2025年數(shù)字安全需求洞察報(bào)告：威脅情報(bào)-數(shù)世咨詢

ThreatIntelligenceThreatIntelligence((2020)數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告 5 63.威脅情報(bào)相關(guān)概念 74.威脅情報(bào)五大應(yīng)用場(chǎng)景 94.1為攻防對(duì)抗類安全產(chǎn)品更新賦能 94.2實(shí)網(wǎng)攻防演練/重保場(chǎng)景中的溯源分析研判 94.3新漏洞安全事件的應(yīng)急響應(yīng)場(chǎng)景 94.4數(shù)據(jù)泄露實(shí)時(shí)監(jiān)測(cè)與通報(bào)場(chǎng)景 4.5黑灰產(chǎn)情報(bào)應(yīng)用于業(yè)務(wù)風(fēng)控場(chǎng)景 5.威脅情報(bào)五大需求變化 5.1實(shí)網(wǎng)攻防常態(tài)化對(duì)威脅情報(bào)提出新要求 5.2用戶對(duì)失陷驗(yàn)證類的情報(bào)需求更強(qiáng)烈 5.3用戶管理層和執(zhí)行層對(duì)威脅情報(bào)的需求出現(xiàn)分化 5.4威脅情報(bào)需求向"服務(wù)c"轉(zhuǎn)變 5.5價(jià)值難以量化成為威脅情報(bào)發(fā)展的瓶頸 6.1構(gòu)建場(chǎng)景化情報(bào)能力 6.2著重構(gòu)建漏洞情報(bào)能力 6.3構(gòu)建不同優(yōu)先級(jí)的情報(bào)能力 6.4構(gòu)建"情報(bào)賦能+價(jià)值交付+反饋評(píng)價(jià)"的有機(jī)生態(tài) 附:某交通大學(xué)威脅情報(bào)創(chuàng)新應(yīng)用案例 近年來，國(guó)內(nèi)安全行業(yè)常用常新的安全能力并不多，威脅情報(bào)是其中的重要代表。2020年數(shù)世咨詢發(fā)布《威脅情報(bào)市場(chǎng)指南》（/post/659距今將近五年過去，從技術(shù)概念到數(shù)據(jù)來源，從應(yīng)用場(chǎng)景到價(jià)值需求，威脅情報(bào)均有變化發(fā)展。國(guó)內(nèi)大型安全會(huì)議始終都保留有威脅情報(bào)分論壇就是一個(gè)側(cè)面面對(duì)攻防不對(duì)等，威脅情報(bào)有兩個(gè)重要的價(jià)值點(diǎn)，使其具備了因此，隨著對(duì)抗過程中攻防雙方不斷的戰(zhàn)法博弈與技術(shù)迭代，威脅情報(bào)也在更新迭代。不僅如此，威脅情報(bào)天然與其他安全產(chǎn)品、技術(shù)、解決方案能夠有機(jī)結(jié)合，是賦能者的角色，因此一線用戶、安全廠商、情報(bào)提供商都自發(fā)參與到威脅情報(bào)的生產(chǎn)、消費(fèi)、應(yīng)用鑒于此，從2024年第三季度開始，數(shù)世咨詢先后組織了十余場(chǎng)威脅情報(bào)相關(guān)的閉門討論，先后調(diào)研了數(shù)十位來自于一線用戶、安全廠商、情報(bào)提供商等不同身份的安全專家，就威脅情報(bào)最新的應(yīng)用場(chǎng)景、需求變化、情報(bào)能力以及可能的發(fā)展趨勢(shì)進(jìn)行了深入討劉宸宇liuchenyu@面對(duì)攻防不對(duì)等，威脅情報(bào)將未知變?yōu)橐阎?，讓安全從被?dòng)變?yōu)閷?shí)網(wǎng)攻防場(chǎng)景由“0day漏洞為主的消耗戰(zhàn)”轉(zhuǎn)變?yōu)椤搬烎~社工情報(bào)的更新無須全量更新，應(yīng)從攻擊面管理角度對(duì)情報(bào)進(jìn)行篩選應(yīng)從檢出率、準(zhǔn)確性、時(shí)效性、保密性等四個(gè)方面構(gòu)建不同優(yōu)先數(shù)世咨詢提出“安全需求+安全產(chǎn)品+威脅情報(bào)”的三方威脅情報(bào)生態(tài)理念，構(gòu)建“情報(bào)賦能+交付價(jià)值+反饋評(píng)價(jià)”的有機(jī)生數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告3.威脅情報(bào)相關(guān)概念近年來，威脅情報(bào)的發(fā)展從狹義向廣義發(fā)展，情報(bào)數(shù)據(jù)的來源從狹義角度來看，威脅情報(bào)主要聚焦于具體的、直接與網(wǎng)絡(luò)安全攻擊相關(guān)的信息。例如關(guān)于黑客組織或惡意個(gè)人等特定威脅來源的IP地址、軟件工具、攻擊技術(shù)、策略戰(zhàn)術(shù)（TTPs）等詳細(xì)情報(bào)信息。這些信息具有直接且明確的指向性和時(shí)效性，能夠直接幫助從廣義角度來看，威脅情報(bào)的數(shù)據(jù)來源則囊括了開源情報(bào)、漏情報(bào)等更多信息維度，以及攻防知識(shí)庫(kù)、所在行業(yè)態(tài)勢(shì)，甚至地緣政治、國(guó)際形勢(shì)等更廣泛維度的相關(guān)信息，這些都可以作為威脅情入站情報(bào)主要是關(guān)于外部威脅源針對(duì)特定組織發(fā)起攻擊的相關(guān)信息。這些情報(bào)聚焦于進(jìn)入組織網(wǎng)絡(luò)或系統(tǒng)邊界的潛在威脅，幫助組織了解可能面臨的外部攻擊情況，就像在組織的邊界設(shè)置了一個(gè)“預(yù)警雷達(dá)”，提前發(fā)現(xiàn)那些試圖入侵的“敵人”。出站情報(bào)則是關(guān)注組織內(nèi)部系統(tǒng)或網(wǎng)絡(luò)向外部發(fā)送的可能存在數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告威脅的信息。這有助于組織發(fā)現(xiàn)內(nèi)部被控制的主機(jī)（如被惡意軟件感染的計(jì)算機(jī)）正在向外傳輸敏感數(shù)據(jù)或參與攻擊其他目標(biāo)的情況，如同在組織內(nèi)部的網(wǎng)絡(luò)出口處設(shè)置了一個(gè)“安檢站”，檢查內(nèi)部發(fā)出不難看出，入站情報(bào)和出站情報(bào)很少獨(dú)立存在，對(duì)組織機(jī)構(gòu)來開源情報(bào)是指通過公開可用的信息源收集、整理和分析得到的情報(bào)。這些信息源對(duì)公眾開放，任何人都可以合法地訪問和利用。如社交媒體、博客論壇、新聞報(bào)道、學(xué)術(shù)論文以及政務(wù)公開數(shù)據(jù)等。閉源情報(bào)是指那些不向公眾公開，需要通過商業(yè)合作或限制訪問的渠道獲得的情報(bào)。通常這些情報(bào)由特定的組織機(jī)構(gòu)、安全廠商生成，獲取時(shí)也需要通過有保密協(xié)議的合作方式獲取。如企業(yè)內(nèi)部安全運(yùn)營(yíng)中心的自有情報(bào)、威脅情報(bào)廠商出售的商業(yè)化情報(bào)，以及漏洞情報(bào)主要是指關(guān)于軟件、硬件、網(wǎng)絡(luò)系統(tǒng)以及應(yīng)用程序中存在的安全漏洞的詳細(xì)信息。這些信息包括漏洞的存在位置、產(chǎn)生原因、可能造成的危害程度、被利用的方式以及對(duì)應(yīng)的修復(fù)措施等內(nèi)容。漏洞情報(bào)的來源可能是安全廠商、安全研究機(jī)構(gòu)，也可以是軟件供應(yīng)商自身，國(guó)內(nèi)目前更多的情況是來源于大小安全社區(qū)和社4.威脅情報(bào)五大應(yīng)用場(chǎng)景通過周期性或?qū)崟r(shí)性的威脅情報(bào)數(shù)據(jù)，為特征匹配類安全產(chǎn)品賦能，提升產(chǎn)品的效率與效果。該場(chǎng)景中，安全產(chǎn)品是威脅情報(bào)的消費(fèi)者角色。例如網(wǎng)關(guān)防護(hù)類安全產(chǎn)品利用威脅情報(bào)加強(qiáng)對(duì)入站威脅的防護(hù)攔截準(zhǔn)確率，威脅檢測(cè)與響應(yīng)（TDR）類產(chǎn)品利用威脅情報(bào)提升上下文中威脅檢出率及響應(yīng)時(shí)效性，縮短MTTD/MTTR等。4.2實(shí)網(wǎng)攻防演練/重保場(chǎng)景中的溯源分析研判在實(shí)網(wǎng)攻防演練/場(chǎng)景中，防守方通過更高頻度甚至實(shí)時(shí)的威脅情報(bào)數(shù)據(jù)，可以對(duì)攻擊行為進(jìn)行更及時(shí)的響應(yīng)處置，更精準(zhǔn)的溯源分析研判。該場(chǎng)景應(yīng)用的威脅情報(bào)主要是攻擊入站情報(bào)和0day漏在安全團(tuán)隊(duì)的日常工作中，對(duì)新漏洞安全事件的應(yīng)急響應(yīng)是主要場(chǎng)景之一。從幾年前的WannaCry到去年的Log4j，都讓用戶和廠商的安全團(tuán)隊(duì)經(jīng)歷了不眠之夜。該場(chǎng)景中，好的威脅情報(bào)（漏洞情報(bào)）可以及時(shí)、準(zhǔn)確提供漏洞的影響范圍、利用條件、甚至PoC與Exp，協(xié)助安全團(tuán)隊(duì)定位風(fēng)險(xiǎn)資產(chǎn)、制定緩解策略，實(shí)施響應(yīng)措數(shù)據(jù)泄露事件一旦發(fā)生，擁有數(shù)據(jù)的組織機(jī)構(gòu)希望第一時(shí)間知曉泄露數(shù)據(jù)的真?zhèn)?、?guī)模、影響范圍，進(jìn)而需要調(diào)查溯源確定數(shù)據(jù)外泄的路徑、原因。這一系列動(dòng)作，都可以利用威脅情報(bào)提升實(shí)時(shí)監(jiān)測(cè)與通報(bào)的效率，例如對(duì)社交媒體、新聞報(bào)道，以及暗網(wǎng)中數(shù)據(jù)在業(yè)務(wù)風(fēng)控場(chǎng)景中，威脅情報(bào)以黑灰產(chǎn)情報(bào)提供支持，如黑IP情報(bào)、Bot情報(bào)、黑灰產(chǎn)工具情報(bào)，以及對(duì)三要素/四要素的監(jiān)測(cè)與研判等。該場(chǎng)景中，鑒于黑灰產(chǎn)的高隱蔽性（正常用戶與黑灰產(chǎn)用戶高度混淆情報(bào)時(shí)效性往往更短，因此需要在用戶側(cè)業(yè)務(wù)部門配實(shí)網(wǎng)攻防演練常態(tài)化使得參演單位很難像往年一樣，以減少業(yè)務(wù)甚至短暫下線為代價(jià)，保證演練成績(jī)。這樣的背景下，該場(chǎng)景由數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告u針對(duì)業(yè)務(wù)軟件、辦公系統(tǒng)軟件供應(yīng)鏈上的0.5day/1day的漏洞u人員投入相對(duì)減少，因此基于精準(zhǔn)情報(bào)的檢測(cè)與響應(yīng)從“堆人頭”弱化，甚至可以說被邊緣化了，因此溯源反制所需的開源情報(bào)需據(jù)本次調(diào)研，針對(duì)外部攻擊者潛在威脅的情報(bào)（即入站情報(bào)）對(duì)于大部分一線用戶的安全防護(hù)而言，直接的幫助有限，相反，以原因在于，普通用戶很難對(duì)潛在攻擊者進(jìn)行范圍覆蓋甚至畫像，普通安全廠商也缺少超大體量（例如海量數(shù)量的終端）情報(bào)收集基相比之下，失陷驗(yàn)證類情報(bào)的覆蓋范圍（IT資產(chǎn)、網(wǎng)絡(luò)環(huán)境、數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告內(nèi)部人員等）相對(duì)更明確，對(duì)情報(bào)的需求也更加活躍，因此威脅情報(bào)的效果更明顯。此外情報(bào)的更新無須全量更新，僅提供活躍更新威脅情報(bào)可以有效提升威脅檢出率，也可以協(xié)助降低誤報(bào)率，然而根據(jù)本次調(diào)研，用戶安全團(tuán)隊(duì)的管理層和執(zhí)行層對(duì)這兩者的需類出站情報(bào)一定要更加精準(zhǔn)，理由是一旦確認(rèn)為安全事件，就需要投入人力協(xié)調(diào)IT部門甚至業(yè)務(wù)部門進(jìn)行排查確認(rèn)，因此，如果情報(bào)上述各類新出現(xiàn)的需求變化中，有一個(gè)共同點(diǎn)是越來越多用戶希望不僅僅采購(gòu)?fù){情報(bào)平臺(tái)或數(shù)據(jù)，而是讓情報(bào)供應(yīng)商以服務(wù)化或如何在某安全事件中應(yīng)用某情報(bào)，即把這些應(yīng)用威脅情報(bào)數(shù)據(jù)的專業(yè)化需求，放在安全事件的應(yīng)急響應(yīng)服務(wù)中交由安全服務(wù)團(tuán)甚至競(jìng)爭(zhēng)對(duì)手，結(jié)合開源情報(bào)、黑灰產(chǎn)情報(bào)等出具針對(duì)性的報(bào)告本次調(diào)研中，筆者發(fā)現(xiàn)供需雙方對(duì)威脅情報(bào)的價(jià)值如何衡量都有強(qiáng)烈訴求，例如情報(bào)供應(yīng)商如何對(duì)情報(bào)進(jìn)行定價(jià)？安全廠商對(duì)產(chǎn)品中的情報(bào)如何做量化打分？不同安全產(chǎn)品解決同一問題時(shí)，匯聚的各方情報(bào)價(jià)值如何分別衡量？特別是在監(jiān)管通報(bào)場(chǎng)景中，安全事件的影響范圍、緊迫度、領(lǐng)導(dǎo)層的過問帶來的優(yōu)先級(jí)變化……非標(biāo)的影響因素很多，此類監(jiān)管方、需求方、供應(yīng)商乃至測(cè)評(píng)方等各方其實(shí)，5.4中“威脅情報(bào)服務(wù)化”背后的一部分原因，也正是因?yàn)榍閳?bào)的價(jià)值難以量化。換句話說，既然威脅情報(bào)提供的安全價(jià)值難以量化，那就以應(yīng)急響應(yīng)、咨詢報(bào)告等服務(wù)方式交付給用戶，針對(duì)上述新場(chǎng)景、新需求，除了更全、更準(zhǔn)、更快等通用性要威脅情報(bào)應(yīng)當(dāng)根據(jù)不同場(chǎng)景，提供對(duì)應(yīng)的場(chǎng)景化情報(bào)能力。常版本、性能對(duì)應(yīng)的情報(bào)消費(fèi)能力，結(jié)合資產(chǎn)攻擊暴露面，進(jìn)行有文旅、快消、互聯(lián)網(wǎng)秒殺等更加細(xì)分的行業(yè)場(chǎng)景，提供更加貼近此外，針對(duì)上述場(chǎng)景，以及更多諸如暗網(wǎng)數(shù)據(jù)泄露監(jiān)測(cè)、企業(yè)品牌公關(guān)、黑灰產(chǎn)眾包平臺(tái)等細(xì)分場(chǎng)景的情報(bào)需求，還可以以咨詢于CVSS評(píng)分和定級(jí)，而應(yīng)重點(diǎn)關(guān)注漏洞的可利用性，即基于資產(chǎn)指紋，結(jié)合Exp可用性、TTPs等交付情報(bào)。那些危害性雖大、但可利用性極低的漏洞，要大幅降低其優(yōu)先級(jí)，避免白白浪費(fèi)開發(fā)、運(yùn)維等部門的資源，勞民傷財(cái)。更多相關(guān)內(nèi)容，詳見（/post/3642）。塊，可通過眾測(cè)方式發(fā)現(xiàn)新漏洞形成情報(bào)交付；若是針對(duì)用戶內(nèi)網(wǎng)/專網(wǎng)場(chǎng)景中的老舊設(shè)備，可通過歷史漏洞情報(bào)與攻擊暴露面在完善過程中，供應(yīng)商有限的開發(fā)資源主要都放在目前的國(guó)產(chǎn)化替代攻堅(jiān)加速上，很難同時(shí)兼顧漏洞緩解所需的開發(fā)工作量。因通知、緩解等協(xié)商機(jī)制，共同推進(jìn)信創(chuàng)體系的漏洞情報(bào)能力建設(shè)。針對(duì)管理層與執(zhí)行層對(duì)情報(bào)對(duì)需求分化等新變化，構(gòu)建不同優(yōu)先級(jí)的情報(bào)能力。建議從檢出率、準(zhǔn)確性、時(shí)效性、保密性等四個(gè)可綜合多家閉源情報(bào)，結(jié)合開源情報(bào)進(jìn)行研判。此時(shí)，應(yīng)以“應(yīng)位一把手掛帥督辦時(shí)，必須當(dāng)天響應(yīng)，情報(bào)能力全力運(yùn)轉(zhuǎn)。相對(duì)的，比如暗網(wǎng)數(shù)據(jù)泄露場(chǎng)景，只需在媒體與公眾之前，利用暗網(wǎng)SaaS化訂閱方式效率最高，但保密性相對(duì)較低；離線更新保密性高，但效率較低，更新頻率難以保證；相對(duì)折中的是加密SDK、端到端加密通信甚至私有協(xié)議傳輸通路等方式，這種方式6.4構(gòu)建“情報(bào)賦能+價(jià)值交付+反饋評(píng)價(jià)”的有機(jī)生態(tài)針對(duì)威脅情報(bào)的價(jià)值如何衡量這一需求，關(guān)鍵在于構(gòu)建一個(gè)有機(jī)的威脅情報(bào)生態(tài)。然而，數(shù)據(jù)的天然不唯一性決定了“單純依靠數(shù)據(jù)共享構(gòu)建威脅情報(bào)生態(tài)”是一個(gè)偽命題。單純的威脅情報(bào)標(biāo)準(zhǔn)化、依托于標(biāo)準(zhǔn)化的情報(bào)共享或商業(yè)互換機(jī)制均難以構(gòu)建有機(jī)的長(zhǎng)在生物學(xué)的生態(tài)概念中，生態(tài)中的各參與方只有將競(jìng)爭(zhēng)交集最基于生態(tài)概念，結(jié)合本次調(diào)研，數(shù)世咨詢提出“安全需求+安全產(chǎn)品+威脅情報(bào)”的三方威脅情報(bào)生態(tài)理念，構(gòu)建“情報(bào)賦能+該生態(tài)理念中，由威脅情報(bào)供應(yīng)商提供場(chǎng)景化情報(bào)能力，賦能眾多安全廠商的安全產(chǎn)品，安全產(chǎn)品為甲方用戶交付安全價(jià)值。同時(shí)，在一線用戶與情報(bào)廠商之間，則建立情報(bào)視角的評(píng)價(jià)反饋機(jī)制。如此，三方各自在自己的生態(tài)位，持續(xù)為威脅情報(bào)生態(tài)注入驅(qū)動(dòng)力，需要強(qiáng)調(diào)的是，這一模型并不與業(yè)內(nèi)已有的成熟情報(bào)標(biāo)準(zhǔn)或商業(yè)機(jī)制沖突，相反，該理念會(huì)充分利用到業(yè)內(nèi)公認(rèn)的情報(bào)標(biāo)準(zhǔn)、商業(yè)機(jī)制背后的產(chǎn)品、技術(shù)、解決方案。在此基礎(chǔ)上，生態(tài)中各方逐7.未來發(fā)展趨勢(shì)與展望uLLM對(duì)威脅情報(bào)在數(shù)據(jù)采集、加工篩選、服務(wù)化交付等方面提數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告根據(jù)前述威脅情報(bào)的新應(yīng)用場(chǎng)景與新需求變化，本報(bào)告收錄某交通大學(xué)威脅情報(bào)創(chuàng)新應(yīng)用案例，供讀者參考，本案例由騰訊安全案例背景隨著黑產(chǎn)“挖礦”產(chǎn)業(yè)鏈的日益成熟，黑客變現(xiàn)難度降低。在“恰好學(xué)校數(shù)據(jù)中心存放著大量服務(wù)器、云主機(jī)、虛擬主機(jī)，教師辦公終端、教室教學(xué)終端、學(xué)生個(gè)人終端數(shù)量龐大，這使得高校成“在已發(fā)現(xiàn)的‘挖礦’終端中，98%的終端都是因?yàn)楦腥尽诘V’病毒或木馬引發(fā)的‘挖礦’行為。校園網(wǎng)用戶個(gè)人安全意識(shí)薄如何實(shí)現(xiàn)風(fēng)險(xiǎn)看清，威脅攔住，實(shí)名溯源是建設(shè)的難點(diǎn)問題，將直接影響建設(shè)進(jìn)度、防護(hù)效果、處置效率等，是必須要考慮的重建設(shè)目標(biāo)國(guó)家發(fā)改委等多部門就聯(lián)合發(fā)布了《關(guān)于整治虛擬貨幣“挖礦”策和措施下，虛擬貨幣的規(guī)模化“挖礦”在國(guó)內(nèi)已被全面禁止，但數(shù)世咨詢|威脅情報(bào)需求洞察報(bào)告“堅(jiān)決徹底整治虛擬貨幣‘挖礦’活動(dòng)，深入推進(jìn)節(jié)能減排，助力主要措施1.終端持續(xù)探測(cè)：通過新增部署網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，結(jié)合安全大數(shù)據(jù)能力對(duì)校園網(wǎng)進(jìn)行全天不間斷監(jiān)控，結(jié)合自查自糾、業(yè)務(wù)服務(wù)器部署EDR殺軟、個(gè)人用戶可部署全校統(tǒng)一的個(gè)人上網(wǎng)用戶“挖礦”病毒掃描及查殺工具進(jìn)行病毒查殺后申請(qǐng)恢復(fù)網(wǎng)絡(luò)等進(jìn)2.風(fēng)險(xiǎn)智能感知：部署銳捷網(wǎng)絡(luò)態(tài)勢(shì)感知RG-BDS-A（搭載銳捷與騰訊聯(lián)合開發(fā)的威脅情報(bào)引擎能力)、TSP-X流量威脅檢測(cè)探針針對(duì)風(fēng)險(xiǎn)行為進(jìn)行探測(cè)和關(guān)聯(lián)分析，部署銳捷網(wǎng)絡(luò)BDS-C全量日志集群聯(lián)動(dòng)學(xué)校認(rèn)證計(jì)費(fèi)系統(tǒng)進(jìn)行安全告警與賬號(hào)實(shí)名關(guān)聯(lián)，3.威脅實(shí)時(shí)攔截：部署銳捷網(wǎng)絡(luò)全新下一代防火墻（型號(hào)：RG-WALL1600-Z8680Z8680搭載銳捷與騰訊聯(lián)合開發(fā)威脅情行關(guān)聯(lián)分析和交叉比對(duì)，通過設(shè)備上搭載銳捷與騰訊聯(lián)合開發(fā)邊緣威脅情報(bào)能力實(shí)現(xiàn)“風(fēng)險(xiǎn)看的清，威脅攔得住，實(shí)名找到人”。圖表：學(xué)校部署騰訊&銳捷聯(lián)合開發(fā)威脅情報(bào)配置界面4.