2022年中国威胁情报市场报告2022 China Threat Intelligence Market Report2022年中国脅威情報市場報告报告标签：威胁情报、网络安全、APT攻击、API（摘要版）报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。 中国：云安全系列沙利文市场研读www.leadleo.com400-072-55882“情报处理”或“情报循环”是威胁情报工作的基本流程，包括确定需求、收集情报、分析情报和传播分享四个阶段。自2015年前后正式进入国内市场以来，威胁情报在中国发展势头迅猛。威胁情报市场形态标准化是威胁情报共享的必要前提，中国国家标准体系的建设尚处于起步阶段，在未来将进一步完善威胁情报共享体系和机制，夯实威胁情报基础，赋能安全协同生态建设。针对不同规模企业，威胁情报服务按照需求分层发展；针对不同细分领域及行业，威胁情报服务依照不同应用场景进一步细化。威胁情报市场发展报告要点速览沙利文谨此发布中国云安全系列报告之《2022年中国威胁情报市场报告》年度报告。本报告旨在分析中国威胁情报市场的发展现状、产品特点、新动向及发展趋势，并判断中国威胁情报市场竞争态势，反映该细分市场领导者品牌的差异化竞争优势。2022年第二季度，沙利文联合头豹研究院对威胁情报领域核心产品进行了下游用户体验调查。受访者来自泛互联网、金融、医疗、教育、能源、政务等多个领域，所在组织规模不一，细分领域有别。本市场报告提供的威胁情报趋势分析亦反映出威胁情报行业整体的动向。报告最终对市场排名、领导者的判断仅适用于本年度中国威胁情报发展周期。观点提炼中国威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点；市场提供的服务种类繁多，但缺乏可落地的一站式情报服务方案。威胁情报服务痛点 中国：云安全系列沙利文市场研读www.leadleo.com400-072-55883威胁情报工作流程总览•“情报处理”或“情报循环”是威胁情报工作的基本流程，包括确定需求、收集情报、分析情报和传播分享四个阶段威胁情报工作流程•决策者需要明确所需要的威胁情报类型，以及使用威胁情报所期望达到的目标；•决策者通常可以明确需要保护的资产和业务，评估其遭受破坏和损失时的潜在影响，明确其优先级顺序，最终确认所需要的威胁情报类型。01确定需求收集情报威胁情报收集从来源上包含如下渠道：•企业内部网络、终端和部署的安全设备产生的日志数据•订阅的安全厂商、行业组织产生的威胁数据•新闻网站、博客、论坛、社交网络•一些较为封闭的来源，如暗网，地下论坛02分析情报•分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息，并形成准确而有意义的知识用于后续步骤的过程；•常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain，钻石分析法，MITRE ATT&CK等。03传播与分享•对于企业内部安全人员，不同类型和内容的威胁情报会共享给如管理层，安全主管，应急响应人员，IT人员等；•对于企业内部采用的安全架构实现和安全防御设备，威胁情报可以分发并应用到SOC，SIEM，EDR等产品中；•对于乙方的威胁情报服务商通常会采用威胁情报平台(TIP)，或者直接以威胁情报数据服务提供，其中通常采用的威胁情报分享格式为STIX和OpenIOC。04q网络威胁情报流程与框架：需求，收集，分析及传播情报过程始于了解团队或个人负责的威胁情报工作的要求。一旦组织确定了这些要求，分析师就可以专注于回答决策者的关键问题，并尽可能优化剩余的流程。确定威胁情报需求后，下一步需要收集情报信息。随着大规模入侵及攻击活动出现在新闻报道中，威胁情报团队对该来源的重视程度也越来越高，绝大多数网络威胁情报团队利用媒体报道等外部来源作为情报收集源，其次是来自特定威胁情报供应商的威胁源。威胁情报分析过程比较复杂，且个人化特征明显，一般很难捕捉到，但以问卷或书面回答的形式可对此有较好的了解。威胁情报最常用的分析方法是直觉或基于经验的判断，杀伤链模型、钻石模型、MITRE ATT&CK框架等概念模型也经常被用到，结构分析技术（SAT）应用最少。经过分析环节，威胁情报即完成了整个情报处理流程，接下来需要及时到达正确的受众，情报传播因信息类型和紧迫性而异。电子邮件文档是威胁情报最常用传播方式，其次是报告。这表明威胁情报传播更注重叙事形式，而不仅是IP地址、域等技术信息。来源：天极智库，微步在线，头豹研究院 中国：云安全系列沙利文市场研读www.leadleo.com400-072-55884威胁情报服务发展历程•美国是全球最早开展威胁情报工作的国家。之后，英国、欧盟等国家和地区也先后开展威胁情报工作。威胁情报自2015年前后正式进入国内市场以来，在中国发展势头迅猛威胁情报在全球范围的发展历程q美国2003年，发布《网络空间安全国家战略》提出建立信息共享与分析中心，接收实时网络威胁和漏洞数据；2010年，发布《国土安全网络和物理基础设施保护法》进一步凸显威胁情报重要性；2015年，建成全国性的网络威胁情报中枢，构建“网络天气地图”威胁情报管理体系。q欧盟2018年，欧盟网络与信息安全局发布《探索威胁情报平台机遇与挑战》，强调威胁情报平台的重要性；2019年，发布《2018年ENISA威胁全景报告》，提升欧盟网络威胁情报能力；《增强欧盟未来网络安全战略价值链分析》强调建立网络安全威胁风险及实践信息等共享利用体系；2020年，爱沙尼亚和美国启动为期5年的网络威胁情报共享项目，提升网络威胁情报共享的自动化水平。q英国英国国家网络安全中心搭建了网络威胁情报实时交换平台CiSP社区；2020年，推出网络威胁情报平台IATITAN，帮助投资经理保护本公司免受网络攻击。q中国2015年，威胁情报进入中国市场，微步在线、天际友盟和烽火台联盟等威胁情报厂商及平台相继成立；2018年，国内第一个关于威胁情报的标准《信息安全技术网络安全威胁信息格式规范》正式发布；2019年后，威胁情报的政策环境日益完善，推动威胁情报市场稳健发展。来源：国家工业信息安全发展研究中心，CCID，头豹研究院q中国威胁情报市场发展势头迅猛从2018、2019年开始，中国威胁情报市场保持着高速增长，情报相关厂商已经可以提供比较全面的威胁情报产品。与此同时，国家对网络安全攻防演练工作的重视，也大力推动了威胁情报的市场应用。结合了高级威胁情报能力的XDR产品逐渐出现在市场中，并被越来越多的企业客户所接受。中国威胁情报市场虽然起步较晚，但近几年发展势头迅猛，在网络安全环境和国家政策的双重推动下，威胁情报已成为政企机构信息安全防护体系的标配。 中国：云安全系列沙利文市场研读www.leadleo.com400-072-55885威胁情报用户画像梳理•目前阶段，金融、政府、互联网等行业信息化程度较高、受黑客黑产关注和攻击较为严重，是威胁情报服务的主要用户不同行业威胁情报用户需求一览政府行业金融行业互联网行业能源行业教育行业医疗行业•针对已经进入内网的威胁无法进行及时发现、响应•威胁发现能力不足，安全人员无法定位关键威胁并进行处置•内网易于被感染，隔离内网无法做到万无一失•分支机构多，分布地域广，安全运营集中管控难度大•资深安全分析人员短缺，威胁事件分析及处置能力亟需提升•高级威胁事件发现能力弱•安全运营人员短缺，威胁检测分析工作主要依靠厂商人员•安全运营工作自主化、自动化、智能化、可视化程度低•新型攻击手段与未知威胁层出不穷•攻击呈现出复杂性、隐蔽性、针对性的趋势•被动防御模式很容易被绕过•校园网信息安全基础建设薄弱•原有安全防护体系的适应性和防护能力存在不足现存问题核心需求网络安全威胁分布态势•安全态势集中呈现 •提升内网失陷威胁检测能力 •情报赋能安全产品分析能力•情报赋能传统政务安全•检测、分析、响应三位一体•取证溯源提升安全专业能力•云端本地全面监控•情报赋能传统安全与业务风险•构建情报驱动的安全体系•提升隔离内网威胁检测能力•总部分部集中管控•“一点感知，全网联动”•主动防御•协同运营能力钓鱼欺诈安全漏洞数据泄露勒索病毒钓鱼欺诈安全漏洞数据泄露勒索病毒钓鱼欺诈安全漏洞数据泄露勒索病毒钓鱼欺诈安全漏洞数据泄露勒索病毒钓鱼欺诈安全漏洞数据泄露勒索病毒钓鱼欺诈安全漏洞数据泄露勒索病毒•及时发现，及时处理•终端安全管理•数据中心虚拟化安全防护•未知威胁感知•医疗信息系统安全建设能力相对其他行业薄弱•医院业务系统80%部署于虚拟化环境，缺乏东西向安全防护•终端数量多、分布范围广，运维工作难度大来源：天际友盟双子座实验室，微步在线，奇安信，头豹研究院完整版登录www.leadleo.com搜索《2022年中国威胁情报市场报告》 中国：云安全系列沙利文市场研读www.leadleo.com400-072-55886威胁情报服务痛点分析•国内威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点；市场提供的服务种类繁多，但缺乏可落地的一站式情报服务方案威胁情报服务痛点一览q情报分享博弈困境威胁情报共享对于企业和行业而言非常重要，然而很多企业想要从共享威胁情报中获益，自己却不想提供太多的情报信息。企业往往会与安全厂商签订有关威胁情报的保密协议，以致于这些情报不能被供应商用于更广泛的商业用途。在这种情况下，情报联盟易于陷入“纳什均衡”，导致威胁情报很难聚合、流通和分享。q缺乏可落地的一站式情报服务方案许多安全厂商基于自身的技术优势，将情报分析的研究重点放在信息采集和终端态势感知技术方面，而对威胁情报分析和质量关注较少。然而，威胁情报服务的关键不在于情报收集，而在于对信息化数据、业务数据和安全数据的整合，从海量数据中深度挖掘线索，发现真正有价值的攻击事件和藏匿很深的APT攻击，这对于很多组织机构而言门槛较高。类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。当前威胁情报市场提供的服务种类繁多，但只有极少数的供应商能提供定制化的情报服务；企业用户比较选型难度大，“选择困难症”非常普遍。在所有不同类型的威胁情报服务中，仍然缺乏能够帮助企业真正了解情报内容、并基于有效的信息分析指导企业对安全局势做出前瞻性判断和决策的一站式情报服务的可落地情报方案。来源：CCID，头豹研究院保密协议限制企业意愿博弈困境共享难人才短缺技术壁垒响应速度自动执行海量数据门槛高深度挖掘能力情报分析能力数据整合能力缺乏方法论情报质量情报利用率低概念繁多价格不透明缺乏综合方案用户选择困难完整版登录www.leadleo.com搜索《2022年中国威胁情报市场报告》 中国：云安全系列沙利文市场研读www.leadleo.com400-072-5588美国中国标准发展模型框架平台应用值得借鉴之处•项目定位：美国威胁情报标准化工作站在国家战略高度进行部署和推进，将其与国土安全和国家利益紧密相连，并且不止局限于标准的制定工作，更是将大量资源应用于标准的管理、更新和推广上；•模型建设：美国威胁情报标准更加趋向于构建更细粒度且更易共享的知识模型和框架；•生态构建：美国正打造以新标准、新技术、新平台为支点的网络威胁情报生态系统，用于提升网络的安全性、交互性。以信息安全理念变革为驱使，从情报标准进入实体项目，进而实现产业平台以及与之相适应的协同体系，形成“标准—项目—平台—体系”的逻辑路径。7威胁情报标准化打造情报共享生态•标准化是威胁情报共享的必要前提，中国国家标准体系的建设尚处于起步阶段，在未来将进一步完善