本文来自IDC咨询。
近两年,各国政府不断加强对网络安全、数据安全的监管力度,企业纷纷部署更全面的网络安全防护技术和产品,在满足各项法律条例合规要求的同时,力求更及时和准确的发现和处置各种潜在的网络威胁。在这个过程中,“威胁情报”起到越来越重要的作用。
根据IDC的市场调研,对于国内大多数威胁情报技术提供商而言,向自有网络安全产品和服务赋能仍然是威胁情报价值体现的最重要途径。当前的EPP/EDR、UTM、IDS/IPS、NDR、SOC等各类产品均已广泛融入威胁情报能力,显著提升了产品和服务对威胁检测和判定的准确性和及时性。同时,为了更直观体现威胁情报的价值,有越来越多威胁情报技术提供商构建了独立的威胁情报产品或服务,例如威胁情报平台、威胁情报网关、SaaS化威胁情报查询服务、特定威胁事件/威胁情报的深入解读等。
IDC认为,企业安全管理人员对威胁情报的态度也已经由最初的“在用与不用之间难以抉择,一旦使用则给予极高期望”向“充分肯定威胁情报价值,并对使用效果给予理性判断”转变,整体市场已经度过泡沫期,并向成熟期演进。
IDC结合本次研究中对众多安全厂商及企业级客户的深入访谈,针对威胁情报的体系建设和产品/服务选择,为技术买家提供以下几点建议:
•大中型企业往往有迫切的多源威胁情报需求,需要综合利用情报数据梳理网络资产暴露面,为威胁事件的响应处置提供关联分析能力,降低SIEM/SOC产品的处置负载;中小型企业则往往更适合在网络安全产品中直接融入威胁情报数据,或者采用网络安全托管的方式将企业的网络安全运营交付给可靠的安全服务商,并获得专业的威胁情报解读。
•技术买家在选择威胁情报提供商时应结合自身行业特点进行充分的测试和验证,切不可盲目依据厂商名气或产品价格简单判断。对于重点行业或预算充足的企业,应考虑通过多源威胁情报交叉验证的方式提高情报识别的准确性,并有效增强情报数据的覆盖度。
•当前,威胁情报覆盖的广度和检测的精准度,即检出率和误报率之间常常存在一定的矛盾,不同类型企业对这两者的重视程度有所不同,是“宁可错杀,不许放过”,还是“精准打击,杜绝误报”,需要企业依据自身业务属性以及具体的应用场景进行选择。
•威胁情报生产和运营涉及数据采集、清洗、分析、建模、验证等诸多专业技术,需要专业安全人员的持续深度参与,因此,企业不应盲目决定构建本地化多源威胁情报运营体系,或者自建威胁情报生产体系,需要充分评估企业资源的长期投入和价值输出。
分析师观点
“经过近几年的发展,中国市场对于威胁情报的价值有了更理性和清晰的认知。一方面,技术提供商将威胁情报融入到网络安全产品,提升威胁检测和分析的准确性和及时性,并通过专业的威胁情报为企业安全运营人员提供能力支撑;另一方面,行业客户对威胁情报的需求正在从全行业的全量情报向专属行业精准情报转变,特别是重点企业正在建设日益完善的多源威胁情报管理平台,对情报进行持续运营。IDC认为,随着相关技术能力的进一步成熟,威胁情报必将以更多样化的形态融入到企业整体网络安全防护体系之中,并发挥越来越重要的作用。”