升华安全佳（GoUpSec）：2022年中国网络安全行业威胁情报产品及服务购买决策参考报告（61页）.pdf

1、20222022 年年 1010 月发布版月发布版目录前言.1安全狗.6零时科技.9齐安科技.11数盾科技.15360 数字安全集团.18腾讯安全.26天际友盟.32微步在线.39新华三.45星阑科技.48亿格云.51永安在线.541前言威胁情报驱动的主动安全防御人工智能自动驾驶正面临一个难以突破的技术天花板像优秀人类司机一样“预防性驾驶”；同理，任何企业都需要持续建设和发展自己的基于情报的主动防御能力。不久前，特斯拉创始人马斯克在被乌克兰某组织列入暗杀名单十天后才从社交媒体上获悉此事。这表明，由于缺乏完善的威胁情报能力，即便是特斯拉这样的产业巨头，对企业关键资产和人员的保护也存在致命盲区。如

2、果将企业的威胁防御体系比作导弹防御系统，可大致划分为初段拦截（威胁预测与预防）、中段拦截（威胁追踪与分析）和末段拦截（检测与响应）三个阶段，每个阶段都高度依赖战场态势感知和威胁情报能力，每个阶段的失能，都将意味着惨烈的溃败。过去几年，网络安全业界向企业安全管理者灌输这样一个理念：威胁是无法完全预防的，企业需要将注意力和预算集中在被动防御阶段末段拦截（检测和响应）上。该观点深刻影响了包括威胁情报在内的全球网络安全市场的格局和路径，企业 CISO 们也纷纷将 MTTD/MTTR 之类的与事件响应效率有关的指标作2为关键业绩指标。但现实是残酷的，报告显示，由于企业数字化转型和远程劳动力导致攻击面不断

3、增长，以及网络安全威胁的多样化和复杂化，很多企业已经掉入“末段拦截投资陷阱”。大量的安全投资和工具堆积并未换来 MTTD 等关键指标的实质性改善，安全运营人员反而掉入了警报疲劳的苦海，这主要归咎于主动防御能力建设的滞后。而威胁情报能力，正是企业主动安全防御能力的最大短板之一。根据Cybersixgill上半年对全球 150 名大型企业的 CISO 的调查，三分之一的大型企业 CISO 认为威胁情报是最大盲区，其次是漏洞管理。超过 90%的 CISO 依赖过时的、基于报告的威胁情报，这些情报通常太滞后而无法为决策提供有效支撑信息。今天，大型企业纷纷开始建设“边管云端”的一体化防御战线，而威胁情报

4、能力，是决定该体系效能的“天花板”，重要性不言而喻。威胁情报能够加强对未知威胁的发现和防护能力，缩短检测和响应周期、提升企业安全分析水平。但威胁情报自身的发展和企业实践也暴露出诸多问题，例如误报和产品集成度仍然困扰着企业用户。如何选择第三方商业威胁情报服务在持续建设和提升威胁情报能力的过程中，企业需要从大量信息源获取威胁情报3信息，例如内部网络和端点安全设备日志数据、SIEM 数据、网络流量分析、开源和行业公共威胁情报、漏洞数据、（专业）供应商的商业威胁情报等等。其中，企业内生威胁情报数据的收集和处理能力是事件响应能力的关键因素，而包括商业威胁情报在内的外部情报，则对建设和提升主动防御能力有着

5、重要意义。但是，市场上太多功能交叠的网络安全方案已经让行业用户感到困惑，威胁情报也正面临类似的问题。网络安全主管们面临的最大挑战之一就是从各种威胁情报产品和服务中选择有效组合来防止数据泄露。而且随着威胁情报市场的不断升温和整合，威胁情报产品的分化和外延，数据的结构和格式都在快速变化，导致选型的难度进一步加大。对于商业威胁情报产品服务与合作伙伴，企业选型有几个重要原则和基准：1.重质不重量（宁缺毋滥）2.可拓展威胁情报服务（例如外部攻击面管理、数字风险保护和安全评级服务）3.可与安全产品联动，与 SIEM/SOAR 平台集成，实现整体威胁预防和自动化处置闭环4.使用内置大数据平台缩短威胁搜寻活动

6、所需的时间和精力5.整合暗网情报，服务对象扩展到业务部门和管理层6.对自身数字资产风险的可见性7.面向基于机器学习的威胁情报系统（降低误报和延迟）48.提供（经过认证的）专家服务9.遵循标准化与开放生态10.高质量 TIP 平台是高效安全运营不可或缺的环节（同时也是评估威胁情报质量的重要工具）今天，企业的安全运营中心(SOC)正在“沦为”检测和响应部门。过于依赖 IoC危害指标，缺乏对暴露资产和漏洞的可见性，缺乏威胁预测和预防能力导致安全运营变成了消防大队。企业需要重新审视威胁预测和预防的重要意义（即便其 KPI 不如检测与响应直观），重新审视变革中的威胁情报市场，与安全厂商和专业威胁情报提供