计算机行业专题研究：威胁情报市场正在兴起

投资建议：威胁情报对于网安产品的赋能作用越来越明显，市场规模稳定增长，投资机会明显。推荐在网安行业积极布局威胁情报的公司，推荐标的：奇安信、深信服、天融信、安博通，受益标的：安恒信息、亚信安全、山石网科。 中国威胁情报订阅市场规模不到10亿人民币，仍处于发展早期，奇安信、微步在线等公司是行业龙头。根据斯元商业咨询的研究，预计2023年中国威胁情报订阅服务市场支出约为7.1亿元，相比2022年增长18.2%；对于威胁情报订阅服务的相关支出预计将在2027年达到近13.1亿元，年复合增长率约为15.6%；在订阅模式方面，相较于威胁情报平台等落地模式，威胁情报订阅模式正在为广大用户所接受。威胁情报查询TI Lookup模式和威胁情报明文TI Feed模式下，奇安信、微步在线等公司占据主要市场份额，海外企业也占据了一定市场空间。 威胁情况对于网安客户提升本身的防御能力有很大帮助，比较常见的用法是向自有网络安全产品和服务赋能，比如威胁情报+网络流量检测、威胁情报+态势感知、威胁情报+SOC等。威胁情报会为客户安全团队提供详尽的信息，帮助他们了解哪些威胁最有可能影响客户所处行业及该企业本身环境。由此，客户可以只关注与其自身紧密相关的攻击产生的预警和通知。威胁情报可以用于评估系统、网络或组织面临的威胁和风险，它可以帮助识别和理解来自恶意行为者、漏洞利用和恶意软件等方面的潜在威胁。 在基础威胁情报能力的建设过程中，情报信息的采集与分析是威胁情报体系的基础，也是威胁情报体系建设过程中不可或缺的一个环节。通常，情报来源于内部和外部两个渠道，外部渠道包括公开漏洞、公开情报、网络攻击新闻、暗网信息、商业情报等，内部渠道包含攻击面、内部日志分析等。通过内部和外部两个渠道生产的威胁情报数据，融入加密威胁情报体系，引入大数据关联、AI深度学习、行为分析、同源分析等技术，提升对各类渠道获取的威胁情报进行分析研判效率，有效与安全运营中心及其他网络安全产品进行融合，提升威胁检测能力。 风险提示：客户网安预算不足风险，行业竞争加剧风险 1.威胁情报对于网络安全产业越来越重要 1.1.威胁情报能够大幅提升网安防御能力 威胁情报是网络安全情报的一种，描述了针对数字资产的威胁或者危险。 Gartner认为，威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。这种说法比较绕口，通俗来讲，威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。 生成威胁情报的过程通常遵循生命周期，其中包括指导、收集、处理、分析、生产、传播和反馈。 图1：威胁情报的生成有一个生命周期 威胁情况对于网安客户提升本身的防御能力有很大帮助，比较常见的用法是向自有网络安全产品和服务赋能，比如威胁情报+网络流量检测、威胁情报+态势感知、威胁情报+SOC等。威胁情报会为客户安全团队提供详尽的信息，帮助他们了解哪些威胁最有可能影响客户所处行业及该企业本身环境。由此，客户可以只关注与其自身紧密相关的攻击产生的预警和通知。威胁情报可以用于评估系统、网络或组织面临的威胁和风险。它可以帮助识别和理解来自恶意行为者、漏洞利用和恶意软件等方面的潜在威胁。威胁情报可以用于检测潜在的攻击活动，并提供关于攻击者行为、攻击方法和攻击工具的信息。这有助于实时监测和识别恶意活动，支持快速响应和阻止潜在的攻击。威胁情报可以提供有关已知漏洞和弱点的信息，帮助组织及时采取措施修复漏洞。它可以帮助组织了解当前威胁景观中的漏洞情况，并指导漏洞修复的优先级。威胁情报可以提供有关已知恶意软件样本、攻击工具和攻击者行为的信息。这有助于进行恶意软件分析，识别新的威胁行为和恶意软件变体，并改进防护措施。 100852 请务必阅读正文之后的免责条款部分 1.2.威胁情报可以分为三类 威胁情报可以分为三类：战略威胁情报、运营威胁情报和战术威胁情报。 战略威胁情报提供了全球网络威胁和趋势的广泛概述。它侧重于对威胁参与者的战略和战术的长期、高层次见解。运营威胁情报提供有关特定网络威胁及其运作方式的详细见解。此信息包括威胁参与者使用的入侵指标（IOC）、策略、技术和过程（TTP）。它可以帮助网络安全团队准备、检测和响应这些威胁。战术威胁情报侧重于此时此地。它涉及有关组织面临的直接威胁的实时信息。战术情报可帮助一线安全团队了解和缓解最新的网络威胁。威胁情报赋能，意味着无论是做短期安全决策，还是制定长期安全策略，情报的参考权重都在大幅度上升。同时，随着威胁情报对攻击者追踪能力的不断增强，企业也将对战略层的、与企业组织相关度高的威胁情报报告产生更多需求。 图2：威胁情报可以分为三类 1.3.威胁情报运营体系建立 在基础威胁情报能力的建设过程中，情报信息的采集与分析是威胁情报体系的基础，也是威胁情报体系建设过程中不可或缺的一个环节。通常，情报来源于内部和外部两个渠道，外部渠道包括公开漏洞、公开情报、网络攻击新闻、暗网信息、商业情报等，内部渠道包含攻击面、内部日志分析等。通过内部和外部两个渠道生产的威胁情报数据，融入加密威胁情报体系，引入大数据关联、AI深度学习、行为分析、同源分析等技术，提升对各类渠道获取的威胁情报进行分析研判效率，有效与安全运营中心及其他网络安全产品进行融合，提升威胁检测能力。 图3：情报通常来源于内部和外部两个渠道 2.威胁情报市场处于成长早期阶段 中国威胁情报订阅市场规模不到10亿人民币，奇安信、微步在线等公司是行业龙头。根据斯元商业咨询的研究，预计2023年中国威胁情报订阅服务市场支出约为7.1亿元，相比2022年增长18.2%；对于威胁情报订阅服务的相关支出预计将在2027年达到近13.1亿元，年复合增长率约为15.6%；在订阅模式方面，相较于威胁情报平台等落地模式，威胁情报订阅模式正在为广大用户所接受。威胁情报查询TI Lookup模式和威胁情报明文TI Feed模式下，奇安信、微步在线等公司占据主要市场份额，海外企业也占据了一定市场空间。 图4：预计2023年中国威胁情报市场空间为7.1亿元人民币 图5：奇安信、微步在线等企业占据主要市场份额 3.头部公司引领威胁情报产业趋势 3.1.奇安信威胁情报市场领先优势明显 奇安信连续三年获得IDC安全分析和情报市场份额排名第一。2023年4月，IDC发布《2022年中国IT安全软件市场跟踪报告》，报告显示，奇安信以8.4%的市场份额，居中国安全分析和情报市场份额排名首位。自2020年上半年起，奇安信集团连续3年荣膺该细分领域市场份额冠军。 在威胁情报领域，得益于威胁情报中心提供的专业威胁情报服务及安全系列产品，使得奇安信在中国安全分析和情报市场傲居群雄。为满足客户对于具有高灵活性和可扩展性的SaaS化安全产品的使用需求，降低用户的IT成本和使用风险，奇安信威胁情报中心发布了威胁情报分析平台ALPHA，提供威胁情报高级分析应用及数据订阅服务，以海量多维度的网络空间安全数据为基础，实现报警研判、攻击定性、黑客画像以及威胁持续跟踪，并提供多维度的威胁情报数据和分析应用服务和分析报告，帮助安全分析师、事件响应人员对事件报警进行确认和优先级排序，同时通过关联分析以挖掘攻击事件背后更深层的信息。 图6：奇安信在中国安全分析和情报市场份额排名第一 奇安信威胁情报入选Gartner ® 《2023安全威胁情报产品和服务市场指南》。基于Gartner最新的预测显示：全球威胁情报支出正以15.5%的复合年增长率增长，到2026年有望达到28亿美元。奇安信漏洞情报服务，基于奇安信专业分析师团队和完善的漏洞情报运营流程，结合奇安信高精准的威胁情报数据，对已知公开影响较大、危害较大的漏洞，进行准确的实际安全风险判定，并提供漏洞风险通告，内容含漏洞危险级别、评分、影响版本、补丁等。对于影响面巨大，威胁等级最高的漏洞，在基础漏洞信息和修复缓解措施内容基础上，提供漏洞深度分析报告，可获得更丰富的技术细节、复现、缓解和防护信息，进而帮助企业在生产环境中对受影响资产进行漏洞检测、排查、监测、修复。与此同时，奇安信还提供灵活可用、便于使用的开放API接口，支持客户通过Restful API方式集成海量漏洞情报数据。 奇安信威胁分析平台ALPHA是面向安全分析师、事件响应人员的综合性威胁情报分析平台。以海量多维度的网络空间安全数据为基础，实现报警研判、攻击定性、黑客画像以及威胁持续跟踪，并提供多维度的威胁情报数据和分析应用服务，帮助安全运营者对事件报警进行确认和优先级排序，同时通过关联分析以挖掘攻击事件背后的深层信息。威胁研判分析平台ALPHA已成为构建新型安全架构的核心组件之一。 图7：奇安信威胁分析平台具备强大的安全能力 奇安信威胁情报FEED，是奇安信威胁情报中心推出的以FEED方式提供的威胁情报数据订阅服务。面向客户提供高精准、多维度的威胁情报数据和丰富的上下文信息，可以用来进行报警研判、攻击定性、黑客画像，以及识别失陷主机、被控终端、钓鱼邮件等。提升客户安全防护体系的威胁情报自动化能力，使企业客户可以更快速的分析威胁事件、及时遏制未知高级威胁攻击扩散和核心资产损失等重大风险的发生。能力优势包括： 海量数据支撑，多年情报积累：依托国内首家商用威胁情报中心，数据采集维度覆盖全球上千个情报源，数亿级样本的云沙箱运行数据，百亿级的文件信誉情报，十亿级互联网资产及应用数据、万亿级历史Passive DNS和WHOIS数据； 威胁情报数据高精准、高可用：威胁情报中心拥有超百人的专业分析师团队，及多款自有知识产权的创新检测分析引擎，基于“人+工具+流程”的独有研判机制，生产出高价值、高可用的威胁情报数据。 更丰富详实的情报上下文信息：拥有全球近千个攻击团伙、恶意家族的档案信息，经过红雨滴团队追踪分析，提供更完善的情报基础数据信息与细粒度更高的情报上下文及高价值字段信息，帮助对安全事件的分析与溯源。 接入灵活，多种安全产品适用：近20种情报FEED类型，覆盖网络流量检测、DNS日志检测、NETFLO W检测、样本文件检测等使用 场景，支持TXT、JSON、CSV等格式集成，可以与多平台联动使用。 图8：奇安信威胁情报订阅服务能够为客户带来多方面价值 3.2.微步在线：威胁情报订阅服务先行者 与传统网安公司把威胁情报作为业务的必要组成部分之一来拓展不同，微步在线从诞生之日起就把威胁情报作为自己的核心主业。微步在线成立于2015年，2023年刚刚完成E轮5亿人民币融资。在威胁发现与响应领域，微步在线持续深耕，多次在市面上推出首创性产品：2017年研发面向流量检测与响应的威胁感知平台TDP和威胁情报管理平台TIP，2019年推出面向企业办公网的互联网安全接入服务OneDNS，2021年发布面向主机和服务器的威胁检测与响应平台OneEDR，2022年推出安全情报网关OneSIG和攻击面管理平台OneRisk，2023年发布面向PC终端的安全管理平台OneSEC。 微步威胁感知平台TDP获得全球客户认可。作为一款深度融合情报的实战化全流量检测与响应平台，微步TDP具备告警检测准确、面向实战、响应闭环及简单易用的优势，能够对漏洞利用、木马、蠕虫、挖矿、勒索病毒、高级针对性攻击(APT)等多种新型威胁和攻击手法进行快速、精准地检测响应，准确率可达99.97%，0day检出率＞81%；在响应侧，TDP能够有效与防火墙等第三方安全设备进行联动，提供99.99%的阻断成功率。自2017年推出以来，TDP已在金融、能源、电力、互联网、智能制造、地产等行业近500家标杆企业中落地，成为政企客户日常安全运营的重要抓手和流量检测响应的主要安全设备。国际知名咨询机构Gartner发布《流量检测与响应市场（NDR）客户之声报告》，微步旗下威胁感知平台T