重保季 | 威胁情报神器加持，掌握攻防对抗先机

本文是重保“神器”使用指南系列文章的第五篇

随着全球网络安全威胁不断加剧，攻防对抗对于信息的需求程度将大大增强，威胁情报作为搭建信息流转生态的重要推手，在企业安全运营中将越发凸显其重要性。

对于发生在网络世界背后的“隐秘战争”来说，无论攻防还是守方，都希望做到料敌先机，以实现“知己知彼，百战不殆”。而胜利往往会向那些深刻洞察对手思维和行动模式的一方倾斜。因此，基于这种深层次的理解来确定战术并制定灵活对策，成为了攻防演练制胜的关键。

尤其在重保期间，企业安全团队面临着时间紧、任务重、要求高及人手不足等多重难题，亟需快速获取并掌握攻击者的最新威胁情报，以便准确预测威胁动态，从而加速提升信息系统应对安全挑战的敏捷性和防御效能。在应急响应中，威胁情报类似一个多维度的知识库，可以对以往相似的情报线索进行整理和提炼，作为研判攻击手段、做出应对决策的依据，甚至通过多维度的情报，推导了解攻击者的信息。

为了帮助客户更好的应对重保任务、攻防演练以及常态化安全建设的需求，腾讯安全在资产范围、威胁角度、用户体验上都进行了升级，打造威胁情报PLUS版，帮助用户实现更精准的有效防护。快来get这份威胁情报使用攻略，应对安全挑战。

腾讯安全2024重保威胁情报产品方案，都有哪些丝滑技巧？

科恩威胁情报产品提供了一套全面的重保方案，旨在通过知己知彼的策略，识别和应对潜在的安全威胁。TIX威胁情报矩阵拥有完整的情报数据触点，覆盖边界防护、流量检测、安全运营、威胁管理等场景所需的各类高精准情报服务。

能力覆盖方面，包含了攻防对抗情报、攻击面管理、业务风险情报三层安全能力输出模式，助力用户快速进行威胁研判分析，实现全天候风险监测及互联网暴露面管理，提供应急响应所需的决策依据。

形态多样，可灵活支持客制化需求：

• 对于自建型客户，由于有更高的体系化目标，希望能够依托具商业化情报形成有行业属性的情报中心，腾讯安全威胁情报矩阵提供云地协同的产品服务，将腾讯安全海量情报数据以SaaS服务配合本地平台，提升内网威胁检测和响应效率。

• 对于集成型客户，有预期通过将威胁情报与自身产品结合的方式增强业务能力。腾讯安全威胁情报矩阵推荐采用轻量化SaaS-API、本地化SDK的方式，基于集成方式的开放度和兼容性，满足其产品在各个场景下的情报消费、联动能力。

• 对于应用协同型客户，每年安全预算固定，拥有明确的场景化情报诉求，更加注重预算投入的效率和“性价比”，则可以通过腾讯安全搭建的TIX-情报查询社区，调用威胁情报数据查询、分析和共享的SaaS化服务去辅助提升业务风险识别能力。

因此，不论企业属于自建型、产品型，还是应用协同型，腾讯安全TIX威胁情报矩阵均能提供适配其需求的解决方案。

威胁情报赋能形式支持Web服务、SaaS化API、本地化系统平台等多种交付方式，满足不同的用户需求，并且支持通过SDK的方式，实现安全设备集成本地化情报的客制化需求，基于灵活订阅的情报数据，提高威胁检测与响应效率，适配不同用户、生态合作伙伴的实际诉求。

攻防两侧出发，五大场景能力切入，威胁情报“知己知彼知全局”

从攻击者角度来看，威胁态势加剧，手法呈现多样性。大型模型、GPT和生成式人工智能（AI）技术的发展，正在显著降低进行网络攻击的难度。这些技术使得即使是新手黑客也能够执行以下操作：批量生成钓鱼邮件、批量挖掘软件漏洞、批量制造恶意代码、批量组合威胁特征，通过赋予初级黑客更高级的技术能力。此外，政府和企业为了应对日益增长的安全挑战，也不得不增加他们在网络安全方面的预算。

从防御视角出发，“安全中枢”概念的解决方案将在整个安全架构中占据越来越重要的位置，影响力逐渐增强。这一转变的核心聚焦于安全平台类产品的革新，特别是包括安全运营中心（SOC）、威胁情报与态势感知系统、扩展检测与响应（XDR）等在内的先进工具，能够大幅降低安全管理工具的使用门槛，让安全人员能够通过自然语言交互的方式来实现漏洞识别、威胁检测、安全响应、内部协同等多种操作，实现降本增效。

基于攻防两侧的视角，在应用场景上，腾讯安全威胁情报支持从产品场景到业务场景的全面覆盖，包括边界防护、流量检测、安全运营、威胁管理等多个场景，为企业提供低成本接入的规则阻断→风险告警→关联分析→情报运营一体的威胁情报闭环。

具体来看，腾讯威胁情报基于五大场景展现能力：

场景1：攻击面暴露面监测

识别敏感组件、敏感端口、敏感服务，敏感期间可疑的资产上线行为。

腾讯ASM攻击面管理通过情报提炼和自动化技术，为企业提供全面的网络安全防护。在重保前，它通过敏感资产服务识别潜在攻击目标，帮助企业及时下线和修复风险资产，提高入侵门槛。同时，ASM攻击面管理实时更新高危漏洞情报，自动化识别和修复漏洞，增强企业漏洞免疫力。在重保中，ASM攻击面管理提供全天候可疑资产监测，快速定位并管控新上线的可疑资产，降低安全风险。这一系列服务帮助企业在重保期间有效管理网络安全风险，构建起一个全面的安全防护体系。

场景2：社工风险挖掘

定位敏感信息泄露，发现钓鱼仿冒资产，监测被篡改的网站内容等。

腾讯ASM攻击面管理基于资产关联分析技术，识别重保、攻防演练期间攻击者构建的仿冒网站、公众号、以及企业自身资产存在的钓鱼外链地址。此外，基于安全大数据挖掘分析能力，腾讯ASM攻击面管理在全网范围内识别容易作为进一步系统入侵的信息泄露事件，内容包括人员信息、密钥数据等。

场景3：攻击来源鉴定

针对可疑来源IP的自动化分析与在线专家辅助研判，定性高危攻击源。

用户可批量提交可疑来源IP，通过自动化分析机制与在线专家值守研判，提供攻击对可能性判定。在重保中阶段，腾讯ASM攻击面管理的威胁情报服务允许用户提交可疑IP，通过自动化分析和专家研判来鉴定攻击方可能性。用户可以快速建立分析任务，获取鉴定报告，并利用告警、开源情报和预阻断IP功能。此外，服务还支持每日限额查询、历史记录导出和后续推送，由腾讯威胁情报中心提供支持，增强防守队的响应能力。

场景4：情报联防共享

疑似攻击方的IP、域名资产，提供查看与下载，可用于严格的封堵策略。

腾讯安全科恩实验室基于安全攻防的沉淀，分场景对原始素材进行探针部署和预分析，大幅提升了有效的情报生产原始素材。在情报生产流程，采取实时流的模型算法，针对当前比较流行攻击点进行模型分析，快速满足防御需求，同时也基于多种深度学习和样本分析，持续提升现有威胁情报体系的厚度；在情报出库环节，结合白名单，防误报规则，IOC算法评分等机制，对出库情报进一步过滤以保证情报的准确性。最终，通过信号驱动实现全生命周期的标准化管理，提升情报出库的可靠性和有效性。

场景5：重保每日战报

每日推送最新热点漏洞、手法资讯，高危攻击来源动态，具体威胁事件线索整理。

腾讯ASM攻击面管理的“重保每日战报推送”服务在重保前后阶段为用户提供关键网络安全信息，包括最新漏洞、攻击手法和高危攻击源动态，旨在帮助用户及时了解安全态势，加强防护。同时，也可以通过服务群、公众号订阅等方式，按照客户习惯的路径和时间节奏进行战报和战报摘要的推送，有效提升安全人员掌握威胁事件的线索。