数字经济的发展为网络安全市场提供了机遇,同时也改变了网络安全防护的边界。随着实战防护需求与技术的不断发展,网络安全正迈入实战攻防的主动防御阶段。
回首2022年,网络安全威胁趋于复杂化与智能化,勒索攻击频发、0day出现新手段、供应链攻击、API攻击加剧......面对不断升级的攻击手段,传统安全依赖规则和人力的防护方式也渐趋乏力。
在此背景下,“威胁情报”这一概念再度走进人们的视野,受到业内人士的广泛关注。
日前,锐捷网络联合腾讯安全举办“威胁情报”战略合作发布会,正式签署战略合作协议。会后,51CTO记者采访了腾讯安全总经理陈龙,就威胁情报的兴起、应用、挑战与前景等话题进行了探讨。
节点:助力企业安全建设从合规走向攻防实战
“威胁情报”并非是新出炉的概念,它最早于2013年由Gartner提出。
彼时,Gartner进行了这样的定义:威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
简单来说,面对安全威胁,如果传统防火墙是一种“兵来将挡水来土掩”式的防守,那么“威胁情报”则是通过尽可能掌握对手的情报,对未知安全威胁进行提前防御,进而转守为攻、主动“出击”。
其核心要义就在于主动出击,从不计其数的报警信息中筛查,提前获取攻击者的攻击工具、途径、意图等,帮助企业识别和预防威胁信息。
就国内来说,威胁情报还处于野蛮生长的攀升期。在陈龙看来,威胁情报之所以会在近两年“走红”,主要是基于三个方面的因素:
第一,基础设施的升级。云计算、AI、大数据等技术的发展,加之算力水平的提升,为威胁情报的情报搜集和情报生产提供了更有力的技术支撑。
第二,用户需求的升级。在安全建设方面,用户需求从合规驱动进阶到攻防驱动,包括应急响应、阻断攻击、溯源反制等在内的需求明显提升。
第三,国家政策的引导。每年一次的“国家级攻防演练行动”通过真刀实枪式的攻防演练,有效提高了企事业单位对于自身业务安全的认知水平。
陈龙表示,可惜的是,就目前的安全产品市场来看,供给侧和消费侧是不匹配的,网络安全产业还有很大的市场发展空间。“无论是数据要素还是数字业态都在经历大的变化,但这几年国内的安全产品还没有随之改变。因为大部分安全产品没有深入企业的应用场景,欠缺一线的实践反馈,无法触达企业的真实需求。”在这一背景下,“威胁情报”的兴起可以说适逢其会。
集成:让“威胁情报”在合适的场景中生生不息
当前威胁情报的应用,主要是通过搭载各类安全工具,赋能企业的安全运营建设。集成的形态主要有四种,分别是:云工作负载保护平台+威胁情报、防火墙+威胁情报、WAF+威胁情报、SOC+威胁情报。
而在锐捷与腾讯安全此次的合作中,双方首选的探索方向就是“防火墙+威胁情报”这一集成形式。防火墙本身是目前应用最广泛的网络安全单品之一,如何通过威胁情报的融合实现安全场景价值创新,是合作发力的焦点。
那么威胁情报的价值到底何在?它的出现会不会取代原有安全产品的部分功能呢?
陈龙认为,传统安全产品有其自身的价值,威胁情报的价值更多在于做增量。在传统安全产品基础上,通过情报能力的注入,一来提升检测的精准度,二来提升安全运营的效率,对现有市场不会造成冲击,更多是在创造增量市场。
“至于防火墙这个产品,理论上通过这种合作,(我们希望)提升锐捷防火墙的市占率,因为它的价值更高,并非去蚕食原有的防火墙市场,(而是)属于创造增量价值。我们内部也是一样,通过集成这种能力,提升的是产品的核心竞争力,(激发)客户更高的付费意愿。”
此外,陈龙补充道,威胁情报的运作规则和传统防火墙也不同,威胁情报的加持更能发挥出增益效果。
“一般来说,传统防火墙只能基于规则、基于已知漏洞进行防护。而情报的话,首先能看到谁在攻击我,另外,还能看到哪些主机已经失陷,被谁连接了。可以发现,这两个运作体系是没有矛盾的。规则加上情报,这两者让攻击画像更加清晰,让风险管理也更为精准,最终产生的是‘1+1>2’的效果。”
由此可见,威胁情报通过与各类安全工具的集成,可以发挥显著的协同赋能作用,一方面提升威胁情报在企业内的利用率,另一方面也能大幅增强安全工具的专业能力。
合作:“行家+专家”强强携手的通关之路
鉴于威胁情报与安全设备集成协同的重要性,锐捷与腾讯安全的合作可以说是互补联合、追求双赢的典例。
回顾合作的机缘时,陈龙介绍道,锐捷本身是腾讯的合作伙伴,在服务器、交换机等领域均有合作,双方建立了比较深厚的信任基础。在此过程中,大家发现单纯产品的买卖合作并不长久,但如果发挥各自优势,共同开拓增量市场,也许可以迸发出更多火花。
一切的前提是双方在各自领域都深耕多年,有深厚的技术积累。
在威胁情报方面,腾讯安全威胁情报中心拥有强大的情报生产能力,凭借其在云、管、端以及业务侧积累的安全大数据,打造了完整的情报数据触点网络;在安全能力方面,锐捷作为资深的ICT基础设施及行业解决方案提供商,不仅有20年网络安全领域的实战经验,而且具备大量To B市场的情报来源。
陈龙表示,就腾讯安全来说,这次合作能够达成,主要出于三个方面的考量。
第一,更好地满足用户诉求。“锐捷对他们防火墙产品的品牌影响力、安全运营能力的提升有诉求,而我们对如何更准确地为用户赋能也有我们的诉求。尤其在护网行动之后,用户对情报的消费需求是非常明确的。(因此)双方很快达成了一致。”
第二,更深入地触达行业场景。锐捷网络作为一家主营网络设备、网络安全产品及云桌面解决方案三大业务的厂商,基于完善的品类,其综合性优势突出。凭借20年来的行业深耕,锐捷网络拥有丰富的应用场景。“锐捷在政府、教育、医疗等行业都拥有稳定的客群,(尽管)我们的客户也遍布各个行业,但是我们触达不到他们的场景…我们希望形成‘行家+专家’的合作模式,锐捷懂行业,能成为某一行业的顾问,而我们是专家,这样彼此的效率都能提升。”腾讯安全高睿在发布会中也表示,基于锐捷的广泛客户基础,让腾讯安全获得了高价值的用户反馈和实战化经验积累,有效的提升了自身威胁情报产品的迭代。
第三,更高效地拓展商业模式。“按照正常的商业节奏,单个客户做商业拓展效率太低,更好的方式是做集成,基于场景去衍生安全能力,这种效率更高。我们希望通过这次合作,全方位提升用户的安全能力。”
双方团队的碰撞很快达成了加速融合的默契。对此,陈龙认为:“每个行业都有其专属的特点,我们希望我们的合作伙伴能够成为行业的顾问。他们懂行业,懂场景,而腾讯方面则可以开放产品提供原子能力,与合作伙伴进行融合创新,这能更好地避免腾讯在行业化的过程中走弯路。”
锐捷网络安全产品事业部总经理项小升与腾讯安全总经理陈龙
代表双方签署战略合作协议
突破:融合本地 SDK,立足出站高精准情报
合作意向达成后,双方选择将防火墙作为首个突破口,进行情报引擎实战化应用的探索。
陈龙解释道:“防火墙是中国第一大安全产品,如果我能够在防火墙上做安全增值,那么对于中国安全市场的教育和推动是非常有价值的。另外,锐捷防火墙产品铺货量大、适用场景广、容易形成规模化效应,更具有标杆意义。而且根据我们的前期调研,客户也非常认可其价值。”
然而,综观目前的威胁情报市场,与传统防火墙结合的产品普遍存在两个痛点。
其一,识别时间久。传统防火墙的威胁情报库在云端,为保证业务优先,防火墙检测到有风险的域名解析时,先放行DNS解析,保证业务不中断,然后上传至云端校验。但是从云端识别返回结果到阻断的过程需要一定时间,有风险的通信流量早已外溢到互联网。
其二,精准度低。如缺乏情报来源、技术实力,将难以实现高精准检测。而这一点往往是致命的。威胁情报库的完善程度决定着检测的精准度,基础库的完善需要丰富的情报来源作为支撑,同时又需要企业具备调优技术使基础库得以进行实时检测。
面对这些挑战,锐捷与腾讯安全推出了本地情报融合型新一代防火墙,通过本地SDK方式与现有安全设备集成,提升了威胁的检出覆盖面及识别率。
首先,腾讯安全的多情报源本地SDK库与锐捷新一代防火墙结合,让客户网络边界具备了较强的出站安全检测和阻断能力。风险本地识别,极大地降低了识别时间,实现本地检测与阻断。
再者,就数据采集的全面性和丰富度来看,腾讯在国内首屈一指。锐捷与腾讯安全深度合作,对情报库进行日更及触发式更新,同时利用AI赋能,提升动态变种的DGA域名检出率,使情报库及时更新,实现精准防控。
另外,在收费模式上,陈龙认为,采取订阅制较为健康。“威胁情报对实时性的要求非常高,研发成本也高,这通常会导致客户无法通过一次性买断的方式去采购威胁情报。特别是在经济不稳定的周期里,企业在IT建设上的投入可以按照效果来付费,一旦情报没有价值,就可以选择中断订阅,这对中小企业更为友好。”
发展:共建威胁情报开放共享生态
当前,国内的威胁情报市场还处于爬坡期,尽管产品良莠不齐,标准也尚未统一,陈龙依旧表达了对于威胁情报市场潜力的乐观态度:“我们认为整个市场目前已渡过技术萌芽期和期望膨胀期(炒作期),正处于第二上升曲线(稳步爬升期),因为情报的价值摆在这里。”
“关于情报的开放与否、开放程度,每家企业的认知和策略也并不一样。有的比较封闭,有的倾向开放,有的支持多元协同,而腾讯的立场是开放共赢。随着我们走向开放,更多企业的认知升级,会带动产业加速步入成熟期。同时,需求侧的变化也会倒逼供给侧的改革。”
“腾讯对于自身的定位是‘助手’。此次与锐捷的合作,我们也是立足于此。安全市场第一大产品是防火墙,但是对于很多客户来说,防火墙更近似于一种网络产品,但威胁情报的加持使防火墙得以成为一个真正的安全产品。此外,安全市场非常碎片化,相较于专注合规的传统安全建设,我们面向的是攻防体系,对整个产品发挥的是增值作用,目的是做大蛋糕,而不是加剧内卷。”
写在最后
近年来,国内网络安全威胁事件加速攀升,严峻复杂程度异常突出。企业安全建设面临的形势环境变化之快、风险挑战之多前所未有。在安全常态化、实战化的今天,企业更需要转变防守思路,打造真正意义上的主动纵深防御体系。另一方面,对国内网络安全行业头部厂商来说,如何全面构建企业安全防护体系,护航数字经济发展是长期命题。锐捷网络与腾讯安全的战略合作践行了一种可行路径——聚合多方原子力量,实现优势资源互补,为安全共建创造更多价值。
