专家对话｜揭秘威胁情报，如何助力企业提升安全免疫力？

近年来，随着IT环境日益复杂，漏洞数量持续增加，攻击手段和形式迅速迭代，安全事件层出不穷，企业改进安全策略和增强网络弹性的需求越来越迫切。

威胁情报作为企业安全防御“化被动为主动”的利器，可有效帮助企业提前获悉攻击者的攻击途径，帮助企业及时调整防御策略，实现较为精准的动态防御，进而提升企业整体安全防护能力。可以说，威胁情报已经成为企业成熟安全战略的重要支撑。

4月3日，由腾讯安全、数世咨询联合打造的“安全先行者系列”专家访谈在线上开播，数世咨询创始人李少鹏对话腾讯安全威胁情报负责人刘桂泽、腾讯安全威胁情报高级产品经理高睿、贝壳安全研发负责人李文鹏三位安全行业专家，围绕威胁情报的价值和应用，从多维度、多视角共同探讨如何助力企业掌握安全主动权。

以下为重点内容访谈实录：

威胁情报到底是什么？

有什么价值？

主持人李少鹏：威胁情报从2015年进入中国已经第9个年头了，目前威胁情报已经成为我们整个安全体系必备的东西。不管花多少钱来采购它，还是自己建设这个平台，还是集成到产品里使用，其实我们已经习惯了威胁情报这个东西。在这样的情况下，我们重谈威胁情报，到底带来什么价值？在什么场景更好用？或者我们使用它有哪些问题？

第一个话题，威胁情报到底是什么？为什么在传统安全体系的建设之外又有了这样的概念？

腾讯安全高睿：借这个机会跟大家分享一下我对威胁情报的理解。以前国内的安全建设都聚焦在产品本身，很多设备一直在做加法。发现一个新的问题，我们引入新的解决方案解决问题，后来发现当设备越来越多，本身能力的提升也变得越来越有瓶颈了，这个时候管理它也很困难，我们可能需要找一个新的途径解决这个问题。这个时候突然从军事方面引入“威胁情报”这样一个概念，我觉得它跟传统安全不太一样，它是做乘法的，可以把原有安全产品里的一些缺陷或能力进行补足，而且它是以全球网络安全的视野做一个补充。可能一些产品没有迭代，但是通过增加能力，可能让安全问题得以解决。

贝壳安全李文鹏：有一些观点我是很认同的，我也从甲方的视角补充补充一些安全建设的想法。

第一，过往传统的安全产品，想象空间其实已经遇到瓶颈了。比如说主机侧、网络侧、WAF这些，大家能想的东西也基本都做了，单一产品的上限已经很难突破了。但同时我们面临的网络安全风险又是很多变的，攻击方式在快速迭代、各种漏洞层出不穷，导致如何把这些产品更有效地利用起来成为了一个很大的课题。威胁情报确实是能够很好的把安全产品的能力融合起来，发挥出1+1＞2的效果。

第二，我站在甲方的角度来看，威胁情报带给我们好处是，它能降低一些成本投入。因为客观地说，很多企业不太可能投很多的精力做漏洞的挖掘，或者一些情报的积累。甲方客户跟乙方生态其实通过威胁情报能够很好地契合起来。比如说腾讯云在护航云上企业的时候，一定会面临大量未可预知的攻击，包括最新的团伙，或者黑灰产的动向。这些情报积累下来，对所有的企业来说都是非常宝贵的资产，对企业的整个安全建设的提升都是非常有帮助的。

腾讯安全刘桂泽：Gartner对威胁情报也有一个定义，它就是基于证据的知识库。通俗来讲怎么解释呢？我们每天业务面对的这些攻击，它背后的攻击源头，攻击目标，攻击技术，使用的攻击手段，这些信息组成的知识库，就可以为企业的安全体系建设提供一些帮助。

为什么需要威胁情报呢？在传统的安全体系里，无论是边界侧的WAF、IPS还是主机侧的方案，更多面对的是攻击行为、攻击动作在内的单点防御。随着企业数字化转型，业务上云，疫情期间远程办公接入方式的出现，企业资产和服务对外的暴露面越来越多，于攻击方而言，其能够利用的薄弱点相比以前更多、更容易，这就导致攻防的不对等。所以，威胁情报的价值就在于解决攻防不对等，将企业安全建设、安全运营变被动为主动，实现知己知彼。

数世咨询李少鹏：对于第一个问题已经有很清晰的答案了，威胁情报是什么？是基于证据的知识库。为什么会诞生这样的东西?是因为存在攻防对抗。只要有攻防对抗的场景就一定得有情报辅助，没有情报辅助一定是吃亏的，情报一定是第一位的，只要有攻防对抗就一定有情报。另外再引申一下，刚才讲情报有情报社区，社区是什么意思? 每个人提供的情报都有他的维度。所以如果想把情报做的好，要有多维度，如果把情报做扎实，证据链要确凿。

威胁情报如何融入

企业现有的安全体系？

贝壳安全李文鹏：攻防对抗场景中很多风险是突发的，譬如在办公安全场景中办公安全和数据安全紧密相连，终端防护是企业十分关注的点，公司通过和腾讯合作部署终端杀毒产品，以及在主机防护和黑灰产风险IP板块和威胁情报厂商展开紧密合作，提升安全防护效率。

腾讯安全高睿：威胁情报与甲方面临的如何去了解攻击者这一问题是强相关的，主要包括攻击者的动向、攻击手段、攻击资产等，此外还包括如何与防守者相结合、梳理攻击面，建立有效的防护闭环等。腾讯在整理这块安全问题时，除了简单攻防场景下边界、终端及安全运营中心服务，还对新业态里发现的威胁做相应的检测。目前，腾讯威胁取保主要分四个产品作为一个矩阵，第一，情报社区会聚合腾讯安全能力帮助甲方客户深度挖掘攻击者画像信息；第二，提供针对IP运营的传统测绘和相应的威胁发现，关注防守者攻击面问题；第三，通过提供API和SDK服务模式与更多的生态合作伙伴强强联合，打造更好的威胁情报生态体系；第四，通过本地化威胁情报平台与更多安全产品集合，进而形成一套解决方案。

企业应如何用好威胁情报？

腾讯安全刘桂泽：威胁情报的应用有两个关键点，第一是情报的质量和有效性，第二是情报在本地化如何做适配和联动。在质量有效性方面，接入威胁情报能力不能以牺牲安全运营的效率为代价，引入很多噪音；在本地化应用和适配方面，情报与边界产品、终端产品联动时要实现协同溯源，为后续的取证、调查做一个有力支持，进而充分体现出情报的效果。

贝壳安全李文鹏：甲方需要将资产梳理清楚，将资产更有效地与情报相结合，以及对误报进行去伪存真。当前很多公司正推进多云建设，如何在异构云上将安全能力进行整合，以及更有效地跟情报进行结合，非常考验甲方安全建设者的能力。期待腾讯这样的头部厂商能够牵头成立一个安全工作组，将日志、互相调用方式、配置更新在内的安全产品进行标准化。

腾讯安全高睿：从乙方视角来看，希望通过场景化建立统一性，譬如情报最早通过梳理出入站的角度，从外连的格式，例如域名、URL这种资产去做统一，现在则可通过场景上的引导形成具体的解决方案。

市面上各类厂商的

威胁情报有何区别？

腾讯安全刘桂泽：威胁情报整个生命周期可以分成生产、运营、交付。在生产环节，传统的专业安全厂商更多是取材于过往攻击事件，譬如像专业安全团队、安全社区、商业化采购情报这样的来源进行持续的跟踪挖掘。在运营环节，互联网厂商除安全业务外，自身还有大量针对用户的业务，由于面临海量攻击，为了提升效率，更多的会采取自动化或者大数据分析的方法对威胁情报进行运营。最终在交付方式上，互联网厂商更多地倾向于SaaS的交付，或者即便是本地化也是倾向于SDK的集成，传统的安全厂商更多地采取一体机或安全产品内置威胁情报这样的方式。

贝壳安全李文鹏：从最近两年互联网安全厂商成绩来看，腾讯安全特别靠前，这得益于腾讯云积累了大量case，接触了大量攻击，经过了炮火的洗礼，腾讯在C端非常成功，从基础安全能力来看，腾讯排在Top级别是毋庸置疑的。

腾讯安全高睿：以腾讯安全威胁情报为例，首先，腾讯做了20多年to C相关的业务，在这方面拥有较多的守护经验，这同时也是腾讯在安全企业里面一个独特的优势；其次，腾讯拥有一个全国Top级别的公有云，在这基础之上能够监测到大量实际发生的攻击事件；此外，腾讯的业务覆盖广泛，接触到的各种威胁类型成为情报提供更多为的场景支持，并针对实际发生的威胁进行闭环运营。

威胁情报未来可能的发展方向？

腾讯安全刘桂泽：第一，威胁情报现在更多的是关注技术指标，未来将更加关注其背后的战术指标；第二，情报和本地化风险将做更好的结合，譬如金融、能源行业更关注APT相关，教育、医疗、互联网行业更关注勒索软件、挖矿、数据泄密、数据安全相关；第三，结合AI能力的威胁情报将在威胁发现、调查取证、狩猎方面大幅提升效率。

腾讯安全高睿：首先在场景化上，鉴于威胁情报使用成本和门槛较高，通过深入具体场景降低甲方学习成本，譬如在风控和具体的边界安全中，通过SCK集成提供直接的业务情报；其次在合作上，将避免之前孤军奋战的情况，更多的合作伙伴将协同打造更成功的安全产品。

贝壳安全李文鹏：第一，安全情报产品需助力甲方更高效、更快速地防护安全漏洞；第二，ChatGPT会使将来的黑灰产成本越来越低，导致安全的承压越来越大，乙方之间、甲方和乙方之间，以及甲方各个厂商之间，将来在互相打破壁垒上面需要采取更多的合作。

数世咨询李少鹏：未来，威胁情报将成为安全体系的基石。从社区概念来看，情报需要共享，情报共享不仅仅是乙方之间的打通与共享，还涉及甲方用户的打通。只要有攻防对抗，就会有情报，如果想把情报做好，要有多维度，如果想把情报做扎实，证据链要确凿。

QA环节

图片

Q1：情报量级和威胁检出比例是怎样的？情报量和设备处理如何平衡？

腾讯安全高睿：一方面这取决于像防火墙或者一些终端产品这样具体的设备，在设备性能压力很大的情况下，更多的聚焦解决具体问题；对于像SOC这种大型安全运营平台，其需要尽量覆盖更多的威胁类型，譬如腾讯通过在本地落一个较为庞大的TIP平台，利用更多的云端接口去做上下游补充，实现更好的效果。基于外网视野的情报作为一个补充，需结合自身安全产品，从比例上来看，情报检出的重要性要更高一些。

Q2：威胁情报和EDR以及零信任有什么区别？

数世咨询李少鹏：这属于不同维度，EDR是一个端点安全的产品解决方案，EDR里面可能会用到威胁情报，零信任则是一种防护理念，不能将其当成一个产品，由此引申到未来趋势，资产管理是整个安全体系的基础底座，威胁情报则是基础组件。

Q3：如何确保情报的有效性？如何实现对未知威胁的检测和防护？

腾讯安全刘桂泽：威胁情报在本地落地过程当中，跟不同的产品场景应用要有不同的策略。首先在生产的过程中不要过度关注情报的规模，还得要重质量，要精准，要有丰富的上下文的支撑信息，甚至要有TTP的支撑，这样才是有价值的。

腾讯安全高睿：这是一个攻防对抗的过程，未知威胁其实有很多定义，它可能是针对某个对象第一次发生的，有时则要从事前和事中两方面进行考量，另外在过程中，针对可疑行为，通过关联新的样本来补充对未知的确定性的理解等。

数世咨询李少鹏：未知威胁一定是建立在已知威胁的基础上，它是乙方视角，当你定义的规则之外出现的问题，你再加到规则里，在加之前是未知威胁，并不是你不懂这个威胁，我们能判断它是个威胁，这就是异常行为，异常行为不一定就是威胁，我们分析它确确实实是新的病毒变种，是一个新的攻击方式，攻击手法，我们就会把它添到已知威胁库的里面。所以未知威胁就是对已知威胁的分析，再加到既定规则里，并不意味着不可知的。

Q4：情报和ATT&CK的关系怎么看待？

腾讯安全刘桂泽：ATT&CK整个框架涵盖的战术点非常多，在不同的战术点上需要我们安全防御体系里有端点、边界，甚至有一些其他的联动。腾讯的威胁情报跟ATT&CK框架进行了结合，在我们的端点，边界、SOC大脑里都有去应用威胁情报。同时，在不同的产品里面去集成我们的威胁情报能力侧重点不一样，有的侧重在对于漏洞、基础组件，或者业务系统的漏洞，有的更多地关注在一些技术指标，哈希和规则匹配，有的更多的关注端口、外联，所以在威胁情报在不同的防护角色发挥作用的时候，使用的策略是不同的，但是一定涵盖到ATT&CK整个框架的所有阶段里去。

Q5：不同安全厂商的安全产品接收第三方情报的接口，或者没有，或者千奇百怪，如何统一这块的问题，落地最后一公里？

贝壳安全李文鹏：从自身经验来说，我们的做法是把它接起来之后，依托自己的SIEM SOC的平台来进行消化。在这个过程中你肯定要做数据的ETL，包括数据的孵化，这些工作很多时候对甲方来说它是难免的，因为我们也面临异构的问题，比如说WAF是一家厂商，HDS是一家厂商，你的INDS、防火墙又是一家厂商，这些日志原先就是各自的一些信息孤岛，最终你需要做的是把它整合起来。我们确实看到一些乙方产品在做这样的整合，但是很多时候可能整合的，要么有些整合进来的厂商不在你的列表里面，或者你采购的恰好没有整合进来。

Q6：请详细解释一下当地本地化威胁情报平如何与SOC、主机安全、IDS联动？

腾讯安全刘桂泽：腾讯本地的威胁情报运营平台TIP，提供了跟不同的产品进行对接的一些接口服务，可以在这上面对威胁情报进行更新、管理。

腾讯安全高睿：这是做乘法的过程。针对TIP处理的量或者投入成本的问题，这取决于各个厂商的情报范畴。对于腾讯而言，肯定是结合用户的建设阶段来进行，比如说前期更多是网络层面的，出站和入站层面，出站是主机的发现，入站是边界防护的能力，都会逐渐地提升。此外，本地化平台的另一个好处就是可以结合用户的场景需要实现平行扩展。

以上是本次四位嘉宾的观点精华整理，威胁情报作为企业提升整体安全防护能力的重要支撑，可帮助企业及时调整防御策略，实现更为精准的动态防御。随着IT环境和攻击形式的日益复杂，新一代网络攻击技术将变得更加隐秘，企业改进安全策略和增强网络弹性的需求越来越迫切。腾讯安全将基于威胁情报中心TIX，持续打造开放、共享的情报生态，助力业务情报、风险测绘和基础情报三大类威胁情报能力不断升级。

腾讯安全SOC+运营体系

腾讯安全威胁情报是腾讯“SOC+安全运营体系”的核心产品，也是这个体系下的基础能力引擎。

“SOC+安全运营体系”是腾讯安全面向产业数字化转型推出的新理念，强调以威胁情报运营和攻防对抗为基础，构建起“情报-攻防-服务-生态”的闭环安全运营体系。

目前，腾讯SOC+集成了TIX威胁情报中心、SOC安全运营平台、NDR网络威胁检测与响应、MDR安全运营服务四大产品矩阵，可支撑政企机构建立起技术、人员、流程一体化的安全运营体系，全面提升安全防护能力和安全运营效率。

图片