网络安全威胁情报行业发展报告（2021年）

洞察系列报告研判系列报告报告编号：2021-dc-24 网络安全威胁情报行业发展报告（2021 年）国家工业信息安全发展研究中心北京微步在线科技有限公司 2021 年 12 月网络安全威胁情报行业发展报告（2021 年） “工信安全智库”系列报告编委会主任：赵岩蒋成员：黄鹏高晓雨申畯王花蕾熊华俊孙倩文殷利梅胡思洋闫郑于金平王丁冉寒艳磊赵铭晨编写组撰稿：陈羽凡叶晓亮李晓婷审稿：孙倩文网络安全威胁情报行业发展报告（2021 年）序国家工业信息安全发展研究中心经过 60 余年的发展与积淀，在智库研究方面形成了丰硕的积累。2018 年 9 月，中心推出“工信安全智库”品牌，立足深化供给侧结构性改革和加快建设创新型国家战略需求，围绕制造强国和网络强国建设任务，聚焦网络安全、数字经济、信息技术产业、战略前沿等重点领域，开展基础性、战略性、先导性智库研究，为工业和信息化部、中央网信办、国家发展改革委等提供智力支持。 “工信安全智库”自 2019 年开始陆续推出“研判”“洞察”“瞭望”“指数”“案例”“编译”等系列研究报告，围绕党和政府决策急需的相关重大课题和关键问题，开展形势研判、专题调研、国际跟踪、景气测度、案例分析、报告翻译等方面的持续研究，为主管部门预见走势、把握机遇、应对挑战、谋划战略提供参考。本次推出的洞察报告《网络安全威胁情报行业发展报告（2021 年）报告》对网络安全威胁情报相关概念进行系统梳理，对国内外网络安全威胁情报发展情况进行总结分析，结合对我国网络安全威胁情报产业发展现状的调研，提出威胁情报服务能力评价框架，并就未来发展趋势及建议展开探讨，旨在为更好发挥威胁情报价值、促进威胁情报落地应用、推动威胁情报产业发展提供参考。本报告得到北京微步在线科技有限公司的大力支持，产业调研还得到 360 政企安全集团、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司、杭州安恒信息技术股份有限公司等企业的支网络安全威胁情报行业发展报告（2021 年）持，在此一并感谢。由于成稿仓促，加之水平有限，报告中难免有疏漏和错误之处，恳请批评指正。编写组 2021 年 12 月网络安全威胁情报行业发展报告（2021 年）摘要随着网络威胁的数量和复杂性不断增长，构建基于威胁情报的网络安全主动防御体系势在必行。2014 年起，威胁情报逐渐成为网络安全的热点领域之一，2018 年更是出现爆发性增长。各国政府、企业对威胁情报的重视程度不断提高，各类产业主体积极围绕威胁情报技术及商业模式开展探索，同时大力推动威胁情报标准化和共享机制的建立。威胁情报于 2015 年前后正式进入我国市场，威胁情报的价值在近几年的发展过程中逐渐被接受和认可，各行各业对威胁情报的需求也不断增长，据估计 2021 年我国威胁情报市场规模约在 10.69 亿元左右。报告在产业深度调研的基础上提出威胁情报服务能力评价框架，为更加科学全面评价地评价供应商能力提供参考。该框架面向威胁情报供应商能力成熟度和市场发展潜力两方面目标，围绕情报数据、业务流程、产品服务、企业竞争力等四个基本维度，对供应商威胁情报服务能力的评价。针对典型网络安全威胁情报供应商的能力评价及优势分析随文附后。为更好发挥威胁情报赋能作用，应进一步夯实威胁情报对网络安全发展的基础支撑作用，促进威胁情报开发利用以覆盖多元化情报需求，加快标准化建设以实现更大范围情报共享，以更加广阔的威胁情报视野驱动各类网络安全技术、服务、产业协同，实现推进网络安全产业高质量发展的目标。网络安全威胁情报行业发展报告（2021 年）目录一、威胁情报概述............................................................................................ 1 （一）威胁情报的定义 ............................................................................... 1 （二）威胁情报的分类 ............................................................................... 2 （三）威胁情报的作用 ............................................................................... 4 二、国外威胁情报发展现状分析 ................................................................... 5 （一）威胁情报国家和战略层面重视程度不断提高 ............................... 6 （二）威胁情报描述、交换和共享等环节标准逐渐完善 ....................... 7 （三）威胁情报自身多环节以及与多业务逐步融合 ............................... 8 三、我国威胁情报产业调研分析 ................................................................. 10 （一）我国威胁情报行业正处于初级发展阶段 ..................................... 10 （二）网络安全企业积极推动威胁情报产品化 ..................................... 12 （三）行业企业需求主要集中于威胁情报订阅 ..................................... 14 四、威胁情报服务能力框架 ......................................................................... 16 （一）情报数据 ......................................................................................... 16 （二）业务流程 ......................................................................................... 17 （三）产品服务 ......................................................................................... 19 （四）企业竞争力 ..................................................................................... 20 五、威胁情报行业发展趋势及建议 ............................................................. 20 （一）结合知识图谱技术，推动威胁情报开发利用 ............................. 21 网络安全威胁情报行业发展报告（2021 年）（二）威胁情报需求分化，分层发展趋势初显 ..................................... 22 （三）加快标准化建设，促进威胁情报共享融合 ................................. 23 （四）夯实威胁情报基础，赋能安全协同生态建设 ............................. 25 附录：典型网络安全威胁情报供应商的能力评价及优势分析 ................. 27 参考文献.......................................................................................................... 36 网络安全威胁情报行业发展报告（2021 年）随着网络环境日益复杂化，网络攻击行为趋于产业化，攻击手段也愈发多样化，根据经验构建防御策略、部署产品的传统方式在面对层出不穷的新型、持续性、高级威胁时，难以及时有效的检测、拦截、分析和响应。在此背景下，网络安全威胁情报应运而生。作为一种重要的网络安全基础知识，可支撑构建更加主动的网络安全防御模式，基于全方位的情报感知、多维度的融合分析，研判网络安全整体态势并合理预判威胁动向，实现动态精准的网络安全威胁应对。一、威胁情报概述情报(Intelligence)一词，源于军事领域，指“获得的他方有关情况以及对其分析研究的成果”，多带机密性质，目前在不同的领域内均有应用。以威胁情报为中心的信息安全保障框架对于生活和生产关键基础设施的稳定运行、军事作战指挥能力保障及国际社会的和平稳定具有重大意义，它受到了来自各国政府、学术界以及全球大型互联网企业的高度重视。（一）威胁情报的定义 2013 年，Gartner 首次提出关于威胁情报的定义：威胁情报是关于现有或即将出现的针对资产有威胁的知识，包括场景、机制、指标、启示和可操作建议等，且这些知识可为主体提供威胁的应对策略。简单来讲，威胁情报就是通过各种来源获取环境所面临的威胁的相关知识，主要描述现存的、即将出现的针对资产的威胁或危险。 Forrester 认为威胁情报是内部和外部威胁参与者动机、意图和能力的 1 网络安全威胁情报行业发展报告（2021 年）详细信息。威胁情报包含这些攻击者的战术、技术手段和攻击过程的详细信息。2014 年，SANS 提出威胁情报是收集、评估和应用的关于安全威胁、恶意行为者、漏洞利用、恶意软件、漏洞和危害指标的数据集。总结来说，威胁情报主要指通过各种来源获取环境所面临的威胁的相关知识，来描述现存的、即将出现的针对资产的威胁或危险。高质量的威胁情报具有时效性、准确性、适用性、丰富性、可操作性等特点。（二）威胁情报的分类目前，可按照威胁情报的来源、内容、形式和应用价值四个不同维度对威胁情报进行分类。 1. 来源角度分类根据情报产生的来源角度可分为内部情报、外部情报。内部情报是由组织内部产生的，其目的是“知己”，用于反映内部系统安全状态。外部情报是由组织外