一、市场规模短期小幅回调,寡头竞逐与腰部混战并存
近日,2024年中国威胁情报市场的规模与份额交出答卷。根据艾瑞咨询发布的《2024年中国威胁情报行业发展研究报告》,针对2024年威胁情报API、威胁情报门户账号订阅、威胁情报管理平台TIP为主的纯情报市场,及融入其他安全产品的威胁情报服务规模进行统计,2024年中国威胁情报市场规模达到16.1亿元,同比微跌0.9%。
相比2024年全球威胁情报市场价值被加速验证,市场延续两位数高增长态势,中国威胁情报市场则由于2022到2024年,网安行业重在“清库存”短期内限制了威胁情报行业的进一步增长,市场出现小幅回调。
当前中国整体威胁情报市场,属于低集中寡占型市场(CR4=43.0%、CR7=49.7%),由少数几家厂商占据大部分份额。其中,微步在线、腾讯安全、奇安信位列2024年中国威胁情报市场份额前三,竞争激烈。
从市场格局来看,最早一批进入中国威胁情报市场的“元老级”厂商微步在线凭借在威胁情报领域的深耕,以纯威胁情报及多产品赋能持续稳居威胁情报市场第一,而具备大厂优势及数据积累的腾讯安全、及产线覆盖广,安全产品赋能多的综合安全厂商奇安信排在第二阵营。绿盟、安恒信息、360安全、深信服等厂商则以垂直场景或技术差异化争夺细分市场。
这也反映出中国威胁情报市场,历经十年发展已日趋成熟。从2015年首批专业威胁情报厂商成立,到2018年中国第一个威胁情报标准正式发布,2019年等保2.0首次对威胁情报提出要求,再到攻防演练倒逼情报技术实战化,市场已从“技术拓荒期”迈入“生态竞合期”。而2022年到2024年,客户预算收缩导致的“清库存”周期,进一步加速了市场的洗牌。
二、商业模式扩展:从数据平台到融合方案
根据报告,当前中国威胁情报落地商业模式,主要分为纯情报产品交付与情报赋能产品交付两大类。
其中,纯情报产品交付聚焦“数据价值深挖”,解决威胁数据的“快捷、易用、全面”的需求。纯情报产品交付专注提供高质量的情报数据和服务,通常以标准化API接口、TIP平台或是通过威胁情报门户账号订阅方式交付。其中,API及威胁情报门户账号订阅侧重情报数据交换的便捷与及时性,TIP情报管理平台更侧重对情报数据的查询、分析、生产、共享及狩猎等全方位情报管理与流程化操作。
情报赋能产品交付,则强调情报能力无缝衔接。从商业模式看,情报信息主要以三种方式向其他产品赋能。依照彼此融合赋能方式的差异,可分为厂商内部的安全情报赋能产品,对外部厂商提供情报技术支持下的融合安全产品,以及与外部厂商共同构建的综合安全解决方案。
值得关注的是,与国际威胁情报市场商业模式以“情报订阅”为主不同,中国企业客户群体对于威胁情报能力的需求各有侧重,商业模式从单纯情报产品交付逐渐扩展到通过赋能其他安全产品交付,使得中国不同安全厂商之间的竞争边界也逐渐发生变化。
三、威胁情报未来三大破局点:出海、AI与漏洞防御升维
破局点一:出海业务标准攻坚
随着中国企业海外发展,威胁情报厂商迎来新战场,主要需跨越两大门槛。一个是数据合规鸿沟。数据作为威胁情报的重要基础资源,各个国家及地区对于本地数据的保护要求也纷繁复杂,欧盟GDPR、美国CLOUD法案等要求倒逼情报数据脱敏技术升级。一些厂商已探索出设立海外实体、处理敏感信息及建立共享协议等海外数据合法合规使用方式。
另一个是威胁情报标准适配。我国于2018年推出《信息安全技术网络安全威胁信息格式规范》,以推动技术发展与产业化应用。该规范虽然以国际标准为重要参考依据,但从STIX/TAXII格式兼容到MITRE ATT&CK框架本地化改造,厂商技术中台面临重构压力。
破局点二:大模型赋能情报生产力
根据报告,针对威胁情报行业,大模型在人员生产威胁情报效率、降低威胁情报应用门槛、赋能更多岗位人员等威胁情报生产与运营等多个环节均可进行赋能,但目前,多数大模型赋能威胁情报的应用场景还在概念验证的阶段。未来,安全厂商可在如大模型行业适配、大模型落地效率、性能优化、合规应用等多个角度着力,实现大模型在新应用场景的快速落地,提升自身竞争力。
破局点三:漏洞情报强化主动防御
随着0day漏洞利用的常态化,漏洞情报的价值显著提升。当前漏洞情报与企业资产结合紧密度不断上升。企业面临越来越多的资产存在漏洞,需具备的漏洞管理能力要求也越来越高,通过漏洞情报全面及时掌握最新漏洞信息,打通内部资产平台第一时间发现漏洞,并建立科学漏洞评估模型优先处置真正的高危漏洞,对于企业进一步增强主动防御能力,尤为重要。
从长期来看,威胁情报行业将经历从“功能堆砌”到“价值交付”的转型,厂商需要回答的核心问题如今已真正变成了“如何证明威胁情报的ROI”。可以预见,未来3-5年,中国威胁情报市场将在技术迭代与生态博弈中更加成熟,而真正的赢家将是那些能够将情报能力转化为客户业务风险管控支撑的企业。
