一邊是堅冰浮沉的藍海，一邊是風吹麥浪的田野。這可謂是中美兩國安全威脅情報市場最直觀的圖景。

Gartner的《2017全球網絡安全產業(yè)規(guī)模發(fā)展情況及趨勢預測》中顯示，2018年全球網絡安全市場份額已經達到1060億美元，首度突破千億美金。而報告中值得關注的趨勢中，安全智能、安全自動化、檢測與響應等詞十分強勢地占據了顯要地位，而這些關鍵詞無一不和威脅情報相關。

[[225975]]

一個領域真正地火起來，無外乎要經歷資本熱、行業(yè)熱和市場熱三個階段。威脅情報行業(yè)亦不例外。先成熟起來的美國威脅情報公司們，不約而同地將眼神投向其他地域，而西歐、亞太等地也正在有新成員嶄露頭角。那么，安全威脅情報市場上是否吹響了混戰(zhàn)的號角?對于中國威脅情報市場來說，這陣來自美國東海岸的風，帶來的究竟是寒潮還是春天?

一、從一筆D輪融資說起

4000萬美金，這是美國威脅情報服務公司Anomali的D輪融資總額。2018年1月17日，Anomali的CEO Dan Barahona 興高采烈地在官網上宣布了這個消息，并宣稱Anomali將把這筆資金投入開發(fā)創(chuàng)新的威脅管理和協作解決方案，并擴大在全球范圍內的影響力。至此，谷歌投資布局的三家威脅情報公司Recorded Future、CrowdStrike和Anomali全部進入了D輪后的成熟期。

Anomali這家有著Google和CIA(美國中央情報局)In-Q-Tel投資的安全公司已經把球開出了美洲，在Anomali的2017年大事記中，在阿聯酋啟動一個包括48家銀行在內的社區(qū)，發(fā)布俄羅斯、伊朗乃至中國的國家網絡安全概況，宣布與英格蘭銀行合作等境外動向，一件件可謂歷歷在目，一步一個腳印昭示著這家公司的野心與胃口。

為什么Anomali會盯著英國、俄羅斯、伊朗甚至中國不放?

我們來看看網絡安全大行業(yè)的地域性市場份額。在全球范圍內，北美、西歐和亞太三地的市場份額能夠達到整體的90%以上，呈三足鼎立態(tài)勢。其中，北美占比41.29%，西歐占比27%，亞太地區(qū)占比22.7%。然而增長率又是另一番景象，西歐市場份額增速只有6.5%，北美則達到9.2%，亞太地區(qū)的增長速度最高，為9.5%，值得一提的是大中華地區(qū)的增長速度遙遙領先，為14%。很顯然，亞太地區(qū)IT產業(yè)近些年快速升溫，對從相對成熟的市場中拼殺出來的Anomali們來說，無異于哥倫布望遠鏡中的新大陸，比爾船長地圖里的金銀島。

而在美國市場上的威脅情報創(chuàng)業(yè)公司中，Anomali并非最早成熟，亦非最財大氣粗。累計融資9600萬美金的Anomali，在囤積了2.81億美金融資的CrowdStrike面前會遜色不少。而同樣為谷歌所投資的CrowdSrtike早在2017年5月和10月就完成了1.25億美金的D輪和D+輪。稍微小一號的Digital Shadows也在2017年9月完成一輪2600萬美金的C輪融資，從成長期步入成熟期;谷歌投中的另一家Recorded Future在2017年10月完成了2500萬美元的E輪融資，就連融資市場上沉寂許久的ThreatConnect，也早在2015年12月就完成了1600萬美金的B輪融資——那時候，中國的第一批威脅情報創(chuàng)業(yè)公司們才剛成立幾個月。

而Anomali還聘請了首席財務官和首席稅務官，這是要上市的節(jié)奏嗎?不管怎樣，Anomali已經用行業(yè)報告對中國市場做了一次瞄準，或許在下一回合中，炮擊就將著陸。

二、 這個時代沒有船堅炮利，只有萬物生長

顯然盲目恐慌是不明智的，在驚嘆美國威脅情報市場的成熟速度之后，我們應當先來看看這些排頭兵們都在哪些更細分的賽道上。

CrowdStrike，“Active Defense(主動防御)”理念的提出者和踐行者，針對APT攻擊，CrowdStrike選擇基于云和從sensor上采集的企業(yè)內部數據，來對攻擊者進行追蹤溯源，后來又將威脅情報與終端防護相結合，旗下的主要產品平臺Falcon已經涵蓋了態(tài)勢感知、安全智能、EDR、安全狩獵、DNS防護等功能。可以看出，CrowdStrike將威脅情報產品化的路徑是橫向擴展，成長路徑也基本是教科書般的”逐夢安全圈“。

而本文開篇的主角Anomali的路線又略有不同。相較CrowdStrike，Anomali的產品線更加緊湊，圍繞威脅情報云衍生出檢測平臺、管理平臺、情報訂閱等服務，產出的威脅情報類型也以TAXII和STIX等可機讀情報為主，周度的通告類威脅情報報告為輔。

Digital Shadow如其名字，關注陰影中的動向。他們更擅長追蹤深網、暗網的威脅情報，以保護公司的業(yè)務和聲譽。ThreatConnect也以威脅情報本身為出發(fā)點，衍生出TIP、TC Manage、開放性社區(qū)等產品線路。

同樣被Google投資的Recorded Future在2017年10月底完成了E輪融資，主打開源威脅情報;而谷歌早在2012年，還收購了另外一家威脅情報公司Virus Total。

看似威脅情報市場已經被這些公司堵得密不透風了?答案是：NO!

2017年Ponemon Institute公司發(fā)布的報告中，有一組十分有意思的數據：

43%的受訪者認為其組織對威脅的追蹤是有效的，41%的受訪者肯定其組織使用威脅情報的能力，但是，認為威脅情報對其組織的安全使命中做出了貢獻的受訪者達到了86%，認同威脅情報在其組織的安全體系中占到重要地位的受訪者也達到了84%。

SANS在2017年發(fā)布的《2017年網絡威脅情報現狀調研報告》中也能夠看到同樣的趨勢：

在情報對于安全方面的提升能力上，19%的受訪者認為在阻止和檢測方面可以提升50%~75%，在響應方面，18%的受訪者認為可以提升11%~25%或者26%~50%。只有0.5%的受訪者認為不能提升。

因此，縱觀整個威脅情報市場，正好處在一個資本點頭、市場打開、產品打磨的蓄水期，目前的市場總容量是幾十億美金，但根據Gartner的《全球威脅情報市場指南》，這個市場的增速一直保持在60%以上，而且到2020年，全球范圍內應用了威脅情報的大型公司將從2017年的1%增長到15%。

今年已經是2018年了，童鞋們。

市場增長快的背后是網絡環(huán)境的嚴峻。威脅情報的從業(yè)者們十分清楚，他們要拳拳到肉搏斗的是團伙作案的攻擊者們，而非同行。他們應當慶幸這不是一個拼得你死我活的行業(yè)，或者說，很長一段時間內都不會是。眼下的威脅情報市場，將迎來一波前所未有的萬物生長。

三、外來從業(yè)者們將降維打擊還是將水土不服?

在中國的IT市場中，外來的和尚從來就不太好念經，所謂的去IOE可以算作是一個先例。雖說《網絡安全法》的頒布標志著合規(guī)即將進一步推動行業(yè)，但誰能說網安行業(yè)中沒有IOE的陰影呢?國內威脅情報用戶很可能不知道一個“潛規(guī)則”：根據US-CERT對威脅情報的分級標準，有關當局禁止向中資企業(yè)出售高價值商業(yè)情報，而國際上最知名的金融行業(yè)威脅情報合作組織也未開放中資金融機構的申請。這意味著，一味追捧國外情報廠商，最終很可能變成地緣歧視的受害者。

況且，從2015年開始，國內也成長出了一批威脅情報創(chuàng)業(yè)公司，這些土生土長的創(chuàng)業(yè)團隊們大多數都是安全圈里的大神，背景驕人，經驗豐富，不僅有著多年積累下來的資源，也十分熟悉國內甲乙方的規(guī)則套路。

這其中跑得最快的微步在線已經融完了B輪，正在進一步完善產品線，走情報管理與威脅監(jiān)控相結合的路線，也有威脅情報開放社區(qū)等產品;天際友盟則主打聯盟和分發(fā)，同時也推出了平臺性的產品，此外還有品牌保護服務;白帽匯是在威脅情報“知彼”的同時，主打資產的抓取和清點，將“知己”也作為一條同等重要的產品線，可圈可點。這三家創(chuàng)業(yè)公司可以說是國內威脅情報創(chuàng)業(yè)公司中的第一梯隊了，而它們正在變得麻雀雖小，五臟俱全。

有意思的是，這些創(chuàng)業(yè)公司在實際銷售中，遇到的對手都是賽門鐵克、卡巴斯基這種國際老牌大廠，基本是“抗歐美”，內戰(zhàn)不多。而從筆者查詢的公開招投標結果來看，國外公司中標非常少，競爭力可能還不如國內的創(chuàng)業(yè)公司，呈現出較嚴重的水土不服。因此，中國的威脅情報市場上，本土企業(yè)或許會有獨特的優(yōu)勢。

2017年的網絡安全大事中，充斥著APT動向、比特幣勒索軟件、釣魚郵件以及后門漏洞，這意味著不管是深耕中國市場多年的老牌安企，還是正體驗創(chuàng)業(yè)維艱的小公司們，或者全球威脅情報領域的強勢新秀，都將迎來近乎同等的發(fā)展機遇，很有可能打起一場混戰(zhàn)來。但在這樣的機遇面前，別嘲笑小公司的羸弱，也別鄙視大公司的笨重。畢竟，在這場薛定諤的混戰(zhàn)中，弱小和無知不是生存的障礙，傲慢才是。