腾讯安全威胁情报中心：双引擎驱动的攻击面收敛与安全增益

1. 行业安全运营与资产管理的核心瓶颈

在数字化转型过程中，企业安全建设面临“资产看不清、威胁防不住、生态联不通”的结构性困境：

• 资产暴露面盲区： 企业难以全面梳理已知资产、影子资产（母子公司关联资产）及第三方供应链未知资产，导致恶意资产暴露，缺乏有效的收敛手段。
• 安全产品检测盲区： 传统安全服务商的原生安全产品（如XDR、WAF）在威胁检测覆盖度和运营效率上无法满足需求，存在漏报和误报问题。
• 情报数据孤岛： 缺乏全域、多维度的情报数据支撑，导致护网/重保场景下威胁识别滞后，无法对黑灰产团伙进行预判和追踪。

2. 构建双引擎驱动的威胁情报能力底座

腾讯安全威胁情报能力中心由科恩实验室与安全大数据实验室联合打造，通过“双引擎模式”提供技术支撑：

• 情报生产底座： 科恩实验室负责情报生产与攻防算法，安全大数据实验室提供大数据分析引擎（提升加工效率）与大数据治理引擎（提升数据质量）。
• 三合一情报平台： 整合基础情报（IP/Domain/MD5）、攻击面情报（资产测绘）与业务情报（黑灰产/仿冒），构建一站式开放平台。
• 多模态交付： 以SaaS化模式为核心，支持Web、小程序、公众号、API、SDK等交互方式，实现情报在预测、防御、检测、响应全生命周期的渗透。

3. 量化数据支撑的情报效能与资产覆盖

基于全域数据采集与自研技术，腾讯安全展现了以下核心业务指标：

• 数据规模： 依托云端超200万台主机及C端产品，采集中国约40%以上的C端恶意样本数据；每日采集原始数据约3万亿条，累计安全日志超3万亿条。
• 资产探测能力： 依托自研测绘引擎，资产探测维度覆盖域名、子域名、IP证书、小程序、公众号及APP接口，通过DNS解析、注册人、备案信息等多维度上下文进行去误报。
• 产业赋能广度： 对外已与近百家安全厂商完成对接，通过SDK合作模式覆盖防火墙（FW）、WAF、SOC、EDR等核心安全场景。
• 实验室技术积累： 科恩实验室在基础安全领域积累超10年经验，连续五年参加Pwn2Own大赛，取得16项单项冠军及3次总冠军（Master of Pwn）。

4. 垂直行业场景下的价值实践

针对不同行业的特定诉求，腾讯安全威胁情报中心提供了定制化的解决方案：

• 金融行业（银行、保险、基金）：
  • 诉求： 本地构建情报中心，强化资产暴露面测绘，深度梳理影子资产。
  • 方案： 依托科恩实验室，支持IP、域名、小程序、APP等多维度测绘。
  • 价值： 本地情报中心联动安全产品，实现护网/重保场景下的威胁快速识别和处置；通过自研挖掘引擎发现影子资产与恶意资产，收敛风险暴露面。
• 科技行业（通信、云计算、高端制造）：
  • 诉求： 共建自有情报中心，挖掘追踪针对企业的黑灰产团伙。
  • 方案： 提供百亿级的恶意域名与恶意样本情报数据。
  • 价值： 高效检测业务情报，快速定位入侵团队，提升响应速度。
• 安全厂商（SIEM、SOC、EDR、NDR、SOAR）：
  • 诉求： 弥补原生产品威胁检测盲点，提升XDR能力。
  • 方案： 提供威胁情报SDK被集成模式，与安全厂商产品深度融合。
  • 价值： 充分覆盖原有威胁检测盲点，提升攻击检测效力；通过动态更新情报提升检测效率；与SOAR融合，降低检测误报率。

5. 技术领先性与生态协同优势

选择腾讯安全威胁情报能力的核心依据在于其技术深度与生态开放性：

• 前沿技术落地： 科恩实验室在车联网、5G、IoT等前沿领域取得突破，2019年发布全球首个商用自动驾驶系统（特斯拉Autopilot）图像识别安全研究案例；2020年关于AI算法解决二进制安全问题的论文被AAAI-20和NeurIPS-2020收录。
• AI驱动的生产力： 自研AI引擎（如BinaryAI及BSCA工具）推动软件供应链安全建设，通过自动化关联、去白、富化策略，实现较高的情报自产率与自动化率，减少人工运营依赖。
• 开放生态赋能： 摒弃封闭模式，通过标准化API与SDK工具包，致力于构建“情报共享、互补、共建”的产业生态，为合作伙伴提供原子能力输出，而非单纯的产品叠加。

数据来源： 腾讯安全、弗若斯特沙利文（Frost & Sullivan）、头豹研究院《2022年腾讯安全威胁情报能力中心分析报告》