随着各类网络安全威胁与日俱增,新型攻击手段层出不穷,各类企业和组织的网络安全策略逐渐由“被动”转为“主动”,由“治疗”转为“预防”,“威胁情报”这一概念因而引发各方聚焦。但网络安全行业覆盖面广,细分类型众多,涉及包括基础架构安全、数据安全、零信任、渗透测试/红蓝对抗等二十余个子领域,且各领域彼此相互拓展,领域间边界不清。基于此种背景,本报告将明确“威胁情报”的内涵与外延,“威胁情报”与其他网络安全领域的区别与联系,树立“威胁情报”行业价值。
市场透视:从供需两端观察中国威胁情报市场发展现状。报告将对包括微步在线的威胁情报头部企业展开充分调研,了解各企业技术、产品、市场及综合能力。从行业全局视角计算总体市场规模并判断未来走势;从供给端归纳行业主要参与者,讨论威胁情报的基础能力、商业模式与产品能力指标,定量展示中国主要威胁情报厂商市场份额;从需求端展示产品落地情况及实施效果。
发展洞察:探寻威胁情报行业未来趋势。报告将以发展的视角观察可能对未来产生重大影响的行业焦点,包括情报出海、AI大模型及漏洞情报三大方向。分析威胁情报在合规、技术与应用方面的演进趋势,并尝试洞悉这些趋势可能导致的行业格局变化,或带来的潜在市场机会。
从宏观视角看,随着全球数字化进程加速,网络成为企业数字化运营的关键支撑,在网络带来前所未有的便捷和效率的同时,网络威胁也随之增长。根据公开研究报告显示,攻击者数量、攻击速度相较于往年均有上升,大规模勒索行动的受害者数量也增长76%。同时,各主要行业遭受的攻击频率都有所上升,其中科技、咨询、金融业遭受的攻击频率最高,工业工程、房地产、能源行业遭受的攻击频率增长快速,增速最高达102%。
从企业视角看,随着数字化转型的推进,企业内部面临的网络风险正不断增加。从2023到2033年,全球物联网连接数预计将从160 亿增长到400亿,复合年增长率达9.6%,接入网络的设备显著增多。同时,企业业务不断扩张,远程办公设备增长、多云策略的采用都带来更多连接点。此外,数据资产协同与共享愈发频繁,在数据同步和共享常态化的趋势下,企业更容易因软件漏洞等问题受到攻击,且修复关键漏洞的时间较长。
在数字化浪潮和网络威胁态势交织的当下,国家高度重视网络安全。国家密集出台政策在全国范围推进企业安全防护能力进阶,从多维度拓展安全要求范围,全面提升企事业单位网络安全防护意识。目前,网络安全防护理念已经从被动防御转为主动防御,企事业单位亟需更先进的防御措施,及时检测、识别,预测安全威胁,加快响应速度,减少网络威胁带来的损失。
威胁情报构建者对各类网络活动监测数据、安全事件详情、恶意软件特征以及来自安全社区与专业平台的共享信息等多维度素材进行系统梳理与深度挖掘,提取出如恶意IP地址、可疑域名、异常文件哈希值等关键威胁指标(IOC),识别出背后的威胁行为者及其动机、技能水平与攻击偏好,明确攻击所采用的战术、技术和程序,从而为网络安全防御者提供全面、精确且具前瞻性的决策依据。根据威胁情报的内容组成和用途,可以分为:1)辅助技术人员阻拦网络攻击的战术威胁情报;2)辅助运营人员持续、全面管理组织安全状态的运营威胁情报;3)辅助安全负责人制定宏观安全策略的战略威胁情报。
不同安全产品在网络安全防御中有特定防护对象和应对的威胁类型,威胁情报的能力可以有效提升安全产品防护主动性与及时性。威胁情报能实时收集、分析全球网络威胁信息,精准洞察新型攻击手段。当新威胁出现,安全产品依据自动生成的威胁情报快速精准检测,快速响应处置。如未知恶意软件来袭,产品借助情报预判,主动出击拦截,而非被动等待攻击发生,起到防御关口前移功能,极大增强防御效能。
在当今复杂多变的网络安全环境中,企业可以通过借助动态更新的威胁情报库或威胁情报赋能的安全产品提前洞察潜在的安全风险,在攻击尚未发生之时就精准布防,实现主动防御,有效防止恶意入侵。在安全协作方面,威胁情报作为一种标准化的信息载体,可以实现跨部门/组织共享安全信息与应对策略、实现最大化利用安全资源,构建起稳固且可持续发展的网络安全体系。
海外威胁情报行业的宏观发展路径经历了从基础威胁情报能力的构建,到成熟可调用的威胁情报能力平台的建立,再到威胁情报与其他安全产品的联动融合三个阶段。国内威胁情报行业的发展轨迹与此相似,但由于起步较晚,其发展速度和成熟度与海外相比有所差距。在产品融合与使用水平方面,由于国内外安全需求的差异,国内威胁情报融入的产品类别顺序与海外存在差异。此外,海外由于安全产业起步较早,多数企业的整体安全运营能力相对优于国内,因此海外企业在威胁情报的使用水平上也相对较高。
当前国内市场威胁情报主要以两种方式被用户采用,一种是对威胁情报数据及平台的直接应用与消费,另一种是通过使用安全监测响应类产品,为这类产品中的情报能力或情报模块买单。前者专注提供高质量的情报数据和服务,通常以标准化API接口、TIP平台或是通过威胁情报门户账号订阅方式交付,API及威胁情报门户账号订阅更侧重情报数据交换的便捷与及时性,TIP则更侧重对情报数据的查询、分析、生产、共享及狩猎等全方位情报管理与流程化操作。后者情报主要以三种方式与其他产品融合,形成情报赋能型产品。
【产品能力指标】从用户视角看,威胁情报产品能力可拆分为情报准确性、丰富性与及时性三方面。准确性指威胁情报的精准度,能够有效帮助客户减轻安全运营成本;丰富性对应威胁情报的覆盖度与颗粒度,体现了情报的信息含量;及时性指威胁情报在其生命周期结束后快速更新,保证情报信息的高可用。这三方面也是用户订购威胁情报产品的核心考量因素。
【厂商竞争力】从情报生产侧观察,安全大数据的采集以及对数据的分析挖掘能力成为企业的核心竞争力。安全大数据采集包括利用社区、沙箱、蜜罐等多种方式获取公开情报、恶意样本特征、基础网络信息等安全类基础数据,为威胁情报的生产提供“原料”。同时,各厂商借助大数据处理、人工智能等一系列技术手段,采用自动化方式将以上基础数据进行标准化、关联与拓线,并由专业分析师参与重点情报的定向分析,持续生产高质量、多维度的威胁情报。
威胁情报对于安全类产品的能力提升已经成为行业共识,业内主要厂商均已着手构建情报能力。但由于企业DNA所造就的在基础数据、服务经验、业务特征等方面的差异,因而各厂商的威胁情报产品能力也各有特点。下表列举了5家威胁情报主要厂商代表以及中小型威胁情报厂商的能力差异,我们可以看到各厂商如何基于自身禀赋及战略目标,规划设计威胁情报产品,以及产品落地情况。
2020年疫情爆发后,宏观经济不确定性增加,各行业均在努力削减成本,而网络安全项目实施周期较长,往往容易被客户率先搁置,受此影响,我国威胁情报市场规模增速有所下降,从2022年底疫情防控结束至2024年底的2年时间,网络安全行业重在“清库存”,后疫情时期的影响短期内限制了行业的进一步增长,2024年中国威胁情报市场规模达到16.1亿元,较23年小幅下跌0.9个百分点。
未来,在宏观层面,随着疫情的影响逐渐淡去,国家为促进经济增长于2024年下半年采取了一系列积极的宏观调控动作,同时地缘政治的不确定因素仍然存在,加之国家对网安的重视程度日益增长,推动网安攻防演练常态化,鼓励企业加大以“威胁情报”为代表的实战化能力建设投入。在微观层面,从需求端看,生成式人工智能显著降低攻击门槛,新的攻击工具及新型攻击手法日益增多,勒索软件攻击日益猖獗,需要企业依靠最新威胁情报来增强自身检测防护能力,对威胁情报类安全产品的需求预计将有所增强;从供给端看,威胁情报与其它各类安全产品的融合持续加深,作为网络安全高阶能力,已实现在网、端、综合防护等各类安全模块中的部署。因此,在供需两端的共同推动下,我们预计未来行业将进入稳步发展期。
目前,中国威胁情报属于低集中寡占型市场(CR4=43.0%,CR7=49.7%)。一方面,微步在线、腾讯安全、奇安信等行业领导厂商基于自身差异化能力,积极丰富产品矩阵,覆盖更广泛的需求场景,不断夯实企业竞争力,在行业中已形成一定优势。另一方面,以AI大模型、大数据开源组件为代表的新技术被持续融入威胁情报中;同时各厂商仍在探索情报能力与其他安全产品的融合方式与商业捆绑模式,因此以发展的视角看,积极的竞争与创新将成为行业的主基调。
微步成立于2015年,专注于精准、高效、智能的网络威胁发现和响应,开创并引领中国威胁情报行业的发展,打造了精准的威胁情报、高质量的漏洞情报、实时感知的态势情报为核心的下一代威胁情报,业务遍布国内外企业,在主流行业头部企业覆盖率超过90%。基于威胁情报TI及AI大模型分析能力,微步在线形成了包括安全情报、端点安全、流量安全、边界安全、云上安全、安全服务和安全工具的完整产品和服务矩阵。
在网络安全领域,黑客常通过DNS隧道侵入企业内部,使传统边界安全设备失效,迫使企业陷入被动防御的窘境。针对这一问题,微步在线的下一代威胁情报平台NGTIP通过对比收集到的多源日志(尤其是DNS日志)与平台内置的高质量情报库,实现对远控、挖矿、恶意软件等多类威胁的及时检测,将企业的防御关口提前。除了检测功能外,微步在线的下一代威胁情报平台NGTIP还能与SOC等安全产品协同,实施精确的防护措施,并通过多种渠道向安全管理人员通报威胁事件信息,提出处理建议,形成安全防护的闭环,助力企业有效应对网络安全挑战。
奇安信在威胁情报产品领域为客户提供一体化SaaS威胁情报产品(API)及本地化部署服务(TIP)。ALPHA威胁分析平台是面向安全分析师、事件响应人员的综合性威胁情报分析平台,以海量多维度网络空间安全数据为基础,实现报警研判、攻击定性、黑客画像以及威胁持续跟踪;API提供面向客户的接口查询服务,能够提供文件信誉、失陷检测、IP信誉、URL信誉和邮箱信誉等情报。TIP则能够帮助企业本地化部署,实现情报落地,帮助企业高效地利用情报发现威胁,增强自身的安全防护能力。
基于领先的情报威胁数据收集与分析能力,奇安信推出了一系列威胁情报应用产品,包含SOC、EDR、XDR、SOAR四类主要产品,SOC类产品包括聚焦攻防渗透和数据分析的威胁检测与分析系统(天眼)、更多分析维度和数据基础的态势感知与安全运营平台(NGSOC)及专为政府监管打造的监管态势感知平台;终端安全响应系统(EDR)能够基于威胁情报检测终端病毒、恶意软件和勒索软件,威胁检测率显著提高;XDR扮演平台中枢的角色,进行危机研判、自动上报和主动向防火墙推送策略达到防护阻断功能;SOAR根据威胁情报自动生成安全策略,形成可灵活调整的定制化防御方案。
腾讯安全专注AI、威胁情报、攻防对抗三大原子能力,聚焦数据安全治理、业务风险控制、安全运营管理、边界安全、端点安全、应用开发安全六大领域,助力政府及企业的数据、系统、业务安全。其中,腾讯威胁情报中心(TIX)依托腾讯安全二十余年网络安全实战经验和大数据智能分析能力,以多元的载体服务、多种集成方式、API云端查询服务、情报码解决方案、SDK集成方案五大产品能力,打造覆盖业务情报、攻击面情报和基础情报的威胁情报大数据平台,助力企业低成本获得全面情报能力,并全面提高产品预警和回应速度。目前TIX已覆盖金融、互联网、高科技企业、政府运营商、安全生态厂商等各行业用户。
攻击面管理是一款致力于解决用户互联网风险监测难题的SaaS化订阅服务产品,基于腾讯威胁情报能力,提供面向政企用户的互联网资产漏洞风险、内容风险与信息泄露风险等维度的监测服务,同时基于企业多维度信息关联测绘,实时监测互联网暴露面,发现暴露资产、端口、服务与潜在风险。
天际友盟于2015年成立后,创建烽火台安全威胁情报联盟,并陆续发布RedQueen威胁情报中心、SIC威胁情报平台、TIG威胁情报网关等产品,致力于为客户提供全生命周期的数字风险防护。目前,天际友盟在北京、上海、深圳、广州、珠海、江苏、西安、沈阳、长春、哈尔滨、长沙、石家庄、太原、香港、澳门等多地设有分支机构,并在2024年于新加坡设立了东南亚业务中心,开展亚太市场。
为保护企业品牌价值,天际友盟发布DRP数字风险防护服务。DRP通过调用威胁情报平台等能力,持续自动监测互联网存量数据和流量数据,及时发现存在的钓鱼欺诈、非法使用品牌标识等行为,并针对威胁行为采取下线措施,实现对网络欺诈和品牌滥用的打击,协助企业保护数字时代品牌价值。
【威胁情报标准】我国于2018年推出《信息安全技术网络安全威胁信息格式规范》,以推动技术发展与产业化应用。该规范虽然以国际标准为重要参考依据,但在国际通用与兼容性、技术细节与深度、情报共享与协作效率以及对新技术和新威胁的适应性方面与国际规范尚有差距;未来随着行业标准的完善并进一步与国际靠拢,我国威胁情报企业出海路径将更加通畅。
【数据安全合规】数据是威胁情报行业的重要基础资源,各个国家及地区对于本地数据的保护要求纷繁复杂。对各国当地法律法规的了解与遵守是威胁情报出海的重点和难点。我们看到,一些中国情报厂商已经在探索海外数据合法合规的使用方式,包括但不限于设立海外实体、处理敏感信息以及建立共享协议。
大模型出现后,人工智能在自然语言处理、知识学习与整合、泛化和迁移学习方面的能力实现了跃升。对于威胁情报行业,大模型在威胁情报生产与运营的多个环节均有赋能,提升专业人员产出威胁情报的效率、降低威胁情报的应用门槛、支撑其面向更多场景,赋能更多岗位的人员。目前,多数大模型赋能威胁情报的应用场景还在概念验证的阶段,未来,企业可以在例如大模型行业适配、大模型落地效率、性能优化、合规应用等多个角度发力,实现大模型在新应用场景的快速落地,提升自身竞争力。
目前,漏洞成为攻击者的重点利用方向,公开报告显示,2023年攻击者利用漏洞作为入侵初始步骤的情况增长180%,对企业带来较大危害。因而,结合威胁情报技术,以漏洞为主要防护对象的漏洞情报对企业安全防护的发展更具意义。如今,漏洞情报与企业资产结合紧密度不断上升。企业面临越来越多的资产存在漏洞,需具备的漏洞管理能力要求也越来越高,通过漏洞情报全面及时掌握最新漏洞信息,打通内部资产平台第一时间发现漏洞,并建立科学漏洞评估模型优先处置真正的高危漏洞对于企业变得尤为重要。
