數字安全需求洞察報告威脅情報ThreatIntelligence?

北京數字世界咨詢有限公司

2025.02數字安全需求洞察報告威脅情報ThreatIntelligence?北京數字世界咨詢有限公司

2025.02(2020)1.前言近年來，國內安全行業常用常新的安全能力并不多，威脅情報是其中的重要代表。2020年數世咨詢發布《威脅情報市場指南》（/post/659），距今將近五年過去，從技術概念到數據來源，從應用場景到價值需求，威脅情報均有變化發展。國內大型安全會議始終都保留有威脅情報分論壇就是一個側面例證。面對攻防不對等，威脅情報有兩個重要的價值點，使其具備了常用常新的特點：

將未知變為已知，讓安全從被動變為主動。解決從

0到

1的問題。

對已知判斷真假，讓響應資源更有效。解決從

1到

100的問題。因此，隨著對抗過程中攻防雙方不斷的戰法博弈與技術迭代，威脅情報也在更新迭代。不僅如此，威脅情報天然與其他安全產品、技術、解決方案能夠有機結合，是賦能者的角色，因此一線用戶、安全廠商、情報提供商都自發參與到威脅情報的生產、消費、應用中來，這就進一步拓寬了威脅情報的發展路徑。鑒于此，從

2024年第三季度開始，數世咨詢先后組織了十余場威脅情報相關的閉門討論，先后調研了數十位來自于一線用戶、安全廠商、情報提供商等不同身份的安全專家，就威脅情報最新的應用場景、需求變化、情報能力以及可能的發展趨勢進行了深入討數世咨詢

|威脅情報需求洞察報告論，現將調研匯總的核心觀點與洞察形成《威脅情報需求洞察報告》，以饗讀者。勘誤與進一步溝通交流，請聯系本報告主筆分析師：劉宸宇

liuchenyu@2.關鍵發現?

面對攻防不對等，威脅情報將未知變為已知，讓安全從被動變為主動；對已知判斷真假，讓響應資源更有效；?

實網攻防場景由“0day漏洞為主的消耗戰”轉變為“釣魚社工為主的持久戰”，威脅情報的需求更符合常態化要求；?

以失陷驗證類情報為主的出站情報，價值占比越來越高；?

情報的更新無須全量更新，應從攻擊面管理角度對情報進行篩選后，進行活躍更新；?

管理層更擔心“漏報”，執行層更擔心“誤報”；?

威脅情報的價值難以量化，服務化交付為用戶提供情緒價值；?

應從檢出率、準確性、時效性、保密性等四個方面構建不同優先級的情報能力；?

數世咨詢提出“安全需求+安全產品+威脅情報”的三方威脅情報生態理念，構建“情報賦能+交付價值+反饋評價”的有機生態。數世咨詢

|威脅情報需求洞察報告3.威脅情報相關概念近年來，威脅情報的發展從狹義向廣義發展，情報數據的來源更加多元，情報關聯的上下文也更加立體。從狹義角度來看，威脅情報主要聚焦于具體的、直接與網絡安全攻擊相關的信息。例如關于黑客組織或惡意個人等特定威脅來源的

IP地址、軟件工具、攻擊技術、策略戰術（TTPs）等詳細情報信息。這些信息具有直接且明確的指向性和時效性，能夠直接幫助安全人員識別、檢測和應對網絡威脅。從廣義角度來看，威脅情報的數據來源則囊括了開源情報、漏洞情報、外部攻擊暴露面覆蓋的資產信息（主要是

EASM）、黑灰產情報等更多信息維度，以及攻防知識庫、所在行業態勢，甚至地緣政治、國際形勢等更廣泛維度的相關信息，這些都可以作為威脅情報上下文關聯分析的數據依據。近幾年，威脅情報相關技術概念及衍生概念描述如下：

InboundThreatIntelligence入站情報主要是關于外部威脅源針對特定組織發起攻擊的相關信息。這些情報聚焦于進入組織網絡或系統邊界的潛在威脅，幫助組織了解可能面臨的外部攻擊情況，就像在組織的邊界設置了一個“預警雷達”，提前發現那些試圖入侵的

“敵人”。

OutboundThreatIntelligence出站情報則是關注組織內部系統或網絡向外部發送的可能存在數世咨詢

|威脅情報需求洞察報告威脅的信息。這有助于組織發現內部被控制的主機（如被惡意軟件感染的計算機）正在向外傳輸敏感數據或參與攻擊其他目標的情況，如同在組織內部的網絡出口處設置了一個

“安檢站”，檢查內部發出的異常情況。不難看出，入站情報和出站情報很少獨立存在，對組織機構來說，兩者往往結合使用，發揮出更好的效果。

OpenSourceIntelligenceOSINT開源情報是指通過公開可用的信息源收集、整理和分析得到的情報。這些信息源對公眾開放，任何人都可以合法地訪問和利用。如社交媒體、博客論壇、新聞報道、學術論文以及政務公開數據等。

閉源情報是指那些不向公眾公開，需要通過商業合作或限制訪問的渠道獲得的情報。通常這些情報由特定的組織機構、安全廠商生成，獲取時也需要通過有保密協議的合作方式獲取。如企業內部安全運營中心的自有情報、威脅情報廠商出售的商業化情報，以及某些國家聯盟（如“五眼聯盟”）之間共享的情報。

漏洞情報主要是指關于軟件、硬件、網絡系統以及應用程序中存在的安全漏洞的詳細信息。這些信息包括漏洞的存在位置、產生原因、可能造成的危害程度、被利用的方式以及對應的修復措施等內容。漏洞情報的來源可能是安全廠商、安全研究機構，也可以是軟件供應商自身，國內目前更多的情況是來源于大小安全社區和社數世咨詢

|威脅情報需求洞察報告交媒體。可以看出，漏洞情報同時包含了開源、閉源兩種來源。4.威脅情報五大應用場景4.1為攻防對抗類安全產品更新賦能通過周期性或實時性的威脅情報數據，為特征匹配類安全產品賦能，提升產品的效率與效果。該場景中，安全產品是威脅情報的消費者角色。例如網關防護類安全產品利用威脅情報加強對入站威脅的防護攔截準確率，威脅檢測與響應（TDR）類產品利用威脅情報提升上下文中威脅檢出率及響應時效性，縮短

MTTD/MTTR等。4.2實網攻防演練/重保場景中的溯源分析研判在實網攻防演練/場景中，防守方通過更高頻度甚至實時的威脅情報數據，可以對攻擊行為進行更及時的響應處置，更精準的溯源分析研判。該場景應用的威脅情報主要是攻擊入站情報和

0day漏洞情報。4.3新漏洞安全事件的應急響應場景在安全團隊的日常工作中，對新漏洞安全事件的應急響應是主要場景之一。從幾年前的

WannaCry到去年的

Log4j，都讓用戶和廠商的安全團隊經歷了不眠之夜。該場景中，好的威脅情報（漏洞情報）可以及時、準確提供漏洞的影響范圍、利用條件、甚至

PoC數世咨詢

|威脅情報需求洞察報告與

Exp，協助安全團隊定位風險資產、制定緩解策略，實施響應措施。4.4數據泄露實時監測與通報場景數據泄露事件一旦發生，擁有數據的組織機構希望第一時間知曉泄露數據的真偽、規模、影響范圍，進而需要調查溯源確定數據外泄的路徑、原因。這一系列動作，都可以利用威脅情報提升實時監測與通報的效率，例如對社交媒體、新聞報道，以及暗網中數據販賣信息的監測等等。4.5黑灰產情報應用于業務風控場景在業務風控場景中，威脅情報以黑灰產情報提供支持，如黑

IP情報、Bot情報、黑灰產工具情報，以及對三要素/四要素的監測與研判等。該場景中，鑒于黑灰產的高隱蔽性（正常用戶與黑灰產用戶高度混淆），情報時效性往往更短，因此需要在用戶側業務部門配套以多個安全產品、多家情報，才能發揮出更好作用。5.威脅情報五大需求變化5.1實網攻防常態化對威脅情報提出新要求實網攻防演練常態化使得參演單位很難像往年一樣，以減少業務甚至短暫下線為代價，保證演練成績。這樣的背景下，該場景由數世咨詢

|威脅情報需求洞察報告“0day漏洞為主的消耗戰”轉變為“釣魚社工為主的持久戰”。因此，對威脅情報的需求也更符合常態化要求。變化主要體現在：

針對業務軟件、辦公系統軟件供應鏈上的

0.5day/1day的漏洞情報需求增加；

針對釣魚郵件研判所需的惡意二維碼情報、附件沙箱能力需求增加；

對攻擊

IP情報的精準性要求更高，以避免誤封正常業務

IP導致影響業務；

人員投入相對減少，因此基于精準情報的檢測與響應從“堆人頭”向“自動化封禁”轉變；

此外，隨著實網攻防演練加分規則的變化，溯源反制的需求迅速弱化，甚至可以說被邊緣化了，因此溯源反制所需的開源情報需求有所減少；5.2用戶對失陷驗證類的情報需求更強烈據本次調研，針對外部攻擊者潛在威脅的情報（即入站情報）對于大部分一線用戶的安全防護而言，直接的幫助有限，相反，以失陷驗證類情報為主的出站情報，價值占比越來越高。原因在于，普通用戶很難對潛在攻擊者進行范圍覆蓋甚至畫像，普通安全廠商也缺少超大體量（例如海量數量的終端）情報收集基礎，供需雙方都很難采集匯聚出準確及時有效的攻擊者情報。相比之下，失陷驗證類情報的覆蓋范圍（IT資產、網絡環境、數世咨詢

|威脅情報需求洞察報告內部人員等）相對更明確，對情報的需求也更加活躍，因此威脅情報的效果更明顯。此外情報的更新無須全量更新，僅提供活躍更新即可。所謂“活躍更新”，即從攻擊面管理角度對情報進行篩選后，再將與用戶資產攻擊暴露面相關聯的情報推送更新。5.3用戶管理層和執行層對威脅情報的需求出現分化威脅情報可以有效提升威脅檢出率，也可以協助降低誤報率，然而根據本次調研，用戶安全團隊的管理層和執行層對這兩者的需求優先級并不一致。管理層更擔心“漏報”，因此更看重情報對檢出率的提升。例如，通過

SOAR或

SOC管理多個

agent以及多家情報，盡力杜絕遠控RCE等安全事件。相比之下，執行層更擔心“誤報”，特別是前面提到的失陷驗證類出站情報一定要更加精準，理由是一旦確認為安全事件，就需要投入人力協調

IT部門甚至業務部門進行排查確認，因此，如果情報不準確會透支安全團隊的專業性和權威性。5.4威脅情報需求向“服務化”轉變上述各類新出現的需求變化中，有一個共同點是越來越多用戶希望不僅僅采購威脅情報平臺或數據，而是讓情報供應商以服務化方式交付情報能力。本次調研中了解到的服務化需求有：數世咨詢

|威脅情報需求洞察報告

技術賦能服務，例如應急響應場景中，如何判斷某情報的有效性，或如何在某安全事件中應用某情報，即把這些應用威脅情報數據的專業化需求，放在安全事件的應急響應服務中交由安全服務團隊一并交付；

咨詢報告服務，例如情報供應商根據用戶的業務屬性、行業特點甚至競爭對手，結合開源情報、黑灰產情報等出具針對性的報告咨詢服務；5.5價值難以量化成為威脅情報發展的瓶頸本次調研中，筆者發現供需雙方對威脅情報的價值如何衡量都有強烈訴求，例如情報供應商如何對情報進行定價？安全廠商對產品中的情報如何做量化打分？不同安全產品解決同一問題時，匯聚的各方情報價值如何分別衡量？特別是在監管通報場景中，安全事件的影響范圍、緊迫度、領導層的過問帶來的優先級變化……非標的影響因素很多，此類監管方、需求方、供應商乃至測評方等各方都有參與的場景下，情報的價值就更加難以量化。從情報定價，到情報共享，再到情報生態，“價值難以量化”已成為威脅情報發展的瓶頸。其實，5.4中“威脅情報服務化”背后的一部分原因，也正是因為情報的價值難以量化。換句話說，既然威脅情報提供的安全價值難以量化，那就以應急響應、咨詢報告等服務方式交付給用戶，算是補償“情緒價值”了。數世咨詢

|威脅情報需求洞察報告6.對新場景、新需求的應對針對上述新場景、新需求，除了更全、更準、更快等通用性要求外，威脅情報還應構建以下新能力。6.1構建場景化情報能力威脅情報應當根據不同場景，提供對應的場景化情報能力。常見的有：

針對常態化實網攻防演練場景，除了僵木蠕之外，還提供軟件供應鏈漏洞情報、釣魚郵件研判情報；

針對安全產品，不輕易推送全量更新，而是根據安全產品設備的版本、性能對應的情報消費能力，結合資產攻擊暴露面，進行有限度的活躍更新推送；

針對業務風控場景，

除了提供

Bot與黑灰產情報外，還能按照文旅、快消、互聯網秒殺等更加細分的行業場景，提供更加貼近業務的情報能力；此外，針對上述場景，以及更多諸如暗網數據泄露監測、企業品牌公關、黑灰產眾包平臺等細分場景的情報需求，還可以以咨詢報告形式提供服務化情報能力。6.2著重構建漏洞情報能力在上述各場景中，筆者建議著重構建漏洞情報能力。具體來說：數世咨詢

|威脅情報需求洞察報告

構建用以支撐漏洞優先級（RBVM）的情報。漏洞情報不應局限于

CVSS評分和定級，而應重點關注漏洞的可利用性，即基于資產指紋，結合

Exp可用性、TTPs等交付情報。那些危害性雖大、但可利用性極低的漏洞，要大幅降低其優先級，避免白白浪費開發、運維等部門的資源，勞民傷財。更多相關內容，詳見《

數

世

咨

詢

：

基

于

風

險

的

脆

弱

性

管

理

能

力

指

南

》（/post/3642）。

構建軟件供應鏈漏洞情報。例如針對上線前的新系統、組件、模塊，可通過眾測方式發現新漏洞形成情報交付；若是針對用戶內網/專網場景中的老舊設備，可通過歷史漏洞情報與攻擊暴露面（特別是老舊設備）匹配后進行定制化交付；

重點關注國產化替代過程中的漏洞情報。我國的信創生態體系尚在完善過程中，供應商有限的開發資源主要都放在目前的國產化替代攻堅加速上，很難同時兼顧漏洞緩解所需的開發工作量。因此威脅情報廠商與信創廠商之間，要建立妥善的漏洞情報發現、通知、緩解等協商機制，共同推進信創體系的漏洞情報能力建設。6.3構建不同優先級的情報能力針對管理層與執行層對情報對需求分化等新變化，構建不同優先級的情報能力。建議從檢出率、準確性、時效性、保密性等四個方面構建：

檢出率。對于關鍵信息基礎設施

APT檢測等檢出率優先的場景，數世咨詢

|威脅情報需求洞察報告可綜合多家閉源情報，結合開源情報進行研判。此時，應以“應檢盡檢”為原則，避免情報源之間的“少數服從多數”；

準確性。與檢出率優先相對的，對于安全團隊人員力量相對薄弱、可投入資源有限的情況，應以準確性為優先；

時效性。這里的時效性也是相對來說的。例如安全事件上升為單位一把手掛帥督辦時，必須當天響應，情報能力全力運轉。相對的，比如暗網數據泄露場景，只需在媒體與公眾之前，利用暗網情報做好數據的基因分析，梳理出泄露路徑，形成證據即可。

保密性。根據保密性要求的不同，情報的交付方式側重點也不同。SaaS化訂閱方式效率最高，但保密性相對較低；離線更新保密性高，但效率較低，更新頻率難以保證；相對折中的是加密SDK、端到端加密通信甚至私有協議傳輸通路等方式，這種方式對有出海安全威脅情報需求的用戶來說，是一個更好的選擇。6.4構建“情報賦能+價值交付+反饋評價”的有機生態針對威脅情報的價值如何衡量這一需求，關鍵在于構建一個有機的威脅情報生態。然而，數據的天然不唯一性決定了“單純依靠數據共享構建威脅情報生態”是一個偽命題。單純的威脅情報標準化、依托于標準化的情報共享或商業互換機制均難以構建有機的長久生態。在生物學的生態概念中，生態中的各參與方只有將競爭交集最小化，找到互為補充的生態位，才可能構建有機生態。數世咨詢

|威脅情報需求洞察報告基于生態概念，結合本次調研，數世咨詢提出“安全需求+安全產品+威脅情報”的三方威脅情報生態理念，構建“情報賦能+價值交付+評價反饋”的有機生態。如下圖所示：圖表：數世咨詢提出三方威脅情報生態理念該生態理念中，由威脅情報供應商提供場景化情報能力，賦能眾多安全廠商的安全產品，安全產品為甲方用戶交付安全價值。同時，在一線用戶與情報廠商之間，則建立情報視角的評價反饋機制。如此，三方各自在自己的生態位，持續為威脅情報生態注入驅動力，形成持續的有機動能。需要強調的是，這一模型并不與業內已有的成熟情報標準或商業機制沖突，相反，該理念會充分利用到業內公認的情報標準、商業機制背后的產品、技術、解決方案。在此基礎上，生態中各方逐數世咨詢

|威脅情報需求洞察報告步就情報的價值形成可量化的共識。7.未來發展趨勢與展望

威脅情報成為所有攻防對抗安全產品的必備能力；

威脅情報與業務場景進一步深度融合，滿足更多新的場景化需求；

LLM對威脅情報在數據采集、加工篩選、服務化交付等方面提供更多賦能；

威脅情報的服務化交付比例有超過產品/數據交付的趨勢；

威脅情報的有機生態合作逐漸形成。數世咨詢

|威脅情報需求洞察報告附：某交通大學威脅情報創新應用案例根據前述威脅情報的新應用場景與新需求變化，本報告收錄某交通大學威脅情報創新應用案例，供讀者參考，本案例由騰訊安全與銳捷網絡聯合提供。隨著黑產“挖礦”產業鏈的日益成熟，黑客變現難度降低。在巨大的利益驅動下，“挖礦”病毒成為黑客最常用的攻擊手法之一。“恰好學校數據中心存放著大量服務器、云主機、虛擬主機，教師辦公終端、教室教學終端、學生個人終端數量龐大，這使得高校成為‘挖礦’病毒感染的首選目標之一。”“在已發現的‘挖礦’終端中，98%的終端都是因為感染‘挖礦’病毒或木馬引發的‘挖礦’行為。校園網用戶個人安全意識薄弱，為‘挖礦’病毒入侵提供了可乘之機。”如何實現風險看清，威脅攔住，實名溯源是建設的難點問題，將直接影響建設進度、防護效果、處置效率等，是必須要考慮的重點。國家發改委等多部門就聯合發布了《關于整治虛擬貨幣“挖礦”活動的通知》，將“挖礦”正式列為淘汰類產業。在一系列強監管政策和措施下，虛擬貨幣的規模化“挖礦”在國內已被全面禁止，但個人“挖礦”與黑客“挖礦”行為依然存在。從

2022年

1月起在數世咨詢

|威脅情報需求洞察報告全校范圍內啟動校園網內虛擬貨幣“挖礦”活動專項核查清理工作，“堅決徹底整治虛擬貨幣‘挖礦’活動，深入推進節能減排，助力如期實現碳達峰、碳中和目標，營造安全有序的校園網絡環境。1.終端持續探測：通過新增部署網絡安全監控平臺，結合安全大數據能力對校園網進行全天不間斷監控，結合自查自糾、業務服務器部署

EDR殺軟、個人用戶可部署全校統一的個人上網用戶“挖礦”病毒掃描及查殺工具進行病毒查殺后申請恢復網絡等進行檢測和封堵，實現持續檢測和威脅感知。圖表：騰訊威脅情報中心查詢界面2.風險智能感知：部署銳捷網絡態勢感知

RG-BDS-A（搭載銳捷與騰訊聯合開發的威脅情報引擎能力)、TSP-X流量威脅檢測探針針對風險行為進行探測和關聯分析，部署銳捷網絡

BDS-C全量日志集群聯動學校認證計費系統進行安全告警與賬號實名關聯，針對問題終端可以直接溯源到人到物；3.威脅實時攔截：部署銳捷網絡全新下一代防火墻（型號：RG-WALL1600-Z8680），Z8680搭載銳捷與騰訊聯合開發威脅情數世咨詢

|威脅情報需求洞察報告