近幾年，威脅情報逐漸走入人們的視線，從理論研究進入落地實踐。作為企業安全防御“化被動為主動”的利器，威脅情報可以提前獲取攻擊者的攻擊工具、攻擊途徑、攻擊意圖等信息，直接推動安全事件的快速響應。

作為信息安全市場重要的一極，如今威脅情報市場究竟發展到了什么程度？威脅情報如何對企業安全防護形成助力？隨著威脅情報市場的成熟，各安全廠商又呈現出怎樣的競爭態勢？

近日，賽迪發布的《中國威脅情報市場研究報告（2021）》（以下簡稱“報告”）顯示，未來三年中國威脅情報市場仍將保持高速增長，2023年市場規模將達到25.9億元，三年復合增長率為46.9%。

報告還指出，2020年國內威脅情報市場競爭較為激烈，老牌安全廠商和新興安全廠商紛紛入局，微步在線憑借其在威脅情報領域深耕多年的綜合實力及先發優勢位列第一。

雙重推力下，中國威脅情報市場迅猛發展

對于今天的信息安全圈而言，威脅情報是一個耳熟能詳的技術詞匯，但早在2013年，威脅情報才第一次出現在Gartner的研究報告中。最初的威脅情報技術主要是以手動挖掘為主，還有類搜索引擎的威脅情報產品，相關的安全廠商寥寥無幾。

直至2015年，威脅情報開始在國內興起，微步在線、天際友盟和烽火臺聯盟等威脅情報廠商及平臺成立，360也推出了以威脅情報檢測能力為核心的天眼產品。

威脅情報的興起，一方面源于網絡安全環境的日益復雜，不同的攻擊行為更具產業化、團伙化，入侵手法也愈發多樣化與復雜化，傳統以防御漏洞為主的安全策略在面對層出不窮的新型、持續性、高級威脅時，難以及時有效的檢測、攔截和分析，因此安全防護需求逐漸從傳統的、以漏洞為中心進化為主動型、以情報為中心的建設模式。

另一方面，大洋彼岸的美國已走在了威脅情報的前沿，在國家層面推行諸如《網絡安全情報分享法案》等法律法規，并從政府內部開始建立完整威脅情報體系；美國安全產業也逐步完善了威脅情報相關標準，以及在安全產品中添加了威脅情報的屬性，形成了較為成熟、完整的威脅情報產業鏈，從而為國內安全從業者研究威脅情報提供了參照。

2018年，威脅情報在國內的發展迎來了一個巨大的轉折點。2018年10月10日，我國正式發布威脅情報國家標準——《信息安全技術網絡安全威脅信息格式規范》（GB/T 36643-2018），成為國內第一個關于威脅情報的標準。政策層面的推動，意味著威脅情報將打破現有環境束縛，走向國家標準的正軌，形成適合威脅情報穩健發展的市場秩序。

2019年以后，隨著等保2.0標準、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》、《關鍵信息基礎設施安全保護條例》等政策法規的陸續發布，威脅情報的政策環境日益完善，推動著威脅情報市場穩健發展。

報告顯示，從2018、2019兩年來看，中國威脅情報市場保持著高速增長，情報相關廠商已經可以提供比較全面的威脅情報產品。

與此同時，國家對網絡安全攻防演練工作的重視，也大力推動了威脅情報的市場應用。2019年以后，結合了高級威脅情報能力的XDR（Extended Detect and Response）產品逐漸出現在市場中，并被越來越多的企業客戶所接受。

經過8年的發展，威脅情報在國內落地生根，市場初具規模。

報告顯示，從行業結構看，目前在威脅情報市場中占據主導地位的是政府、金融、電信、能源等行業。一方面是因為國家“等保2.0”“關基”條例等政策規定對于威脅情報的硬性要求，另一方面也是因為這些行業信息化程度較高、受黑客黑產關注和攻擊較嚴重，因此對安全防護的要求也更高，更容易嘗試效果導向的新技術、新產品。

從區域結構看，華北、華東和中南地區是中國威脅情報市場發展最為領先的三個區域，占市場的九成以上，這表明威脅情報的政策導向、行業導向較為明顯，正在從經濟結構較為成熟的區域向外輻射。

可以看到，中國威脅情報市場雖然起步較晚，但近幾年發展勢頭迅猛，在網絡安全環境和國家政策的雙重推動下，威脅情報已成為政企機構信息安全防護體系的標配。

眾玩家入局威脅情報，質與量成為競爭基礎

威脅情報在國內市場的興起，吸引了一大批玩家紛紛入局，既有微步在線這類從威脅情報起家的創新網絡安全廠商，也不乏奇安信、360、綠盟科技、安恒信息等老牌安全廠商。

新老廠商的激烈競爭，催化著威脅情報市場的成熟，也帶來了豐富的威脅情報產品，如：供安全產品檢測和報警排序使用的戰術情報或機讀情報；供安全運營人員做事件分析、安全狩獵使用的作戰情報；以及供安全管理者確定安全建設投入方向使用的戰略情報等。

同時，為了進一步提升威脅情報的安全價值，大多數安全廠商開始以平臺化的形式提供服務。在平臺產品上，使用先進的大數據分析、知識圖譜、機器學習、人工智能及其他創新技術完成對海量數據的快速準確分析、針對性識別和安全防范建議，最終為客戶提供智能化、自動化的安全防護能力。

在實際落地應用中，各家安全廠商也會將威脅情報作為一種高級安全能力，與防火墻、WAF、蜜罐、內網隔離等設備聯動，助于企業對高級威脅、新型威脅進行識別和處理，解決來自各種安全設備的海量安全告警問題，幫助企業來實現自身安全能力和體系的升級。

但值得注意的是，威脅情報價值體現所面臨的挑戰之一，是真正了解威脅情報的內容，以及如何利用威脅情報提高自身的安全運營管理能力。威脅情報數據的重要性不僅在于可以收集基本的威脅指標，還在于基于這些有效信息的分析可以幫助企業對安全局勢做出前瞻性判斷和決策。這充分考驗著安全廠商在情報數據獲取和大數據分析方面的能力。

從情報數據獲取方式看，安全廠商在部署情報資源庫時，不但使用自有數據采集源，還會采取多種方式獲取其他情報源以豐富數據源的數量。收集到數據源之后，還會通過數據清洗、數據整合并對沖突數據進行研判，來提升基礎數據的質量，確保數據源的準確性。

從情報數據類型看，安全廠商在提供威脅情報產品和服務時，必須要做到情報數據盡量多樣化，包括動態IP信譽庫、惡意域名、Hash值、惡意樣本、Passive DNS、歷史Whois數據等，還應重視諸如數據泄漏、異常行為、情景分析等情報來源，關注與TTPs（攻擊目標、攻擊工具、攻擊方法）相關的情報。

從數據分析方法看，安全廠商需重視新技術如數據挖掘和機器學習在特征提取、歸納、預測等方面帶來的顯著提升，并且通過大數據分析提取威脅情報中的有效信息，才能給出有效的預測和決斷依據。

事實上，并不是所有安全廠商都能實施專業的威脅情報分析。要從海量數據中深度挖掘線索，發現真正有價值的攻擊事件和難以發現的APT攻擊，是一件非常難的事情，在技術側的模型、算法和用戶側的場景、經驗上，都存在著較高的壁壘。

一方面，多數安全廠商基于自身的技術優勢，將情報分析的研究重點放在信息采集和終端態勢感知技術方面，對威脅情報分析和質量的評估較少關注，并未針對“情報”本身進行充分分析。

另一方面，由于既熟悉情報分析相關理論又能熟練使用大數據分析方法、工具，且經驗豐富的專業情報分析人員數量嚴重不足，對威脅情報分析工作造成了一定的影響。隨著大數據環境下信息安全體系復雜性和威脅種類的日益增加，海量數據的處理使得傳統的分析方法和工具難以勝任。

如微步在線這類創新安全廠商，從成立之初便專注于威脅情報領域，可以說威脅情報是其立身之本，在威脅情報數據的獲取和分析方面有著自己的獨門絕技。

微步在線的研發首先依賴于海量的基礎數據和精準的分析模型，包括多年歷史Passive DNS、長期的歷史Whois、SSL指紋數據、端口信息等長久積累的全球化的基礎數據。

同時，微步在線的情報研發團隊利用各種手段感知到新型威脅的存在，并進一步研究威脅的投遞路徑、關聯關系等特點，撰寫對應的威脅狩獵模型進行追蹤，最終依賴不同類型的分析系統進行威脅分析和情報的提取研發。

由于在基礎數據積累方面的大量投入，以及多年對數據模型的研發、迭代，微步在線的后臺情報研發系統已經高度專業化和自動化，日均新增高可信度且處于活躍狀態的有效情報可達上萬條。

目前，微步在線在威脅情報安全云的核心產品研發上已持續投入了七年時間，推出了基于流量和終端的“云+流量+端點”全方位威脅檢測響應產品矩陣，建立了足夠高的壁壘，因而保持著威脅情報領域的領軍位置。

同時，微步在線還有一個持續運營了6年的威脅情報社區，國內大部分的安全從業者、愛好者都是該社區的用戶，持續為社區貢獻著自己的力量。當越來越多的安全行業同行和企業客戶加入社區，微步在線的情報網絡效應就越強，這也成為其他安全廠商難以復制的獨特生態。

正如報告所言，在未來網絡安全市場中，威脅情報基礎數據的質與量將成為安全廠商競爭的基礎。

深耕威脅情報，微步在線穩坐第一寶座

隨著技術和產品的不斷成熟，威脅情報正在從潛力市場走向成熟市場。據報告顯示，未來三年中國威脅情報市場仍將保持高速增長，2023年市場規模將達到25.9億元，三年復合增長率為46.9%。

在激烈的市場競爭中，誕生了如微步在線這樣的領軍者。從市占率看，微步在線憑借其在威脅情報領域深耕多年的綜合實力及先發優勢，以13.6%的市場份額位列第一。從品牌能力看，
微步在線在技術能力、產品成熟度、市場影響力、服務能力等方面綜合實力同樣位列第一。

這樣的排名并不令人意外，畢竟微步在線早已盛名在外。作為國內第一批威脅情報公司，微步在線已連續4年入選Gartner《全球威脅情報市場指南》，也是和全球威脅情報企業同臺競技的中國廠商。

憑借出色的威脅情報能力，微步在線獲得了來自能源、金融、智能制造、互聯網、政府等行業的三百余家大型政企機構的一致認可，國家電網、中石油、工商銀行、招商銀行、OPPO、滴滴、京東、中信集團、國家信息中心等均是其客戶。

值得注意的是，不同于傳統的本地化部署安全產品，微步在線采用基于云端的SECaaS（安全即服務）模式，以標準化部署為主。

隨著云計算在各行各業得到廣泛應用，信息安全面臨著邊界模糊、環境復雜、威脅多樣化等多方挑戰，將云計算、大數據等技術與網絡安全行業進行結合是必然趨勢。正如報告指出，安全廠商需要把自身安全能力云化后賦能給企業客戶，以SaaS訂閱模式提供威脅情報服務的交付方式將越來越受到市場歡迎。

目前，微步在線威脅情報SaaS服務的續約率接近95%，其訂閱式服務約占總收入80%左右，這一數據在國內外SaaS企業中都屬于非常高的水平。高訂閱率和續約率的背后，凸顯了微步在線產品的價值以及用戶的滿意度。對于企業用戶而言，微步在線的威脅情報不僅僅是一個工具，更是代表了持續運營的安全能力，能夠滿足政企機構在網絡安全實戰化方面的需求。

如今，微步在線圍繞威脅情報的產出研發、應用、產品化等環節已經形成專業的產業鏈條?；谕{情報的核心能力，微步在線通過流量檢測產品Threat Detection Platform（TDP）和端點威脅檢測與響應產品OneEDR的深度結合，把終端和流量中獲得的威脅信息統一管理、分析，聚合出安全事件的完整攻擊鏈，從而實現了“云+端點+流量”場景的全面覆蓋，向XDR邁進了一大步，加速了威脅情報能力的落地。

結語

在新的時代背景下，網絡攻擊方式趨于規?；?、專業化，國際政治格局的新變化都促使企業的安全建設逐漸從合規走向實戰化。因此中國政企機構需要配備威脅情報這類新的安全工具，以覆蓋數字安全領域，以提升組織的整體安全防護能力。如微步在線這類安全廠商作為威脅情報市場的重要力量，將充分發揮威脅情報的真正價值，為政企安全決策做全面支撐。