近幾年，威脅情報(bào)逐漸走入人們的視線，從理論研究進(jìn)入落地實(shí)踐。作為企業(yè)安全防御“化被動(dòng)為主動(dòng)”的利器，威脅情報(bào)可以提前獲取攻擊者的攻擊工具、攻擊途徑、攻擊意圖等信息，直接推動(dòng)安全事件的快速響應(yīng)。

作為信息安全市場(chǎng)重要的一極，如今威脅情報(bào)市場(chǎng)究竟發(fā)展到了什么程度？威脅情報(bào)如何對(duì)企業(yè)安全防護(hù)形成助力？隨著威脅情報(bào)市場(chǎng)的成熟，各安全廠商又呈現(xiàn)出怎樣的競(jìng)爭(zhēng)態(tài)勢(shì)？

近日，賽迪發(fā)布的《中國(guó)威脅情報(bào)市場(chǎng)研究報(bào)告（2021）》（以下簡(jiǎn)稱“報(bào)告”）顯示，未來(lái)三年中國(guó)威脅情報(bào)市場(chǎng)仍將保持高速增長(zhǎng)，2023年市場(chǎng)規(guī)模將達(dá)到25.9億元，三年復(fù)合增長(zhǎng)率為46.9%。

報(bào)告還指出，2020年國(guó)內(nèi)威脅情報(bào)市場(chǎng)競(jìng)爭(zhēng)較為激烈，老牌安全廠商和新興安全廠商紛紛入局，微步在線憑借其在威脅情報(bào)領(lǐng)域深耕多年的綜合實(shí)力及先發(fā)優(yōu)勢(shì)位列第一。

雙重推力下，中國(guó)威脅情報(bào)市場(chǎng)迅猛發(fā)展

對(duì)于今天的信息安全圈而言，威脅情報(bào)是一個(gè)耳熟能詳?shù)募夹g(shù)詞匯，但早在2013年，威脅情報(bào)才第一次出現(xiàn)在Gartner的研究報(bào)告中。最初的威脅情報(bào)技術(shù)主要是以手動(dòng)挖掘?yàn)橹?，還有類(lèi)搜索引擎的威脅情報(bào)產(chǎn)品，相關(guān)的安全廠商寥寥無(wú)幾。

直至2015年，威脅情報(bào)開(kāi)始在國(guó)內(nèi)興起，微步在線、天際友盟和烽火臺(tái)聯(lián)盟等威脅情報(bào)廠商及平臺(tái)成立，360也推出了以威脅情報(bào)檢測(cè)能力為核心的天眼產(chǎn)品。

威脅情報(bào)的興起，一方面源于網(wǎng)絡(luò)安全環(huán)境的日益復(fù)雜，不同的攻擊行為更具產(chǎn)業(yè)化、團(tuán)伙化，入侵手法也愈發(fā)多樣化與復(fù)雜化，傳統(tǒng)以防御漏洞為主的安全策略在面對(duì)層出不窮的新型、持續(xù)性、高級(jí)威脅時(shí)，難以及時(shí)有效的檢測(cè)、攔截和分析，因此安全防護(hù)需求逐漸從傳統(tǒng)的、以漏洞為中心進(jìn)化為主動(dòng)型、以情報(bào)為中心的建設(shè)模式。

另一方面，大洋彼岸的美國(guó)已走在了威脅情報(bào)的前沿，在國(guó)家層面推行諸如《網(wǎng)絡(luò)安全情報(bào)分享法案》等法律法規(guī)，并從政府內(nèi)部開(kāi)始建立完整威脅情報(bào)體系；美國(guó)安全產(chǎn)業(yè)也逐步完善了威脅情報(bào)相關(guān)標(biāo)準(zhǔn)，以及在安全產(chǎn)品中添加了威脅情報(bào)的屬性，形成了較為成熟、完整的威脅情報(bào)產(chǎn)業(yè)鏈，從而為國(guó)內(nèi)安全從業(yè)者研究威脅情報(bào)提供了參照。

2018年，威脅情報(bào)在國(guó)內(nèi)的發(fā)展迎來(lái)了一個(gè)巨大的轉(zhuǎn)折點(diǎn)。2018年10月10日，我國(guó)正式發(fā)布威脅情報(bào)國(guó)家標(biāo)準(zhǔn)——《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》（GB/T 36643-2018），成為國(guó)內(nèi)第一個(gè)關(guān)于威脅情報(bào)的標(biāo)準(zhǔn)。政策層面的推動(dòng)，意味著威脅情報(bào)將打破現(xiàn)有環(huán)境束縛，走向國(guó)家標(biāo)準(zhǔn)的正軌，形成適合威脅情報(bào)穩(wěn)健發(fā)展的市場(chǎng)秩序。

2019年以后，隨著等保2.0標(biāo)準(zhǔn)、《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見(jiàn)》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等政策法規(guī)的陸續(xù)發(fā)布，威脅情報(bào)的政策環(huán)境日益完善，推動(dòng)著威脅情報(bào)市場(chǎng)穩(wěn)健發(fā)展。

報(bào)告顯示，從2018、2019兩年來(lái)看，中國(guó)威脅情報(bào)市場(chǎng)保持著高速增長(zhǎng)，情報(bào)相關(guān)廠商已經(jīng)可以提供比較全面的威脅情報(bào)產(chǎn)品。

與此同時(shí)，國(guó)家對(duì)網(wǎng)絡(luò)安全攻防演練工作的重視，也大力推動(dòng)了威脅情報(bào)的市場(chǎng)應(yīng)用。2019年以后，結(jié)合了高級(jí)威脅情報(bào)能力的XDR（Extended Detect and Response）產(chǎn)品逐漸出現(xiàn)在市場(chǎng)中，并被越來(lái)越多的企業(yè)客戶所接受。

經(jīng)過(guò)8年的發(fā)展，威脅情報(bào)在國(guó)內(nèi)落地生根，市場(chǎng)初具規(guī)模。

報(bào)告顯示，從行業(yè)結(jié)構(gòu)看，目前在威脅情報(bào)市場(chǎng)中占據(jù)主導(dǎo)地位的是政府、金融、電信、能源等行業(yè)。一方面是因?yàn)閲?guó)家“等保2.0”“關(guān)基”條例等政策規(guī)定對(duì)于威脅情報(bào)的硬性要求，另一方面也是因?yàn)檫@些行業(yè)信息化程度較高、受黑客黑產(chǎn)關(guān)注和攻擊較嚴(yán)重，因此對(duì)安全防護(hù)的要求也更高，更容易嘗試效果導(dǎo)向的新技術(shù)、新產(chǎn)品。

從區(qū)域結(jié)構(gòu)看，華北、華東和中南地區(qū)是中國(guó)威脅情報(bào)市場(chǎng)發(fā)展最為領(lǐng)先的三個(gè)區(qū)域，占市場(chǎng)的九成以上，這表明威脅情報(bào)的政策導(dǎo)向、行業(yè)導(dǎo)向較為明顯，正在從經(jīng)濟(jì)結(jié)構(gòu)較為成熟的區(qū)域向外輻射。

可以看到，中國(guó)威脅情報(bào)市場(chǎng)雖然起步較晚，但近幾年發(fā)展勢(shì)頭迅猛，在網(wǎng)絡(luò)安全環(huán)境和國(guó)家政策的雙重推動(dòng)下，威脅情報(bào)已成為政企機(jī)構(gòu)信息安全防護(hù)體系的標(biāo)配。

眾玩家入局威脅情報(bào)，質(zhì)與量成為競(jìng)爭(zhēng)基礎(chǔ)

威脅情報(bào)在國(guó)內(nèi)市場(chǎng)的興起，吸引了一大批玩家紛紛入局，既有微步在線這類(lèi)從威脅情報(bào)起家的創(chuàng)新網(wǎng)絡(luò)安全廠商，也不乏奇安信、360、綠盟科技、安恒信息等老牌安全廠商。

新老廠商的激烈競(jìng)爭(zhēng)，催化著威脅情報(bào)市場(chǎng)的成熟，也帶來(lái)了豐富的威脅情報(bào)產(chǎn)品，如：供安全產(chǎn)品檢測(cè)和報(bào)警排序使用的戰(zhàn)術(shù)情報(bào)或機(jī)讀情報(bào)；供安全運(yùn)營(yíng)人員做事件分析、安全狩獵使用的作戰(zhàn)情報(bào)；以及供安全管理者確定安全建設(shè)投入方向使用的戰(zhàn)略情報(bào)等。

同時(shí)，為了進(jìn)一步提升威脅情報(bào)的安全價(jià)值，大多數(shù)安全廠商開(kāi)始以平臺(tái)化的形式提供服務(wù)。在平臺(tái)產(chǎn)品上，使用先進(jìn)的大數(shù)據(jù)分析、知識(shí)圖譜、機(jī)器學(xué)習(xí)、人工智能及其他創(chuàng)新技術(shù)完成對(duì)海量數(shù)據(jù)的快速準(zhǔn)確分析、針對(duì)性識(shí)別和安全防范建議，最終為客戶提供智能化、自動(dòng)化的安全防護(hù)能力。

在實(shí)際落地應(yīng)用中，各家安全廠商也會(huì)將威脅情報(bào)作為一種高級(jí)安全能力，與防火墻、WAF、蜜罐、內(nèi)網(wǎng)隔離等設(shè)備聯(lián)動(dòng)，助于企業(yè)對(duì)高級(jí)威脅、新型威脅進(jìn)行識(shí)別和處理，解決來(lái)自各種安全設(shè)備的海量安全告警問(wèn)題，幫助企業(yè)來(lái)實(shí)現(xiàn)自身安全能力和體系的升級(jí)。

但值得注意的是，威脅情報(bào)價(jià)值體現(xiàn)所面臨的挑戰(zhàn)之一，是真正了解威脅情報(bào)的內(nèi)容，以及如何利用威脅情報(bào)提高自身的安全運(yùn)營(yíng)管理能力。威脅情報(bào)數(shù)據(jù)的重要性不僅在于可以收集基本的威脅指標(biāo)，還在于基于這些有效信息的分析可以幫助企業(yè)對(duì)安全局勢(shì)做出前瞻性判斷和決策。這充分考驗(yàn)著安全廠商在情報(bào)數(shù)據(jù)獲取和大數(shù)據(jù)分析方面的能力。

從情報(bào)數(shù)據(jù)獲取方式看，安全廠商在部署情報(bào)資源庫(kù)時(shí)，不但使用自有數(shù)據(jù)采集源，還會(huì)采取多種方式獲取其他情報(bào)源以豐富數(shù)據(jù)源的數(shù)量。收集到數(shù)據(jù)源之后，還會(huì)通過(guò)數(shù)據(jù)清洗、數(shù)據(jù)整合并對(duì)沖突數(shù)據(jù)進(jìn)行研判，來(lái)提升基礎(chǔ)數(shù)據(jù)的質(zhì)量，確保數(shù)據(jù)源的準(zhǔn)確性。

從情報(bào)數(shù)據(jù)類(lèi)型看，安全廠商在提供威脅情報(bào)產(chǎn)品和服務(wù)時(shí)，必須要做到情報(bào)數(shù)據(jù)盡量多樣化，包括動(dòng)態(tài)IP信譽(yù)庫(kù)、惡意域名、Hash值、惡意樣本、Passive DNS、歷史Whois數(shù)據(jù)等，還應(yīng)重視諸如數(shù)據(jù)泄漏、異常行為、情景分析等情報(bào)來(lái)源，關(guān)注與TTPs（攻擊目標(biāo)、攻擊工具、攻擊方法）相關(guān)的情報(bào)。

從數(shù)據(jù)分析方法看，安全廠商需重視新技術(shù)如數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)在特征提取、歸納、預(yù)測(cè)等方面帶來(lái)的顯著提升，并且通過(guò)大數(shù)據(jù)分析提取威脅情報(bào)中的有效信息，才能給出有效的預(yù)測(cè)和決斷依據(jù)。

事實(shí)上，并不是所有安全廠商都能實(shí)施專(zhuān)業(yè)的威脅情報(bào)分析。要從海量數(shù)據(jù)中深度挖掘線索，發(fā)現(xiàn)真正有價(jià)值的攻擊事件和難以發(fā)現(xiàn)的APT攻擊，是一件非常難的事情，在技術(shù)側(cè)的模型、算法和用戶側(cè)的場(chǎng)景、經(jīng)驗(yàn)上，都存在著較高的壁壘。

一方面，多數(shù)安全廠商基于自身的技術(shù)優(yōu)勢(shì)，將情報(bào)分析的研究重點(diǎn)放在信息采集和終端態(tài)勢(shì)感知技術(shù)方面，對(duì)威脅情報(bào)分析和質(zhì)量的評(píng)估較少關(guān)注，并未針對(duì)“情報(bào)”本身進(jìn)行充分分析。

另一方面，由于既熟悉情報(bào)分析相關(guān)理論又能熟練使用大數(shù)據(jù)分析方法、工具，且經(jīng)驗(yàn)豐富的專(zhuān)業(yè)情報(bào)分析人員數(shù)量嚴(yán)重不足，對(duì)威脅情報(bào)分析工作造成了一定的影響。隨著大數(shù)據(jù)環(huán)境下信息安全體系復(fù)雜性和威脅種類(lèi)的日益增加，海量數(shù)據(jù)的處理使得傳統(tǒng)的分析方法和工具難以勝任。

如微步在線這類(lèi)創(chuàng)新安全廠商，從成立之初便專(zhuān)注于威脅情報(bào)領(lǐng)域，可以說(shuō)威脅情報(bào)是其立身之本，在威脅情報(bào)數(shù)據(jù)的獲取和分析方面有著自己的獨(dú)門(mén)絕技。

微步在線的研發(fā)首先依賴于海量的基礎(chǔ)數(shù)據(jù)和精準(zhǔn)的分析模型，包括多年歷史Passive DNS、長(zhǎng)期的歷史Whois、SSL指紋數(shù)據(jù)、端口信息等長(zhǎng)久積累的全球化的基礎(chǔ)數(shù)據(jù)。

同時(shí)，微步在線的情報(bào)研發(fā)團(tuán)隊(duì)利用各種手段感知到新型威脅的存在，并進(jìn)一步研究威脅的投遞路徑、關(guān)聯(lián)關(guān)系等特點(diǎn)，撰寫(xiě)對(duì)應(yīng)的威脅狩獵模型進(jìn)行追蹤，最終依賴不同類(lèi)型的分析系統(tǒng)進(jìn)行威脅分析和情報(bào)的提取研發(fā)。

由于在基礎(chǔ)數(shù)據(jù)積累方面的大量投入，以及多年對(duì)數(shù)據(jù)模型的研發(fā)、迭代，微步在線的后臺(tái)情報(bào)研發(fā)系統(tǒng)已經(jīng)高度專(zhuān)業(yè)化和自動(dòng)化，日均新增高可信度且處于活躍狀態(tài)的有效情報(bào)可達(dá)上萬(wàn)條。

目前，微步在線在威脅情報(bào)安全云的核心產(chǎn)品研發(fā)上已持續(xù)投入了七年時(shí)間，推出了基于流量和終端的“云+流量+端點(diǎn)”全方位威脅檢測(cè)響應(yīng)產(chǎn)品矩陣，建立了足夠高的壁壘，因而保持著威脅情報(bào)領(lǐng)域的領(lǐng)軍位置。

同時(shí)，微步在線還有一個(gè)持續(xù)運(yùn)營(yíng)了6年的威脅情報(bào)社區(qū)，國(guó)內(nèi)大部分的安全從業(yè)者、愛(ài)好者都是該社區(qū)的用戶，持續(xù)為社區(qū)貢獻(xiàn)著自己的力量。當(dāng)越來(lái)越多的安全行業(yè)同行和企業(yè)客戶加入社區(qū)，微步在線的情報(bào)網(wǎng)絡(luò)效應(yīng)就越強(qiáng)，這也成為其他安全廠商難以復(fù)制的獨(dú)特生態(tài)。

正如報(bào)告所言，在未來(lái)網(wǎng)絡(luò)安全市場(chǎng)中，威脅情報(bào)基礎(chǔ)數(shù)據(jù)的質(zhì)與量將成為安全廠商競(jìng)爭(zhēng)的基礎(chǔ)。

深耕威脅情報(bào)，微步在線穩(wěn)坐第一寶座

隨著技術(shù)和產(chǎn)品的不斷成熟，威脅情報(bào)正在從潛力市場(chǎng)走向成熟市場(chǎng)。據(jù)報(bào)告顯示，未來(lái)三年中國(guó)威脅情報(bào)市場(chǎng)仍將保持高速增長(zhǎng)，2023年市場(chǎng)規(guī)模將達(dá)到25.9億元，三年復(fù)合增長(zhǎng)率為46.9%。

在激烈的市場(chǎng)競(jìng)爭(zhēng)中，誕生了如微步在線這樣的領(lǐng)軍者。從市占率看，微步在線憑借其在威脅情報(bào)領(lǐng)域深耕多年的綜合實(shí)力及先發(fā)優(yōu)勢(shì)，以13.6%的市場(chǎng)份額位列第一。從品牌能力看，
微步在線在技術(shù)能力、產(chǎn)品成熟度、市場(chǎng)影響力、服務(wù)能力等方面綜合實(shí)力同樣位列第一。

這樣的排名并不令人意外，畢竟微步在線早已盛名在外。作為國(guó)內(nèi)第一批威脅情報(bào)公司，微步在線已連續(xù)4年入選Gartner《全球威脅情報(bào)市場(chǎng)指南》，也是和全球威脅情報(bào)企業(yè)同臺(tái)競(jìng)技的中國(guó)廠商。

憑借出色的威脅情報(bào)能力，微步在線獲得了來(lái)自能源、金融、智能制造、互聯(lián)網(wǎng)、政府等行業(yè)的三百余家大型政企機(jī)構(gòu)的一致認(rèn)可，國(guó)家電網(wǎng)、中石油、工商銀行、招商銀行、OPPO、滴滴、京東、中信集團(tuán)、國(guó)家信息中心等均是其客戶。

值得注意的是，不同于傳統(tǒng)的本地化部署安全產(chǎn)品，微步在線采用基于云端的SECaaS（安全即服務(wù)）模式，以標(biāo)準(zhǔn)化部署為主。

隨著云計(jì)算在各行各業(yè)得到廣泛應(yīng)用，信息安全面臨著邊界模糊、環(huán)境復(fù)雜、威脅多樣化等多方挑戰(zhàn)，將云計(jì)算、大數(shù)據(jù)等技術(shù)與網(wǎng)絡(luò)安全行業(yè)進(jìn)行結(jié)合是必然趨勢(shì)。正如報(bào)告指出，安全廠商需要把自身安全能力云化后賦能給企業(yè)客戶，以SaaS訂閱模式提供威脅情報(bào)服務(wù)的交付方式將越來(lái)越受到市場(chǎng)歡迎。

目前，微步在線威脅情報(bào)SaaS服務(wù)的續(xù)約率接近95%，其訂閱式服務(wù)約占總收入80%左右，這一數(shù)據(jù)在國(guó)內(nèi)外SaaS企業(yè)中都屬于非常高的水平。高訂閱率和續(xù)約率的背后，凸顯了微步在線產(chǎn)品的價(jià)值以及用戶的滿意度。對(duì)于企業(yè)用戶而言，微步在線的威脅情報(bào)不僅僅是一個(gè)工具，更是代表了持續(xù)運(yùn)營(yíng)的安全能力，能夠滿足政企機(jī)構(gòu)在網(wǎng)絡(luò)安全實(shí)戰(zhàn)化方面的需求。

如今，微步在線圍繞威脅情報(bào)的產(chǎn)出研發(fā)、應(yīng)用、產(chǎn)品化等環(huán)節(jié)已經(jīng)形成專(zhuān)業(yè)的產(chǎn)業(yè)鏈條?；谕{情報(bào)的核心能力，微步在線通過(guò)流量檢測(cè)產(chǎn)品Threat Detection Platform（TDP）和端點(diǎn)威脅檢測(cè)與響應(yīng)產(chǎn)品OneEDR的深度結(jié)合，把終端和流量中獲得的威脅信息統(tǒng)一管理、分析，聚合出安全事件的完整攻擊鏈，從而實(shí)現(xiàn)了“云+端點(diǎn)+流量”場(chǎng)景的全面覆蓋，向XDR邁進(jìn)了一大步，加速了威脅情報(bào)能力的落地。

結(jié)語(yǔ)

在新的時(shí)代背景下，網(wǎng)絡(luò)攻擊方式趨于規(guī)?；?zhuān)業(yè)化，國(guó)際政治格局的新變化都促使企業(yè)的安全建設(shè)逐漸從合規(guī)走向?qū)崙?zhàn)化。因此中國(guó)政企機(jī)構(gòu)需要配備威脅情報(bào)這類(lèi)新的安全工具，以覆蓋數(shù)字安全領(lǐng)域，以提升組織的整體安全防護(hù)能力。如微步在線這類(lèi)安全廠商作為威脅情報(bào)市場(chǎng)的重要力量，將充分發(fā)揮威脅情報(bào)的真正價(jià)值，為政企安全決策做全面支撐。