2025年数字安全需求洞察报告：威胁情报-数世咨询

ThreatIntelligenceThreatIntelligence((2020)数世咨询|威胁情报需求洞察报告 5 63.威胁情报相关概念 74.威胁情报五大应用场景 94.1为攻防对抗类安全产品更新赋能 94.2实网攻防演练/重保场景中的溯源分析研判 94.3新漏洞安全事件的应急响应场景 94.4数据泄露实时监测与通报场景 4.5黑灰产情报应用于业务风控场景 5.威胁情报五大需求变化 5.1实网攻防常态化对威胁情报提出新要求 5.2用户对失陷验证类的情报需求更强烈 5.3用户管理层和执行层对威胁情报的需求出现分化 5.4威胁情报需求向"服务c"转变 5.5价值难以量化成为威胁情报发展的瓶颈 6.1构建场景化情报能力 6.2着重构建漏洞情报能力 6.3构建不同优先级的情报能力 6.4构建"情报赋能+价值交付+反馈评价"的有机生态 附:某交通大学威胁情报创新应用案例 近年来，国内安全行业常用常新的安全能力并不多，威胁情报是其中的重要代表。2020年数世咨询发布《威胁情报市场指南》（/post/659距今将近五年过去，从技术概念到数据来源，从应用场景到价值需求，威胁情报均有变化发展。国内大型安全会议始终都保留有威胁情报分论坛就是一个侧面面对攻防不对等，威胁情报有两个重要的价值点，使其具备了因此，随着对抗过程中攻防双方不断的战法博弈与技术迭代，威胁情报也在更新迭代。不仅如此，威胁情报天然与其他安全产品、技术、解决方案能够有机结合，是赋能者的角色，因此一线用户、安全厂商、情报提供商都自发参与到威胁情报的生产、消费、应用鉴于此，从2024年第三季度开始，数世咨询先后组织了十余场威胁情报相关的闭门讨论，先后调研了数十位来自于一线用户、安全厂商、情报提供商等不同身份的安全专家，就威胁情报最新的应用场景、需求变化、情报能力以及可能的发展趋势进行了深入讨刘宸宇liuchenyu@面对攻防不对等，威胁情报将未知变为已知，让安全从被动变为实网攻防场景由“0day漏洞为主的消耗战”转变为“钓鱼社工情报的更新无须全量更新，应从攻击面管理角度对情报进行筛选应从检出率、准确性、时效性、保密性等四个方面构建不同优先数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+交付价值+反馈评价”的有机生数世咨询|威胁情报需求洞察报告3.威胁情报相关概念近年来，威胁情报的发展从狭义向广义发展，情报数据的来源从狭义角度来看，威胁情报主要聚焦于具体的、直接与网络安全攻击相关的信息。例如关于黑客组织或恶意个人等特定威胁来源的IP地址、软件工具、攻击技术、策略战术（TTPs）等详细情报信息。这些信息具有直接且明确的指向性和时效性，能够直接帮助从广义角度来看，威胁情报的数据来源则囊括了开源情报、漏情报等更多信息维度，以及攻防知识库、所在行业态势，甚至地缘政治、国际形势等更广泛维度的相关信息，这些都可以作为威胁情入站情报主要是关于外部威胁源针对特定组织发起攻击的相关信息。这些情报聚焦于进入组织网络或系统边界的潜在威胁，帮助组织了解可能面临的外部攻击情况，就像在组织的边界设置了一个“预警雷达”，提前发现那些试图入侵的“敌人”。出站情报则是关注组织内部系统或网络向外部发送的可能存在数世咨询|威胁情报需求洞察报告威胁的信息。这有助于组织发现内部被控制的主机（如被恶意软件感染的计算机）正在向外传输敏感数据或参与攻击其他目标的情况，如同在组织内部的网络出口处设置了一个“安检站”，检查内部发出不难看出，入站情报和出站情报很少独立存在，对组织机构来开源情报是指通过公开可用的信息源收集、整理和分析得到的情报。这些信息源对公众开放，任何人都可以合法地访问和利用。如社交媒体、博客论坛、新闻报道、学术论文以及政务公开数据等。闭源情报是指那些不向公众公开，需要通过商业合作或限制访问的渠道获得的情报。通常这些情报由特定的组织机构、安全厂商生成，获取时也需要通过有保密协议的合作方式获取。如企业内部安全运营中心的自有情报、威胁情报厂商出售的商业化情报，以及漏洞情报主要是指关于软件、硬件、网络系统以及应用程序中存在的安全漏洞的详细信息。这些信息包括漏洞的存在位置、产生原因、可能造成的危害程度、被利用的方式以及对应的修复措施等内容。漏洞情报的来源可能是安全厂商、安全研究机构，也可以是软件供应商自身，国内目前更多的情况是来源于大小安全社区和社4.威胁情报五大应用场景通过周期性或实时性的威胁情报数据，为特征匹配类安全产品赋能，提升产品的效率与效果。该场景中，安全产品是威胁情报的消费者角色。例如网关防护类安全产品利用威胁情报加强对入站威胁的防护拦截准确率，威胁检测与响应（TDR）类产品利用威胁情报提升上下文中威胁检出率及响应时效性，缩短MTTD/MTTR等。4.2实网攻防演练/重保场景中的溯源分析研判在实网攻防演练/场景中，防守方通过更高频度甚至实时的威胁情报数据，可以对攻击行为进行更及时的响应处置，更精准的溯源分析研判。该场景应用的威胁情报主要是攻击入站情报和0day漏在安全团队的日常工作中，对新漏洞安全事件的应急响应是主要场景之一。从几年前的WannaCry到去年的Log4j，都让用户和厂商的安全团队经历了不眠之夜。该场景中，好的威胁情报（漏洞情报）可以及时、准确提供漏洞的影响范围、利用条件、甚至PoC与Exp，协助安全团队定位风险资产、制定缓解策略，实施响应措数据泄露事件一旦发生，拥有数据的组织机构希望第一时间知晓泄露数据的真伪、规模、影响范围，进而需要调查溯源确定数据外泄的路径、原因。这一系列动作，都可以利用威胁情报提升实时监测与通报的效率，例如对社交媒体、新闻报道，以及暗网中数据在业务风控场景中，威胁情报以黑灰产情报提供支持，如黑IP情报、Bot情报、黑灰产工具情报，以及对三要素/四要素的监测与研判等。该场景中，鉴于黑灰产的高隐蔽性（正常用户与黑灰产用户高度混淆情报时效性往往更短，因此需要在用户侧业务部门配实网攻防演练常态化使得参演单位很难像往年一样，以减少业务甚至短暂下线为代价，保证演练成绩。这样的背景下，该场景由数世咨询|威胁情报需求洞察报告u针对业务软件、办公系统软件供应链上的0.5day/1day的漏洞u人员投入相对减少，因此基于精准情报的检测与响应从“堆人头”弱化，甚至可以说被边缘化了，因此溯源反制所需的开源情报需据本次调研，针对外部攻击者潜在威胁的情报（即入站情报）对于大部分一线用户的安全防护而言，直接的帮助有限，相反，以原因在于，普通用户很难对潜在攻击者进行范围覆盖甚至画像，普通安全厂商也缺少超大体量（例如海量数量的终端）情报收集基相比之下，失陷验证类情报的覆盖范围（IT资产、网络环境、数世咨询|威胁情报需求洞察报告内部人员等）相对更明确，对情报的需求也更加活跃，因此威胁情报的效果更明显。此外情报的更新无须全量更新，仅提供活跃更新威胁情报可以有效提升威胁检出率，也可以协助降低误报率，然而根据本次调研，用户安全团队的管理层和执行层对这两者的需类出站情报一定要更加精准，理由是一旦确认为安全事件，就需要投入人力协调IT部门甚至业务部门进行排查确认，因此，如果情报上述各类新出现的需求变化中，有一个共同点是越来越多用户希望不仅仅采购威胁情报平台或数据，而是让情报供应商以服务化或如何在某安全事件中应用某情报，即把这些应用威胁情报数据的专业化需求，放在安全事件的应急响应服务中交由安全服务团甚至竞争对手，结合开源情报、黑灰产情报等出具针对性的报告本次调研中，笔者发现供需双方对威胁情报的价值如何衡量都有强烈诉求，例如情报供应商如何对情报进行定价？安全厂商对产品中的情报如何做量化打分？不同安全产品解决同一问题时，汇聚的各方情报价值如何分别衡量？特别是在监管通报场景中，安全事件的影响范围、紧迫度、领导层的过问带来的优先级变化……非标的影响因素很多，此类监管方、需求方、供应商乃至测评方等各方其实，5.4中“威胁情报服务化”背后的一部分原因，也正是因为情报的价值难以量化。换句话说，既然威胁情报提供的安全价值难以量化，那就以应急响应、咨询报告等服务方式交付给用户，针对上述新场景、新需求，除了更全、更准、更快等通用性要威胁情报应当根据不同场景，提供对应的场景化情报能力。常版本、性能对应的情报消费能力，结合资产攻击暴露面，进行有文旅、快消、互联网秒杀等更加细分的行业场景，提供更加贴近此外，针对上述场景，以及更多诸如暗网数据泄露监测、企业品牌公关、黑灰产众包平台等细分场景的情报需求，还可以以咨询于CVSS评分和定级，而应重点关注漏洞的可利用性，即基于资产指纹，结合Exp可用性、TTPs等交付情报。那些危害性虽大、但可利用性极低的漏洞，要大幅降低其优先级，避免白白浪费开发、运维等部门的资源，劳民伤财。更多相关内容，详见（/post/3642）。块，可通过众测方式发现新漏洞形成情报交付；若是针对用户内网/专网场景中的老旧设备，可通过历史漏洞情报与攻击暴露面在完善过程中，供应商有限的开发资源主要都放在目前的国产化替代攻坚加速上，很难同时兼顾漏洞缓解所需的开发工作量。因通知、缓解等协商机制，共同推进信创体系的漏洞情报能力建设。针对管理层与执行层对情报对需求分化等新变化，构建不同优先级的情报能力。建议从检出率、准确性、时效性、保密性等四个可综合多家闭源情报，结合开源情报进行研判。此时，应以“应位一把手挂帅督办时，必须当天响应，情报能力全力运转。相对的，比如暗网数据泄露场景，只需在媒体与公众之前，利用暗网SaaS化订阅方式效率最高，但保密性相对较低；离线更新保密性高，但效率较低，更新频率难以保证；相对折中的是加密SDK、端到端加密通信甚至私有协议传输通路等方式，这种方式6.4构建“情报赋能+价值交付+反馈评价”的有机生态针对威胁情报的价值如何衡量这一需求，关键在于构建一个有机的威胁情报生态。然而，数据的天然不唯一性决定了“单纯依靠数据共享构建威胁情报生态”是一个伪命题。单纯的威胁情报标准化、依托于标准化的情报共享或商业互换机制均难以构建有机的长在生物学的生态概念中，生态中的各参与方只有将竞争交集最基于生态概念，结合本次调研，数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+该生态理念中，由威胁情报供应商提供场景化情报能力，赋能众多安全厂商的安全产品，安全产品为甲方用户交付安全价值。同时，在一线用户与情报厂商之间，则建立情报视角的评价反馈机制。如此，三方各自在自己的生态位，持续为威胁情报生态注入驱动力，需要强调的是，这一模型并不与业内已有的成熟情报标准或商业机制冲突，相反，该理念会充分利用到业内公认的情报标准、商业机制背后的产品、技术、解决方案。在此基础上，生态中各方逐7.未来发展趋势与展望uLLM对威胁情报在数据采集、加工筛选、服务化交付等方面提数世咨询|威胁情报需求洞察报告根据前述威胁情报的新应用场景与新需求变化，本报告收录某交通大学威胁情报创新应用案例，供读者参考，本案例由腾讯安全案例背景随着黑产“挖矿”产业链的日益成熟，黑客变现难度降低。在“恰好学校数据中心存放着大量服务器、云主机、虚拟主机，教师办公终端、教室教学终端、学生个人终端数量庞大，这使得高校成“在已发现的‘挖矿’终端中，98%的终端都是因为感染‘挖矿’病毒或木马引发的‘挖矿’行为。校园网用户个人安全意识薄如何实现风险看清，威胁拦住，实名溯源是建设的难点问题，将直接影响建设进度、防护效果、处置效率等，是必须要考虑的重建设目标国家发改委等多部门就联合发布了《关于整治虚拟货币“挖矿”策和措施下，虚拟货币的规模化“挖矿”在国内已被全面禁止，但数世咨询|威胁情报需求洞察报告“坚决彻底整治虚拟货币‘挖矿’活动，深入推进节能减排，助力主要措施1.终端持续探测：通过新增部署网络安全监控平台，结合安全大数据能力对校园网进行全天不间断监控，结合自查自纠、业务服务器部署EDR杀软、个人用户可部署全校统一的个人上网用户“挖矿”病毒扫描及查杀工具进行病毒查杀后申请恢复网络等进2.风险智能感知：部署锐捷网络态势感知RG-BDS-A（搭载锐捷与腾讯联合开发的威胁情报引擎能力)、TSP-X流量威胁检测探针针对风险行为进行探测和关联分析，部署锐捷网络BDS-C全量日志集群联动学校认证计费系统进行安全告警与账号实名关联，3.威胁实时拦截：部署锐捷网络全新下一代防火墙（型号：RG-WALL1600-Z8680Z8680搭载锐捷与腾讯联合开发威胁情行关联分析和交叉比对，通过设备上搭载锐捷与腾讯联合开发边缘威胁情报能力实现“风险看的清，威胁拦得住，实名找到人”。图表：学校部署腾讯&锐捷联合开发威胁情报配置界面4.