腾讯安全威胁情报能力再升级，AI助力企业迈向智能安全新阶段

进入数智化新阶段，企业改进安全策略和增强网络弹性的需求越来越迫切，企业需从被动安全变为主动防御，以数据资产和业务资产为目标构建全新的免疫安全范式。威胁情报关注攻击者视角，可有效助力企业“知攻知防”，在新的网络安全建设思路中，其价值不断提升，成为安全防御体系中的核心构件。

7月18日，《威胁情报最佳实践研讨会》在深圳召开，来自腾讯安全、华润数科、快手、乐信集团等企业的安全负责人，共同围绕威胁情报技术发展做了前瞻分享。会上，腾讯安全升级威胁情报产品，助力企业构建更完整的数字安全免疫防护体系。

作为腾讯数字安全免疫力产品矩阵中的重要一环及原子能力之一，腾讯安全威胁情报能力也在持续进化，新版本在资产范围、威胁角度、用户体验上进行的升级，帮助用户实现更精准的有效防护。

首先，腾讯安全威胁情报攻击面管理能力再度进化，助力企业建立“攻击者”视角的主动防御体系；

其次，腾讯安全威胁情报产品进一步升级SDK部署能力，性能提升40%。此前，威胁情报多以本地化建设、部署，嵌入安全厂商提供的数据包或API，不仅部署成本高、也无法基于实际的攻防做出动态、准确反应。在本次升级中，腾讯安全威胁情报产品实现了威胁检测的“引擎化”，可以通过SDK将核心的检测能力提供给客户使用；

第三，腾讯安全联合实验室为威胁情报入更强的底层技术和数据支撑能力。数据不仅是威胁情报原子能力的双底座之一，还为情报底座提供丰富的数据原料，也是高精度威胁情报产生的基础。腾讯安全拥有覆盖云、管、端的复杂异构情报源，通过构建安全数据体系，能够实现情报挖掘、情报运营和产品应用效能的全面提升。

发布会结束后，华润数科网信安全服务部服务总监龙松青、快手入侵检测负责人张道光、乐信集团信息安全中心总监刘志诚、腾讯安全副总经理&威胁情报业务线负责人洪春华、科恩实验室安全研发负责人谭昱、安全大数据实验室能力研发负责人万文强出席了媒体群访环节。

Q1：威胁情报的价值如何体现和量化的？

龙松青：情报的价值可以从威胁研判的速度和响应的速度来看，但这并不唯一的评判依据。高质量的情报还包括攻防演练的红队IP，风控业务中的黑产数据等等。

万文强：威胁情报的有效性是需要进一步提炼的。从数据角度来看，供应商首先要将数以亿计的数据提炼出有效的信息，然后在基于不同的业务场景输出不同的情报。目前，由于当前数据管控越来越严格，数据合规变得越来越重要。因此，对于威胁情报来说，它需要在数据的基础上进一步挖掘，形成抽象的能力和信息，以实现更好地情报价值输出，单纯提供数据既不合规也无法带来价值的提升。

刘志诚：威胁情报本质是一种外部数据源。大部分甲方用户应用威胁情报时流于表面，并没能发挥其最大的价值。因此，从安全的视角出发，甲方在应用威胁情报时需要将其从算法和数据的维度解耦，使其从数据资源转变为数据资产。通过这种方式，甲方在获得威胁情报深层价值的同时，供应商也能够吸取甲方内部可能存在的安全事件和相关数据，实现共赢。

Q2：如何更好地使用威胁情报？

陈道光：从甲方视角来看，你很难要求情报供应商能够百分百对情报负责，因此，甲方业务在应用情报前需要对其进行验证，并将验证结果同供应商的结果交叉比对，这种方式既能对业务负责，又能够通过时间的积累提高准确度，形成属于自身的情报库。

谭昱：供应商在输出情报能力的时候，不仅要保证情报的基础信息的准确性，还需要提供丰富的上下文信息。例如情报的应用场景，家族团伙，威胁等级以及处置方案等等。以方便甲方准确使用并处置。

Q3：当前国内威胁情报生态现状是怎么样的？

龙松青：目前，威胁情报的质量、时效性及准确度方面都没有完整的标准，这导致用户无法得到准确的判断。即便当前国内有标准在陆续出台，但主要聚焦的还是基础类情报。因此，华润数科采用的是多家情报的聚合体，将各家的威胁情报提炼出共性和个性的部分，综合研判情报的内容和价值。此外，我建议一方面各威胁情报厂商统一标准，另一方面产业能够出现订阅式服务和收费方式，以情报来联结用户和供应商。

在甲方用户之间的情报生态方面，大部分的企业依然会选择在小圈子里互相分享，而非形成有组织有规模的情报网络。在数据少交换、算法多握手；可见不可得、可用不可有的数据共享四原则的前提下，甲方之间的情报共享还需要技术的支持和生态厂商的引导。

洪春华：越来越多厂商将情报视为自身的核心竞争力，在逐步降低情报出售的频率和内容，现在给甲方买API的方式也越来越少了，很多厂商原来是威胁情报的独角兽，最后都转向为安全综合类厂商了，NDR、EDR、XDR，大家都在做，加剧了行业“内卷”。但对于腾讯安全来说，腾讯安全不会去做大而全的安全厂商，而是将擅长的算力、算法、数据对外公布，促进生态的发展和使用。因此，腾讯安全会一直坚持生态开放的战略，沿着这条路一直走下去。

尾声

网络安全风险之所以难以消灭，本质上在于攻防两端信息不对等。面对复杂多变的网络环境，日益升级的攻击手段和攻击形式，需要依靠威胁情报能力提升现有安全产品的能力和融合程度。腾讯安全将致力共建甲乙方联动的威胁情报生态，以自身优势的威胁情报能力助力生态伙伴和企业客户，将攻防、数据沉淀成“料敌先机”的威胁情报，形成更具前瞻性和弹性的数字安全免疫力。