2015年，国内引入威胁情报，逐渐被安全市场接受和认可。直到2018年，威胁情报达到一个高峰，被认为是实现主动防御最为理想的方式，甚至出现了“威胁情报万能论”。

但是在之后，众多安全事件的发生，让大家意识到威胁情报并不是万能的。那么客户花了大量金钱购买威胁情报后，真的都用好了吗？

据奇安信威胁情报中心调查显示，威胁情报领域的市场需求依然很大。自2018年以来，国际威胁情报市场出现了爆发式增长，2019年威胁情报市场的价值为52.8亿美元。据不完全估计，2019年～2025年间，预测将以17.5％的年复合成长率成长，预计到2025年全球市场将达到139亿美元。

Gartner 发布的“成熟度曲线”(Hype Cycle)显示，经过短短几年的时间，威胁情报正处于泡沫化的底谷期 (Trough of Disillusionment)，即在历经了前期动荡的阶段后，经过多方扎实有重点的试验，对威胁情报的适用范围及限制拥有客观并实际的了解，经营模式逐渐成长。

图1 威胁情报的“成熟度曲线”(Hype Cycle)

在市场需求如此庞大的背景下，为何大家仍然感觉威胁情报并没有被用起来呢？因为威胁情报的实际应用存在诸多门槛：

1、这个对象为什么研判为“黑”？

2、调用数据后，还需要做哪些逻辑处理才能进行正确研判？

3、调用哪个接口进行命中检测？

4、基于威胁情报能力，能做哪些第三方应用？

5、威胁情报数据是提供的越多越好吗？

6、不同厂商提供的字段不同，想要消费更高级的字段信息有哪些？

7、自身产品形态适合消费多少量级的数据？

8、没有安全运营分析人员，怎样利用情报达到高位安全能力？

……

由此，我们分析导致威胁情报应用存在上述门槛的原因，主要在于威胁情报的用户被严重分级。

其中，一类是普通用户，往往也是大多数，这些企业并不具备编码能力，同时对威胁情报的理解和认知能力比较欠缺，亟需基于威胁情报的指标性指导，使威胁情报的应用门槛进一步被提高。

而另一类是高端情报玩家，具备生产或运营威胁情报的专业技术和人才，在数据视野、数据分析、样本分析、威胁建模和异常分析上储备有大量的专业人士，这类用户可以将威胁情报的价值发挥到最大，而这类用户在威胁发现方面，有较多的情报使用和关联分析诉求。

针对上述门槛，奇安信威胁情报中心认为：未来威胁情报会进入垂直细分领域市场，情报INSIDE（TI INSIDE）的模式将会成为主流。在新的赛道上，能够降低并消除用户侧的情报消费门槛，同时保持威胁情报质量优势的一方，将会在未来的威胁情报市场上呈现出引领优势。

图2 TI INSIDE图标

威胁情报，本质上是安全厂商对于威胁检测能力在知识层面的打包输出。基于威胁情报检测能力作为数据驱动安全时代的标配，已经成为新安全、新基建防御的基础和核心，在安全事件分析和应急响应中不可或缺。

QTDE（QAX Threat intelligence Detection Engine）奇安信威胁情报检测引擎，是奇安信威胁情报中心依赖多年威胁情报技术积累，面向终端、网关、大数据平台等环境推出的一款威胁情报SDK检测引擎。

奇安信威胁情报中心利用创新技术和全链条运营流程实现了便捷生产、共享与消费威胁情报。通过为不同形态的产品提供内嵌引擎接口、基于高级分析师的研判检测逻辑高速查询接口，定时分发热点IOC数据，使各集成产品整合、应用接口传递结果，提升产品/设备在离线和在线环境下基于威胁情报的检测和发现能力。检测威胁类型包括APT攻击、远控木马、蠕虫木马、僵尸网络、勒索软件、挖矿、黑客利用EXP等。

充分发挥威胁情报价值的同时，也为行业生态发展提供了更明确的方向。

01 威胁情报检测技术的加持使能

QTDE通过集成引擎的方式，协助奇安信威胁情报中心的生态合作伙伴基于威胁情报实现由内到外的失陷主机检测。该引擎整合了高价值情报数据和专业的检测处理逻辑，一次集成完成，通过简单的接口调用，就可以使设备或产品具有高精准、高性能、可定性、可拦截的威胁情报检测能力。

图3 QTDE 核心能力图

如上图能力所示，使用QTDE的用户不需要任何威胁情报、安全对抗知识，也无需了解威胁情报研判和检测逻辑，即可轻松具备产品的情报能力加持。

02 提高合作伙伴核心市场竞争力

大多数企业在威胁情报运营和鉴定能力上各不相同，如没有大数据积累，或不具备成熟高效的威胁情报生产流程以及专业的安全分析师团队，企业的安全产品如何提高市场竞争力是个难题。

奇安信威胁情报中心专为 TIXA联盟 （后面有详细描述）成员，提供不同等级的QTDE集成应用服务。通过集成威胁情报的SDK动态库方式，让联盟合作伙伴的产品在短时间内具备基于威胁情报的检测能力，共同推动产品、解决方案层面的情报深度融合的同时，也推动了威胁情报行业生态发展，为各自的客户群体带来安全价值。

03 消除多类型安全产品消费门槛

有的企业担心自身产品无法集成，比如在终端、探针、网关、流计算场景下，需要高速匹配、判定拦截，对精准度和性能要求比较高。又或者像网关类产品，会因为自身硬件资源的限制，无法加载过多的威胁情报数据。

针对上述资源受限情况，我们专门定制 QTDE 分发规则，仅提供分析师运营过滤、确认的热点情报数据和高价值情报数据（例如APT类数据）；而对于硬件性能、使用场景均适宜的产品，则提供全量的 IOC 数据和更丰富的上下文信息。充分满足NGFW、UTM、终端防病毒、虚拟化终端、云安全、NGSOC、态势感知等多种网络安全设备、主机应用和大数据平台的集成需求。

不仅如此，奇安信威胁情报中心推送的情报数据升级包频率为小时级更新，极大程度上保证了威胁情报的时效性和准确性。

随着威胁情报领域的逐渐成熟和发展，威胁情报的使用及能力集成，必然走向更加灵活便捷，分享多元化的“道路”，以达到多类型、多形态的情报赋能与共享。

真正意义上实现用好威胁情报，将威胁情报能力集成和发挥最大价值的安全产品，必然是包含高价值情报数据并由其赋能设备，关联出更多威胁及研判的能力。

CEATI（Cybersecurity Ecology Alliance of Threat Intelligence）网络安全威胁情报生态联盟，是由奇安信威胁情报中心联手国内多个著名安全公司共同发起的共建威胁情报行业生态的的联盟机构，旨在以威胁情报能力应用为核心，打造新生态圈模式，情报使能、共谋共策、开放合作、共赢未来。

点击官网链接：https://www.ceati.org.cn/，成为我们的一员！

商务咨询联系

[email protected]