近兩年，各國政府不斷加強對網絡安全、數據安全的監管力度，企業紛紛部署更全面的網絡安全防護技術和產品，在滿足各項法律條例合規要求的同時，力求更及時和準確的發現和處置各種潛在的網絡威脅。在這個過程中，“威脅情報”起到越來越重要的作用。

　　根據IDC的市場調研，對于國內大多數威脅情報技術提供商而言，向自有網絡安全產品和服務賦能仍然是威脅情報價值體現的最重要途徑。當前的EPP/EDR、UTM、IDS/IPS、NDR、SOC等各類產品均已廣泛融入威脅情報能力，顯著提升了產品和服務對威脅檢測和判定的準確性和及時性。同時，為了更直觀體現威脅情報的價值，有越來越多威脅情報技術提供商構建了獨立的威脅情報產品或服務，例如威脅情報平臺、威脅情報網關、SaaS化威脅情報查詢服務、特定威脅事件/威脅情報的深入解讀等。

　　IDC認為，企業安全管理人員對威脅情報的態度也已經由最初的“在用與不用之間難以抉擇，一旦使用則給予極高期望”向“充分肯定威脅情報價值，并對使用效果給予理性判斷”轉變，整體市場已經度過泡沫期，并向成熟期演進。

　　IDC結合本次研究中對眾多安全廠商及企業級客戶的深入訪談，針對威脅情報的體系建設和產品/服務選擇，為技術買家提供以下幾點建議：

• 大中型企業往往有迫切的多源威脅情報需求，需要綜合利用情報數據梳理網絡資產暴露面，為威脅事件的響應處置提供關聯分析能力，降低SIEM/SOC產品的處置負載；中小型企業則往往更適合在網絡安全產品中直接融入威脅情報數據，或者采用網絡安全托管的方式將企業的網絡安全運營交付給可靠的安全服務商，并獲得專業的威脅情報解讀。
• 技術買家在選擇威脅情報提供商時應結合自身行業特點進行充分的測試和驗證，切不可盲目依據廠商名氣或產品價格簡單判斷。對于重點行業或預算充足的企業，應考慮通過多源威脅情報交叉驗證的方式提高情報識別的準確性，并有效增強情報數據的覆蓋度。
• 當前，威脅情報覆蓋的廣度和檢測的精準度，即檢出率和誤報率之間常常存在一定的矛盾，不同類型企業對這兩者的重視程度有所不同，是“寧可錯殺，不許放過”，還是“精準打擊，杜絕誤報”，需要企業依據自身業務屬性以及具體的應用場景進行選擇。
• 威脅情報生產和運營涉及數據采集、清洗、分析、建模、驗證等諸多專業技術，需要專業安全人員的持續深度參與，因此，企業不應盲目決定構建本地化多源威脅情報運營體系，或者自建威脅情報生產體系，需要充分評估企業資源的長期投入和價值輸出。

　　分析師觀點

　　“經過近幾年的發展，中國市場對于威脅情報的價值有了更理性和清晰的認知。一方面，技術提供商將威脅情報融入到網絡安全產品，提升威脅檢測和分析的準確性和及時性，并通過專業的威脅情報為企業安全運營人員提供能力支撐；另一方面，行業客戶對威脅情報的需求正在從全行業的全量情報向專屬行業精準情報轉變，特別是重點企業正在建設日益完善的多源威脅情報管理平臺，對情報進行持續運營。IDC認為，隨著相關技術能力的進一步成熟，威脅情報必將以更多樣化的形態融入到企業整體網絡安全防護體系之中，并發揮越來越重要的作用。”