從區(qū)域結(jié)構(gòu)看�,華北、華東和中南地區(qū)是中國(guó)威脅情報(bào)市場(chǎng)發(fā)展最為領(lǐng)先的三個(gè)區(qū)域�����,占市場(chǎng)的九成以上,這表明威脅情報(bào)的政策導(dǎo)向、行業(yè)導(dǎo)向較為明顯��,正在從經(jīng)濟(jì)結(jié)構(gòu)較為成熟的區(qū)域向外輻射�。
可以看到,中國(guó)威脅情報(bào)市場(chǎng)雖然起步較晚�����,但近幾年發(fā)展勢(shì)頭迅猛���,在網(wǎng)絡(luò)安全環(huán)境和國(guó)家政策的雙重推動(dòng)下��,威脅情報(bào)已成為政企機(jī)構(gòu)信息安全防護(hù)體系的標(biāo)配�。
眾玩家入局威脅情報(bào)��,質(zhì)與量成為競(jìng)爭(zhēng)基礎(chǔ)
威脅情報(bào)在國(guó)內(nèi)市場(chǎng)的興起����,吸引了一大批玩家紛紛入局,既有微步在線這類(lèi)從威脅情報(bào)起家的創(chuàng)新網(wǎng)絡(luò)安全廠商�����,也不乏奇安信�����、360����、綠盟科技、安恒信息等老牌安全廠商��。
新老廠商的激烈競(jìng)爭(zhēng)��,催化著威脅情報(bào)市場(chǎng)的成熟�����,也帶來(lái)了豐富的威脅情報(bào)產(chǎn)品�����,如:供安全產(chǎn)品檢測(cè)和報(bào)警排序使用的戰(zhàn)術(shù)情報(bào)或機(jī)讀情報(bào)�����;供安全運(yùn)營(yíng)人員做事件分析��、安全狩獵使用的作戰(zhàn)情報(bào)����;以及供安全管理者確定安全建設(shè)投入方向使用的戰(zhàn)略情報(bào)等�����。
同時(shí)�����,為了進(jìn)一步提升威脅情報(bào)的安全價(jià)值�,大多數(shù)安全廠商開(kāi)始以平臺(tái)化的形式提供服務(wù)�。在平臺(tái)產(chǎn)品上,使用先進(jìn)的大數(shù)據(jù)分析���、知識(shí)圖譜���、機(jī)器學(xué)習(xí)、人工智能及其他創(chuàng)新技術(shù)完成對(duì)海量數(shù)據(jù)的快速準(zhǔn)確分析����、針對(duì)性識(shí)別和安全防范建議,最終為客戶提供智能化���、自動(dòng)化的安全防護(hù)能力��。
在實(shí)際落地應(yīng)用中��,各家安全廠商也會(huì)將威脅情報(bào)作為一種高級(jí)安全能力����,與防火墻�、WAF、蜜罐����、內(nèi)網(wǎng)隔離等設(shè)備聯(lián)動(dòng),助于企業(yè)對(duì)高級(jí)威脅�����、新型威脅進(jìn)行識(shí)別和處理�,解決來(lái)自各種安全設(shè)備的海量安全告警問(wèn)題,幫助企業(yè)來(lái)實(shí)現(xiàn)自身安全能力和體系的升級(jí)����。
但值得注意的是,威脅情報(bào)價(jià)值體現(xiàn)所面臨的挑戰(zhàn)之一����,是真正了解威脅情報(bào)的內(nèi)容��,以及如何利用威脅情報(bào)提高自身的安全運(yùn)營(yíng)管理能力����。威脅情報(bào)數(shù)據(jù)的重要性不僅在于可以收集基本的威脅指標(biāo)��,還在于基于這些有效信息的分析可以幫助企業(yè)對(duì)安全局勢(shì)做出前瞻性判斷和決策���。這充分考驗(yàn)著安全廠商在情報(bào)數(shù)據(jù)獲取和大數(shù)據(jù)分析方面的能力����。
從情報(bào)數(shù)據(jù)獲取方式看����,安全廠商在部署情報(bào)資源庫(kù)時(shí),不但使用自有數(shù)據(jù)采集源����,還會(huì)采取多種方式獲取其他情報(bào)源以豐富數(shù)據(jù)源的數(shù)量。收集到數(shù)據(jù)源之后�,還會(huì)通過(guò)數(shù)據(jù)清洗、數(shù)據(jù)整合并對(duì)沖突數(shù)據(jù)進(jìn)行研判�����,來(lái)提升基礎(chǔ)數(shù)據(jù)的質(zhì)量,確保數(shù)據(jù)源的準(zhǔn)確性�����。
從情報(bào)數(shù)據(jù)類(lèi)型看���,安全廠商在提供威脅情報(bào)產(chǎn)品和服務(wù)時(shí)�����,必須要做到情報(bào)數(shù)據(jù)盡量多樣化,包括動(dòng)態(tài)IP信譽(yù)庫(kù)�����、惡意域名���、Hash值���、惡意樣本、Passive DNS�����、歷史Whois數(shù)據(jù)等,還應(yīng)重視諸如數(shù)據(jù)泄漏����、異常行為、情景分析等情報(bào)來(lái)源���,關(guān)注與TTPs(攻擊目標(biāo)�、攻擊工具��、攻擊方法)相關(guān)的情報(bào)���。
從數(shù)據(jù)分析方法看����,安全廠商需重視新技術(shù)如數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)在特征提取�、歸納、預(yù)測(cè)等方面帶來(lái)的顯著提升�,并且通過(guò)大數(shù)據(jù)分析提取威脅情報(bào)中的有效信息,才能給出有效的預(yù)測(cè)和決斷依據(jù)����。
事實(shí)上,并不是所有安全廠商都能實(shí)施專(zhuān)業(yè)的威脅情報(bào)分析。要從海量數(shù)據(jù)中深度挖掘線索���,發(fā)現(xiàn)真正有價(jià)值的攻擊事件和難以發(fā)現(xiàn)的APT攻擊��,是一件非常難的事情���,在技術(shù)側(cè)的模型、算法和用戶側(cè)的場(chǎng)景�����、經(jīng)驗(yàn)上��,都存在著較高的壁壘�。
一方面�����,多數(shù)安全廠商基于自身的技術(shù)優(yōu)勢(shì)����,將情報(bào)分析的研究重點(diǎn)放在信息采集和終端態(tài)勢(shì)感知技術(shù)方面,對(duì)威脅情報(bào)分析和質(zhì)量的評(píng)估較少關(guān)注��,并未針對(duì)“情報(bào)”本身進(jìn)行充分分析���。
另一方面���,由于既熟悉情報(bào)分析相關(guān)理論又能熟練使用大數(shù)據(jù)分析方法�、工具�����,且經(jīng)驗(yàn)豐富的專(zhuān)業(yè)情報(bào)分析人員數(shù)量嚴(yán)重不足���,對(duì)威脅情報(bào)分析工作造成了一定的影響���。隨著大數(shù)據(jù)環(huán)境下信息安全體系復(fù)雜性和威脅種類(lèi)的日益增加,海量數(shù)據(jù)的處理使得傳統(tǒng)的分析方法和工具難以勝任�����。
如微步在線這類(lèi)創(chuàng)新安全廠商�����,從成立之初便專(zhuān)注于威脅情報(bào)領(lǐng)域���,可以說(shuō)威脅情報(bào)是其立身之本�,在威脅情報(bào)數(shù)據(jù)的獲取和分析方面有著自己的獨(dú)門(mén)絕技。
微步在線的研發(fā)首先依賴(lài)于海量的基礎(chǔ)數(shù)據(jù)和精準(zhǔn)的分析模型�����,包括多年歷史Passive DNS�、長(zhǎng)期的歷史Whois、SSL指紋數(shù)據(jù)�、端口信息等長(zhǎng)久積累的全球化的基礎(chǔ)數(shù)據(jù)。
同時(shí)���,微步在線的情報(bào)研發(fā)團(tuán)隊(duì)利用各種手段感知到新型威脅的存在���,并進(jìn)一步研究威脅的投遞路徑、關(guān)聯(lián)關(guān)系等特點(diǎn)��,撰寫(xiě)對(duì)應(yīng)的威脅狩獵模型進(jìn)行追蹤��,最終依賴(lài)不同類(lèi)型的分析系統(tǒng)進(jìn)行威脅分析和情報(bào)的提取研發(fā)��。
由于在基礎(chǔ)數(shù)據(jù)積累方面的大量投入�,以及多年對(duì)數(shù)據(jù)模型的研發(fā)����、迭代��,微步在線的后臺(tái)情報(bào)研發(fā)系統(tǒng)已經(jīng)高度專(zhuān)業(yè)化和自動(dòng)化�,日均新增高可信度且處于活躍狀態(tài)的有效情報(bào)可達(dá)上萬(wàn)條�。
目前,微步在線在威脅情報(bào)安全云的核心產(chǎn)品研發(fā)上已持續(xù)投入了七年時(shí)間�����,推出了基于流量和終端的“云+流量+端點(diǎn)”全方位威脅檢測(cè)響應(yīng)產(chǎn)品矩陣�����,建立了足夠高的壁壘����,因而保持著威脅情報(bào)領(lǐng)域的領(lǐng)軍位置。
同時(shí)��,微步在線還有一個(gè)持續(xù)運(yùn)營(yíng)了6年的威脅情報(bào)社區(qū)��,國(guó)內(nèi)大部分的安全從業(yè)者�����、愛(ài)好者都是該社區(qū)的用戶,持續(xù)為社區(qū)貢獻(xiàn)著自己的力量�����。當(dāng)越來(lái)越多的安全行業(yè)同行和企業(yè)客戶加入社區(qū)��,微步在線的情報(bào)網(wǎng)絡(luò)效應(yīng)就越強(qiáng)�,這也成為其他安全廠商難以復(fù)制的獨(dú)特生態(tài)。
正如報(bào)告所言���,在未來(lái)網(wǎng)絡(luò)安全市場(chǎng)中���,威脅情報(bào)基礎(chǔ)數(shù)據(jù)的質(zhì)與量將成為安全廠商競(jìng)爭(zhēng)的基礎(chǔ)。
深耕威脅情報(bào)�,微步在線穩(wěn)坐第一寶座
隨著技術(shù)和產(chǎn)品的不斷成熟,威脅情報(bào)正在從潛力市場(chǎng)走向成熟市場(chǎng)���。據(jù)報(bào)告顯示�,未來(lái)三年中國(guó)威脅情報(bào)市場(chǎng)仍將保持高速增長(zhǎng)�����,2023年市場(chǎng)規(guī)模將達(dá)到25.9億元���,三年復(fù)合增長(zhǎng)率為46.9%����。
在激烈的市場(chǎng)競(jìng)爭(zhēng)中�����,誕生了如微步在線這樣的領(lǐng)軍者����。從市占率看,微步在線憑借其在威脅情報(bào)領(lǐng)域深耕多年的綜合實(shí)力及先發(fā)優(yōu)勢(shì)����,以13.6%的市場(chǎng)份額位列第一。從品牌能力看���,
微步在線在技術(shù)能力��、產(chǎn)品成熟度�、市場(chǎng)影響力��、服務(wù)能力等方面綜合實(shí)力同樣位列第一��。
這樣的排名并不令人意外,畢竟微步在線早已盛名在外���。作為國(guó)內(nèi)第一批威脅情報(bào)公司�����,微步在線已連續(xù)4年入選Gartner《全球威脅情報(bào)市場(chǎng)指南》�����,也是和全球威脅情報(bào)企業(yè)同臺(tái)競(jìng)技的中國(guó)廠商����。
憑借出色的威脅情報(bào)能力����,微步在線獲得了來(lái)自能源、金融�、智能制造、互聯(lián)網(wǎng)����、政府等行業(yè)的三百余家大型政企機(jī)構(gòu)的一致認(rèn)可,國(guó)家電網(wǎng)�、中石油���、工商銀行�、招商銀行、OPPO�、滴滴、京東�����、中信集團(tuán)�����、國(guó)家信息中心等均是其客戶�。
值得注意的是,不同于傳統(tǒng)的本地化部署安全產(chǎn)品����,微步在線采用基于云端的SECaaS(安全即服務(wù))模式,以標(biāo)準(zhǔn)化部署為主�����。
隨著云計(jì)算在各行各業(yè)得到廣泛應(yīng)用�����,信息安全面臨著邊界模糊、環(huán)境復(fù)雜��、威脅多樣化等多方挑戰(zhàn)��,將云計(jì)算����、大數(shù)據(jù)等技術(shù)與網(wǎng)絡(luò)安全行業(yè)進(jìn)行結(jié)合是必然趨勢(shì)。正如報(bào)告指出��,安全廠商需要把自身安全能力云化后賦能給企業(yè)客戶�,以SaaS訂閱模式提供威脅情報(bào)服務(wù)的交付方式將越來(lái)越受到市場(chǎng)歡迎。
目前���,微步在線威脅情報(bào)SaaS服務(wù)的續(xù)約率接近95%�,其訂閱式服務(wù)約占總收入80%左右����,這一數(shù)據(jù)在國(guó)內(nèi)外SaaS企業(yè)中都屬于非常高的水平。高訂閱率和續(xù)約率的背后�,凸顯了微步在線產(chǎn)品的價(jià)值以及用戶的滿意度。對(duì)于企業(yè)用戶而言,微步在線的威脅情報(bào)不僅僅是一個(gè)工具��,更是代表了持續(xù)運(yùn)營(yíng)的安全能力����,能夠滿足政企機(jī)構(gòu)在網(wǎng)絡(luò)安全實(shí)戰(zhàn)化方面的需求。
如今���,微步在線圍繞威脅情報(bào)的產(chǎn)出研發(fā)、應(yīng)用�、產(chǎn)品化等環(huán)節(jié)已經(jīng)形成專(zhuān)業(yè)的產(chǎn)業(yè)鏈條?����;谕{情報(bào)的核心能力��,微步在線通過(guò)流量檢測(cè)產(chǎn)品Threat Detection Platform(TDP)和端點(diǎn)威脅檢測(cè)與響應(yīng)產(chǎn)品OneEDR的深度結(jié)合��,把終端和流量中獲得的威脅信息統(tǒng)一管理���、分析����,聚合出安全事件的完整攻擊鏈,從而實(shí)現(xiàn)了“云+端點(diǎn)+流量”場(chǎng)景的全面覆蓋�����,向XDR邁進(jìn)了一大步���,加速了威脅情報(bào)能力的落地��。
結(jié)語(yǔ)
在新的時(shí)代背景下�,網(wǎng)絡(luò)攻擊方式趨于規(guī)?���;?zhuān)業(yè)化��,國(guó)際政治格局的新變化都促使企業(yè)的安全建設(shè)逐漸從合規(guī)走向?qū)崙?zhàn)化����。因此中國(guó)政企機(jī)構(gòu)需要配備威脅情報(bào)這類(lèi)新的安全工具,以覆蓋數(shù)字安全領(lǐng)域����,以提升組織的整體安全防護(hù)能力。如微步在線這類(lèi)安全廠商作為威脅情報(bào)市場(chǎng)的重要力量����,將充分發(fā)揮威脅情報(bào)的真正價(jià)值��,為政企安全決策做全面支撐���。
