 中华人民共和国网络安全法 •第二十九条：国家支持网络运营者之间在网络安全信息收集、分析、通报和应急处置等方面进行合作，对信息收集、合作与建立相关行业标准与合作机制做出了积极的指导意见 •第五十一条：国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息 •第五十二条：负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息 国标–情报格式 GB/T36643-2018《信息安全技术网络安全威胁信息格式规范》： 定义了一个通用的网络安全威胁信 息模型，从可观测数据、攻击指标、安全事件、攻击活动、威胁主体、攻击目标、攻击方法、应对措施八个组件进行描述。 国标-等保2.0 GB∕T28448-2019《信息安全技 术网络安全等级保护测评要求》中，首次提出了对“威胁情报检测系统” 和“威胁情报库”的要求。 Gartner 聚焦在选择技术领先且应用可落地的情报供应商，以减少对海 量告警分析投入过多的分析压力。 《MarketGuideforSecurityThreatIntelligenceProductsandServices》Gartner,2023.05 36.7%的企业缺乏将威胁情报工具集成到其环境中的技术能力。 《NetworkThreatIntelligenceBoostsEnterpriseCommunicationsSecurity》Gartner,2024.06 赛迪顾问 安全厂商更多的是将威胁情报作为一种高级安全能力，赋能到 自有网络安全产品和服务中，与防火墙、WAF、蜜罐、IDS/IPS、SOC、XDR等产品联动，助力企业对高级威胁、新型威胁进行识别和处理，帮助企业来实现自身安全能力和体系的升级。 《中国威胁情报市场研究报告（2023）》 基于威胁情报集成的安全产品实践 情报之于产品，本质上是一种安全能力“加乘” 威胁情报产品矩阵：全面支持生态合作模式 腾讯科恩实验室·威胁情报中心 安全大数据挖掘 攻防经验模型化 更新能力查询分析能力主动监测能力 反病毒规则升级 反病毒引擎TAV •恶意文件检测 •感染文件修复 •高性能、低占用、持续更新规则 •多平台支持：win、mac、Linux、国产化操作系统 •千万级特征库，广谱&启发式 情报数据升级 情报本地引擎SDK •Lite&Pro双版本 •微秒级响应 •灵活情报订阅 •在线自动升级&离线手动升级 本地威胁情报平台TIP •多源、多类型情报接入管理 •私有化高性能API多设备查询 •告警的情报检测 •企业级自建情报的运营 •可视化统计分析情报使用效果 检测接口|分析接口 威胁情报云查API服务 •海量情报分钟级更新 •IP、域名、URL、文件等全类型 •单接口万级QPS •轻量化对接方案 威胁情报查询分析平台TIX •可视化查询平台 •海量情报数据与网络基础信息 •实时更新最新威胁线索 •二进制检测能力BinaryAI深度集成 •文件样本的云沙箱动静态分析 暴露面监测平台 攻击面管理ASM •SaaS化监测平台 •外部资产发现 •敏感资产、漏洞风险识别 •信息泄露事件监测 •仿冒欺诈资产服务挖掘 •业务可用性监测 •内容合规查验 •资产托管运营 能力基础：科恩实验室安全大数据挖掘与攻防对抗经验 独有且广泛的数据来源+基于攻防经验的威胁情报生产运营 来源运营产品化 C端安全：终端防护、上网防护 B端安全：流量检测、安全运营、云防护等 互联网基础数据：DNS、Whois 业务防护数据：挂马、仿冒欺诈 开源情报运营 同源、聚类、生命周期管理数据降噪、基于特征的加权实体关联分析、标签处理 攻击来源检测情报 失陷主机检测情报 文件样本研判情报 黑灰产、业务威胁情报 丰富的上下文画像情报 原始数据规模 百亿级IP、域名威胁判定 全量CVE等漏洞库数据 PB级文件黑白样本数据 模型训练数据规模 亿级可用于相似度比对的训练数据 百万级安全场景问答型有监督训练数据 万级高质量安全对齐数据可用于RLHF训练 数据处理能力 基础设施级并发性能，动态平行扩展 多格式、多粒度、多源数据构建归一化处理 秒级收集，分钟级运营，小时级下发 高精准研判能力 IP/Domain恶意判定 漏洞无伤害PoC 样本动静态分析、家族变体识别 数据维度丰富 恶意IOC关联家族团伙 IP画像、历史解析 关联安全事件、APT活动历史 丰富的应用场景，持续运营加强情报质量 公有云防护IDC防护个人业务防护 如何集成？——腾讯威胁情报产品系列对接方式 需求确认集成开发灌装部署业务使用 产品介绍方案指导 SDK TAV SDK软件包开发手册正式授权情报/引擎规则更新 SDKTAV 数据选型功能选型 开发编码 激活+绑定设备指纹 情报更新引擎更新 在线/离线 性能评估版本选择 操作系统OS要求 功能耦合 数据验证联调 验证有效期 验证模块订阅范围 威胁检测样本检测 告警/阻断杀毒/修复 威胁情报引擎SDK/反病毒以引擎TAV 威胁情报云查接口（SaaS-API）攻击面管理ASM威胁情报平台TIP 数据测试+联调开发 业务使用 Web值守管理 API对接本地平台 接口联调开发 方案部署交付 开发手册数据样例 正式授权 确定机构提供授权书选择功能模块 开发手册数据样例部署手册正式授权 数据质量效果验证 接口编码+功能耦合场景化方案设计 选择订阅数据 日常调用需求反馈 自定义监测任务 可视化统计结构化数据PDF分析报告 Web管理邮件通知订阅号通知API文件下载 数据质量效果验证接口编码+功能耦合场景化方案设计 选择订阅数据 日常调用需求反馈 案例1：威胁情报综合应用案例 需求背景 •对于新型威胁造成的失陷主机，存在漏报情况。 •用户互联网业务防护方面，目前告警中误报较多，安全设备会将部分公共服务IP误拦截，影响了正常业务的开展。 伙伴在优化过程中遇到的痛点 •在流量检测、边界网关扩大规则检测范围后，造成了告警过多的问题。 •临时采用过API方式对接，但是延迟较高无法做到实时阻断。 •对于部分高可疑来源分析时，缺乏上下文画像信息。无法判断来访源是否是 否是VPN、TOR等不可靠资产。 合作后收益 •防火墙：对于矿池识别、C2回连等威胁行为获取了判断依据，误报也大大减少。且由于SDK-Lite兼容度高，系统资源占用少，未影响大吞吐流量业务。 •流量检测：重保期间，针对可疑来源告警进行了身份标签标记，及时有效上报。 •态势感知：增加告警分诊手段，关键告警进一步压缩70%。 案例2：反病毒引擎应用案例 需求背景 •对于攻击者利用社工手段造成的钓鱼远控攻击，不具备有效识别能力，特别是进一步横向渗透后，难以寻找关键证据。 •因为钓鱼攻击低成本，变化快，成功率高，隐蔽性强，一旦目前自研的引擎能力不足，而境外引擎能力覆盖国内样本能力有限，且服务跟不上。客户侧部署的终端安全产品很容易漏过相关威胁事件。 合作考量点 •腾讯安全威胁情报体系，能够及时获取最新的钓鱼样本和攻击识别能力。 •TAV的深度解析扫描能力，识别伪装类钓鱼木马，特别是一年内的流行恶意样本，准确率较高。 •认可腾讯TAV的多维启发检测，强脱壳能力有效对抗相关样本的免杀技术。 合作后收益 •借助TAV钓鱼木马检测能力，实现了伙伴安全产品可在钓鱼文件落地，访问，执行等各个攻击阶段进行扫描，达成了钓鱼类攻击的全链路检测。 如何售卖？——商业化合作模式概述 情报SDK-轻量版（适合网关类高速检测场景） 对接模式：可选模块： 情报SDK-专业版（适合运营平台关联分析场景） 对接模式：可选模块： 情报云查接口API（SaaS-API） 对接模式： 可选模块： 付费方式： •点数+时长（年） •时长（年）【限制单客户范围】 付费方式： •点数+时长（年） •时长（年）【限制单客户范围】 付费方式： •查询次数+时长（年） 交付物： SDK软件包+SDK开发手册+授权文件 交付物： SDK软件包+SDK开发手册+授权文件 交付物： API开发手册+API-Token 反病毒引擎TAV（私有化样本检测） 对接模式：可选模块： 攻击面管理ASM（SaaS化平台） 对接模式：可选模块： 本地威胁情报平台TIP（私有化软件平台） 对接模式：可选模块： 付费方式：软件平台+可选模块*时长（年）+软件维保服务 付费方式： 交付物： •点数+时长（年） •时长（年）【限制单客户范围】 SDK软件包+SDK开发手册+授权文件 付费方式：交付物： •机构数量x时长（年） SDK软件包+SDK开发手册+授权文件 交付物：软件化平台+授权文件+交付手册+用户手册 部分生态合作伙伴 情报产品生态合作能力V2.0发布 共筑安全新模式 重磅发布：“情报加乘”计划发布 该计划是什么 基于腾讯安全威胁情报中心与多家头部安全企业的最佳实践，旨在通过威胁情报能力维度的产品合作，助力成员组织打造更具有市场竞争力的网络安全产品和解决方案。 计划包含什么 有技术 与情报研究、产品研发团队直面交流，了解最新威胁事件资讯与情报场景化实践经验，快速融入产品底层能力。 有案例 分享头部安全厂商威胁情报最佳实践案例，参与线上线下技术研讨会，获取第一手业内产品应用经验。 有权益 首批认证会员独享1年免费版TAV、SDK、API、TIX权益。深度合作用户将提供专项订阅内容，以便在项目竞争中建立差异化优势。 有标准 获取最新政策解读，参与行业标准制定，建立长期稳定的合作机制，确保产品功能优势与稳定性。 “情报加乘”计划：会员权益 产品福利 •SDK：1年内，SDK高精准检测情报包基准版免费（10万级情报） •API：1年内，免费使用API云查接口基础版，进阶版本还可获取专属折扣 •TAV：1年内，提供基础版特征 库免费更新（带1年流行病毒） •TIX：情报查询分析账号提升免费使用额度 联合营销 •产品推荐：腾讯安全威胁情报中心TIX提供合作产品宣传页，基于腾讯品牌势能及技术优势，助力伙伴产品能力、案例实践推广 •品牌联动：参与腾讯组织或