核心观点 - 威胁情报行业正从被动防御转向主动防御，成为网络安全领域的关键能力 [1] - 全球网络威胁持续增长，科技、金融等行业攻击频率最高，工业工程等新兴领域增速达102% [3] - 中国威胁情报市场规模2024年达16.1亿元，短期受疫情影响下跌0.9%，长期受AI攻击增长和产品融合推动将稳步发展 [36][37] - 行业CR4达43.0%，微步在线、奇安信等头部厂商通过差异化能力构建竞争优势 [40] 发展背景 网络威胁现状 - 全球大规模勒索受害者数量增长76%，工业工程、能源行业攻击频率增速最高达102% [3] - 2023-2033年全球物联网连接数将从160亿增至400亿（CAGR 9.6%），设备激增扩大攻击面 [7] 政策视角 - 国家政策推动网络安全从被动防御转向主动防御，强调威胁预测与快速响应 [10] 威胁情报定义与价值 内涵 - 通过多源数据分析提取恶意IP、域名等关键指标（IOC），分为战术、运营、战略三类情报 [13] - 赋能安全产品实现防御关口前移，例如提前拦截未知恶意软件 [16] 价值 - 动态情报库可提前布防，标准化信息载体促进跨组织安全协作 [19] 国内外发展对比 - 海外发展经历基础能力构建→成熟平台→产品融合三阶段，国内起步晚但路径相似 [22] - 国内外产品融合顺序因需求差异存在区别，海外企业安全运营能力整体更强 [25] 商业模式与产品能力 商业模式 - 纯情报产品通过API/TIP平台交付，融合产品分为情报赋能型三类综合产品 [26] 产品能力指标 - 用户侧核心指标：准确性（降低运营成本）、丰富性（覆盖度）、及时性（高可用更新） [29] - 厂商竞争力取决于安全大数据采集（社区/沙箱/蜜罐）和AI分析技术 [29] 主要厂商能力 微步在线 - 头部企业覆盖率超90%，拥有百万级失陷检测情报和高风险漏洞情报 [34] - NGTIP平台通过DNS日志比对实现挖矿/恶意软件提前检测，形成防护闭环 [47] 奇安信 - ALPHA平台提供SaaS+本地化TIP服务，情报赋能EDR使威胁检测率显著提升 [50][54] 腾讯安全 - TIX威胁情报中心依托20年实战经验，覆盖金融/政府等多行业用户 [57] - 攻击面管理服务监测资产漏洞/内容风险/信息泄露等多维度风险 [60] 未来趋势 情报出海 - 国内标准与国际存在兼容性差距，厂商通过设立海外实体探索合规数据使用 [68] AI大模型 - 大模型提升情报生产效率，当前应用多处于概念验证阶段，需优化行业适配性 [72] 漏洞情报 - 2023年漏洞利用攻击增长180%，企业需结合资产平台建立科学漏洞评估模型 [75]