2022年腾讯安全威胁情报能力中心分析报告-18页

报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。人工智能系列2022年腾讯安全威胁情报能力中心分析报告报告标签：威胁溯源自动化、物联网安全、勒索重组追踪头豹研究院弗若斯特沙利文咨询（中国）沙利文市场研读|2022/12网络安全系列沙利文市场研读|2022/12腾讯安全威胁情报能力建设•腾讯安全威胁情报能力中心建设•科恩实验室核心优势及产业贡献•安全大数据实验核心优势及产业贡献u腾讯安全威胁情报能力应用•情报原子能力应用优势及成果•攻击面情报应用优势及成果•业务情报应用优势及成果u腾讯安全威胁情报价值实践•威胁情报中心助力业务场景商业价值增益•威胁情报中心推动用户安全管理水平升级u名词解释u方法论u法律声明研究框架3q腾讯安全威胁情报能力中心建设q科恩实验室核心优势及产业贡献q安全大数据实验核心优势及产业贡献Chapter1腾讯安全威胁情报能力建设网络安全系列沙利文市场研读|2022/12多形态情报能力聚合：腾讯安全从情报信息全维度采集和情报信息深度分析两个维度出发，从底层规划威胁情报能力中心平台的建设，该平台全面整合基础情报、攻击面情报和业务情报，构建三合一的情报开放平台，为腾讯内部用户、B端用户、C端用户以及产业内其他安全服务商提供一手的一站式情报服务。灵活交付和触达，情报应用渗透用户业务生命周期：在情报服务交付形式方面，腾讯安全以SaaS化模式为核心，支持Web端、小程序、公众号、API、SDK、TIP等多模态交互方式，满足不同业务场景下用户对情报触达手段灵活性的诉求。在情报应用方面，腾讯安全对人读情报、机读情报进行降噪处理，针对物理层、地理层、逻辑层和社会层攻击特征，对用户业务场景所遭遇安全事件进行全生命周期的情报服务渗透。赋能安全产品，用户防御策略前置：基于安全左移理念，腾讯安全威胁情报能力中心助力用户聚焦事前阶段，通过全面资产评估、资产暴露面研判等方式预判风险点，并通过赋能的方式实现与腾讯安全其他基础和新型原生安全产品的融合，提升用户在业务运营过程中对安全事件的响应能力和效率。赋能行业伙伴，提升溯源分析能力：在对产业生态赋能方面，腾讯安全结合两大实验室能力，为合作伙伴提供更趋精准和多维度的情报，并嵌入运营类安全产品，助力合作伙伴支撑用户进行高效溯源分析和响应处置。l融合构建威胁情报平台化底座能力基于科恩实验室和腾讯安全大数据实验室构建威胁情报能力中心——数据资源全域整合协同•情报能力中心是由科恩实验室和大数据实验室联合打造的产品能力底座，科恩实验室全面整合威胁情报生产和应用能力，实现情报数据在安全事件预测、防御、检测、响应整个生命周期中的应用；大数据实验室提供数据治理引擎底座，提升威胁情报加工和生产效率。腾讯安全威胁情报能力中心建设（1/3）基础情报IP、domain、Md5、URL情报攻击面情报资产测绘、资产扫描、攻击面收敛业务情报黑灰产、仿冒、劫持、信息泄露情报威胁情报统一开放平台公众号SDKAPIWeb小程序TIP以SaaS化为核心的多元交付形式机读情报地理层逻辑层人读情报社交层多维度情报测绘形态+•融合科恩实验室情报挖掘和检出能力、算法研究能力以及安全大数据实验室数据处理和引擎分析能力•共建腾讯威胁情报中心能力底座情报底座数据底座•腾讯安全威胁情报服务在安全事件的不同环节渗透事前事中事后物理层应用环节传统应用场景桌面端移动端车联网物联网其他应用场景拓展来源：腾讯安全、沙利文、头豹研究院网络安全系列沙利文市场研读|2022/12•腾讯安全威胁情报中心能力与多元安全产品融合：腾讯安全持续扩大威胁情报能力对云上原生安全产品线的赋能作用，如针对防火墙检测中网关防护、勒索防护、挖矿检测等场景提供高精准情报，针对重网保护场景提供专项情报，针对WAF防护场景提供综合性入站情报，针对NDR防护场景下检测和威胁溯源需求提供相应情报，针对业务风险防护场景提供入站高精准IOC情报等。此外，通过促进信誉情报与高精准情报的融合，腾讯安全助力用户实现日常运营场景下的告警优化，并对攻击者画像进行更加清晰的研判呈现和溯源。•对内融合能力：从产品融合方面而言，腾讯安全威胁情报中心能力与原生安全产品融合，为11类以上核心安全场景赋能，持续输出攻防和算法研究能力，通过高精准情报数据，助力用户在运营过程中实现更高效率的安全响应效果。腾讯安全威胁情报能力中心建设（2/3）腾讯安全情报能力中心对多元安全产品赋能：融合后生态能力呈现未知威胁探知效率经济损失缩减程度显著改善基本改善显著提升基本提升q情报能力+挖矿软件探知：融合情报能力探知黑客非法使用算力获取加密货币的行为，保障算力归属q情报能力+窃密木马检测：融合情报能力披露系统关键数据可能被窃取的风险点。q情报能力+勒索软件探知：融合情报能力避免数据资产或计算资源被绑架并要求赎金的威胁。q情报能力+僵尸网络修复：融合情报能力探知被僵尸程序感染的主机，追溯僵尸程序并完全清除，复原网络。q情报能力+SinkHole：情报能力与DNSSinkHole融合，对机器人程序和恶意流量进行高效检测和阻断。q情报能力+APT检测：融合情报能力对持久而强针对性的威胁进行有效捕获和阻断。q情报能力+网银木马检测：融合情报能力检测针对金融支付场景的木马病毒潜伏，避免金融资产被窃取。q情报能力+常规木马检测：融合情报能力快速发现木马病毒，事前防范，避免计算机被监控和信息篡改。q情报能力+域名生成检测：融合情报能力探知恶意软件算法生成的域名列表，降低服务器被控制几率。q情报能力+重保/护网行动：融合情报能力，针对重保服务周期内恶意流量和行为进行有效监测。q情报能力+漏洞利用检测：融合情报能力披露程序中漏洞，避免系统权限的非法获取以及非法系统控制。经济损失降低导向检测效率提升导向来源：腾讯安全、沙利文、头豹研究院网络安全系列沙利文市场研读|2022/12•构建威胁情报外部生态，通过与友商安全产品融合实现能力矩阵赋能：在对外协作方面，腾讯安全持续拓展安全合作生态，与境内外百家主流安全服务商对接，实现情报能力的协同开发和协同应用。•对外情报协作生态为全域业务安全场景提供解决方案：通过腾讯安全SDK工具包在协作生态中的应用，腾讯安全与主流安全服务商显著提升核心安全业务场景的检出能效。例如在常规风险检测、攻击检测场景下提升拦截能力、主动防御能力、关联分析能力、误报降噪能力等，在各类失陷检测场景下提升告警收敛、威胁情报匹配、溯源研判等方面效率。•对外协作生态：从对外优势互补融合方面而言，腾讯安全威胁情报中心与近百家安全厂商对接，并面向安全生态圈提供标准化API接口，通过SDK合作模式覆盖核心安全业务场景，以情报原子能力输出推动安全产业协同发展。腾讯安全威胁情报能力中心建设（3/3）腾讯安全协同百家安全服务商构建产业情报服务生态：以SDK模式为核心安全厂商生态合作SDK合作对接线程SDK生态安全业务场景建立合作产品建档产品开发集成SDK续签授权延期供应阶段为用户定制SDK，提供开发指南近百家安全服务商合作伙伴安全服务商腾讯安全协同开发协同应用部署测试初始化签单授权激活建档阶段针对产品信息的情报订阅需求开发阶段集成SDK部署阶段用户侧产品部署联网初始化SDK签约阶段基于序列号下单授权阶段提供测试授权下发情报升级包激活阶段正式提供情报授权延期阶段授权周期延长WAF类防护场景FW类防护场景SOC类运营场景流量检测分析类场景自建情报基础设施场景nWAF类应用和业务攻击检测场景：结合威胁情报数据对恶意IP进行拦截，降低WAF误报率，支持WAF一键封装nFW类安全风险检测场景：安全风险监测及情报聚合，提供重保专项情报，提高入侵防御效力，管控主动非法外联nSOC/SIEM/Splunk平台类失陷检测：应用于广泛失陷检测场景，优化告警效率，支持关联分析和溯源分析，实现主动防御效果nDNS/NAT/EDR等失陷检测场景：高精准的誉类情报与各类失陷检测场景下IP进行匹配，提升失陷检测有效性n自建情报基础设施场景：提供腾讯安全的情报数据源，助力用户搭建情报中心平台，以威胁情报原子能力为外部产品赋能来源：腾讯安全、沙利文、头豹研究院网络安全系列沙利文市场研读|2022/12•①技术积累：基于在不同领域构建安全体系的实践，科恩实验室持续提升高精检出能力；②研究突破：科恩实验室一方面促进AI算法与安全研究的融合，一方面推进研究落地应用；③产业实践：基于产业互联网业务场景特征构筑安全平台科恩实验室核心优势及产业贡献•研究侧、技术侧、产业应用侧并行发展：腾讯安全科恩实验室在基础安全（桌面端安全、移动端安全等）领域积累攻防经验已超10年，通过在“安全+AI”领域的持续性研究，持续提升安全事件检出的精益化水平，在中国和全球赛事中获取头部竞争成果和认可。融合理论和技术方面的突破，科恩实验室在车联网、5G通信、IoT等前沿场景应用威胁情报中心能力。在安全产品侧，通过高质量情报优化告警准确性。在生态侧，联合各大安全服务商和业务场景用户共同优化数字化升级过程中的情报服务效果。腾讯安全科恩实验室研究进展及产业应用成果实验室能力积累和突破科恩实验室核心技术研究方向产业应用前沿应用方向检测精度AI算法研究工程能力应用AI安全车联网安全物联网安全产业互联安全n检测技术积累与情报精益：科恩实验室持续提升检测引擎自动化水平和情报数据分析效率，拓展情报检测维度，并优化威胁检测流程。n结合业务场景提升检测精准度：科恩实验室针对不同类型业务特征（运营类、流量分析类等）丰富情报画像标签，提升告警降噪能力。nAI算法+威胁情报应用：腾讯安全威胁情报中心自研AI引擎，强化恶意流量检测算法，在移动端、桌面端、系统端推进智慧情报产品化应用。nAI算法+软件安全应用：科恩实验室自研二进制软件分析工具BinaryAI及BSCA，AI算法推动软件供应链安全建设。n产业互联网安全渗透：结合数字化转型背景，科恩实验室推进安全产品和服务在车联网、5G、IoT等产业中的应用。n平台化能力建设：科恩实验室自研嵌入式系统安全审计平台sysAuditor，针对攻击面、漏洞、安全风险构建威胁模型，提升安全产品工程能力。代表性成果2013年-2017年2018年-2020年n人工智能+车联网研究：科恩实验室2019年发布全球首个商用自动驾驶系统图像识别功能专项安全研究案例“特斯拉Autopilot的实验性安全研究”，落实“AI+安全”的产业价值。nAI算法+软件安全：科恩实验室于2020年发布以AI算法解决传统二进制安全问题为主题的论文，得到国际AI权威会议AAAI-20和NeurIPS-2020的收录，并应用于产品工具中。nPwn2Own系列赛事评估：科恩实验室连续五年参加国际黑客大赛Pwn2Own，取得16项单项冠军，3次MasterofPwn（大赛总冠军）成绩。nDEFCONCTF赛事评估：科恩实验室组建腾讯eee战队并于DEFCONCTF赛事取得冠军。n国际黑帽大会：科恩实验室获取BlackhatPwnie奖项评比中五项最佳提名。来源：腾讯安全、沙利文、头豹研究院网络安全系列沙利文市场研读|2022/12•腾讯安全大数据实验室实践双引擎模式：大数据分析引擎+大数据治