1、 数字安全需求洞察报告 威胁情报 Threat Intelligence 北京数字世界咨询有限公司 2025.02 数世咨询|威胁情报需求洞察报告 数字安全需求洞察报告 威胁情报 Threat Intelligence 北京数字世界咨询有限公司 2025.02 数世咨询|威胁情报需求洞察报告 (2020)数世咨询|威胁情报需求洞察报告 1.5 2.6 3.7 4.9 4.1 .9 4.2/.9 4.3 .9 4.4 .10 4.5 .10 5.10 5.1 .10 5.2 .11 5.3 .12 5.4 .12 5.5 .13 6.14 6.1 .14 6.2 .14 6.3 .15 6.4+

2、.16 7.18 .19 数世咨询|威胁情报需求洞察报告 1.1.前言 近年来，国内安全行业常用常新的安全能力并不多，威胁情报是其中的重要代表。2020 年数世咨询发布威胁情报市场指南（https:/ 0 到 1 的问题。对已知判断真假，让响应资源更有效。解决从 1 到 100 的问题。因此，随着对抗过程中攻防双方不断的战法博弈与技术迭代，威胁情报也在更新迭代。不仅如此，威胁情报天然与其他安全产品、技术、解决方案能够有机结合，是赋能者的角色，因此一线用户、安全厂商、情报提供商都自发参与到威胁情报的生产、消费、应用中来，这就进一步拓宽了威胁情报的发展路径。鉴于此，从 2024 年第三季度开始，数

3、世咨询先后组织了十余场威胁情报相关的闭门讨论，先后调研了数十位来自于一线用户、安全厂商、情报提供商等不同身份的安全专家，就威胁情报最新的应用场景、需求变化、情报能力以及可能的发展趋势进行了深入讨 数世咨询|威胁情报需求洞察报告 论，现将调研汇总的核心观点与洞察形成威胁情报需求洞察报告，以飨读者。勘误与进一步沟通交流，请联系本报告主笔分析师：刘宸宇 2.2.关键发现 面对攻防不对等，威胁情报将未知变为已知，让安全从被动变为主动；对已知判断真假，让响应资源更有效；实网攻防场景由“0day 漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”，威胁情报的需求更符合常态化要求；以失陷验证类情报为主的出站情

4、报，价值占比越来越高；情报的更新无须全量更新，应从攻击面管理角度对情报进行筛选后，进行活跃更新；管理层更担心“漏报”，执行层更担心“误报”；威胁情报的价值难以量化，服务化交付为用户提供情绪价值；应从检出率、准确性、时效性、保密性等四个方面构建不同优先级的情报能力；数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+交付价值+反馈评价”的有机生态。数世咨询|威胁情报需求洞察报告 3.3.威胁情报相关概念 近年来，威胁情报的发展从狭义向广义发展，情报数据的来源更加多元，情报关联的上下文也更加立体。从狭义角度来看，威胁情报主要聚焦于具体的、直接与网络安全攻击相关的信息

5、。例如关于黑客组织或恶意个人等特定威胁来源的 IP 地址、软件工具、攻击技术、策略战术（TTPs）等详细情报信息。这些信息具有直接且明确的指向性和时效性，能够直接帮助安全人员识别、检测和应对网络威胁。从广义角度来看，威胁情报的数据来源则囊括了开源情报、漏洞情报、外部攻击暴露面覆盖的资产信息（主要是 EASM）、黑灰产情报等更多信息维度，以及攻防知识库、所在行业态势，甚至地缘政治、国际形势等更广泛维度的相关信息，这些都可以作为威胁情报上下文关联分析的数据依据。近几年，威胁情报相关技术概念及衍生概念描述如下：Inbound Threat IntelligenceInbound Threat Int

6、elligence 入站情报主要是关于外部威胁源针对特定组织发起攻击的相关信息。这些情报聚焦于进入组织网络或系统边界的潜在威胁，帮助组织了解可能面临的外部攻击情况，就像在组织的边界设置了一个“预警雷达”，提前发现那些试图入侵的“敌人”。Outbound Threat IntelligenceOutbound Threat Intelligence 出站情报则是关注组织内部系统或网络向外部发送的可能存在 数世咨询|威胁情报需求洞察报告 威胁的信息。这有助于组织发现内部被控制的主机（如被恶意软件感染的计算机）正在向外传输敏感数据或参与攻击其他目标的情况，如同在组织内部的网络出口处设置了一个“安检站