Gartner 的《2017 全球網(wǎng)絡(luò)安全產(chǎn)業(yè)規(guī)模發(fā)展情況及趨勢(shì)預(yù)測(cè)》中顯示，2018 年全球網(wǎng)絡(luò)安全市場(chǎng)份額已經(jīng)達(dá)到 1060 億美元，首度突破千億美金。 而報(bào)告中值得關(guān)注的趨勢(shì)中，安全智能、安全自動(dòng)化、檢測(cè)與響應(yīng)等詞十分強(qiáng)勢(shì)地占據(jù)了顯要地位，而這些關(guān)鍵詞無一不和威脅情報(bào)相關(guān)。

　　一個(gè)領(lǐng)域真正地火起來，無外乎要經(jīng)歷資本熱、行業(yè)熱和市場(chǎng)熱三個(gè)階段。威脅情報(bào)行業(yè)亦不例外。先成熟起來的美國威脅情報(bào)公司們，不約而同地將眼神投向其他地域，而西歐、亞太等地也正在有新成員嶄露頭角。那么，安全威脅情報(bào)市場(chǎng)上是否吹響了混戰(zhàn)的號(hào)角?對(duì)于中國威脅情報(bào)市場(chǎng)來說，這陣來自美國東海岸的風(fēng)，帶來的究竟是寒潮還是春天?

　　1、從一筆 D 輪融資說起 

　　4000 萬美金，這是美國威脅情報(bào)服務(wù)公司 Anomali 的 D 輪融資總額。 2018 年 1 月 17 日，Anomali 的 CEO Dan Barahona 興高采烈地在官網(wǎng)上宣布了這個(gè)消息，并宣稱 Anomali 將把這筆資金投入開發(fā)創(chuàng)新的威脅管理和協(xié)作解決方案，并擴(kuò)大在全球范圍內(nèi)的影響力。至此，谷歌投資布局的三家威脅情報(bào)公司 Recorded Future、CrowdStrike 和 Anomali 全部進(jìn)入了 D 輪后的成熟期。

　　Anomali 這家有著 Google 和 CIA(美國中央情報(bào)局)In-Q-Tel 投資的安全公司已經(jīng)把球開出了美洲，在 Anomali 的 2017 年大事記中，在阿聯(lián)酋啟動(dòng)一個(gè)包括 48 家銀行在內(nèi)的社區(qū)，發(fā)布俄羅斯、伊朗乃至中國的國家網(wǎng)絡(luò)安全概況，宣布與英格蘭銀行合作等境外動(dòng)向，一件件可謂歷歷在目，一步一個(gè)腳印昭示著這家公司的野心與胃口。

　　為什么 Anomali 會(huì)盯著英國、俄羅斯、伊朗甚至中國不放？

　　我們來看看網(wǎng)絡(luò)安全大行業(yè)的地域性市場(chǎng)份額。在全球范圍內(nèi)，北美、西歐和亞太三地的市場(chǎng)份額能夠達(dá)到整體的 90% 以上，呈三足鼎立態(tài)勢(shì)。其中，北美占比 41.29%，西歐占比 27%，亞太地區(qū)占比 22.7%。然而增長率又是另一番景象，西歐市場(chǎng)份額增速只有 6.5%，北美則達(dá)到 9.2%，亞太地區(qū)的增長速度最高，為 9.5%，值得一提的是大中華地區(qū)的增長速度遙遙領(lǐng)先，為 14%。很顯然，亞太地區(qū) IT 產(chǎn)業(yè)近些年快速升溫，對(duì)從相對(duì)成熟的市場(chǎng)中拼殺出來的 Anomali 們來說，無異于哥倫布望遠(yuǎn)鏡中的新大陸，比爾船長地圖里的金銀島。

　　而在美國市場(chǎng)上的威脅情報(bào)創(chuàng)業(yè)公司中，Anomali 并非最早成熟，亦非最財(cái)大氣粗。累計(jì)融資 9600 萬美金的 Anomali，在囤積了 2.81 億美金融資的 CrowdStrike 面前會(huì)遜色不少。而同樣為谷歌所投資的 CrowdSrtike 早在 2017 年 5 月和 10 月就完成了 1.25 億美金的 D 輪和 D+輪。稍微小一號(hào)的 Digital Shadows 也在 2017 年 9 月完成一輪 2600 萬美金的 C 輪融資，從成長期步入成熟期;谷歌投中的另一家 Recorded Future 在 2017 年 10 月完成了 2500 萬美元的 E 輪融資，就連融資市場(chǎng)上沉寂許久的 ThreatConnect，也早在 2015 年 12 月就完成了 1600 萬美金的 B 輪融資——那時(shí)候，中國的第一批威脅情報(bào)創(chuàng)業(yè)公司們才剛成立幾個(gè)月。

　　而 Anomali 還聘請(qǐng)了首席財(cái)務(wù)官和首席稅務(wù)官，這是要上市的節(jié)奏嗎?不管怎樣，Anomali 已經(jīng)用行業(yè)報(bào)告對(duì)中國市場(chǎng)做了一次瞄準(zhǔn)，或許在下一回合中，炮擊就將著陸。

　　2、所幸，這個(gè)時(shí)代沒有船堅(jiān)炮利，只有萬物生長

　　顯然盲目恐慌是不明智的，在驚嘆美國威脅情報(bào)市場(chǎng)的成熟速度之后，我們應(yīng)當(dāng)先來看看這些排頭兵們都在哪些更細(xì)分的賽道上。

　　CrowdStrike，「Active Defense(主動(dòng)防御)」理念的提出者和踐行者，針對(duì) APT 攻擊，CrowdStrike 選擇基于云和從 sensor 上采集的企業(yè)內(nèi)部數(shù)據(jù)，來對(duì)攻擊者進(jìn)行追蹤溯源，后來又將威脅情報(bào)與終端防護(hù)相結(jié)合，旗下的主要產(chǎn)品平臺(tái) Falcon 已經(jīng)涵蓋了態(tài)勢(shì)感知、安全智能、EDR、安全狩獵、DNS 防護(hù)等功能?？梢钥闯?，CrowdStrike 將威脅情報(bào)產(chǎn)品化的路徑是橫向擴(kuò)展，成長路徑也基本是教科書般的「逐夢(mèng)安全圈」。

　　而本文開篇的主角 Anomali 的路線又略有不同。相較 CrowdStrike，Anomali 的產(chǎn)品線更加緊湊，圍繞威脅情報(bào)云衍生出檢測(cè)平臺(tái)、管理平臺(tái)、情報(bào)訂閱等服務(wù)，產(chǎn)出的威脅情報(bào)類型也以 TAXII 和 STIX 等可機(jī)讀情報(bào)為主，周度的通告類威脅情報(bào)報(bào)告為輔。

　　Digital Shadow 如其名字，關(guān)注陰影中的動(dòng)向。他們更擅長追蹤深網(wǎng)、暗網(wǎng)的威脅情報(bào)，以保護(hù)公司的業(yè)務(wù)和聲譽(yù)。ThreatConnect 也以威脅情報(bào)本身為出發(fā)點(diǎn)，衍生出 TIP、TC Manage、開放性社區(qū)等產(chǎn)品線路。

　　同樣被 Google 投資的 Recorded Future 在 2017 年 10 月底完成了 E 輪融資，主打開源威脅情報(bào);而谷歌早在 2012 年，還收購了另外一家威脅情報(bào)公司 Virus Total。

　　看似威脅情報(bào)市場(chǎng)已經(jīng)被這些公司堵得密不透風(fēng)了？答案是：NO！

　　2017 年 Ponemon Institute 公司發(fā)布的報(bào)告中，有一組十分有意思的數(shù)據(jù)：雖然只有 43% 的受訪者認(rèn)為其組織對(duì)威脅的追蹤是有效的，41% 的受訪者肯定其組織使用威脅情報(bào)的能力，但是，認(rèn)為威脅情報(bào)對(duì)其組織的安全使命中做出了貢獻(xiàn)的受訪者達(dá)到了 86%，認(rèn)同威脅情報(bào)在其組織的安全體系中占到重要地位的受訪者也達(dá)到了 84%。

　　SANS 在 2017 年發(fā)布的《2017 年網(wǎng)絡(luò)威脅情報(bào)現(xiàn)狀調(diào)研報(bào)告》中也能夠看到同樣的趨勢(shì)：在情報(bào)對(duì)于安全方面的提升能力上，19% 的受訪者認(rèn)為在阻止和檢測(cè)方面可以提升 50%~75%， 在響應(yīng)方面，18% 的受訪者認(rèn)為可以提升 11%~25% 或者 26%~50%。只有 0.5% 的受訪者認(rèn)為不能提升。

　　因此，縱觀整個(gè)威脅情報(bào)市場(chǎng)，正好處在一個(gè)資本點(diǎn)頭、市場(chǎng)打開、產(chǎn)品打磨的蓄水期，目前的市場(chǎng)總?cè)萘渴请m然只有幾十億美金，但根據(jù) Gartner 的《全球威脅情報(bào)市場(chǎng)指南》，這個(gè)市場(chǎng)的增速一直保持在 60% 以上，而且到 2020 年，全球范圍內(nèi)應(yīng)用了威脅情報(bào)的大型公司將從 2017 年的 1% 增長到 15%。

　　今年已經(jīng)是 2018 年了，童鞋們。

　　市場(chǎng)增長快的背后是網(wǎng)絡(luò)環(huán)境的嚴(yán)峻。威脅情報(bào)的從業(yè)者們十分清楚，他們要拳拳到肉搏斗的是團(tuán)伙作案的攻擊者們，而非同行。他們應(yīng)當(dāng)慶幸這不是一個(gè)拼得你死我活的行業(yè)，或者說，很長一段時(shí)間內(nèi)都不會(huì)是。眼下的威脅情報(bào)市場(chǎng)，將迎來一波前所未有的萬物生長。

　　3、外來從業(yè)者們將降維打擊還是將水土不服？

　　在中國的 IT 市場(chǎng)中，外來的和尚從來就不太好念經(jīng)，所謂的去 IOE 可以算作是一個(gè)先例。雖說《網(wǎng)絡(luò)安全法》的頒布標(biāo)志著合規(guī)即將進(jìn)一步推動(dòng)行業(yè)，但誰能說網(wǎng)安行業(yè)中沒有 IOE 的陰影呢?國內(nèi)威脅情報(bào)用戶很可能不知道一個(gè)「潛規(guī)則」：根據(jù) US-CERT 對(duì)威脅情報(bào)的分級(jí)標(biāo)準(zhǔn)，有關(guān)當(dāng)局禁止向中資企業(yè)出售高價(jià)值商業(yè)情報(bào)，而國際上最知名的金融行業(yè)威脅情報(bào)合作組織也未開放中資金融機(jī)構(gòu)的申請(qǐng)。這意味著，一味追捧國外情報(bào)廠商，最終很可能變成地緣歧視的受害者。

　　況且，從 2015 年開始，國內(nèi)也成長出了一批威脅情報(bào)創(chuàng)業(yè)公司，這些土生土長的創(chuàng)業(yè)團(tuán)隊(duì)們大多數(shù)都是安全圈里的大神，背景驕人，經(jīng)驗(yàn)豐富，不僅有著多年積累下來的資源，也十分熟悉國內(nèi)甲乙方的規(guī)則套路。

　　這其中跑得最快的微步在線已經(jīng)融完了 B 輪，正在進(jìn)一步完善產(chǎn)品線，走情報(bào)管理與威脅監(jiān)控相結(jié)合的路線，也有威脅情報(bào)開放社區(qū)等產(chǎn)品;天際友盟則主打聯(lián)盟和分發(fā)，同時(shí)也推出了平臺(tái)性的產(chǎn)品，此外還有品牌保護(hù)服務(wù);白帽匯是在威脅情報(bào)「知彼」的同時(shí)，主打資產(chǎn)的抓取和清點(diǎn)，將「知己」也作為一條同等重要的產(chǎn)品線，可圈可點(diǎn)。這三家創(chuàng)業(yè)公司可以說是國內(nèi)威脅情報(bào)創(chuàng)業(yè)公司中的第一梯隊(duì)了，而它們正在變得麻雀雖小，五臟俱全。

　　有意思的是，這些創(chuàng)業(yè)公司在實(shí)際銷售中，遇到的對(duì)手都是賽門鐵克、卡巴斯基這種國際老牌大廠，基本是「抗歐美」，內(nèi)戰(zhàn)不多。而從筆者查詢的公開招投標(biāo)結(jié)果來看，國外公司中標(biāo)非常少，競(jìng)爭力可能還不如國內(nèi)的創(chuàng)業(yè)公司，呈現(xiàn)出較嚴(yán)重的水土不服。因此，中國的威脅情報(bào)市場(chǎng)上，本土企業(yè)或許會(huì)有獨(dú)特的優(yōu)勢(shì)。

　　2017 年的網(wǎng)絡(luò)安全大事中，充斥著 APT 動(dòng)向、比特幣勒索軟件、釣魚郵件以及后門漏洞，這意味著不管是深耕中國市場(chǎng)多年的老牌安企，還是正體驗(yàn)創(chuàng)業(yè)維艱的小公司們，或者全球威脅情報(bào)領(lǐng)域的強(qiáng)勢(shì)新秀，都將迎來近乎同等的發(fā)展機(jī)遇，很有可能打起一場(chǎng)混戰(zhàn)來。但在這樣的機(jī)遇面前，別嘲笑小公司的羸弱，也別鄙視大公司的笨重。畢竟，在這場(chǎng)薛定諤的混戰(zhàn)中，弱小和無知不是生存的障礙，傲慢才是。