在過(guò)去，為了防止爆發(fā)網(wǎng)絡(luò)安全事件，企業(yè)的應(yīng)對(duì)方式就像“救火隊(duì)”，主要采取流量檢測(cè)、行為感知、收集與分析等防御手段，通過(guò)部署防火墻、入侵檢測(cè)系統(tǒng)等安全產(chǎn)品，配置相應(yīng)訪問(wèn)控制策略和審計(jì)策略，對(duì)網(wǎng)絡(luò)安全狀況進(jìn)行監(jiān)測(cè)和管控，并在發(fā)生攻擊后進(jìn)行應(yīng)急響應(yīng)和備份恢復(fù)等。

　　這樣的防御具有一定的狹隘性和滯后性，受限于對(duì)攻擊及整體態(tài)勢(shì)的識(shí)別和溯源，大多也只是“就事論事”，容易造成同類(lèi)攻擊的反復(fù)中招和影響。如今，業(yè)界普遍認(rèn)同被動(dòng)防御已經(jīng)遠(yuǎn)遠(yuǎn)不夠，需要實(shí)時(shí)掌握敵方的動(dòng)態(tài)和趨勢(shì)，以做出更完備的分析和響應(yīng)。威脅情報(bào)，就像這八百里加急快報(bào)送來(lái)的敵情。

　　根據(jù)Gartner的定義，威脅情報(bào)是一種基于證據(jù)的知識(shí)，包括了情境、機(jī)制、指標(biāo)、隱含和實(shí)際可行的建議。威脅情報(bào)描述了現(xiàn)存的、或者是即將出現(xiàn)的針對(duì)資產(chǎn)的威脅或危險(xiǎn)，并可以用于通知主體針對(duì)相關(guān)威脅或危險(xiǎn)采取某種響應(yīng)。

　　簡(jiǎn)言之，威脅情報(bào)可以幫助企業(yè)快速了解到攻擊方對(duì)自身的威脅信息，從而幫助提前做好威脅防范、及時(shí)調(diào)整防御策略，提前預(yù)知攻擊的發(fā)生，從而實(shí)現(xiàn)較為精準(zhǔn)的動(dòng)態(tài)防御，更高效地進(jìn)行事后攻擊溯源。

　　不同行業(yè)、不同規(guī)模

　　企業(yè)對(duì)威脅情報(bào)需求各異

　　威脅情報(bào)在國(guó)內(nèi)起步較晚，但近幾年發(fā)展勢(shì)頭迅猛，在國(guó)內(nèi)網(wǎng)絡(luò)安全環(huán)境和國(guó)家政策的雙重推動(dòng)下，威脅情報(bào)已成為政企機(jī)構(gòu)信息安全防護(hù)體系的標(biāo)配。頭豹研究院數(shù)據(jù)顯示，預(yù)計(jì)未來(lái)五年中國(guó)威脅情報(bào)市場(chǎng)規(guī)模有望達(dá)到26.6億元，金融、政府、互聯(lián)網(wǎng)等信息化程度較高、受黑客黑產(chǎn)關(guān)注和攻擊較為嚴(yán)重的行業(yè)企業(yè)，是威脅情報(bào)消費(fèi)的主要用戶。

　　沙利文聯(lián)合頭豹發(fā)布的《2022年中國(guó)威脅情報(bào)市場(chǎng)報(bào)告》（以下簡(jiǎn)稱(chēng)報(bào)告），對(duì)不同行業(yè)領(lǐng)域、不同規(guī)模企業(yè)的威脅情報(bào)需求和市場(chǎng)特征進(jìn)行了梳理，并對(duì)中國(guó)威脅情報(bào)市場(chǎng)發(fā)展前景做出分析和推測(cè)。

　　根據(jù)報(bào)告，不同行業(yè)用戶對(duì)于威脅情報(bào)的需求不完全相同。

　　金融行業(yè)

　　飽受釣魚(yú)欺詐、安全漏洞及數(shù)據(jù)泄露的侵害，針對(duì)已經(jīng)進(jìn)入內(nèi)網(wǎng)的威脅無(wú)法進(jìn)行及時(shí)發(fā)現(xiàn)、響應(yīng)，安全人員無(wú)法定位關(guān)鍵威脅并進(jìn)行處置。亟需提升內(nèi)網(wǎng)失陷威脅檢測(cè)能力，需要用情報(bào)賦能安全產(chǎn)品的分析能力。

　　政府行業(yè)

　　勒索病毒和釣魚(yú)欺詐的高發(fā)領(lǐng)域，高級(jí)威脅事件發(fā)現(xiàn)能力普遍較弱，安全運(yùn)營(yíng)人員短缺，威脅檢測(cè)分析工作主要依靠廠商人員，安全運(yùn)營(yíng)工作自主化、自動(dòng)化、智能化、可視化程度低。需要將情報(bào)能力融入傳統(tǒng)政務(wù)安全，建立檢測(cè)、分析、響應(yīng)三位一體的安全體系，依靠取證溯源提升安全專(zhuān)業(yè)能力。

　　互聯(lián)網(wǎng)行業(yè)

　　長(zhǎng)期面對(duì)層出不窮的新型攻擊手段與未知威脅，攻擊呈現(xiàn)出復(fù)雜性、隱蔽性、針對(duì)性的趨勢(shì)，被動(dòng)防御模式很容易被繞過(guò)。構(gòu)建情報(bào)驅(qū)動(dòng)的業(yè)務(wù)安全體系迫在眉睫，以實(shí)現(xiàn)云端和本地的全面監(jiān)控。

　　能源行業(yè)

　　內(nèi)網(wǎng)易被感染，隔離內(nèi)網(wǎng)無(wú)法做到萬(wàn)無(wú)一失，且通常分支機(jī)構(gòu)多、分布地域廣，資深安全分析人員短缺，安全運(yùn)營(yíng)集中管控難度大。隔離內(nèi)網(wǎng)威脅檢測(cè)能力和威脅事件分析及處置能力亟需提升，運(yùn)用情報(bào)加持總部分部集中管控，一點(diǎn)感知、全網(wǎng)聯(lián)動(dòng)。

　　醫(yī)療行業(yè)

　　信息系統(tǒng)安全建設(shè)能力相對(duì)其他行業(yè)薄弱，醫(yī)院業(yè)務(wù)系統(tǒng)80％部署于虛擬化環(huán)境，缺乏東西向安全防護(hù)，終端數(shù)量多、分布范圍廣，運(yùn)維工作難度大。利用情報(bào)輔助及時(shí)發(fā)現(xiàn)、處理潛在威脅，加強(qiáng)對(duì)未知威脅的感知，加強(qiáng)對(duì)終端安全管理和數(shù)據(jù)中心虛擬化安全防護(hù)。

　　而如果從企業(yè)規(guī)模的維度來(lái)分析，威脅情報(bào)服務(wù)按照需求分層發(fā)展。

　　大型企業(yè)

　　將威脅情報(bào)作為基礎(chǔ)設(shè)施的一環(huán)，意在建設(shè)自身威脅情報(bào)能力，實(shí)現(xiàn)對(duì)多源威脅情報(bào)采集、處理、分析、生產(chǎn)，結(jié)合自身業(yè)務(wù)需求構(gòu)建網(wǎng)絡(luò)安全威脅情報(bào)運(yùn)營(yíng)的閉環(huán)，因此多傾向投資威脅情報(bào)數(shù)據(jù)、威脅情報(bào)平臺(tái)建設(shè)能力與定制化服務(wù)。

　　中小企業(yè)

　　重視在第一時(shí)間識(shí)別和檢測(cè)網(wǎng)絡(luò)中的攻擊事件或異常行為，多采購(gòu)可直接消費(fèi)的威脅情報(bào)，如可定性、可研判、可攔截、可溯源的高質(zhì)量威脅情報(bào)，或內(nèi)嵌威脅情報(bào)能力的集約化安全服務(wù)（威脅檢測(cè)、響應(yīng)處置、安全運(yùn)營(yíng)、事件分析等）。

　　威脅情報(bào)服務(wù)痛點(diǎn)明顯

　　標(biāo)準(zhǔn)化賦能安全協(xié)同生態(tài)建設(shè)

　　再來(lái)看威脅情報(bào)服務(wù)提供端，報(bào)告分析，中國(guó)威脅情報(bào)服務(wù)目前存在門(mén)檻高、共享難、用戶選擇困難、情報(bào)利用率低等痛點(diǎn)；許多廠商基于自身技術(shù)優(yōu)勢(shì)，將情報(bào)分析的研究重點(diǎn)放在信息采集和終端態(tài)勢(shì)感知技術(shù)方面，而對(duì)威脅情報(bào)分析和質(zhì)量關(guān)注較少。

　　然而，威脅情報(bào)服務(wù)的關(guān)鍵不在于情報(bào)收集，而在于對(duì)信息化數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)和安全數(shù)據(jù)的整合，從海量數(shù)據(jù)中深度挖掘線索，發(fā)現(xiàn)真正有價(jià)值的攻擊事件和藏匿很深的APT攻擊，這對(duì)于很多組織機(jī)構(gòu)而言門(mén)檻較高。類(lèi)似威脅捕手、安全大數(shù)據(jù)分析師這樣的威脅情報(bào)相關(guān)新興安全職業(yè)崗位的人才嚴(yán)重匱乏。

　　基于用戶需求和政策推動(dòng)，國(guó)內(nèi)威脅情報(bào)市場(chǎng)蓬勃發(fā)展，許多專(zhuān)業(yè)安全廠商陸續(xù)推出帶有自身特點(diǎn)的產(chǎn)品或服務(wù)，其中既有綜合型網(wǎng)絡(luò)安全廠商，也有獨(dú)立的專(zhuān)業(yè)威脅情報(bào)廠商。

　　微步在線

　　構(gòu)建了一個(gè)廣闊的威脅情報(bào)云，通過(guò)對(duì)互聯(lián)網(wǎng)以及多個(gè)渠道中開(kāi)放數(shù)據(jù)的不斷采集，再對(duì)這些數(shù)據(jù)進(jìn)行加工、分析，進(jìn)而生產(chǎn)出威脅情報(bào)，去感知攻擊者的行為、動(dòng)態(tài)以及新變化。近期，微步在線品牌升級(jí)定位為數(shù)字時(shí)代網(wǎng)絡(luò)威脅應(yīng)對(duì)專(zhuān)家，基于海量情報(bào)數(shù)據(jù)的安全云為核心能力，推出了全面覆蓋從檢測(cè)到響應(yīng)的產(chǎn)品矩陣，包括威脅感知、威脅情報(bào)管理、云化端點(diǎn)響應(yīng)、云化互聯(lián)網(wǎng)安全接入、安全分析社區(qū)和應(yīng)急響應(yīng)服務(wù)等多個(gè)場(chǎng)景，不斷將領(lǐng)先的威脅情報(bào)能力產(chǎn)品化，為企業(yè)威脅發(fā)現(xiàn)與安全運(yùn)營(yíng)工作更好的賦能。

　　永安在線

　　長(zhǎng)期致力于威脅情報(bào)領(lǐng)域技術(shù)的研究和應(yīng)用，曾推出業(yè)內(nèi)首個(gè)業(yè)務(wù)情報(bào)搜索引擎、面向全球開(kāi)源星云風(fēng)控系統(tǒng)、發(fā)布首個(gè)業(yè)務(wù)安全藍(lán)軍測(cè)試標(biāo)準(zhǔn)、業(yè)內(nèi)首發(fā)IPv6風(fēng)險(xiǎn)識(shí)別引擎等。其新一代業(yè)務(wù)風(fēng)險(xiǎn)情報(bào)平臺(tái)，基于對(duì)黑產(chǎn)產(chǎn)業(yè)鏈的長(zhǎng)期跟蹤挖掘，通過(guò)全網(wǎng)部署的蜜罐體系和風(fēng)險(xiǎn)感知技術(shù)，每日數(shù)億的情報(bào)收集、運(yùn)營(yíng)和實(shí)時(shí)更新能力，從情報(bào)維度幫助企業(yè)提升業(yè)務(wù)風(fēng)控攻防效率和數(shù)據(jù)安全防護(hù)能力，保障企業(yè)在線業(yè)務(wù)健康發(fā)展。

　　天際友盟

　　定位于威脅情報(bào)的分析者、加工者和搬運(yùn)者，指出“生態(tài)協(xié)同”是真正將威脅情報(bào)實(shí)現(xiàn)價(jià)值共享的方式，其打造TI Inside模式，除了自身產(chǎn)品產(chǎn)生的威脅情報(bào)外，還實(shí)時(shí)匯聚全球200+情報(bào)源，包括開(kāi)源數(shù)據(jù)、商業(yè)數(shù)據(jù)，以及其他從合法渠道獲得、再經(jīng)過(guò)加工、分析、整理而成的數(shù)據(jù)，打造可靠、有效、易用、適用性強(qiáng)的威脅情報(bào)解決方案。

　　報(bào)告認(rèn)為，標(biāo)準(zhǔn)化是威脅情報(bào)共享的必要前提，中國(guó)國(guó)家標(biāo)準(zhǔn)體系的建設(shè)尚處于起步階段，在未來(lái)將進(jìn)一步完善威脅情報(bào)共享體系和機(jī)制，夯實(shí)威脅情報(bào)基礎(chǔ)，賦能安全協(xié)同生態(tài)建設(shè)。為加強(qiáng)多源異構(gòu)威脅數(shù)據(jù)整合、提取和分析，提升網(wǎng)絡(luò)威脅情報(bào)準(zhǔn)確性，可基于網(wǎng)絡(luò)安全知識(shí)圖譜技術(shù)，實(shí)現(xiàn)關(guān)鍵威脅要素的融合與關(guān)聯(lián)分析，形成統(tǒng)一高質(zhì)量的威脅基礎(chǔ)知識(shí)庫(kù)，構(gòu)建威脅情報(bào)能力。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<