威脅情報行業丨研究報告

核心摘要：

正本清源：明確“威脅情報”的內涵與外延。隨著各類網絡安全威脅與日俱增，新型攻擊手段層出不窮，各類企業和組織的網絡安全策略逐漸由“被動”轉為“主動”，由“治療”轉為“預防”，“威脅情報”這一概念因而引發各方聚焦。但網絡安全行業覆蓋面廣，細分類型眾多，涉及包括基礎架構安全、數據安全、零信任、滲透測試/紅藍對抗等二十余個子領域，且各領域彼此相互拓展，領域間邊界不清。基于此種背景，本報告將明確“威脅情報”的內涵與外延，“威脅情報”與其他網絡安全領域的區別與聯系，樹立“威脅情報”行業價值。

市場透視：從供需兩端觀察中國威脅情報市場發展現狀。報告將對包括微步在線的威脅情報頭部企業展開充分調研，了解各企業技術、產品、市場及綜合能力。從行業全局視角計算總體市場規模并判斷未來走勢；從供給端歸納行業主要參與者，討論威脅情報的基礎能力、商業模式與產品能力指標，定量展示中國主要威脅情報廠商市場份額；從需求端展示產品落地情況及實施效果。

發展洞察：探尋威脅情報行業未來趨勢。報告將以發展的視角觀察可能對未來產生重大影響的行業焦點，包括情報出海、AI大模型及漏洞情報三大方向。分析威脅情報在合規、技術與應用方面的演進趨勢，并嘗試洞悉這些趨勢可能導致的行業格局變化，或帶來的潛在市場機會。

發展背景：網絡威脅現狀

全球范圍內網絡威脅呈增長態勢，攻擊者能力與攻擊頻率均有上升

從宏觀視角看，隨著全球數字化進程加速，網絡成為企業數字化運營的關鍵支撐，在網絡帶來前所未有的便捷和效率的同時，網絡威脅也隨之增長。根據公開研究報告顯示，攻擊者數量、攻擊速度相較于往年均有上升，大規模勒索行動的受害者數量也增長76%。同時，各主要行業遭受的攻擊頻率都有所上升，其中科技、咨詢、金融業遭受的攻擊頻率最高，工業工程、房地產、能源行業遭受的攻擊頻率增長快速，增速最高達102%。

發展背景：企業視角

數字化轉型擴大企業與網絡威脅接觸范圍，亟需更全面、及時的防護能力

從企業視角看，隨著數字化轉型的推進，企業內部面臨的網絡風險正不斷增加。從2023到2033年，全球物聯網連接數預計將從160 億增長到400億，復合年增長率達9.6%，接入網絡的設備顯著增多。同時，企業業務不斷擴張，遠程辦公設備增長、多云策略的采用都帶來更多連接點。此外，數據資產協同與共享愈發頻繁，在數據同步和共享常態化的趨勢下，企業更容易因軟件漏洞等問題受到攻擊，且修復關鍵漏洞的時間較長。

發展背景：政策視角

政策以“全方位、細粒度” 模式推進企事業單位網絡安全防護能力提升

在數字化浪潮和網絡威脅態勢交織的當下，國家高度重視網絡安全。國家密集出臺政策在全國范圍推進企業安全防護能力進階，從多維度拓展安全要求范圍，全面提升企事業單位網絡安全防護意識。目前，網絡安全防護理念已經從被動防御轉為主動防御，企事業單位亟需更先進的防御措施，及時檢測、識別，預測安全威脅，加快響應速度，減少網絡威脅帶來的損失。

威脅情報內涵

通過收集、分析多源數據得到的威脅表征、攻擊對象、攻擊方式等情報

威脅情報構建者對各類網絡活動監測數據、安全事件詳情、惡意軟件特征以及來自安全社區與專業平臺的共享信息等多維度素材進行系統梳理與深度挖掘，提取出如惡意IP地址、可疑域名、異常文件哈希值等關鍵威脅指標（IOC），識別出背后的威脅行為者及其動機、技能水平與攻擊偏好，明確攻擊所采用的戰術、技術和程序，從而為網絡安全防御者提供全面、精確且具前瞻性的決策依據。根據威脅情報的內容組成和用途，可以分為：1）輔助技術人員阻攔網絡攻擊的戰術威脅情報；2）輔助運營人員持續、全面管理組織安全狀態的運營威脅情報；3）輔助安全負責人制定宏觀安全策略的戰略威脅情報。

威脅情報外延

作為網絡安全高階能力，提升安全產品防御主動性與及時性

不同安全產品在網絡安全防御中有特定防護對象和應對的威脅類型，威脅情報的能力可以有效提升安全產品防護主動性與及時性。威脅情報能實時收集、分析全球網絡威脅信息，精準洞察新型攻擊手段。當新威脅出現，安全產品依據自動生成的威脅情報快速精準檢測，快速響應處置。如未知惡意軟件來襲，產品借助情報預判，主動出擊攔截，而非被動等待攻擊發生，起到防御關口前移功能，極大增強防御效能。

威脅情報價值

從提升企業主動防御能力到增進企業全面安全運營效能

在當今復雜多變的網絡安全環境中，企業可以通過借助動態更新的威脅情報庫或威脅情報賦能的安全產品提前洞察潛在的安全風險，在攻擊尚未發生之時就精準布防，實現主動防御，有效防止惡意入侵。在安全協作方面，威脅情報作為一種標準化的信息載體，可以實現跨部門/組織共享安全信息與應對策略、實現最大化利用安全資源，構建起穩固且可持續發展的網絡安全體系。

國內外發展對比

基礎能力至成熟產品發展趨同，產品融合與使用水平進展有別

海外威脅情報行業的宏觀發展路徑經歷了從基礎威脅情報能力的構建，到成熟可調用的威脅情報能力平臺的建立，再到威脅情報與其他安全產品的聯動融合三個階段。國內威脅情報行業的發展軌跡與此相似，但由于起步較晚，其發展速度和成熟度與海外相比有所差距。在產品融合與使用水平方面，由于國內外安全需求的差異，國內威脅情報融入的產品類別順序與海外存在差異。此外，海外由于安全產業起步較早，多數企業的整體安全運營能力相對優于國內，因此海外企業在威脅情報的使用水平上也相對較高。

中國威脅情報行業產品商業模式

三類純情報產品各具優勢；多樣情報融合方式形成3類綜合產品

當前國內市場威脅情報主要以兩種方式被用戶采用，一種是對威脅情報數據及平臺的直接應用與消費，另一種是通過使用安全監測響應類產品，為這類產品中的情報能力或情報模塊買單。前者專注提供高質量的情報數據和服務，通常以標準化API接口、TIP平臺或是通過威脅情報門戶賬號訂閱方式交付，API及威脅情報門戶賬號訂閱更側重情報數據交換的便捷與及時性，TIP則更側重對情報數據的查詢、分析、生產、共享及狩獵等全方位情報管理與流程化操作。后者情報主要以三種方式與其他產品融合，形成情報賦能型產品。

中國威脅情報行業產品能力與廠商競爭力

產品能力指標：準確性、豐富性、及時性；廠商競爭力指標：數據、技術

【產品能力指標】從用戶視角看，威脅情報產品能力可拆分為情報準確性、豐富性與及時性三方面。準確性指威脅情報的精準度，能夠有效幫助客戶減輕安全運營成本；豐富性對應威脅情報的覆蓋度與顆粒度，體現了情報的信息含量；及時性指威脅情報在其生命周期結束后快速更新，保證情報信息的高可用。這三方面也是用戶訂購威脅情報產品的核心考量因素。

【廠商競爭力】從情報生產側觀察，安全大數據的采集以及對數據的分析挖掘能力成為企業的核心競爭力。安全大數據采集包括利用社區、沙箱、蜜罐等多種方式獲取公開情報、惡意樣本特征、基礎網絡信息等安全類基礎數據，為威脅情報的生產提供“原料”。同時，各廠商借助大數據處理、人工智能等一系列技術手段，采用自動化方式將以上基礎數據進行標準化、關聯與拓線，并由專業分析師參與重點情報的定向分析，持續生產高質量、多維度的威脅情報。

中國威脅情報行業廠商能力特點

基于基礎數據、服務經驗、業務特征等自身稟賦，差異化構建情報能力

威脅情報對于安全類產品的能力提升已經成為行業共識，業內主要廠商均已著手構建情報能力。但由于企業DNA所造就的在基礎數據、服務經驗、業務特征等方面的差異，因而各廠商的威脅情報產品能力也各有特點。下表列舉了5家威脅情報主要廠商代表以及中小型威脅情報廠商的能力差異，我們可以看到各廠商如何基于自身稟賦及戰略目標，規劃設計威脅情報產品，以及產品落地情況。

中國威脅情報產業圖譜

中國威脅情報市場規模

受疫情影響市場規模短期下跌，安全需求及產品融合推動行業長期增長

2020年疫情爆發后，宏觀經濟不確定性增加，各行業均在努力削減成本，而網絡安全項目實施周期較長，往往容易被客戶率先擱置，受此影響，我國威脅情報市場規模增速有所下降，從2022年底疫情防控結束至2024年底的2年時間，網絡安全行業重在“清庫存”，后疫情時期的影響短期內限制了行業的進一步增長，2024年中國威脅情報市場規模達到16.1億元，較23年小幅下跌0.9個百分點。

未來，在宏觀層面，隨著疫情的影響逐漸淡去，國家為促進經濟增長于2024年下半年采取了一系列積極的宏觀調控動作，同時地緣政治的不確定因素仍然存在，加之國家對網安的重視程度日益增長，推動網安攻防演練常態化，鼓勵企業加大以“威脅情報”為代表的實戰化能力建設投入。在微觀層面，從需求端看，生成式人工智能顯著降低攻擊門檻，新的攻擊工具及新型攻擊手法日益增多，勒索軟件攻擊日益猖獗，需要企業依靠最新威脅情報來增強自身檢測防護能力，對威脅情報類安全產品的需求預計將有所增強；從供給端看，威脅情報與其它各類安全產品的融合持續加深，作為網絡安全高階能力，已實現在網、端、綜合防護等各類安全模塊中的部署。因此，在供需兩端的共同推動下，我們預計未來行業將進入穩步發展期。

中國威脅情報行業市場份額

頭部廠商已積累一定行業優勢，積極的競爭與創新是未來行業的主基調

目前，中國威脅情報屬于低集中寡占型市場（CR4=43.0%，CR7=49.7%）。一方面，微步在線、騰訊安全、奇安信等行業領導廠商基于自身差異化能力，積極豐富產品矩陣，覆蓋更廣泛的需求場景，不斷夯實企業競爭力，在行業中已形成一定優勢。另一方面，以AI大模型、大數據開源組件為代表的新技術被持續融入威脅情報中；同時各廠商仍在探索情報能力與其他安全產品的融合方式與商業捆綁模式，因此以發展的視角看，積極的競爭與創新將成為行業的主基調。

微步在線（1/2）情報產品

累積海量高質情報，專注于精準、高效、智能的網絡威脅發現和響應

微步成立于2015年，專注于精準、高效、智能的網絡威脅發現和響應，開創并引領中國威脅情報行業的發展，打造了精準的威脅情報、高質量的漏洞情報、實時感知的態勢情報為核心的下一代威脅情報，業務遍布國內外企業，在主流行業頭部企業覆蓋率超過90%。基于威脅情報TI及AI大模型分析能力，微步在線形成了包括安全情報、端點安全、流量安全、邊界安全、云上安全、安全服務和安全工具的完整產品和服務矩陣。

微步在線（2/2）情報解決方案

NGTIP基于日志和IOC情報進行失陷檢測，實現檢測、分析、處置閉環

在網絡安全領域，黑客常通過DNS隧道侵入企業內部，使傳統邊界安全設備失效，迫使企業陷入被動防御的窘境。針對這一問題，微步在線的下一代威脅情報平臺NGTIP通過對比收集到的多源日志（尤其是DNS日志）與平臺內置的高質量情報庫，實現對遠控、挖礦、惡意軟件等多類威脅的及時檢測，將企業的防御關口提前。除了檢測功能外，微步在線的下一代威脅情報平臺NGTIP還能與SOC等安全產品協同，實施精確的防護措施，并通過多種渠道向安全管理人員通報威脅事件信息，提出處理建議，形成安全防護的閉環，助力企業有效應對網絡安全挑戰。

奇安信（1/2）情報產品

依靠多源威脅情報，提供一體化SaaS+本地化的威脅情報追蹤產品矩陣

奇安信在威脅情報產品領域為客戶提供一體化SaaS威脅情報產品（API）及本地化部署服務（TIP）。ALPHA威脅分析平臺是面向安全分析師、事件響應人員的綜合性威脅情報分析平臺，以海量多維度網絡空間安全數據為基礎，實現報警研判、攻擊定性、黑客畫像以及威脅持續跟蹤；API提供面向客戶的接口查詢服務，能夠提供文件信譽、失陷檢測、IP信譽、URL信譽和郵箱信譽等情報。TIP則能夠幫助企業本地化部署，實現情報落地，幫助企業高效地利用情報發現威脅，增強自身的安全防護能力。

奇安信（2/2）情報解決方案

基于ALPHA平臺能力，威脅情報賦能奇安信六大主要應用產品

基于領先的情報威脅數據收集與分析能力，奇安信推出了一系列威脅情報應用產品，包含SOC、EDR、XDR、SOAR四類主要產品，SOC類產品包括聚焦攻防滲透和數據分析的威脅檢測與分析系統（天眼）、更多分析維度和數據基礎的態勢感知與安全運營平臺（NGSOC）及專為政府監管打造的監管態勢感知平臺；終端安全響應系統（EDR）能夠基于威脅情報檢測終端病毒、惡意軟件和勒索軟件，威脅檢測率顯著提高；XDR扮演平臺中樞的角色，進行危機研判、自動上報和主動向防火墻推送策略達到防護阻斷功能；SOAR根據威脅情報自動生成安全策略，形成可靈活調整的定制化防御方案。

騰訊安全（1/2）情報產品

騰訊安全威脅情報中心，以五大產品能力助力政企提升數字安全免疫力

騰訊安全專注AI、威脅情報、攻防對抗三大原子能力，聚焦數據安全治理、業務風險控制、安全運營管理、邊界安全、端點安全、應用開發安全六大領域，助力政府及企業的數據、系統、業務安全。其中，騰訊威脅情報中心（TIX）依托騰訊安全二十余年網絡安全實戰經驗和大數據智能分析能力，以多元的載體服務、多種集成方式、API云端查詢服務、情報碼解決方案、SDK集成方案五大產品能力，打造覆蓋業務情報、攻擊面情報和基礎情報的威脅情報大數據平臺，助力企業低成本獲得全面情報能力，并全面提高產品預警和回應速度。目前TIX已覆蓋金融、互聯網、高科技企業、政府運營商、安全生態廠商等各行業用戶。

騰訊安全（2/2）情報解決方案

基于TIX威脅情報能力，構建攻擊面管理服務，幫助客戶全面監測風險

攻擊面管理是一款致力于解決用戶互聯網風險監測難題的SaaS化訂閱服務產品，基于騰訊威脅情報能力，提供面向政企用戶的互聯網資產漏洞風險、內容風險與信息泄露風險等維度的監測服務，同時基于企業多維度信息關聯測繪，實時監測互聯網暴露面，發現暴露資產、端口、服務與潛在風險。

天際友盟（1/2）情報產品

以威脅情報技術研究能力為支撐為客戶提供多種安全防護產品

天際友盟于2015年成立后，創建烽火臺安全威脅情報聯盟，并陸續發布RedQueen威脅情報中心、SIC威脅情報平臺、TIG威脅情報網關等產品，致力于為客戶提供全生命周期的數字風險防護。目前，天際友盟在北京、上海、深圳、廣州、珠海、江蘇、西安、沈陽、長春、哈爾濱、長沙、石家莊、太原、香港、澳門等多地設有分支機構，并在2024年于新加坡設立了東南亞業務中心，開展亞太市場。

天際友盟（2/2）情報解決方案

持續自動監測數字風險，保障用戶與企業品牌每一步互動的基本安全

為保護企業品牌價值，天際友盟發布DRP數字風險防護服務。DRP通過調用威脅情報平臺等能力，持續自動監測互聯網存量數據和流量數據，及時發現存在的釣魚欺詐、非法使用品牌標識等行為，并針對威脅行為采取下線措施，實現對網絡欺詐和品牌濫用的打擊，協助企業保護數字時代品牌價值。

洞悉一：威脅情報+企業出海

情報企業正積極探索出海業務，情報標準與數據安全成為兩大焦點

【威脅情報標準】我國于2018年推出《信息安全技術網絡安全威脅信息格式規范》，以推動技術發展與產業化應用。該規范雖然以國際標準為重要參考依據，但在國際通用與兼容性、技術細節與深度、情報共享與協作效率以及對新技術和新威脅的適應性方面與國際規范尚有差距；未來隨著行業標準的完善并進一步與國際靠攏，我國威脅情報企業出海路徑將更加通暢。

【數據安全合規】數據是威脅情報行業的重要基礎資源，各個國家及地區對于本地數據的保護要求紛繁復雜。對各國當地法律法規的了解與遵守是威脅情報出海的重點和難點。我們看到，一些中國情報廠商已經在探索海外數據合法合規的使用方式，包括但不限于設立海外實體、處理敏感信息以及建立共享協議。

洞悉二：威脅情報+大模型

大模型時代的AI能力將支撐威脅情報實現更高效的運營和更廣泛的應用

大模型出現后，人工智能在自然語言處理、知識學習與整合、泛化和遷移學習方面的能力實現了躍升。對于威脅情報行業，大模型在威脅情報生產與運營的多個環節均有賦能，提升專業人員產出威脅情報的效率、降低威脅情報的應用門檻、支撐其面向更多場景，賦能更多崗位的人員。目前，多數大模型賦能威脅情報的應用場景還在概念驗證的階段，未來，企業可以在例如大模型行業適配、大模型落地效率、性能優化、合規應用等多個角度發力，實現大模型在新應用場景的快速落地，提升自身競爭力。

洞悉三：漏洞情報價值日益凸顯

漏洞情報與企業資產不斷加深融合，以提升防護主動性與御損能力

目前，漏洞成為攻擊者的重點利用方向，公開報告顯示，2023年攻擊者利用漏洞作為入侵初始步驟的情況增長180%，對企業帶來較大危害。因而，結合威脅情報技術，以漏洞為主要防護對象的漏洞情報對企業安全防護的發展更具意義。如今，漏洞情報與企業資產結合緊密度不斷上升。企業面臨越來越多的資產存在漏洞，需具備的漏洞管理能力要求也越來越高，通過漏洞情報全面及時掌握最新漏洞信息，打通內部資產平臺第一時間發現漏洞，并建立科學漏洞評估模型優先處置真正的高危漏洞對于企業變得尤為重要。

歡迎關注艾瑞數智獲取更多內容