在過去，為了防止爆發網絡安全事件，企業的應對方式就像“救火隊”，主要采取流量檢測、行為感知、收集與分析等防御手段，通過部署防火墻、入侵檢測系統等安全產品，配置相應訪問控制策略和審計策略，對網絡安全狀況進行監測和管控，并在發生攻擊后進行應急響應和備份恢復等。

　　這樣的防御具有一定的狹隘性和滯后性，受限于對攻擊及整體態勢的識別和溯源，大多也只是“就事論事”，容易造成同類攻擊的反復中招和影響。如今，業界普遍認同被動防御已經遠遠不夠，需要實時掌握敵方的動態和趨勢，以做出更完備的分析和響應。威脅情報，就像這八百里加急快報送來的敵情。

　　根據Gartner的定義，威脅情報是一種基于證據的知識，包括了情境、機制、指標、隱含和實際可行的建議。威脅情報描述了現存的、或者是即將出現的針對資產的威脅或危險，并可以用于通知主體針對相關威脅或危險采取某種響應。

　　簡言之，威脅情報可以幫助企業快速了解到攻擊方對自身的威脅信息，從而幫助提前做好威脅防范、及時調整防御策略，提前預知攻擊的發生，從而實現較為精準的動態防御，更高效地進行事后攻擊溯源。

　　不同行業、不同規模

　　企業對威脅情報需求各異

　　威脅情報在國內起步較晚，但近幾年發展勢頭迅猛，在國內網絡安全環境和國家政策的雙重推動下，威脅情報已成為政企機構信息安全防護體系的標配。頭豹研究院數據顯示，預計未來五年中國威脅情報市場規模有望達到26.6億元，金融、政府、互聯網等信息化程度較高、受黑客黑產關注和攻擊較為嚴重的行業企業，是威脅情報消費的主要用戶。

　　沙利文聯合頭豹發布的《2022年中國威脅情報市場報告》（以下簡稱報告），對不同行業領域、不同規模企業的威脅情報需求和市場特征進行了梳理，并對中國威脅情報市場發展前景做出分析和推測。

　　根據報告，不同行業用戶對于威脅情報的需求不完全相同。

　　金融行業

　　飽受釣魚欺詐、安全漏洞及數據泄露的侵害，針對已經進入內網的威脅無法進行及時發現、響應，安全人員無法定位關鍵威脅并進行處置。亟需提升內網失陷威脅檢測能力，需要用情報賦能安全產品的分析能力。

　　政府行業

　　勒索病毒和釣魚欺詐的高發領域，高級威脅事件發現能力普遍較弱，安全運營人員短缺，威脅檢測分析工作主要依靠廠商人員，安全運營工作自主化、自動化、智能化、可視化程度低。需要將情報能力融入傳統政務安全，建立檢測、分析、響應三位一體的安全體系，依靠取證溯源提升安全專業能力。

　　互聯網行業

　　長期面對層出不窮的新型攻擊手段與未知威脅，攻擊呈現出復雜性、隱蔽性、針對性的趨勢，被動防御模式很容易被繞過。構建情報驅動的業務安全體系迫在眉睫，以實現云端和本地的全面監控。

　　能源行業

　　內網易被感染，隔離內網無法做到萬無一失，且通常分支機構多、分布地域廣，資深安全分析人員短缺，安全運營集中管控難度大。隔離內網威脅檢測能力和威脅事件分析及處置能力亟需提升，運用情報加持總部分部集中管控，一點感知、全網聯動。

　　醫療行業

　　信息系統安全建設能力相對其他行業薄弱，醫院業務系統80％部署于虛擬化環境，缺乏東西向安全防護，終端數量多、分布范圍廣，運維工作難度大。利用情報輔助及時發現、處理潛在威脅，加強對未知威脅的感知，加強對終端安全管理和數據中心虛擬化安全防護。

　　而如果從企業規模的維度來分析，威脅情報服務按照需求分層發展。

　　大型企業

　　將威脅情報作為基礎設施的一環，意在建設自身威脅情報能力，實現對多源威脅情報采集、處理、分析、生產，結合自身業務需求構建網絡安全威脅情報運營的閉環，因此多傾向投資威脅情報數據、威脅情報平臺建設能力與定制化服務。

　　中小企業

　　重視在第一時間識別和檢測網絡中的攻擊事件或異常行為，多采購可直接消費的威脅情報，如可定性、可研判、可攔截、可溯源的高質量威脅情報，或內嵌威脅情報能力的集約化安全服務（威脅檢測、響應處置、安全運營、事件分析等）。

　　威脅情報服務痛點明顯

　　標準化賦能安全協同生態建設

　　再來看威脅情報服務提供端，報告分析，中國威脅情報服務目前存在門檻高、共享難、用戶選擇困難、情報利用率低等痛點；許多廠商基于自身技術優勢，將情報分析的研究重點放在信息采集和終端態勢感知技術方面，而對威脅情報分析和質量關注較少。

　　然而，威脅情報服務的關鍵不在于情報收集，而在于對信息化數據、業務數據和安全數據的整合，從海量數據中深度挖掘線索，發現真正有價值的攻擊事件和藏匿很深的APT攻擊，這對于很多組織機構而言門檻較高。類似威脅捕手、安全大數據分析師這樣的威脅情報相關新興安全職業崗位的人才嚴重匱乏。

　　基于用戶需求和政策推動，國內威脅情報市場蓬勃發展，許多專業安全廠商陸續推出帶有自身特點的產品或服務，其中既有綜合型網絡安全廠商，也有獨立的專業威脅情報廠商。

　　微步在線

　　構建了一個廣闊的威脅情報云，通過對互聯網以及多個渠道中開放數據的不斷采集，再對這些數據進行加工、分析，進而生產出威脅情報，去感知攻擊者的行為、動態以及新變化。近期，微步在線品牌升級定位為數字時代網絡威脅應對專家，基于海量情報數據的安全云為核心能力，推出了全面覆蓋從檢測到響應的產品矩陣，包括威脅感知、威脅情報管理、云化端點響應、云化互聯網安全接入、安全分析社區和應急響應服務等多個場景，不斷將領先的威脅情報能力產品化，為企業威脅發現與安全運營工作更好的賦能。

　　永安在線

　　長期致力于威脅情報領域技術的研究和應用，曾推出業內首個業務情報搜索引擎、面向全球開源星云風控系統、發布首個業務安全藍軍測試標準、業內首發IPv6風險識別引擎等。其新一代業務風險情報平臺，基于對黑產產業鏈的長期跟蹤挖掘，通過全網部署的蜜罐體系和風險感知技術，每日數億的情報收集、運營和實時更新能力，從情報維度幫助企業提升業務風控攻防效率和數據安全防護能力，保障企業在線業務健康發展。

　　天際友盟

　　定位于威脅情報的分析者、加工者和搬運者，指出“生態協同”是真正將威脅情報實現價值共享的方式，其打造TI Inside模式，除了自身產品產生的威脅情報外，還實時匯聚全球200+情報源，包括開源數據、商業數據，以及其他從合法渠道獲得、再經過加工、分析、整理而成的數據，打造可靠、有效、易用、適用性強的威脅情報解決方案。

　　報告認為，標準化是威脅情報共享的必要前提，中國國家標準體系的建設尚處于起步階段，在未來將進一步完善威脅情報共享體系和機制，夯實威脅情報基礎，賦能安全協同生態建設。為加強多源異構威脅數據整合、提取和分析，提升網絡威脅情報準確性，可基于網絡安全知識圖譜技術，實現關鍵威脅要素的融合與關聯分析，形成統一高質量的威脅基礎知識庫，構建威脅情報能力。

更多信息可以來這里獲取==>>電子技術應用-AET<<