张艺谋执导的第一部现代战争影片《狙击手》展现了抗美援朝后期“冷枪冷炮”运动中,我军神枪手群体的英勇事迹。影片中,狙击五班的战士们不惜战斗到只剩下一个人,也要将身负重大情报的侦察兵救回。我军只有获取这一情报,才能提前布局,争取最后的胜利。
从军事战场衍生到网络空间战场,战场虽然变了,但最关键的仍是要获取详细而准确的情报信息,只有这样才能站在制高点,打赢网络安全之战。根据Gartner对威胁情报的定义,威胁情报是某种基于证据的知识,包括上下文、机制、标示、含义和能够执行的建议,这些知识与资产所面临已有的或酝酿中的威胁或危害相关,可用于资产相关主体对威胁或危害的响应或处理决策提供信息支持。获取威胁情报,目的在于更好地研究对手及其行为,知道它是谁、何进行动、采用的是什么技术、目标又是什么等。在有效掌握这些信息之后,对于安全防御工作来说,才能有的放矢,真正做好应急和响应,避免安全威胁可能造成的损害。
Gartner预测,威胁情报市场的支出将以15.8%的年复合增长率增长,到2025年市场整体规模将达到26亿美元。锐捷网络与腾讯云、腾讯安全在威胁情报市场加速安全共建,将产生1+1>2的效果。
安全防御并不是被动防守
如今,针对新技术、新应用、新场景的网络威胁正日益增多,这在很大程度上影响了企业和组织业务的正常运营,而仅仅依靠企业自身的技术能力,很难又快又好地响应全局各类的外部威胁。在这种情况下,就必须联动外部的相应资源和能力。做好威胁情报的收集、整理和分析,就能更好地推动安全信息在企业内部的有效流转,帮助企业打破现有的安全数据孤岛,提升企业的主动响应能力。这是非常重要的发展趋势。
面对无孔不入的攻击和日渐严重的安全威胁,如果仍采用传统防火墙的防御方式,相当于拿着盾牌被动防守,常常是捉襟见肘。反过来,如果我们能够在第一时间掌握对方的情报信息,提前预知黑客的攻击意图、时间、方式等,那么防守也会变得更加积极主动,能够做到未雨绸缪,增加获胜的几率。这就是威胁情报的重要性所在。威胁情报是对未知安全威胁进行提前防御,核心在于主动出击,帮助企业识别和预防威胁信息,实现事前风险可视化、事中防御主动化、事后溯源智能化。
从企业的安全实践来看,威胁情报正协同各类安全工具赋能企业安全运营建设,常见的协同模式有四种,包括“云工作负载保护平台+威胁情报”“防火墙+威胁情报”“WAF+威胁情报”“SOC+威胁情报”。这种协同作战、优势互补,能够更好地降低企业整体风险。腾讯安全威胁情报中心TIX拥有的强大情报生产能力与锐捷基于下一代防火墙提供的强大安全防护能力相得益彰,基于安全场景价值创新,形成了本地情报融合型新一代防火墙,从而在威胁情报市场闯出了一条新路。
安全专家指出,当前国内威胁情报产业发展仍处于初级阶段,表现在服务质量参差不齐,企业威胁情报实践率不高等。这就需从多个维度建立威胁情报效能评价标准,规范威胁情报服务能力,加速威胁情报生态的建立与发展,促进相关解决方案的创新与实践。锐捷与腾讯在威胁情报领域的合作无疑是一种有益的尝试和助力。
威胁情报如何实现1+1>2?
仅凭某个厂商的一己之力,很难解决所有的安全问题和挑战。从某种意义上说,安全是一个大生态,需要各方协同共进。从威胁情报的应用来说,也不是单纯的技术问题,还存在防御体系和生态上的问题。所谓威胁情报生态,是指生产者持续生产更优质的情报,同时通过设备集成,帮助客户更好地利用情报,进而构建起完整的威胁情报生态。
从威胁情报的高质量生产到使用的安全体系中充满着各种挑战,需要分工协作。这正是锐捷与腾讯合作的前提与基础。腾讯提供基于云端的强大威胁情报数据库,锐捷率先在业内将威胁情报通过SDK方式与现有安全设备集成,双方强强联合,为客户提供更具价值的安全保障体系。
以前人们了解到的腾讯安全主要是为腾讯自身的业务安全服务。如今,腾讯安全将自己领先的安全技术和能力对外开放和输出,赋能企业级客户。腾讯安全下大力气研发,将其安全能力以SDK的方式释放出来,与锐捷的网络安全设备相结合,很好地实现了软硬结合、虚实结合。未来,腾讯希望将更多内部的产品和能力开放出来,不仅仅在安全层面,也期待在更多方面与锐捷,以及其他合作伙伴共赢。
“威胁情报的有效应用给安全运营带来的价值十分显著,但中小型客户受制于成本和使用难度,其整体渗透率并不高”。腾讯安全威胁情报高级产品经理高睿表示,“在这种情况下,将用户的情报能力与具体设备能力进行深度结合,就能够大幅提升安全响应能力。这也是腾讯与锐捷此次合作的初衷。”
在威胁情报领域,腾讯的数据采集覆盖面广,能够结合场景对数据进行专业的分级分类,在凝练成具体的情报数据后,再结合攻击事件进行实体化的关联,并且进行降噪和处理,最后将数据集成在具体的设备中,推送给各类产品进行具体的检测分析,最终形成闭环,根据设备的实际使用效果反馈,再补充到原始的情报生产中,从而不断提升情报的生产能力。“针对像锐捷这样的生态伙伴,我们可以提供SDK这样深度集成的服务,实现强强联合,进一步提升安全防御能力。”高睿介绍说,“在与锐捷合作的过程中,腾讯的情报能力从锐捷的安全实践中获得了很多应用场景的反馈。这些反馈增强了我们的情报产品能力,能够更好地服务于用户。”
锐捷已深耕网络安全领域20年,作为技术积累深厚的综合性网络厂商,从整网安全视角出发,致力于打造融合“网络+安全”的防护体系。锐捷具备大量To B市场的情报来源,并在2022年推出的新一代Z系列防火墙,具备精细化的安全策略和提供下一代防火墙的强大安全防护能力。
威胁情报与各类安全工具集成协同,一方面可以提升威胁情报在企业内的利用率,另一方面也能大幅增强安全工具的专业能力。威胁情报厂商与安全设备厂商的互补联合,是实现双赢的必由之路。在合作过程中,锐捷和腾讯深度调研防火墙产品的场景特点,结合腾讯安全大数据能力,锚定情报应用场景关键点。腾讯提供整套情报TIX-SDK集成套件和授权,锐捷在此基础上进行锐捷威胁情报的融合,并联合创新突破阻断时效性、精准度、性能等多项难题。
锐捷在业内率先把威胁情报通过本地SDK方式与现有安全设备集成,大大提升了威胁的检出覆盖面及识别率,实现精准防控、实时阻断。腾讯安全的多情报源本地SDK库与锐捷新一代防火墙结合,让客户的网络边界具备了较强的出站安全检测和阻断能力。
谈到生态合作,项小升表示:“安全的能力是没有边界的。一个厂家越开放,其发展就会越快,安全能力也会越强。我们会持续推动开放的飞轮,拓展业务的同时也让用户更多受益。”目前,锐捷与腾讯在威胁情报领域加强了合作,下一步还会与腾讯在安全互联等更多方面进行深入持久的合作。同样,锐捷与其他厂家也在产品、技术、方案等方面进行了广泛合作,致力于为用户创造更高的价值。
生态协同 安全共建
在威胁情报领域,锐捷与腾讯在技术、产品、行业等多个层面进行了全方位合作。数字经济时代,需要进一步加强行业资源的有效配置,形成良性生态和通畅渠道,提升安全管理效率,实现生态共赢。
谈到双方的合作,腾讯安全总经理陈龙表示:“首先,我们双方要更好地相互了解;其次,共同投入资源在产品的开发和融合上,并将视情况进行一些定制开发;最后,对于合作如何实现各自能力的提升,以及如何产生更大的价值,还要继续深入研究和探讨。”
未来,双方将基于多年来在各自领域的持续深耕,通过战略合作,聚合双方的原子力量,实现优势资源互补并共同探索,为安全共建创造更大的价值。
「往 • 期 • 精 • 选」
“看见”威胁,看到安全的未来
“零信任”让安全威胁“动态清零”
NTA“翻红”,打响高级威胁之战