中国威胁情报订阅市场分析报告(2023第1版).pdf

万物互联的时代，机遇与挑战并行，便捷和风险共生。“没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。”习近平总书记高屋建瓴的话语，为推动我国网络安全体系的建立，树立正确的网络安全观指明了方向。

随着后疫情时代的到来和地缘摩擦，网络空间的安全对抗日趋激烈，传统的安全技术不能全面满足安全防护的需要，要想做到准确检测、高效响应和持续运营，威胁情报是必然的选择。

威胁情报颠覆了传统的安全防御思路，将“被动防御”转变为积极的“主动防御”,提高了信息系统的安全应急响应能力。如果说了解漏洞信息是“知己”,那么掌握威胁信息则是“知彼”。正所谓知己知彼，百战不殆。在攻防不对等的局面下，威胁情报的出现能够尽可能的消除这种差异，对于网络安全防护体系的发展具有里程碑式的意义。

威胁情报并不是适用于所有人，在2023年3月Google Cloud Security的一场活动中，许多安全分析师作出了坦诚的回答。考虑到大多数网络安全从业人员都在处理日常的安全事件和漏洞问题，如果需要威胁情报令组织直接受益，将威胁洞察力转化为行动的能力，并将其整合到业务和安全流程中，组织需要投入足够的资金预算。

但威胁情报又是网络安全发展未来的一部分，尤其是在Al高速发展的新时代。人工智能和机器学习可能是当下最重要的技术进步，为构建、发现和创造一个全新的世界带来巨大的机会，威胁情报有在其中扮演者一个关键的角色。同样在2023年3月，微软发布了一项新研究，在威胁情报中设置一个专门的人工智能安全红队，这是一个由安全研究人员、机器学习工程师和软件工程师组成的跨学科小组，致力于了解攻击者如何接近人工智能，以及他们如何能够破坏人工智能或机器学习模型，以便我们能够了解这些攻击以及如何领先于它们。威胁情报是打造未来安全Al必不可少的一部分。

在国内，威胁情报的概念虽在早在2015年就开始普及，但许多用户依然对威胁情报是什么、如何订阅获取、如何联动应用、业界有哪些落地实践的方式等基本问题都缺乏了解。当重大安全事件发生时会有大量的深度APT分析，可很多机构和组织往往不能充分利用其中信息，导致这些极具价值的信息被严重浪费。

当前国际秩序面临深度调整，全球科技竞争格局正加速重构，如何借助威胁情报能力提升自身业务安全基线，是中国众多关键基础设施企业需要思考的问题。在面对信息高度不透明、商业模式不统一的威胁情报订阅源时，能够做到正确、有效的将威胁情报应用于自身的生产环境中发挥出常规的价值已是不易，应该有更好的方式，能够让威胁情报简洁、高效的为更多组织机构所了解和应用。

斯元商业咨询基于网安行业最新技术动态及长期行业调研数据，针对当下中国网络安全市场的需求，对当前国内外主流的威胁情报订阅的商业应用模式进行调研后，发布本报告。报告内容涵盖威胁情报基本定义、主流威胁情报订阅模式、常见可订阅威胁情报类型、典型威胁情报厂商、威胁情报应用案例等内容，对当前国内市场的威胁情报商业订阅市场做出介绍。

希望本报告可以助力国内众多关键基础设施与甲方企事业单位的相关部门负责人及时了解威胁情报订阅的发展动态，在合规梳理、安全体系建设和技术选型等环节辅助决策。

一、应用方式：Tl Feed模式一般采用API接口调用、SDK引用集成两种方式获取；TI Lookup模式大多采用Web在线浏览、API接口调用两种方式查询。

二、应用效率：TlFeed模式为获取后本地内置应用，效率更高；Tl Lookup模式为有输入基础上的交互应用，

受QPS、网络性能等影响，效率较低。

三、应用场景：Tl Feed模式可按数据类型、威胁类型、设备类型等不同应用需求进行差异化获取，及组织

内多部门/多分支机构间共享交换；TILookup模式相对单一，且不能实现海量情报的共享。

四、应用效果：Tl Feed模式为实时获取与预警，属于事前主动防御，TI Lookup模式为协同查询与溯源，偏

向于事中事后被动防御。

五、数据丰富度：Tl Feed模式偏向检测阻断应用，只需传递核心信息，数据丰富度较低；而TI Lookup模

式偏向分析溯源，需提供更多佐证信息，数据丰富度较高。

六、风险数据隐私：TlFeed模式无需提供自有数据即可完成获取，Tl Lookup模式需用户输入待查询数据才

可获取查询结果，有数据泄露隐患。