2022年腾讯安全威胁情报能力中心分析报告

报告标签：威胁溯源自动化、物联网安全、勒索重组追踪报告标签：威胁溯源自动化、物联网安全、勒索重组追踪弗若斯特沙利文咨询(中国)22/12列安全威胁情报能力中心分析报告开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，用其他任何第三方代表头豹研究院开展商业活动。场研读|2022/12研究框架u腾讯安全威胁情报能力建设•腾讯安全威胁情报能力中心建设•科恩实验室核心优势及产业贡献u腾讯安全威胁情报能力应用•情报原子能力应用优势及成果•攻击面情报应用优势及成果u腾讯安全威胁情报价值实践•威胁情报中心助力业务场景商业价值增益•威胁情报中心推动用户安全管理水平升级u名词解释u方法论u法律声明0-072-55882口腾讯安全威胁情报能力中心建设口科恩实验室核心优势及产业贡献口安全大数据实验核心优势及产业贡献3基础情报攻击面情报基础情报攻击面情报腾讯安全威胁情报服的不同腾讯安全威胁情报能力中心建设(1/3)•情报能力中心是由科恩实验室和大数据实验室联合打造的产品能力底座，科恩实验室全面整合威胁情报生产和应用能力，周期中的应用；大数据实验室提供数据治理引擎底座，提升威胁情报加工和生产效率。ll融合构建威胁情报平台化底座能力多形态情报能力聚合：腾讯安全从情报信息全维度采集和情报信息深度分析两个维度出发，从底层规划威胁情报能力中心平台的建设，该平台全面整合基础情报、攻击面情报和业务情报，构建三合一的情报开放平台，为腾讯内部用户、B端用户、C端用户以及产业内其他安全服务商提供一手的一站式情报服务。灵活交付和触达，情报应用渗透用户业务生命周期：在情报服务交付形式方面，腾讯安全以SaaS化模式为核心，支持Web端、小程序、公众号、API、SDK、TIP等多模态交互方式，满足不同业务场景下用户对情报触达手段灵活性的诉求。在情报应用方面，腾讯安全对人读情报、机读情报进行降噪处理，针对物理层、地理层、逻辑层和社会层攻击特征，对用户业务场景所遭遇安全事件进行全生命周期的情报服务渗透。赋能安全产品，用户防御策略前置：基于安全左移理念，腾讯安全威胁情报能力中心助力用户聚焦事前阶段，通过全面资产评估、资产暴露面研判等方式预判风险点，并通过赋能的方式实现与腾讯安全其他基础和新型原生安全产品的融合，提升用户在业务运营过程中对安全事件的响应能力和效率。赋能行业伙伴，提升溯源分析能力：在对产业生态赋能方面，腾讯安全结合两大实验室能力，为合作伙伴提供更趋精准和多维度的情报，并嵌入运营类安全产品，助力合作伙伴支撑用户进行高效溯源分析和响应处置。基于科恩实验室和腾讯安全大数据实验室构建威胁情报能力中心——数据资源全域整合协同情报底座+数据底座•融合科恩实验室情报挖掘和检出能力、算法研究能力以及安全大数据实验室数据处理和引擎分析能力共建腾讯威胁情报中心能力底座业务情报报威威胁情报统一开放平台多维度情报测绘形态情报以SaaS化为核心的多元交付形式号P报Web交层层层网传统应用场景网动端0-072-5588来源：腾讯安全、沙利文、头豹研究院漏损失导向检测效率提升导向口情报能力+勒索合情报能力避计算资源被绑软件探知：免数据资产并要求赎口情报漏损失导向检测效率提升导向口情报能力+勒索合情报能力避计算资源被绑软件探知：免数据资产并要求赎口情报融合支付能力+网银情报能力检测场景的木马木马检测：针对金融病毒潜伏，口情报能力+APT检测：情报能的威胁力对持久而强进行有效捕获针对性和阻断。口情报能力+漏融合情报能力洞利用检测披露程序中情报能力+僵尸网络修：洞，避免系统取以及非法系权限的非法获融合情报能序感染的主序并完全清力探知被僵机，追溯僵除，复原网络尸程。口情报能力+窃融合情报能密木马检测力披露系统关窃取的风险点。：键能力+重保/护情报能力，针期内恶意流量重保服报能力+挖矿合情报能力探用算力获取加软件探知：知黑客非法行有效监测。口情报能力+能力与DNS对机器人程SinkHole：情SinkHole融合序和恶意流量报，进，保障算力归属行高效检测口情报能力+常融合情报能力规木马检测快速发现木：口情报能力+域名生成检测：融合情报算法生成服务器被能力探知恶名列表，控制几率。意软件降低前防机被监控和信范，避免计息篡改。马算复腾讯安全威胁情报能力中心建设(2/3)•对内融合能力：从产品融合方面而言，腾讯安全威胁情报中心能力与原生安全产品融合，为11类以上核心安全场景赋能，持续输出攻防和算法研究能力，通过高精准情报数据，助力用户在运营过程中实现更高效率的安全响应效果。腾讯安全情报能力中心对多元安全产品赋能：融合后生态能力呈现基本提升未知威胁探知效率显著提升来源：腾讯安全、沙利文、头豹研究院••腾讯安全威胁情报中心能力与多元安全产品融合：腾讯安全持续扩大威胁情报能力对云上原生安全产品线的赋能作用，如针对防火墙检测中网关防护、勒索防护、挖矿检测等场景提供高精准情报，针对重网保护场景提供专项情报，针对WAF防护场景提供综合性入站情报，针对NDR防护场景下检测和威胁溯源需求提供相应情报，针对业务风险防护场景提供入站高精准IOC情报等。此外，通过促进信誉情报与高精准情报的融合，腾讯安全助力用户实现日常运营场景下的告警优化，并对攻击者画像进行更加清晰的研判呈现和溯源。协同开发开发阶段建档阶段的求部署阶段初始化SDK延期阶段长协同应用建立合作建档产品开发部署测试签单授权续签授权签协同开发开发阶段建档阶段的求部署阶段初始化SDK延期阶段长协同应用建立合作建档产品开发部署测试签单授权续签授权签约阶段下单供应阶段指南授权阶段权激活阶段权商讯nWAF类应用和业务攻击检测场景：结合威胁情报数据对恶意IP进行误报率，支持WAF一键封装nFW类安全风险检测场景：安全风险监测及情报聚控主动非法外联nSOC/SIEM/Splunk平台类失陷检测：应用于广泛失陷检测场景，优化告警效率，支持关联分析和溯源分析，实现主动防御效果nDNS/NAT/EDR等失陷检测场景：高精准的誉类情测场景下IP进行匹配，提升失陷检测有效性n自建情报基础设施场景：提供腾讯安全的情报数据源，助力用户搭建情报情报原子能力为外部产品赋能WAF护场景OC景景腾讯安全威胁情报能力中心建设(3/3)•对外协作生态：从对外优势互补融合方面而言，腾讯安全威胁情报中心与近百家安全厂商对接，并面向安全生态圈提供标准化API接口，通过SDK合作模式覆盖核心安全业务场景，以情报原子能力输出推动安全产业协同发展。腾讯安全协同百家安全服务商构建产业情报服务生态：以SDK模式为核心来源：腾讯安全、沙利文、头豹研究院••构建威胁情报外部生态，通过与友商安全产品融合实现能力矩阵赋能：在对外协作方面，腾讯安全持续拓展安全合作生态，与境内外百家主流安全服务商对接，实现情报能力的协同开发和协同应用。•对外情报协作生态为全域业务安全场景提供解决方案：通过腾讯安全SDK工具包在协作生态中的应用，腾讯安全与主流安全服务商显著提升核心安全业务场景的检出能效。例如在常规风险检测、攻击检测场景下提升拦截能力、主动防御能力、关联分析能力、误报降噪能力等，在各类失陷检测场景下提升告警收敛、威胁情报匹配、溯源研判等方面效率。0-072-5588实验室核心技术研究方向n检测技术积累与情报精益：科恩实验室持续提升检测引擎自动化水平展情报检测维度，并优化威胁检测流程。n结合业务场景提升检测精准度：科恩实验室针对不同类型业务特征实验室核心技术研究方向n检测技术积累与情报精益：科恩实验室持续提升检测引擎自动化水平展情报检测维度，并优化威胁检测流程。n结合业务场景提升检测精准度：科恩实验室针对不同类型业务特征 报画像标签，提升告警降噪能力。nAI算法+威胁情报应用：腾讯安全威胁情报中心自研AI引擎，强化恶意流量检测算法，在移动端、桌面端、系统端推进智慧情报产品化应用。nAI算法+软件安全应用：科恩实验室自研二进制软件分析工具BinaryAIBSCAAI动软件供应链安全建设。n产业互联网安全渗透：结合数字化转型背景，科恩实验室推进安全产n平台化能力建设：科恩实验室自研嵌入式系统安全审计平台sysAuditor，针对攻击面、漏洞、安全风险构建威胁模型，提升安全产品工程能力。检测精度AI算法研究工程能力应用科恩实验室核心优势及产业贡献••①技术积累：基于在不同领域构建安全体系的实践，科恩实验室持续提升高精检出能力；②研究突破：科恩实验室一方面促进AI算法与安全研究的融合，一方面推进研究落地应用；③产业实践：基于产业互联网业务场景特征构筑安全平台•研究侧、技术侧、产业应用侧并行发展：腾讯安全科恩实验室在基础安全(桌面端安全、移动端安全等)领域积累攻防经验已超10年，通过在“安全+AI”领域的持续性研究，持续提升安全事件检出的精益化水平，在中国和全球赛事中获取头部竞争成果和认可。融合理论和技术方面的突破，科恩实验室在车联网、5G通信、IoT等前沿场景应用威胁情报中心能力。在安全产品侧，通过高质量情报优化告警准确性。在生态侧，联合各大安全服务商和业务场景用户共同优化数字化升级过程中的情报服务效果。腾讯安全科恩实验室研究进展及产业应用成果用AIAInnPwnOwn事评估：科恩实验室连续五年参加国际黑客大赛Pwn2Own，取得16项单terofPwnn人工智能+车联网研究：科恩实验室2019年发布全球首个商用自动驾驶系统图像识别功能专项安全研究案例“特斯拉Autopilot的实验性安全研究”，落实“AI+安全”的产业价值。IAI--来源：腾讯安全、沙利文、头豹研究院0-072-5588场研读|2022/12安全大数据实验室核心优势及产业贡献•腾讯安全大数据实验室实践双引擎模式：大数据分析引擎+大数据治理引擎。依托大数据治理引擎提升情报数据质量及流通效率，依托大数据分析引擎提升威胁情报加工和生产效率。在此基础上，安全大数据实验室与科恩实验室协同研发，优势互补。腾讯安全大数据实验室双引擎模式业务封装能力：与科恩实验室攻防算法技术协同口口大数据分析引擎MiddlePlatform分析引擎及服务势在于：口大数据治理引擎MiddlePlatform大数据治理服务势在于：Attackand讯安全讯安全实验室定义威胁挖掘方式Filtration自研检索引擎Flink流数据处理攻防技术训练桌面端安全数据移动端安全数据云主机安全数据算法研究告警数据流量数据日志数据模来源：腾讯安全、沙利文、头豹研究院••安全大数据与AI领域技术积累：腾讯安全大数据实验室创建双引擎模式，结合大数据分析引擎和大数据治理引擎，构建情报数据体系及安全数据知识图谱。①在大数据分析方面，腾讯安全利用大数据分析引擎实现威胁情报关联分析、深度分析，并提升情报加工和生成效率；②在大数据治理方面，腾讯安全依托大数据治理引擎采集并管理覆盖云主机、桌面端、移动端、DNS等全域场景的情报数据(腾讯电脑/手机管家安全数据、云安全大数据、DNS解析数据等)提升威胁情报质量和数据流转效率。•安全大数据实验室与科恩实验室协同：•①安全大数据实验室通过分析引擎管理和数据平台能力为情报能力中心的构建提供底层支撑，支持科恩实验室实现更有效的上层情报生产与挖掘活动。•②科恩实验室基于在攻防和算法技术方面的积累和实践经验，结合安全大数据实验室引擎，提升威胁情报产线不同环节的管理效率，并实现情报质量的提升。0-072-5588口情报原子能力应用优势及成果口攻击面情报应用优势及成果口业务情报应用优势及成果9信誉情报出站情报•高精准情报对应细分应用场景挖矿软件窃密木马勒索软件僵尸网络inkHoleAPT漏洞利用及护网场景AF三方主流安全防护产品•信誉情报出站情报•高精准情报对应细分应用场景挖矿软件窃密木马勒索软件僵尸网络inkHoleAPT漏洞利用及护网场景AF三方主流安全防护产品•AFn基础情报能力赋能：①高质量情报提升威胁检测率；②海量IP信誉情报分析；③黑客画像分析；④未知样本检测；⑤高级威胁发现；⑥行业情报共享；⑦私有情报挖掘等。n情报源增量积累：基于云端、移动端汇聚全球新增样本(百万级/日)，依托数据关联分析和挖掘能力，提取专项威胁情报数据。情报原子能力应用优势及成果•腾讯安全打造开放生态，以SDK被集成为主要赋能模式，提供广度和深度，并推进高精准情报与细分应用场景的融合，提升不同场景下安全产品的检测和告警能力。••基础情报和情报原子能力灵活融合安全产品：腾讯安全依托高质量基础情报，提升原生安全产品检测率，覆盖海量IP信誉情报分析、黑客画像分析、未知样本检测、高级威胁发现、行业情报共享和私有情报挖掘等。并基于内外部数据，对情报关联信息进行分析补充，使其具备更丰富的上下文数据。•提高基础情报被集成度，实现生态赋能：腾讯安全在威胁情报应用领域延续开放生态的路线，提倡建设“开放和共享”生态体系，以情报原子能力形式为其他安全厂商赋能。与此同时，腾讯安全依托自研AI引擎，提升情报自动化生产能力，以标签化管理模式提升情报质量和去误报效率，产出高精准IOCs。腾讯安全基础情报及情报原子能力与应用场景融合：多形态标签化情报降低误拦截，构建攻击者画像高高精准情报•对内安全产品线生态赋能信信•网关类产品：减少误拦截率•运营类产品：提供情报画像标签•运营类产品：•威胁溯源研判：高精准情报标签•腾讯科恩实验室结合自研AI引擎，通过可动鉴黑等策略形成情 来源：腾讯安全、沙利文、头豹研究院0-072-5588B端+C端以上C端恶意样本数据依托各类产品侧和业务侧端口采集依托云端部署的超200万台主机采B端+C端以上C端恶意样本数据依托各类产品侧和业务侧端口采集依托云端部署的超200万台主机采数据移动端+云端3企业名称或已知资产暴露面梳理DOMAIN小程序API公众号其他相关接口•多维度暴露面协同暴露面探测资产梳理服务梳理风险梳理4判断暴露面状态及趋势攻击面情报应用优势及成果•攻击面情报体系建设与技术创新：腾讯安全持续提升攻击面上，为用户提供更具针对性的采集技术，依托全域流量渠道助力用户梳理各类已知资产和未知资产，收敛资产暴露面。腾讯安全攻击面情报体系•资产暴露面探测及梳理流程•多源异构场景采集攻击面情报数据1122存量资产清单，挖掘并呈现与企业。业相关联的母公司或子公司可能存资产。方供应链、外部关联服务商以及用户关联的未知资产，披露恶意资产。来来源：腾讯安全、沙利文、头豹研究院•拓展攻击面情报采集渠道，提升挖掘和发现技术：•腾讯安全覆盖C端、B端、云端、基础数据等多源异构的情报数据采集渠道(每日采集原始数据约3万亿条)，保障数据采集的全面性和丰富度，构建全面、高效的情报验证体系。在数据源采集方面，腾讯安全通过DNS数据挖掘技术，网络空间测绘技术，各类半连接的技术，指纹库比对技术等提升攻击面情报采集和检索效率，在采集丰富度方面处于行业领先水平。•腾讯安全依托自研测绘引擎，实现资产智能深度探测：•①腾讯安全风险测绘依托海量安全数据及独有数据源(DNS解析记录等)拓展情报覆盖面，资产探测扩isSSLIP册人、注册邮箱、注册机构、备案信息等多维度上下文进行去误报；③利用自研测绘和搜索引擎对小程序、公众号、APP等相关接口进行资产探测；④对资产端口、组件信息、服务和Banner等信息进行测绘。0-072-5588§消费模式灵活性提升业务情报付费模式；提准化产品§用户需求覆盖扩展n§消费模式灵活性提升业务情报付费模式；提准化产品§用户需求覆盖扩展n业务情报不仅辅助安全运维场景相关用户，亦针对业务人员需求提供析结果•腾讯安全以成型标准化产品模式为用户提供五大类专项业务情报，在提供行业级情报的基础上，进一步为用户打造企业相关情报、用户相关情报，提供更多安全决策优化维度；腾讯安全将紧追行业和企业动向，持续扩展业务专题覆盖面。腾讯安全专题性业务情报架构及优势•五类核心专题化业务情报互联互通，专项应用露型•数据源采集维度演进n业务情报采集维度创新：相对于较为普遍的开放侧业务情报，腾讯安提升业务情报的精益化水平。§§服务工具多样化n业务情报支持WEB端、服务号、小程序等渠道力•用户探知行业性威胁•用户针对热点风险实现安全防护力•用户获取专项、定制化威胁信息•用户优化安全策略和安全决策来源：腾讯安全、沙利文、头豹研究院••打造五类专题化业务情报，支持灵活消费模式：相对产业内其他类型的威胁情报服务商，腾讯安全在业务情报领域构建更加全面的专题化业务情报架构，围绕5类大型专题提供标准化产品，支持Web端、服务号、小程序等多点触达。•持续优化业务情报针对性，提升用户覆盖面和友好度：为支持安全运维人员和非安全管理的业务人员从情报数据中收益，腾讯安全持续扩展业务专题(如电信诈骗、薅羊毛等更贴近业务专项需求类专题)，在行业级业务情报基础上跟进企业化业务情报、定制化业务情报，以热点覆盖形式提升用户安全决策效率。0-072-5588口威胁情报中心推动用户安全管理水平升级口威胁情报中心助力业务场景商业价值增益ce等HIGHTECHCyberSecurityce等HIGHTECHCyberSecurity威胁情报中心推动用户安全管理水平升级•基于腾讯安全在桌面端安全、移动终端安全等领域所积累10年以上基础安全能力，科恩实验室快速布局车联网安全、工业互联网安全和AI安全等前沿方向，为内、外部用户提供算法和专家运营支持，实现对核心关键产业的能力应用渗透。 Ø产业用户诉求点：①本地构建情报中心；②提升内网安全产品威胁情报汇聚能力；③安全检测及响应能力提升；④资产暴露面测绘强化；⑤深度梳理影子资产Ø腾讯安全业务情报价值输出：①依托科恩实验室，全方位融等多维度业务资产测绘；③支持小程序、APP等维度测绘。Ø用户商业价值增益：①基于腾讯安全情报平台，本地情报中心联动安全产品，针对护网/重保场景实现威胁快速识别和处置；②依托腾讯安全自研情报挖掘引擎发现影子资产、恶意资产，并根据相关报告及建议方案，收敛风险暴露面。 关键应用产业二Ø产业用户诉求点：①依托服务商专业能力共建自有情报中心；②借助丰富的情报数据能力，针对以目标企业为攻击对象的黑灰产团伙进行挖掘和追踪，有效预判攻击信息和手段。和移动端情报数据；②提供百亿级的恶意域名、恶意样本的情报数据。Ø用户商业价值增益：①腾讯安全助力用户构建本地情报中心；②高效挖掘和检测业务情报，快速定位入侵团伙，快速响应。 Ø产业用户诉求点：①安全服务商所提供的原生安全产品在威胁检测和安全运营能力方面尚未能满足其客户需求(如XDR能力难以满足客户对全面检测、威胁覆盖方面的诉求；②需依托较为全面的情报数据平台为原有安全产品赋能。Ø腾讯安全业务情报价值输出：①提供威胁情报SDK被集成模元安全防护产品融合。Ø用户商业价值增益：①安全服务商充分覆盖原有威胁检测盲点，提升安全产品的攻击检测效力；②依托腾讯动态更新的威胁情报提升检测效率；③提升威胁检测自动化水平；④通过SOAR与威胁情报能力的融合，降低检测误报率。0-072-5588来源：腾讯安全、沙利文、头豹研究院场研读|2022/12威胁情报中心助力业务场景商业价值增益设，在生产力环节与产业相关主体共建安全协同机制。近年来，科恩实验室持续发现关键产业漏洞，为相关主体分享攻术细节并协同修复漏洞，在IoT安全、网联汽车与自动驾虚拟化技术安全等领域取得突破性成果。腾讯安全科恩实验室助力关键业务场景提升安全防护效力：关键事件协助特斯拉发现无物理接触远程攻击漏洞——驾驶系统漏洞•腾讯安全科恩实验室发现特斯拉系统中存在的无物理接触远程攻击高危安全漏洞，非法人拉进行远程控制。科恩实验室为特斯分享技术细节，并协同特斯拉对漏洞进行修复再次协助特斯拉发现无物理接触远程攻击漏洞——车电网络多类别漏洞•继2016年研究，科恩实验室接续发现特斯拉车网系统中多个高危漏洞：①完整入侵车电网络并进行任意远程操控；②多个模块存在0Day漏洞(腾讯安全后续协同特斯拉等主体对漏洞进行CVE编号)；③突破特斯拉用于FOTA升级固件强制完整性校验的“代码签名”协助宝马发现网联汽车物理及远程攻击漏洞——车载信息、通讯模块及CAN总线•科恩实验室发现宝马多款汽车暴露在外部的攻击面(包括GSM网络，BMW远程服务，协助特斯拉Autopilot发现无接触攻击漏洞——高级辅助驾驶系统漏洞缺陷•继前续对特斯拉高危漏洞的研究，科恩实验室于后续高级辅助驾驶安全研究中，将重点协助丰田雷克萨斯发现车载信息娱乐系统物理攻击漏洞——信息娱乐系统威胁2020.03.30•雷克萨斯于2017年应用新型信息娱乐系统(AVN视听导航设备)，科恩实验室于NX300车型发现该新型系统中存在的漏洞可危及AVN系统、CAN总线、相关车载电子控制单元(ECU)。科恩实验室通过无线方式破解并控制AVN系统，发送恶意CAN指令至车内CAN网2020.03.30发现5G基带模块漏洞——5G基带模块漏洞缺陷2020.09.11•科恩实验室于腾讯数字生态大会5G专场分享实验室在5G安全方面的研究成果，科恩实验室发现存在于5G基带模块中的漏洞，并基于该漏洞以远程方式对5G手机中IMEI串号信息2020.09.11协助梅赛德斯-奔驰发现车载信息娱乐系统漏洞2021.05.12•梅赛德斯-奔驰于2018年推出车载信息娱乐系统MBUX，科恩实验室融合安全性渗透测试，对包括无线电等组件在内的多个攻击面深度研究，发现多个漏洞并在车载信息娱乐系统 (HeadUnit)和车载通讯模块(T-Box)部分攻击面完成入侵，具体体现为通过物理接触获得车机权限，并基于此远程控制车辆部分功能，甚至入侵T-Box内部芯片，发送任意2021.05.120-072-5588来源：腾讯安全、沙利文、头豹研究院方法论u头豹研究院布局中国市场，深入研究10大行业，54个垂直行业的市场变化，已经积累了近50万行业研究样本，完成近10,000多个独立的研究咨询项目