高睿-2025 CDIE_情报智融重塑场景化安全运营体系v3.pdf

1、情报融智重塑场景化安全运营体系高睿 腾讯云安全威胁情报产品规划负责人基于挑战的能力运营能力的具象化建设技术、产品、合作三位一体探索演讲内容网络安全发展现状：有挑战、有思路、有困难“赛博”世界网络化,安全防护孤岛化业务现状：互联网业务发展快，安全防护能力跟不上传统安全建设节奏无法满足防护要求有思路：威胁情报联动应用威胁情报实现主动防御可标记攻击者最新资产；可快速精准分级攻击事件；可提炼最新的技战术指标；可为事件响应、溯源分析提供建议。基于全面的威胁视野进行专业化运营外部：常规威胁专业化攻击者角度：前期准备很充分；攻击方式多样化；常规攻击APT化；失陷状态发现很晚；攻击者技战术提升+社工方式，很难

2、防御挑战：对抗压力大内部：孤岛性产品部署仍是主流惯性思维，“糖葫芦”式建设；大量补丁策略如“添油战术”；规则简单松弛，造成大量虚警；格式不统一，无法形成联动；重复性建设，未达成能力提升传统的安全防御方式显得愈发捉襟见肘有困难：供需关系与情报共享需求供给效果情报相关预算投入增长 30%（各行业头部客户使用意愿 80%）情报生产依赖数据积累+攻防经验大量企业通过自研仅解决有无问题甲方缺乏有效评估手段，含泪继续用用户侧对情报效果褒贬不一数字化转型业务上云全面SaaS化远程办公流程信息化分布式数据中心供应链数据打通演讲内容数据能力优势：基于安全大数据挖掘的情报生产运营n百亿级IP、域名威胁判定n全量C

3、VE等漏洞库数据nPB级文件黑白样本数据原始数据规模数据处理能力n基础设施级并发性能，动态平行扩展n多格式、多粒度、多源数据构建归一化处理n秒级收集，分钟级运营，小时级下发攻击来源检测情报失陷主机检测情报文件样本研判情报黑灰产、业务威胁情报丰富的上下文画像情报uC端安全：终端防护、上网防护uB端安全：流量检测、安全运营、云防护等u互联网基础数据：DNS、Whoisu业务威胁链接：挂马、仿冒欺诈u开源OSINT情报运营独有且广泛的数据来源+基于攻防经验的威胁情报生产运营同源、聚类、生命周期管理同源、聚类、生命周期管理数据降噪、基于特征的加权数据降噪、基于特征的加权实体关联分析、标签归一化实体关联

4、分析、标签归一化威胁线索运营产品化丰富的应用场景，持续运营加强情报质量n亿级可用于相似度比对的训练数据n百万级安全场景问答型有监督训练数据n万级高质量安全对齐数据可用于RLHF训练模型训练数据规模高精准研判能力nIP/Domain恶意判定n漏洞无伤害PoCn样本动静态分析、家族变体识别数据维度丰富n恶意IOC关联家族团伙nIP画像、历史解析n关联安全事件、APT活动历史公有云防护IDC 防护个人业务防护基于挑战的能力运营能力的具象化建设技术、产品、合作三位一体探索数据能力内化：基于场景的腾讯云4+N防护体系攻防演练复杂攻击挖矿勒索防爬防薅等保合规批量攻击通用安全场景：全行业必备通用安全场景：全

5、行业必备解决批量攻击、合规、安全运营、复杂攻击问题解决批量攻击、合规、安全运营、复杂攻击问题金融交易信贷反欺诈电商营销流量风控出行车联网安全零售黄牛防刷品牌打假个性化业务场景：各行业选配个性化业务场景：各行业选配解决各行业的业务风控、增值、业务健康性问题解决各行业的业务风控、增值、业务健康性问题农文旅等金融反欺诈金融反欺诈金融反电诈金融反电诈全栈式风全栈式风控引擎控引擎游戏安全游戏安全ACEACE质量风控质量风控WetestWetest灵鲲反诈灵鲲反诈里约网关里约网关安心平台安心平台优码门店通优码门店通数据安全数据安全主机安全主机安全WebWeb应用防火墙应用防火墙云防火墙云防火墙云上资产+数

6、据云安全中心云安全中心更多更多威胁情报演讲内容数据能力外化：基于场景的模块化情报输出单元检测接口&分析接口海量情报分钟级更新IP、域名、URL、文件等全类型单接口万级QPS轻量化对接方案威胁情报云查API服务可视化查询平台海量情报数据与网络基础信息实时更新最新威胁线索二进制检测能力BinaryAI深度集成文件样本的云沙箱动静态分析威胁情报查询分析平台TIX云端研判与富化分析腾讯科恩实验室 威胁情报中心安全大数据挖掘攻防经验模型化反病毒规则运营恶意文件检测感染文件修复高性能、低占用、持续更新规则多平台支持：win、mac、Linux、国产化操作系统千万级特