0219【數(shù)世咨詢(xún)】威脅情報(bào)需求洞察報(bào)告-25正式版

數(shù)字安全需求洞察報(bào)告威脅情報(bào)ThreatIntelligence?2025.02數(shù)字安全需求洞察報(bào)告威脅情報(bào)ThreatIntelligence?2025.02(2020)1........................................................................................................52.................................................................................................63....................................................................................74.............................................................................94.1......................................................94.2/.......................................94.3......................................................94.4.......................................................104.5....................................................105...........................................................................105.1..........................................105.2.............................................115.3.............................125.4....................................................125.5..........................................136........................................................................146.1.....................................................................146.2.................................................................146.3...........................................................156.4++.......................167...............................................................................18......................................................19數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告1.前言近年來(lái)，國(guó)內(nèi)安全行業(yè)常用常新的安全能力并不多，威脅情報(bào)是其中的重要代表。2020年數(shù)世咨詢(xún)發(fā)布《威脅情報(bào)市場(chǎng)指南》（/post/659術(shù)概念到數(shù)據(jù)來(lái)源，從應(yīng)用場(chǎng)景到價(jià)值需求，威脅情報(bào)均有變化發(fā)展。國(guó)內(nèi)大型安全會(huì)議始終都保留有威脅情報(bào)分論壇就是一個(gè)側(cè)面例證。面對(duì)攻防不對(duì)等，威脅情報(bào)有兩個(gè)重要的價(jià)值點(diǎn)，使其具備了常用常新的特點(diǎn)：將未知變?yōu)橐阎?，讓安全從被?dòng)變?yōu)橹鲃?dòng)。解決從0到1的問(wèn)題。對(duì)已知判斷真假，讓響應(yīng)資源更有效。解決從1到100的問(wèn)題。因此，隨著對(duì)抗過(guò)程中攻防雙方不斷的戰(zhàn)法博弈與技術(shù)迭代，威脅情報(bào)也在更新迭代。不僅如此，威脅情報(bào)天然與其他安全產(chǎn)品、技術(shù)、解決方案能夠有機(jī)結(jié)合，是賦能者的角色，因此一線(xiàn)用戶(hù)、安全廠(chǎng)商、情報(bào)提供商都自發(fā)參與到威脅情報(bào)的生產(chǎn)、消費(fèi)、應(yīng)用中來(lái)，這就進(jìn)一步拓寬了威脅情報(bào)的發(fā)展路徑。鑒于此，從2024年第三季度開(kāi)始，數(shù)世咨詢(xún)先后組織了十余場(chǎng)威脅情報(bào)相關(guān)的閉門(mén)討論，先后調(diào)研了數(shù)十位來(lái)自于一線(xiàn)用戶(hù)、安全廠(chǎng)商、情報(bào)提供商等不同身份的安全專(zhuān)家，就威脅情報(bào)最新的應(yīng)用場(chǎng)景、需求變化、情報(bào)能力以及可能的發(fā)展趨勢(shì)進(jìn)行了深入討數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告以饗讀者?？闭`與進(jìn)一步溝通交流，請(qǐng)聯(lián)系本報(bào)告主筆分析師：劉宸宇liuchenyu@2.關(guān)鍵發(fā)現(xiàn)?面對(duì)攻防不對(duì)等，威脅情報(bào)將未知變?yōu)橐阎?，讓安全從被?dòng)變?yōu)橹鲃?dòng)；對(duì)已知判斷真假，讓響應(yīng)資源更有效；?實(shí)網(wǎng)攻防場(chǎng)景由“0day漏洞為主的消耗戰(zhàn)”轉(zhuǎn)變?yōu)椤搬烎~(yú)社工?以失陷驗(yàn)證類(lèi)情報(bào)為主的出站情報(bào)，價(jià)值占比越來(lái)越高；?情報(bào)的更新無(wú)須全量更新，應(yīng)從攻擊面管理角度對(duì)情報(bào)進(jìn)行篩選后，進(jìn)行活躍更新；??威脅情報(bào)的價(jià)值難以量化，服務(wù)化交付為用戶(hù)提供情緒價(jià)值；?應(yīng)從檢出率、準(zhǔn)確性、時(shí)效性、保密性等四個(gè)方面構(gòu)建不同優(yōu)先級(jí)的情報(bào)能力；?數(shù)世咨詢(xún)提出“安全需求+安全產(chǎn)品+威脅情報(bào)”的三方威脅情報(bào)生態(tài)理念，構(gòu)建“情報(bào)賦能+交付價(jià)值+反饋評(píng)價(jià)”的有機(jī)生態(tài)。數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告3.威脅情報(bào)相關(guān)概念近年來(lái)，威脅情報(bào)的發(fā)展從狹義向廣義發(fā)展，情報(bào)數(shù)據(jù)的來(lái)源更加多元，情報(bào)關(guān)聯(lián)的上下文也更加立體。從狹義角度來(lái)看，威脅情報(bào)主要聚焦于具體的、直接與網(wǎng)絡(luò)安全攻擊相關(guān)的信息。例如關(guān)于黑客組織或惡意個(gè)人等特定威脅來(lái)源的IP地址、軟件工具、攻擊技術(shù)、策略戰(zhàn)術(shù)（TTPs）等詳細(xì)情報(bào)信息。這些信息具有直接且明確的指向性和時(shí)效性，能夠直接幫助安全人員識(shí)別、檢測(cè)和應(yīng)對(duì)網(wǎng)絡(luò)威脅。從廣義角度來(lái)看，威脅情報(bào)的數(shù)據(jù)來(lái)源則囊括了開(kāi)源情報(bào)、漏洞情報(bào)、外部攻擊暴露面覆蓋的資產(chǎn)信息（主要是EASM情報(bào)等更多信息維度，以及攻防知識(shí)庫(kù)、所在行業(yè)態(tài)勢(shì)，甚至地緣政治、國(guó)際形勢(shì)等更廣泛維度的相關(guān)信息，這些都可以作為威脅情報(bào)上下文關(guān)聯(lián)分析的數(shù)據(jù)依據(jù)。近幾年，威脅情報(bào)相關(guān)技術(shù)概念及衍生概念描述如下：InboundThreatIntelligence入站情報(bào)主要是關(guān)于外部威脅源針對(duì)特定組織發(fā)起攻擊的相關(guān)信息。這些情報(bào)聚焦于進(jìn)入組織網(wǎng)絡(luò)或系統(tǒng)邊界的潛在威脅，幫助組織了解可能面臨的外部攻擊情況，就像在組織的邊界設(shè)置了一個(gè)“預(yù)警雷達(dá)”，提前發(fā)現(xiàn)那些試圖入侵的“敵人”。OutboundThreatIntelligence出站情報(bào)則是關(guān)注組織內(nèi)部系統(tǒng)或網(wǎng)絡(luò)向外部發(fā)送的可能存在數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告威脅的信息。這有助于組織發(fā)現(xiàn)內(nèi)部被控制的主機(jī)（如被惡意軟件感染的計(jì)算機(jī)）正在向外傳輸敏感數(shù)據(jù)或參與攻擊其他目標(biāo)的情況，如同在組織內(nèi)部的網(wǎng)絡(luò)出口處設(shè)置了一個(gè)“安檢站”，檢查內(nèi)部發(fā)出的異常情況。不難看出，入站情報(bào)和出站情報(bào)很少獨(dú)立存在，對(duì)組織機(jī)構(gòu)來(lái)說(shuō)，兩者往往結(jié)合使用，發(fā)揮出更好的效果。OpenSourceIntelligenceOSINT開(kāi)源情報(bào)是指通過(guò)公開(kāi)可用的信息源收集、整理和分析得到的情報(bào)。這些信息源對(duì)公眾開(kāi)放，任何人都可以合法地訪(fǎng)問(wèn)和利用。如社交媒體、博客論壇、新聞報(bào)道、學(xué)術(shù)論文以及政務(wù)公開(kāi)數(shù)據(jù)等。閉源情報(bào)是指那些不向公眾公開(kāi)，需要通過(guò)商業(yè)合作或限制訪(fǎng)問(wèn)的渠道獲得的情報(bào)。通常這些情報(bào)由特定的組織機(jī)構(gòu)、安全廠(chǎng)商生成，獲取時(shí)也需要通過(guò)有保密協(xié)議的合作方式獲取。如企業(yè)內(nèi)部安全運(yùn)營(yíng)中心的自有情報(bào)、威脅情報(bào)廠(chǎng)商出售的商業(yè)化情報(bào)，以及漏洞情報(bào)主要是指關(guān)于軟件、硬件、網(wǎng)絡(luò)系統(tǒng)以及應(yīng)用程序中存在的安全漏洞的詳細(xì)信息。這些信息包括漏洞的存在位置、產(chǎn)生原因、可能造成的危害程度、被利用的方式以及對(duì)應(yīng)的修復(fù)措施等內(nèi)容。漏洞情報(bào)的來(lái)源可能是安全廠(chǎng)商、安全研究機(jī)構(gòu)，也可以是軟件供應(yīng)商自身，國(guó)內(nèi)目前更多的情況是來(lái)源于大小安全社區(qū)和社數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告交媒體?？梢钥闯觯┒辞閳?bào)同時(shí)包含了開(kāi)源、閉源兩種來(lái)源。4.威脅情報(bào)五大應(yīng)用場(chǎng)景4.1為攻防對(duì)抗類(lèi)安全產(chǎn)品更新賦能通過(guò)周期性或?qū)崟r(shí)性的威脅情報(bào)數(shù)據(jù)，為特征匹配類(lèi)安全產(chǎn)品賦能，提升產(chǎn)品的效率與效果。該場(chǎng)景中，安全產(chǎn)品是威脅情報(bào)的消費(fèi)者角色。例如網(wǎng)關(guān)防護(hù)類(lèi)安全產(chǎn)品利用威脅情報(bào)加強(qiáng)對(duì)入站威脅的防護(hù)攔截準(zhǔn)確率，威脅檢測(cè)與響應(yīng)（TDR）類(lèi)產(chǎn)品利用威脅情報(bào)提升上下文中威脅檢出率及響應(yīng)時(shí)效性，縮短MTTD/MTTR等。4.2實(shí)網(wǎng)攻防演練/重保場(chǎng)景中的溯源分析研判在實(shí)網(wǎng)攻防演練/場(chǎng)景中，防守方通過(guò)更高頻度甚至實(shí)時(shí)的威脅情報(bào)數(shù)據(jù)，可以對(duì)攻擊行為進(jìn)行更及時(shí)的響應(yīng)處置，更精準(zhǔn)的溯源分析研判。該場(chǎng)景應(yīng)用的威脅情報(bào)主要是攻擊入站情報(bào)和0day漏洞情報(bào)。4.3新漏洞安全事件的應(yīng)急響應(yīng)場(chǎng)景在安全團(tuán)隊(duì)的日常工作中，對(duì)新漏洞安全事件的應(yīng)急響應(yīng)是主要場(chǎng)景之一。從幾年前的WannaCry到去年的Log4j，都讓用戶(hù)和廠(chǎng)商的安全團(tuán)隊(duì)經(jīng)歷了不眠之夜。該場(chǎng)景中，好的威脅情報(bào)（漏洞情報(bào)）可以及時(shí)、準(zhǔn)確提供漏洞的影響范圍、利用條件、甚至數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告與Exp，協(xié)助安全團(tuán)隊(duì)定位風(fēng)險(xiǎn)資產(chǎn)、制定緩解策略，實(shí)施響應(yīng)措施。4.4數(shù)據(jù)泄露實(shí)時(shí)監(jiān)測(cè)與通報(bào)場(chǎng)景數(shù)據(jù)泄露事件一旦發(fā)生，擁有數(shù)據(jù)的組織機(jī)構(gòu)希望第一時(shí)間知曉泄露數(shù)據(jù)的真?zhèn)?、?guī)模、影響范圍，進(jìn)而需要調(diào)查溯源確定數(shù)據(jù)外泄的路徑、原因。這一系列動(dòng)作，都可以利用威脅情報(bào)提升實(shí)時(shí)監(jiān)測(cè)與通報(bào)的效率，例如對(duì)社交媒體、新聞報(bào)道，以及暗網(wǎng)中數(shù)據(jù)販賣(mài)信息的監(jiān)測(cè)等等。4.5黑灰產(chǎn)情報(bào)應(yīng)用于業(yè)務(wù)風(fēng)控場(chǎng)景在業(yè)務(wù)風(fēng)控場(chǎng)景中，威脅情報(bào)以黑灰產(chǎn)情報(bào)提供支持，如黑IP情報(bào)、Bot情報(bào)、黑灰產(chǎn)工具情報(bào)，以及對(duì)三要素四要素的監(jiān)測(cè)與研判等。該場(chǎng)景中，鑒于黑灰產(chǎn)的高隱蔽性（正常用戶(hù)與黑灰產(chǎn)用套以多個(gè)安全產(chǎn)品、多家情報(bào)，才能發(fā)揮出更好作用。5.威脅情報(bào)五大需求變化5.1實(shí)網(wǎng)攻防常態(tài)化對(duì)威脅情報(bào)提出新要求實(shí)網(wǎng)攻防演練常態(tài)化使得參演單位很難像往年一樣，以減少業(yè)務(wù)甚至短暫下線(xiàn)為代價(jià)，保證演練成績(jī)。這樣的背景下，該場(chǎng)景由數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告“0day此，對(duì)威脅情報(bào)的需求也更符合常態(tài)化要求。變化主要體現(xiàn)在：針對(duì)業(yè)務(wù)軟件、辦公系統(tǒng)軟件供應(yīng)鏈上的0.5day/1day的漏洞情報(bào)需求增加；針對(duì)釣魚(yú)郵件研判所需的惡意二維碼情報(bào)、附件沙箱能力需求增加；對(duì)攻擊IP情報(bào)的精準(zhǔn)性要求更高，以避免誤封正常業(yè)務(wù)IP導(dǎo)致影響業(yè)務(wù)；人員投入相對(duì)減少，因此基于精準(zhǔn)情報(bào)的檢測(cè)與響應(yīng)從“堆人頭”向“自動(dòng)化封禁”轉(zhuǎn)變；此外，隨著實(shí)網(wǎng)攻防演練加分規(guī)則的變化，溯源反制的需求迅速弱化，甚至可以說(shuō)被邊緣化了，因此溯源反制所需的開(kāi)源情報(bào)需求有所減少；5.2用戶(hù)對(duì)失陷驗(yàn)證類(lèi)的情報(bào)需求更強(qiáng)烈據(jù)本次調(diào)研，針對(duì)外部攻擊者潛在威脅的情報(bào)（即入站情報(bào)）對(duì)于大部分一線(xiàn)用戶(hù)的安全防護(hù)而言，直接的幫助有限，相反，以失陷驗(yàn)證類(lèi)情報(bào)為主的出站情報(bào)，價(jià)值占比越來(lái)越高。原因在于，普通用戶(hù)很難對(duì)潛在攻擊者進(jìn)行范圍覆蓋甚至畫(huà)像，普通安全廠(chǎng)商也缺少超大體量（例如海量數(shù)量的終端）情報(bào)收集基礎(chǔ)，供需雙方都很難采集匯聚出準(zhǔn)確及時(shí)有效的攻擊者情報(bào)。相比之下，失陷驗(yàn)證類(lèi)情報(bào)的覆蓋范圍（IT資產(chǎn)、網(wǎng)絡(luò)環(huán)境、數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告內(nèi)部人員等）相對(duì)更明確，對(duì)情報(bào)的需求也更加活躍，因此威脅情報(bào)的效果更明顯。此外情報(bào)的更新無(wú)須全量更新，僅提供活躍更新再將與用戶(hù)資產(chǎn)攻擊暴露面相關(guān)聯(lián)的情報(bào)推送更新。5.3用戶(hù)管理層和執(zhí)行層對(duì)威脅情報(bào)的需求出現(xiàn)分化威脅情報(bào)可以有效提升威脅檢出率，也可以協(xié)助降低誤報(bào)率，然而根據(jù)本次調(diào)研，用戶(hù)安全團(tuán)隊(duì)的管理層和執(zhí)行層對(duì)這兩者的需求優(yōu)先級(jí)并不一致。通過(guò)SOAR或管理多個(gè)以及多家情報(bào)，盡力杜絕遠(yuǎn)控RCE等安全事件。類(lèi)出站情報(bào)一定要更加精準(zhǔn)，理由是一旦確認(rèn)為安全事件，就需要投入人力協(xié)調(diào)IT部門(mén)甚至業(yè)務(wù)部門(mén)進(jìn)行排查確認(rèn)，因此，如果情報(bào)不準(zhǔn)確會(huì)透支安全團(tuán)隊(duì)的專(zhuān)業(yè)性和權(quán)威性。5.4威脅情報(bào)需求向“服務(wù)化”轉(zhuǎn)變上述各類(lèi)新出現(xiàn)的需求變化中，有一個(gè)共同點(diǎn)是越來(lái)越多用戶(hù)希望不僅僅采購(gòu)?fù){情報(bào)平臺(tái)或數(shù)據(jù)，而是讓情報(bào)供應(yīng)商以服務(wù)化方式交付情報(bào)能力。本次調(diào)研中了解到的服務(wù)化需求有：數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告技術(shù)賦能服務(wù)，例如應(yīng)急響應(yīng)場(chǎng)景中，如何判斷某情報(bào)的有效性，或如何在某安全事件中應(yīng)用某情報(bào)，即把這些應(yīng)用威脅情報(bào)數(shù)據(jù)的專(zhuān)業(yè)化需求，放在安全事件的應(yīng)急響應(yīng)服務(wù)中交由安全服務(wù)團(tuán)隊(duì)一并交付；咨詢(xún)報(bào)告服務(wù)，例如情報(bào)供應(yīng)商根據(jù)用戶(hù)的業(yè)務(wù)屬性、行業(yè)特點(diǎn)甚至競(jìng)爭(zhēng)對(duì)手，結(jié)合開(kāi)源情報(bào)、黑灰產(chǎn)情報(bào)等出具針對(duì)性的報(bào)告咨詢(xún)服務(wù)；5.5價(jià)值難以量化成為威脅情報(bào)發(fā)展的瓶頸本次調(diào)研中，筆者發(fā)現(xiàn)供需雙方對(duì)威脅情報(bào)的價(jià)值如何衡量都有強(qiáng)烈訴求，例如情報(bào)供應(yīng)商如何對(duì)情報(bào)進(jìn)行定價(jià)？安全廠(chǎng)商對(duì)產(chǎn)品中的情報(bào)如何做量化打分？不同安全產(chǎn)品解決同一問(wèn)題時(shí)，匯聚的各方情報(bào)價(jià)值如何分別衡量？特別是在監(jiān)管通報(bào)場(chǎng)景中，安全事件的影響范圍、緊迫度、領(lǐng)導(dǎo)層的過(guò)問(wèn)帶來(lái)的優(yōu)先級(jí)變化……非標(biāo)的影響因素很多，此類(lèi)監(jiān)管方、需求方、供應(yīng)商乃至測(cè)評(píng)方等各方都有參與的場(chǎng)景下，情報(bào)的價(jià)值就更加難以量化。成為威脅情報(bào)發(fā)展的瓶頸。其實(shí)，5.4中“威脅情報(bào)服務(wù)化”背后的一部分原因，也正是因?yàn)榍閳?bào)的價(jià)值難以量化。換句話(huà)說(shuō)，既然威脅情報(bào)提供的安全價(jià)值難以量化，那就以應(yīng)急響應(yīng)、咨詢(xún)報(bào)告等服務(wù)方式交付給用戶(hù)，算是補(bǔ)償“情緒價(jià)值”了。數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告6.對(duì)新場(chǎng)景、新需求的應(yīng)對(duì)針對(duì)上述新場(chǎng)景、新需求，除了更全、更準(zhǔn)、更快等通用性要求外，威脅情報(bào)還應(yīng)構(gòu)建以下新能力。6.1構(gòu)建場(chǎng)景化情報(bào)能力威脅情報(bào)應(yīng)當(dāng)根據(jù)不同場(chǎng)景，提供對(duì)應(yīng)的場(chǎng)景化情報(bào)能力。常見(jiàn)的有：針對(duì)常態(tài)化實(shí)網(wǎng)攻防演練場(chǎng)景，除了僵木蠕之外，還提供軟件供應(yīng)鏈漏洞情報(bào)、釣魚(yú)郵件研判情報(bào)；針對(duì)安全產(chǎn)品，不輕易推送全量更新，而是根據(jù)安全產(chǎn)品設(shè)備的版本、性能對(duì)應(yīng)的情報(bào)消費(fèi)能力，結(jié)合資產(chǎn)攻擊暴露面，進(jìn)行有限度的活躍更新推送；針對(duì)業(yè)務(wù)風(fēng)控場(chǎng)景，除了提供Bot與黑灰產(chǎn)情報(bào)外，還能按照文旅、快消、互聯(lián)網(wǎng)秒殺等更加細(xì)分的行業(yè)場(chǎng)景，提供更加貼近業(yè)務(wù)的情報(bào)能力；此外，針對(duì)上述場(chǎng)景，以及更多諸如暗網(wǎng)數(shù)據(jù)泄露監(jiān)測(cè)、企業(yè)品牌公關(guān)、黑灰產(chǎn)眾包平臺(tái)等細(xì)分場(chǎng)景的情報(bào)需求，還可以以咨詢(xún)報(bào)告形式提供服務(wù)化情報(bào)能力。6.2著重構(gòu)建漏洞情報(bào)能力在上述各場(chǎng)景中，筆者建議著重構(gòu)建漏洞情報(bào)能力。具體來(lái)說(shuō)：數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告構(gòu)建用以支撐漏洞優(yōu)先級(jí)（RBVM）的情報(bào)。漏洞情報(bào)不應(yīng)局限于CVSS評(píng)分和定級(jí)，而應(yīng)重點(diǎn)關(guān)注漏洞的可利用性，即基于資產(chǎn)指紋，結(jié)合Exp可用性、TTPs等交付情報(bào)。那些危害性雖大、但可利用性極低的漏洞，要大幅降低其優(yōu)先級(jí)，避免白白浪費(fèi)開(kāi)發(fā)、運(yùn)維等部門(mén)的資源，勞民傷財(cái)。更多相關(guān)內(nèi)容，詳見(jiàn)《數(shù)世咨詢(xún)：基于風(fēng)險(xiǎn)的脆弱性管理能力指南》（/post/3642構(gòu)建軟件供應(yīng)鏈漏洞情報(bào)。例如針對(duì)上線(xiàn)前的新系統(tǒng)、組件、模塊，可通過(guò)眾測(cè)方式發(fā)現(xiàn)新漏洞形成情報(bào)交付；若是針對(duì)用戶(hù)內(nèi)網(wǎng)/專(zhuān)網(wǎng)場(chǎng)景中的老舊設(shè)備，可通過(guò)歷史漏洞情報(bào)與攻擊暴露面（特別是老舊設(shè)備）匹配后進(jìn)行定制化交付；重點(diǎn)關(guān)注國(guó)產(chǎn)化替代過(guò)程中的漏洞情報(bào)。我國(guó)的信創(chuàng)生態(tài)體系尚在完善過(guò)程中，供應(yīng)商有限的開(kāi)發(fā)資源主要都放在目前的國(guó)產(chǎn)化替代攻堅(jiān)加速上，很難同時(shí)兼顧漏洞緩解所需的開(kāi)發(fā)工作量。因此威脅情報(bào)廠(chǎng)商與信創(chuàng)廠(chǎng)商之間，要建立妥善的漏洞情報(bào)發(fā)現(xiàn)、通知、緩解等協(xié)商機(jī)制，共同推進(jìn)信創(chuàng)體系的漏洞情報(bào)能力建設(shè)。6.3構(gòu)建不同優(yōu)先級(jí)的情報(bào)能力針對(duì)管理層與執(zhí)行層對(duì)情報(bào)對(duì)需求分化等新變化，構(gòu)建不同優(yōu)先級(jí)的情報(bào)能力。建議從檢出率、準(zhǔn)確性、時(shí)效性、保密性等四個(gè)方面構(gòu)建：檢出率。對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施檢測(cè)等檢出率優(yōu)先的場(chǎng)景，數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告可綜合多家閉源情報(bào)，結(jié)合開(kāi)源情報(bào)進(jìn)行研判。此時(shí)，應(yīng)以“應(yīng)準(zhǔn)確性。與檢出率優(yōu)先相對(duì)的，對(duì)于安全團(tuán)隊(duì)人員力量相對(duì)薄弱、可投入資源有限的情況，應(yīng)以準(zhǔn)確性為優(yōu)先；時(shí)效性。這里的時(shí)效性也是相對(duì)來(lái)說(shuō)的。例如安全事件上升為單位一把手掛帥督辦時(shí)，必須當(dāng)天響應(yīng)，情報(bào)能力全力運(yùn)轉(zhuǎn)。相對(duì)的，比如暗網(wǎng)數(shù)據(jù)泄露場(chǎng)景，只需在媒體與公眾之前，利用暗網(wǎng)情報(bào)做好數(shù)據(jù)的基因分析，梳理出泄露路徑，形成證據(jù)即可。保密性。根據(jù)保密性要求的不同，情報(bào)的交付方式側(cè)重點(diǎn)也不同。SaaS化訂閱方式效率最高，但保密性相對(duì)較低；離線(xiàn)更新保密性高，但效率較低，更新頻率難以保證；相對(duì)折中的是加密SDK、端到端加密通信甚至私有協(xié)議傳輸通路等方式，這種方式對(duì)有出海安全威脅情報(bào)需求的用戶(hù)來(lái)說(shuō)，是一個(gè)更好的選擇。6.4構(gòu)建“情報(bào)賦能+價(jià)值交付+反饋評(píng)價(jià)”的有機(jī)生態(tài)針對(duì)威脅情報(bào)的價(jià)值如何衡量這一需求，關(guān)鍵在于構(gòu)建一個(gè)有機(jī)的威脅情報(bào)生態(tài)。然而，數(shù)據(jù)的天然不唯一性決定了“單純依靠數(shù)據(jù)共享構(gòu)建威脅情報(bào)生態(tài)”是一個(gè)偽命題。單純的威脅情報(bào)標(biāo)準(zhǔn)化、依托于標(biāo)準(zhǔn)化的情報(bào)共享或商業(yè)互換機(jī)制均難以構(gòu)建有機(jī)的長(zhǎng)久生態(tài)。在生物學(xué)的生態(tài)概念中，生態(tài)中的各參與方只有將競(jìng)爭(zhēng)交集最小化，找到互為補(bǔ)充的生態(tài)位，才可能構(gòu)建有機(jī)生態(tài)。數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告基于生態(tài)概念，結(jié)合本次調(diào)研，數(shù)世咨詢(xún)提出“安全需求+安全產(chǎn)品+威脅情報(bào)”的三方威脅情報(bào)生態(tài)理念，構(gòu)建“情報(bào)賦能+價(jià)值交付+評(píng)價(jià)反饋”的有機(jī)生態(tài)。如下圖所示：圖表：數(shù)世咨詢(xún)提出三方威脅情報(bào)生態(tài)理念該生態(tài)理念中，由威脅情報(bào)供應(yīng)商提供場(chǎng)景化情報(bào)能力，賦能眾多安全廠(chǎng)商的安全產(chǎn)品，安全產(chǎn)品為甲方用戶(hù)交付安全價(jià)值。同時(shí)，在一線(xiàn)用戶(hù)與情報(bào)廠(chǎng)商之間，則建立情報(bào)視角的評(píng)價(jià)反饋機(jī)制。如此，三方各自在自己的生態(tài)位，持續(xù)為威脅情報(bào)生態(tài)注入驅(qū)動(dòng)力，形成持續(xù)的有機(jī)動(dòng)能。需要強(qiáng)調(diào)的是，這一模型并不與業(yè)內(nèi)已有的成熟情報(bào)標(biāo)準(zhǔn)或商業(yè)機(jī)制沖突，相反，該理念會(huì)充分利用到業(yè)內(nèi)公認(rèn)的情報(bào)標(biāo)準(zhǔn)、商業(yè)機(jī)制背后的產(chǎn)品、技術(shù)、解決方案。在此基礎(chǔ)上，生態(tài)中各方逐數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告步就情報(bào)的價(jià)值形成可量化的共識(shí)。7.未來(lái)發(fā)展趨勢(shì)與展望威脅情報(bào)成為所有攻防對(duì)抗安全產(chǎn)品的必備能力；威脅情報(bào)與業(yè)務(wù)場(chǎng)景進(jìn)一步深度融合，滿(mǎn)足更多新的場(chǎng)景化需求；LLM對(duì)威脅情報(bào)在數(shù)據(jù)采集、加工篩選、服務(wù)化交付等方面提供更多賦能；威脅情報(bào)的服務(wù)化交付比例有超過(guò)產(chǎn)品數(shù)據(jù)交付的趨勢(shì)；威脅情報(bào)的有機(jī)生態(tài)合作逐漸形成。數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告附：某交通大學(xué)威脅情報(bào)創(chuàng)新應(yīng)用案例根據(jù)前述威脅情報(bào)的新應(yīng)用場(chǎng)景與新需求變化，本報(bào)告收錄某交通大學(xué)威脅情報(bào)創(chuàng)新應(yīng)用案例，供讀者參考，本案例由騰訊安全與銳捷網(wǎng)絡(luò)聯(lián)合提供。隨著黑產(chǎn)“挖礦”產(chǎn)業(yè)鏈的日益成熟，黑客變現(xiàn)難度降低。在巨大的利益驅(qū)動(dòng)下，“挖礦”病毒成為黑客最常用的攻擊手法之一?！扒『脤W(xué)校數(shù)據(jù)中心存放著大量服務(wù)器、云主機(jī)、虛擬主機(jī)，教師辦公終端、教室教學(xué)終端、學(xué)生個(gè)人終端數(shù)量龐大，這使得高校成“在已發(fā)現(xiàn)的‘挖礦’終端中，98%的終端都是因?yàn)楦腥尽诘V’病毒或木馬引發(fā)的‘挖礦’行為。校園網(wǎng)用戶(hù)個(gè)人安全意識(shí)薄如何實(shí)現(xiàn)風(fēng)險(xiǎn)看清，威脅攔住，實(shí)名溯源是建設(shè)的難點(diǎn)問(wèn)題，將直接影響建設(shè)進(jìn)度、防護(hù)效果、處置效率等，是必須要考慮的重點(diǎn)。國(guó)家發(fā)改委等多部門(mén)就聯(lián)合發(fā)布了《關(guān)于整治虛擬貨幣“挖礦”策和措施下，虛擬貨幣的規(guī)?；巴诘V”在國(guó)內(nèi)已被全面禁止，但個(gè)人“挖礦”與黑客“挖礦”行為依然存在。從2022年1數(shù)世咨詢(xún)|威脅情報(bào)需求洞察報(bào)告全校范圍內(nèi)啟動(dòng)校園網(wǎng)內(nèi)虛擬貨幣“挖礦”活動(dòng)專(zhuān)項(xiàng)核查清理工作，“堅(jiān)決徹底整治虛擬貨幣‘挖礦’活動(dòng)，深入推進(jìn)節(jié)能減排，助力如期實(shí)現(xiàn)碳達(dá)峰、碳中和目標(biāo)，營(yíng)造安全有序的校園網(wǎng)絡(luò)環(huán)境。1.終端持續(xù)探測(cè)：通過(guò)新增部署網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，結(jié)合安全大數(shù)據(jù)能力對(duì)校園網(wǎng)進(jìn)行全天不間斷監(jiān)控，結(jié)合自查自糾、業(yè)務(wù)服務(wù)器部署殺軟、個(gè)人用戶(hù)可部署全校統(tǒng)一的個(gè)人上網(wǎng)用戶(hù)“挖礦”病毒掃描及查殺工具進(jìn)行病毒查殺后申請(qǐng)恢復(fù)網(wǎng)絡(luò)等進(jìn)行檢測(cè)和封堵，實(shí)現(xiàn)持續(xù)檢測(cè)和威脅感知。圖表：騰訊威脅情報(bào)中心查詢(xún)界面2.風(fēng)險(xiǎn)智能感知：部署銳捷網(wǎng)絡(luò)態(tài)勢(shì)感知RG-BDS-A（搭載銳捷與騰訊聯(lián)合開(kāi)發(fā)的威脅情報(bào)引擎能力、TSP-X流量威脅檢測(cè)探針針對(duì)