在网络安全行业中,威胁情报算是近几年发展迅猛的细分领域,各行业用户对威胁情报的理解和应用越来越充分,创业公司和大厂一同活跃在市场中,从产品技术到应用场景,威胁情报领域都在发生肉眼可见的变化,也产生了新的趋势。
近期,国际知名咨询机构沙利文(Frost & Sullivan)联合头豹研究院发布了最新的《2022年中国威胁情报市场报告》(以下简称《报告》),对威胁情报领域的态势进行了最新的研究与预判,笔者认为有以下几个方向值得从业者、用户和投资人关注。
威胁情报痛点:服务门槛高、情报利用率低,共享与用户选择难
2015年微步在线、天际友盟、烽火台联盟等威胁情报厂商与平台的创建,正式开启了中国威胁情报的进程。此后三四年,中国威胁情报市场开始高速增长,并在网络安全环境发展与国家政策双重驱动下,成为政企机构信息安全防护体系的标配。但国内企业在实际应用中,存在门槛高、情报利用率低、用户选择困难、共享难等多个痛点:
威胁情报服务的高门槛,在于威胁情报具有一定技术壁垒、需要处理海量数据,对于响应速度、自动化及安全人才都有一定要求。
而想要利用好威胁情报,除了数据整合、深度挖掘、情报分析等技术能力,也需要好的方法论、高质量的威胁情报,否则企业对威胁情报的利用率将会很低。
当前威胁情报市场虽然提供了各种不同的威胁情报服务,但极少数厂商提供定制化情报服务,缺少帮助企业真正了解情报内容,并基于有效信息分析指导企业对安全局势做出前瞻性判断和决策的一站式情报服务的可靠落地方案,企业选型困难普遍。
另外,威胁情报共享对于企业与行业都极为重要,但企业往往仅希望从共享情报获益,不愿提供太多自身情报,使得整个情报联盟最终陷入“纳什均衡”,造成威胁情报难以聚合、流通与分享。
不同行业威胁情报需求各异,金融、政府、互联网等成主要用户
威胁情报已应用于越来越多行业,成为不同行业信息安全防护支撑的基础能力。整体而言,当前阶段由于金融、政府、互联网等行业信息化程度高,更受黑客黑产关注,被攻击也较为严重,更需要借助威胁情报进行主动威胁发现与响应,成为威胁情报服务的主要用户。但每个行业核心诉求各不相同,例如:
金融行业:主要面临网络钓鱼、安全漏洞、数据泄露等问题,而企业往往威胁发现能力不足,针对进入内网的威胁无法及时发现与响应,也无法定位关键威胁并处置,该行业更关注安全态势集中呈现,希望提升内网失陷威胁检测,并通过威胁情报赋能已有安全设备分析能力。对于金融行业企业而言,威胁情报已成为有效感知企业整体威胁的重要工具。
政府行业:遭遇的勒索病毒、数据泄露、钓鱼等威胁则相对更多,对于高级威胁发现能力较弱,缺少专业安全运营人员,且威胁检测主要依靠安全厂商,整体安全运营工作自主化、智能化、可视化程度低,行业需要威胁情报赋能传统政务安全,集检测、分析与响应于一体,提升取证溯源的专业能力。威胁情报厂商如果提供检测、分析与响应的产品或服务,可更好地满足政府行业的安全需求。
互联网行业:面对的新型攻击手段与未知威胁更多,遇到攻击更具复杂性、隐蔽性与针对性,传统的被动防御模式经常被绕过,行业核心诉求在于云端本地全面监控,通过威胁情报防范传统安全与业务风险,构建情报驱动的安全体系。对威胁情报厂商来说,不仅需要具备本地威胁发现能力,云上威胁检测与响应能力也非常重要。
能源行业:主要安全风险在于分支机构多、分布地域广,安全运营集中管控难度大,内网易于被感染,且缺少资深安全分析人员,难于提升威胁事件分析与处理能力。行业整体对基于威胁情报实现隔离内网的威胁检测能力提升,总部集中管控等需求强烈。
中国威胁情报市场稳定发展,创业企业比肩大厂
中国威胁情报仍处于发展初期阶段,相较于美国仍有一定距离,不过随着国家对网安产业的重视以及政策的相继出台,产业有望持续稳定发展。据头豹研究院《2022年中国威胁情报平台行业概览》数据显示,全球网络安全市场规模已突破1500亿美元,预计未来将维持10.0%的年复合增速,而未来五年中国威胁情报市场规模有望达到26.6亿元。
为更好呈现中国威胁情报市场竞争态势,《报告》根据“增长指数”和“创新指数”两大评估维度进行综合评分,微步在线、腾讯安全、奇安信等位列中国威胁情报市场领导者梯队,且多家创业企业入选增长者、挑战者及创新者不同象限,不同厂商各有优势,威胁情报市场发展更加成熟。
可以看到的是,作为国内最早的威胁情报厂商之一、国内威胁情报领军企业微步在线依旧引领国内威胁情报行业发展,不仅进入《报告》Frost Radar (弗若斯特雷达)TM 领导者象限,位列增长指数第一,超过国内互联网大厂,且在威胁情报生产及检索、情报共享体系构建、用户体验与应用场景融合、威胁情报分析工具创新等多方能力领先。
情报服务分层发展与应用场景细化,成未来发展方向
标准化的威胁情报虽可满足企业的一般需求,但对于不同攻击者群体、不同攻击技术及不同规模企业类型,威胁情报需求仍存在差异。
从企业规模出发,大型企业旨在建立威胁情报基础设施,实现对多源威胁情报采集、处理、分析、生产,结合自身业务需求构建网络安全威胁情报运营闭环,对威胁情报数据、威胁情报平台建设能力与定制化服务需求更大;中小型企业则希望第一时间识别与检测网络中的攻击事件或异常行为,因此更需要可定性、可研判、可拦截、可溯源的高质量威胁情报或是内嵌威胁情报能力的检测、响应、安全运营、事件分析等的一站式安全服务。威胁情报需求的分层化发展将加速显现。
另外,不同行业的威胁情报需求也不全相同,行业应用场景需更加细化,如能源行业、教育行业与政府行业关注的威胁情报就有很大差别。目前,国内部分安全厂商已在情报细分方面进行了一些实践。例如,威胁情报与防火墙结合时,中小企业更关注勒索软件、泄密或病毒木马等普通威胁,政府机构则更关注APT情报,因此事件中会针对中小企业用户的防火墙和政府机构防火墙推送不同的威胁情报。
随着国家对网络安全的重视程度提升,威胁情报将进一步用于政企信息安全防护的方方面面。在市场应用中,威胁情报服务正朝着更加场景化、行业化的方向发展。对于市场参与者而言,只要能牢牢抓住用户的需求与方向,即便创业企业也将大有可为。