2023 中国威胁情报订阅市场分析报告 2023ChinaThreatIntelligenceSubscriptionMarketAnalysisReport 1stEdition 2023.07 2 2023中国威胁情报订阅市场分析报告 万物互联的时代,机遇与挑战并行,便捷和风险共生。“没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。”习近平总书记高屋建瓴的话语,为推动我国网络安全体系的建立,树立正确的网络安全观指明了方向。 随着后疫情时代的到来和地缘摩擦,网络空间的安全对抗日趋激烈,传统的安全技术不能全面满足安全防护的需要,要想做到准确检测、高效响应和持续运营,威胁情报是必然的选择。 威胁情报颠覆了传统的安全防御思路,将“被动防御”转变为积极的“主动防御”,提高了信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握威胁信息则是“知彼”。正所谓知己知彼,百战不殆。在攻防不对等的局面下,威胁情报的出现能够尽可能的消除这种差异,对于网络安全防护体系的发展具有里程碑式的意义。 威胁情报并不是适用于所有人,在2023年3月GoogleCloudSecurity的一场活动中,许多安全分析师作出了坦诚的回答。考虑到大多数网络安全从业人员都在处理日常的安全事件和漏洞问题,如果需要威胁情报令组织直接受益,将威胁洞察力转化为行动的能力,并将其整合到业务和安全流程中,组织需要投入足够的资金预算。 但威胁情报又是网络安全发展未来的一部分,尤其是在AI高速发展的新时代。人工智能和机器学习可能是当下最重要的技术进步,为构建、发现和创造一个全新的世界带来巨大的机会,威胁情报有在其中扮演者一个关键的角色。同样在2023年3月,微软发布了一项新研究,在威胁情报中设置一个专门的人工智能安全红队,这是一个由安全研究人员、机器学习工程师和软件工程师组成的跨学科小组,致力于了解攻击者如何接近人工智能,以及他们如何能够破坏人工智能或机器学习模型,以便我们能够了解这些攻击以及如何领先于它们。威胁情报是打造未来安全AI必不可少的一部分。 在国内,威胁情报的概念虽在早在2015年就开始普及,但许多用户依然对威胁情报是什么、如何订阅获取、如何联动应用、业界有哪些落地实践的方式等基本问题都缺乏了解。当重大安全事件发生时会有大量的深度APT分析,可很多机构和组织往往不能充分利用其中信息,导致这些极具价值的信息被严重浪费。 当前国际秩序面临深度调整,全球科技竞争格局正加速重构,如何借助威胁情报能力提升自身业务安全基线,是中国众多关键基础设施企业需要思考的问题。在面对信息高度不透明、商业模式不统一的威胁情报订阅源时,能够做到正确、有效的将威胁情报应用于自身的生产环境中发挥出常规的价值已是不易,应该有更好的方式,能够让威胁情报简洁、高效的为更多组织机构所了解和应用。 斯元商业咨询基于网安行业最新技术动态及长期行业调研数据,针对当下中国网络安全市场的需求,对当前国内外主流的威胁情报订阅的商业应用模式进行调研后,发布本报告。报告内容涵盖威胁情报基本定义、主流威胁情报订阅模式、常见可订阅威胁情报类型、典型威胁情报厂商、威胁情报应用案例等内容,对当前国内市场的威胁情报商业订阅市场做出介绍。 希望本报告可以助力国内众多关键基础设施与甲方企事业单位的相关部门负责人及时了解威胁情报订阅的发展动态,在合规梳理、安全体系建设和技术选型等环节辅助决策。 1 本报告属于斯元商业咨询CyberSecurityBillboard系列报告之一。 2 最终客户 2023中国威胁情报订阅市场分析报告 摘要 ABSTRACT 威胁情报订阅商业市场生态 SIEMSOAREDRHIDS AVIDS/IPSNGFWDNSSecurity NTA/NDR WAF WAAP APISecurity SEG VPT RASP SWG ZTNA SASE SSE EASM CAASM BAS DAGDLP IAM IDaaS ITDRCNAPP PAM CASBICS/OT ... 威胁情报云平台TICloud Portal 情报查询 威胁情报订阅 TISubscription TILookup TIFeed 情报下载 API TIG 设备部署 平台部署 TIInside:独立网络安全专业产品 设备/平台部署 TIP 威胁情报 ThreatIntelligence 威胁信息 基本信息 威胁情报订阅商业市场生态 可订阅威胁情报类型 基础信息:8类 IP地理位置 域名服务器(DNSServer) 代理服务器(ProxyServer) Whois 内容分发网络(CDN) Tor节点 自治系统号(ASN) 互联网数据中心(IDC) 威胁信息:18类 APT情报 恶意软件 僵尸网络 垃圾邮件 事件情报 病毒木马 数字货币挖矿 扫描器节点 漏洞情报 勒索软件 恶意软件下载链接 色情网站 恶意网站 C&C节点 钓鱼网址 赌博网站 数字证书 恶意邮箱 3 TILookup TIFeed TIFeed和TILookup模式的区别 一、应用方式:TIFeed模式一般采用API接口调用、SDK引用集成两种方式获取;TILookup模式大多采用Web在线浏览、API接口调用两种方式查询。 二、应用效率:TIFeed模式为获取后本地内置应用,效率更高;TILookup模式为有输入基础上的交互应用,受QPS、网络性能等影响,效率较低。 三、应用场景:TIFeed模式可按数据类型、威胁类型、设备类型等不同应用需求进行差异化获取,及组织内多部门/多分支机构间共享交换;TILookup模式相对单一,且不能实现海量情报的共享。 四、应用效果:TIFeed模式为实时获取与预警,属于事前主动防御,TILookup模式为协同查询与溯源,偏向于事中事后被动防御。 五、数据丰富度:TIFeed模式偏向检测阻断应用,只需传递核心信息,数据丰富度较低;而TILookup模式偏向分析溯源,需提供更多佐证信息,数据丰富度较高。 六、风险数据隐私:TIFeed模式无需提供自有数据即可完成获取,TILookup模式需用户输入待查询数据才可获取查询结果,有数据泄露隐患。 威胁情报订阅提供厂商 威胁情报订阅市场数据 2023中国威胁情报订阅市场分析报告 2023中国威胁情报订阅市场 14.070.0% 12.0 10.0 7.1 8.0 6.02.8 4.0 2.04.3 0.0 2023 5.6 3.5 4.5 60.0% 50.0% 40.0% 30.0% 4.7 5.1 5.5 2024 TILookup 2025 TIFeed 2026 TIFeed整体市场占比 6.0 10.0% 0.0% 2027 20.0% 来源:斯元商业咨询,2023 单位:亿元 在订阅模式方面,随着威胁情报应用逐渐走向成熟,相较于威胁情报平台TIP等落地模式,TISubscription威胁情报订阅模式,正在为广大用户所接受。预计2023年中国威胁情报订阅服务市场支出约为7.1亿元,相比2022年增长18.2%。对于威胁情报订阅的总体支出预计将在2027年达到13.1亿元,年复合增长率约为15.6%。其中威胁情报查询TILookup模式2023年市场占比约为60.7%,年增速约为8.7%,增长平稳;威胁情报明文TIFeed模式2023年市场占比约为39.3%,年增速约为26.3%,处于高速增长期。 TILOOKUP市场占比 奇安信35.7% 其他25.6% 天际友盟2.1% 安恒4.1% 腾讯安全9.3% 微步在线23.2% TIFEED市场占比 其他36.8% Webroot7.0% VirusTotal(Google)13.6% 奇安信9.1% 天际友盟18.3% Kaspersky15.2% 4 目录 CONTENT 什么是威胁情报06 威胁情报的订阅模式10 可订阅的威胁情报类型14 提供威胁情报订阅服务的厂商17 威胁情报订阅的应用19 威胁情报订阅市场分析23 关于斯元商业咨询25 5 01 2023中国威胁情报订阅市场分析报告 POINT 什么是威胁情报 Whatisthreatintelligence 简述 2013年,Gartner首先针对威胁情报出版专题文章。此后,业界虽对威胁情报未有统一定义,但大多数文献均引用Gartner版本的定义。Gartner对威胁情报的定义如下: “威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。” 换句话来说,威胁情报是指能够阻止或减轻相关攻击的知识。威胁情报以数据为基础,提供上下文——比如谁正在攻击企业,他们的动机和能力是什么,以及安全分析人员在系统中需要寻找哪些失陷指标(IOC)——这有助于对企业的安全做出决策。 在安全行业内,大多数情况下所说的威胁情报指的是狭义(经典)威胁情报,主要是攻击者相关信息:包括动机、目标、TTP(攻击技战术)、IOC(失陷标识:IndicatorsofCompromise)等。特别地,在威胁行为检测场景下,其主要内容特指用于识别和检测威胁的失陷标识(IOC),如IP、Domain、URL、Email、文件Hash值等低层次技术级威胁情报。本文后面所述威胁情报,如无特别说明,也是指狭义(经典)的威胁情报。 概念 顾名思义,威胁情报的“威胁”一词,是指组织遭遇到的安全威胁,如果反映到组织的数字资产中,即数字资产所可能遭遇的风险。其中“情报”一词,源于军事领域中“军事情报”概念。依据现代汉语词典的定义,“情报”为获得有关对方各方面的情况,以及对这些情况进行分析研究的成果。因此,这里可以看到威胁情报概念的出现,首先是为获取外部威胁相关的信息,并对其进行分析研究。 在描述和监测一个来自外部的威胁时,造成危害所依赖的条件和情境等上下文,包括诸如所利用的漏洞、手法、工具等要素,也应该被引入到威胁情报概念模型中,进行统一的结构化描述,以便于使用者可以快速匹配和评估这些外部威胁是否会对自己所在组织造成影响。 随着IT技术和5G等基础通信技术日新月异的发展,全面互联互通的时代即将到来,威胁数据和威胁信息的数量也因此急剧增长,但只有经过研判和分析后的威胁信息才能称作威胁情报。威胁情报作为一种基于证据的知识,可以成为网络安全风险管理的有机组成部分,通过特种迹象发现潜在的威胁,并及时传递给决策中心,从而形成决策中心的闭环响应能力。 标准 根据情报的表现形式,威胁情报可分为人读情报和机读情报两类。 ·人读情报为可被人们直观理解并使用的情报内容,一般是文章、报告或者安全事件摘要等。 ·机读情报则为可被计算机系统识别、结构并运用的情报,一般是遵循某种情报数据标准的格式化数据。 目前,主流化的威胁情报为机读情报。当前多源威胁情报体系逐渐成为主流,为实现情报的快速共享、存储和使用,最大化地挖掘威胁情报价值,标准化的情报格式便显得格外重要。 威胁情报标准,无论是国内标准还是国际流行的标准,都为组织提供威胁情报的生产及运营提供丰沃的土壤。 接下来将简述国内外最常用的几个威胁情报标准: 1.STIX&TAXII STIX和TAXII均为OASIS(结构化信息标准促进组织)所收录的国际标准。其中,STIX用于实现威胁信息的结构化表达;TAXII则是通过构建一套信息交互协议完成多节点间威胁信息的交换与共享。 1)STIX STIX(StructuredThreatInformationExpression)意为结构化威胁信息表达式,由MITRE联合DHS(美国国土安全部)发布,早期的STIX1.x版本提供了基于XML语法来描述威胁情报的细节和威胁内容的方法(后续的STI