2023中国威胁情报订阅市场分析报告

万物互联的时代，机遇与挑战并行，便捷和风险共生。“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”习近平总书记高屋建瓴的话语，为推动我国网络安全体系的建立，树立正确的网络安全观指明了方向。 随着后疫情时代的到来和地缘摩擦，网络空间的安全对抗日趋激烈，传统的安全技术不能全面满足安全防护的需要，要想做到准确检测、高效响应和持续运营，威胁情报是必然的选择。 威胁情报颠覆了传统的安全防御思路，将“被动防御”转变为积极的“主动防御”，提高了信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”，那么掌握威胁信息则是“知彼”。正所谓知己知彼，百战不殆。在攻防不对等的局面下，威胁情报的出现能够尽可能的消除这种差异，对于网络安全防护体系的发展具有里程碑式的意义。 威胁情报并不是适用于所有人，在 2023 年 3 月 Google Cloud Security 的一场活动中，许多安全分析师作出了坦诚的回答。考虑到大多数网络安全从业人员都在处理日常的安全事件和漏洞问题，如果需要威胁情报令组织直接受益，将威胁洞察力转化为行动的能力，并将其整合到业务和安全流程中，组织需要投入足够的资金预算。 但威胁情报又是网络安全发展未来的一部分，尤其是在 AI 高速发展的新时代。人工智能和机器学习可能是当下最重要的技术进步，为构建、发现和创造一个全新的世界带来巨大的机会，威胁情报有在其中扮演者一个关键的角色。同样在 2023 年 3 月，微软发布了一项新研究，在威胁情报中设置一个专门的人工智能安全红队，这是一个由安全研究人员、机器学习工程师和软件工程师组成的跨学科小组，致力于了解攻击者如何接近人工智能，以及他们如何能够破坏人工智能或机器学习模型，以便我们能够了解这些攻击以及如何领先于它们。威胁情报是打造未来安全 AI 必不可少的一部分。 在国内，威胁情报的概念虽在早在 2015 年就开始普及，但许多用户依然对威胁情报是什么、如何订阅获取、如何联动应用、业界有哪些落地实践的方式等基本问题都缺乏了解。当重大安全事件发生时会有大量的深度APT 分析，可很多机构和组织往往不能充分利用其中信息，导致这些极具价值的信息被严重浪费。 当前国际秩序面临深度调整，全球科技竞争格局正加速重构，如何借助威胁情报能力提升自身业务安全基线，是中国众多关键基础设施企业需要思考的问题。在面对信息高度不透明、商业模式不统一的威胁情报订阅源时，能够做到正确、有效的将威胁情报应用于自身的生产环境中发挥出常规的价值已是不易，应该有更好的方式，能够让威胁情报简洁、高效的为更多组织机构所了解和应用。 斯元商业咨询基于网安行业最新技术动态及长期行业调研数据，针对当下中国网络安全市场的需求，对当前国内外主流的威胁情报订阅的商业应用模式进行调研后，发布本报告。报告内容涵盖威胁情报基本定义、主流威胁情报订阅模式、常见可订阅威胁情报类型、典型威胁情报厂商、威胁情报应用案例等内容，对当前国内市场的威胁情报商业订阅市场做出介绍。 希望本报告可以助力国内众多关键基础设施与甲方企事业单位的相关部门负责人及时了解威胁情报订阅的发展动态，在合规梳理、安全体系建设和技术选型等环节辅助决策。 本报告属于斯元商业咨询 Cyber Security Billboard 系列报告之一。 威胁情报订阅商业市场生态 可订阅威胁情报类型 TI Feed 和 TI Lookup 模式的区别 一、应用方式：TI Feed 模式一般采用 API 接口调用、SDK 引用集成两种方式获取；TI Lookup 模式大多采用Web 在线浏览、API 接口调用两种方式查询。 二、应用效率：TI Feed 模式为获取后本地内置应用，效率更高；TI Lookup 模式为有输入基础上的交互应用，受 QPS、网络性能等影响，效率较低。 三、应用场景：TI Feed 模式可按数据类型、威胁类型、设备类型等不同应用需求进行差异化获取，及组织内多部门 / 多分支机构间共享交换；TI Lookup 模式相对单一，且不能实现海量情报的共享。 四、应用效果：TI Feed 模式为实时获取与预警，属于事前主动防御，TI Lookup 模式为协同查询与溯源，偏向于事中事后被动防御。 五、数据丰富度：TI Feed 模式偏向检测阻断应用，只需传递核心信息，数据丰富度较低；而 TI Lookup 模式偏向分析溯源，需提供更多佐证信息，数据丰富度较高。 六、风险数据隐私：TI Feed 模式无需提供自有数据即可完成获取，TI Lookup 模式需用户输入待查询数据才可获取查询结果，有数据泄露隐患。 威胁情报订阅提供厂商 威胁情报订阅市场数据 在订阅模式方面，随着威胁情报应用逐渐走向成熟，相较于威胁情报平台 TIP 等落地模式，TI Subscription威胁情报订阅模式，正在为广大用户所接受。预计 2023 年中国威胁情报订阅服务市场支出约为 7.1 亿元，相比 2022 年增长 18.2%。对于威胁情报订阅的总体支出预计将在 2027 年达到 13.1 亿元，年复合增长率约为15.6%。其中威胁情报查询 TI Lookup 模式 2023 年市场占比约为 60.7%，年增速约为 8.7%，增长平稳；威胁情报明文 TI Feed 模式 2023 年市场占比约为 39.3%，年增速约为 26.3%，处于高速增长期。 06什么是威胁情报C O N T E N T目录10威胁情报的订阅模式14可订阅的威胁情报类型17提供威胁情报订阅服务的厂商25关于斯元商业咨询19威胁情报订阅的应用23威胁情报订阅市场分析 简述 2013 年，Gartner 首先针对威胁情报出版专题文章。此后，业界虽对威胁情报未有统一定义，但大多数文献均引用 Gartner 版本的定义。Gartner 对威胁情报的定义如下： “威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。” 换句话来说，威胁情报是指能够阻止或减轻相关攻击的知识。威胁情报以数据为基础，提供上下文——比如谁正在攻击企业，他们的动机和能力是什么，以及安全分析人员在系统中需要寻找哪些失陷指标（IOC）——这有助于对企业的安全做出决策。 在安全行业内，大多数情况下所说的威胁情报指的是狭义（经典）威胁情报，主要是攻击者相关信息：包括动机、目标、TTP（攻击技战术）、IOC（失陷标识：Indicators of Compromise）等。特别地，在威胁行为检测场景下，其主要内容特指用于识别和检测威胁的失陷标识（IOC），如 IP、Domain、URL、Email、文件 Hash 值等低层次技术级威胁情报。本文后面所述威胁情报，如无特别说明，也是指狭义（经典）的威胁情报。 概念 顾名思义，威胁情报的“威胁”一词，是指组织遭遇到的安全威胁，如果反映到组织的数字资产中，即数字资产所可能遭遇的风险。其中“情报”一词，源于军事领域中“军事情报”概念。依据现代汉语词典的定义，“情报”为获得有关对方各方面的情况，以及对这些情况进行分析研究的成果。因此，这里可以看到威胁情报概念的出现，首先是为获取外部威胁相关的信息，并对其进行分析研究。 在描述和监测一个来自外部的威胁时，造成危害所依赖的条件和情境等上下文，包括诸如所利用的漏洞、手法、工具等要素，也应该被引入到威胁情报概念模型中，进行统一的结构化描述，以便于使用者可以快速匹配和评估这些外部威胁是否会对自己所在组织造成影响。 随着 IT 技术和 5G 等基础通信技术日新月异的发展，全面互联互通的时代即将到来，威胁数据和威胁信息的数量也因此急剧增长，但只有经过研判和分析后的威胁信息才能称作威胁情报。威胁情报作为一种基于证据的知识，可以成为网络安全风险管理的有机组成部分，通过特种迹象发现潜在的威胁，并及时传递给决策中心，从而形成决策中心的闭环响应能力。 标准 根据情报的表现形式，威胁情报可分为人读情报和机读情报两类。· 人读情报为可被人们直观理解并使用的情报内容，一般是文章、报告或者安全事件摘要等。· 机读情报则为可被计算机系统识别、结构并运用的情报，一般是遵循某种情报数据标准的格式化数据。目前，主流化的威胁情报为机读情报。当前多源威胁情报体系逐渐成为主流，为实现情报的快速共享、存储和使用，最大化地挖掘威胁情报价值，标准化的情报格式便显得格外重要。威胁情报标准，无论是国内标准还是国际流行的标准，都为组织提供威胁情报的生产及运营提供丰沃的土壤。 接下来将简述国内外最常用的几个威胁情报标准： 1. STIX & TAXII STIX 和 TAXII 均为 OASIS（结构化信息标准促进组织）所收录的国际标准。其中，STIX 用于实现威胁信息的结构化表达；TAXII 则是通过构建一套信息交互协议完成多节点间威胁信息的交换与共享。 1) STIX STIX（Structured Threat Information Expression）意为结构化威胁信息表达式，由 MITRE 联合 DHS（美国国土安全部）发布，早期的 STIX 1.x 版本提供了基于 XML 语法来描述威胁情报的细节和威胁内容的方法（后续的 STIX 2.0 版本在内容描述方面增加了对 JSON 格式的支持），是一种用于描述网络威胁信息的结构化语言，因此可以以一致的方式进行共享、存储和分析。STIX 适用场景主要包括威胁分析、威胁特征分类、威胁及安全事件应急处理、威胁情报分享等。目前，STIX 最新版本为 STIX 2.1，它是对 STIX 2.0 的进一步补充和完善，但由于该版本暂未推出官方的逻辑结构图，此处参考 STIX2.0（如图 1）。 2) TAXII TAXII（Trusted Automated eXchange of Indicator Information）即可信指标信息自动交换，是基于 HTTPS交换威胁情报信息的一个应用层协议，主要用于传输数据。TAXII 是为支持使用 STIX 描述的威胁情报交换而设计的，是 STIX 结构化威胁信息的传输工具。 需要注意的是，STIX 与 TAXII 是两个相互独立的标准。STIX 是以标准化形式沟通运营、战术和战略信息的语言，它所传达的内容，可以为各种安全工具吸收。TAXII 是一种透明的机制，它提供了共享网络威胁情报的协议，也可以用于其他类型数据的共享。 目前，TAXII 定义的三种信息共享模型如下： 1）辐射型（Hub and Spoke）：共享节点间，一个组织作为信息交换中心（Hub），其余节点可通过交换中心获取情报信息，或将情报信息提交至中心进行信息的交换（如图 2）。 2）订阅型（Source/Subscriber）：共享节点间，由一个组织担任数据源（source）进行情报数据的汇聚整合，其他节点可通过数据源获取情报数据（如图 3）。 3）点对点型（Peer to Peer）：共享节点间可按照交换标准要求自由交换情报信息，每个节点即可作为情报的共享者亦可作为情报的获取者（如图 4）。 用户可根据自身需要选择并使用 TAXII 中定义的服务，以完成共享模型的构建，进而实现威胁情报信息的共享互通。 2.OpenIOC OpenIOC（Open Indicator of Compromise）框架是一个记录、定义以及共享安全情报的格式，可以借 助机器可读的形式实现不同类型威胁情报的快速共享。 OpenIOC 通过可扩展的 XML 模式来描述威胁的技术特征。其具有用于描述底层属性的综合词汇表，这些属性可以很方便的转换为机器可读格式，可以配置为各种 IT 安全监视和检测工具的输入，例如防病毒程序、IDS（入侵检测系统）、IPS（入侵防御系统）等。同样，这些工具的日志和其他形式的输出可以转换为 OpenIOC 文档，以在其他工具和系统之间共