正文
不同安全产品在网络安全防御中有特定防护对象和应对的威胁类型,威胁情报的能力可以有效提升安全产品防护主动性与及时性。威胁情报能实时收集、分析全球网络威胁信息,精准洞察新型攻击手段。当新威胁出现,安全产品依据自动生成的威胁情报快速精准检测,快速响应处置。如未知恶意软件来袭,产品借助情报预判,主动出击拦截,而非被动等待攻击发生,起到防御关口前移功能,极大增强防御效能。
威胁情报价值
从提升企业主动防御能力到增进企业全面安全运营效能
在当今复杂多变的网络安全环境中,企业可以通过借助动态更新的威胁情报库或威胁情报赋能的安全产品提前洞察潜在的安全风险,在攻击尚未发生之时就精准布防,实现主动防御,有效防止恶意入侵。在安全协作方面,威胁情报作为一种标准化的信息载体,可以实现跨部门/组织共享安全信息与应对策略、实现最大化利用安全资源,构建起稳固且可持续发展的网络安全体系。
国内外发展对比
基础能力至成熟产品发展趋同,产品融合与使用水平进展有别
海外威胁情报行业的宏观发展路径经历了从基础威胁情报能力的构建,到成熟可调用的威胁情报能力平台的建立,再到威胁情报与其他安全产品的联动融合三个阶段。国内威胁情报行业的发展轨迹与此相似,但由于起步较晚,其发展速度和成熟度与海外相比有所差距。在产品融合与使用水平方面,由于国内外安全需求的差异,国内威胁情报融入的产品类别顺序与海外存在差异。此外,海外由于安全产业起步较早,多数企业的整体安全运营能力相对优于国内,因此海外企业在威胁情报的使用水平上也相对较高。
中国威胁情报行业产品商业模式
三类纯情报产品各具优势;多样情报融合方式形成3类综合产品
当前国内市场威胁情报主要以两种方式被用户采用,一种是对威胁情报数据及平台的直接应用与消费,另一种是通过使用安全监测响应类产品,为这类产品中的情报能力或情报模块买单。前者专注提供高质量的情报数据和服务,通常以标准化API接口、TIP平台或是通过威胁情报门户账号订阅方式交付,API及威胁情报门户账号订阅更侧重情报数据交换的便捷与及时性,TIP则更侧重对情报数据的查询、分析、生产、共享及狩猎等全方位情报管理与流程化操作。后者情报主要以三种方式与其他产品融合,形成情报赋能型产品。
中国威胁情报行业产品能力与厂商竞争力
产品能力指标:准确性、丰富性、及时性;厂商竞争力指标:数据、技术
【产品能力指标】从用户视角看,威胁情报产品能力可拆分为情报准确性、丰富性与及时性三方面。准确性指威胁情报的精准度,能够有效帮助客户减轻安全运营成本;丰富性对应威胁情报的覆盖度与颗粒度,体现了情报的信息含量;及时性指威胁情报在其生命周期结束后快速更新,保证情报信息的高可用。这三方面也是用户订购威胁情报产品的核心考量因素。
【厂商竞争力】从情报生产侧观察,安全大数据的采集以及对数据的分析挖掘能力成为企业的核心竞争力。安全大数据采集包括利用社区、沙箱、蜜罐等多种方式获取公开情报、恶意样本特征、基础网络信息等安全类基础数据,为威胁情报的生产提供“原料”。同时,各厂商借助大数据处理、人工智能等一系列技术手段,采用自动化方式将以上基础数据进行标准化、关联与拓线,并由专业分析师参与重点情报的定向分析,持续生产高质量、多维度的威胁情报。
中国威胁情报行业厂商能力特点
基于基础数据、服务经验、业务特征等自身禀赋,差异化构建情报能力
威胁情报对于安全类产品的能力提升已经成为行业共识,业内主要厂商均已着手构建情报能力。但由于企业DNA所造就的在基础数据、服务经验、业务特征等方面的差异,因而各厂商的威胁情报产品能力也各有特点。下表列举了5家威胁情报主要厂商代表以及中小型威胁情报厂商的能力差异,我们可以看到各厂商如何基于自身禀赋及战略目标,规划设计威胁情报产品,以及产品落地情况。
中国威胁情报产业图谱
