威胁情报:自动化使市场碎片化

Threat intelligence : l’automatisation morcelle le marché

Silicon.fr by Clément Bohic 2026-05-11 06:30 Original
摘要
Gartner首次发布威胁情报市场魔力象限,指出尽管自动化创新不断,但收集与分析能力仍是关键,导致市场细分。CrowdStrike、Google、Group-IB、Recorded Future和ZeroFox被评为领导者,但供应商在AI自动化水平、定价复杂性和地理覆盖上差异显著,实施难度和自动化能力成为厂商竞争焦点。

Gartner 首次为威胁情报市场发布魔力象限报告,指出数字风险防护已与威胁情报产品深度融合。尽管自动化、情报丰富化和集成等创新层出不穷,该机构强调,收集与分析这两项核心能力依然是供应商的立身之本,并直接体现在其分类结果中。本次评估涵盖“执行能力”与“愿景完整性”两个维度,共有 17 家供应商上榜,其中 5 家位居“领导者”象限:CrowdStrike、Google、Group-IB、Recorded Future 和 ZeroFox。

在执行力维度,Recorded Future、CrowdStrike 和 Google 位列三甲,而在愿景维度,CrowdStrike 居首,Google 与 Recorded Future 紧随其后。自动化与 AI 能力正加剧市场分化,几家领导者和远见者因此获得好评:Google 凭借代理式 AI 在恶意软件代码分析、战术提取和对手行为模拟上尤为突出;NSFOCUS(远见者)因其按行业自动分类及浏览器扩展自动突出并富化失陷指标而受认可;ReliaQuest(远见者)在情报整合与响应自动化方面表现亮眼;SOCRadar(远见者)擅长检测规则的创建和部署。利基参与者 Axur 也因其自研多模态 AI(尤其是用于检测品牌滥用的视觉模型)和便于响应升级与撤除验证的代理自动化受到肯定。

相比之下,多家供应商的自动化进展迟缓。同为领导者的 Group-IB 尚未完全交付预测能力,平台仍重度依赖规则和人工工作流。利基参与者 Flare 的 AI 仅起辅助作用(摘要、评分、降噪),缺乏预测和代理功能,闭环自动化有限。挑战者 Flashpoint 未全面自动化 IOC 生命周期管理;Intel 471(利基)仍优先人类专家而非高级自动化;Recorded Future 虽在关联和情境化方面表现强劲,但在响应自动化上投入不足,多依赖下游工具。

定价透明度也成为重要区分因素。Bitsight(远见者)以可预测的用户、API 和模块定价获赞“透明”。CrowdStrike 基于端点或员工数的多层定价则被认为“复杂”,KELA 因功能组合或部署范围导致成本难测,ReliaQuest 的高阶指标挂钩定价被指“不透明”,ZeroFox 的按资产计费、按桶计拆及集成附加费也显复杂。

实施与运维的复杂性同样受到警示。Google 的高级功能易叠加并令技术栈操作复杂化;Group-IB 更适合成熟团队,否则需额外定义流程;Recorded Future 要释放全部价值往往需购买多个附加模块,从而推高成本。功能缺失亦普遍存在:Axur 无浏览器扩展、移动端及自动化 SIEM/EDR 规则生成;CTM360 无扩展且核心功能未受专利保护;Google 缺乏原生移动端,部分任务依靠复制粘贴;Intel 471 既无扩展也无移动应用和代理工作流;SOCRadar 的移动应用功能有限,且整体 UX 不够稳定。

多数供应商的地理覆盖范围依然狭窄。Axur 客户集中在拉美,CrowdStrike 营收主要来自北美,CTM360 客户群和收入增长“温和”,CYFIRMA 深根亚太,Flashpoint 和 ZeroFox 均以北美为主,Group-IB 在北美存在感有限,KELA 团队多分布于北美,NSFOCUS 聚焦亚太,Recorded Future 的收入与支持则以北美和欧洲、中东及非洲地区为主。

可见,自动化浪潮既催生了新的差异化优势,也暴露了部分厂商在核心智能、定价、易用性和全球布局上的短板,令威胁情报市场进一步碎片化。

Summary
Gartner’s first Magic Quadrant for digital risk protection and threat intelligence names CrowdStrike, Google, Group-IB, Recorded Future, and ZeroFox as leaders, highlighting a market convergence where core collection and analysis remain vital despite automation advances. The evaluation notes uneven automation maturity, with Google excelling in agentic AI while Group-IB lags, and cites complex pricing, operational hurdles, and limited geographic reach as challenges for many vendors.

Gartner’s first Magic Quadrant for the threat intelligence market highlights how digital risk protection has merged into these platforms, while core functions like data collection and analysis remain critical. The evaluation of 17 vendors across “execution” (product quality, pricing, market track record) and “vision” (commercial, sectoral, geographic strategy) yields five Leaders: CrowdStrike, Google, Group-IB, Recorded Future, and ZeroFox. On the execution axis, Recorded Future ranks first, followed by CrowdStrike, Google, ZeroFox, and Cyble; on vision, CrowdStrike leads, then Google, Recorded Future, ReliaQuest, and ZeroFox.

Automation capabilities sharply divide the field. Google stands out for agentic AI that analyzes malware code, extracts adversary techniques and tactics, and simulates threat behaviors. Three Visionaries earn praise: NSFOCUS for automated sectoral classification and a browser extension that enriches indicators of compromise (IOCs); ReliaQuest for consolidation and automated response; and SOCRadar for crafting and deploying detection rules. Niche player Axur’s proprietary multimodal AI (including a computer vision model for brand abuse detection) and agentic automation for escalation and takedown validation also receive a nod.

In contrast, automation gaps persist. Leader Group-IB has yet to fully deliver predictive capabilities, still leaning heavily on rule-based logic and analyst-driven workflows. Niche player Flare limits AI to summarization, relevance scoring, noise reduction, and interpretation assistance, without predictive or agentic features and with scant closed-loop automation (e.g., IOC-to-rule creation). Challenger Flashpoint lacks full IOC lifecycle automation, while Intel 471 (niche) prioritizes human expertise over advanced automation. Even Recorded Future, praised for correlation and contextualization, places little emphasis on automated response, depending on downstream tools.

Pricing models range from transparent to opaque. Visionary Bitsight earns recognition for predictable costs across user, API, and add-on modules. CrowdStrike’s multilevel pricing (per endpoint or employee) is complex. KELA’s unstructured pricing makes costs hard to forecast. ReliaQuest is called opaque, with only high-level pricing indicators and no public packaging details. ZeroFox complicates billing with per-asset charges, a bucket model for takedowns, and integration surcharges.

Deployment complexity also earns warnings. Google’s premium features (private scanning, advanced automation) can accumulate and complicate stack operations. Group-IB suits mature teams best; others may need to design additional processes. Recorded Future often requires multiple add-on modules to unlock full value, driving up costs.

Functional gaps are common. Axur lacks a browser extension, mobile app, and automated SIEM/EDR rule generation. CTM360 offers no browser extension and its main features remain unpatented. Google has no native mobile app, forcing users to copy-paste for some tasks. Intel 471 misses a browser extension, mobile app, and agentic workflows. SOCRadar’s mobile app is limited, and its overall UX is unstable, especially alert delivery.

Geographic reach remains narrow for many. Axur’s clients are mostly in Latin America; CrowdStrike and Flashpoint concentrate revenue in North America; CTM360 has a small client base with modest recurring revenue and growth; CYFIRMA and NSFOCUS are heavily Asia-Pacific focused; Group-IB’s North American presence is limited; KELA’s teams are unevenly distributed, skewed toward North America; Recorded Future’s revenue and support are concentrated in North America and EMEA; ZeroFox’s clientele is primarily North American.

Résumé
Gartner publie son premier Magic Quadrant dédié à la threat intelligence, marqué par la convergence avec la protection contre les risques numériques, et désigne cinq leaders : CrowdStrike, Google, Group-IB, Recorded Future et ZeroFox. L’automatisation fragmente le marché, certains fournisseurs comme Google se distinguant par des capacités agentiques avancées tandis que d’autres restent à la traîne, avec des impacts sur la complexité tarifaire et la présence géographique limitée de nombreux acteurs.

Ces dernières années, la protection contre les risques numériques s’est fondue dans les produits de threat intelligence.

Gartner en fait une note de contexte pour son premier Magic Quadrant dédié à ce marché. Au-delà de cette convergence, le cabinet américain rappelle que malgré l’innovation (automatisation, enrichissement, intégrations…), les capacités fondamentales que sont la collecte et l’analyse demeurent très valorisées. Cela se ressent sur la manière dont il a classé les fournisseurs.

17 fournisseurs, 5 « leaders »

L’évaluation englobe deux dimensions, dites « exécution » et « vision ». La première traduit la capacité à répondre aux besoins (qualité des produits, tarification, historique sur le marché…). La deuxième est centrée sur les stratégies (commerciale, sectorielle, géographique…).

La situation sur l’axe « exécution » :

Rang

Fournisseur

1

Recorded Future

2

CrowdStrike

3

Google

4

ZeroFox

5

Cyble

6

Flashpoint

7

Group-IB

8

Intel 471

9

Bitsight

10

SOCRadar

11

CTM360

12

KELA

13

CYFIRMA

14

ReliaQuest

15

Flare

16

Axur

17

NSFOCUS

Sur l’axe « vision » :

Rang

Fournisseur

1

CrowdStrike

2

Google

3

Recorded Future

4

ReliaQuest

5

ZeroFox

6

Group-IB

7

Bitsight

8

NSFOCUS

9

CYFIRMA

10

SOCRadar

11

CTM360

12

KELA

13

Cyble

14

Flashpoint

15

Intel 471

16

Axur

17

Flare

5 fournisseurs ont l’étiquette « leader » : CrowdStrike, Google, Group-IB, Recorded Future et ZeroFox.

Des fournisseurs salués sur l’automatisation…

Parmi les « leaders », Google se distingue sur les capacités agentiques. En particulier pour l’analyse du code des malwares, l’extraction de techniques et tactiques et la simulation du comportement des adversaires.

Sur le volet IA/automatisation, trois « visionnaires » ont droit à des bons points. NSFOCUS, pour sa classification automatisée par secteurs économiques et pour son extension de navigateur qui met en avant les IOC tout en les enrichissant. ReliaQuest, pour les possibilités qu’il offre en matière de consolidation et de réponse. SOCRadar, sur la partie création et déploiement de règles de détection.

Gartner salue aussi l’IA multimodale propriétaire d’Axur (« acteur de niche »). En particulier un modèle de vision pour détecter les abus de marque. Il y ajoute l’automatisation agentique qui facilite l’escalade de la réponse et la validation des actions de démantèlement.

… et d’autres en retard

Un des « leaders » a droit à une remarque négative en matière d’IA/automatisation. En l’occurrence, Group-IB. Il n’a pas encore livré complètement ses capacités prédictives. Sa plate-forme utilise encore largement une logique à base de règles et des workflows guidés par des analystes.

Chez Flare (« acteur de niche »), l’IA a un rôle d’accompagnement plutôt que de décision. Elle est centrée sur le résumé, le scoring de pertinence, la réduction du bruit et l’aide à l’interprétation par les analystes. Les aspects prédictif et agentique ne sont pas développés et les automatisations en boucle fermée (exemple : création de règles à partir d’IOC) sont limitées.

Flashpoint (« challenger ») n’a pas pleinement automatisé la gestion du cycle de vie des IOC. Intel 471 (« acteur de niche ») priorise quant à lui l’expertise humaine à la production d’automatisations avancées. Performant sur la corrélation et la contextualisation, Recorded Future met cependant moins l’accent sur l’automatisation de la réponse, qui s’appuie beaucoup sur des outils aval.

Des tarifications parfois complexes, voire opaques

Bitsight (« visionnaire ») se distingue positivement par sa tarification jugée transparente. Les coûts en sont prévisibles tant pour les accès utilisateur et API que pour les modules complémentaires.

On ne peut pas en dire autant pour CrowdStrike. Son pricing multiniveaux – basé sur les endpoints ou sur les employés – est complexe.

Celui de KELA (« acteur de niche ») manque de structure : les coûts peuvent être difficiles à prévoir en fonction du mix fonctionnel ou du périmètre de déploiement.

Concernant ReliaQuest, Gartner parle d’une tarification « opaque » : les prix indiqués sont liés à des indicateurs de haut niveau, sans détails de packaging ni structures tarifaires publiques.

Pricing également complexe chez ZeroFox, entre facturation à l’actif, modèle au bucket pour le démantèlement et suppléments pour certaines intégrations.

Les offres « leaders », souvent complexes à exploiter

Trois « leaders » font l’objet d’un avertissement concernant la complexité de mise en œuvre et/ou d’exploitation de leurs solutions.

Chez Google, les fonctionnalités premium (scan privé, automatisation avancée…) peuvent vite s’accumuler et compliquer l’opérationnalisation de la stack.

L’offre de Group-IB est mieux adaptée aux équipes « matures » (pour les autres, elle peut nécessiter de définir des processus supplémentaires).

Chez Recorded Future, atteindre la « pleine valeur » nécessite souvent de multiples modules complémentaires… susceptibles d’augmenter les coûts.

Apps mobiles et extensions de navigateur, encore régulièrement manquantes

Sur le plan fonctionnel, Axur n’a pas d’extension de navigateur, ni d’application mobile, ni de génération automatisée de règles SIEM/EDR.

CTM360 n’a pas non plus d’extension de navigateur. Et Gartner note que ses principales fonctionnalités ne sont pas protégées par des brevets.

Sur mobile, Google manque d’une app native et certaines tâches exigent du copier-coller.

L’offre d’Intel 471 ne comprend pas non plus d’extension de navigateur. Ni d’app mobile et de workflows agentiques.

Chez SOCRadar, il existe une app mobile, mais limitée. L’UX n’est globalement pas stabilisée, en particulier sur la livraison des alertes.

Beaucoup d’acteurs à la présence géographique limitée

Nombre de fournisseurs ont un périmètre d’action limité sur le plan géographique.

Axur : clientèle principalement en Amérique latine

CrowdStrike : CA concentré en Amérique du Nord

CTM360 : clientèle limitée, revenu annuel récurrent et croissance « modestes »

CYFIRMA (« visionnaire») : clientèle concentrée en Asie-Pacifique

Flashpoint : clientèle et activité concentrées en Amérique Nord

Group-IB : présence limitée en Amérique du Nord

KELA : distribution géographique inégale des équipes, localisées surtout en Amérique du Nordd

NSFOCUS : présent essentiellement en Asie-Pacifique

Recorded Future : revenus et support concentrés en Amérique du Nord et EMEA

ZeroFox : clientèle localisée essentiellement en Amérique du Nord

Illustration principale © Adrian Gros – Shutterstock

The post Threat intelligence : l’automatisation morcelle le marché appeared first on Silicon.fr.

AI Insight
中文 EN
Core Point

Gartner首份威胁情报魔力象限揭示,自动化与AI能力正加剧市场碎片化,供应商在基础收集分析上的强弱与自动化水平分化,影响企业选型。

Key Players
  • CrowdStrike — 威胁情报与端点安全厂商,总部美国。
  • Google — 通过VirusTotal等提供威胁情报,总部美国。
  • Recorded Future — 威胁情报平台,总部美国。
  • ZeroFox — 专注品牌保护与外部风险,总部美国。
  • Group-IB — 网络威胁研究与情报,总部新加坡。
  • ReliaQuest — 安全运营整合与自动化,总部美国。
  • SOCRadar — 扩展威胁情报与数字风险保护,总部美国。
  • Bitsight — 安全评级与外部风险监控,总部美国。
  • NSFOCUS — DDoS防护与威胁情报,总部中国。
  • Intel 471 — 以人力驱动暗网情报,总部美国。
  • Flashpoint — 暗网与地下市场情报,总部美国。
  • Axur — 专注拉美市场数字风险,总部巴西。
  • KELA — 暗网威胁情报,总部以色列。
  • Cyble — 攻击面管理与威胁情报,总部美国。
  • CTM360 — 外部数字风险监控,总部巴林。
  • CYFIRMA — 威胁发现与预测,总部印度。
  • Flare — 威胁情报平台,总部加拿大。
Industry Impact
  • ICT: High — 威胁情报市场碎片化直接影响网络安全产品集成、采购复杂度和安全运营成熟度。
Tracking

[Strongly track] — 自动化与AI正重塑威胁情报竞争格局,影响供应商整合趋势及企业防御决策。

Related Companies
Google
mature
positive
positive
Gartner
mature
neutral
Flare
startup
negative
positive
neutral
neutral
neutral
negative
negative
negative
neutral
negative
negative
neutral
neutral
positive
neutral
Categories
人工智能 软件 网络安全
AI Processing
2026-05-11 08:24
deepseek / deepseek-v4-pro