锐捷+腾讯“威胁情报”战略携手：“行家+专家”的通关之路

数字经济的发展为网络安全市场提供了机遇，同时也改变了网络安全防护的边界。随着实战防护需求与技术的不断发展，网络安全正迈入实战攻防的主动防御阶段。

回首2022年，网络安全威胁趋于复杂化与智能化，勒索攻击频发、0day出现新手段、供应链攻击、API攻击加剧......面对不断升级的攻击手段，传统安全依赖规则和人力的防护方式也渐趋乏力。

在此背景下，“威胁情报”这一概念再度走进人们的视野，受到业内人士的广泛关注。

日前，锐捷网络联合腾讯安全举办“威胁情报”战略合作发布会，正式签署战略合作协议。会后，51CTO记者采访了腾讯安全总经理陈龙，就威胁情报的兴起、应用、挑战与前景等话题进行了探讨。

节点：助力企业安全建设从合规走向攻防实战

“威胁情报”并非是新出炉的概念，它最早于2013年由Gartner提出。

彼时，Gartner进行了这样的定义：威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。

简单来说，面对安全威胁，如果传统防火墙是一种“兵来将挡水来土掩”式的防守，那么“威胁情报”则是通过尽可能掌握对手的情报，对未知安全威胁进行提前防御，进而转守为攻、主动“出击”。

其核心要义就在于主动出击，从不计其数的报警信息中筛查，提前获取攻击者的攻击工具、途径、意图等，帮助企业识别和预防威胁信息。

就国内来说，威胁情报还处于野蛮生长的攀升期。在陈龙看来，威胁情报之所以会在近两年“走红”，主要是基于三个方面的因素：

第一，基础设施的升级。云计算、AI、大数据等技术的发展，加之算力水平的提升，为威胁情报的情报搜集和情报生产提供了更有力的技术支撑。

第二，用户需求的升级。在安全建设方面，用户需求从合规驱动进阶到攻防驱动，包括应急响应、阻断攻击、溯源反制等在内的需求明显提升。

第三，国家政策的引导。每年一次的“国家级攻防演练行动”通过真刀实枪式的攻防演练，有效提高了企事业单位对于自身业务安全的认知水平。

陈龙表示，可惜的是，就目前的安全产品市场来看，供给侧和消费侧是不匹配的，网络安全产业还有很大的市场发展空间。“无论是数据要素还是数字业态都在经历大的变化，但这几年国内的安全产品还没有随之改变。因为大部分安全产品没有深入企业的应用场景，欠缺一线的实践反馈，无法触达企业的真实需求。”在这一背景下，“威胁情报”的兴起可以说适逢其会。

集成：让“威胁情报”在合适的场景中生生不息

当前威胁情报的应用，主要是通过搭载各类安全工具，赋能企业的安全运营建设。集成的形态主要有四种，分别是：云工作负载保护平台+威胁情报、防火墙+威胁情报、WAF+威胁情报、SOC+威胁情报。

而在锐捷与腾讯安全此次的合作中，双方首选的探索方向就是“防火墙+威胁情报”这一集成形式。防火墙本身是目前应用最广泛的网络安全单品之一，如何通过威胁情报的融合实现安全场景价值创新，是合作发力的焦点。

那么威胁情报的价值到底何在？它的出现会不会取代原有安全产品的部分功能呢?

陈龙认为，传统安全产品有其自身的价值，威胁情报的价值更多在于做增量。在传统安全产品基础上，通过情报能力的注入，一来提升检测的精准度，二来提升安全运营的效率，对现有市场不会造成冲击，更多是在创造增量市场。

“至于防火墙这个产品，理论上通过这种合作，（我们希望）提升锐捷防火墙的市占率，因为它的价值更高，并非去蚕食原有的防火墙市场，（而是）属于创造增量价值。我们内部也是一样，通过集成这种能力，提升的是产品的核心竞争力，（激发）客户更高的付费意愿。”

此外，陈龙补充道，威胁情报的运作规则和传统防火墙也不同，威胁情报的加持更能发挥出增益效果。

“一般来说，传统防火墙只能基于规则、基于已知漏洞进行防护。而情报的话，首先能看到谁在攻击我，另外，还能看到哪些主机已经失陷，被谁连接了。可以发现，这两个运作体系是没有矛盾的。规则加上情报，这两者让攻击画像更加清晰，让风险管理也更为精准，最终产生的是‘1+1＞2’的效果。”

由此可见，威胁情报通过与各类安全工具的集成，可以发挥显著的协同赋能作用，一方面提升威胁情报在企业内的利用率，另一方面也能大幅增强安全工具的专业能力。

合作：“行家+专家”强强携手的通关之路

鉴于威胁情报与安全设备集成协同的重要性，锐捷与腾讯安全的合作可以说是互补联合、追求双赢的典例。

回顾合作的机缘时，陈龙介绍道，锐捷本身是腾讯的合作伙伴，在服务器、交换机等领域均有合作，双方建立了比较深厚的信任基础。在此过程中，大家发现单纯产品的买卖合作并不长久，但如果发挥各自优势，共同开拓增量市场，也许可以迸发出更多火花。

一切的前提是双方在各自领域都深耕多年，有深厚的技术积累。

在威胁情报方面，腾讯安全威胁情报中心拥有强大的情报生产能力，凭借其在云、管、端以及业务侧积累的安全大数据，打造了完整的情报数据触点网络；在安全能力方面，锐捷作为资深的ICT基础设施及行业解决方案提供商，不仅有20年网络安全领域的实战经验，而且具备大量To B市场的情报来源。

陈龙表示，就腾讯安全来说，这次合作能够达成，主要出于三个方面的考量。

第一，更好地满足用户诉求。“锐捷对他们防火墙产品的品牌影响力、安全运营能力的提升有诉求，而我们对如何更准确地为用户赋能也有我们的诉求。尤其在护网行动之后，用户对情报的消费需求是非常明确的。（因此）双方很快达成了一致。”

第二，更深入地触达行业场景。锐捷网络作为一家主营网络设备、网络安全产品及云桌面解决方案三大业务的厂商，基于完善的品类，其综合性优势突出。凭借20年来的行业深耕，锐捷网络拥有丰富的应用场景。“锐捷在政府、教育、医疗等行业都拥有稳定的客群，（尽管）我们的客户也遍布各个行业，但是我们触达不到他们的场景…我们希望形成‘行家+专家’的合作模式，锐捷懂行业，能成为某一行业的顾问，而我们是专家，这样彼此的效率都能提升。”腾讯安全高睿在发布会中也表示，基于锐捷的广泛客户基础，让腾讯安全获得了高价值的用户反馈和实战化经验积累，有效的提升了自身威胁情报产品的迭代。

第三，更高效地拓展商业模式。“按照正常的商业节奏，单个客户做商业拓展效率太低，更好的方式是做集成，基于场景去衍生安全能力，这种效率更高。我们希望通过这次合作，全方位提升用户的安全能力。”

双方团队的碰撞很快达成了加速融合的默契。对此，陈龙认为：“每个行业都有其专属的特点，我们希望我们的合作伙伴能够成为行业的顾问。他们懂行业，懂场景，而腾讯方面则可以开放产品提供原子能力，与合作伙伴进行融合创新，这能更好地避免腾讯在行业化的过程中走弯路。”

锐捷网络安全产品事业部总经理项小升与腾讯安全总经理陈龙

代表双方签署战略合作协议

突破：融合本地 SDK，立足出站高精准情报

合作意向达成后，双方选择将防火墙作为首个突破口，进行情报引擎实战化应用的探索。

陈龙解释道：“防火墙是中国第一大安全产品，如果我能够在防火墙上做安全增值，那么对于中国安全市场的教育和推动是非常有价值的。另外，锐捷防火墙产品铺货量大、适用场景广、容易形成规模化效应，更具有标杆意义。而且根据我们的前期调研，客户也非常认可其价值。”

然而，综观目前的威胁情报市场，与传统防火墙结合的产品普遍存在两个痛点。

其一，识别时间久。传统防火墙的威胁情报库在云端，为保证业务优先，防火墙检测到有风险的域名解析时，先放行DNS解析，保证业务不中断，然后上传至云端校验。但是从云端识别返回结果到阻断的过程需要一定时间，有风险的通信流量早已外溢到互联网。

其二，精准度低。如缺乏情报来源、技术实力，将难以实现高精准检测。而这一点往往是致命的。威胁情报库的完善程度决定着检测的精准度，基础库的完善需要丰富的情报来源作为支撑，同时又需要企业具备调优技术使基础库得以进行实时检测。

面对这些挑战，锐捷与腾讯安全推出了本地情报融合型新一代防火墙，通过本地SDK方式与现有安全设备集成，提升了威胁的检出覆盖面及识别率。

首先，腾讯安全的多情报源本地SDK库与锐捷新一代防火墙结合，让客户网络边界具备了较强的出站安全检测和阻断能力。风险本地识别，极大地降低了识别时间，实现本地检测与阻断。

再者，就数据采集的全面性和丰富度来看，腾讯在国内首屈一指。锐捷与腾讯安全深度合作，对情报库进行日更及触发式更新，同时利用AI赋能，提升动态变种的DGA域名检出率，使情报库及时更新，实现精准防控。

另外，在收费模式上，陈龙认为，采取订阅制较为健康。“威胁情报对实时性的要求非常高，研发成本也高，这通常会导致客户无法通过一次性买断的方式去采购威胁情报。特别是在经济不稳定的周期里，企业在IT建设上的投入可以按照效果来付费，一旦情报没有价值，就可以选择中断订阅，这对中小企业更为友好。”

发展：共建威胁情报开放共享生态

当前，国内的威胁情报市场还处于爬坡期，尽管产品良莠不齐，标准也尚未统一，陈龙依旧表达了对于威胁情报市场潜力的乐观态度：“我们认为整个市场目前已渡过技术萌芽期和期望膨胀期（炒作期），正处于第二上升曲线（稳步爬升期），因为情报的价值摆在这里。”

“关于情报的开放与否、开放程度，每家企业的认知和策略也并不一样。有的比较封闭，有的倾向开放，有的支持多元协同，而腾讯的立场是开放共赢。随着我们走向开放，更多企业的认知升级，会带动产业加速步入成熟期。同时，需求侧的变化也会倒逼供给侧的改革。”

“腾讯对于自身的定位是‘助手’。此次与锐捷的合作，我们也是立足于此。安全市场第一大产品是防火墙，但是对于很多客户来说，防火墙更近似于一种网络产品，但威胁情报的加持使防火墙得以成为一个真正的安全产品。此外，安全市场非常碎片化，相较于专注合规的传统安全建设，我们面向的是攻防体系，对整个产品发挥的是增值作用，目的是做大蛋糕，而不是加剧内卷。”

写在最后

近年来，国内网络安全威胁事件加速攀升，严峻复杂程度异常突出。企业安全建设面临的形势环境变化之快、风险挑战之多前所未有。在安全常态化、实战化的今天，企业更需要转变防守思路，打造真正意义上的主动纵深防御体系。另一方面，对国内网络安全行业头部厂商来说，如何全面构建企业安全防护体系，护航数字经济发展是长期命题。锐捷网络与腾讯安全的战略合作践行了一种可行路径——聚合多方原子力量，实现优势资源互补，为安全共建创造更多价值。