0219【数世咨询】威胁情报需求洞察报告-25正式版.pptVIP

数字安全需求洞察报告威胁情报ThreatIntelligence?北京数字世界咨询有限公司2025.02

数字安全需求洞察报告威胁情报ThreatIntelligence?北京数字世界咨询有限公司2025.02

(2020)

1.前言近年来，国内安全行业常用常新的安全能力并不多，威胁情报是其中的重要代表。2020年数世咨询发布《威胁情报市场指南》（/post/659），距今将近五年过去，从技术概念到数据来源，从应用场景到价值需求，威胁情报均有变化发展。国内大型安全会议始终都保留有威胁情报分论坛就是一个侧面例证。面对攻防不对等，威胁情报有两个重要的价值点，使其具备了常用常新的特点：?将未知变为已知，让安全从被动变为主动。解决从0到1的问题。?对已知判断真假，让响应资源更有效。解决从1到100的问题。因此，随着对抗过程中攻防双方不断的战法博弈与技术迭代，威胁情报也在更新迭代。不仅如此，威胁情报天然与其他安全产品、技术、解决方案能够有机结合，是赋能者的角色，因此一线用户、安全厂商、情报提供商都自发参与到威胁情报的生产、消费、应用中来，这就进一步拓宽了威胁情报的发展路径。鉴于此，从2024年第三季度开始，数世咨询先后组织了十余场威胁情报相关的闭门讨论，先后调研了数十位来自于一线用户、安全厂商、情报提供商等不同身份的安全专家，就威胁情报最新的应用场景、需求变化、情报能力以及可能的发展趋势进行了深入讨数世咨询|威胁情报需求洞察报告

论，现将调研汇总的核心观点与洞察形成《威胁情报需求洞察报告》，以飨读者。勘误与进一步沟通交流，请联系本报告主笔分析师：刘宸宇liuchenyu@2.关键发现?面对攻防不对等，威胁情报将未知变为已知，让安全从被动变为主动；对已知判断真假，让响应资源更有效；?实网攻防场景由“0day漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”，威胁情报的需求更符合常态化要求；?以失陷验证类情报为主的出站情报，价值占比越来越高；?情报的更新无须全量更新，应从攻击面管理角度对情报进行筛选后，进行活跃更新；?管理层更担心“漏报”，执行层更担心“误报”；?威胁情报的价值难以量化，服务化交付为用户提供情绪价值；?应从检出率、准确性、时效性、保密性等四个方面构建不同优先级的情报能力；?数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+交付价值+反馈评价”的有机生态。数世咨询|威胁情报需求洞察报告

3.威胁情报相关概念近年来，威胁情报的发展从狭义向广义发展，情报数据的来源更加多元，情报关联的上下文也更加立体。从狭义角度来看，威胁情报主要聚焦于具体的、直接与网络安全攻击相关的信息。例如关于黑客组织或恶意个人等特定威胁来源的IP地址、软件工具、攻击技术、策略战术（TTPs）等详细情报信息。这些信息具有直接且明确的指向性和时效性，能够直接帮助安全人员识别、检测和应对网络威胁。从广义角度来看，威胁情报的数据来源则囊括了开源情报、漏洞情报、外部攻击暴露面覆盖的资产信息（主要是EASM）、黑灰产情报等更多信息维度，以及攻防知识库、所在行业态势，甚至地缘政治、国际形势等更广泛维度的相关信息，这些都可以作为威胁情报上下文关联分析的数据依据。近几年，威胁情报相关技术概念及衍生概念描述如下：?InboundThreatIntelligence入站情报主要是关于外部威胁源针对特定组织发起攻击的相关信息。这些情报聚焦于进入组织网络或系统边界的潜在威胁，帮助组织了解可能面临的外部攻击情况，就像在组织的边界设置了一个“预警雷达”，提前发现那些试图入侵的“敌人”。?OutboundThreatIntelligence出站情报则是关注组织内部系统或网络向外部发送的可能存在数世咨询|威胁情报需求洞察报告

威胁的信息。这有助于组织发现内部被控制的主机（如被恶意软件感染的计算机）正在向外传输敏感数据或参与攻击其他目标的情况，如同在组织内部的网络出口处设置了一个“安检站”，检查内部发出的异常情况。不难看出，入站情报和出站情报很少独立存在，对组织机构来说，两者往往结合使用，发挥出更好的效果。?OpenSourceIntelligenceOSINT开源情报是指通过公开可用的信息源收集、整理和分析得到的情报。这些信息源对公众开放，任何人都可以合法地访问和利用。如社交媒体、博客论坛、新闻报道、学术论文以及政务公开数据等。?闭源情报是指那些不向公众公开，需要通过商业合作或限制访问的渠道获得的情报。通常这些情报由特定的组织机构、安全厂商生成，获取时也需要通过有保密协议的合作方式获取。如企业内部安全运营中心的自有情报、威胁情报厂商出售的商业化情报，以及某些国家联盟（