12023中国威胁情报订阅市场分析报告2023 China Threat Intelligence Subscription Market Analysis ReportEdition2023.071st 1万物互联的时代，机遇与挑战并行，便捷和风险共生。“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”习近平总书记高屋建瓴的话语，为推动我国网络安全体系的建立，树立正确的网络安全观指明了方向。随着后疫情时代的到来和地缘摩擦，网络空间的安全对抗日趋激烈，传统的安全技术不能全面满足安全防护的需要，要想做到准确检测、高效响应和持续运营，威胁情报是必然的选择。威胁情报颠覆了传统的安全防御思路，将“被动防御”转变为积极的“主动防御”，提高了信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”，那么掌握威胁信息则是“知彼”。正所谓知己知彼，百战不殆。在攻防不对等的局面下，威胁情报的出现能够尽可能的消除这种差异，对于网络安全防护体系的发展具有里程碑式的意义。威胁情报并不是适用于所有人，在 2023 年 3 月 Google Cloud Security 的一场活动中，许多安全分析师作出了坦诚的回答。考虑到大多数网络安全从业人员都在处理日常的安全事件和漏洞问题，如果需要威胁情报令组织直接受益，将威胁洞察力转化为行动的能力，并将其整合到业务和安全流程中，组织需要投入足够的资金预算。但威胁情报又是网络安全发展未来的一部分，尤其是在 AI 高速发展的新时代。人工智能和机器学习可能是当下最重要的技术进步，为构建、发现和创造一个全新的世界带来巨大的机会，威胁情报有在其中扮演者一个关键的角色。同样在 2023 年 3 月，微软发布了一项新研究，在威胁情报中设置一个专门的人工智能安全红队，这是一个由安全研究人员、机器学习工程师和软件工程师组成的跨学科小组，致力于了解攻击者如何接近人工智能，以及他们如何能够破坏人工智能或机器学习模型，以便我们能够了解这些攻击以及如何领先于它们。威胁情报是打造未来安全 AI 必不可少的一部分。在国内，威胁情报的概念虽在早在 2015 年就开始普及，但许多用户依然对威胁情报是什么、如何订阅获取、如何联动应用、业界有哪些落地实践的方式等基本问题都缺乏了解。当重大安全事件发生时会有大量的深度APT 分析，可很多机构和组织往往不能充分利用其中信息，导致这些极具价值的信息被严重浪费。当前国际秩序面临深度调整，全球科技竞争格局正加速重构，如何借助威胁情报能力提升自身业务安全基线，是中国众多关键基础设施企业需要思考的问题。在面对信息高度不透明、商业模式不统一的威胁情报订阅源时，能够做到正确、有效的将威胁情报应用于自身的生产环境中发挥出常规的价值已是不易，应该有更好的方式，能够让威胁情报简洁、高效的为更多组织机构所了解和应用。斯元商业咨询基于网安行业最新技术动态及长期行业调研数据，针对当下中国网络安全市场的需求，对当前国内外主流的威胁情报订阅的商业应用模式进行调研后，发布本报告。报告内容涵盖威胁情报基本定义、主流威胁情报订阅模式、常见可订阅威胁情报类型、典型威胁情报厂商、威胁情报应用案例等内容，对当前国内市场的威胁情报商业订阅市场做出介绍。希望本报告可以助力国内众多关键基础设施与甲方企事业单位的相关部门负责人及时了解威胁情报订阅的发展动态，在合规梳理、安全体系建设和技术选型等环节辅助决策。本报告属于斯元商业咨询 Cyber Security Billboard 系列报告之一。 2001⚥㕂㪭胇䞔䫣雧ꢓ䋑㖞ⴔ區䫣デ基础信息：8 类威胁信息：18 类可订阅威胁情报类型摘要ABSTRACTIP 地理位置域名服务器（DNS Server）代理服务器（Proxy Server）Whois内容分发网络（CDN）Tor 节点自治系统号（ASN）互联网数据中心（IDC）威胁情报订阅商业市场生态威胁情报订阅商业市场生态TI LookupTI Feed情报查询Portal威胁情报云平台TI Cloud威胁情报订阅威胁情报TI SubscriptionThreat Intelligence基本信息TI Inside：独立网络安全专业产品威胁信息API情报下载设备部署TIGTIP平台部署设备/平台部署IAMPAMSIEMAVNTA/NDRSEGZTNACAASMCASBSOARIDS/IPSWAFVPTSASEBASIDaaSITDREDRNGFWWAAPRASPSSEDAGHIDSDNS SecurityAPI SecuritySWGEASMDLPCNAPP最终客户ICS/OT...APT 情报恶意软件僵尸网络垃圾邮件事件情报病毒木马数字货币挖矿扫描器节点漏洞情报勒索软件恶意软件下载链接色情网站恶意网站C&C 节点钓鱼网址赌博网站数字证书恶意邮箱 3TI Feed和TI Lookup模式的区别一、应用方式：TI Feed 模式一般采用 API 接口调用、SDK 引用集成两种方式获取；TI Lookup 模式大多采用Web 在线浏览、API 接口调用两种方式查询。二、应用效率：TI Feed 模式为获取后本地内置应用，效率更高；TI Lookup 模式为有输入基础上的交互应用，受 QPS、网络性能等影响，效率较低。三、应用场景：TI Feed 模式可按数据类型、威胁类型、设备类型等不同应用需求进行差异化获取，及组织内多部门 / 多分支机构间共享交换；TI Lookup 模式相对单一，且不能实现海量情报的共享。四、应用效果：TI Feed 模式为实时获取与预警，属于事前主动防御，TI Lookup 模式为协同查询与溯源，偏向于事中事后被动防御。五、数据丰富度：TI Feed 模式偏向检测阻断应用，只需传递核心信息，数据丰富度较低；而 TI Lookup 模式偏向分析溯源，需提供更多佐证信息，数据丰富度较高。六、风险数据隐私：TI Feed 模式无需提供自有数据即可完成获取，TI Lookup 模式需用户输入待查询数据才可获取查询结果，有数据泄露隐患。威胁情报订阅提供厂商TI LookupTI Feed 4001⚥㕂㪭胇䞔䫣雧ꢓ䋑㖞ⴔ區䫣デ威胁情报订阅市场数据在订阅模式方面，随着威胁情报应用逐渐走向成熟，相较于威胁情报平台 TIP 等落地模式，TI Subscription威胁情报订阅模式，正在为广大用户所接受。预计 2023 年中国威胁情报订阅服务市场支出约为 7.1 亿元，相比 2022 年增长 18.2%。对于威胁情报订阅的总体支出预计将在 2027 年达到 13.1 亿元，年复合增长率约为15.6%。其中威胁情报查询 TI Lookup 模式 2023 年市场占比约为 60.7%，年增速约为 8.7%，增长平稳；威胁情报明文 TI Feed 模式 2023 年市场占比约为 39.3%，年增速约为 26.3%，处于高速增长期。 腾讯安全9.3%安恒4.1%天际友盟2.1%奇安信35.7%其他25.6%微步在线23.2%TI LOOKUP市场占比TI FEED市场占比⌐⁰ 36.8%Webroot 7.0%⫡安信 9.1%天际╥䡹 18.3%Kaspersky 15.2%VirusTotal(Google) 13.6%来䀪҅斯元商业咨询҇20238.040.0%10.050.0%12.060.0%14.070.0%6.030.0%4.020.0%2.010.0%TI LookupTI FeedTI Feed整体市场占比0.00.0%202320242025202620272023 中国威胁情报订阅市场⓯⃧：⁙元2.83.54.55.67.14.34.75.15.56.0 506什么是威胁情报CONTENT目录10威胁情报的订阅模式14可订阅的威胁情报类型17提供威胁情报订阅服务的厂商25关于斯元商业咨询19威胁情报订阅的应用23威胁情报订阅市场分析 6001⚥㕂㪭胇䞔䫣雧ꢓ䋑㖞ⴔ區䫣デ简述概念标准什么是威胁情报What is threat intelligence 01POINT2013 年，Gartner 首先针对威胁情报出版专题文章。此后，业界虽对威胁情报未有统一定义，但大多数文献均引用 Gartner 版本的定义。Gartner 对威胁情报的定义如下：“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。”换句话来说，威胁情报是指能够阻止或减轻相关攻击的知识。威胁情报以数据为基础，提供上下文——比如谁正在攻击企业，他们的动机和能力是什么，以及安全分析人员在系统中需要寻找哪些失陷指标（IOC）——这有助于对企业的安全做出决策。在安全行业内，大多数情况下所说的威胁情报指的是狭义（经典）威胁情报，主要是攻击者相关信息：包括动机、目标、TTP（攻击技战术）、IOC（失陷标识：Indicators of Compromise）等。特别地，在威胁行为检测场景下，其主要内容特指用于识别和检测威胁的失陷标识（IOC），如 IP、Domain、URL、Email、文件 Hash 值等低层次技术级威胁情报。本文后面所述威胁情报，如无特别说明，也是指狭义（经典）的威胁情报。顾名思义，威胁情报的“威胁”一词，是指组织遭遇到的安全威胁，如果反映到组织的数字资产中，即数字资产所可能遭遇的风险。其中“情报”一词，源于军事领域中“军事情报”概念。依据现代汉语词典的定义，“情报”为获得有关对方各方面的情况，以及对这些情况进行分析研究的成果。因此，这里可以看到威胁情报概念的出现，首先是为获取外部威胁相关的信息，并对其进行分析研究。在描述和监测一个来自外部的威胁时，造成危害所依赖的条件和情境等上下文，包括诸如所利用的漏洞、手法、工具等要素，也应该被引入到威胁情报概念模型中，进行统一的结构化描述，以便于使用者可以快速匹配和评估这些外部威胁是否会对自己所在组织造成影响。随着 IT 技术和 5G 等基础通信技术日新月异的发展，全面互联互通的时代即将到来，威胁数据和威胁信息的数量也因此急剧增长，但只有经过研判和分析后的威胁信息才能称作威胁情报。威胁情报作为一种基于证据的知识，可以成为网络安全风险管理的有机组成部分，通过特种迹象发现潜在的威胁，并及时传递给决策中心，从而形成决策中心的闭环响应能力。根据情报的表现形式，威胁情报可分为人读情报和机读情报两类。 · 人读情报为可被人们直观理解并使用的情报内容，一般是文章、报告或者安全事件摘要等。 · 机读情报则为可被计算机系统识别、结构并运用的情报，一般是遵循某种情报数据标准的格式化数据。目前，主流化的威胁情报为机读情报。当前多源威胁情报体系逐渐成为主流，为实现情报的快速共享、存储和使用，最大化地挖掘威胁情报价值，标准化的情报格式便显得格外重要。威胁情报标准，无论是国内标准还是国际流行的标准，都为组织提供威胁情报的生产及运营提供丰沃的土壤。 7接下来将简述国内外最常用的几个威胁情报标准：1. STIX & TAXIISTIX 和 TAXII 均为 OASIS（结构化信息标准促进组织）所收录的国际标准。其中，STIX 用于实现威胁信息的结构化表达；TAXII 则是通过构建一套信息交互协议完成多节点间威胁信息的交换与共享。1) STIXSTIX（Structured Threat Information Expression）意为结构化威胁信息表达式，由 MITRE 联合 DHS（美国国土安全部）发布，早期的 STIX 1.x 版本提供了基于 XML 语法来描述威胁情报的细节和威胁内容的方法（后续的 STIX 2.0 版本在内容描述方面增加了对 JSON 格式的支持），是一种用于描述网络威胁信息的结构化语言，因此可以以一致的方式进行共享、存储和分析。STIX 适用场景主要包括威胁分析、威胁特征分类、威胁及安全事件应急处理、威胁情报分享等。目前，STIX 最新版本为 STIX 2.1，