根据Recorded Future发布的《2025年威胁情报现状报告》(2025 State of Threat Intelligence),企业对威胁情报的依赖程度已达到历史新高。这份调研了全球615位网络安全高管和从业者的报告显示,在2025年,威胁情报不再仅仅是IOC的对抗,它正在重塑企业的风险管理架构、预算分配甚至并购决策。
预算与战略:逆势增长的“刚需”
尽管全球经济环境面临不确定性,但企业在威胁情报上的投入不降反升。报告数据显示,76%的企业组织每年在外部威胁情报产品上的投入超过25万美元。更值得注意的是,这种投入具有极强的持续性——91%的受访企业计划在2026年进一步增加投资。
这种“重金投入”的背后,是威胁情报角色的转变。
不仅是防御,更是决策: 虽然68%的企业仍主要利用情报增强现有安全工具的检测能力,但43%的受访者已将其用于指导战略安全投资规划。
穿透董事会层面的影响力: 数据显示,威胁情报正在直接影响业务层面的关键决策。65%的企业利用情报支持安全技术的采购决策,58%用于业务风险评估,甚至有29%的企业在并购尽职调查中引入了威胁情报分析。
正如Recorded Future北美地区CISO Rich LaTulip所言:“随着安全防护策略从被动防御转向以情报分析为驱动的综合性防御体系,企业正在增加在威胁情报方面的投入。现代情报技术能够帮助企业更早地发现攻击行为、优先处理关键风险,并更快地采取应对措施,从而加强漏洞管理、提升事件响应能力,并为高层决策提供有力支持。”
运营成熟度:专业化团队成为标配
2025年的一个显著特征是威胁情报职能的“正规化”。报告指出,83%的受访企业现在拥有全职的威胁情报团队,这一比例较2024年的80%稳步上升。仅有7%的企业完全没有相关团队。 这种专业化趋势也带来了成熟度的分化:
近半数(49%)的企业认为自己的威胁情报成熟度处于“高级”水平,意味着他们拥有自动化工作流、专门团队以及多源情报融合能力。
然而,仍有51%的企业处于“中级”或“初级”阶段,面临着如何将情报有效转化为行动的挑战。
供应商挑战:信任危机与“集成”痛点
随着买方市场的成熟,企业对供应商的要求变得更加苛刻。报告揭示了当前威胁情报服务商面临的“信任与落地”双重挑战:
可信度危机:50%的受访者将“难以确定情报的可信度和准确性”列为首要挑战。在AI生成内容泛滥的时代,从噪音中筛选出真实信号变得前所未有的困难。
集成难题:48%的用户对现有安全工具的集成效果表示不满。安全团队不再需要孤立的门户网站或PDF报告,他们需要的是能无缝通过API流入SIEM、SOAR和EDR的情报数据。
信息过载: 46%的从业者感到被海量数据淹没,这解释了为什么“上下文分析的深度”成为了选型时的关键考量。
未来展望:供应商整合与内生情报的崛起
展望未来两年,威胁情报市场将呈现出明显的“整合”与“融合”趋势。
供应商整合:81%的企业计划整合其威胁情报供应商。但这并非为了省钱(毕竟预算在增加),而是为了提效。企业倾向于选择能提供广泛用例覆盖和高质量上下文的少数头部厂商,而非维护碎片化的单一情报源。
内外部情报融合:36%的企业计划将外部威胁情报与自身环境中检测到的数据相结合。这种“内外兼修”的方法能提供更精准的风险画像,帮助企业在同行业中进行基准对标。
关注点转移: 安全团队的工作重心正在重新分配。分析与语境化(22%)、威胁狩猎(19%)以及漏洞优先级排序(18%)占据了大部分时间,表明自动化正在逐步接管低价值的数据收集工作,让人类分析师专注于高价值的研判。
参考链接:
https://www.recordedfuture.com/blog/introducing-the-2025-state-of-threat-intelligence-report
声明:本文来自玄月调查小组,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
