2022年中国威胁情报市场报告
AI智能总结
2022年 中国威胁情报市场报告 2022ChinaThreatIntelligenceMarketReport2022年中国脅威情報市場報告 报告标签:威胁情报、网络安全、APT攻击、API (摘要版) 报告提供的任何内容(包括但不限于数据、文字、图表、图像等)均系头豹研究院独有的高度机密性文件(在报告中另行标明�处者除外)。未经头豹研究院事先书面许可,任何人不得以任何方式擅自复制、再造、传播、�版、引用、改编、汇编本报告内容,若有违反上述约定的行为发生,头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标,头豹研究院无任何前述名称之外的其他分支机构,也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。 沙利文谨此发布中国云安全系列报告之《2022年中国威胁情报市场报告》年度报告。本报告旨在分析中国威胁情报市场的发展现状、产品特点、新动向及发展趋势,并判断中国威胁情报市场竞争态势,反映该细分市场领导者品牌的差异化竞争优势。 2022年第二季度,沙利文联合头豹研究院对威胁情报领域核心产品进行了下游用户体验调查。受访者来自泛互联网、金融、医疗、教育、能源、政务等多个领域,所在组织规模不一,细分领域有别。 本市场报告提供的威胁情报趋势分析亦反映�威胁情报行业整体的动向。报告最终对市场排名、领导者的判断仅适用于本年度中国威胁情报发展周期。 报告要点速览 观点提炼 威胁情报市场形态 “情报处理”或“情报循环”是威胁情报工作的基本流程,包括确定需求、收集情报、分析情报和传播分享四个阶段。自2015年前后正式进入国内市场以来,威胁情报在中国发展势头迅猛。 威胁情报服务痛点 中国威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点;市场提供的服务种类繁多,但缺乏可落地的一站式情报服务方案。 威胁情报市场发展 标准化是威胁情报共享的必要前提,中国国家标准体系的建设尚处于起步阶段,在未来将进一步完善威胁情报共享体系和机制,夯实威胁情报基础,赋能安全协同生态建设。 针对不同规模企业,威胁情报服务按照需求分层发展;针对不同细分领域及行业,威胁情报服务依照不同应用场景进一步细化。 •分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息,并形成准确而有意义的知识用于后续步骤的过程; 03•常用的威胁情报分析方法和模型包括LockheedMartin的CyberKillChain,钻 石分析法,MITREATT&CK等。 •“情报处理”或“情报循环”是威胁情报工作的基本流程,包括确定需求、收集情报、分析情报和传播分享四个阶段 威胁情报工作流程总览 确定需求 收集情报 分析情报 传播与分享 •决策者需要明确所需要的威胁情报类型,以及使用威胁情报所期望达到的目标; 01•决策者通常可以明确需要保护的资产和业务,评估其遭受破坏和损失时的潜在影响,明确其优先级顺序,最终确认所需要的威胁情报类型。 威胁情报收集从来源上包含如下渠道: •企业内部网络、终端和部署的安全设备产生的日志数据 02•订阅的安全厂商、行业组织产生的威胁数据 •新闻网站、博客、论坛、社交网络 •一些较为封闭的来源,如暗网,地下论坛 威胁情报工作流程 •对于企业内部安全人员,不同类型和内容的威胁情报会共享给如管理层,安全主管,应急响应人员,IT人员等; 04•对于企业内部采用的安全架构实现和安全防御设备,威胁情报可以分发并应用到SOC,SIEM,EDR等产品中; •对于乙方的威胁情报服务商通常会采用威胁情报平台(TIP),或者直接以威胁情报数据服务提供,其中通常采用的威胁情报分享格式为STIX和OpenIOC。 网络威胁情报流程与框架:需求,收集,分析及传播 情报过程始于了解团队或个人负责的威胁情报工作的要求。一旦组织确定了这些要求,分析师就可以专注于回答决策者的关键问题,并尽可能优化剩余的流程。确定威胁情报需求后,下一步需要收集情报信息。随着大规模入侵及攻击活动�现在新闻报道中,威胁情报团队对该来源的重视程度也越来越高,绝大多数网络威胁情报团队利用媒体报道等外部来源作为情报收集源,其次是来自特定威胁情报供应商的威胁源。 威胁情报分析过程比较复杂,且个人化特征明显,一般很难捕捉到,但以问卷或书面回答的形式可对此有较好的了解。威胁情报最常用的分析方法是直觉或基于经验的判断,杀伤链模型、钻石模型、MITREATT&CK框架等概念模型也经常被用到,结构分析技术(SAT)应用最少。 经过分析环节,威胁情报即完成了整个情报处理流程,接下来需要及时到达正确的受众,情报传播因信息类型和紧迫性而异。电子邮件文档是威胁情报最常用传播方式,其次是报告。这表明威胁情报传播更注重叙事形式,而不仅是IP地址、域等技术信息。 来源:天极智库,微步在线,头豹研究院 •美国是全球最早开展威胁情报工作的国家。之后,英国、欧盟等国家和地区也先后开展威胁情报工作。威胁情报自2015年前后正式进入国内市场以来,在中国发展势头迅猛 威胁情报服务发展历程 威胁情报在全球范围的发展历程 美国 2003年,发布《网络空间安全国家战略》提�建立信息共享与分析中心,接收实时网络威胁和漏洞数据;2010年,发布《国土安全网络和物理基础设施保护法》进一步凸显威胁情报重要性; 2015年,建成全国性的网络威胁情报中枢,构建“网络天气地图”威胁情报管理体系。 欧盟 2018年,欧盟网络与信息安全局发布《探索威胁情报平台机遇与挑战》,强调威胁情报平台的重要性; 2019年,发布《2018年ENISA威胁全景报告》,提升欧盟网络威胁情报能力;《增强欧盟未来网络安全战略价值链分析》强调建立网络安全威胁风险及实践信息等共享利用体系;2020年,爱沙尼亚和美国启动为期5年的网络威胁情报共享项目,提升网络威胁情报共享的自动化水平。 英国 英国国家网络安全中心搭建了网络威胁情报实时交换平台CiSP社区; 2020年,推�网络威胁情报平台IATITAN,帮助投资经理保护本公司免受网络攻击。 中国 2015年,威胁情报进入中国市场,微步在线、天际友盟和烽火台联盟等威胁情报厂商及平台相继成立; 2018年,国内第一个关于威胁情报的标准《信息安全技术网络安全威胁信息格式规范》正式发布; 2019年后,威胁情报的政策环境日益完善,推动威胁情报市场稳健发展。 中国威胁情报市场发展势头迅猛 从2018、2019年开始,中国威胁情报市场保持着高速增长,情报相关厂商已经可以提供比较全面的威胁情报产品。与此同时,国家对网络安全攻防演练工作的重视,也大力推动了威胁情报的市场应用。结合了高级威胁情报能力的XDR产品逐渐�现在市场中,并被越来越多的企业客户所接受。 中国威胁情报市场虽然起步较晚,但近几年发展势头迅猛,在网络安全环境和国家政策的双重推动下,威胁情报已成为政企机构信息安全防护体系的标配。 来源:国家工业信息安全发展研究中心,CCID,头豹研究院 •目前阶段,金融、政府、互联网等行业信息化程度较高、受黑客黑产关注和攻击较为严重,是威胁情报服务的主要用户 威胁情报用户画像梳理 不同行业威胁情报用户需求一览 网络安全威胁分布态势现存问题核心需求 金融行业 勒索病毒 钓鱼欺诈 安全漏洞 •针对已经进入内网的威胁无法进行及时发现、响应 •威胁发现能力不足,安全人员无法定位关键威胁并进行处置 •安全态势集中呈现 •提升内网失陷威胁检测能力 •情报赋能安全产品分析能力 数据泄露 政府行业 互联网行业 勒索病毒 勒索病毒 钓鱼欺诈 数据泄露钓鱼欺诈 数据泄露 安全漏洞 安全漏洞 •高级威胁事件发现能力弱 •安全运营人员短缺,威胁检测分析工作主要依靠厂商人员 •安全运营工作自主化、自动化、智能化、可视化程度低 •新型攻击手段与未知威胁层 �不穷 •攻击呈现�复杂性、隐蔽性、针对性的趋势 •被动防御模式很容易被绕过 •情报赋能传统政务安全 •检测、分析、响应三位一体 •取证溯源提升安全专业能力 •云端本地全面监控 •情报赋能传统安全与业务风险 •构建情报驱动的安全体系 完整版登录www.leadleo.com •内网搜易索于被《感2染02,2隔年离中内网国无威胁情报市场报告》 能源行业 勒索病毒 钓鱼欺诈 数据泄露 安全漏洞 法做到万无一失 •分支机构多,分布地域广,安全运营集中管控难度大 •资深安全分析人员短缺,威胁事件分析及处置能力亟需提升 •提升隔离内网威胁检测能力 •总部分部集中管控 •“一点感知,全网联动” 教育行业 勒索病毒 钓鱼欺诈 数据泄露 安全漏洞 •校园网信息安全基础建设薄弱 •原有安全防护体系的适应性和防护能力存在不足 •主动防御 •协同运营能力 医疗行业 勒索病毒 钓鱼欺诈 数据泄露 安全漏洞 •医疗信息系统安全建设能力相对其他行业薄弱 •医院业务系统80%部署于虚拟化环境,缺乏东西向安全防护 •终端数量多、分布范围广,运维工作难度大 •及时发现,及时处理 •终端安全管理 •数据中心虚拟化安全防护 •未知威胁感知 来源:天际友盟双子座实验室,微步在线,奇安信,头豹研究院 •国内威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点;市场提供的服务种类繁多,但缺乏可落地的一站式情报服务方案 威胁情报服务痛点分析 威胁情报服务痛点一览 技术壁垒 博弈困境 企业意愿 响应速度 共享难 门槛高 人才短缺 保密协议限制 自动执行 价格不透明 海量数据 数据整合能力 深度挖掘能力 情报利用率低 缺乏综合方案 用户选择困难 情报分析能力 缺乏方法论 概念繁多 情报质量 来源:CCID,头豹研究院 情报分享博弈困境 威胁情报共享对于企业和行业而言非常重要,然而很多企业想要从共享威胁情报中获益,自己却不想提供太多的情报信息。企业往往会与安全厂商签订有关威胁情报的保密协议,以致于这些情报不能被供应商用于更广泛的商业用途。在这种情况下,情报联盟易于陷入“纳什均衡”,导致威胁情报很难聚合、流通和分享。 缺乏可落地的一站式情报服务方案 许多安全厂商基于自身的技术优势,将情报分析的研究重点放在信息采集和终端态势 感知技术方面,而对威完胁情整报版分登析和录质w量w关w注.l较ea少d。le然o而.co,m威胁情报服务的关键不在于情报收集,而搜在索于对《信2息0化22数年据中、业国务威数据胁和情安报全数市据场的报整合告,》从海量数据中深度 挖掘线索,发现真正有价值的攻击事件和藏匿很深的APT攻击,这对于很多组织机构而言门槛较高。类似威胁捕手、安全大数据分析师这样的威胁情报相关新兴安全职业岗位的人才严重匮乏。 当前威胁情报市场提供的服务种类繁多,但只有极少数的供应商能提供定制化的情报 服务;企业用户比较选型难度大,“选择困难症”非常普遍。在所有不同类型的威胁情报服务中,仍然缺乏能够帮助企业真正了解情报内容、并基于有效的信息分析指导企业对安全局势做�前瞻性判断和决策的一站式情报服务的可落地情报方案。 •标准化是威胁情报共享的必要前提,中国国家标准体系的建设尚处于起步阶段,在未来将进一步完善威胁情报共享体系和机制,夯实威胁情报基础,赋能安全协同生态建设 威胁情报标准化打造情报共享生态 STIX2.1 中国威胁情报国家标准与美国STIX标准对比 美国 中国 标准发展 STIX0.3STIX1.1STIX2.0 STIX0.5STIX1.1.1 201220132014201520172018 STIX1.0STIX1.2STIX2.1 STIX1.0.1 《信息安全技术网络安全威胁信息格式规范》正式发布 20152018 《信息安全技术网络安全威胁信息表达模型》立项 模型框架 18类2类 域对象关系对象 攻击模式攻击活动恶意软件 攻击应对措施观测数据身份关系入侵特征集威胁报告威胁源 观点分析攻击工具安全漏洞 分
