从“情报孤岛”到“协同作战”，腾讯安全威胁情报助力生态伙伴实现高效联防联控

在数字化转型浪潮下，各行业加速业务上云与SaaS化进程，但安全体系建设滞后，企业网络防护面临严峻挑战。外部攻击者手段APT化，隐蔽性增强，而传统安全建设依赖设备堆砌与宽松规则运营，导致安全运营团队陷入告警冗余、联动低效困境，安全产品也面临巨大压力，企业对威胁检测分析产品攻防能力要求提高。

围绕这一行业痛点，为更好地释放威胁情报价值， 腾讯云安全 威胁情报中心结合多年威胁情报应用实践经验，发布了《基于威胁情报原子能力的安全产品开发应用实践》白皮书 ，力图实现打破数据孤岛，构建有机生态合作，释放威胁情报价值的能力愿景。在第五届数字安全大会上，腾讯安全威胁情报团队高睿进行了主题演讲，深入分享了腾讯安全如何将威胁情报高效融入各类网络安全产品，实现安全能力共建，威胁检测联动与防御协同，从而全面提升整个网络安全产品体系防护能力。

毋庸置疑， 威胁情报作为安全大数据能力的载体，可充当不同安全产品的“连接器”，助力企业主动防御 。但当前网络安全场景下，仍然面临双重挑战：一方面，数字化转型导致传统规则策略低效、补丁滞后于攻击；另一方面，企业虽亟需情报赋能，却因情报生产门槛高、缺乏能力集成实践经验，最终安全能力提升有限。在此背景下，国内外的安全主管单位、研究机构都在积极推动情报共享工作，以打破威胁情报“优质数据共享不足、落地效果参差不齐”的两大困局。

腾讯安全威胁情报能力是基于腾讯本身海量业务的攻防实战积累，以及云、管、端等各个渠道的安全触点，经过20多年的技术积累、数据积累汇集而成。 基于“攻防+大数据+算法”三大能力维度，科恩实验室构建了全链条、智能化的威胁情报生产运营体系 。

   ●   一是数据整合全域化 ，整合了腾讯独有且广泛的数据源，包括恶意样本挖掘、云防护威胁告警运营、 互联网 基础数据排查，风险站点识别（挂马、仿冒欺诈），形成了百亿级 IP/ 域名威胁判定情报库和PB级文件黑白样本库。

   ●   二是威胁分析专业化 ，整合了全量 NVD、CNNVD、CNVD 等通用漏洞库、重点攻击团伙的活动历史信息，形成20余类场景化情报数据，包括攻击来源检测、失陷主机识别、黑灰产追踪等。

   ●   三是运营发布自动化 ，构建了“秒级收集-分钟级运营-小时级下发”的高效运营体系。

在威胁情报的内部应用实践方面 ，腾讯云安全情报能力已深度融入公有云防护、办公网防护和个人终端防护等核心场景，通过定时更新持续优化攻击拦截率并保障误报控制，满足通用化安全场景和个性化业务场景的安全防护需求。

在 腾讯威胁 情报基础外化方案上 ，腾讯安全科恩实验室威胁情报团队，依托腾讯安全二十余年网络安全实战经验和安全大数据挖掘分析能力， 构建了多元的载体服务、多种集成方式 ，包括API、SDK等形态，形成了安全原子能力的轻量化集成方案。这套产品方案在近几年与多家合作伙伴的进行了深度融合和技术打磨，实现了应用产品威胁检测分析能力的提升。

腾讯通过持续的技术创新，已达到威胁情报应用的高级阶段，并与多家企业合作，共同推动威胁情报产业的发展。《基于威胁情报原子能力的安全产品开发应用实践》白皮书还提到，依托产品平台与威胁情报的深度融合， 腾讯威胁 情报能力深入企业五大核心场景实现可量化突破：安全运营与自动化响应、网络流量威胁检测、边界防护、主机终端安全、邮件安全。 在实际应用中，该方案展现出显著成效：告警降噪率达90%、威胁检出率提升85%、阻断效率提高80%、终端感染前拦截率高达90%、恶意邮件识别提升70%，真正实现从威胁发现到快速处置的闭环能力。

随着技术演进，威胁情报将更深层融入企业防护体系，成为安全基座的核心驱动力。未来，腾讯安全将聚力生态伙伴，共筑细分产品与行业的威胁情报标准体系，推动生产运营开放共创，加速高价值行业与场景情报落地，把攻防经验与数据转化为前瞻威胁情报，打造更具适应性的数字安全防护体系，护航数字生态安全前行。