Recorded Future 2025年度威胁情报报告概述

Recorded Future 年度威胁情报报告旨在揭示威胁情报行业现状。一如既往，分析发现在过去一年中，威胁情报对企业网络安全变得更加关键。2025 年调查了 615 位网络安全高管与相关从业者，分析了威胁情报的使用、挑战与未来计划。

所有受访者均来自员工人数超过一千人的公司。超过半数（56%）来自员工人数在一千到五千人的组织，而 44% 来自员工人数超过五千人的组织。大多数受访者在网络安全领域担任领导职务，包括网络安全经理或总监（62%）与网络安全副总裁或高管（21%），其余受访者均为安全相关从业者。所有受访者都熟悉其公司的威胁情报工具和政策（81% 的人表示非常熟悉，19% 的人表示比较熟悉）。受访者超过一半来自美国（52%），此外来自英国（17%）、加拿大（16%）和澳大利亚（16%）。

威胁情报的使用与采纳

在 2025 年，战略规划和投资已成为企业组织最常见的威胁情报用例之一。43% 的受访人依靠威胁情报来为战略安全投资和规划提供信息，这是一个以前没有被考虑到的用例。虽然大多数企业组织报告了威胁情报的多种用例，但主要还是用它来增强现有安全工具的检测能力（68%）以及支持事件响应和取证调查（40%）。

大多数组织会使用威胁情报来指导与采购、风险评估和资源分配相关的业务决策。近三分之二（65%）的受访人表示，威胁情报与安全技术的采购决策有关。58% 表示它会被用于指导业务计划的风险评估，53% 表示它会被用于支持事件响应的资源分配。

几乎所有企业组织都认为威胁情报是一项关键投资。在 2025 年，超过四分之三（83%）的受访人所在公司报告拥有专门负责威胁情报的全职团队，而 9% 的公司只有兼职的威胁情报团队，另有 1% 的公司依靠外包团队进行威胁情报工作。目前只有 7% 的公司完全没有专门的威胁情报团队，这与 2024 年的年度报告相呼应。

有 89% 的公司在 2025 年在为威胁情报供应商付费，近一半（48%）的受访者为多个供应商付费，而 41% 的受访者只为一个供应商付费。

大多数企业组织频繁依赖威胁情报，这强化了其提供的价值。超过四分之三（76%）的公司中，威胁情报至少每周直接影响其安全决策，其中 32% 表示每天都在影响决策，仅又 1% 的受访者表示威胁情报很少影响决策。

在大多数企业组织中，会有多个团队依赖威胁情报。四分之三（73%）的受访人表示 IT 运营部门在使用威胁情报，70% 的情况是安全运营中心（SOC）在使用威胁情报。事件响应团队（48%）、风险管理（47%）和漏洞管理（46%）也都在积极使用威胁情报。

威胁情报的支出与评估

大多数（76%）受访人表示，其组织每年在外部威胁情报产品（不包括服务）上的投资达到或超过 25 万美元。33% 的公司花费 25 万至 50 万美元，29% 的公司花费 50 万至 100 万美元，14% 的公司每年花费超过 100 万美元。相比 2024 年，总体支出略有下降。在 2024 年，79% 的公司每年在外部供应商的威胁情报产品上花费至少 25 万美元，而 17% 的公司每年花费至少 100 万美元 。

在衡量威胁情报计划的成功时，大多数组织关注速度和效率。54% 的受访人会考虑威胁检测和响应时间的改进，而 50% 的公司考虑安全团队效率的提高。40% 的公司衡量事件数量的减少，37% 的公司考虑安全工作的优先级排序。相比之下，很少有组织使用诸如提高威胁狩猎有效性（9%）和预防事件带来的成本节约（18%）等指标来衡量威胁情报的成功。

威胁情报面临的挑战

威胁情报成熟度逐年提高。然而，仍有超过半数的企业组织认为他们的成熟度未达到先进水平 。总共有 49% 的受访人表示他们的成熟度水平是“先进”的。这意味着他们拥有结合多个威胁情报源输出的工具、专门的威胁情报团队，以及将威胁情报与大多数安全活动（包括业务风险评估）集成的自动化工作流程 。44% 的人认为他们的威胁情报成熟度处于“中级”。剩下的 6% 将其成熟度水平评为“基础”或“初学者”。

随着投资的逐渐增加，企业组织可能会在威胁情报供应商方面遇到一系列问题。可信度、集成和信息过载是主要的困难。事实上，16% 的受访者将与现有安全工具集成不佳列为他们当前威胁情报供应商的首要挑战。另有 16% 的公司将难以确定可信度和准确性列为他们的首要担忧。总共有半数受访人表示，难以确定可信度和准确性是其当前威胁情报供应商的三大问题之一。排在前三大挑战之列的还有与现有安全工具集成不佳（48%）、信息过载（46%）以及缺乏针对特定环境的上下文（46%）。

相比之下，相对于收到的价值成本过高（32%）是被引用最少的挑战，这表明安全专业人员在很大程度上认为鉴于其创造的价值，其威胁情报供应商的成本是合理的。然而，最大的挑战并不完全与企业组织认为其威胁情报供应商最需要改进的领域相一致。三分之一的受访人表示，情报交付速度是其供应商最需要改进的领域。五分之一（22%）的人提到与安全工具的集成问题，21% 的人将深度分析和上下文列为他们最大的与供应商相关的痛点。

虽然只有三分之一的安全团队表示高成本是当前威胁情报供应商的挑战，但成本效益是新投资的关键因素。在评估威胁情报供应商时，34% 的受访者表示成本效益是首要因素。20% 的公司表示集成能力是首要因素，14% 的公司在选择威胁情报供应商时优先考虑分析的深度和可操作性。

威胁情报未来的计划

供应商整合是大多数企业组织的一个关键目标，81% 的受访者表示他们打算整合威胁情报供应商。倾向于专注于一两个最有用的威胁情报供应商，而不是监控单独的数据源或给已经负担沉重的安全团队增加复杂性。

供应商整合不意味着要削减成本，绝大多数（91%）受访者表示，他们的组织计划在 2026 年在威胁情报上投资更多。

数据显示，安全团队的威胁情报工作几乎平均分配在五个领域。受访者将 22% 的威胁情报工作用于分析和上下文化针对其组织的威胁，19% 用于威胁狩猎和主动检测活动。花费 18% 用于支持事件响应和调查，18% 用于漏洞研究和优先级排序，17% 用于战略威胁态势分析和报告。

企业组织打算在未来两年内进行一些关键变革，以改进他们使用威胁情报的方式。超过三分之一（36%）的受访者表示，他们计划将威胁情报与在自身环境中检测到的数据相结合，以更好地了解其风险态势并与同行进行比较。四分之一（25%）的公司表示他们计划将威胁情报与其他网络安全工作流程和团队集成——重点关注身份访问管理、欺诈和 GRC（治理、风险与合规）。另有 18% 的公司表示他们旨在加强风险分析。

随着威胁情报使用方式的改变，87% 的受访者预计其威胁情报成熟度将有适度到显著的演变。只有 8% 的人预计在未来两年内维持当前的成熟度水平。

为了达到这些成熟度目标并跟上不断变化的网络安全格局，大多数企业组织预计需要适度到显著的威胁情报改进。超过半数的受访者（53%）预计未来 12 个月内威胁情报需求将发生适度到显著的变化。四分之一（27%）的公司预计需要大量的威胁情报投资和培训，26% 的公司预计现有能力将适度扩展。另有 26% 的公司预测重点将转向质量而非数量。

声明：本文来自威胁棱镜，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。