一、市場規模短期小幅回調，寡頭競逐與腰部混戰并存

近日，2024年中國威脅情報市場的規模與份額交出答卷。根據艾瑞咨詢發布的《2024年中國威脅情報行業發展研究報告》，針對2024年威脅情報API、威脅情報門戶賬號訂閱、威脅情報管理平臺TIP為主的純情報市場，及融入其他安全產品的威脅情報服務規模進行統計，2024年中國威脅情報市場規模達到16.1億元，同比微跌0.9%。

相比2024年全球威脅情報市場價值被加速驗證，市場延續兩位數高增長態勢，中國威脅情報市場則由于2022到2024年，網安行業重在“清庫存”短期內限制了威脅情報行業的進一步增長，市場出現小幅回調。

當前中國整體威脅情報市場，屬于低集中寡占型市場（CR4=43.0%、CR7=49.7%），由少數幾家廠商占據大部分份額。其中，微步在線、騰訊安全、奇安信位列2024年中國威脅情報市場份額前三，競爭激烈。

從市場格局來看，最早一批進入中國威脅情報市場的“元老級”廠商微步在線憑借在威脅情報領域的深耕，以純威脅情報及多產品賦能持續穩居威脅情報市場第一，而具備大廠優勢及數據積累的騰訊安全、及產線覆蓋廣，安全產品賦能多的綜合安全廠商奇安信排在第二陣營。綠盟、安恒信息、360安全、深信服等廠商則以垂直場景或技術差異化爭奪細分市場。

這也反映出中國威脅情報市場，歷經十年發展已日趨成熟。從2015年首批專業威脅情報廠商成立，到2018年中國第一個威脅情報標準正式發布，2019年等保2.0首次對威脅情報提出要求，再到攻防演練倒逼情報技術實戰化，市場已從“技術拓荒期”邁入“生態競合期”。而2022年到2024年，客戶預算收縮導致的“清庫存”周期，進一步加速了市場的洗牌。

二、商業模式擴展：從數據平臺到融合方案

根據報告，當前中國威脅情報落地商業模式，主要分為純情報產品交付與情報賦能產品交付兩大類。

其中，純情報產品交付聚焦“數據價值深挖”，解決威脅數據的“快捷、易用、全面”的需求。純情報產品交付專注提供高質量的情報數據和服務，通常以標準化API接口、TIP平臺或是通過威脅情報門戶賬號訂閱方式交付。其中，API及威脅情報門戶賬號訂閱側重情報數據交換的便捷與及時性，TIP情報管理平臺更側重對情報數據的查詢、分析、生產、共享及狩獵等全方位情報管理與流程化操作。

情報賦能產品交付，則強調情報能力無縫銜接。從商業模式看，情報信息主要以三種方式向其他產品賦能。依照彼此融合賦能方式的差異，可分為廠商內部的安全情報賦能產品，對外部廠商提供情報技術支持下的融合安全產品，以及與外部廠商共同構建的綜合安全解決方案。

值得關注的是，與國際威脅情報市場商業模式以“情報訂閱”為主不同，中國企業客戶群體對于威脅情報能力的需求各有側重，商業模式從單純情報產品交付逐漸擴展到通過賦能其他安全產品交付，使得中國不同安全廠商之間的競爭邊界也逐漸發生變化。

三、威脅情報未來三大破局點：出海、AI與漏洞防御升維

破局點一：出海業務標準攻堅

隨著中國企業海外發展，威脅情報廠商迎來新戰場，主要需跨越兩大門檻。一個是數據合規鴻溝。數據作為威脅情報的重要基礎資源，各個國家及地區對于本地數據的保護要求也紛繁復雜，歐盟GDPR、美國CLOUD法案等要求倒逼情報數據脫敏技術升級。一些廠商已探索出設立海外實體、處理敏感信息及建立共享協議等海外數據合法合規使用方式。

另一個是威脅情報標準適配。我國于2018年推出《信息安全技術網絡安全威脅信息格式規范》，以推動技術發展與產業化應用。該規范雖然以國際標準為重要參考依據，但從STIX/TAXII格式兼容到MITRE ATT&CK框架本地化改造，廠商技術中臺面臨重構壓力。

破局點二：大模型賦能情報生產力

根據報告，針對威脅情報行業，大模型在人員生產威脅情報效率、降低威脅情報應用門檻、賦能更多崗位人員等威脅情報生產與運營等多個環節均可進行賦能，但目前，多數大模型賦能威脅情報的應用場景還在概念驗證的階段。未來，安全廠商可在如大模型行業適配、大模型落地效率、性能優化、合規應用等多個角度著力，實現大模型在新應用場景的快速落地，提升自身競爭力。

破局點三：漏洞情報強化主動防御

隨著0day漏洞利用的常態化，漏洞情報的價值顯著提升。當前漏洞情報與企業資產結合緊密度不斷上升。企業面臨越來越多的資產存在漏洞，需具備的漏洞管理能力要求也越來越高，通過漏洞情報全面及時掌握最新漏洞信息，打通內部資產平臺第一時間發現漏洞，并建立科學漏洞評估模型優先處置真正的高危漏洞，對于企業進一步增強主動防御能力，尤為重要。

從長期來看，威脅情報行業將經歷從“功能堆砌”到“價值交付”的轉型，廠商需要回答的核心問題如今已真正變成了“如何證明威脅情報的ROI”。可以預見，未來3-5年，中國威脅情報市場將在技術迭代與生態博弈中更加成熟，而真正的贏家將是那些能夠將情報能力轉化為客戶業務風險管控支撐的企業。