瞄准“情报生态”下一跳，锐捷+腾讯携手加速安全共建

2021年5月，美国最大的成品油管道运营商科洛尼尔因受到勒索软件攻击，被迫关闭多个关键燃油网络，致使国家进入紧急状态。同年11月，加拿大多伦多遭勒索软件攻击，导致公共交通IT系统几乎全部瘫痪。针对能源、交通、电信等关键行业的网络攻击事件频发。

另一方面，针对新技术、新场景的网络威胁日益增多，影响企业和组织业务的正常运营。各类网络安全威胁与日俱增，新型攻击手段层出不穷。

网络安全防护就是与时间赛跑，快速地发现威胁、响应和恢复已成为信息安全团队的普遍诉求。

敌人的攻击无孔不入，变化多端，难以得知黑客会何时采取何种手段进行攻击，以传统防火墙的防御方式，我们只能拿起盾牌被动防守。但是，如果我们能够掌握对方的情报，提前知道敌人的进攻时间、方式、意图，那么防守方也有机会成为进攻方，转守为攻，主动出击。

此时“威胁情报”的出现发挥了重要作用。“威胁情报”是对未知安全威胁进行提前防御，核心在于主动“出击”，从不计其数的报警信息中筛查，提前获取黑客的攻击工具、途径、意图等，帮助企业识别和预防威胁信息。威胁情报是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合，可实现事前风险可视化，事中防御主动化，事后溯源智能化。

目前，威胁情报正协同各类安全工具赋能企业安全运营建设，常见的协同模式有四种，分别为云工作负载保护平台+威胁情报、防火墙+威胁情报、WAF+威胁情报和SOC+威胁情报。威胁情报能降低企业整体风险，处处赋能，人人知好，但利用率却不高。

腾讯安全威胁情报高级经理高睿表示，“威胁情报的有效应用给安全运营带来的价值十分显著，但中小型客户受制于成本和使用难度，整体渗透率不高”。信通院云安全专家孔松在演讲中提到，“国内威胁情报产业发展仍处于初级阶段，服务质量参差，企业威胁情报实践率不高，需从多个维度建立威胁情报效能评价标准，规范威胁情报服务能力”。

威胁情报的应用不单单是技术问题，还存在防御体系和生态上的问题。“威胁情报生态”指的是生产者持续生产更优质的情报，同时通过设备集成，帮助客户更好地利用情报，构建完整的威胁情报生态。然而，从威胁情报的高质量生产到使用的安全体系中充满着各种挑战，难以依赖单方力量，需要分工协作。

锐捷与腾讯安全在各自领域深耕多年，基于威胁情报与安全设备集成协同的重要性，双方团队的碰撞使背后的独特洞见加速融合。双方一拍即合，进行情报引擎实战化应用的深入探索。

在威胁情报方面，腾讯安全威胁情报中心TIX拥有强大的情报生产能力，依托二十余年网络安全实战经验，以及大数据智能分析能力，打造了具备基础情报能力、业务情报能力和风险检测能力的威胁情报大数据平台。

在安全能力方面，锐捷深耕网络安全领域20年，作为技术积累深厚的综合性网络厂商，从整网安全视角出发，打造融合“网络+安全”的防护体系。锐捷具备大量To B市场的情报来源，并在2022年推出新一代Z系列防火墙，具备精细化的安全策略，提供下一代防火墙的强大安全防护能力。

在开发实施过程中，锐捷和腾讯深度调研防火墙产品的场景特点，结合腾讯安全大数据能力，锚定情报应用场景关键点。腾讯提供整套情报TIX-SDK集成套件和授权，锐捷在此基础上进行威胁情报的融合，并联合创新突破阻断时效性、精准度、性能等多项难题。基于安全场景价值创新，双方强强联合，推出本地情报融合型新一代防火墙。

信通院云安全专家孔松在演讲中提到，“威胁情报与各类安全工具集成协同，一方面提升威胁情报在企业内的利用率，另一方面也能大幅增强安全工具专业能力。威胁情报厂商与安全设备厂商的互补联合，是实现双赢的必由之路。”

情报的定义分为入站和出站情报。入站是指互联网到内部的攻击。出站主要是指从内部到互联网的失陷场景，即内部中毒后外溢，如挖矿木马、从内到外的钓鱼等恶意站点的违规外联等，出站安全是客户的热门关注点。

搭载云端威胁情报的传统防火墙仍有外溢风险。传统防火墙的威胁情报库放置于云端，云查需要一定时间。为保证业务优先，传统防火墙检测到有风险的域名解析时，先放行DNS解析，然后上传至云端校验。然而，从云端识别返回结果到阻断的过程需要一定时间，有风险的通信流量早已外溢到互联网。出站方向的精准检测和本地直接阻断是防治出站安全的关键。

锐捷与腾讯安全此次于情报生态上的深入探索为出站安全带来了新突破。锐捷在业内率先把威胁情报通过本地SDK方式与现有安全设备集成，大大提升了威胁的检出覆盖面及识别率，实现精准防控、实时阻断。腾讯安全的多情报源本地SDK库与锐捷新一代防火墙结合，让客户网络边界具备了较强的出站安全检测和阻断能力。风险本地识别，大大降低识别时间，实现本地检测与阻断。

在数据采集上，腾讯安全凭借在云、管、端以及业务侧积累的安全大数据，构建了完整的情报数据触点网络，每日采集原始安全数据3万亿条，数据采集的全面性和丰富度行业领先。锐捷与腾讯安全深度合作，对情报库进行日更及触发式更新，同时利用AI赋能，提升动态变种的DGA域名检出率，使情报库及时更新，实现精准防控。同时通过云端+本地基于信誉的高效防护和性能优化，全面提速情报、IPS检测性能。

在此次战略合作中，腾讯安全强大的威胁情报能力与锐捷威胁情报和新一代Z系列防火墙实现深度集成，双方于威胁情报领域强强联合并持续探索，共同打造生态合力。

在产品层面，双方携手为客户提供高精准的多种情报，实现精准检测与本地阻断，大幅提升安全检测能力，为客户提供更具价值的安全保障体系。

在技术发展层面，腾讯安全高睿表示，“腾讯的情报能力通过锐捷防火墙集成给客户提供了场景价值，同时基于锐捷广泛的客户基础，让腾讯安全获得了高价值的用户反馈和实战化经验积累，有效提升了自身威胁情报产品的迭代”。

在行业发展层面，双方的战略合作推动了情报生态的重要探索。锐捷网络安全产品事业部产品规划总监蔡铮鸣表示，“双方下一步会有更多的探索，一方面是情报将用于更多应用场景，一方面是应用体验的优化，这都是未来的方向。”双方将进一步发挥资源、技术及市场优势, 构建体系化安全生态，为产业数字化升级保驾护航。

双方基于多年在各自领域的持续深耕，通过战略合作，将聚合双方的原子力量，实现优势资源互补。未来将进一步探索，为安全共建创造更多的价值，实现互利共赢。腾讯云行业生态总经理曹言表示，“与锐捷的合作已迈开了第一步，未来整个数字中国、产业数字化以及数字产业化的这条道路，我们会接着往前走。” 锐捷网络安全产品事业部总经理项小升表示，“下一步，锐捷与腾讯将在更多领域实现安全互联方面的合作。同样，欢迎中国甚至全球更多的厂商能够跟锐捷合作”。