风君子博客近几年,威胁情报逐渐走入人们的视线,从理论研究进入落地实践。作为企业安全防御“化被动为主动”的利器,威胁情报可以提前获取攻击者的攻击工具、攻击途径、攻击意图等信息,直接推动安全事件的快速响应。
作为信息安全市场重要的一极,如今威胁情报市场究竟发展到了什么程度?威胁情报如何对企业安全防护形成助力?随着威胁情报市场的成熟,各安全厂商又呈现出怎样的竞争态势?
近日,赛迪发布的《中国威胁情报市场研究报告(2021)》(以下简称“报告”)显示,未来三年中国威胁情报市场仍将保持高速增长,2023年市场规模将达到25.9亿元,三年复合增长率为46.9%。
报告还指出,2020年国内威胁情报市场竞争较为激烈,老牌安全厂商和新兴安全厂商纷纷入局,微步在线凭借其在威胁情报领域深耕多年的综合实力及先发优势位列第一。
双重推力下,中国威胁情报市场迅猛发展
对于今天的信息安全圈而言,威胁情报是一个耳熟能详的技术词汇,但早在2013年,威胁情报才第一次出现在Gartner的研究报告中。最初的威胁情报技术主要是以手动挖掘为主,还有类搜索引擎的威胁情报产品,相关的安全厂商寥寥无几。
直至2015年,威胁情报开始在国内兴起,微步在线、天际友盟和烽火台联盟等威胁情报厂商及平台成立,360也推出了以威胁情报检测能力为核心的天眼产品。
威胁情报的兴起,一方面源于网络安全环境的日益复杂,不同的攻击行为更具产业化、团伙化,入侵手法也愈发多样化与复杂化,传统以防御漏洞为主的安全策略在面对层出不穷的新型、持续性、高级威胁时,难以及时有效的检测、拦截和分析,因此安全防护需求逐渐从传统的、以漏洞为中心进化为主动型、以情报为中心的建设模式。
另一方面,大洋彼岸的美国已走在了威胁情报的前沿,在国家层面推行诸如《网络安全情报分享法案》等法律法规,并从政府内部开始建立完整威胁情报体系;美国安全产业也逐步完善了威胁情报相关标准,以及在安全产品中添加了威胁情报的属性,形成了较为成熟、完整的威胁情报产业链,从而为国内安全从业者研究威胁情报提供了参照。
2018年,威胁情报在国内的发展迎来了一个巨大的转折点。2018年10月10日,我国正式发布威胁情报国家标准——《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018),成为国内第一个关于威胁情报的标准。政策层面的推动,意味着威胁情报将打破现有环境束缚,走向国家标准的正轨,形成适合威胁情报稳健发展的市场秩序。
2019年以后,随着等保2.0标准、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》、《关键信息基础设施安全保护条例》等政策法规的陆续发布,威胁情报的政策环境日益完善,推动着威胁情报市场稳健发展。
报告显示,从2018、2019两年来看,中国威胁情报市场保持着高速增长,情报相关厂商已经可以提供比较全面的威胁情报产品。
与此同时,国家对网络安全攻防演练工作的重视,也大力推动了威胁情报的市场应用。2019年以后,结合了高级威胁情报能力的XDR(Extended Detect and Response)产品逐渐出现在市场中,并被越来越多的企业客户所接受。
经过8年的发展,威胁情报在国内落地生根,市场初具规模。
报告显示,从行业结构看,目前在威胁情报市场中占据主导地位的是政府、金融、电信、能源等行业。一方面是因为国家“等保2.0”“关基”条例等政策规定对于威胁情报的硬性要求,另一方面也是因为这些行业信息化程度较高、受黑客黑产关注和攻击较严重,因此对安全防护的要求也更高,更容易尝试效果导向的新技术、新产品。
从区域结构看,华北、华东和中南地区是中国威胁情报市场发展最为领先的三个区域,占市场的九成以上,这表明威胁情报的政策导向、行业导向较为明显,正在从经济结构较为成熟的区域向外辐射。
可以看到,中国威胁情报市场虽然起步较晚,但近几年发展势头迅猛,在网络安全环境和国家政策的双重推动下,威胁情报已成为政企机构信息安全防护体系的标配。
众玩家入局威胁情报,质与量成为竞争基础
威胁情报在国内市场的兴起,吸引了一大批玩家纷纷入局,既有微步在线这类从威胁情报起家的创新网络安全厂商,也不乏奇安信、360、绿盟科技、安恒信息等老牌安全厂商。
新老厂商的激烈竞争,催化着威胁情报市场的成熟,也带来了丰富的威胁情报产品,如:供安全产品检测和报警排序使用的战术情报或机读情报;供安全运营人员做事件分析、安全狩猎使用的作战情报;以及供安全管理者确定安全建设投入方向使用的战略情报等。
同时,为了进一步提升威胁情报的安全价值,大多数安全厂商开始以平台化的形式提供服务。在平台产品上,使用先进的大数据分析、知识图谱、机器学习、人工智能及其他创新技术完成对海量数据的快速准确分析、针对性识别和安全防范建议,最终为客户提供智能化、自动化的安全防护能力。
在实际落地应用中,各家安全厂商也会将威胁情报作为一种高级安全能力,与防火墙、WAF、蜜罐、内网隔离等设备联动,助于企业对高级威胁、新型威胁进行识别和处理,解决来自各种安全设备的海量安全告警问题,帮助企业来实现自身安全能力和体系的升级。
但值得注意的是,威胁情报价值体现所面临的挑战之一,是真正了解威胁情报的内容,以及如何利用威胁情报提高自身的安全运营管理能力。威胁情报数据的重要性不仅在于可以收集基本的威胁指标,还在于基于这些有效信息的分析可以帮助企业对安全局势做出前瞻性判断和决策。这充分考验着安全厂商在情报数据获取和大数据分析方面的能力。
从情报数据获取方式看,安全厂商在部署情报资源库时,不但使用自有数据采集源,还会采取多种方式获取其他情报源以丰富数据源的数量。收集到数据源之后,还会通过数据清洗、数据整合并对冲突数据进行研判,来提升基础数据的质量,确保数据源的准确性。
从情报数据类型看,安全厂商在提供威胁情报产品和服务时,必须要做到情报数据尽量多样化,包括动态IP信誉库、恶意域名、Hash值、恶意样本、Passive DNS、历史Whois数据等,还应重视诸如数据泄漏、异常行为、情景分析等情报来源,关注与TTPs(攻击目标、攻击工具、攻击方法)相关的情报。
从数据分析方法看,安全厂商需重视新技术如数据挖掘和机器学习在特征提取、归纳、预测等方面带来的显著提升,并且通过大数据分析提取威胁情报中的有效信息,才能给出有效的预测和决断依据。
事实上,并不是所有安全厂商都能实施专业的威胁情报分析。要从海量数据中深度挖掘线索,发现真正有价值的攻击事件和难以发现的APT攻击,是一件非常难的事情,在技术侧的模型、算法和用户侧的场景、经验上,都存在着较高的壁垒。
一方面,多数安全厂商基于自身的技术优势,将情报分析的研究重点放在信息采集和终端态势感知技术方面,对威胁情报分析和质量的评估较少关注,并未针对“情报”本身进行充分分析。
另一方面,由于既熟悉情报分析相关理论又能熟练使用大数据分析方法、工具,且经验丰富的专业情报分析人员数量严重不足,对威胁情报分析工作造成了一定的影响。随着大数据环境下信息安全体系复杂性和威胁种类的日益增加,海量数据的处理使得传统的分析方法和工具难以胜任。
如微步在线这类创新安全厂商,从成立之初便专注于威胁情报领域,可以说威胁情报是其立身之本,在威胁情报数据的获取和分析方面有着自己的独门绝技。
微步在线的研发首先依赖于海量的基础数据和精准的分析模型,包括多年历史Passive DNS、长期的历史Whois、SSL指纹数据、端口信息等长久积累的全球化的基础数据。
同时,微步在线的情报研发团队利用各种手段感知到新型威胁的存在,并进一步研究威胁的投递路径、关联关系等特点,撰写对应的威胁狩猎模型进行追踪,最终依赖不同类型的分析系统进行威胁分析和情报的提取研发。
由于在基础数据积累方面的大量投入,以及多年对数据模型的研发、迭代,微步在线的后台情报研发系统已经高度专业化和自动化,日均新增高可信度且处于活跃状态的有效情报可达上万条。
目前,微步在线在威胁情报安全云的核心产品研发上已持续投入了七年时间,推出了基于流量和终端的“云+流量+端点”全方位威胁检测响应产品矩阵,建立了足够高的壁垒,因而保持着威胁情报领域的领军位置。
同时,微步在线还有一个持续运营了6年的威胁情报社区,国内大部分的安全从业者、爱好者都是该社区的用户,持续为社区贡献着自己的力量。当越来越多的安全行业同行和企业客户加入社区,微步在线的情报网络效应就越强,这也成为其他安全厂商难以复制的独特生态。
正如报告所言,在未来网络安全市场中,威胁情报基础数据的质与量将成为安全厂商竞争的基础。
深耕威胁情报,微步在线稳坐第一宝座
随着技术和产品的不断成熟,威胁情报正在从潜力市场走向成熟市场。据报告显示,未来三年中国威胁情报市场仍将保持高速增长,2023年市场规模将达到25.9亿元,三年复合增长率为46.9%。
在激烈的市场竞争中,诞生了如微步在线这样的领军者。从市占率看,微步在线凭借其在威胁情报领域深耕多年的综合实力及先发优势,以13.6%的市场份额位列第一。从品牌能力看,
微步在线在技术能力、产品成熟度、市场影响力、服务能力等方面综合实力同样位列第一。
这样的排名并不令人意外,毕竟微步在线早已盛名在外。作为国内第一批威胁情报公司,微步在线已连续4年入选Gartner《全球威胁情报市场指南》,也是和全球威胁情报企业同台竞技的中国厂商。
凭借出色的威胁情报能力,微步在线获得了来自能源、金融、智能制造、互联网、政府等行业的三百余家大型政企机构的一致认可,国家电网、中石油、工商银行、招商银行、OPPO、滴滴、京东、中信集团、国家信息中心等均是其客户。
值得注意的是,不同于传统的本地化部署安全产品,微步在线采用基于云端的SECaaS(安全即服务)模式,以标准化部署为主。
随着云计算在各行各业得到广泛应用,信息安全面临着边界模糊、环境复杂、威胁多样化等多方挑战,将云计算、大数据等技术与网络安全行业进行结合是必然趋势。正如报告指出,安全厂商需要把自身安全能力云化后赋能给企业客户,以SaaS订阅模式提供威胁情报服务的交付方式将越来越受到市场欢迎。
目前,微步在线威胁情报SaaS服务的续约率接近95%,其订阅式服务约占总收入80%左右,这一数据在国内外SaaS企业中都属于非常高的水平。高订阅率和续约率的背后,凸显了微步在线产品的价值以及用户的满意度。对于企业用户而言,微步在线的威胁情报不仅仅是一个工具,更是代表了持续运营的安全能力,能够满足政企机构在网络安全实战化方面的需求。
如今,微步在线围绕威胁情报的产出研发、应用、产品化等环节已经形成专业的产业链条。基于威胁情报的核心能力,微步在线通过流量检测产品Threat Detection Platform(TDP)和端点威胁检测与响应产品OneEDR的深度结合,把终端和流量中获得的威胁信息统一管理、分析,聚合出安全事件的完整攻击链,从而实现了“云+端点+流量”场景的全面覆盖,向XDR迈进了一大步,加速了威胁情报能力的落地。
结语
在新的时代背景下,网络攻击方式趋于规模化、专业化,国际政治格局的新变化都促使企业的安全建设逐渐从合规走向实战化。因此中国政企机构需要配备威胁情报这类新的安全工具,以覆盖数字安全领域,以提升组织的整体安全防护能力。如微步在线这类安全厂商作为威胁情报市场的重要力量,将充分发挥威胁情报的真正价值,为政企安全决策做全面支撑。