2022年中国威胁情报市场报告

2022年中国威胁情报市场报告2022 China Threat Intelligence Market Report2022年中国脅威情報市場報告报告标签：威胁情报、网络安全、APT攻击、API（摘要版）报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施、追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。中国：云安全系列沙利文市场研读www.leadleo.com400-072-55882“情报处理”或“情报循环”是威胁情报工作的基本流程，包括确定需求、收集情报、分析情报和传播分享四个阶段。自2015年前后正式进入国内市场以来，威胁情报在中国发展势头迅猛。威胁情报市场形态标准化是威胁情报共享的必要前提，中国国家标准体系的建设尚处于起步阶段，在未来将进一步完善威胁情报共享体系和机制，夯实威胁情报基础，赋能安全协同生态建设。针对不同规模企业，威胁情报服务按照需求分层发展；针对不同细分领域及行业，威胁情报服务依照不同应用场景进一步细化。威胁情报市场发展报告要点速览沙利文谨此发布中国云安全系列报告之《2022年中国威胁情报市场报告》年度报告。本报告旨在分析中国威胁情报市场的发展现状、产品特点、新动向及发展趋势，并判断中国威胁情报市场竞争态势，反映该细分市场领导者品牌的差异化竞争优势。2022年第二季度，沙利文联合头豹研究院对威胁情报领域核心产品进行了下游用户体验调查。受访者来自泛互联网、金融、医疗、教育、能源、政务等多个领域，所在组织规模不一，细分领域有别。本市场报告提供的威胁情报趋势分析亦反映出威胁情报行业整体的动向。报告最终对市场排名、领导者的判断仅适用于本年度中国威胁情报发展周期。观点提炼中国威胁情报服务目前存在门槛高、共享难、用户选择困难、情报利用率低等痛点；市场提供的服务种类繁多，但缺乏可落地的一站式情报服务方案。威胁情报服务痛点中国：云安全系列沙利文市场研读www.leadleo.com400-072-55883威胁情报工作流程总览•“情报处理”或“情报循环”是威胁情报工作的基本流程，包括确定需求、收集情报、分析情报和传播分享四个阶段威胁情报工作流程• 决策者需要明确所需要的威胁情报类型，以及使用威胁情报所期望达到的目标；• 决策者通常可以明确需要保护的资产和业务，评估其遭受破坏和损失时的潜在影响，明确其优先级顺序，最终确认所需要的威胁情报类型。01确定需求收集情报威胁情报收集从来源上包含如下渠道：• 企业内部网络、终端和部署的安全设备产生的日志数据• 订阅的安全厂商、行业组织产生的威胁数据• 新闻网站、博客、论坛、社交网络• 一些较为封闭的来源，如暗网，地下论坛02分析情报• 分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息，并形成准确而有意义的知识用于后续步骤的过程；• 常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain，钻石分析法，MITRE ATT&CK等。03传播与分享• 对于企业内部安全人员，不同类型和内容的威胁情报会共享给如管理层，安全主管，应急响应人员，IT人员等；• 对于企业内部采用的安全架构实现和安全防御设备，威胁情报可以分发并应用到SOC，SIEM，EDR等产品中；• 对于乙方的威胁情报服务商通常会采用威胁情报平台(TIP)，或者直接以威胁情报数据服务提供，其中通常采用的威胁情报分享格式为STIX和OpenIOC。04q 网络威胁情报流程与框架：需求，收集，分析及传播情报过程始于了解团队或个人负责的威胁情报工作的要求。一旦组织确定了这些要求，分析师就可以专注于回答决策者的关键问题，并尽可能优化剩余的流程。确定威胁情报需求后，下一步需要收集情报信息。随着大规模入侵及攻击活动出现在新闻报道中，威胁情报团队对该来源的重视程度也越来越高，绝大多数网络威胁情报团队利用媒体报道等外部来源作为情报收集源，其次是来自特定威胁情报供应商的威胁源。威胁情报分析过程比较复杂，且个人化特征明显，一般很难捕捉到，但以问卷或书面回答的形式可对此有较好的了解。威胁情报最常用的分析方法是直觉或基于经验的判断，杀伤链模型、钻石模型、MITRE ATT&CK框架等概念模型也经常被用到，结构分析技术（SAT）应用最少。经过分析环节，威胁情报即完成了整个情报处理流程，接下来需要及时到达正确的受众，情报传播因信息类型和紧迫性而异。电子邮件文档是威胁情报最常用传播方式，其次是报告。这表明威胁情报传播更注重叙事形式，而不仅是IP地址、域等技术信息。来源：天极智库，微步在线，头豹研究院中国：云安全系列沙利文市场研读www.leadleo.com400-072-55884威胁情报服务发展历程•美国是全球最早开展威胁情报工作的国家。之后，英国、欧盟等国家和地区也先后开展威胁情报工作。威胁情报自2015年前后正式进入国内市场以来，在中国发展势头迅猛威胁情报在全球范围的发展历程q 美国2003年，发布《网络空间安全国家战略》提出建立信息共享与分析中心，接收实时网络威胁和漏洞数据；2010年，发布《国土安全网络和物理基础设施保护法》进一步凸显威胁情报重要性；2015年，建成全国性的网络威胁情报中枢，构建“网络天气地图”威胁情报管理体系。q 欧盟2018年，欧盟网络与信息安全局发布《探索威胁情报平台机遇与挑战》，强调威胁情报平台的重要性；2019年，发布《2018年ENISA威胁全景报告》，提升欧盟网络威胁情报能力；《增强欧盟未来网络安全战略价值链分析》强调建立网络安全威胁风险及实践信息等共享利用体系；2020年，爱沙尼亚和美国启动为期5年的网络威胁情报共享项目，提升网络威胁情报共享的自动化水平。q 英国英国国家网络安全中心搭建了网络威胁情报实时交换平台CiSP社区；2020年，推出网络威胁情报平台IATITAN，帮助投资经理保护本公司免受网络攻击。q 中国2015年，威胁情报进入中国市场，微步在线、天际友盟和烽火台联盟等威胁情报厂商及平台相继成立；2018年，国内第一个关于威胁情报的标准《信息安全技术网络安全威胁信息格式规范》正式发布；2019年后，威胁情报的政策环境日益完善，推动威胁情报市场稳健发展。来源：国家工业信息安全发展研究中心，CCID，头豹研究院q 中国威胁情报市场发展势头迅猛从2018、2019年开始，中国威胁情报市场保持着高速增长，情报相关厂商已经可以提供比较全面的威胁情报产品。与此同时，国家对网络安全攻防演练工作的重视，也大力推动了威胁情报的市场应用。结合了高级威胁情报能力的XDR产品逐渐出现在市场中，并被越来越多的企业客户所接受。中国威胁情报市场虽然起步较晚，但近几年发展势头迅猛，在网络安全环境和国家政策的双重推动下，威胁情报已成为政企机构信息安全防护体系的标配。中