1. 前言

近年来，国内安全行业常用常新的安全能力并不多，威胁情报是其中的重要代表。2020年数世咨询发布《威胁情报市场指南》（https://www.dwcon.cn/post/659 ），距今将近五年过去，从技术概念到数据来源，从应用场景到价值需求，威胁情报均有变化发展。国内大型安全会议始终都保留有威胁情报分论坛就是一个侧面例证。

面对攻防不对等，威胁情报有两个重要的价值点，使其具备了常用常新的特点：

• 将未知变为已知，让安全从被动变为主动。解决从0到1的问题。

• 对已知判断真假，让响应资源更有效。解决从1到100的问题。

因此，随着对抗过程中攻防双方不断的战法博弈与技术迭代，威胁情报也在更新迭代。不仅如此，威胁情报天然与其他安全产品、技术、解决方案能够有机结合，是赋能者的角色，因此一线用户、安全厂商、情报提供商都自发参与到威胁情报的生产、消费、应用中来，这就进一步拓宽了威胁情报的发展路径。

鉴于此，从2024年第三季度开始，数世咨询先后组织了十余场威胁情报相关的闭门讨论，先后调研了数十位来自于一线用户、安全厂商、情报提供商等不同身份的安全专家，就威胁情报最新的应用场景、需求变化、情报能力以及可能的发展趋势进行了深入讨论，现将调研汇总的核心观点与洞察形成《威胁情报需求洞察报告》，以飨读者。

勘误与进一步沟通交流，请联系本报告主笔分析师：

刘宸宇 liuchenyu@dwcon.cn

2.关键发现

• 面对攻防不对等，威胁情报将未知变为已知，让安全从被动变为主动；对已知判断真假，让响应资源更有效；

• 实网攻防场景由“0day漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”，威胁情报的需求更符合常态化要求；

• 以失陷验证类情报为主的出站情报，价值占比越来越高；

• 情报的更新无须全量更新，应从攻击面管理角度对情报进行筛选后，进行活跃更新；

• 管理层更担心“漏报”，执行层更担心“误报”；

• 威胁情报的价值难以量化，服务化交付为用户提供情绪价值；

• 应从检出率、准确性、时效性、保密性等四个方面构建不同优先级的情报能力；

• 数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+交付价值+反馈评价”的有机生态。

3.威胁情报相关概念

近年来，威胁情报的发展从狭义向广义发展，情报数据的来源更加多元，情报关联的上下文也更加立体。

从狭义角度来看，威胁情报主要聚焦于具体的、直接与网络安全攻击相关的信息。例如关于黑客组织或恶意个人等特定威胁来源的IP地址、软件工具、攻击技术、策略战术（TTPs）等详细情报信息。这些信息具有直接且明确的指向性和时效性，能够直接帮助安全人员识别、检测和应对网络威胁。

从广义角度来看，威胁情报的数据来源则囊括了开源情报、漏洞情报、外部攻击暴露面覆盖的资产信息（主要是EASM）、黑灰产情报等更多信息维度，以及攻防知识库、所在行业态势，甚至地缘政治、国际形势等更广泛维度的相关信息，这些都可以作为威胁情报上下文关联分析的数据依据。

近几年，威胁情报相关技术概念及衍生概念描述如下：

入站情报（Inbound Threat Intelligence）

入站情报主要是关于外部威胁源针对特定组织发起攻击的相关信息。这些情报聚焦于进入组织网络或系统边界的潜在威胁，帮助组织了解可能面临的外部攻击情况，就像在组织的边界设置了一个 “预警雷达”，提前发现那些试图入侵的 “敌人”。

出站情报（Outbound Threat Intelligence）

出站情报则是关注组织内部系统或网络向外部发送的可能存在威胁的信息。这有助于组织发现内部被控制的主机（如被恶意软件感染的计算机）正在向外传输敏感数据或参与攻击其他目标的情况，如同在组织内部的网络出口处设置了一个 “安检站”，检查内部发出的异常情况。

不难看出，入站情报和出站情报很少独立存在，对组织机构来说，两者往往结合使用，发挥出更好的效果。

开源情报（Open Source Intelligence，OSINT）

开源情报是指通过公开可用的信息源收集、整理和分析得到的情报。这些信息源对公众开放，任何人都可以合法地访问和利用。如社交媒体、博客论坛、新闻报道、学术论文以及政务公开数据等。

闭源情报

闭源情报是指那些不向公众公开，需要通过商业合作或限制访问的渠道获得的情报。通常这些情报由特定的组织机构、安全厂商生成，获取时也需要通过有保密协议的合作方式获取。如企业内部安全运营中心的自有情报、威胁情报厂商出售的商业化情报，以及某些国家联盟（如“五眼联盟”）之间共享的情报。

漏洞情报

漏洞情报主要是指关于软件、硬件、网络系统以及应用程序中存在的安全漏洞的详细信息。这些信息包括漏洞的存在位置、产生原因、可能造成的危害程度、被利用的方式以及对应的修复措施等内容。漏洞情报的来源可能是安全厂商、安全研究机构，也可以是软件供应商自身，国内目前更多的情况是来源于大小安全社区和社交媒体。可以看出，漏洞情报同时包含了开源、闭源两种来源。

4.威胁情报五大应用场景

4.1 为攻防对抗类安全产品更新赋能

通过周期性或实时性的威胁情报数据，为特征匹配类安全产品赋能，提升产品的效率与效果。该场景中，安全产品是威胁情报的消费者角色。例如网关防护类安全产品利用威胁情报加强对入站威胁的防护拦截准确率，威胁检测与响应（TDR）类产品利用威胁情报提升上下文中威胁检出率及响应时效性，缩短MTTD/MTTR等。

4.2 实网攻防演练/重保场景中的溯源分析研判

在实网攻防演练/场景中，防守方通过更高频度甚至实时的威胁情报数据，可以对攻击行为进行更及时的响应处置，更精准的溯源分析研判。该场景应用的威胁情报主要是攻击入站情报和0day漏洞情报。

4.3 新漏洞安全事件的应急响应场景

在安全团队的日常工作中，对新漏洞安全事件的应急响应是主要场景之一。从几年前的WannaCry到去年的Log4j，都让用户和厂商的安全团队经历了不眠之夜。该场景中，好的威胁情报（漏洞情报）可以及时、准确提供漏洞的影响范围、利用条件、甚至PoC与Exp，协助安全团队定位风险资产、制定缓解策略，实施响应措施。

4.4 数据泄露实时监测与通报场景

数据泄露事件一旦发生，拥有数据的组织机构希望第一时间知晓泄露数据的真伪、规模、影响范围，进而需要调查溯源确定数据外泄的路径、原因。这一系列动作，都可以利用威胁情报提升实时监测与通报的效率，例如对社交媒体、新闻报道，以及暗网中数据贩卖信息的监测等等。

4.5 黑灰产情报应用于业务风控场景

在业务风控场景中，威胁情报以黑灰产情报提供支持，如黑IP情报、Bot情报、黑灰产工具情报，以及对三要素/四要素的监测与研判等。该场景中，鉴于黑灰产的高隐蔽性（正常用户与黑灰产用户高度混淆），情报时效性往往更短，因此需要在用户侧业务部门配套以多个安全产品、多家情报，才能发挥出更好作用。

5.威胁情报五大需求变化

5.1 实网攻防常态化对威胁情报提出新要求

实网攻防演练常态化使得参演单位很难像往年一样，以减少业务甚至短暂下线为代价，保证演练成绩。这样的背景下，该场景由“0day漏洞为主的消耗战”转变为“钓鱼社工为主的持久战”。因此，对威胁情报的需求也更符合常态化要求。变化主要体现在：

• 针对业务软件、办公系统软件供应链上的0.5day/1day 的漏洞情报需求增加；

• 针对钓鱼邮件研判所需的恶意二维码情报、附件沙箱能力需求增加；

• 对攻击IP情报的精准性要求更高，以避免误封正常业务IP导致影响业务；

• 人员投入相对减少，因此基于精准情报的检测与响应从“堆人头”向“自动化封禁”转变；

• 此外，随着实网攻防演练加分规则的变化，溯源反制的需求迅速弱化，甚至可以说被边缘化了，因此溯源反制所需的开源情报需求有所减少；

5.2 用户对失陷验证类的情报需求更强烈

据本次调研，针对外部攻击者潜在威胁的情报（即入站情报）对于大部分一线用户的安全防护而言，直接的帮助有限，相反，以失陷验证类情报为主的出站情报，价值占比越来越高。

原因在于，普通用户很难对潜在攻击者进行范围覆盖甚至画像，普通安全厂商也缺少超大体量（例如海量数量的终端）情报收集基础，供需双方都很难采集汇聚出准确及时有效的攻击者情报。

相比之下，失陷验证类情报的覆盖范围（IT资产、网络环境、内部人员等）相对更明确，对情报的需求也更加活跃，因此威胁情报的效果更明显。此外情报的更新无须全量更新，仅提供活跃更新即可。所谓“活跃更新”，即从攻击面管理角度对情报进行筛选后，再将与用户资产攻击暴露面相关联的情报推送更新。

5.3 用户管理层和执行层对威胁情报的需求出现分化

威胁情报可以有效提升威胁检出率，也可以协助降低误报率，然而根据本次调研，用户安全团队的管理层和执行层对这两者的需求优先级并不一致。

管理层更担心“漏报”，因此更看重情报对检出率的提升。例如，通过SOAR或SOC管理多个agent以及多家情报，尽力杜绝远控RCE等安全事件。

相比之下，执行层更担心“误报”，特别是前面提到的失陷验证类出站情报一定要更加精准，理由是一旦确认为安全事件，就需要投入人力协调IT部门甚至业务部门进行排查确认，因此，如果情报不准确会透支安全团队的专业性和权威性。

5.4 威胁情报需求向“服务化”转变

上述各类新出现的需求变化中，有一个共同点是越来越多用户希望不仅仅采购威胁情报平台或数据，而是让情报供应商以服务化方式交付情报能力。

本次调研中了解到的服务化需求有：

• 技术赋能服务，例如应急响应场景中，如何判断某情报的有效性，或如何在某安全事件中应用某情报，即把这些应用威胁情报数据的专业化需求，放在安全事件的应急响应服务中交由安全服务团队一并交付；

• 咨询报告服务，例如情报供应商根据用户的业务属性、行业特点甚至竞争对手，结合开源情报、黑灰产情报等出具针对性的报告咨询服务；

5.5 价值难以量化成为威胁情报发展的瓶颈

本次调研中，笔者发现供需双方对威胁情报的价值如何衡量都有强烈诉求，例如情报供应商如何对情报进行定价？安全厂商对产品中的情报如何做量化打分？不同安全产品解决同一问题时，汇聚的各方情报价值如何分别衡量？特别是在监管通报场景中，安全事件的影响范围、紧迫度、领导层的过问带来的优先级变化……非标的影响因素很多，此类监管方、需求方、供应商乃至测评方等各方都有参与的场景下，情报的价值就更加难以量化。

从情报定价，到情报共享，再到情报生态，“价值难以量化”已成为威胁情报发展的瓶颈。

其实，5.4中“威胁情报服务化”背后的一部分原因，也正是因为情报的价值难以量化。换句话说，既然威胁情报提供的安全价值难以量化，那就以应急响应、咨询报告等服务方式交付给用户，算是补偿“情绪价值”了。

6.对新场景、新需求的应对

针对上述新场景、新需求，除了更全、更准、更快等通用性要求外，威胁情报还应构建以下新能力。

6.1 构建场景化情报能力

威胁情报应当根据不同场景，提供对应的场景化情报能力。常见的有：

• 针对常态化实网攻防演练场景，除了僵木蠕之外，还提供软件供应链漏洞情报、钓鱼邮件研判情报；

• 针对安全产品，不轻易推送全量更新，而是根据安全产品设备的版本、性能对应的情报消费能力，结合资产攻击暴露面，进行有限度的活跃更新推送；

• 针对业务风控场景， 除了提供Bot与黑灰产情报外，还能按照文旅、快消、互联网秒杀等更加细分的行业场景，提供更加贴近业务的情报能力；

• 此外，针对上述场景，以及更多诸如暗网数据泄露监测、企业品牌公关、黑灰产众包平台等细分场景的情报需求，还可以以咨询报告形式提供服务化情报能力。

6.2 着重构建漏洞情报能力

在上述各场景中，笔者建议着重构建漏洞情报能力。

具体来说：

• 构建用以支撑漏洞优先级（RBVM）的情报。漏洞情报不应局限于CVSS评分和定级，而应重点关注漏洞的可利用性，即基于资产指纹，结合Exp可用性、TTPs等交付情报。那些危害性虽大、但可利用性极低的漏洞，要大幅降低其优先级，避免白白浪费开发、运维等部门的资源，劳民伤财。更多相关内容，详见《数世咨询：基于风险的脆弱性管理能力指南》（https://www.dwcon.cn/post/3642）。

• 构建软件供应链漏洞情报。例如针对上线前的新系统、组件、模块，可通过众测方式发现新漏洞形成情报交付；若是针对用户内网/专网场景中的老旧设备，可通过历史漏洞情报与攻击暴露面（特别是老旧设备）匹配后进行定制化交付；

• 重点关注国产化替代过程中的漏洞情报。我国的信创生态体系尚在完善过程中，供应商有限的开发资源主要都放在目前的国产化替代攻坚加速上，很难同时兼顾漏洞缓解所需的开发工作量。因此威胁情报厂商与信创厂商之间，要建立妥善的漏洞情报发现、通知、缓解等协商机制，共同推进信创体系的漏洞情报能力建设。

6.3 构建不同优先级的情报能力

针对管理层与执行层对情报对需求分化等新变化，构建不同优先级的情报能力。建议从检出率、准确性、时效性、保密性等四个方面构建：

• 检出率：对于关键信息基础设施APT检测等检出率优先的场景，可综合多家闭源情报，结合开源情报进行研判。此时，应以“应检尽检”为原则，避免情报源之间的“少数服从多数”；
• 准确性：与检出率优先相对的，对于安全团队人员力量相对薄弱、可投入资源有限的情况，应以准确性为优先；
• 时效性：这里的时效性也是相对来说的。例如安全事件上升为单位一把手挂帅督办时，必须当天响应，情报能力全力运转。相对的，比如暗网数据泄露场景，只需在媒体与公众之前，利用暗网情报做好数据的基因分析，梳理出泄露路径，形成证据即可。

• 保密性：根据保密性要求的不同，情报的交付方式侧重点也不同。SaaS化订阅方式效率最高，但保密性相对较低；离线更新保密性高，但效率较低，更新频率难以保证；相对折中的是加密SDK、端到端加密通信甚至私有协议传输通路等方式，这种方式对有出海安全威胁情报需求的用户来说，是一个更好的选择。

6.4 构建“情报赋能+价值交付+反馈评价”的有机生态

针对威胁情报的价值如何衡量这一需求，关键在于构建一个有机的威胁情报生态。然而，数据的天然不唯一性决定了“单纯依靠数据共享构建威胁情报生态”是一个伪命题。单纯的威胁情报标准化、依托于标准化的情报共享或商业互换机制均难以构建有机的长久生态。

在生物学的生态概念中，生态中的各参与方只有将竞争交集最小化，找到互为补充的生态位，才可能构建有机生态。

基于生态概念，结合本次调研，数世咨询提出“安全需求+安全产品+威胁情报”的三方威胁情报生态理念，构建“情报赋能+价值交付+评价反馈”的有机生态。如下图所示：

图表：数世咨询提出三方威胁情报生态理念

该生态理念中，由威胁情报供应商提供场景化情报能力，赋能众多安全厂商的安全产品，安全产品为甲方用户交付安全价值。同时，在一线用户与情报厂商之间，则建立情报视角的评价反馈机制。如此，三方各自在自己的生态位，持续为威胁情报生态注入驱动力，形成持续的有机动能。

需要强调的是，这一模型并不与业内已有的成熟情报标准或商业机制冲突，相反，该理念会充分利用到业内公认的情报标准、商业机制背后的产品、技术、解决方案。在此基础上，生态中各方逐步就情报的价值形成可量化的共识。

7.未来发展趋势与展望

• 威胁情报成为所有攻防对抗安全产品的必备能力；

• 威胁情报与业务场景进一步深度融合，满足更多新的场景化需求；

• LLM对威胁情报在数据采集、加工筛选、服务化交付等方面提供更多赋能；

• 威胁情报的服务化交付比例有超过产品/数据交付的趋势；

• 威胁情报的有机生态合作逐渐形成。

附：某交通大学威胁情报创新应用案例

根据前述威胁情报的新应用场景与新需求变化，本报告收录某交通大学威胁情报创新应用案例，供读者参考，本案例由腾讯安全与锐捷网络联合提供。

案例背景

随着黑产“挖矿”产业链的日益成熟，黑客变现难度降低。在巨大的利益驱动下，“挖矿”病毒成为黑客最常用的攻击手法之一。“恰好学校数据中心存放着大量服务器、云主机、虚拟主机，教师办公终端、教室教学终端、学生个人终端数量庞大，这使得高校成为‘挖矿’病毒感染的首选目标之一。”

“在已发现的‘挖矿’终端中，98%的终端都是因为感染‘挖矿’病毒或木马引发的‘挖矿’行为。校园网用户个人安全意识薄弱，为‘挖矿’病毒入侵提供了可乘之机。”

如何实现风险看清，威胁拦住，实名溯源是建设的难点问题，将直接影响建设进度、防护效果、处置效率等，是必须要考虑的重点。

建设目标

国家发改委等多部门就联合发布了《关于整治虚拟货币“挖矿”活动的通知》，将“挖矿”正式列为淘汰类产业。在一系列强监管政策和措施下，虚拟货币的规模化“挖矿”在国内已被全面禁止，但个人“挖矿”与黑客“挖矿”行为依然存在。从2022年1月起在全校范围内启动校园网内虚拟货币“挖矿”活动专项核查清理工作，“坚决彻底整治虚拟货币‘挖矿’活动，深入推进节能减排，助力如期实现碳达峰、碳中和目标，营造安全有序的校园网络环境。

主要措施

1. 终端持续探测：通过新增部署网络安全监控平台，结合安全大数据能力对校园网进行全天不间断监控，结合自查自纠、业务服务器部署EDR杀软、个人用户可部署全校统一的个人上网用户“挖矿”病毒扫描及查杀工具进行病毒查杀后申请恢复网络等进行检测和封堵，实现持续检测和威胁感知。

图表：腾讯威胁情报中心查询界面

2. 风险智能感知：部署锐捷网络态势感知RG-BDS-A（搭载锐捷与腾讯联合开发的威胁情报引擎能力)、TSP-X流量威胁检测探针针对风险行为进行探测和关联分析，部署锐捷网络BDS-C全量日志集群联动学校认证计费系统进行安全告警与账号实名关联，针对问题终端可以直接溯源到人到物；

3. 威胁实时拦截：部署锐捷网络全新下一代防火墙（型号：RG-WALL 1600-Z8680），Z8680搭载锐捷与腾讯联合开发威胁情报、入侵防御（IPS）、反病毒（AV）、锐捷自定义威胁情报等进行关联分析和交叉比对，通过设备上搭载锐捷与腾讯联合开发边缘威胁情报能力实现“风险看的清，威胁拦得住，实名找到人”。

图表：学校部署腾讯&锐捷联合开发威胁情报配置界面

4. 溯源到人到端：通过将部署的全新下一代防火墙（型号：RG-WALL 1600-Z8680）安全风险感知阻断告警日志、出口路由器NAT日志、实名认证系统账号上下线数据、已有其他安全设备告警日志等统一分发到BDS-C全量日志集群系统进行日志依法留存、日志实名关联和问题溯源，大幅度提高管理员针对问题终端识、封堵、处置的效率。

图表：学校部署锐捷&腾讯联合开发威胁情报进行风险拦截界面

图表：学校部署锐捷安全产品进行关联研判立体防护配置界面

案例价值

通过部署腾讯&锐捷联合开发威胁情报智能检测与拦截系统（型号：RG-WALL 1600-Z8680），“虚拟挖矿”整治行动共核查出疑似“虚拟挖矿”终端70多个，发现可疑终端后，“虚拟挖矿”整治行动专项工作组会在第一时间联系第一负责人，下发整改通知并协助完成处置整改。

当前这套平台不仅用于虚拟挖矿检测、分析、拦截、溯源、处置，还可以针对网银木马、勒索病毒、远控木马、漏洞利用等高危险攻击行为进行检测和本地拦截，支持学校用户根据自身应用承载与网络安全管理需要构建具有交通特特色威胁情报，构建威胁情报联盟实现共建共享，持续防护学校网络与业务安全，保障教学办公科研等关键业务持续平稳开展。

本次建设部署也是西南交通大学、深圳市腾讯计算机系统有限公司、锐捷网络股份有限公司在威胁情报智能检测、风险实时拦截、实名溯源到人到端的一次联合创新，实现高校网络安全风险感知-威胁分析-实时拦截-实名溯源-关联处置的全流程闭环处置，增强学校应对网络安全感知拦截防护能力，提高联动溯源处置效率，联合创新科研成果必将服务于我国百行千业数字化转型。