腾讯安全威胁情报品牌发布会暨腾讯安全情报联盟启动仪式原创

尊敬的线上同仁大家好，欢迎大家来到腾讯安全威胁情报品牌发布会暨情报联盟计划启动仪式的直播间。第一手情报，高一丈之道，我是主持人赵思雨。在网络安全威胁日益复杂和多元的背景下。威胁情报作为企业安全防御化被动为主动的利，一直备受行业关注。那么今天我们的品牌发布会暨情报联盟启动仪式以安全共建，打造微情报生态圈为核心，介绍随时随地、快人一步的微情报中心产品的核心价值。同时，发布会压轴环节将举行腾讯安全情报联盟启动仪式。全面合作，输出情报能力，实现共赢的美好愿景。首先让我带大家一起认识一下今天请到的四位重量级嘉宾。中国信息通信研究院与安全专家孔松老师。

腾讯安全威情报技术专家夏燕山老师。腾讯安全应急响应中心周泽斌老师。和天融信安全专家晏松琪老师。在四位大咖开始演讲之前，我要提醒大家。在演讲中间，我们为大家准备了丰富的礼品，将在踊跃发言的用户中选出30位幸运观众。我身旁的背景上有我们的群二维码，欢迎大家扫码入群，群内填写试用产品链接，也有20个企业公仔啊。好的，那首先让我们有请开场嘉宾中国信息通信研究院与安全专家孔松老师为我们介绍数字化安全建设要求与趋势。有请孔松老师。大家好啊，我是中国信通院的孔松，非常荣幸参与今天腾讯安全威胁情报的品牌发布会，也非常荣幸能够跟行业的威胁情报专家一起去交流学习啊，那么我今天呢，主要是分享一下我们在数字化安全建设方面的一些研究成果，呃，介绍威胁情报在整个数字化安全建设中它的一些意义和趋势啊，那么我可能只是作为一个就是开场的这样的一个抛砖引玉，更专业的威胁情报相关的内容呢，都会有后面的三位老师再去详细的介绍。

呃，那我们今天的分享的话呢，其实主要是包括三部分，呃一呢是探索在整个产业数字化背景之下，呃企业数字化安全建设它的一些面临的问题和呃必要性，二呢是呃在整个大背景之下，企业如何去建设原生的数字化安全体系，呃三呢是去对整个数字化安全建设做一个简单的展望，呃去探索相林系人安全、前置威胁情报等在呃数字化安全建设优化过程中的一些作用和意义。

呃，那么首先的话呢，其实就是第一部分去看探索一下整个数字化安全建设，呃企业有哪一些新的需求，呃从整个产业上面来看的话，其实如果谈到ICT产业近两年有呃以及未来几年呃最热点的东西是什么的话，我相信会有非常多的人提到三个字，那就是数字化。呃一方面呢，其实是从国家政策方面就已经在积极推动这种产业，尤其是传统行业去开展相应的这种数字化，呃转型的变革，呃十四五规划中呢，其实也将大力推展数字化转型，加快推动数字化，数字产业化作为了整个的发展主线啊，那么从市场上来看，其实呃各方可以看出来，对整个数字化保持这样的一个期望的乐观态度，呃预计呢，到2025年，我国整个的数字经济核心产业增加值将占到GDP的10%以上，呃，这个是我们整个可以看到市场方面其实呃相对。

是非常乐观的，嗯，那么在整个产业数字化的进程加快的过程中呢，其实我们可以看到企业的it呢，企业的it架构面临着多层面的这样的一个变化，从底层基础设施上来说的话呢，其实云计算成为了重要的数字基础设施，企业从传统的这种物理设备，像云主机、容器甚至是service类去演进，呃，多云、混合云也成为了一种主要的部署形态啊。那么在基础设施之上呢，企业整个的研发运营其实也在片快速的变革，像容器无服务等这种新的原生的技术，促进了企业应用架构从单体向分布式的这样的一个转变，整个研发运营迭代速度加快，呃，支撑着企业越来越多的这样的呃核心业务系统去进行数字化的转型啊，我们可以看到，像不管是金融呀，零售等等各个行业的一些核心业务都由线下向线上去扩展。呃，对外。

通过数字化的形式向用户提供越来越多的服务啊，那么企业整个的这样的一个业务管理复杂度和用户规模都在增大。呃那面临着如此庞大的这种数字化管理的这样的一个需求，我们可以看到呃如此庞大的数字化业务其实也面临着越来越严峻的外部的安全威胁态势，呃从数量和攻击频率上来看的话，其实呃像艾森哲的数，呃艾森哲的数据统计，我们可以看到企业面临着非常多频次的这样的一个外部攻击，而同时像呃就是越来越多业务上云之后，其实它的整个资产和网络安全管理的问题也相对变变得更加复杂，呃各类的威胁呢，其实呃都呈现一个就是数量增多，然后呃技术手段也更加专业的这样的一个趋势。一方面其实像这种邮件威胁呀，数据威胁这种传统呃情况下，企业就会面临非常多的威胁，现在依然是一个，呃主要的问题，那么同时呢，像挖矿呀，供应链等等一些，呃，相对比较新的威胁，其实在这两年它的一个增速也是都是非常可怖的，呃，这也让企业面临。

非常多的安全挑战，呃，所以在整个这样一个大的安全威胁日严峻的态势之下呢，企业越来越重视数字化的安全建设啊，那么其实原因呢，也是多方面的，一方面其实是呃面临着如此大的态势，国家也非常重视相关的一些法律法规的建设，呃像网安法呀，数案法，个人信息保护法都相继的发布，呃其实也对企业数字化建设提出了非常多的合规要求。呃，那么二呢是其实国家很多相关的政策，包括今年特别火的这种东输西算，都推动了相应的这些新的技术，它的应用深度和广度啊，那么企业在选择这种新的技术，应用新的技术的时候，其实也会呃优先的去考虑相应的这种安全问题，那么同时呢，呃，非常多的这种安全事件，其实给企业带来了非常直观的，非常庞大的这种经济损失，呃，像这种数据泄露成本高达424万亿美元。

啊，所以其实企业出于利益驱动，也会非常主动的去考虑，我需要增强我的数字化安全建设，呃，所以在整个十四五规划期间呢，其实看到呃企业在网络安全规划投入上的占比也会将也会非常的可观，呃那么在如此强大的这种数字化安全建设驱动之下呢，其实我们可以看到呃企业它的这种传统安全建设面临着一定的呃瓶颈和痛点，急需去呃适应新的这种安全需求，那么在传统的安全建设中，其实企业更多的是以这种安全安全边界为核心，呃比如说在数据中心的出口处，我可以部署这种防火墙，Idsips等呃硬件设备，然后以保证数据中心内的这种资产安全啊那么这种模式的话，其实还是存在着一些呃问题，或者是瓶颈的，一是可能硬件设备，其实它的整个防护能力相对有限，呃，同时呢，整个安全制安全建设其实是比较滞后。

的，那么越来越多的安全事件导致企业它的这种处理成本非常高，呃，那么同时呢，各个设备之间其实还是比较相对孤立的，存在着一定的数据孤岛，而这种防御的话呢，其实且也同时是以这种响应式防御为主，那么随着整个企业数字化转型的这样的一个变化，其实它的安全需求也发生了一定的一定的变化，一是面临着这种呃基础设施云化，企业呢，其实它需要关注的不仅仅是传统的这种物理数据中心了，呃，需要对这种多云混合云的环境进行统一的这种安全防护，呃，同时呢，资源从物理层向虚拟化层去变化，呃，也需要对这种虚拟机容器等多类的这种资源去进行统一的保护，呃，那么研发运营迭代的话呢，其实也带来的企业这种呃，资源和业务的这种快速变化，那么其实也要求相应的一些安全策略或者安全防护能力，能够随着业务的。

变化而去变化，呃同时呢，在传统的这种像网络攻击，数据泄露等这种呃威胁之上呢，其实越来越多的业务层面的威胁也出现了，包括呃挖矿呀，钓鱼刷单等等呃那么所以其我们在对威信防护的时候，也需要更多的考虑这些业务层面的问题，呃同时呢，其实呃海量的威胁之下呢，安全数据它的重要性其实越来越重要啊，那么如何的去实现这些安全数据的高效共享和利用也成为了一个关键。呃所以在其实上述的这些安全需求的驱动下呢，我们可以看到企业它的整个数字化安全体系的建设也需要去做一定的呃优化变革，呃所以我们认为其实企业需要去开展这种原生化的安全体系建设，呃，那么整个体系的话呢，其实是有其他部分去构成的，呃，像这个图PPT中的这个图可以看到，其实呃，整个架构的话，我们并不是对传。

传统的这种，比如说防火墙、ipsids等等这些机制去做一个颠覆，而更多的是在原生安全的理念之下，呃，去促进这些已有的一些机制优化升级。哦，那么整个原生安全的特性的话，其实我们归纳大概呃其实是有四点，第一呢，是在整个部署和使用模式上去进行一定的优化，更多的是这种呃呈呈现组件化的形态，通过虚拟化，容器化的部署，或者是以一些SaaS的模式去交付，呃能够其实更便利的去部署和使用，而这种模式的话呢，其实也促进了资源利用率的提升。呃一方面的话，其实这些呃模式可以让它依据像利用云的这种弹性扩展的能力而实现自身的这种防护性能的弹性扩展，同时呢，相应的这些组件之间也可以做进一步的这种安全数据的整合分析和挖掘。呃，那么同时第三点的话呢，其实我也强调相应的这些，呃，安全的机制能够和我底层的这种基础设施去有效的联动，更加的原生化，同时呢，各个安全机制之间呢，也需要去进一步的联动，来提升这种事件的响应效率。

呃，最后呢，其实也是需要考虑到这种数字化呃转型过程中面临的一些新的安全风险，不管是虚拟化层的，还是这种业务层的，呃所以整个体系要去覆盖到这些新的安全风险的这些防范的风方式啊，所以那么在整个原生的这种安全体系下呢，其实我们可以看到呃在整个体系会呈现一定的一些特点或者是趋势啊，我们认为目前来说可能有三点会比较关键，一呢是呃面临着越来越多的威胁，安全数据的这个价值重要非常的越来越重要，所以整个威胁情报在体系中呈现越来越关键的作用，呃一呢是它能够呃让企业避免这种数据孤岛的问题，二呢是经过获取，就是更多的更及时的，这种威胁情报其实能够帮助企业掌握对安全的主动权，能够实现从这种被动防御到主动防护，呃，第二呢是其实这两年零星的理念也越发的被大家呃关注。

复合介绍，那么零信任我们认为它作为一种新的理念，其实是对传统的那种纵深防御的安全体系的一个呃弥补，所以其实它需要渗透到这种各个的安全领域啊，那么第三的话呢，其实就是在整个安全体系的建设过程中，呃，需要去通过安全前置这样的方式呃，来实现整个安全问题的尽早收敛啊，所以这个是我们认为目前企业做数字化的安全建设过程中，呃需要关注的几个趋势和重点。嗯，那么针对于整个体系中的这个其他部分的话呢，其实我这里也就是呃做一个简单的介绍，然后一呢是呃对这种云工作负载的话，其实呃目前来说更主流的方式是去做工作负载的保护啊，那么右侧的话呢，其实是干ner提出的一个这个CWPP的能力域，呃从底侧一直到上面，其实呈现一个金字塔的形状，就是底下是越来越重要的一些能力，企业需要在建设过程中着重去关注的。呃，那整整个C大PP的话，其实我们认为它是一个天生原生的这样的一个呃机制，呃所以它的能力价值主要体现在以下几点，呃一呢是它可以去对这种多云混合云呃环境下的这种工作复杂进行统一的安全管理，二呢，是能够对这种虚拟机容器等多类的这种易购的计算资源进行统一的管理，呃，其实这也就是避免了企业在多云混合云的情况下去做，呃，就是针对于美多云再去单独的去。

管理这样的一个弊端啊，那么同时的话呢，其实CWP应该去适应底层的这种计算资源的弹性扩展，它自身的能力也需要去做这样的弹性的适应，呃，同时呢，它能够跟底层的这种云平台去对接，跟整个大的流程去对接，呃，实现一个更加融合于云平台，能够从研发阶段一直到整个运营阶段，全流程去对工作负载进行保护的这样的一个机制。

呃，那么第二部分对于数据安全来说的话，其实呃整个一些技术上的实现，其实我认为跟传统的并没有那么多的呃区别，更多的其实强调是从原生的理念呃出发，去强调能够能够从将安全机制和整个呃像云数据库等等这些呃底层的这种设施之间的一个有效的联动呃角度去出发，建立这样的一个数据安全从收集处理到交换各个关键环节的这样的一个全流程的安全保障机制。啊，那么对于应用层和网络层来说的话呢，其实呃更多的像防火墙B服依然是一个比较主流的呃机制或者手段，只是他们的未来发展方向，其实是越来越成云化的方式啊那么像对于云外来说的话呢，其实原生的这种云外部，它能够在不改变自身网络拓扑的情况下，就能够去对应用系统进行安全防护，同时呢，呃我们认为其实它更多的需要跟云的网络基础设施，比如CDN负载均衡等等去做一个更进一步的融合，来实现这种安全问题的呃联动和处置。呃那么对于防火墙来说的话呢，其实云防火墙它一方面既可以像传统的这种物理防火墙呃去做呃从互联网到内部网络之间的这样的一个呃呃访问控制，同时它也能够适用于内的这种呃，相应的一些做呃访问控制，包括VPC和VPC之间的。

呃，进而为整个云的网络去提供相应的这种分布式部署，弹性扩展的这种访问控制的能力。

嗯，那么在整个呃业务层面的话呢，其实我们可以看到呃业务完全一直是跟黑灰产处于这样的一个博弈的过程中，那么随着整个黑灰产产业链的这种不断的优化升级，呃其实业务安全相应的机制也是匹配的，需要去进一步的革新，呃所以整个呃发展阶段也是一直在变化的，像早期可能更多的是呃通过这样黑白名单的机制，那么慢慢的有了这样的专家风控的规则的机制，那么到现在更多的是依据于这种呃大数据，人工智能，隐私计算等技术，呃完成了业务风控能力的这样的一个数字化的转变。呃而场景的话呢，其实也从早期可能呃更成熟的这种内容安全，像现代啊交易等等呃各类的这样的一个场景去拓展，嗯，那么上述的话呢，其实更多的是聚焦在不同的安全领域去做一些安全建设啊，那么在完成了呃，各个安全。

评之后呢，其实是需要有一个统一的这样的一个安全管理能力，对上述的各个模块去进行这种统筹啊，也就是我们所说目前可能大家呃都会去通过这种安全运营中心的方式来实现统一的管理，呃不管是对资源的统一管理，还是对安全数据的统一管理，还是对安全策略的统一管理啊，那么在整个安全中心的建设中呢，其实我们认为它呃不仅仅只是一个简单的平台建设，更多的是需要包括人员建设和运营建设的，这样才能够保证整个平台的能力去呃充分的发挥，呃那么人员能力建设的话呢，其实是从安全事件的这样的一个周期上来说，需要去做这种呃事前的防御能力建设，事中的响应能力建设和事后的溯源能力建设，而对运营建设来说的话呢，其实一方面呃，对于运营零床上面的一些管理机制还是相对比较成熟的，那么更多的话呢，其实是企业越来越多的去考虑到去做这种呃运营的考核管理。

呃，那么上述几个的话，其实还是呃，就是聚焦在一些安全领域做的一些安全能力，呃，那么就是我们可以看到上述的一些安全能力，他们的关键和核心其实都是去做这种安全数据的分析和判断，而在这个过程中啊，我们认为其实那些情报是起着最关键的一个作用的啊，因为其实信通院在聚焦在上面的刚刚介绍的那几个领域，其实也做了非常多的行业标准啊，那么我们可以看到这些行业标准最大的一个共性，其实就是针对于每一个能力的标准，我们其中都提到了威胁情报，呃每一个安全机制它都需要去跟安全情威胁情报有一定的呃一些要求或者是联动，所以其实我们认为，呃，在整个的这个体系中，威胁情报是起着这样的一个全局的，非常突出的这样的一个关键作用啊，那么威胁情报的话呢，其实最早是由该提出，呃，主要是描述这种现存的或者是即将出现的针对资产或威胁资产的威胁或者是风险。

啊，那么同时呢，可以用于通知相应的这些主体能够对这些威胁去采取某种措施，呃随着整个威胁情报被提出之后，其实呃得到了这样的一个迅速的发展和落地应用，呃所以它的整个关键作用也是不断的在提升的。呃一方面我们从整个呃国家战略层面可以看到，呃像非常多的一些要求，或者是呃政策文件中都提到了威胁情报的一些重要性，呃包括十四五纲要中呃去强调需要呃强化这种跨领域的网安全信息共享和工作协同的机制，进而提升这种网络安全分析、威胁发现、监测预警、应急指挥和工击溯源的能力。啊那么同时从供应侧的角度来看，其实呃非常多的安全厂商都将威胁情报作为自己的重点产品，同时呢，将它和像这样像叉DR啊，So克威胁，态势感知等等相应的一些其他的机制去深度的做这样的应用和融合。

呃，那么从市场的呃方面我们来看呢，其实呃它的整个管在应用层也是不断的，这种就是更加成熟的，呃最干的预测的话呢，其实到今年2020年底，将会有20%的大型企业采用这种商业的威胁情报，然后进而为他的这种安全战略提供信息。呃，那么其实我们可以看到威胁情报的作用非常重要，那么它在整个安全建设中的流转，其实呃分为以下五大关键的环节，呃，那么一呢，其实是这种威胁的智能感知，呃要求它能够对这种联通多元的一个安全知识啊，那么第二呢，其实就是需要做相应的这种威胁评估和事件定性，需要依托于这种大数据、人工智能等技术来去实现它的这种自动化的分类分析，呃还有重点的情报的专项运营，呃那么在联动处置的环节的话呢，其实非常强调，呃那些情报能够跟各类的这种安全工具产品能够去联动啊，来实现威胁事件的这种秒级响应，而最后的话呢，其实是需要有一个这种跟踪反馈的环节啊，进而形成这种自学习，自适应的、智能化的安全迭代机制。

呃，那么上面的话呢，其实更多的是从企业在整个呃安全体系建设中应该具备哪些能力去呃进行的一个分享，那么最后的话呢，可能是呃对整个安全体系未来的一个发展做一个简单的展望。嗯第一部分的话呢，其实我们认为在上述的整个安全建设中，零界的理念是非常关键和重要的，而且呃将渗透在各个的领域，因为可能现在呃领信任更多的是聚焦在一些远程办公的场景，呃所以其实对在整个终端安全的能力提升是非常重要的。呃那么未来的话呢，其实零信任在多个领域都会有更深入的应用和体现，呃像在云工作复杂领域的话呢，其实我们知道呃联系人强调就是对所有的这种访问进行访问控控制，所以其实呃，不仅仅是这种用户和应用系统之间的这种南北向，我们需要去做联信任，而在这种工作负载之间的这种东西向的访问，其实我们也需要去做联信任啊。那么在安全。

圈管理的角度来说的话呢，其实零信任本身就是要求对每一个访问行为从多元信息去做这种动态的持续综合的这种信任评估，呃只有评估通过才能放行，所以其实这个跟我们统一的这个安全管理的理念也是呃不谋而合的。呃那么在数据安全领域来说的话呢，其实目前大家都在强调数据要做这种分类分级啊，那么分类分级之后呢，其实它能够跟零系理念有一个非常好的融合，基于零系理念，我们去实现数据的这种最小力度的呃访问控制，进而保证数据的安全性。嗯，那么在网络安全领域的话呢，其实它跟这种呃以往的这种纵深防御其实是一个互补的过程，呃，一个是我们其实需要对这种南北向的网络威胁去做呃检测和响应，呃那么同时的话呢，联系人也要求我们不应该区分网络位置，其实呃对这种数据中心内的一些网络威信，我们也应该去做相应的呃控制或者是响应。

那么第二的话呢，其实从流程上来说的话，安全潜置也越来越受到呃企业的重视，那么其实从早期传统可能我们仅是在这种验证阶段，发布阶段和运营阶段去做呃一些安全建设，那么越来越多的企业去做这种安全的左移，呃将安全贯穿到这种比如说需求阶段呀啊，设计阶段，开发阶段啊，那么同时的话，其实我们可以看到我们的最终安全前置的目标，其实不仅仅是实现将安全贯穿到整个div boss的流程中，其实我们也可以呃利用这种boss的持续迭代，持续呃研发的这样的一个理念去做安全的迭代，这样的话，让我们的安全时刻的啊都能够适应我们整个企业it架构的变化啊，最终让整个安全完全融合于我们整个的企业it中。

那么最后的话呢，其实呃也是想强调，其实在整个安全建设中，安全数据它的价值越来越受到大家的关注，而且越来越重要，呃所以其实整个数据共享也是我们未来的一个主主要的目标啊。那外威胁情报的话呢，其实在整个数据共享中也是起到了非常多的重要重要性，而同时呢，为来情报未来的发展，我们认为其实呃可能会呈现一个多层次的不同的这样的一个发展情况，呃一呢是从企业内部呃安全建设来说的话呢，其实威胁情报是安全建设中呃一个比较全局宏观的这样的一个地位，所以它需要呃未来更多的跟叉DRS等等已有的这些安全机制去做深度的融合，呃，进而全面优化各类工具的这种威胁防御能力，呃，来避免企业内内部和外部之间有这样的一个安全孤岛的存在啊，所以我们也可以看到，其实威胁情报跟不同的工具去呃。

融合，能够去实现企业不同的一些安全需求和安全目标，呃那么在第二呢，是在行业层面，其实越来越多的呃企业已经意识到需要跟行业内或者是行业间我们构构建这样的一个威胁情报的共享平台，呃进而是一个依托于自己或者是依托于外部，其实能实现互相的这样的一个提前规避风险，呃所以其实不管是从呃相关的一些呃部委政府机构或者是第三方机构，还是企业自身来说，其实有都有非常多的呃机构去发起这样的一个共享，呃最后的话呢，其实我认为那些情报最终我们还是需要去能够触达到网上最庞大的这样的一个C端的网民用户，呃，比如说我们可能去通过VC情报帮助他们去避免一些被勒索呀，等等相应的一些，呃。

用户端可能面临的一些情况，呃，最终实现全民反诈啊，那么其实我们可以看到像呃在这个领域上来说的话，行业里也已经有了一些实践，比如腾讯，嗯可能跟前期跟就是电信运营商去合作啊，已经为电信运营商的这种家庭用户去提供威胁情报的检测服务啊，那么这样的一个创新模式，其实我认为未来可能会有更越来越多的案例去呃应用去实现，最终呢，我们来实现威胁情报的全民普惠啊，那么这个的话主要是啊，我就是对呃未来整个数字化安全建设的一点呃想法和参考和仅供大家的参考吧，然后我今天的分享就到这里啊，谢谢大家。好的，非常感谢孔松老师，那精彩的演讲过后，我们的抽奖环节也正式开始了。本轮我们为大家准备了15个Q猛虎系列挎包，那么现在在直播间和交流群中我们同步开始抽奖。

好的，恭喜，微信号是YS无他人秦九等15名同学请在群里联系我们的小助手获取奖品。屏幕前的你呢？如果还没有入群，马上扫码大屏幕入群，后面我们还有更精彩的礼品在等待着你。那继续回到我们的直播现场。相信通过孔老师的介绍，已经充分向我们展示了数字化的机遇和挑战。在这样的挑战中，腾讯安全依托20年的网络安全实战经验以及大数据智能分析的能力，打造了具备基础情报能力、业务情报能力和风险监测能力的唯一情报大数据平台。目前已经覆盖金融、互联网、大型企业、政府、教育、医疗等多类客户，得到了众多行业头部客户的认可。那今天的产品又会发布哪些惊喜的能力呢？

有请微业情报技术专家夏燕山和我们一同开启腾讯安全微业情报中心TX的产品发布，随时随地快人一步。有请燕山。好的，各位线上的观众朋友们，大家下午好，我是腾讯安全物业情报的小山。嗯，前几期给大家分享了物业情报在各个不同场景下里面的最佳实践，那么今天呢？我来给大家带来一款重磅级产品TX。TX是集合基础情报查询监测、情报业务、情报APP、情报沙箱、开放社区、AI热点事件、攻击态势与一体的全方位免费安全信息查询平台。

那么我们下面来看一下关于物业情报的一些。需求。现如今高级网络持续性攻击层出不大。攻击者拥有较长的较长的准备时间，他们的工具众多，而且针对性比较强。尤其是一些定向攻击。那么传统的安全边界防护所面临的一些挑战，加密流量多。规则更新慢。那么基于规则的这种检测方式。一。更新规则比较慢，难以适配新型的这种攻击。第二。一个大型的企业如果说部署了安全设备，那么它可能会有火墙、防火墙等等安全设备，那么它所面临的这种告警数量持续性增多，那么对于运营者来说挑战是非常大的。

一个企业从安全建立到整个安全的升级，可能会分为如下几步。从开始业务初期，那么对于整个架构体系可能会涉及到安全。比如说我们。在数据数据库方面，我们可能会不会让它暴露在公网，可能会在管理面以及数据层面做一些分离等等，来做一些安全性可靠的一些保障措施。那是那这个是第一阶段。第二阶段，那么当自己的业务可能有一定的起色了，那么呃，这个时候外面的攻击者可能已经开始惦记你了，那么这个时候，呃，可能会。业务可能会面临一些攻击。此时我们可能会针对于特定的攻击做一些特定的防护，比方说CQ注入等等界面上的一些注入，那么我们可能会去在自己的业务层面去做一些安全的一些管控。

那么随着自己的业务的一个增业务，业务的一个增多。主动防御可能渐渐淡出我们的视野。那么我们可能会购买一些安全设备。像挖，像防火墙等等一些安全设备，那么我们是期望我们自己的企业以及自己的业务能够得到更多的一个防护。下面一个阶段就是。在这些，在当前的这些安全体系下面，我们希望能够。对位置的一些攻击能够有更深的一层的防护。因为即使是防火墙，即使是挂，我们可能自己的业务也有可能会被打破。所以说物业情报在主动防御以及提升安全设备检测能力，以及。

降低安全设备误报率等方面。有一个比较大。的一个作用。当我们的业务结合了物业情报之后，那么能够使用情报的几个特点，主动防御、加强多单联动、快速响应。精准度的一个提升。那么再下一个层次就是我们的。嗯，可能对攻击者有一个比较客观的一个认识，那么我们可能会借助一些安全上面的一些信息来进行一个溯源的一个反制。那么从政策上来说，物业情报已经在等保2.0测评要求里面已经明确标识。在十四五信息通信行业发展规划里面，以及中国进出口限制出口技术目录里面也有了明确的规定。

整个物业情报的行业现状。有增长空间大，价值高，覆盖少，门槛高，用不好，那增长的话，物业情报市场增长率远高于同期的安全市场增速，物业情报能力也成为客户的安全建设的一个重点。一些头部客户，他如果说采用微信情报，一般都会采用一家以及多家，所以说它的空间也是比较比较大的，价值层面能否能够结合防火墙以及叉DRRNDRR等设备。提升用户的安全检测能力。已经成为了叉DR的不可或缺的一环。根据这个预测，物业情报支出将以每年15.8%的这种复合增长率增长。拥有威胁情报团队。他。

一般都会有。很多元，但是腾讯这边。情报采集可能达高达上百个人。这种。物业情报对共享网络真正的价值建议在网络安全建议的网络安全组件的。这种规划中都加入情报的这种选择。那么，到底什么是我们的物业情报呢？这个里面就可能就需要前面几期已经提到，大概分为三个维度，第一个是基础。第二个是风险监测，第三个是业务情报，那么基础情报的话，可能就是简单的一些IC的查询，像IP域名、MD5URL以及邮箱证书，还有4256这种方式，那风险监测的话可能就是。站在攻击者视角的一个对于企业资产的一种一种一种检测。

可以收集互联网的暴露面，以及企业的一些漏洞。资产的一些测绘业务情报，可能是站在整个企业外围，对整个企业的一个宏观的一个监测。如信息泄露业务仿冒黑灰方式。那么，呃，罗马并不是一天建成的，整个腾讯物业情报从2017年开始。一直到2022年，我们TX社区重磅发布，那里经过了非常多的一些能力提升。以及内部产品的一些实践。这个里面物业情报的话。就又讲到之前几次公开课给大家分享的一个点。

主要是物业情报，分为四层，呃，这个地方，嗯。博物馆打一个例子。那么基础情报可能就是像IP域名，L6 MD5 URL邮箱这些点，那么可能就相当于博物馆里面的资产的一个防护。那么。进入博物馆的时候，我们可能会有一些。进入博物馆的时候，我们可能会有一些安保人员的一些监控，比方说啊，我们有没有，有没有那个窗户的破裂呀，有没有，呃，城墙的一些。比较危险的这些动作，那这个时候就可能会用到我们的一些监测的情报，那么脱离整个博物馆的话，可能就是。呃，站在。暗网以及。整个互联网的这种态度上面，比方说我们有信息泄露啊，电劫持啊，仿啊啊这些进行一个总体的研判的一个分一个分析。

那么。腾讯发布TX这种情报，我们致力于第一手情报一站式服务。好，下面主要介绍一下我们的整个TX的情报中心，那么TX有多种交付形态，像web、小程序号、APISDK、硬件部署、云交付等多种多种交付形态，那么底层的数据可能会于C端、B端、云端、骨干网、DNS、资产数据、运营类数据等多种数据维度。经过场景化挖掘以及关联关联的数据分析。以及IOC的一些生产里面的误报等方式，形成我们的业务情报、风险监测基础情报。

对于这些能力，我们会包装成。外部端、小程序端、服务号等多种方式。用户的话，可以通过桌面、移动、离线等方式来免费的访问我们的这些情报。总的来说产品的形态比较多，能力也是经过了不断的一个实践，那么发展的方向，我们主要对于生态厂商的话，可能。像SDK方式结合的这种方式，把能力结合于生态，呃，像防火墙这种设备。对于。开发者来说，我们会结合像API。SDK界面、小程序等多种不同的方式。那么载体的话，呃，有一个比较现实的一个问题就是。

平常我们在重保期间，那么呃，用外部单去查询一些IC的一些情报的话，可能比较麻烦，以及有一些限制，那么。这次TX携带的。小程序以及微信公众号等方式，能够随时随地的进行一个查询。手机端能有一个体系化的这种展示。那么API的这种方式是比较常见的这种方式。对于一些安全设备，以及正准备建立安全的安全体系的这些企业，可以通过这种方式。在线的访问云端的像基础情报。业务情报等不同的情报类型。

那么。TX有一个比较核心的一个点，就是情报码的概念。我们可以加强几种场景，对于离线设备，尤其是像硬件防火墙或者是硬件。呃，他们可能在一些不联网的场景下。那么对于这种。这种这种场景的话，那么他们的信息展示结合情报之后，信息展示可能是比较低的。这是第一个，第二个，如果说我们想从情报侧给这些安全设备展示更详细的信息，那么我们本地存储。本地的这种压力是比较大的。那么所以腾讯提出了情报码的这个概念。通过。这种情报码我们可以通过移动。直接针对于某个IOC。查询它的关联信息，比方说它的比方说I的信息，像地理位置。

呃，IP的应用场景。和样本的关联信息。等等多种维度标签，还有，呃，还有黑白灰等多种属性。情报后续一个最重要的规划是被集成于各种。生态厂商，那么这是一个必然的这种趋势。情报作为一种能力，那么如果说一直通过API，或者是通过呃，私有化部署的这种方式，它的局限性比较大。那么结合生态厂商之后，结合生态厂商可以。用他们的用户。传递这个，呃情报。最后SDK的这种方式，呃，是通生态厂商结合的一种比较重要的这种。

呃，因素。这个支持主主要支持几种维度，第一个像嗯。像性能比较高的话，我们可以支持像函数级别的调用so加载的这种方式。如果说对于性能要求不是那么严格的情况下，我们可能通过本地进程间通信以及HTTP的通信的这种方式进行一个。呃，结合。那么TX致力于打造一个开放性的一个情报社区。后续结合生态厂商以及。用户可以在。开放社区里面提供自己的这种建议。所以说。对于使用者来说，我们是一起对于情报能力作为一个持续性的一个建设。

好的，我的分享就这么多，后面交给主持人。好的，感谢燕珊老师的精彩演讲。从直播评论的热度可以看出啊，大家对于这样一个丰富的功能，有直击痛点的产品非常感兴趣的。那我呢，也想借这一波热度，代表情报的同学送给直播间的各位家人一个小小的福利，本轮我们为大家依旧准备了15份的Q猛虎系列枕，在直播间和我们的交流群中将同步送出，如果有想要的同学呢，可以把随时随地快人一步打在我们的公屏上，那我们现在就开始抽奖。

希望大家踊跃评论，我们现在的抽奖正在进行中。我们看到评论已经不断在刷题了，那我们的结果也出炉了。恭喜啊，刘瑞华，Shy suki等15位同学，那依然请添加我们的小助手微信来获取奖品，屏幕前的你呢？如果还没有入群，请马上扫码大屏屏幕来入群，后面我们依旧还有啊礼品来等待着大家。

好的，那继续回到我们的直播现场，接下来呢，是腾讯安全应急响应中心，周泽斌将给我们带来安全共建的故事，有请泽斌。啊，大家好，然后线上的朋友们大家好啊，那这个发布会非常精彩啊，也非常感谢那个威胁情报同学们的邀请啊，我是来自腾讯安全平台的周泽，然后我首先。首先呢，我先简单的自我介绍一下我自己，然后我是在腾讯工作，然后已经有很长一段时间，然后我呃非常喜欢参加社区建设，然后在安全的社区以及开源的区都维护了很多，呃安全的开源软件，比如说容器安全的软件，以及那个库安全软件D，然后我也是火星计划的贡献者，然后。

之前也曾经在二一年和二二年也曾经在多个啊知名的安全会以及呃开源会议上面发表过演讲，比如说像那个云原生算基金会，基金CF以及基金会的控和呃关于基金会的渊源，我也会在后面呃简单跟大家聊到，然后以及信息安全领域大家比较熟悉的K来。C国际的会议，他们发表一些议题。那今天传同学给我的任务就是讲技术故事啊，那也是第一次分享非技术的议题啊，欢迎大家给我呃更好的反馈，那我就给大家讲讲一些基础社区上面的趣闻吧。那呃，如果大家看到我那个议题的名字，或者是我这次分享的名字的话，肯定会很困惑，因为我们的议议题名字有两个缩写，第一个是呃，Osf，另外一个是C天，其实我们的原本的名字因为比较长，所以说我们就把它替换成了一个呃，大家比较熟悉的缩写，然后OS的意思就是软件基金会，然后C的意思是网络空间情报。

呃，这两个缩写，那如果我不换成这两个缩写的话，那我们就会变成open source source so foundation就会比较长，然后就变成了一个比较短的形式。然后今天呢，我们也会啊，一个一个的带大家从O到那个发光，再到那个C的这种三个社区共建的形式，去威胁情报的一个社区共建方式。那首先就是开源基金会，这是我呃接触最早的那个社区共建模式啊，全球最早的开源基金会是自由软件基金会，就是OS。那他是1985年就已经开始建立了，比可能是比在座的或者是在呃线上的很多人都要年纪都要大，然后他也是世界第一家，然后呃开源软件基金会。

对，然后我们比较熟知的就是UN。呃，UN就叫g nu的那个开源协议呢，就是由软件基金会提出的，那另外一个比较呃为大家熟知的更加出名的基金会就是Linux基金会，然后Linux基金会呢，将负责班尼纳X。推广Linux的使命啊，也是现在也是非常知名，然后现在Linux也是呃。全世界无法就是动摇的基础设施了，那但是基金会也一直在发展，从2020年创建的资金，现在已经也是云原生呃标准的中轴底柱。那其实可能我们更加熟悉的另外一个基金会，可能是阿帕奇基金会啊，因为啊，不仅它是开源项目非常多，它的数量非常多，然后我们安全界的同学们在处理他的漏洞也非常多，呃，阿帕丁基金会是目前世界上最大的开源基金会，有很多人都这么称他，但然没有人会去排这个名，但是呃，国内有很多厂商都会说他是世界上最大的开源机会，那为什么说世界上最大的呢？因为他。

嗯，所被捐赠的或者他负责维护的那个开源项目有很多，总归有接近呃350个以上的呃开源项目，然后同时它有非常完善的漏洞处理流程。呃，比较为大家所知的就是近期的local for g的log for she这个漏洞就是由呃阿帕奇基金会嗯名下的local for这个项目所爆发的。那有很多安全研究员都会把阿帕奇当成一个老朋友啊，因为呃经常会给阿帕奇的那个安全团队发邮件，那还有一些明星级的项目，比如说卡普卡哈。

啊，比如说像to cat弗link这些都是我们伦翔的这种，呃，开源项目都是由阿帕奇来进行维护的。那刚才也提到了阿帕奇它有一个很完善的那个漏洞处理流程，然后我们现在就来简单看一下这个流程，这也就代表着阿帕奇他建设了它的它的理念以及。他想要建设什么，什么样的一个安全社区？那呃，阿帕奇的那个，我觉得阿巴奇基金会所建设出来的安全设区以及它的漏洞处流程呢，主要分为三个环节，第一个环节就是社区报告者，就是挖漏洞的人，以及就是我们，呃，可能现场有很多相似的安全研究员，特别是Java的安全研究员，就是属于我们的社区报告者。啊，另外一个就是阿帕奇有一个光线，就它有很多300多个。那个开源项目，但是它有一个公共的安全团队，就是阿帕奇全团队，还有就是各个项目的，比如说的就是又比如说像那个cat的这种PMC就是项目的主要维护者。

那会会经过五个阶段呢，第一个阶段就是由报告组去报告，然后安全团队确认，然后。然后那个开发者去修复，修复完了之后就会去公开，公开完了之后就会有一个闭环的动作。那么根据统计数据来看的话呢，剔除到呃垃圾邮件之后呢，阿帕奇的安全团队总共去年总共处理了1200多分的外部报告邮件，然后比较，那我们能看到的只有。安全报告呢，就是主要是被发布CVE的报告，然后接近200个，就是1193个，呃，CVE编号，这个编号可以说是非常多了，呃，除了像Google或者是呃微软这样的一个厂商之外呢，它应该是发布的C编号是比较多的了。嗯。呃，安全社区就是有一个通病嘛。除了。

很就是非常能给安全社区提高贡献的这种有效的认购报告之外呢，也有很多非常就是。说到从其他的或者是一些呃无效的报告，比如说像呃希望得到技师支持的，又比如说像去执行阿帕奇的license的这个邮件，呃，我就我最近就把我自己的K项目从那个呃，GUUNGU那个协议改成了阿帕奇协议，然后很多人会觉得阿帕奇的安全团队应该去支持那个协议的答疑，那其实那个阿帕奇安全团队是不支持，就是不去处理这些东西的。然后同时还有很多报告者去报告通用漏洞的问题，还去报告一些外部的站点的安全问题，比如说差一下S级的啊，也是阿帕奇安全团队，他们不不处理的问题。那另外一个，呃，比较具有影响力，或者说是极具影响力的一个。

那个基金会，或者是我一个比较熟悉的基金会，就是ccf原生计算基金会。云原生计算基金会呢，呃，自从原生呃这个概念爆火之后呢，就会那种应运而生之后，然后呃有很多那个。出知名的民间级项目，比如说像Co ks，然后比如说像d Co DNS etcd的就呃在语音上面非常常见，以及语云的基础设施呢，都是有CNCF来维护的，包括最近啊近这一周吧，Google干马EQ也捐点的CNCF可以看到呢，这个我自己假设这张图就是CNCF去年呃下半年所承载的一个社区贡献，以及commit的，以及可以看到是一聚结成，然后也是社区贡献发展最快，然后呃社区贡献最完善的一个。呃，开源项目，那他的安全报告跟那个。

呃，社区协同的这种方式呢，就不由戏，有就没有像阿帕奇一样有一个公共的开源团队，呃，公共的安全团队，而是呃由各个项目的那个嗯，PMC来进行跟进，也就是说如果你报告给ccf报的项目报告为一个漏洞的话，它就有专门的比如说包括一个的logo，他就的安全团队以及他的开源。呃，开发团队来跟进。那我今天就来讲一个就是漏洞案例啊，来从技术层面大家要了解这个库的漏洞处理流程，那这个漏洞是一个集群内权限提升的一个漏洞啊，也是一个非常有趣的一个漏洞，然后呃，这里的权限提升指的是当我们获取到的一个开发者的权限的时候，我们可以提前提升到Co class，就集群管理员的权限，可以控制集群管理员的所有。能力，然后去做，把自己的权限从一个比较小的开发者权限体现一个比较大的权限。

那什么是呢？呃，熟悉那个，呃生或者是熟悉那个。当前云环境的同学可能就比较熟悉这个词啊，那我们这个漏洞也是出现在，那我们解释简单解释一下Co control，那我们知道它其实有点像我们现有的这种CLB，它是一个集群的流量入口，然后管理的南北向的流量，然后当我们的用户去访问集群内的服务的时候，它的流量就推荐使用English来进行承接。呃，然后。K8S的也是支持很多的不同的那个呃载器，呃，比如说像N啊，比较熟悉的N，比如说像API six控这样的这样的那个云原生API网关API getway这种方式来承接我们的流量。

这个数，那我们今天要讲这个漏洞呢，就是CDE2021，然后25743742，这个no in的这个KS的这个漏洞，那这个漏洞这是我当时写的那个复泻漏洞的利用量非常简单，它非常simple统，那这个漏洞的可以看到就是呃，我们一个。用户就是一个English的开发者，他拥有创建English的权限，然后他在English权限的时候可以去配置English的配配置，这个时候呃，English的开发者如果被攻击，那他那个攻击者就可以去创建这样的一个English。同时把那个的那个的那个D就是服务账token，然后挂载到一个呃，Root上面，就是一个root上面，一个路由上面。

这样的话，创建完了这样的一个恶意的之后呢，然后攻击者就可以通过访问访问URL去获取到呃，Pod里面的pocket。然后呃，In这个token呢，它的权限是非常大的，下面就是它一个RBAC绑定的权限范围。大家可以看一下。如果我获取到这个token呢，就可以用希尔或者是用的方式去请求。这个A同时获取到了集群的关键密钥。那另外一个代码案例呢，是当时那个开发者在国外，就是最初写的那个利用代码。那这个利用代码呢，可以看到它展示的这个利用面就更加广泛一点，因为我们可以看到在ins，就是ins这个漏洞呢，它是可以去自定义脚本的。

那用这个脚本呢，我们不仅可以去打开token，把token返回到那个页面上，返回到N的一个路由上，一个URL上面，同时我们也可以去做更多的那个基于UR代码，去做更多的操作。诶，那为什么我们要那个，为什么大家就很关心那个密钥这个事情呢？为什么大家把目标都放在密钥上面呢？那我们就要聊到就是大型，现在就是大型攻防演练的一个基本模型，那我们知道大型攻防演练基本模型里面呢，非常重要的一个点就是我们先要打这么一个点，打到内网啊，同时我们要去控制集权的一种系统跟架构，从之后再到集权的控架构里面去找到我们的靶标。然后通过那集权的方式去控制靶标，那这里的集权方式呢，呃，以前我们在传统的技数架构里面，就是比如像ADE，然后像A，像那个ER，或者是那个杀毒软件的控制平面，就像呢，就在生产网上面，就是像a master发布平台，或者是A升级系统，自动化运维管控的系统，跳板机跟堡垒机这样的一个基础服务。

那在层面的话，这种这样的一个目标，这样的集权系统被搜到一个呃，关键的组件里叫API server，那这个，那如果要想获取到API server的控制权限呢，那我们有很多等价的权限，比如像像class super usera这个user，又或者是像那个等价的一些目标，比如说像must node。ECD，或者是就是我们的那个密钥。如果我们获取到这个class的密钥的话，我们就可以控制整个集群，获取到整个集群的权限。这也就是为什么呃，那个这个漏洞会把这个目标设置在获取这个。节点上，因为只要获取到P的，它就可以控制整个地区。

那么这个漏洞是非常技术特点上面是非常有趣的，但是不仅在技术上呢，它的处理流程也非常有意思，那引出了我们接下来要讲的两个社区社区模式，呃，首先呢，我们可以理解一下那个Co，就是来了解一下Co的一个漏洞处理流程，首先外部安全研究员发现漏洞之后呢，他会发送漏洞报告到邮件里，就是security这个。呃，点I这个邮箱，然后就是那个K8S的安全，呃。复就是安全开发者们他就就会复查跟确认这个，确认这个漏洞是否有效，然后同时开发者们就会去修复这个漏洞，然后某PR并合并，并发并版本来修复这个漏洞，然后等于是发布了一个补丁，那就有点像我们补丁的一个概念，同时呢，那么安全的团队就是K8S安全团队呢，就会去公开一个公开建一个一秀，对其他公开一个需求，并且发布一个C，告诉大家有这样一个漏洞。

这个是一般的处理流程，但是这个漏洞非常有意思，就是它呃有两个不一样的关键点，第一个关键点就是呃，它是由。报组织泰one来报告的一个漏洞，最开始我看到这个漏洞的时候，还是在一秀上面看到的，还是在的一秀上面看到，然后我都不知道是由提交的，就是由的白帽子或者安的安全研究员提交的一个楼，然后面在的那个漏洞公开之后，哎，我在做这个PPT的时候才发现这是一个one提交的一个报告，然后同时呢，呃，漏洞还经常出现一个问题，就是。他会先公开一宿。就先先先发布C。但是他不一定会去修复漏洞，不一定会去合合并版本，不一定会去P一个新的那个补丁包，也就是说漏洞的详情会比补丁更加容易，更加先出来。

那这也就为解释为什么我们的这个情报非常重要，正因为那个漏洞总是在修复前就被公开了。然后情报就显得尤为重要，那么大家更熟悉的就比如像local for，或者是for she这两个漏洞，一个是去年，呃，我们最重量级的，也可以说是2021年最重量级的一个漏洞。然后另外一个就是。经年比较出名的一个漏洞，虽然说大家后来可能觉得它比较鸡肋啊，然后这两个漏洞呢，都是都有一个很非常共同的特点，以及跟Co很多依秀一样，就是他个林队，这个一个林队在官方补丁没有发布之前，但是在野的攻击，就是全网的扫描就已经在遍地的扫描了，这个扫描范围就非常大了，也就导致了有很多企业在没有收到情报，或者是没有开始处置的时候就受到了攻击。呃，对于企业来说是就是非常欢乐的一个状态。

那也就为什么，那也是为什么我们要提情报这边。那可以看到，就是刚才这个社区共建模式里面有出现了另外一个两个主题，一个是情报，另外一个就是八光顶漏洞赏金计划，然后国外的漏洞赏金啊，从出来之后呢，就一家独大，所以是最大的一个中立的漏洞赏金平台的一个机制。那刚刚那刚刚那个漏洞呢，我们就看到了这个新的一个角色，就格one这个漏洞产生计划这个角色，然后海格one在去年2021年共收复了共共收集到了六万多个有效漏洞，然后总计发布了很多详情啊，这个我就不说了啊，数数起来我就很眼红，然后呃，可以看到呢，那个它的拆线的漏洞的数量是非常多的，然后漏洞分配的总额也最大。呃，然后业界呢，除了那个用这种呃基金会的形式去参与共建呢，也开始去倾向于用漏洞赏金的计划的这种形式去参与到安全的，就是开源项目的安全共建。

这也就影射了我们那个安全情报，威胁情报的这种。呃，机制会更加多元化。那另外一种漏洞的模式可能大家就更多啊，不是的这种模式，而是那个呃，Src就是那个安全应急响应中心或者安全响应中心的模式，那比较出名的，像Google跟微软的安全响应中心是比较出名的，那Google每每个月，呃，微软每个月都会发布安全补丁，它有很多那个发布的漏洞以及修复的漏洞都是来自于呃。微软Microsoft的安全响应中心MC，那还有也会发布很多那个安卓的那个，也会是来自于它的那个。那个漏洞采集计划，然后腾讯呢，也会也是从也是国内最早的一个安全。应急响应中心机制啊，TSRC那也是收集的很多，嗯，这样的一个漏洞，跟微软只是一样的一个漏洞，产生计划机制。

那我们因为我对那个腾讯的这个漏洞审批计划机制比较熟啊，因为呃离也比较近，然后我再来简单介绍一下腾讯的漏洞审批计划机制，然后腾讯漏洞涨金计划机制，从2012年创建至今，然后已经经过了十年，也是国内第一家就漏洞赏金计划的。这种企业自建公共产权计划的这种机制，然后它总共容容纳了15万个白帽子。群体，然后呃，据我所知啊，他是那个，呃，就是据我了解到，就是今年在那个腾讯呃，年终盛典的时候就看到了，就是那个豪豪同学，就说我们最年轻的白帽子已经是一个一零后，然后总会只有11岁的一个白帽子，他也是报告了一个高危的一个漏洞。然后去年总共那个经历了11场专线注策，也是非常频繁的注策逻辑，然后一直在参与社区共建的这个逻辑，然后我们有一个白猫camera的时候，他就一直在呃提交那个总共提交了500多个高质量的报告。

一直在给我们找这样的一个漏洞详情。那除了那个安全应急小中心的安全应急小心的同学们还做了另外一个事情，就是威胁情报的共献，共享跟纵向，它是一个非常简单的尝试，然后可以看到啊，他总共至今总共容纳了4600多条情报，然后总共有呃400多人进行安全订阅，然后呃有500多5000多人的正在使用这个，历史上就就有5000多人在使用这个。威胁情报的一个系统，那这种轻量化的社区尝试共建尝试呢，其实是一个。比较简单的尝试，但是可以看到我们今天的这个议题里面，和和刚才那个叶商同学们，以及我们威胁情报同学们给我们。呃，创建出来的这个微信细胞的产品是值得让人期待的，那除了像我们腾讯src的同学们给我们做的这种轻量级的数据共献尝试呢，这是本次参与这个线上的发布的同学们也能看出来，腾讯安全们给也给大家带来很多优秀的，呃，是威胁情报产品跟联盟模式，那我相信呢？呃，腾讯安全这在微信情报以及社区共建发展这条路的沉淀是非常深厚的，也能给社区带来更多的优秀的实践。

那相信呢，腾讯威胁情报会给社区带来一个非常棒的体验，那也非常感谢大家的今天的交流和聆听，这就是我今天分享的全部内容了，那我们把镜头还给威胁情报现场的同学。好的，非常感谢泽斌给我们带来非常精彩的故事啊，获益匪浅。那同样今天我们还有幸有请到了天融信安全专家晏松琪老师，给我们带来基于威胁情报体系的安全云服务探索，有请燕老师。

呃，各位网络安全行业的战友大家下午好啊，我是先做个自我介绍，我是来自天虹县安全云服务产品线的晏松奇，呃，对威胁情报相关业务的建设呢，是我们这条产品线的业务之一，我也一直参与其中，那么今天也很荣幸能够受到腾讯的邀请，参与咱们本次腾讯威胁情报新品的发布会，呃，今天我和大家分享的主题是威胁情报在网络安全工作中的价值和应用，那么下面就和这个。大家聊一聊当前的一些安全趋势，面对新的挑战，这些情报的一些应用和价值。呃，这个席卷全球的这个mon普勒索病毒啊，已经过去好多年了，但是可能好多人都心有余悸，尤其是如果是跟我同龄人的话，可能在那个时间还在，正好是在做毕设的时候啊，很多这个小伙伴的电脑被锁了，那伴随着现在信息技安全技术的一个不断升级，呃，攻击工具和攻击方法是商业化与产业化已经变成了一个新的趋势啊，这个为有组织的攻击行为提供了一个丰富的武器库，比如前几年这个看vas7.26工具的这个源码遭到泄露，里边就包含了959个漏洞利用工具，那实际上很多产业化的团队，从组织者到这个服务器平台开发搭建的这种运营团队，还有到实际的攻击者，再到后续这个分成的客服等等，都会形成一个完整的一个产业链啊，那么第二一个呢，是。

Apt攻击这个这这几年是一个属于一个频发的状态，那么由于这个apt攻击本身啊，它具有这个呃，非常规的攻击手法，比较长的一个攻击周期，但是它的这个攻击行为呢，又比较缓慢，呃，所以传统的这种安全事件感知的机制啊，对AP的攻击行为并不太敏感，那第三个呢，就是所有网络攻击的本质，我觉得都是漏洞的利用，那近年来发生的这些震网啊，火焰啊等等这些信息安全事件，包括今年的log for g都是由安全漏洞所引发的。

呃。那伴随着互联网和云计算等等这些新技术的引入和应用，那在现有的这种传统网络安全的建设思路下，由于它传统网络边界变得模糊甚至消失，攻击面在逐渐的扩大，那当前的安全设备主要还是以通过配置安全策略实现静态的、被动的，或者说是对已知威胁的这种防御，来对这个这个这个奥本安全攻击事件进行一个防御，但对未知威胁和零队的漏洞防御效果其实是有限的，那这两年推出的这种像A检测，以及咱们今天要介绍的威胁情报，肯定都是为了这个弥补这部分的不足。那安全的本质呢，是人与人的对抗，那人要做出反应和响应以及去处置，首先要可见那设备本身产生的大量告警，仍然是需要不少分析研判工作才能够进行下一步的处置和响应的。

那实际上遇到这个问题的时候，在实际建设的过程当中，依靠人员的分析运营，嗯，会受到这个高昂的成本以及有限的处置效率的影响，很难达到我们预期的效果，那基于这几点啊，我的观点呢，是网络安全建设需要从被动防御的建设思路，或者说是我们在应对等保2.0等等这些合规模式的建设思路，像强调实战化的安全运营能力去做一个转变，通过提升这个威胁检测的水平，构建快速响应和处置的机制，呃，以这个安全能力，呃，云化能力订阅的模式，能够实现安全能力的快速交付，打造我们。

人，或者说技术和平台的一种实战化安全运营能力。那威胁情报在这个过程当中呢，可以通过多种的交付模式啊，在事前提供这个呃，提前感知威胁，实现一个风险可视化，在事中呃赋能各类安全设备或者平台，实现主动防御，在事后以攻击者视角完成攻击举证以及威胁溯源甚至反制。那么按这个顺序啊，和大家分享一些实际的应用和场景啊。那第一个就是基于情报的漏洞预警，刚才咱们也提到了，所有网络攻击的本质呢，都是漏洞利用，那传统的漏洞管理大多是基于漏洞扫描和这个呃补丁管理来实现的，呃，但是漏洞扫描本身呢，是存在一定误报的，还有漏洞库和补丁库及时更新的问题，呃，以至于在面对爆新爆发的这些呃。

零代或者一代漏洞的时候，有的审用后甚至会涉及n day漏洞的时候，呃，客户会有无从下手的感觉啊，然后第二一个呢，漏洞防护本身它是一个。跟黑客赛跑的过程，那只有抢占先机，在攻击者利用漏洞前修复漏洞，才能有效的预防安全事件的发生，那漏洞情报本身它并不是单纯的漏洞信息，而是需要指导客户去决策的综合信息啊。目前从漏洞信息公开到野外实际利用的间隔周期是越来越短的，嗯嗯，攻击方和防守方哪方先知道漏洞的存在及相应的细节，就会占据这种攻防的先机，但是按照实际的这种数据统计哈，实际导致安全风险的漏洞在整个这个漏洞及当中是占据非常少的一部分的，但是每年呃。都要增加几万个新的漏洞，平均到每天可能数以百计，那如何才能识别出哪些漏洞是真正有威胁的部分，然后尽早的去提供完整准确的信息啊，这是漏洞情报要改善的问题，通过对一手数据源的挖掘和信息实时采集，结合威胁情报对漏洞进行多维度的一个属性标定，那保证漏洞信息的全面性和及时性。呃，基于VVPT这种漏洞优先级排序的技术啊，提供提供更有价值的漏洞信息服务。呃，运营分析团队呢，可以依据完善的这种流程和专业经验，对漏洞的影响面和技术细节进行研判分析，把真正重要的漏洞过滤出来。

啊，通过这种打标记啊，方便用户实现有效的处理优先级排序，对于重要的这种漏洞，我们也需要去做这个漏洞信息的互换啊，这个给出切实可行的处理方法，提供一个这个。比如说这个呃，漏洞补丁链接，以及其他威胁缓解的措施建议等等。

那其实互联网暴露面的核查中呢，是包含漏洞的这种啊，这个这个排查和收敛的啊，也是互联网核查工作中非常重要的一项，那互联网资产暴露在外部网络是啊，所有攻击者渗透的第一步啊，需要直面互联网上的各种安全威胁，那呃，互联网资产的安全管理对于企业资产管理是尤为重要的，尤其是对于大型的这种企业集团或者运营商客户来说，业务业务系统数量比较多，开发部门也复杂，有时候还会有外包团队，然后各种上线的测试环境。啊，在这个导致这个是急需需要这个自动化的手段来实现暴露面资产的这样一个管理，那在梳理的过程当中，我们可以借助威胁情报库当中已有的这种公网资产，包括DNS，路由器等等，以及一些公网外部资产，包括域名啊，版本啊，应用等等，再结合互议APP备案等等这些基础的情报信息，建立一个完善的一个互联网资产台账啊。

通过这些信息，我们可以通过一些简单基础的措施进行暴露面的收敛，比如说这个，呃，测试使用的应用不需要我们就迁移到内网，不在互联网做暴露，那对使用或者访问数量比较少的应用，我们可以直接下线关闭，那么这些都是最基本的建立一个。暴露面的机限啊，那基于这个我们威胁情报构建的这样一个完善的资产信息，我们可以将资产的应用版本等信息，刚才我们提到的这些，包括漏洞情报当中的这种漏洞信息，IPUURL等等这些情报信息进行一个关联，补充一个资产画像，快速判定资产在互联网上暴露面的这个安全状况啊，比如一种联动的场景，我们以刚才我们提到的这个CRY为例，如果探测发现目标具备这个典型条件，比如Windows操作系统啊，同时开放了139445，或者直接启用了这种RDPDP或者SMB服务，那么这一网络就可能存在这个中招的风险，那么我们将这个信息反馈给情报中心，情报中心就可以将风险第一时间下给所有网络，网络节点，包括防火墙的安全设备去构建一些，创建一些新的网络控制规则啊，这个是一种。

呃A，情报与资产这个暴露面核查过程当中的一种联动的场景。那此外呢，安全威胁的事前预测，以及设点事件的实时预警，也是情报在事前要做的能力之一，那情报运营团队呢，会从互联网空间当中每天发生的海量事件当中，包括刚才咱们提到的这个漏洞，漏洞情报突发的漏洞，恶意样本数据泄露事件等等这些啊，持续的进行跟踪和分析，第一时间提供自查和防御的解决方案，那么这是在事前部分，在事中防御的阶段。

首先第一个典型的应用就是对现有安全设备的赋能，将具有高置信度威胁对象或者特征信息的这种IC情报应于传统安全设备，设备可以通过这种API调用，或者这种SDK集成的方式，或者离线导入的多种方式啊，获取本地或者云端情报的I，比如将最新的这种攻击指标信等设备可的形式推送这个当前的这些IPS ids、防火墙B等等，创建设备检测和防御的规则，对这个恶意的IP域名等等，调调邮件，恶意文件进行检测、告警和拦截，呃，缩短的呃，最终达到的效果呢，就是有效的缩短威胁平均检测时间和平均响应时间，扩展了一个当前的设备的一个使用价值。

呃，提升设备的攻击检测频率和啊这个准确率啊。呃，举个例子，比如直接用这个防火墙过滤出的IP地址来与这个情报数据进行碰撞，那判断来源的IP是否在情报库中，可以直接判断它是一个扫描的IP或者某个web的客户端，然后从而发现有风险的访问行为，呃。这点呢，是可以有效的弥补这种传统的设备，这种基于规则或者算法的这些检测方式的不不足，对未知风险的发现能力做一个有效的加强。那么例如在这里还画到了这个wa，例如在云wa或者wa设备当中，我们可以根据情报的一些标签，置信度等，威胁等级等等一些维度，与W本身这种Bo IP识别进行一个有效的结合，提升一个I Bo IP的识别识别率，那么在这个呃，补充这个IP画像数据的同时呢，也可以提供一些白名单服务，那比如说。

呃。这个这个IP呢，可能是某个企业红队的出口IP，那可能在正常情况下，它也会被判定为一种攻击行为，那么通过B与情报的这种结合，我们可以有效的处理或者说避免这种误报。那第二大类呢，是在市中的这种失线主机检测，那么通过危胁情报可以获取及时准确的失现情报数据啊，包括APP的攻击，团伙报网僵尸、网络木马、后门等等。可以利用这个情报直接进行碰撞啊，这是第一种使用方法，通过实时更新的文些情报信息，与企业网络内的这种流量，然后呃，终端文件资产库等等进行碰撞关联，第一时间锁定这个APAPP团伙，木马后门和僵尸网络控制等等这些啊，攻击所控制的视线主机啊，根据情报的标签呢，对视线主机进行一个分类的告警。

那么比如通我们通过将这个外联的URL与情报碰撞，那么可以判断外外联目标是否是恶意的URL，从而判断本地资产是否已经实现啊，这个是一种场景，那另外一种呢，就是将啊这个。威胁情报当中的这些啊，IOC数据，包括刚才咱们提到的这些木马，僵尸网络等等这些结合SOSIM平台当中的这些关联分析，机器学习等等这些技术对网络流量还有设备日志进行挖掘分析。啊。进一步的发现资产是否遭受钓鱼漏洞利用等等这些攻击，第一时间呢，这个产生响应告警，这个是对本地分析平台的一种啊，分析能力的提升啊。

那么在适中防御过程当中，不管是这个赋能设备还是平台，呃，那通过告警数据与情报数据自动化的进行碰撞和验证，进行告警降噪和上下文关联，可以把海量的告警信息大幅度的缩减到一个这个啊，刚才咱们提到的人工运营能力范围之内啊，有效的节约这个成本和提升效率啊，清除误报和重复告警啊，这样运营人员可以把主要的精力集中到这个。缓解和处置的这种真实事件上的这个啊，工作上啊。避免因为不必要的这种这种大量的告警信息啊，浪费这个时间。那这个是事中，那么在事后威胁情报可以提供多维度的种IC信息，以攻击者的视角对威胁进行溯源举证，以及这个啊，甚至反制啊，如这个这个，比如这个攻击IP的地理位置，然后广度等等啊，还有它这个IP和域名上暴露的端口，以及端口上暴露的组件和IP反查域名的情况，呃，甚至还包括说历史上这个IP所发生的所有攻击举证和apt组织的关联性。

那通过这种IP关联域名，域名关联IP域名关联互译等等这种方式，结合机器学习等等这些这个分析能力啊，可以从海量的事件信息识别中，海量的事件信息中识别出可能的这个存在的高危攻击事件啊，针对安全事件进行溯源。那么想发挥好威胁情报的价值和作用，呃，客户或者企业可以选择两种建设模式来提升自身的防护能力哈，那第一种呢，是利用第三方情报为企业进行赋能。这种方式的优点是不需要本地部署啊，通过威胁情报的服务的订阅的模式，就能够快速获得各类安全能力，我们提到的这个安全服务哈，那通过厂商啊构建的云端微信情报中心，可以给客户提供外围云查，云端沙箱检测等等这种SaaS服务啊，包括同时可以定位到这种漏洞预警，威胁咨询等等。

那通过API接口的调用情报数据赋能给企业在线的设备或者平台，那很多啊，实际环境当中啊，设备部署在内网的，我们可以通过两种方式实现情报导入，一种是这种离线的情报导入啊，还有一种呢，就是可以通过啊SDK集成的模式来实现。那通过集成情报SDK，可以快速的实现本地设备的情报赋能。目前，天虹信防火墙和天虹信的这个SDK已经完成基本对接。SDK可以快速集成到前入器防火墙设备当中啊，SDK本身它会内置威胁情报库，可直接将防火墙解析后的流量，包括IP域名等等这些信息与SDK内置的情报进行对撞，嗯，直接将验证结果返回给防火墙设备，提升设备的风险检测能力和精准度，实现情报数据的联动应用。那SDK的节点也可以通过互联网更新的，这个互联网去做一个这个情报的更新，以及离线导入的方式去做数据的升级，那对于天融信来说呢？

呃，除了这个未来，那在现有市场上，全国各行业客户会有大量的防火墙等等这些网关设备的存量，那这些客户呢，通过这种SDK节点的方式，也可以通过快速的版本升级啊，功能升级的方式完成SDK的内置，很便捷的获取威胁情报的这种能力的提升。

这个是在本地啊，通过SDK节点来解决设备本身的这个啊，情报赋能的能力。那第二种方式呢，是在本地建立专属的啊威胁情报中心。通过挖掘，通过部署这个啊威胁情报平台，实现互联网开源情报的这种采集，以及多元这个渠道情报的，以及呃，通过对这种海量情报如何处理和发掘，挖掘分析生产本地的情报。同时我们可以从云端啊定在多元的情报，提升一个情报的丰富度啊，相比第一种使用第三方情报呢，除了提供本地这种视线主机检测，情报检索，溯源分析等能力之外啊，本地的威胁情报平台可以在网内提供更多的共享联动能力，比如接入企业本地已经部署的安全产品或者平台的告警日志啊，进行自动化的情报生产，生产出的情报更新到情报库当中，可以形成企业自己专属的情报，同时也可以更方便的与设备进行联动。

及时发现威胁，并缩减小的时间，达到一个单点感知，全网共享的目的啊，协助这个企业在情报运营过程中不断丰富优化自己的这个专属情报。那今天我分享的内容就是到此结束，感谢大家的收听，那天龙信作为传统的安全厂商，其实2016年就开始投入一些情报的研究，那未来也会和腾讯一起啊，不断加深合作，共建输出落地更多威胁情报的场景和方案，为客户啊网络安全保驾护航啊，感谢大家的收听，谢谢。好的，非常感谢叶老师精彩的演讲，那相信今天到来的许多啊在线的观众也有和燕老师一样是我们安全厂商的一些同仁，那么对于这些同仁来说呢，我们自建情报中心成本是比较高的，使用的场景也比较少。

情报的数据来源也比较少。那不仅如此，我们想要自自建情报中心，那开发人员的工具也不够完善，知识阵地也比较稀缺，测试样本也少。那么如何低成本的获得全面的一个情报能力，能够全面的提高产品的预警和响应速度呢？能够大幅的来提高我们的检测能力呢？那今天在发布我们微胁情报产品的同时，我也给您带来了一个好消息，那就是腾讯安全威胁情报联盟今天正式成立了。那接下来呢，我就给大家来介绍一下我们的威胁情报联盟。那我们的联盟呢？为成员提供了三大联盟权益啊，首先是安全生态，对联盟成员全面的开放。

我们将从产品能力到解决方案与您全面的合作，我们还有从SDK到API的多种方式，可以将情报的能力提升到产品的底层。如果您的业务架构特殊，也可以采用云交付或者硬件部署等多个方式进行灵活部署。那除了能力之外，还有生态，基于情报社区TX和开放的平台能力体系，我们可以一起共建，共享第一手的情报。那对于您的安全业务联盟还有更加体系化的支持政策底层我们支持基础数据和情报数据的交换共享，向上可以提供产品的联合开发、品牌的联合营销等双向的支持。所谓莫愁前路无知己，天下谁人不识君。欢迎大家扫码和我们联系。我们的情报联盟组建依托于腾讯的实践优势、技术优势和品牌优势，在社交、支付、游戏等多个场景有过多年的安全沉淀，积累了大量的业务场景和安全模型。

我们从实战中历练，将自身的情报转化为企业服务，并结合我们的实验室不断攀升安全的需求。好，那今天干货满满的情报品牌发布会和情报联盟启动仪式就告一段落了，我相信还有很多在线的同仁呢，意犹未尽，也请大家持续关注腾讯安全的动态，我们未来还有更多优秀的产品和大家见面。那这里呢，我的直播就跟大家要说再见了，我是主持人赵思雨，再次感谢所有观众的参与，谢谢大家。