威胁情报的尴尬:是个好能力,但不是个好生意!
威胁情报的尴尬:是个好能力,但不是个好生意!
原创 晓兵Jason 锐安全 2024-11-24 14:24
如果加星标,可以及时收到推送
《安全晓说》第
65
篇,
锐安全总第
294
篇原创
本文
1265
字,阅读时长约
4
分钟
威胁情报生意
,今天
可以了解以下内容:
【1】威胁情报的商业价值不高
【2】威胁情报的产品不值钱
【3】威胁情报的生态发展没动力
【4】威胁情报生意应该怎么做?
不是每种好能力都是好生意,威胁情报就面临着这样的尴尬。
威胁情报概念从2013年开始出现,发展了十年。国际市场规模已经超过600亿元人民币,通常中国市场占全球市场的10%,要说也该有60亿的市场,但实际上只有不到10亿的市场规模。
这也说明,威胁情报在中国并不是一个好生意。
因为站在商品的角度来看,目前国内威胁情报的“商业价值”不高、威胁情报的“产品”不值钱、威胁情报的“生态发展”没动力。
【1】
威胁情报的商业价值不高
国际知名商业咨询机构高德纳(Gartner)对威胁情报是这样的定义的:威胁情报是基于证据的知识,包括上下文、机制、指标、影响和可操作的建议,涉及资产的现有或新出现的威胁或危害,可用于为主体应对该威胁或危害的决策提供信息。
这是技术化的定义,从技术角度来看,威胁情报的确是个很有用的能力。
但是从商业角度来看,威胁情报的本质就是“有价值的威胁扩展信息”。但是价值是一个主观概念,它因时间、因客户而异,因此威胁情报价值的“客观确定”就成了大问题。
从商业价值来看,威胁情报时间越长越不值钱,离客户越远越不值钱。
目前的威胁情报离客户还太远。
【2】
威胁情报的产品不值钱
要想规模化复制,当然厂商都希望威胁情报是一个产品。
只要是产品,就需要有一个相对客观的价值认定,最后,威胁情报就只能用种类和数量进行定价。
于是,产品化团队的KPI就必然变成不断增加威胁情报的种类和数量,这就回到了上面提到的逻辑,因为你离客户远,所以商业价值客户感觉不高。
你费劲堆的数量,也会随着时间的流逝而价值递减。
【3】
威胁情报的生态发展没动力
有人说,我们一起建立一个威胁情报生态怎样?
这想法很好,但是,国内安全市场从来就没有过“生态”这种物种,所以我就在想:威胁情报生态建立的难点到底在哪儿?
生态建立依赖于交易与交换。每家威胁情报都有普通的低价值情报如样本、URL、域名等,也有独有的高价值情报如POC、事件漏洞等。
这些独有的高价值情报本身就是各家威胁情报的核心卖点,大家交易的意愿极低,而低价值情报大家又都能自己收集,因此也不用交易。
假如高价值的威胁情报大家愿意交易,也会出现“恶意交易”的情况。
举个例子,假设高价值情报你的生产成本是500万,由于威胁情报是一个商品,因此你最多定价50万。
而花了50万买情报的厂商,他的成本就只有50万,因此它可以5万块卖给下一家,以此类推。
因此,高价值的情报你只要卖出去一份,很有可能这就是最后一份。
所以,大家建生态的动力是严重不足的。****
【4】
威胁情报生意应该怎么做?
我的观点是:威胁情报最好是一个服务,而不要是一个产品,而目前业内主流的威胁情报厂商,都在把威胁情报往“产品”的方向上演进。
最好的方式,是把通用的威胁情报,以服务的方式与客户的场景进行结合,最终按效果付费,而不是按不断增长的数量付费。
或者,把威胁情报能力当成安全运营的一部分,帮助客户构建一个自己的威胁情报中心,而不是卖给客户一个通用的威胁情报盒子。
如果想建威胁情报生态,除了要有一个大的威胁情报池之外,还需要做好场景化的威胁情报SDK,进行行业赋能和价值化输出,而不是只输出数量。
威胁情报,卖的不应该是粮食而是酒。
| 恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下次再见! |
欢迎来到安全的大航海时代!
如果对我描述的安全世界感兴趣,可以翻
翻“没有名人作序和题词”的我为你写的
一本“纯粹的安全认知之书”:
点击文末【阅读原文】,看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]摩澜数智研究中心.2022年全球威胁情报平台市场规模到达到了649.84亿元(人民币),2024年11月14日.https://caifuhao.eastmoney.com/news/20241114114314764010330
[2]斯元商业咨询.威胁情报市场正在兴起,2023-07-28.https://baijiahao.baidu.com/s?id=1772646077330686564&wfr=spider&for=pc
题图:威胁情报
题图创作者:晓兵与AI小助手
算法提供:FLUX