從區(qū)域結(jié)構(gòu)看,華北��、華東和中南地區(qū)是中國威脅情報(bào)市場發(fā)展最為領(lǐng)先的三個(gè)區(qū)域��,占市場的九成以上,這表明威脅情報(bào)的政策導(dǎo)向�����、行業(yè)導(dǎo)向較為明顯��,正在從經(jīng)濟(jì)結(jié)構(gòu)較為成熟的區(qū)域向外輻射��。
可以看到�����,中國威脅情報(bào)市場雖然起步較晚���,但近幾年發(fā)展勢頭迅猛,在網(wǎng)絡(luò)安全環(huán)境和國家政策的雙重推動下����,威脅情報(bào)已成為政企機(jī)構(gòu)信息安全防護(hù)體系的標(biāo)配。
眾玩家入局威脅情報(bào)����,質(zhì)與量成為競爭基礎(chǔ)
威脅情報(bào)在國內(nèi)市場的興起�,吸引了一大批玩家紛紛入局,既有微步在線這類從威脅情報(bào)起家的創(chuàng)新網(wǎng)絡(luò)安全廠商���,也不乏奇安信�、360、綠盟科技�、安恒信息等老牌安全廠商。
新老廠商的激烈競爭�����,催化著威脅情報(bào)市場的成熟���,也帶來了豐富的威脅情報(bào)產(chǎn)品��,如:供安全產(chǎn)品檢測和報(bào)警排序使用的戰(zhàn)術(shù)情報(bào)或機(jī)讀情報(bào)�;供安全運(yùn)營人員做事件分析���、安全狩獵使用的作戰(zhàn)情報(bào)����;以及供安全管理者確定安全建設(shè)投入方向使用的戰(zhàn)略情報(bào)等���。
同時(shí)�����,為了進(jìn)一步提升威脅情報(bào)的安全價(jià)值�,大多數(shù)安全廠商開始以平臺化的形式提供服務(wù)。在平臺產(chǎn)品上����,使用先進(jìn)的大數(shù)據(jù)分析、知識圖譜��、機(jī)器學(xué)習(xí)�����、人工智能及其他創(chuàng)新技術(shù)完成對海量數(shù)據(jù)的快速準(zhǔn)確分析����、針對性識別和安全防范建議,最終為客戶提供智能化��、自動化的安全防護(hù)能力���。
在實(shí)際落地應(yīng)用中��,各家安全廠商也會將威脅情報(bào)作為一種高級安全能力����,與防火墻�、WAF、蜜罐��、內(nèi)網(wǎng)隔離等設(shè)備聯(lián)動�,助于企業(yè)對高級威脅、新型威脅進(jìn)行識別和處理��,解決來自各種安全設(shè)備的海量安全告警問題��,幫助企業(yè)來實(shí)現(xiàn)自身安全能力和體系的升級�。
但值得注意的是,威脅情報(bào)價(jià)值體現(xiàn)所面臨的挑戰(zhàn)之一�,是真正了解威脅情報(bào)的內(nèi)容,以及如何利用威脅情報(bào)提高自身的安全運(yùn)營管理能力�。威脅情報(bào)數(shù)據(jù)的重要性不僅在于可以收集基本的威脅指標(biāo),還在于基于這些有效信息的分析可以幫助企業(yè)對安全局勢做出前瞻性判斷和決策��。這充分考驗(yàn)著安全廠商在情報(bào)數(shù)據(jù)獲取和大數(shù)據(jù)分析方面的能力�����。
從情報(bào)數(shù)據(jù)獲取方式看�,安全廠商在部署情報(bào)資源庫時(shí),不但使用自有數(shù)據(jù)采集源,還會采取多種方式獲取其他情報(bào)源以豐富數(shù)據(jù)源的數(shù)量�。收集到數(shù)據(jù)源之后,還會通過數(shù)據(jù)清洗���、數(shù)據(jù)整合并對沖突數(shù)據(jù)進(jìn)行研判����,來提升基礎(chǔ)數(shù)據(jù)的質(zhì)量�����,確保數(shù)據(jù)源的準(zhǔn)確性���。
從情報(bào)數(shù)據(jù)類型看�,安全廠商在提供威脅情報(bào)產(chǎn)品和服務(wù)時(shí)�����,必須要做到情報(bào)數(shù)據(jù)盡量多樣化����,包括動態(tài)IP信譽(yù)庫、惡意域名�、Hash值���、惡意樣本、Passive DNS��、歷史Whois數(shù)據(jù)等���,還應(yīng)重視諸如數(shù)據(jù)泄漏、異常行為��、情景分析等情報(bào)來源�,關(guān)注與TTPs(攻擊目標(biāo)、攻擊工具���、攻擊方法)相關(guān)的情報(bào)�。
從數(shù)據(jù)分析方法看�����,安全廠商需重視新技術(shù)如數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)在特征提取����、歸納、預(yù)測等方面帶來的顯著提升�����,并且通過大數(shù)據(jù)分析提取威脅情報(bào)中的有效信息,才能給出有效的預(yù)測和決斷依據(jù)��。
事實(shí)上����,并不是所有安全廠商都能實(shí)施專業(yè)的威脅情報(bào)分析。要從海量數(shù)據(jù)中深度挖掘線索��,發(fā)現(xiàn)真正有價(jià)值的攻擊事件和難以發(fā)現(xiàn)的APT攻擊���,是一件非常難的事情���,在技術(shù)側(cè)的模型、算法和用戶側(cè)的場景�、經(jīng)驗(yàn)上,都存在著較高的壁壘����。
一方面,多數(shù)安全廠商基于自身的技術(shù)優(yōu)勢�,將情報(bào)分析的研究重點(diǎn)放在信息采集和終端態(tài)勢感知技術(shù)方面,對威脅情報(bào)分析和質(zhì)量的評估較少關(guān)注�����,并未針對“情報(bào)”本身進(jìn)行充分分析。
另一方面���,由于既熟悉情報(bào)分析相關(guān)理論又能熟練使用大數(shù)據(jù)分析方法�����、工具,且經(jīng)驗(yàn)豐富的專業(yè)情報(bào)分析人員數(shù)量嚴(yán)重不足��,對威脅情報(bào)分析工作造成了一定的影響����。隨著大數(shù)據(jù)環(huán)境下信息安全體系復(fù)雜性和威脅種類的日益增加,海量數(shù)據(jù)的處理使得傳統(tǒng)的分析方法和工具難以勝任���。
如微步在線這類創(chuàng)新安全廠商����,從成立之初便專注于威脅情報(bào)領(lǐng)域�����,可以說威脅情報(bào)是其立身之本,在威脅情報(bào)數(shù)據(jù)的獲取和分析方面有著自己的獨(dú)門絕技�����。
微步在線的研發(fā)首先依賴于海量的基礎(chǔ)數(shù)據(jù)和精準(zhǔn)的分析模型��,包括多年歷史Passive DNS��、長期的歷史Whois����、SSL指紋數(shù)據(jù)、端口信息等長久積累的全球化的基礎(chǔ)數(shù)據(jù)��。
同時(shí)����,微步在線的情報(bào)研發(fā)團(tuán)隊(duì)利用各種手段感知到新型威脅的存在,并進(jìn)一步研究威脅的投遞路徑��、關(guān)聯(lián)關(guān)系等特點(diǎn)�����,撰寫對應(yīng)的威脅狩獵模型進(jìn)行追蹤��,最終依賴不同類型的分析系統(tǒng)進(jìn)行威脅分析和情報(bào)的提取研發(fā)。
由于在基礎(chǔ)數(shù)據(jù)積累方面的大量投入�,以及多年對數(shù)據(jù)模型的研發(fā)、迭代�,微步在線的后臺情報(bào)研發(fā)系統(tǒng)已經(jīng)高度專業(yè)化和自動化,日均新增高可信度且處于活躍狀態(tài)的有效情報(bào)可達(dá)上萬條�����。
目前��,微步在線在威脅情報(bào)安全云的核心產(chǎn)品研發(fā)上已持續(xù)投入了七年時(shí)間����,推出了基于流量和終端的“云+流量+端點(diǎn)”全方位威脅檢測響應(yīng)產(chǎn)品矩陣����,建立了足夠高的壁壘,因而保持著威脅情報(bào)領(lǐng)域的領(lǐng)軍位置����。
同時(shí),微步在線還有一個(gè)持續(xù)運(yùn)營了6年的威脅情報(bào)社區(qū)��,國內(nèi)大部分的安全從業(yè)者�����、愛好者都是該社區(qū)的用戶,持續(xù)為社區(qū)貢獻(xiàn)著自己的力量�。當(dāng)越來越多的安全行業(yè)同行和企業(yè)客戶加入社區(qū),微步在線的情報(bào)網(wǎng)絡(luò)效應(yīng)就越強(qiáng)����,這也成為其他安全廠商難以復(fù)制的獨(dú)特生態(tài)。
正如報(bào)告所言�����,在未來網(wǎng)絡(luò)安全市場中���,威脅情報(bào)基礎(chǔ)數(shù)據(jù)的質(zhì)與量將成為安全廠商競爭的基礎(chǔ)�����。
深耕威脅情報(bào)����,微步在線穩(wěn)坐第一寶座
隨著技術(shù)和產(chǎn)品的不斷成熟���,威脅情報(bào)正在從潛力市場走向成熟市場����。據(jù)報(bào)告顯示,未來三年中國威脅情報(bào)市場仍將保持高速增長�����,2023年市場規(guī)模將達(dá)到25.9億元�,三年復(fù)合增長率為46.9%。
在激烈的市場競爭中��,誕生了如微步在線這樣的領(lǐng)軍者��。從市占率看����,微步在線憑借其在威脅情報(bào)領(lǐng)域深耕多年的綜合實(shí)力及先發(fā)優(yōu)勢,以13.6%的市場份額位列第一�。從品牌能力看����,
微步在線在技術(shù)能力、產(chǎn)品成熟度��、市場影響力�、服務(wù)能力等方面綜合實(shí)力同樣位列第一�����。
這樣的排名并不令人意外���,畢竟微步在線早已盛名在外。作為國內(nèi)第一批威脅情報(bào)公司�����,微步在線已連續(xù)4年入選Gartner《全球威脅情報(bào)市場指南》����,也是和全球威脅情報(bào)企業(yè)同臺競技的中國廠商。
憑借出色的威脅情報(bào)能力����,微步在線獲得了來自能源、金融����、智能制造、互聯(lián)網(wǎng)��、政府等行業(yè)的三百余家大型政企機(jī)構(gòu)的一致認(rèn)可,國家電網(wǎng)����、中石油、工商銀行�����、招商銀行���、OPPO�、滴滴�����、京東��、中信集團(tuán)����、國家信息中心等均是其客戶。
值得注意的是����,不同于傳統(tǒng)的本地化部署安全產(chǎn)品,微步在線采用基于云端的SECaaS(安全即服務(wù))模式���,以標(biāo)準(zhǔn)化部署為主����。
隨著云計(jì)算在各行各業(yè)得到廣泛應(yīng)用���,信息安全面臨著邊界模糊�、環(huán)境復(fù)雜���、威脅多樣化等多方挑戰(zhàn)�����,將云計(jì)算����、大數(shù)據(jù)等技術(shù)與網(wǎng)絡(luò)安全行業(yè)進(jìn)行結(jié)合是必然趨勢��。正如報(bào)告指出����,安全廠商需要把自身安全能力云化后賦能給企業(yè)客戶��,以SaaS訂閱模式提供威脅情報(bào)服務(wù)的交付方式將越來越受到市場歡迎���。
目前,微步在線威脅情報(bào)SaaS服務(wù)的續(xù)約率接近95%�,其訂閱式服務(wù)約占總收入80%左右,這一數(shù)據(jù)在國內(nèi)外SaaS企業(yè)中都屬于非常高的水平��。高訂閱率和續(xù)約率的背后�,凸顯了微步在線產(chǎn)品的價(jià)值以及用戶的滿意度。對于企業(yè)用戶而言��,微步在線的威脅情報(bào)不僅僅是一個(gè)工具�,更是代表了持續(xù)運(yùn)營的安全能力,能夠滿足政企機(jī)構(gòu)在網(wǎng)絡(luò)安全實(shí)戰(zhàn)化方面的需求�。
如今,微步在線圍繞威脅情報(bào)的產(chǎn)出研發(fā)�、應(yīng)用、產(chǎn)品化等環(huán)節(jié)已經(jīng)形成專業(yè)的產(chǎn)業(yè)鏈條����。基于威脅情報(bào)的核心能力����,微步在線通過流量檢測產(chǎn)品Threat Detection Platform(TDP)和端點(diǎn)威脅檢測與響應(yīng)產(chǎn)品OneEDR的深度結(jié)合����,把終端和流量中獲得的威脅信息統(tǒng)一管理�����、分析��,聚合出安全事件的完整攻擊鏈���,從而實(shí)現(xiàn)了“云+端點(diǎn)+流量”場景的全面覆蓋,向XDR邁進(jìn)了一大步�����,加速了威脅情報(bào)能力的落地�。
結(jié)語
在新的時(shí)代背景下,網(wǎng)絡(luò)攻擊方式趨于規(guī)?���;I(yè)化�����,國際政治格局的新變化都促使企業(yè)的安全建設(shè)逐漸從合規(guī)走向?qū)崙?zhàn)化。因此中國政企機(jī)構(gòu)需要配備威脅情報(bào)這類新的安全工具��,以覆蓋數(shù)字安全領(lǐng)域���,以提升組織的整體安全防護(hù)能力�。如微步在線這類安全廠商作為威脅情報(bào)市場的重要力量���,將充分發(fā)揮威脅情報(bào)的真正價(jià)值���,為政企安全決策做全面支撐。
