信息化觀察網(wǎng)

本文來(lái)自IDC咨詢。

近兩年，各國(guó)政府不斷加強(qiáng)對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)安全的監(jiān)管力度，企業(yè)紛紛部署更全面的網(wǎng)絡(luò)安全防護(hù)技術(shù)和產(chǎn)品，在滿足各項(xiàng)法律條例合規(guī)要求的同時(shí)，力求更及時(shí)和準(zhǔn)確的發(fā)現(xiàn)和處置各種潛在的網(wǎng)絡(luò)威脅。在這個(gè)過(guò)程中，“威脅情報(bào)”起到越來(lái)越重要的作用。

根據(jù)IDC的市場(chǎng)調(diào)研，對(duì)于國(guó)內(nèi)大多數(shù)威脅情報(bào)技術(shù)提供商而言，向自有網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)賦能仍然是威脅情報(bào)價(jià)值體現(xiàn)的最重要途徑。當(dāng)前的EPP/EDR、UTM、IDS/IPS、NDR、SOC等各類產(chǎn)品均已廣泛融入威脅情報(bào)能力，顯著提升了產(chǎn)品和服務(wù)對(duì)威脅檢測(cè)和判定的準(zhǔn)確性和及時(shí)性。同時(shí)，為了更直觀體現(xiàn)威脅情報(bào)的價(jià)值，有越來(lái)越多威脅情報(bào)技術(shù)提供商構(gòu)建了獨(dú)立的威脅情報(bào)產(chǎn)品或服務(wù)，例如威脅情報(bào)平臺(tái)、威脅情報(bào)網(wǎng)關(guān)、SaaS化威脅情報(bào)查詢服務(wù)、特定威脅事件/威脅情報(bào)的深入解讀等。

IDC認(rèn)為，企業(yè)安全管理人員對(duì)威脅情報(bào)的態(tài)度也已經(jīng)由最初的“在用與不用之間難以抉擇，一旦使用則給予極高期望”向“充分肯定威脅情報(bào)價(jià)值，并對(duì)使用效果給予理性判斷”轉(zhuǎn)變，整體市場(chǎng)已經(jīng)度過(guò)泡沫期，并向成熟期演進(jìn)。

IDC結(jié)合本次研究中對(duì)眾多安全廠商及企業(yè)級(jí)客戶的深入訪談，針對(duì)威脅情報(bào)的體系建設(shè)和產(chǎn)品/服務(wù)選擇，為技術(shù)買家提供以下幾點(diǎn)建議：

•大中型企業(yè)往往有迫切的多源威脅情報(bào)需求，需要綜合利用情報(bào)數(shù)據(jù)梳理網(wǎng)絡(luò)資產(chǎn)暴露面，為威脅事件的響應(yīng)處置提供關(guān)聯(lián)分析能力，降低SIEM/SOC產(chǎn)品的處置負(fù)載；中小型企業(yè)則往往更適合在網(wǎng)絡(luò)安全產(chǎn)品中直接融入威脅情報(bào)數(shù)據(jù)，或者采用網(wǎng)絡(luò)安全托管的方式將企業(yè)的網(wǎng)絡(luò)安全運(yùn)營(yíng)交付給可靠的安全服務(wù)商，并獲得專業(yè)的威脅情報(bào)解讀。

•技術(shù)買家在選擇威脅情報(bào)提供商時(shí)應(yīng)結(jié)合自身行業(yè)特點(diǎn)進(jìn)行充分的測(cè)試和驗(yàn)證，切不可盲目依據(jù)廠商名氣或產(chǎn)品價(jià)格簡(jiǎn)單判斷。對(duì)于重點(diǎn)行業(yè)或預(yù)算充足的企業(yè)，應(yīng)考慮通過(guò)多源威脅情報(bào)交叉驗(yàn)證的方式提高情報(bào)識(shí)別的準(zhǔn)確性，并有效增強(qiáng)情報(bào)數(shù)據(jù)的覆蓋度。

•當(dāng)前，威脅情報(bào)覆蓋的廣度和檢測(cè)的精準(zhǔn)度，即檢出率和誤報(bào)率之間常常存在一定的矛盾，不同類型企業(yè)對(duì)這兩者的重視程度有所不同，是“寧可錯(cuò)殺，不許放過(guò)”，還是“精準(zhǔn)打擊，杜絕誤報(bào)”，需要企業(yè)依據(jù)自身業(yè)務(wù)屬性以及具體的應(yīng)用場(chǎng)景進(jìn)行選擇。

•威脅情報(bào)生產(chǎn)和運(yùn)營(yíng)涉及數(shù)據(jù)采集、清洗、分析、建模、驗(yàn)證等諸多專業(yè)技術(shù)，需要專業(yè)安全人員的持續(xù)深度參與，因此，企業(yè)不應(yīng)盲目決定構(gòu)建本地化多源威脅情報(bào)運(yùn)營(yíng)體系，或者自建威脅情報(bào)生產(chǎn)體系，需要充分評(píng)估企業(yè)資源的長(zhǎng)期投入和價(jià)值輸出。

分析師觀點(diǎn)

“經(jīng)過(guò)近幾年的發(fā)展，中國(guó)市場(chǎng)對(duì)于威脅情報(bào)的價(jià)值有了更理性和清晰的認(rèn)知。一方面，技術(shù)提供商將威脅情報(bào)融入到網(wǎng)絡(luò)安全產(chǎn)品，提升威脅檢測(cè)和分析的準(zhǔn)確性和及時(shí)性，并通過(guò)專業(yè)的威脅情報(bào)為企業(yè)安全運(yùn)營(yíng)人員提供能力支撐；另一方面，行業(yè)客戶對(duì)威脅情報(bào)的需求正在從全行業(yè)的全量情報(bào)向?qū)傩袠I(yè)精準(zhǔn)情報(bào)轉(zhuǎn)變，特別是重點(diǎn)企業(yè)正在建設(shè)日益完善的多源威脅情報(bào)管理平臺(tái)，對(duì)情報(bào)進(jìn)行持續(xù)運(yùn)營(yíng)。IDC認(rèn)為，隨著相關(guān)技術(shù)能力的進(jìn)一步成熟，威脅情報(bào)必將以更多樣化的形態(tài)融入到企業(yè)整體網(wǎng)絡(luò)安全防護(hù)體系之中，并發(fā)揮越來(lái)越重要的作用。”