2025年数字安全需求洞察报告-威胁情报
AI智能总结
数字安全需求洞察报告威胁情报Threat Intelligence ©北京数字世界咨询有限公司2025.02 (2020) 1........................................................................................................52.................................................................................................63....................................................................................74.............................................................................94.1......................................................94.2/.......................................94.3......................................................94.4.......................................................104.5....................................................105...........................................................................105.1..........................................105.2.............................................115.3.............................125.4....................................................125.5..........................................136........................................................................146.1.....................................................................146.2.................................................................146.3...........................................................156.4++.......................167...............................................................................18......................................................19 1.前言 近年来,国内安全行业常用常新的安全能力并不多,威胁情报是其中的重要代表。2020年数世咨询发布《威胁情报市场指南》(https://www.dwcon.cn/post/659),距今将近五年过去,从技术概念到数据来源,从应用场景到价值需求,威胁情报均有变化发展。国内大型安全会议始终都保留有威胁情报分论坛就是一个侧面例证。 面对攻防不对等,威胁情报有两个重要的价值点,使其具备了常用常新的特点: 将未知变为已知,让安全从被动变为主动。解决从0到1的问题。 对已知判断真假,让响应资源更有效。解决从1到100的问题。 因此,随着对抗过程中攻防双方不断的战法博弈与技术迭代,威胁情报也在更新迭代。不仅如此,威胁情报天然与其他安全产品、技术、解决方案能够有机结合,是赋能者的角色,因此一线用户、安全厂商、情报提供商都自发参与到威胁情报的生产、消费、应用中来,这就进一步拓宽了威胁情报的发展路径。 鉴于此,从2024年第三季度开始,数世咨询先后组织了十余场威胁情报相关的闭门讨论,先后调研了数十位来自于一线用户、安全厂商、情报提供商等不同身份的安全专家,就威胁情报最新的应用场景、需求变化、情报能力以及可能的发展趋势进行了深入讨 论,现将调研汇总的核心观点与洞察形成《威胁情报需求洞察报告》,以飨读者。 勘误与进一步沟通交流,请联系本报告主笔分析师: 刘宸宇liuchenyu@dwcon.cn 2.关键发现 ✓面对攻防不对等,威胁情报将未知变为已知,让安全从被动变为主动;对已知判断真假,让响应资源更有效;✓实网攻防场景由“0day漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”,威胁情报的需求更符合常态化要求;✓以失陷验证类情报为主的出站情报,价值占比越来越高;✓情报的更新无须全量更新,应从攻击面管理角度对情报进行筛选后,进行活跃更新;✓管理层更担心“漏报”,执行层更担心“误报”;✓威胁情报的价值难以量化,服务化交付为用户提供情绪价值;✓应从检出率、准确性、时效性、保密性等四个方面构建不同优先级的情报能力;✓数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念,构建“情报赋能+交付价值+反馈评价”的有机生态。 3.威胁情报相关概念 近年来,威胁情报的发展从狭义向广义发展,情报数据的来源更加多元,情报关联的上下文也更加立体。 从狭义角度来看,威胁情报主要聚焦于具体的、直接与网络安全攻击相关的信息。例如关于黑客组织或恶意个人等特定威胁来源的IP地址、软件工具、攻击技术、策略战术(TTPs)等详细情报信息。这些信息具有直接且明确的指向性和时效性,能够直接帮助安全人员识别、检测和应对网络威胁。 从广义角度来看,威胁情报的数据来源则囊括了开源情报、漏洞情报、外部攻击暴露面覆盖的资产信息(主要是EASM)、黑灰产情报等更多信息维度,以及攻防知识库、所在行业态势,甚至地缘政治、国际形势等更广泛维度的相关信息,这些都可以作为威胁情报上下文关联分析的数据依据。 近几年,威胁情报相关技术概念及衍生概念描述如下: Inbound Threat Intelligence 入站情报主要是关于外部威胁源针对特定组织发起攻击的相关信息。这些情报聚焦于进入组织网络或系统边界的潜在威胁,帮助组织了解可能面临的外部攻击情况,就像在组织的边界设置了一个“预警雷达”,提前发现那些试图入侵的“敌人”。 Outbound Threat Intelligence 出站情报则是关注组织内部系统或网络向外部发送的可能存在 威胁的信息。这有助于组织发现内部被控制的主机(如被恶意软件感染的计算机)正在向外传输敏感数据或参与攻击其他目标的情况,如同在组织内部的网络出口处设置了一个“安检站”,检查内部发出的异常情况。 不难看出,入站情报和出站情报很少独立存在,对组织机构来说,两者往往结合使用,发挥出更好的效果。 Open Source IntelligenceOSINT 开源情报是指通过公开可用的信息源收集、整理和分析得到的情报。这些信息源对公众开放,任何人都可以合法地访问和利用。如社交媒体、博客论坛、新闻报道、学术论文以及政务公开数据等。 闭源情报是指那些不向公众公开,需要通过商业合作或限制访问的渠道获得的情报。通常这些情报由特定的组织机构、安全厂商生成,获取时也需要通过有保密协议的合作方式获取。如企业内部安全运营中心的自有情报、威胁情报厂商出售的商业化情报,以及某些国家联盟(如“五眼联盟”)之间共享的情报。 漏洞情报主要是指关于软件、硬件、网络系统以及应用程序中存在的安全漏洞的详细信息。这些信息包括漏洞的存在位置、产生原因、可能造成的危害程度、被利用的方式以及对应的修复措施等内容。漏洞情报的来源可能是安全厂商、安全研究机构,也可以是软件供应商自身,国内目前更多的情况是来源于大小安全社区和社 交媒体。可以看出,漏洞情报同时包含了开源、闭源两种来源。 4.威胁情报五大应用场景 4.1为攻防对抗类安全产品更新赋能 通过周期性或实时性的威胁情报数据,为特征匹配类安全产品赋能,提升产品的效率与效果。该场景中,安全产品是威胁情报的消费者角色。例如网关防护类安全产品利用威胁情报加强对入站威胁的防护拦截准确率,威胁检测与响应(TDR)类产品利用威胁情报提升上下文中威胁检出率及响应时效性,缩短MTTD/MTTR等。 4.2实网攻防演练/重保场景中的溯源分析研判 在实网攻防演练/场景中,防守方通过更高频度甚至实时的威胁情报数据,可以对攻击行为进行更及时的响应处置,更精准的溯源分析研判。该场景应用的威胁情报主要是攻击入站情报和0day漏洞情报。 4.3新漏洞安全事件的应急响应场景 在安全团队的日常工作中,对新漏洞安全事件的应急响应是主要场景之一。从几年前的WannaCry到去年的Log4j,都让用户和厂商的安全团队经历了不眠之夜。该场景中,好的威胁情报(漏洞情报)可以及时、准确提供漏洞的影响范围、利用条件、甚至PoC 与Exp,协助安全团队定位风险资产、制定缓解策略,实施响应措施。 4.4数据泄露实时监测与通报场景 数据泄露事件一旦发生,拥有数据的组织机构希望第一时间知晓泄露数据的真伪、规模、影响范围,进而需要调查溯源确定数据外泄的路径、原因。这一系列动作,都可以利用威胁情报提升实时监测与通报的效率,例如对社交媒体、新闻报道,以及暗网中数据贩卖信息的监测等等。 4.5黑灰产情报应用于业务风控场景 在业务风控场景中,威胁情报以黑灰产情报提供支持,如黑IP情报、Bot情报、黑灰产工具情报,以及对三要素/四要素的监测与研判等。该场景中,鉴于黑灰产的高隐蔽性(正常用户与黑灰产用户高度混淆),情报时效性往往更短,因此需要在用户侧业务部门配套以多个安全产品、多家情报,才能发挥出更好作用。 5.威胁情报五大需求变化 5.1实网攻防常态化对威胁情报提出新要求 实网攻防演练常态化使得参演单位很难像往年一样,以减少业务甚至短暂下线为代价,保证演练成绩。这样的背景下,该场景由 “0day漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”。因此,对威胁情报的需求也更符合常态化要求。变化主要体现在: 针对业务软件、办公系统软件供应链上的0.5day/1day的漏洞情报需求增加;针对钓鱼邮件研判所需的恶意二维码情报、附件沙箱能力需求增加;对攻击IP情报的精准性要求更高,以避免误封正常业务IP导致影响业务;人员投入相对减少,因此基于精准情报的检测与响应从“堆人头”向“自动化封禁”转变;此外,随着实网攻防演练加分规则的变化,溯源反制的需求迅速弱化,甚至可以说被边缘化了,因此溯源反制所需的开源情报需求有所减少; 5.2用户对失陷验证类的情报需求更强烈 据本次调研,针对外部攻击者潜在威胁的情报(即入站情报)对于大部分一线用户的安全防护而言,直接的帮助有限,相反,以失陷验证类情报为主的出站情报,价值占比越来越高。 原因在于,普通用户很难对潜在攻击者进行范围覆盖甚至画像,普通安全厂商也缺少超大体量(例如海量数量的终端)情报收集基础,供需双方都很难采集汇聚出准确及时有效的攻击者情报。 相比之下,失陷验证类情报的覆盖范围(IT资产、网络环境、 内部人员等)相对更明确,对情报的需求也更加活跃,因此威胁情报的效果更明显。此外情报的更新无须全量更新,仅提供活跃更新即可。所谓“活跃更新”,即从攻击面管理角度对情报进
