當(dāng)前中國整體威脅情報市場�,屬于低集中寡占型市場(CR4=43.0%、CR7=49.7%)�,由少數(shù)幾家廠商占據(jù)大部分份額。其中����,微步在線、騰訊安全��、奇安信位列2024年中國威脅情報市場份額前三,競爭激烈��。
從市場格局來看����,最早一批進(jìn)入中國威脅情報市場的“元老級”廠商微步在線憑借在威脅情報領(lǐng)域的深耕,以純威脅情報及多產(chǎn)品賦能持續(xù)穩(wěn)居威脅情報市場第一���,而具備大廠優(yōu)勢及數(shù)據(jù)積累的騰訊安全����、及產(chǎn)線覆蓋廣��,安全產(chǎn)品賦能多的綜合安全廠商奇安信排在第二陣營��。綠盟��、安恒信息�����、360安全�、深信服等廠商則以垂直場景或技術(shù)差異化爭奪細(xì)分市場。
這也反映出中國威脅情報市場��,歷經(jīng)十年發(fā)展已日趨成熟�。從2015年首批專業(yè)威脅情報廠商成立,到2018年中國第一個威脅情報標(biāo)準(zhǔn)正式發(fā)布���,2019年等保2.0首次對威脅情報提出要求����,再到攻防演練倒逼情報技術(shù)實戰(zhàn)化����,市場已從“技術(shù)拓荒期”邁入“生態(tài)競合期”。而2022年到2024年�����,客戶預(yù)算收縮導(dǎo)致的“清庫存”周期�����,進(jìn)一步加速了市場的洗牌�。
二、商業(yè)模式擴(kuò)展:從數(shù)據(jù)平臺到融合方案
根據(jù)報告���,當(dāng)前中國威脅情報落地商業(yè)模式����,主要分為純情報產(chǎn)品交付與情報賦能產(chǎn)品交付兩大類。
其中�����,純情報產(chǎn)品交付聚焦“數(shù)據(jù)價值深挖”��,解決威脅數(shù)據(jù)的“快捷���、易用��、全面”的需求�����。純情報產(chǎn)品交付專注提供高質(zhì)量的情報數(shù)據(jù)和服務(wù)����,通常以標(biāo)準(zhǔn)化API接口���、TIP平臺或是通過威脅情報門戶賬號訂閱方式交付����。其中,API及威脅情報門戶賬號訂閱側(cè)重情報數(shù)據(jù)交換的便捷與及時性�,TIP情報管理平臺更側(cè)重對情報數(shù)據(jù)的查詢、分析���、生產(chǎn)、共享及狩獵等全方位情報管理與流程化操作�����。
情報賦能產(chǎn)品交付�����,則強(qiáng)調(diào)情報能力無縫銜接�。從商業(yè)模式看,情報信息主要以三種方式向其他產(chǎn)品賦能���。依照彼此融合賦能方式的差異���,可分為廠商內(nèi)部的安全情報賦能產(chǎn)品,對外部廠商提供情報技術(shù)支持下的融合安全產(chǎn)品�,以及與外部廠商共同構(gòu)建的綜合安全解決方案。
值得關(guān)注的是����,與國際威脅情報市場商業(yè)模式以“情報訂閱”為主不同�,中國企業(yè)客戶群體對于威脅情報能力的需求各有側(cè)重���,商業(yè)模式從單純情報產(chǎn)品交付逐漸擴(kuò)展到通過賦能其他安全產(chǎn)品交付�����,使得中國不同安全廠商之間的競爭邊界也逐漸發(fā)生變化����。
三�����、威脅情報未來三大破局點:出海���、AI與漏洞防御升維
破局點一:出海業(yè)務(wù)標(biāo)準(zhǔn)攻堅
隨著中國企業(yè)海外發(fā)展����,威脅情報廠商迎來新戰(zhàn)場��,主要需跨越兩大門檻。一個是數(shù)據(jù)合規(guī)鴻溝���。數(shù)據(jù)作為威脅情報的重要基礎(chǔ)資源�����,各個國家及地區(qū)對于本地數(shù)據(jù)的保護(hù)要求也紛繁復(fù)雜��,歐盟GDPR、美國CLOUD法案等要求倒逼情報數(shù)據(jù)脫敏技術(shù)升級��。一些廠商已探索出設(shè)立海外實體�����、處理敏感信息及建立共享協(xié)議等海外數(shù)據(jù)合法合規(guī)使用方式�。
另一個是威脅情報標(biāo)準(zhǔn)適配。我國于2018年推出《信息安全技術(shù)網(wǎng)絡(luò)安全威脅信息格式規(guī)范》�����,以推動技術(shù)發(fā)展與產(chǎn)業(yè)化應(yīng)用��。該規(guī)范雖然以國際標(biāo)準(zhǔn)為重要參考依據(jù)��,但從STIX/TAXII格式兼容到MITRE ATT&CK框架本地化改造��,廠商技術(shù)中臺面臨重構(gòu)壓力。
破局點二:大模型賦能情報生產(chǎn)力
根據(jù)報告��,針對威脅情報行業(yè)��,大模型在人員生產(chǎn)威脅情報效率���、降低威脅情報應(yīng)用門檻��、賦能更多崗位人員等威脅情報生產(chǎn)與運(yùn)營等多個環(huán)節(jié)均可進(jìn)行賦能����,但目前�����,多數(shù)大模型賦能威脅情報的應(yīng)用場景還在概念驗證的階段�����。未來���,安全廠商可在如大模型行業(yè)適配����、大模型落地效率、性能優(yōu)化����、合規(guī)應(yīng)用等多個角度著力,實現(xiàn)大模型在新應(yīng)用場景的快速落地����,提升自身競爭力。
破局點三:漏洞情報強(qiáng)化主動防御
隨著0day漏洞利用的常態(tài)化��,漏洞情報的價值顯著提升�。當(dāng)前漏洞情報與企業(yè)資產(chǎn)結(jié)合緊密度不斷上升����。企業(yè)面臨越來越多的資產(chǎn)存在漏洞,需具備的漏洞管理能力要求也越來越高����,通過漏洞情報全面及時掌握最新漏洞信息,打通內(nèi)部資產(chǎn)平臺第一時間發(fā)現(xiàn)漏洞��,并建立科學(xué)漏洞評估模型優(yōu)先處置真正的高危漏洞�,對于企業(yè)進(jìn)一步增強(qiáng)主動防御能力,尤為重要。
從長期來看���,威脅情報行業(yè)將經(jīng)歷從“功能堆砌”到“價值交付”的轉(zhuǎn)型��,廠商需要回答的核心問題如今已真正變成了“如何證明威脅情報的ROI”����?��?梢灶A(yù)見�����,未來3-5年�,中國威脅情報市場將在技術(shù)迭代與生態(tài)博弈中更加成熟��,而真正的贏家將是那些能夠?qū)⑶閳竽芰D(zhuǎn)化為客戶業(yè)務(wù)風(fēng)險管控支撐的企業(yè)���。
