沙利文联合头豹发布《2022年中国威胁情报市场报告》,该市场报告研究课题为2022年中国威胁情报市场报告,以威胁情报系统、态势感知、情报社区等产品为核心研究对象,研究周期为2022年上半年。

本研究项目将对威胁情报系统在金融、互联网、零售、文娱、电信、能源、物流、交通、制造、能源、医疗、政务等领域的工作流程、市场特征、发展历程、竞争态势等信息进行重点梳理,并从价值创造、技术发展维度出发对市场发展前景做出推测或预判。

本报告独家发布于头豹科技创新网

全文字数:3,958,精读时间:8分钟

“情报处理”或“情报循环”是威胁情报工作的基本流程,包括确定需求、收集情报、分析情报和传播分享四个阶段。

情报过程始于了解团队或个人负责的威胁情报工作的要求。一旦组织确定了这些要求,分析师就可以专注于回答决策者的关键问题,并尽可能优化剩余的流程。确定威胁情报需求后,下一步需要收集情报信息。随着大规模入侵及攻击活动出现在新闻报道中,威胁情报团队对该来源的重视程度也越来越高,绝大多数网络威胁情报团队利用媒体报道等外部来源作为情报收集源,其次是来自特定威胁情报供应商的威胁源。

威胁情报分析过程比较复杂,且个人化特征明显,一般很难捕捉到,但以问卷或书面回答的形式可对此有较好的了解。威胁情报最常用的分析方法是直觉或基于经验的判断,杀伤链模型、钻石模型、MITRE ATT&CK框架等概念模型也经常被用到,结构分析技术(SAT)应用最少。

经过分析环节,威胁情报即完成了整个情报处理流程,接下来需要及时到达正确的受众,情报传播因信息类型和紧迫性而异。电子邮件文档是威胁情报最常用传播方式,其次是报告。这表明威胁情报传播更注重叙事形式,而不仅是IP地址、域等技术信息。

美国是全球最早开展威胁情报工作的国家。之后,英国、欧盟等国家和地区也先后开展威胁情报工作。威胁情报自2015年前后正式进入国内市场以来,在中国发展势头迅猛。

从2018、2019年开始,中国威胁情报市场保持着高速增长,情报相关厂商已经可以提供比较全面的威胁情报产品。与此同时,国家对网络安全攻防演练工作的重视,也大力推动了威胁情报的市场应用。结合了高级威胁情报能力的XDR产品逐渐出现在市场中,并被越来越多的企业客户所接受。

中国威胁情报市场虽然起步较晚,但近几年发展势头迅猛,在网络安全环境和国家政策的双重推动下,威胁情报已成为政企机构信息安全防护体系的标配。

 

  •  

    美国

     

 

2003年,发布《网络空间安全国家战略》提出建立信息共享与分析中心,接收实时网络威胁和漏洞数据;2010年,发布《国土安全网络和物理基础设施保护法》进一步凸显威胁情报重要性;2015年,建成全国性的网络威胁情报中枢,构建“网络天气地图”威胁情报管理体系。

 

  •  

    欧盟

     

 

2018年,欧盟网络与信息安全局发布《探索威胁情报平台机遇与挑战》,强调威胁情报平台的重要性;2019年,发布《2018年ENISA威胁全景报告》,提升欧盟网络威胁情报能力;《增强欧盟未来网络安全战略价值链分析》强调建立网络安全威胁风险及实践信息等共享利用体系;2020年,爱沙尼亚和美国启动为期5年的网络威胁情报共享项目,提升网络威胁情报共享的自动化水平。

 

  •  

    英国

     

 

英国国家网络安全中心搭建了网络威胁情报实时交换平台CiSP社区;2020年,推出网络威胁情报平台IATITAN,帮助投资经理保护本公司免受网络攻击。

 

  •  

    中国

     

 

2015年,威胁情报进入中国市场,微步在线、天际友盟和烽火台联盟等威胁情报厂商及平台相继成立;2018年,国内第一个关于威胁情报的标准《信息安全技术网络安全威胁信息格式规范》正式发布;2019年后,威胁情报的政策环境日益完善,推动威胁情报市场稳健发展。

中国威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点;市场提供的服务种类繁多,但缺乏可落地的一站式情报服务方案。

威胁情报共享对于企业和行业而言非常重要,然而很多企业想要从共享威胁情报中获益,自己却不想提供太多的情报信息。企业往往会与安全厂商签订有关威胁情报的保密协议,以至于这些情报不能被供应商用于更广泛的商业用途。在这种情况下,情报联盟易于陷入“纳什均衡”,导致威胁情报很难聚合、流通和分享。

许多安全厂商基于自身的技术优势,将情报分析的研究重点放在信息采集和终端态势感知技术方面,而对威胁情报分析和质量关注较少。然而,威胁情报服务的关键不在于情报收集,而在于对信息化数据、业务数据和安全数据的整合,从海量数据中深度挖掘线索,发现真正有价值的攻击事件和藏匿很深的APT攻击,这对于很多组织机构而言门槛较高。类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。

当前威胁情报市场提供的服务种类繁多,但只有极少数的供应商能提供定制化的情报服务;企业用户比较选型难度大,“选择困难症”非常普遍。在所有不同类型的威胁情报服务中,仍然缺乏能够帮助企业真正了解情报内容、并基于有效的信息分析指导企业对安全局势做出前瞻性判断和决策的一站式情报服务的可落地方案。

标准化是威胁情报共享的必要前提,中国国家标准体系的建设尚处于起步阶段,在未来将进一步完善威胁情报共享体系和机制,夯实威胁情报基础,赋能安全协同生态建设。

标准化工作是推动威胁情报技术发展的前提和重要环节。中国应借鉴国际相关经验,从国家战略高度部署和落实威胁情报标准化工作,为标准的管理、更新和推广提供政策指导和技术保障;以“政、用、产、学、研”的合作形式完成资源上的协同与集成化,真正做到各司其职、各尽其职;加快威胁情报领域技术的发展,从而提升我国网络空间安全态势感知水平,完全抛弃过去的“合规化产品”,构建起体系化的主动防御。

为加强多源异构威胁数据整合、提取和分析,提升网络威胁情报准确性,可基于网络安全知识图谱技术,实现关键威胁要素的融合与关联分析,形成统一高质量的威胁基础知识库,构建威胁情报能力。

知识图谱可以将大规模碎片化知识转换成直观的结构化链接表达,便于更加智能的访问、操作,并在一定程度上实现智能辅助决策。在网络安全领域,知识图谱技术可优化威胁情报融合和关联分析方法,实现网络安全态势的整体感知和预测,进一步提升威胁狩猎的效率和准确性。

标准并非用于描述单个威胁情报,而是应当作用于整个网络威胁生态环境当中。因此,在今后的标准框架设计中,应当充分考虑基于威胁情报的共享机制、共享平台、智能化应用等生态元素,切实做好网络威胁情报生态环境的底层支持。建立起行之有效的奖惩制度,对于积极应用国家标准并提出建设性意见的企业和组织提供合理的奖励。同时加强相关法律法规的建设,引入正确的道德舆论导向,促进形成良性的网络威胁情报生态环境。

针对不同规模企业,威胁情报服务按照需求分层发展;针对不同细分领域及行业,威胁情报服务依照不同应用场景进一步细化。

威胁情报需求的发展与企业数字化转型、企业上云等趋势密切相关。标准化威胁情报服务虽可满足企业一般性需求,但对不同攻击者群体、不同攻击技术以及不同企业类型仍具有差异。客户更倾向于针对内部需求,实现多源威胁情报数据生产、处理、分析、应用等流程,推动企业网络安全运行和日常经营管理健康发展。

由于不同行业用户对于威胁情报的需求不完全相同,例如能源行业、教育行业关注和政府行业关注的威胁情报存在很大差别。目前,国内部分安全厂商已经在情报场景细分方面进行了一些实践。例如,威胁情报与防火墙结合落地时,中小企业更关注勒索软件、泄密行为或者病毒、木马等普通威胁,而不关注APT;但政府机构格外关注APT,因此厂商会针对中小企业用户的防火墙和政府机构的防火墙推送不同的威胁情报。

沙利文联合头豹根据增长指数和创新指数两大评估维度,通过威胁情报中心基础能力、威胁情报机制、威胁情报共享、平台用户友好程度、威胁情报生态构建、威胁情报消费模式、威胁情报分析及联动、平台市场影响力八项大指标,对中国威胁情报市场竞争力进行了多因素分层次评估。由“创新指数”和“增长指数” 综合评分,微步在线、腾讯安全、奇安信、天际友盟位列中国威胁情报市场领导者梯队。

微步在线:微步在线围绕威胁情报的产出研发、应用、产品化等环节形成了专业的产业链条。基于威胁情报的核心能力,微步在线把终端和流量中获得的威胁信息统一管理、分析,聚合出安全事件的完整攻击链,从而实现了“云+端点+流量”场景的全面覆盖,向XDR大步迈进,加速威胁情报能力的落地。微步在线将强大的情报能力赋能DNS服务,在B端为企业提供互联网安全接入服务——企业无需任何硬件,分钟级配置即可实现多职场统一管控,保证员工设备在任何时间任何地点都能安全地接入互联网,实现低成本高威胁防护。

腾讯安全:腾讯安全集成基础情报、攻击面管理、业务情报三大情报能力,通过 多种交付方式满足不同用户需求,与其他安全产品结合提升安全解决方案的检测与响应能力,提供一站式情报服务。依托腾讯安全在云、管、端以及业务侧积累的安全产品和数据,目前腾讯威胁情报中心拥有国内最完整的情报数据触点,每日安全数据处理量可达30,000亿。

奇安信:奇安信融合多数据情报来源和五大安全组件,助力客户构建本地情报生态体系、打造稳定可靠运营体系、扩展威胁情报业务能力、增强本地科技创新能力和筑建安全可控分析架构。奇安信拥有全球独有样本库,自有云管端多重来源,总样本超100亿;最大互联网漏洞库——补天漏洞响应平台,总漏洞数超330,000;最大存活网址库覆盖国内大部分政企,日查询100亿条,日分析50亿条。

天际友盟:天际友盟对多种渠道来源的威胁情报采用统一的、基于自主知识产权和内部团队进行威胁情报处理、聚合和输出;致力于构建开放的威胁情报生态,实现情报价值最大化。天际友盟自成立之初就坚持构建威胁情报生态,现已实现与奇安信、H3C、IBM等龙头企业的打通。TI Inside模式能够实现威胁情报的生产和消费闭环,让威胁情报有效流动起来,进而拉高企业整体防御水位,缩短检测响应周期,提升风险预测能力和分析水平。