Gartner 的《2017 全球网络安全产业规模发展情况及趋势预测》中显示，2018 年全球网络安全市场份额已经达到 1060 亿美元，首度突破千亿美金。 而报告中值得关注的趋势中，安全智能、安全自动化、检测与响应等词十分强势地占据了显要地位，而这些关键词无一不和威胁情报相关。

　　一个领域真正地火起来，无外乎要经历资本热、行业热和市场热三个阶段。威胁情报行业亦不例外。先成熟起来的美国威胁情报公司们，不约而同地将眼神投向其他地域，而西欧、亚太等地也正在有新成员崭露头角。那么，安全威胁情报市场上是否吹响了混战的号角?对于中国威胁情报市场来说，这阵来自美国东海岸的风，带来的究竟是寒潮还是春天?

　　1、从一笔 D 轮融资说起 

　　4000 万美金，这是美国威胁情报服务公司 Anomali 的 D 轮融资总额。 2018 年 1 月 17 日，Anomali 的 CEO Dan Barahona 兴高采烈地在官网上宣布了这个消息，并宣称 Anomali 将把这笔资金投入开发创新的威胁管理和协作解决方案，并扩大在全球范围内的影响力。至此，谷歌投资布局的三家威胁情报公司 Recorded Future、CrowdStrike 和 Anomali 全部进入了 D 轮后的成熟期。

　　Anomali 这家有着 Google 和 CIA(美国中央情报局)In-Q-Tel 投资的安全公司已经把球开出了美洲，在 Anomali 的 2017 年大事记中，在阿联酋启动一个包括 48 家银行在内的社区，发布俄罗斯、伊朗乃至中国的国家网络安全概况，宣布与英格兰银行合作等境外动向，一件件可谓历历在目，一步一个脚印昭示着这家公司的野心与胃口。

　　为什么 Anomali 会盯着英国、俄罗斯、伊朗甚至中国不放？

　　我们来看看网络安全大行业的地域性市场份额。在全球范围内，北美、西欧和亚太三地的市场份额能够达到整体的 90% 以上，呈三足鼎立态势。其中，北美占比 41.29%，西欧占比 27%，亚太地区占比 22.7%。然而增长率又是另一番景象，西欧市场份额增速只有 6.5%，北美则达到 9.2%，亚太地区的增长速度最高，为 9.5%，值得一提的是大中华地区的增长速度遥遥领先，为 14%。很显然，亚太地区 IT 产业近些年快速升温，对从相对成熟的市场中拼杀出来的 Anomali 们来说，无异于哥伦布望远镜中的新大陆，比尔船长地图里的金银岛。

　　而在美国市场上的威胁情报创业公司中，Anomali 并非最早成熟，亦非最财大气粗。累计融资 9600 万美金的 Anomali，在囤积了 2.81 亿美金融资的 CrowdStrike 面前会逊色不少。而同样为谷歌所投资的 CrowdSrtike 早在 2017 年 5 月和 10 月就完成了 1.25 亿美金的 D 轮和 D+轮。稍微小一号的 Digital Shadows 也在 2017 年 9 月完成一轮 2600 万美金的 C 轮融资，从成长期步入成熟期;谷歌投中的另一家 Recorded Future 在 2017 年 10 月完成了 2500 万美元的 E 轮融资，就连融资市场上沉寂许久的 ThreatConnect，也早在 2015 年 12 月就完成了 1600 万美金的 B 轮融资——那时候，中国的第一批威胁情报创业公司们才刚成立几个月。

　　而 Anomali 还聘请了首席财务官和首席税务官，这是要上市的节奏吗?不管怎样，Anomali 已经用行业报告对中国市场做了一次瞄准，或许在下一回合中，炮击就将着陆。

　　2、所幸，这个时代没有船坚炮利，只有万物生长

　　显然盲目恐慌是不明智的，在惊叹美国威胁情报市场的成熟速度之后，我们应当先来看看这些排头兵们都在哪些更细分的赛道上。

　　CrowdStrike，「Active Defense(主动防御)」理念的提出者和践行者，针对 APT 攻击，CrowdStrike 选择基于云和从 sensor 上采集的企业内部数据，来对攻击者进行追踪溯源，后来又将威胁情报与终端防护相结合，旗下的主要产品平台 Falcon 已经涵盖了态势感知、安全智能、EDR、安全狩猎、DNS 防护等功能。可以看出，CrowdStrike 将威胁情报产品化的路径是横向扩展，成长路径也基本是教科书般的「逐梦安全圈」。

　　而本文开篇的主角 Anomali 的路线又略有不同。相较 CrowdStrike，Anomali 的产品线更加紧凑，围绕威胁情报云衍生出检测平台、管理平台、情报订阅等服务，产出的威胁情报类型也以 TAXII 和 STIX 等可机读情报为主，周度的通告类威胁情报报告为辅。

　　Digital Shadow 如其名字，关注阴影中的动向。他们更擅长追踪深网、暗网的威胁情报，以保护公司的业务和声誉。ThreatConnect 也以威胁情报本身为出发点，衍生出 TIP、TC Manage、开放性社区等产品线路。

　　同样被 Google 投资的 Recorded Future 在 2017 年 10 月底完成了 E 轮融资，主打开源威胁情报;而谷歌早在 2012 年，还收购了另外一家威胁情报公司 Virus Total。

　　看似威胁情报市场已经被这些公司堵得密不透风了？答案是：NO！

　　2017 年 Ponemon Institute 公司发布的报告中，有一组十分有意思的数据：虽然只有 43% 的受访者认为其组织对威胁的追踪是有效的，41% 的受访者肯定其组织使用威胁情报的能力，但是，认为威胁情报对其组织的安全使命中做出了贡献的受访者达到了 86%，认同威胁情报在其组织的安全体系中占到重要地位的受访者也达到了 84%。

　　SANS 在 2017 年发布的《2017 年网络威胁情报现状调研报告》中也能够看到同样的趋势：在情报对于安全方面的提升能力上，19% 的受访者认为在阻止和检测方面可以提升 50%~75%， 在响应方面，18% 的受访者认为可以提升 11%~25% 或者 26%~50%。只有 0.5% 的受访者认为不能提升。

　　因此，纵观整个威胁情报市场，正好处在一个资本点头、市场打开、产品打磨的蓄水期，目前的市场总容量是虽然只有几十亿美金，但根据 Gartner 的《全球威胁情报市场指南》，这个市场的增速一直保持在 60% 以上，而且到 2020 年，全球范围内应用了威胁情报的大型公司将从 2017 年的 1% 增长到 15%。

　　今年已经是 2018 年了，童鞋们。

　　市场增长快的背后是网络环境的严峻。威胁情报的从业者们十分清楚，他们要拳拳到肉搏斗的是团伙作案的攻击者们，而非同行。他们应当庆幸这不是一个拼得你死我活的行业，或者说，很长一段时间内都不会是。眼下的威胁情报市场，将迎来一波前所未有的万物生长。

　　3、外来从业者们将降维打击还是将水土不服？

　　在中国的 IT 市场中，外来的和尚从来就不太好念经，所谓的去 IOE 可以算作是一个先例。虽说《网络安全法》的颁布标志着合规即将进一步推动行业，但谁能说网安行业中没有 IOE 的阴影呢?国内威胁情报用户很可能不知道一个「潜规则」：根据 US-CERT 对威胁情报的分级标准，有关当局禁止向中资企业出售高价值商业情报，而国际上最知名的金融行业威胁情报合作组织也未开放中资金融机构的申请。这意味着，一味追捧国外情报厂商，最终很可能变成地缘歧视的受害者。

　　况且，从 2015 年开始，国内也成长出了一批威胁情报创业公司，这些土生土长的创业团队们大多数都是安全圈里的大神，背景骄人，经验丰富，不仅有着多年积累下来的资源，也十分熟悉国内甲乙方的规则套路。

　　这其中跑得最快的微步在线已经融完了 B 轮，正在进一步完善产品线，走情报管理与威胁监控相结合的路线，也有威胁情报开放社区等产品;天际友盟则主打联盟和分发，同时也推出了平台性的产品，此外还有品牌保护服务;白帽汇是在威胁情报「知彼」的同时，主打资产的抓取和清点，将「知己」也作为一条同等重要的产品线，可圈可点。这三家创业公司可以说是国内威胁情报创业公司中的第一梯队了，而它们正在变得麻雀虽小，五脏俱全。

　　有意思的是，这些创业公司在实际销售中，遇到的对手都是赛门铁克、卡巴斯基这种国际老牌大厂，基本是「抗欧美」，内战不多。而从笔者查询的公开招投标结果来看，国外公司中标非常少，竞争力可能还不如国内的创业公司，呈现出较严重的水土不服。因此，中国的威胁情报市场上，本土企业或许会有独特的优势。

　　2017 年的网络安全大事中，充斥着 APT 动向、比特币勒索软件、钓鱼邮件以及后门漏洞，这意味着不管是深耕中国市场多年的老牌安企，还是正体验创业维艰的小公司们，或者全球威胁情报领域的强势新秀，都将迎来近乎同等的发展机遇，很有可能打起一场混战来。但在这样的机遇面前，别嘲笑小公司的羸弱，也别鄙视大公司的笨重。毕竟，在这场薛定谔的混战中，弱小和无知不是生存的障碍，傲慢才是。