威胁情报

威胁情报 作者 常乔雨 摘要 威胁情报行业是指专门针对网络安全威胁的情报搜集、分析和利用领域。威胁情报的主要目标是发现、分析和对抗各种网络安全威胁，包括网络攻击、网络犯罪、恶意软件等。威胁情报机构通常由政府、军事、情报和安全机构、大型企业以及专门的情报公司组成。威胁情报可以通过多种方式收集，包括安全日志、网络嗅探、网络情报共享、漏洞扫描、黑客攻击等。企业网络安全建设已成为未来发展的主攻方向，威胁情报作为核心发展领域，未来将呈现防御性能逐步完善，产品业务日趋融合，分层发展加速显现以及国家重视程度不断提升的趋势。 行业 头豹分类/信息传输、软件和信息技术服务业/软件和信息技术服务业/运行维护服务/运维安全 港股分类法/信息科技/软件服务 关键词 威胁情报 网络安全 APT攻击 API 威胁情报行业定义 1. 威胁情报指通过各种来源获取内外部威胁参与者动机、意图以及能力信息，并针对现有以及未来或将出现的威胁提供策略，可用于安全威胁、恶意行为、恶意软件等数据集分析。威胁情报行业属于网络安全范畴下的分支。传统网络安全防护措施以防御手段为主。通过采取攻击行为感知、收集、分析、通报等防御手段、实现对网络安全状况的检测。新时代网安防护措施以安全情报（广义威胁情报）为主，覆盖攻击威胁、黄赌毒威胁、舆情威胁。狭义威胁情报专指攻防类威胁信息。威胁情报信息具备丰富度高、时效性强、应用度广以及主动性高的优势、已成为金融、能源、科技、政府、运营商等领域网络安 全不可或缺的工具。 威胁情报行业分类 2. 根据情报来源、情报内容、情报形式以及情报价值可对威胁情报进行不同层面的划分。 类型名称 类型说明 按情报来源分类 根据情报来源方式分为内部情报（由公司、组织内部产生）与外部情报（搜集、交换或购买的外部威胁信息）。 按情报形式分类 根据情报内容可分为基础信息类情报（涵盖IP、域名、URL、邮箱）、威胁类情报（覆盖攻击者、攻击模式、基础设施、漏洞、样本）、资产类情报（覆盖基础信息的安全状态、威胁状态、恶意历史、样本、事件等内容）和事件类情报（概述情报发生事件、参与方、损失类型、影响程度等信息）。 按情报内容分类 根据情报读取形式可分为机读情报（可被计算机系统识别、结构并运用的情报）和人读情报（可被人们表观所理解并使用的情报内容）。 按情报价值分类 根据情报价值力可分为战术级情报（应用层面最广且可读性较强的威胁情报）、运营级情报（可知道管理层运营行动或决策的情报信息）以及战略级情报（指带有建议分析的威胁情报内容，可为战略制定方提供较强的综合性分析指引）。 威胁情报行业特征 3. 中国企业对网络安全的实际需求度和重视度在增加，对网络安全技术投资加大。在网安领域，威胁情报的投入比例以13%排在第一位，未来发展前景良好。 由于网络攻击整体呈现多元化的趋势，威胁情报行业在企业安全建设中占据举足轻重的地位。未来随着网络安全问题的日趋复杂和多元化，政府、金融、电信、能源等企业会加大网络安全的预算投入。其中，威胁情报类投入占比高达13%，数据安全与网络安全各以12%的投入占比紧随其后，基础设施安全、应用程序安全、和身份解决方案以11%排在第三位，末尾则是云迁移与整合、物联网、以及事件响应与灾难恢复，各占10%。 中国威胁情报行业商业模式分为自建模式、数据交付模式、服务交付模式以及产品交付模式。 1.32%的企业倾向于自建威胁情报中心/平台，如超大型国企。此模式对人力、物力、财力成本较高且需具备独立应用威胁情报能力，一般为超大型国企方可实施。2.8%的企业倾向于购买SaaS/API平台，即数据交付模式。此模式仅提供威胁情报数据的查询、使用功能、对不具备独立应用能力的企业要求较高。3.60%的企业倾向于集成化采购方式，即服务和产品交付模式。此模式可为非专业人员/公司提供威胁情报能力的查询、检测、测试、评估、使用、应急等网络安全服务包，受众领域更广，接纳度普遍更高。 中国威胁情报行业的竞争格局较为分散，行业龙头市场份额不足10%，TOP5安全厂商所占市场份额仅为30.7%。 根据2020年中国网络安全市场中企业所占市场份额来看，整体市场呈现“多头竞争”的局面，行业内龙头企业市场份额亦不足10%，TOP5安全厂商所占市场份额仅为30.7%，原因主要有三：1.我国威胁情报产业处于初期发展阶段，传统大型网络安全企业如奇安信、绿盟科技、安恒信息等加大布局威胁情报领域。2.腾讯、阿里等大型互联网企业利用其自身综合化技术资源优势，持续加码情报领域。3.新兴威胁情报企业如微步在线、天际友盟、观安信息等，凭借自身技术创新力、产品竞争力、商业主推力等优势，在威胁情报产业链条中占有一定市场份额。 中国威胁情报行业竞争格局较为分散，商业模式以服务和产品交付模式为主，未来发展前景广阔。 竞争格局分散 商业模式以服务和产品交付模式为主 发展前景良好 威胁情报发展历程 4. 威胁情报始于二十世纪早期的军事情报，随着计算机网络的普及和互联网的兴起，网络安全威胁开始显现。1990年代，美国国家安全局（NSA）开始研究网络安全威胁情报，行业正式进入萌芽期，并在2004年建立了威胁情报中心（ThreatOperationsCenter，TOC）。2004年，威胁情报行业正式进入启动期，美国发布《网络空间安全国家战略》，提出建立信息共享与分析中心。随着人工智能、大数据等技术的不断发展，威胁情报行业也在不断创新和进化，例如使用机器学习和数据挖掘技术来实现自动化的威胁情报分析，建立威胁情报平台，加强网络安全预警等方面的工作。威胁情报已经成为网络安全 领域的重要组成部分高速发展，其重要性和影响力在不断扩大，当下处在高速发展阶段。 开始时间：1980结束时间：2000阶段：萌芽期 行业动态：美国政府企业通过信息技术和网络的快速发展，开始采用威胁情报来应对计算机网络的攻击。 行业影响/ 阶段特征：源于美国和苏联之间的情报竞争，威胁情报的发展萌芽期可以追溯到冷战时期。随着信息技术和网络的快速发展，威胁情报得到了更广泛的应用和深入发展，威胁情报逐步发展成为独立的领域，吸引更多的学者和研究人员的关注。 开始时间：2003结束时间：2010阶段：启动期 行业动态：1.2003年，美国发布《网络空间安全国家战略》，提出建立信息共享与分析中心，接收实时网络威胁和漏洞数据。 2.2010年，美国发布《国土安全网络和物理基础设施保护法》进一步凸显威胁情报重要性。 行业影响/ 阶段特征：在20世纪早期，美国正式提出威胁情报的发展概念，并建立威胁情报有关信息共享与分析中心。由于美国政府采用计算机来抵御威胁情报，针对网络威胁的自动化工具和系统开始出现。自此，威胁情报开始从手动搜索期向自动期化收集期进行转化。 开始时间：2010结束时间：2020阶段：高速发展期 行业动态：1.2015年，美国建成全国性的网络威胁情报中枢，构建“网络天气地图”威胁情报管理体系； 2.同年，威胁情报进入中国市场。微步在线，天际友盟和烽火台联盟等威胁情报厂商和平台相继成立； 3.2018年，欧盟网络与信息安全局发布《碳素威胁情报平台机遇与挑战》，强调威胁平台的重要性； 4.2018年，国内第一个关于威胁情报的标准《信息安全技术网络安全威胁信息格式规范》正式发布； 5.2020年，英国网络威胁情报平台IATITAN,帮助投资经理保护公司免受网络攻击。 行业影响/ 阶段特征：威胁情报的高速发展期可以追溯到21世纪初期。当时互联网和数字技术的快速发展给网络安全带来了新的挑战，需要更加高效和智能的威胁情报来保护网络安全。在这个时期，人工智能和大数据技术开始应用于威胁情报的分析和处理，威胁情报的智能化和协同化发展成为主要趋势。随着全球化和信息化的发展，各国也已将威胁情报的重要级提升到国家级，并出台一系列规范政策和相关企业扶持计划。 威胁情报产业链分析 5. 威胁情报的产业链上游由硬件设备、软件系统、和基础能力组成。上游的硬件设备主要包含基础元器件、芯片、和内存。软件系统包含操作系统、数据库、和中间件。基础能力方面则包括引擎、算法、以及规则库。中游包含了网络安全软件、网络安全硬件和安全服务，其中网络安全硬件的市场份额最大，达到42%。中游的业务模式以三种形态呈现，分别是自建模式、数据交付模式、和集成化采购模式。当下最热门的商业模式为集成化采购，原因是自建模式和数据交付模式分别对前期投入有高门槛的要求，不适宜中小企业使用，而威胁情报行业的市场份额整体呈橄榄球状，所以集成化采购会更加满足市场的普遍需求。威胁情报产业链的下游则是各行业的终端用户，其中由于出于监管的需要，政府部门、金融行业、和电信行业是威胁情报主要的需求者。2021年三者在威胁情报市场中占比分别为23.7%，21.0%，和19.0%，总共贡献五成以上的行业规模。 应用市场参与者来看，下游终端用户的需求者主要为信息化程度高且对信息较为敏感的行业，其中包括政府部门、军队、金融、电信、能源、教育等。从 目前中国威胁情报产业的上游还处在高度依赖国际进口的阶段，CPU方面英特尔和AMD在中国的市占率达到了90%，显卡方面，英伟达的独立显卡市占率也达到了86%，操作系统方面，微软操作系统的市占率超95%。上游厂商高度依赖进口厂商在一定程度上会制约威胁情报产业的发展。在未来，由于国际芯片联盟对中国的持续制裁以及威胁情报产业对硬件的高度需求，中国会持续加大对自研上游硬件的研发投入，逐渐降低对进口需求的依赖，行业制约因素有望得到改善。中游的商业模式层面，集成类采购的商业模式最受市场欢迎，服务方式与中国多数企业契合，未来将成为威胁情报的主要服务方式。主要原因是自建模式和数据交付模式分别对前期投入有着高门槛的要求，且弹性较差，无法迎合中型企业的普遍需求。中游的企业层面以产品交付的企业生存力要大于单一提供安全服务的企业，在过去一年的疫情中，网络安全产品型公司有1379家，同比增长8%。服务型公司有2155家，同比减少44%。下游 下游行业应用发展趋势来看，网络安全威胁情报的下游需求会持续增加，行业未来数年内保持高速增长。 上游环节 上游分析 上游参与方 硬件设备：基础元器件、芯片、内存 从上游原材料供给端分析，上游硬件产品供应商 微软（中国）有限公司、阿里巴巴（中国）网络 软件系统：操作系统、数据库、中间件 主要包括元器件供应商、IT设备供应商、CT设 技术有限公司、北京明略软件系统有限公司、阿 基础能力：引擎、算法、规则库 备供应商等。其中芯片、存储设备仍然以进口产 里云计算有限公司、英特尔（中国）有限公司、 品为主。如CPU主要依赖于Inter和AMD，二家 三星（中国）投资有限公司、英伟达芯片科技有 市占率高达90%，显卡方面英伟达独显市占率达 限公司、中兴通讯股份有限公司、曙光信息产业 86%。软件方面IT系统中的操作系统中，微软在 股份有限公司、东软集团股份有限公司、华为技 中国的占有率超95%。而基础算力方面，中国在 术有限公司、北京百度网讯科技有限公司、神州 近年来对自家企业扶持的力度加大，相关企业的 数码集团股份有限公司、昆仑万维科技股份有限 融资金额和数量在2022年同比增长147%。 公司、浪潮集团有限公司、广州市微米生物科技有限公司、北京华胜天成科技股份有限公司 从上游原材料生产成本端分析，未来威胁情报的基础设施成本会降低。威胁情报的基础设施主要包括硬件设备、网络带宽、和云计算服务。其中云计算服务的成本在过去几年内不断降低，2020年中国公有云的基础设施服务价格相较2015年已降低超过60%。网络带宽的成本随着5G基建的不断完善也呈现降低趋势，根据中国信通院的数据显示，中国宽带费用在过去5年内在提供同样网速下，每年的价格都在一定程度地降低。硬件成本的波动总体不大，价格主要受市场供需影响，未来随着国产硬件的技术突破，价格也会随之降低。综上所述，中国威胁情报行业的