網絡威脅情報市場有望迎來快速增長

網絡安全專業人員對成熟網絡威脅情報（CTI）計劃的特性各有其觀點。ESG的研究表明，成熟網絡威脅情報計劃具有幾大屬性，包括向廣大受眾傳播報告，分析海量威脅數據，以及CTI與許多安全技術的集成。

很遺憾，大多數網絡威脅情報項目還遠未成熟，但隨著大多數企業加強網絡威脅情報項目投資，這種情況可能會在未來幾年發生變化。63%的企業計劃在未來12至18個月內“大幅”增加網絡威脅情報計劃支出，另有34%的企業計劃“略微”增加網絡威脅情報計劃支出。

為什么要為網絡威脅情報計劃花錢？因為網絡威脅情報可以帶來技術和商業收益。研究表明，對網絡威脅情報計劃的幾大影響包括：了解計劃并購公司所面臨的威脅、個人黑客或競爭對手團體策劃針對性攻擊的威脅，以及需要了解對手的戰術、技術和程序（TTP）從而加強企業安全防御。

為什么CISO將追加威脅情報投資

CISO認為進一步投資威脅情報計劃能夠緩解網絡風險，改善威脅預防與檢測。在未來12到24個月內：

? 30%的企業將優先考慮加強內部團隊間威脅情報報告共享。這是朝著正確的方向前進，因為威脅情報在豐富警報方面的價值超過了安全運營中心（SOC）。CISO可以通過網絡威脅情報確定投資優先級和驗證安全控制措施有效性，而業務經理能夠在數字化轉型舉措與更徹底的風險管理決策之間取得平衡。網絡威脅情報傳播和消費者反饋是成熟威脅情報生命周期的關鍵階段。

? 27%的企業將重點投資數字風險保護（DRP）服務。隨著自身數字足跡的拓展，企業需要更好地了解隨之而來的風險。DRP服務監測在線數據泄露、品牌聲譽、攻擊面漏洞，以及深網/暗網上圍繞攻擊計劃的聊天內容等內容來提供這種可見性。

? 27%的企業會重視與其他安全技術的集成。除了端點安全、電子郵件和網絡邊界，CISO還希望網絡威脅情報與云安全工具、安全信息與事件管理（SIEM）和擴展檢測與響應（XDR）解決方案，以及安全網關和云訪問服務代理（CASB）等安全服務邊緣（SSE）工具相集成。更多的集成等同于阻止更多的入侵指標（IoC）和發展更加全面的威脅知情防御。

? 27%的企業會重點考慮獲取威脅情報平臺（TIP）用于威脅情報收集、處理、分析和共享。威脅情報平臺曾是大型企業的專屬，但現在正慢慢走向下沉市場。預計這些支出中的大部分最終會流向Flashpoint、Mandiant、Rapid7（Intsights）、Recorded Future、Reliaquest（Digital Shadows）、SOCRadar和ZeroFox等服務提供商。思科、CrowdStrike、IBM、微軟和Palo Alto Networks等大品牌也會分得一杯羹。

? 26%的企業將重新制定更加完整的計劃。企業意識到自己不能再依靠兼職威脅分析師審查一些開源威脅情報源了。他們需要配備專職人員和流程來實施整個網絡威脅情報生命周期。雖然CISO可以將內部事務處理得井井有條，但大多數還是會依賴上述服務提供商來完成大部分實際工作。

正如《孫子兵法》所言：“知己知彼，百戰不殆。”擁有成熟網絡威脅情報計劃的企業了解自身，了解敵人，可以利用這些知識來減少網絡風險、提高網絡安全防御能力。