數(shù)字經(jīng)濟的發(fā)展為網(wǎng)絡(luò)安全市場提供了機遇，同時也改變了網(wǎng)絡(luò)安全防護的邊界。隨著實戰(zhàn)防護需求與技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)安全正邁入實戰(zhàn)攻防的主動防御階段。

回首2022年，網(wǎng)絡(luò)安全威脅趨于復雜化與智能化，勒索攻擊頻發(fā)、0day出現(xiàn)新手段、供應(yīng)鏈攻擊、API攻擊加劇......面對不斷升級的攻擊手段，傳統(tǒng)安全依賴規(guī)則和人力的防護方式也漸趨乏力。

在此背景下，“威脅情報”這一概念再度走進人們的視野，受到業(yè)內(nèi)人士的廣泛關(guān)注。

日前，銳捷網(wǎng)絡(luò)聯(lián)合騰訊安全舉辦“威脅情報”戰(zhàn)略合作發(fā)布會，正式簽署戰(zhàn)略合作協(xié)議。會后，51CTO記者采訪了騰訊安全總經(jīng)理陳龍，就威脅情報的興起、應(yīng)用、挑戰(zhàn)與前景等話題進行了探討。

節(jié)點：助力企業(yè)安全建設(shè)從合規(guī)走向攻防實戰(zhàn)

“威脅情報”并非是新出爐的概念，它最早于2013年由Gartner提出。

彼時，Gartner進行了這樣的定義：威脅情報是一種基于證據(jù)的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現(xiàn)存的、或者是即將出現(xiàn)的針對資產(chǎn)的威脅或危險，并可以用于通知主體針對相關(guān)威脅或危險采取某種響應(yīng)。

簡單來說，面對安全威脅，如果傳統(tǒng)防火墻是一種“兵來將擋水來土掩”式的防守，那么“威脅情報”則是通過盡可能掌握對手的情報，對未知安全威脅進行提前防御，進而轉(zhuǎn)守為攻、主動“出擊”。

其核心要義就在于主動出擊，從不計其數(shù)的報警信息中篩查，提前獲取攻擊者的攻擊工具、途徑、意圖等，幫助企業(yè)識別和預防威脅信息。

就國內(nèi)來說，威脅情報還處于野蠻生長的攀升期。在陳龍看來，威脅情報之所以會在近兩年“走紅”，主要是基于三個方面的因素：

第一，基礎(chǔ)設(shè)施的升級。云計算、AI、大數(shù)據(jù)等技術(shù)的發(fā)展，加之算力水平的提升，為威脅情報的情報搜集和情報生產(chǎn)提供了更有力的技術(shù)支撐。

第二，用戶需求的升級。在安全建設(shè)方面，用戶需求從合規(guī)驅(qū)動進階到攻防驅(qū)動，包括應(yīng)急響應(yīng)、阻斷攻擊、溯源反制等在內(nèi)的需求明顯提升。

第三，國家政策的引導。每年一次的“國家級攻防演練行動”通過真刀實槍式的攻防演練，有效提高了企事業(yè)單位對于自身業(yè)務(wù)安全的認知水平。

陳龍表示，可惜的是，就目前的安全產(chǎn)品市場來看，供給側(cè)和消費側(cè)是不匹配的，網(wǎng)絡(luò)安全產(chǎn)業(yè)還有很大的市場發(fā)展空間?！盁o論是數(shù)據(jù)要素還是數(shù)字業(yè)態(tài)都在經(jīng)歷大的變化，但這幾年國內(nèi)的安全產(chǎn)品還沒有隨之改變。因為大部分安全產(chǎn)品沒有深入企業(yè)的應(yīng)用場景，欠缺一線的實踐反饋，無法觸達企業(yè)的真實需求?！痹谶@一背景下，“威脅情報”的興起可以說適逢其會。

集成：讓“威脅情報”在合適的場景中生生不息

當前威脅情報的應(yīng)用，主要是通過搭載各類安全工具，賦能企業(yè)的安全運營建設(shè)。集成的形態(tài)主要有四種，分別是：云工作負載保護平臺+威脅情報、防火墻+威脅情報、WAF+威脅情報、SOC+威脅情報。

而在銳捷與騰訊安全此次的合作中，雙方首選的探索方向就是“防火墻+威脅情報”這一集成形式。防火墻本身是目前應(yīng)用最廣泛的網(wǎng)絡(luò)安全單品之一，如何通過威脅情報的融合實現(xiàn)安全場景價值創(chuàng)新，是合作發(fā)力的焦點。

那么威脅情報的價值到底何在？它的出現(xiàn)會不會取代原有安全產(chǎn)品的部分功能呢?

陳龍認為，傳統(tǒng)安全產(chǎn)品有其自身的價值，威脅情報的價值更多在于做增量。在傳統(tǒng)安全產(chǎn)品基礎(chǔ)上，通過情報能力的注入，一來提升檢測的精準度，二來提升安全運營的效率，對現(xiàn)有市場不會造成沖擊，更多是在創(chuàng)造增量市場。

“至于防火墻這個產(chǎn)品，理論上通過這種合作，（我們希望）提升銳捷防火墻的市占率，因為它的價值更高，并非去蠶食原有的防火墻市場，（而是）屬于創(chuàng)造增量價值。我們內(nèi)部也是一樣，通過集成這種能力，提升的是產(chǎn)品的核心競爭力，（激發(fā)）客戶更高的付費意愿?！?/span>

此外，陳龍補充道，威脅情報的運作規(guī)則和傳統(tǒng)防火墻也不同，威脅情報的加持更能發(fā)揮出增益效果。

“一般來說，傳統(tǒng)防火墻只能基于規(guī)則、基于已知漏洞進行防護。而情報的話，首先能看到誰在攻擊我，另外，還能看到哪些主機已經(jīng)失陷，被誰連接了?？梢园l(fā)現(xiàn)，這兩個運作體系是沒有矛盾的。規(guī)則加上情報，這兩者讓攻擊畫像更加清晰，讓風險管理也更為精準，最終產(chǎn)生的是‘1+1＞2’的效果?！?/span>

由此可見，威脅情報通過與各類安全工具的集成，可以發(fā)揮顯著的協(xié)同賦能作用，一方面提升威脅情報在企業(yè)內(nèi)的利用率，另一方面也能大幅增強安全工具的專業(yè)能力。

合作：“行家+專家”強強攜手的通關(guān)之路

鑒于威脅情報與安全設(shè)備集成協(xié)同的重要性，銳捷與騰訊安全的合作可以說是互補聯(lián)合、追求雙贏的典例。

回顧合作的機緣時，陳龍介紹道，銳捷本身是騰訊的合作伙伴，在服務(wù)器、交換機等領(lǐng)域均有合作，雙方建立了比較深厚的信任基礎(chǔ)。在此過程中，大家發(fā)現(xiàn)單純產(chǎn)品的買賣合作并不長久，但如果發(fā)揮各自優(yōu)勢，共同開拓增量市場，也許可以迸發(fā)出更多火花。

一切的前提是雙方在各自領(lǐng)域都深耕多年，有深厚的技術(shù)積累。

在威脅情報方面，騰訊安全威脅情報中心擁有強大的情報生產(chǎn)能力，憑借其在云、管、端以及業(yè)務(wù)側(cè)積累的安全大數(shù)據(jù)，打造了完整的情報數(shù)據(jù)觸點網(wǎng)絡(luò)；在安全能力方面，銳捷作為資深的ICT基礎(chǔ)設(shè)施及行業(yè)解決方案提供商，不僅有20年網(wǎng)絡(luò)安全領(lǐng)域的實戰(zhàn)經(jīng)驗，而且具備大量To B市場的情報來源。

陳龍表示，就騰訊安全來說，這次合作能夠達成，主要出于三個方面的考量。

第一，更好地滿足用戶訴求。“銳捷對他們防火墻產(chǎn)品的品牌影響力、安全運營能力的提升有訴求，而我們對如何更準確地為用戶賦能也有我們的訴求。尤其在護網(wǎng)行動之后，用戶對情報的消費需求是非常明確的。（因此）雙方很快達成了一致?！?/span>

第二，更深入地觸達行業(yè)場景。銳捷網(wǎng)絡(luò)作為一家主營網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全產(chǎn)品及云桌面解決方案三大業(yè)務(wù)的廠商，基于完善的品類，其綜合性優(yōu)勢突出。憑借20年來的行業(yè)深耕，銳捷網(wǎng)絡(luò)擁有豐富的應(yīng)用場景。“銳捷在政府、教育、醫(yī)療等行業(yè)都擁有穩(wěn)定的客群，（盡管）我們的客戶也遍布各個行業(yè)，但是我們觸達不到他們的場景…我們希望形成‘行家+專家’的合作模式，銳捷懂行業(yè)，能成為某一行業(yè)的顧問，而我們是專家，這樣彼此的效率都能提升?！彬v訊安全高睿在發(fā)布會中也表示，基于銳捷的廣泛客戶基礎(chǔ)，讓騰訊安全獲得了高價值的用戶反饋和實戰(zhàn)化經(jīng)驗積累，有效的提升了自身威脅情報產(chǎn)品的迭代。

第三，更高效地拓展商業(yè)模式?！鞍凑照５纳虡I(yè)節(jié)奏，單個客戶做商業(yè)拓展效率太低，更好的方式是做集成，基于場景去衍生安全能力，這種效率更高。我們希望通過這次合作，全方位提升用戶的安全能力。”

雙方團隊的碰撞很快達成了加速融合的默契。對此，陳龍認為：“每個行業(yè)都有其專屬的特點，我們希望我們的合作伙伴能夠成為行業(yè)的顧問。他們懂行業(yè)，懂場景，而騰訊方面則可以開放產(chǎn)品提供原子能力，與合作伙伴進行融合創(chuàng)新，這能更好地避免騰訊在行業(yè)化的過程中走彎路。”

銳捷網(wǎng)絡(luò)安全產(chǎn)品事業(yè)部總經(jīng)理項小升與騰訊安全總經(jīng)理陳龍

代表雙方簽署戰(zhàn)略合作協(xié)議

突破：融合本地 SDK，立足出站高精準情報

合作意向達成后，雙方選擇將防火墻作為首個突破口，進行情報引擎實戰(zhàn)化應(yīng)用的探索。

陳龍解釋道：“防火墻是中國第一大安全產(chǎn)品，如果我能夠在防火墻上做安全增值，那么對于中國安全市場的教育和推動是非常有價值的。另外，銳捷防火墻產(chǎn)品鋪貨量大、適用場景廣、容易形成規(guī)?；?yīng)，更具有標桿意義。而且根據(jù)我們的前期調(diào)研，客戶也非常認可其價值?！?/span>

然而，綜觀目前的威脅情報市場，與傳統(tǒng)防火墻結(jié)合的產(chǎn)品普遍存在兩個痛點。

其一，識別時間久。傳統(tǒng)防火墻的威脅情報庫在云端，為保證業(yè)務(wù)優(yōu)先，防火墻檢測到有風險的域名解析時，先放行DNS解析，保證業(yè)務(wù)不中斷，然后上傳至云端校驗。但是從云端識別返回結(jié)果到阻斷的過程需要一定時間，有風險的通信流量早已外溢到互聯(lián)網(wǎng)。

其二，精準度低。如缺乏情報來源、技術(shù)實力，將難以實現(xiàn)高精準檢測。而這一點往往是致命的。威脅情報庫的完善程度決定著檢測的精準度，基礎(chǔ)庫的完善需要豐富的情報來源作為支撐，同時又需要企業(yè)具備調(diào)優(yōu)技術(shù)使基礎(chǔ)庫得以進行實時檢測。

面對這些挑戰(zhàn)，銳捷與騰訊安全推出了本地情報融合型新一代防火墻，通過本地SDK方式與現(xiàn)有安全設(shè)備集成，提升了威脅的檢出覆蓋面及識別率。

首先，騰訊安全的多情報源本地SDK庫與銳捷新一代防火墻結(jié)合，讓客戶網(wǎng)絡(luò)邊界具備了較強的出站安全檢測和阻斷能力。風險本地識別，極大地降低了識別時間，實現(xiàn)本地檢測與阻斷。

再者，就數(shù)據(jù)采集的全面性和豐富度來看，騰訊在國內(nèi)首屈一指。銳捷與騰訊安全深度合作，對情報庫進行日更及觸發(fā)式更新，同時利用AI賦能，提升動態(tài)變種的DGA域名檢出率，使情報庫及時更新，實現(xiàn)精準防控。

另外，在收費模式上，陳龍認為，采取訂閱制較為健康?！巴{情報對實時性的要求非常高，研發(fā)成本也高，這通常會導致客戶無法通過一次性買斷的方式去采購威脅情報。特別是在經(jīng)濟不穩(wěn)定的周期里，企業(yè)在IT建設(shè)上的投入可以按照效果來付費，一旦情報沒有價值，就可以選擇中斷訂閱，這對中小企業(yè)更為友好?！?/span>

發(fā)展：共建威脅情報開放共享生態(tài)

當前，國內(nèi)的威脅情報市場還處于爬坡期，盡管產(chǎn)品良莠不齊，標準也尚未統(tǒng)一，陳龍依舊表達了對于威脅情報市場潛力的樂觀態(tài)度：“我們認為整個市場目前已渡過技術(shù)萌芽期和期望膨脹期（炒作期），正處于第二上升曲線（穩(wěn)步爬升期），因為情報的價值擺在這里?！?/span>

“關(guān)于情報的開放與否、開放程度，每家企業(yè)的認知和策略也并不一樣。有的比較封閉，有的傾向開放，有的支持多元協(xié)同，而騰訊的立場是開放共贏。隨著我們走向開放，更多企業(yè)的認知升級，會帶動產(chǎn)業(yè)加速步入成熟期。同時，需求側(cè)的變化也會倒逼供給側(cè)的改革?！?/span>

“騰訊對于自身的定位是‘助手’。此次與銳捷的合作，我們也是立足于此。安全市場第一大產(chǎn)品是防火墻，但是對于很多客戶來說，防火墻更近似于一種網(wǎng)絡(luò)產(chǎn)品，但威脅情報的加持使防火墻得以成為一個真正的安全產(chǎn)品。此外，安全市場非常碎片化，相較于專注合規(guī)的傳統(tǒng)安全建設(shè)，我們面向的是攻防體系，對整個產(chǎn)品發(fā)揮的是增值作用，目的是做大蛋糕，而不是加劇內(nèi)卷。”

寫在最后

近年來，國內(nèi)網(wǎng)絡(luò)安全威脅事件加速攀升，嚴峻復雜程度異常突出。企業(yè)安全建設(shè)面臨的形勢環(huán)境變化之快、風險挑戰(zhàn)之多前所未有。在安全常態(tài)化、實戰(zhàn)化的今天，企業(yè)更需要轉(zhuǎn)變防守思路，打造真正意義上的主動縱深防御體系。另一方面，對國內(nèi)網(wǎng)絡(luò)安全行業(yè)頭部廠商來說，如何全面構(gòu)建企業(yè)安全防護體系，護航數(shù)字經(jīng)濟發(fā)展是長期命題。銳捷網(wǎng)絡(luò)與騰訊安全的戰(zhàn)略合作踐行了一種可行路徑——聚合多方原子力量，實現(xiàn)優(yōu)勢資源互補，為安全共建創(chuàng)造更多價值。