在過去,，為了防止爆發(fā)網(wǎng)絡(luò)安全事件，企業(yè)的應(yīng)對(duì)方式就像“救火隊(duì)”,，主要采取流量檢測(cè),、行為感知、收集與分析等防御手段,，通過部署防火墻,、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品，配置相應(yīng)訪問控制策略和審計(jì)策略,，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行監(jiān)測(cè)和管控,，并在發(fā)生攻擊后進(jìn)行應(yīng)急響應(yīng)和備份恢復(fù)等,。

　　這樣的防御具有一定的狹隘性和滯后性，受限于對(duì)攻擊及整體態(tài)勢(shì)的識(shí)別和溯源,，大多也只是“就事論事”,，容易造成同類攻擊的反復(fù)中招和影響。如今,，業(yè)界普遍認(rèn)同被動(dòng)防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠,，需要實(shí)時(shí)掌握敵方的動(dòng)態(tài)和趨勢(shì)，以做出更完備的分析和響應(yīng),。威脅情報(bào),，就像這八百里加急快報(bào)送來(lái)的敵情。

　　根據(jù)Gartner的定義,，威脅情報(bào)是一種基于證據(jù)的知識(shí),，包括了情境、機(jī)制,、指標(biāo),、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的,、或者是即將出現(xiàn)的針對(duì)資產(chǎn)的威脅或危險(xiǎn),，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

　　簡(jiǎn)言之,，威脅情報(bào)可以幫助企業(yè)快速了解到攻擊方對(duì)自身的威脅信息,，從而幫助提前做好威脅防范、及時(shí)調(diào)整防御策略,，提前預(yù)知攻擊的發(fā)生,，從而實(shí)現(xiàn)較為精準(zhǔn)的動(dòng)態(tài)防御，更高效地進(jìn)行事后攻擊溯源,。

　　不同行業(yè),、不同規(guī)模

　　企業(yè)對(duì)威脅情報(bào)需求各異

　　威脅情報(bào)在國(guó)內(nèi)起步較晚，但近幾年發(fā)展勢(shì)頭迅猛,，在國(guó)內(nèi)網(wǎng)絡(luò)安全環(huán)境和國(guó)家政策的雙重推動(dòng)下,，威脅情報(bào)已成為政企機(jī)構(gòu)信息安全防護(hù)體系的標(biāo)配。頭豹研究院數(shù)據(jù)顯示,，預(yù)計(jì)未來(lái)五年中國(guó)威脅情報(bào)市場(chǎng)規(guī)模有望達(dá)到26.6億元,，金融、政府,、互聯(lián)網(wǎng)等信息化程度較高,、受黑客黑產(chǎn)關(guān)注和攻擊較為嚴(yán)重的行業(yè)企業(yè)，是威脅情報(bào)消費(fèi)的主要用戶,。

　　沙利文聯(lián)合頭豹發(fā)布的《2022年中國(guó)威脅情報(bào)市場(chǎng)報(bào)告》（以下簡(jiǎn)稱報(bào)告）,，對(duì)不同行業(yè)領(lǐng)域,、不同規(guī)模企業(yè)的威脅情報(bào)需求和市場(chǎng)特征進(jìn)行了梳理，并對(duì)中國(guó)威脅情報(bào)市場(chǎng)發(fā)展前景做出分析和推測(cè),。

　　根據(jù)報(bào)告,，不同行業(yè)用戶對(duì)于威脅情報(bào)的需求不完全相同。

　　金融行業(yè)

　　飽受釣魚欺詐,、安全漏洞及數(shù)據(jù)泄露的侵害,，針對(duì)已經(jīng)進(jìn)入內(nèi)網(wǎng)的威脅無(wú)法進(jìn)行及時(shí)發(fā)現(xiàn),、響應(yīng),，安全人員無(wú)法定位關(guān)鍵威脅并進(jìn)行處置。亟需提升內(nèi)網(wǎng)失陷威脅檢測(cè)能力,，需要用情報(bào)賦能安全產(chǎn)品的分析能力,。

　　政府行業(yè)

　　勒索病毒和釣魚欺詐的高發(fā)領(lǐng)域，高級(jí)威脅事件發(fā)現(xiàn)能力普遍較弱,，安全運(yùn)營(yíng)人員短缺,，威脅檢測(cè)分析工作主要依靠廠商人員，安全運(yùn)營(yíng)工作自主化,、自動(dòng)化,、智能化、可視化程度低,。需要將情報(bào)能力融入傳統(tǒng)政務(wù)安全,，建立檢測(cè)、分析,、響應(yīng)三位一體的安全體系,，依靠取證溯源提升安全專業(yè)能力。

　　互聯(lián)網(wǎng)行業(yè)

　　長(zhǎng)期面對(duì)層出不窮的新型攻擊手段與未知威脅,，攻擊呈現(xiàn)出復(fù)雜性,、隱蔽性、針對(duì)性的趨勢(shì),，被動(dòng)防御模式很容易被繞過,。構(gòu)建情報(bào)驅(qū)動(dòng)的業(yè)務(wù)安全體系迫在眉睫，以實(shí)現(xiàn)云端和本地的全面監(jiān)控,。

　　能源行業(yè)

　　內(nèi)網(wǎng)易被感染,，隔離內(nèi)網(wǎng)無(wú)法做到萬(wàn)無(wú)一失，且通常分支機(jī)構(gòu)多,、分布地域廣,，資深安全分析人員短缺，安全運(yùn)營(yíng)集中管控難度大,。隔離內(nèi)網(wǎng)威脅檢測(cè)能力和威脅事件分析及處置能力亟需提升,，運(yùn)用情報(bào)加持總部分部集中管控,，一點(diǎn)感知、全網(wǎng)聯(lián)動(dòng),。

　　醫(yī)療行業(yè)

　　信息系統(tǒng)安全建設(shè)能力相對(duì)其他行業(yè)薄弱,，醫(yī)院業(yè)務(wù)系統(tǒng)80％部署于虛擬化環(huán)境，缺乏東西向安全防護(hù),，終端數(shù)量多,、分布范圍廣，運(yùn)維工作難度大,。利用情報(bào)輔助及時(shí)發(fā)現(xiàn),、處理潛在威脅，加強(qiáng)對(duì)未知威脅的感知,，加強(qiáng)對(duì)終端安全管理和數(shù)據(jù)中心虛擬化安全防護(hù),。

　　而如果從企業(yè)規(guī)模的維度來(lái)分析，威脅情報(bào)服務(wù)按照需求分層發(fā)展,。

　　大型企業(yè)

　　將威脅情報(bào)作為基礎(chǔ)設(shè)施的一環(huán),，意在建設(shè)自身威脅情報(bào)能力，實(shí)現(xiàn)對(duì)多源威脅情報(bào)采集,、處理,、分析、生產(chǎn),，結(jié)合自身業(yè)務(wù)需求構(gòu)建網(wǎng)絡(luò)安全威脅情報(bào)運(yùn)營(yíng)的閉環(huán),，因此多傾向投資威脅情報(bào)數(shù)據(jù)、威脅情報(bào)平臺(tái)建設(shè)能力與定制化服務(wù),。

　　中小企業(yè)

　　重視在第一時(shí)間識(shí)別和檢測(cè)網(wǎng)絡(luò)中的攻擊事件或異常行為,，多采購(gòu)可直接消費(fèi)的威脅情報(bào)，如可定性,、可研判,、可攔截、可溯源的高質(zhì)量威脅情報(bào),，或內(nèi)嵌威脅情報(bào)能力的集約化安全服務(wù)（威脅檢測(cè),、響應(yīng)處置、安全運(yùn)營(yíng),、事件分析等）,。

　　威脅情報(bào)服務(wù)痛點(diǎn)明顯

　　標(biāo)準(zhǔn)化賦能安全協(xié)同生態(tài)建設(shè)

　　再來(lái)看威脅情報(bào)服務(wù)提供端，報(bào)告分析,，中國(guó)威脅情報(bào)服務(wù)目前存在門檻高,、共享難、用戶選擇困難、情報(bào)利用率低等痛點(diǎn),；許多廠商基于自身技術(shù)優(yōu)勢(shì),，將情報(bào)分析的研究重點(diǎn)放在信息采集和終端態(tài)勢(shì)感知技術(shù)方面，而對(duì)威脅情報(bào)分析和質(zhì)量關(guān)注較少,。

　　然而,，威脅情報(bào)服務(wù)的關(guān)鍵不在于情報(bào)收集，而在于對(duì)信息化數(shù)據(jù),、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的整合,，從海量數(shù)據(jù)中深度挖掘線索，發(fā)現(xiàn)真正有價(jià)值的攻擊事件和藏匿很深的APT攻擊,，這對(duì)于很多組織機(jī)構(gòu)而言門檻較高,。類似威脅捕手、安全大數(shù)據(jù)分析師這樣的威脅情報(bào)相關(guān)新興安全職業(yè)崗位的人才嚴(yán)重匱乏,。

　　基于用戶需求和政策推動(dòng),，國(guó)內(nèi)威脅情報(bào)市場(chǎng)蓬勃發(fā)展,，許多專業(yè)安全廠商陸續(xù)推出帶有自身特點(diǎn)的產(chǎn)品或服務(wù),，其中既有綜合型網(wǎng)絡(luò)安全廠商，也有獨(dú)立的專業(yè)威脅情報(bào)廠商,。

　　微步在線

　　構(gòu)建了一個(gè)廣闊的威脅情報(bào)云,，通過對(duì)互聯(lián)網(wǎng)以及多個(gè)渠道中開放數(shù)據(jù)的不斷采集，再對(duì)這些數(shù)據(jù)進(jìn)行加工,、分析,，進(jìn)而生產(chǎn)出威脅情報(bào)，去感知攻擊者的行為,、動(dòng)態(tài)以及新變化,。近期，微步在線品牌升級(jí)定位為數(shù)字時(shí)代網(wǎng)絡(luò)威脅應(yīng)對(duì)專家,，基于海量情報(bào)數(shù)據(jù)的安全云為核心能力,，推出了全面覆蓋從檢測(cè)到響應(yīng)的產(chǎn)品矩陣，包括威脅感知,、威脅情報(bào)管理,、云化端點(diǎn)響應(yīng)、云化互聯(lián)網(wǎng)安全接入,、安全分析社區(qū)和應(yīng)急響應(yīng)服務(wù)等多個(gè)場(chǎng)景,，不斷將領(lǐng)先的威脅情報(bào)能力產(chǎn)品化，為企業(yè)威脅發(fā)現(xiàn)與安全運(yùn)營(yíng)工作更好的賦能,。

　　永安在線

　　長(zhǎng)期致力于威脅情報(bào)領(lǐng)域技術(shù)的研究和應(yīng)用,，曾推出業(yè)內(nèi)首個(gè)業(yè)務(wù)情報(bào)搜索引擎、面向全球開源星云風(fēng)控系統(tǒng)、發(fā)布首個(gè)業(yè)務(wù)安全藍(lán)軍測(cè)試標(biāo)準(zhǔn),、業(yè)內(nèi)首發(fā)IPv6風(fēng)險(xiǎn)識(shí)別引擎等,。其新一代業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺(tái)，基于對(duì)黑產(chǎn)產(chǎn)業(yè)鏈的長(zhǎng)期跟蹤挖掘,，通過全網(wǎng)部署的蜜罐體系和風(fēng)險(xiǎn)感知技術(shù),，每日數(shù)億的情報(bào)收集、運(yùn)營(yíng)和實(shí)時(shí)更新能力,，從情報(bào)維度幫助企業(yè)提升業(yè)務(wù)風(fēng)控攻防效率和數(shù)據(jù)安全防護(hù)能力,，保障企業(yè)在線業(yè)務(wù)健康發(fā)展。

　　天際友盟

　　定位于威脅情報(bào)的分析者,、加工者和搬運(yùn)者,，指出“生態(tài)協(xié)同”是真正將威脅情報(bào)實(shí)現(xiàn)價(jià)值共享的方式，其打造TI Inside模式,，除了自身產(chǎn)品產(chǎn)生的威脅情報(bào)外,，還實(shí)時(shí)匯聚全球200+情報(bào)源，包括開源數(shù)據(jù),、商業(yè)數(shù)據(jù),，以及其他從合法渠道獲得、再經(jīng)過加工,、分析,、整理而成的數(shù)據(jù)，打造可靠,、有效,、易用、適用性強(qiáng)的威脅情報(bào)解決方案,。

　　報(bào)告認(rèn)為,，標(biāo)準(zhǔn)化是威脅情報(bào)共享的必要前提，中國(guó)國(guó)家標(biāo)準(zhǔn)體系的建設(shè)尚處于起步階段,，在未來(lái)將進(jìn)一步完善威脅情報(bào)共享體系和機(jī)制,，夯實(shí)威脅情報(bào)基礎(chǔ)，賦能安全協(xié)同生態(tài)建設(shè),。為加強(qiáng)多源異構(gòu)威脅數(shù)據(jù)整合,、提取和分析，提升網(wǎng)絡(luò)威脅情報(bào)準(zhǔn)確性,，可基于網(wǎng)絡(luò)安全知識(shí)圖譜技術(shù),，實(shí)現(xiàn)關(guān)鍵威脅要素的融合與關(guān)聯(lián)分析，形成統(tǒng)一高質(zhì)量的威脅基礎(chǔ)知識(shí)庫(kù),，構(gòu)建威脅情報(bào)能力,。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<