40004-98986
蹲循勿争网络安全服务行业研究报告:网络安全行业的制高点
(报告出品方/作者:方正证券,方闻千)1 安全服务:新趋势,新方向1.1 什么是安全服务?什么是安全服务?广义上,网络安全服务指为增强和完善用户网络信 息系统所提供的一系列的服务,通常情况下,安全服务由安全咨询、 安全运营、安全集成三大部分构成。从 Gartner 和 IDC 两大机构的统 计口径来看:IDC 认为安全服务包括安全咨询、安全运营(MSS)、 安全集成、安全教育及培训四个部分,而 Gartner 认为安全服务主要 由安全咨询、安全外包(含 MSS 及驻场服务)、安全集成、硬件维护 与支持四部分构成。虽然两家机构在统计口径上存在一定差异,但无 论是在 Gartner 还是 IDC 的口径下,安全咨询、安全运营、安全集成都是最主要的三个部分,占据了安全服务市场 90%以上的份额。在传统安全服务之外,网络安全即服务(SECaaS,Security as a Service)作为新兴的安全服务模式,正在成为全球网络安全市场的重 要趋势。SECaaS 最突出的特点就是安全的云化和服务化,将安全产 品以云服务的形式交付给用户,是安全产品与安全服务的深度融合, 因此在广义上也属于安全服务的范畴1.2 安全服务产业比较:市场规模与产业结构安全服务是用户安全能力提升的必然选择。从企业安全能力提升的路 径来看,安全工具只是构建安全能力的基础,在采购安全工具之后, 如何用好安全工具,如何发挥安全工具最大的价值,往往需要在安全 团队、安全策略以及安全体系等方面进行持续投入。对于大多数企业用户而言,面临的现实问题是自身安全能力和安全预算的不足,往往 需要借助第三方专业安全厂商,来帮助自己实现安全体系的建设和安 全运营的外包。根据 Cisco 的统计数据,在全球范围内,每年有 90% 以上的企业和政府机构都会采购包括安全咨询、安全监测、事件响应、 威胁情报等各类安全服务,完全不采购安全服务的企业占比仅 6% (2017)。而且对安全越重视,安全能力越强的企业用户,往往安全 服务在其安全预算中的占比也会越高。因此在整个产业不断走向成熟 的过程中,安全服务的占比也将持续提高。从市场规模来看,安全服务占据了全球网络安全市场的半壁江山。根 据 Gartner 的统计数据,2019 年全球安全市场总规模约 1209 亿美金, 其中安全服务市场的规模达到 620 亿美金,占比 51%。而且除了传统 服务之外,Gartner 预计 2019 年基于云模式交付的安全的渗透率达到 12%,因此如果将 SECaaS 考虑在内,全球安全服务的占比将达到 60% 以上。未来随着 SECaaS 渗透率的不断提升,安全服务的占比还将持 续提高。全球安全服务市场近年来保持较高景气度,行业增速高于安全行业的 整体水平。我们认为安全服务的高景气度主要是来自于以下几个因 素:首先是 IT 基础架构的驱动,近年来随着企业的工作负载逐渐向 云上迁移,网络安全形势在混合和多云环境下也变得更加严峻,对于 新型 IT 环境下安全体系的建设正在逐渐成为近年来企业安全支出的 重点;同时,政策合规也是影响企业安全服务支出的重要因素,近年 全球最大的政策合规事件即 2018 年欧盟通用数据保护条例 GDPR 的 出台,全球涉及 GDPR 相关的企业对于评估、审核、整改的需求驱动 了安全咨询行业的快速增长,同时在国内等保 2.0,个人信息保护法、 数据安全法等法规条例的相继出台也明显提升了国内政企用户对安 全服务的需求。从市场结构来看,安全咨询和安全运营占据了全球安全服务市场约三 分之二的份额。根据 IDC 的统计数据,安全咨询、MSS 和安全实施 的占比分别为 21.9%,44.4%和 33.7%;根据 Gartner 的数据,安全咨 询、安全外包服务(包括 MSS)及安全集成占比分别为 36.3%、35.8%, 27.9%。无论是按照 Gartner 还是 IDC 的口径,安全咨询和安全运营的 合计占比均达到了三分之二。国内安全服务市场无论从市场总规模,还是从市场结构来看,跟欧美 市场相比,都存在非常明显的差距。首先在市场规模上,根据 IDC、 赛迪股份等机构的统计数据,目前安全服务市场总规模约在 100 亿元 左右,占安全行业总体比重仅 20%,远低于全球平均水平。同时在国 内安全服务市场,安全咨询和安全运营等附加值较高的安全服务占比 较低,安全实施和系统集成占据了大部分的市场份额,体现出了国内 外安全服务市场在产业成熟度上的差距。我们认为,导致目前国内安全服务市场与欧美市场存在明显差距的主要原因在于:1)缺乏安全意识:国内许多政企客户过去网络安全的预算非常有限, 绝大部分的预算都是用于采购安全工具,以应付合规和审查。除了金 融电信等大型用户对于安全较为重视之外,大部分机构都将安全作为 成本项,没有主动提升安全能力的诉求,因此也缺乏采购安全服务的 动力。2)没有付费意愿:在国内安全咨询、安全运营等专业服务经常被安 全厂商作为安全设备采购的附赠品,企业用户甚至不需要向安全服务 单独付费,而实际上单独的咨询规划和运营服务的价格并不低于设备采购。3)产业生态不成熟:国内安全服务市场从起点上就跟欧美市场存在 天然的差距,欧美的安全服务市场建立在其成熟的 IT 及咨询产业之 上,经过 20 多年的发展,已经形成了成熟的产业生态。而国内缺少 类似 IBM、Dell、德勤、埃森哲等大型厂商对安全服务市场的培育, 缺少好的安全服务提供给用户,而且在定价上也不够市场化,因此国 内政企用户对安全服务的接受度普遍偏低。1.3 安全服务产业比较:竞争格局与主导厂商全球网络安全产业建立在 IT 产业的基石之上。以美国市场为例,美 国网络安全产业的发展包含了 IT 产业创新所必须的全部关键要素, 包括一流的教育科研机构、成熟的风险投资、有机的商业环境,以及 鼓励创新、宽容失败的硅谷文化。美国网络安全产业从诞生开始就带有美国 IT 产业的鲜明烙印,包括 IT 行业巨头、电信运营商、咨询公 司、国防外包承包商都是网络安全市场的重要参与者,产业链分工协 作,界限分明。在全球网络安全市场,包括 IBM、微软、德勤、埃森哲等 IT 业和咨询业巨头正在不断延伸自身的业务布局。在全球安全服务市场,综合型 IT 厂商、咨询公司以及电信运营商占 据主导地位,而大多数的专业安全厂商都是纯粹的安全产品供应商, 并不是安全服务市场的主要参与者,这与国内网络安全市场有着非常 显著的差异。国内安全服务市场在竞争格局上,展现出了与欧美市场截然不同的态 势,绿盟科技、奇安信、启明星辰、安恒信息等专业安全厂商占据了 市场主导地位。而且随着近年来安全厂商对各自安全服务业务投入的 不断加大,其在国内安全服务行业的市场地位还将进一步提升。根据 IDC 的统计数据:1)安全咨询:2020 上半年绿盟科技在国内市场占有率位居第一,份 额达到 8.1%,奇安信以 6.8%的市场份额排名第二,德勤、普华永道 及启明星辰的市占率分别为 6.4%、5.7%及 5.5%;2)托管安全服务:2020 上半年,安恒信息以 9.6%的份额排名第一; 绿盟科技市占率达到 8.6%,排名第二,其他厂商包括启明星辰、安 信天行和 IBM 分别占据 7.9%、4.8%和 4.5%的份额;3)安全集成:以集成商和渠道商为主,主要厂商有太极股份、腾讯、 中国软件、东华软件、东软集团等。1.4 安全服务正在成为安全行业的战略制高点国内安全服务市场目前已经进入快速发展期,受到政策合规和产业升 级两大因素的驱动,安全服务已经成为国内网络安全市场增速最快, 发展空间最大的赛道。1)政策合规:等保 2.0、关键基础设施保护条例、密码法、网络安全审查办法以及在 2021 年即将落地的个人信息保护法、数据安全法等 法规条例的相继出台,政企用户对安全评估、安全测试、安全战略、 安全规划的需求得以迅速提升。同时 HW 行动及重大活动网络安保驱 动了应急常态化和防护实战化,无论是国家网络安全主管机关还是各 相关企事业单位,对于攻防演练、安全评估、安全运营的需求也正在 持续增加。2)产业升级:随着国内网络安全产业成熟度的持续提升,政企用户 的安全重心,将逐渐从采购安全产品以满足合规要求,转移到采购安 全服务以提升安全能力,这是产业发展的必然规律。特别对于国内许 多头部企业而言,在经过多年的安全建设后,继续堆设备所带来的提 升已经相当有限,当前的主要问题在于如何构建一套更为有效的安全 体系,并且如何让这套体系持续高效运作,这也将直接带来对专业安 全服务厂商的安全顶层设计、安全运营服务的需求。中长期来看,政 企用户出于降低人力成本(安全厂商通过体系化管理实现规模效应), 以及应对复杂威胁和管理复杂架构的需要(专业的人做专业的事), 都将持续增加对专业安全服务的采购。安全服务正在成为国内网络安全市场的制高点,除了政企用户对安全 服务的需求和采购在持续增加外,更加重要的原因是安全服务对头部 政企用户“战略卡位”的重要性正在逐渐凸显。安全厂商通过为政企 用户提供安全顶层设计,安全运营等服务,能够有效提升用户的“粘 性”,进而带动对自身安全产品和解决方案的持续采购。因此,国内 头部安全厂商目前都在持续加大在安全服务赛道上的布局。 从安全咨询市场来看,一方面,新的安全法规条例近年来的不断出台 直接提升了用户对安全咨询的需求,另一方面网络安全在政府和企业 内部的战略层级正在不断提升,用户对安全咨询的需求正在从过去数 据安全治理、渗透测试、漏洞评估等专项建设向顶层设计升级,因此 安全咨询服务门槛也在不断提升。包括奇安信、安恒信息、深信服、 绿盟科技、启明星辰等头部厂商都将安全咨询能力的建设作为重点发 力的方向,以卡位“十四五”开局头部政企用户安全顶层设计。目前 许多头部安全厂商已经具备较为完善的安全咨询能力,以绿盟科技为 例,绿盟已经具备覆盖政企用户安全建设全生命周期的安全咨询能 力,涵盖安全规划、建设、运营各不同阶段,并且将安全咨询与新技 术、新场景进行了深度结合。安全运营服务是国内安全厂商近年来的重点布局方向,和海外市场更 为流行 MSS(托管安全服务)不同,国内安全龙头厂商正在探索更 加适应于本土市场的安全运营服务,其中最典型的就是城市安全运营 中心。城市安全运营中心的服务主体以政府机关、监管部门以及关键 信息基础设施为主,综合各个厂商的布局情况,预计全国已经有接近 100 个城市已建成或正在建设城市安全运营中心,而且各个厂商的打 法也有一定差异,比较典型的有启明星辰和安恒信息的城市安全运营 中心,360 的城市安全大脑,奇安信的应急响应中心,以及深信服“人 机共智”MSS 服务等。1)启明星辰城市安全运营中心启明星辰于 2017 年 12 月在成都打造了全国首个城市安全运营中心, 并在 2018 年将城市安全运营中心上升至公司的战略级业务。目前启 明在全国范围内已经建设了成都、济南、宜昌、郑州、西宁、昆明、 杭州等近 40 多个城市安全运营中心。其中许多区域的中心除了向用 户提供安全运营服务之外,还需要承担安全培训、安全研究等职能。 比如郑州安全运营中心就包含了运营中心和培训中心两个部分,其中 运营中心还包含了安全检测中心、安全应急中心、安全研究中心、咨 询服务中心、终端防护中心和云端防护中心六个子中心。 启明星辰城市安全运营中心的用户主要分为三类,核心用户主要是城 市政务云、大数据中心等,用户方是当地的政府相关委办局等,第二 层是当地的关键基础设施、重要信息系统所属的企事业单位,最后是 中小企业。城市安全运营中心采取三级联动的方式,包含了总部、省 中心、地市中心三个层级,中心总部设在北京,同时在各个省会级城 市形成二级区域运营中心,一个二级城市约需 10-20 人支撑,向政企 用户提供包括 7x 24 安全运行监测和应急响应处置在内的信息系统规 划、设计、建设和运行的安全托管运营和安全监管服务。2)安恒信息城市安全运营中心安恒信息近年来将城市安全运营中心作为安全服务业务发展的重点, 目前已经在厦门、金华、衢州等十多个城市开展城市安全运营服务。 主要内容包括:1)对全市关键信息基础设施、工业互联网、城市监 控等物联网系统、党政机关和企事业单位重要信息系统进行全天候全 方位的安全监测;2)提供网络安全协同防御和应急响应服务,会同 相关主管部门建立协调机制,建立统一的联动协同的应急响应组织; 3)提供集约化安全防护和处置服务,解决各单位自行建设导致的投 入大、人员专业化能力不足、实际安全防御效果参差不齐等问题。3)360 安全大脑360安全大脑是 360 公司基于网络安全方面的多年实战积累,凭借安 全大数据、安全专家、攻防知识库等核心优势,面向政企用户打造出 一套以“安全大脑”为核心的网络安全能力体系。360 智慧城市安全运营中心涵盖了安全服务、安全攻防靶场、城市安全运营中心、安全 人才培养、安全技术研发、初创企业扶持、安全检测等多个安全功能。 目前 360 已建成和确定建设了智慧城市安全运营中心的城市包括重 庆、天津、青岛、鹤壁、上海、苏州、郑州、贵州等。4)奇安信应急响应中心奇安信作为国内网络安全行业龙头厂商,在实战攻击、漏洞挖掘、威 胁情报等领域已经构建了强大的安全实战能力。2016 年奇安信开始 建设全国应急响应团队,目前已经建立了国内最大安全应急响应体 系,按国家级、省级和地市级三个等级,主要的内容包括应急响应、 重大活动保障、攻防演练和其他技术支持工作。目前奇安信应急响应 体系已经覆盖全国 31 省市,拥有 2500 人以上的安全技术人员。在 2019年奇安信共参与处置了2000余起全国范围内的网络安全应急响 应事件,共支持 80 余个重要客户的实网攻防演练工作,涉及 27 个部 委、30 家央企以及 22 个省市客户的实网攻防演练工作。目前奇安信 在全国 10 余个城市构建了智慧城市安全运营中心。5)深信服“人机共智”安全运营服务深信服在 2018 年发布了基于“人机共智”的安全运营服务,在长沙 建设了全国安全运营中心,构建了 T1、T2、T3 三级专家团队共 100 余人,分为 T1 安全工程师组、T2 安全运营专家组、T3 首席安全专 家组,面向不同的客户提供 7*24 小时的服务。相较于国外的托管安 全服务更加侧重漏洞、威胁、事件的检测和分析,公司的安全运营服 务则更加切合国内用户的实际情况,会根据企业用户安全能力强弱, 联合合作伙伴配合客户做深浅程度不同的处置工作,帮助客户有效解 决各种安全问题。由于深信服的安全运营服务主要通过远程安全运营 中心来开展,因此能够规避堆人头的方式。2019 年下半年深信服的 安全运营中心就已服务超 500 家客户,覆盖政府、央企、教育、医疗 等多个行业。随着国内安全行业向“体系化”和“实战驱动”演变,政府、央企及 关键行业对于安全厂商从整体框架、技术整合到运营服务的需求正在 快速增加,行业门槛也正在逐渐提升。由于头部安全厂商在品牌和整 体解决方案能力上具备显著的优势,而且考虑到一些合规性的因素, 其竞争力要明显强于中小型安全厂商。1)安全服务能力的构建需要大量的初始资源投入:首先在人员方面, 安全服务厂商需要大量的高级安全专家和一线安全运维工程师的配 置,以及完善的人才培养机制,并且还要针对人员进行流程化管理, 以及 KPI 的制定、运营指标的确立、组织文化的建设等;其次厂商需 要设施齐备的 SOC 中心,强大的软件开发能力、网络带宽保障、7 ×24 的工作时间保障等等;最后在安全服务机制和流程上,厂商需要 将人和工具等不同的要素进行有效组合,并且围绕系统框架、规划方 法、模型架构和项目管理等方面来构建流程化标准化的安全服务能 力。目前头部安全厂商正在围绕人员、技术、流程三个维度来构建在 安全服务市场的竞争力。2)安全咨询和安全运营对厂商的背景和品牌影响力有较高的要求:无论是政府还是企业用户,在选择安全咨询及安全运营服务时,首先 面临的就是信任问题,因为安全服务商将掌握企业用户自身信息系统 的运作流程和风险弱点,而大型厂商在面临信任问题时具备天然的优 势,这也是为什么在全球安全服务市场占据头部位置的基本上都是 IBM、德勤、埃森哲,ATT 这类具备很高品牌知名度的厂商。而国内 安全市场,头部安全厂商将成为安全服务市场的“关键先生”。1.5 SECaaS 是引领全球网络安全行业的新趋势 在传统安全服务之外,安全 SaaS 作为新兴安全服务,正在成为全球 网络安全市场的重要产业趋势。虽然早期欧美企业用户对安全 SaaS的安全性、可靠性也存在诸多顾虑,但随着 IT 基础架构逐渐向云上迁移,安全 SaaS 的渗透率也随之迅速提升。网络安全虽然是 ICT 产业 转云最晚的赛道之一,但其转云的速度却超出了市场预期。在终端安 全、身份与访问管理、网络边界安全、SIEM 等网络安全行业的主要 赛道上,SECaaS 渗透率正在迅速提升。全球范围内,安全 SaaS 整 体渗透率已经达到 10%以上(Gartner 预计 2019 年安全 SaaS 的渗 透率为 12%)。根据 IDC 的数据,过去几年安全 SaaS 的复合增速在 20%以上,远超安全行业整体增速 7%,而且以 Crowdstrike 为代表 的头部安全 SaaS 厂商的收入增长持续超出业绩指引。Okta、Crowdstrike、Zscaler 等云原生的安全厂商正在快速替代传 统厂商的市场份额,近年收入增速基本保持在 40%以上,目前已经成 为了身份与访问管理、终端安全、网络边界安全三个赛道上的领导厂 商。除了成长性高之外,安全 SaaS 厂商在增长的持续性和用户粘性 等方面都要明显优于传统安全厂商。同时以 Palo Alto Networks、 Fortinet 等代表的传统安全厂商也正在积极转云,包括 Palo alto networks 的订阅及服务占比目前也已经超过了 70%。目前国内安全 SaaS 尚处在萌芽期,虽然许多头部安全厂商也推出了 包括云抗 D、云漏扫、云 WAF、云网站监测等远程安全服务,包括 奇安信、安恒信息、深信服、绿盟、启明等头部安全厂商都在安全 SaaS 领域做出了不同程度的探索,但目前在国内市场,安全 SaaS 在边界安全、终端安全以及身份安全等主要赛道上的渗透率还不到 1%,绝大多数政企用户仍倾向于本地部署。我们预计,在未来 3-5 年,随着 IT 基础架构的不断演变,国内安全产业的云化进程有望加速, 安全 SaaS 将从萌芽期逐渐走向成长期。2 安全咨询2.1 什么是安全咨询什么是安全咨询?Gartner 将安全咨询分为三大类别,分别为治理、 策 略 和评估 ( Governance, Strategy, Assessment )、 业务操 作 (Operations)、事件与法律响应(Incident and Legal Response)服 务。1)治理、策略和评估(Governance,Strategy,Assessment)主要包括 安全框架设计、安全策略及安全风险评估,并提供相应的解决方案;2)业务操作(Operations)针对企业用户配置安全、设备安全、应用 安全,以及在应对安全事故时提供技术支持,主要包括了威胁检测、 渗透测试、漏洞扫描、代码检测等相关技术服务;3)事件与法律响应(Incident and Legal Response)服务主要协助用户 搜集与网络安全事故相关的法律证据,对事件的原因进行调查和分 析,并提供业务恢复和法律诉讼相关的服务。全球安全咨询市场总规模在 2019 年达到了 230 亿美元,约占网络安 全整体规模的 20%,是网络安全行业最大的赛道之一。安全咨询作为 一个较为成熟的行业,近年来一直保持着平稳的增长,驱动安全咨询 行业的主要因素来自于安全事件和安全政策。在 2017 及 2018 年,安 全咨询行业增速高达 9.2%及 13.7%,相较之前几年增速有明显的提 升,主要原因是欧盟《通用数据保护条例》(GDPR)的出台。GDPR 规定,任何存储或者处置欧盟有关公民个人信息的公司,即使在欧盟 境内没有业务,都必须遵守 GDPR。而许多跨国企业都因触犯 GDPR 而面临巨额罚单,比如英国航空公司因 2019 年的数据泄露而面临近 2 亿欧元的罚款,万豪集团同样因为客户数据泄露被开出 1.2 亿美元的 罚单。GDPR 作为有史以来处罚力度最大、覆盖范围最广的条例,直 接带动了从 2017 到 2018 年全球安全咨询业务需求的快速增长。因此 也能看出,即使在全球范围内,网络安全依然是一个强合规的市场。北美和欧洲两大成熟市场占据全球安全咨询行业绝大部分的份额,包 括中国大陆在内的新兴市场则展现出强劲的增长态势。根据 Gartner 的统计数据,目前北美是全球规模最大的安全咨询市场,2018 年占比 达 44.8%,其次是西欧,占比为 31.3%。而大中华市场(包括中国大 陆、香港、澳门、台湾等)占比仅 4%。虽然除了北美和欧洲之外全 球其他区域安全咨询行业市场规模仍然偏低,但目前许多新兴市场也 正保持着快速增长的趋势,2018 年大中华区安全咨询行业增速达到 20.7%,领跑全球其他国家和地区。2.2 安全咨询的竞争格局及发展趋势安全咨询行业的头部效应非常明显,安全咨询行业的“Top6”,包括 四大咨询公司德勤、安永,普华永道和毕马威,以及两大 IT 服务商 IBM 和埃森哲合计占据安全咨询行业一半以上的市场份额。德勤、安 永,普华永道和毕马威一直以来都稳定占据安全咨询行业前四的位 置。根据 Gartner 统计数据,在 2018 年德勤安全咨询业务收入达 29 亿美金,持续多年排名行业第一,而安永,普华永道和毕马威则分别 保持第二,第三和第四的位置,安全咨询收入分别为 22 亿、21 亿及 15 亿美金。紧随“四大”之后的是两大 IT 服务巨头 IBM 及埃森哲, 其中埃森哲在 2018 年首次超越了 IBM,成为了全球第五大安全咨询 厂商。除“Top6”外,其他头部厂商还有 IT 咨询公司凯捷、DXC, IT 分销商 Optiv、托管安全服务提供商 Secureworks,国防外包供应 商 Booz Allen 等。此外,全球安全咨询行业还存在数千家中小型和区 域型的安全服务厂商,包括咨询公司/外包商/集成商/分销商/MSSP 都 是全球安全咨询行业的参与者,但总体而言,其他厂商无论在规模和 竞争力上要明显逊色于 “Top6”。德勤、安永,普华永道和毕马威四大咨询公司持续多年占据安全咨询 行业前四的位置,一方面得益于四大在全球范围内的品牌影响力和全 球化的业务布局,另一方面作为顶级咨询公司,四大拥有强大的咨询 服务能力和垂直行业经验,能够将安全咨询作为整体方案的一部分提 供给用户。紧随四大之后的是两大 IT 服务厂商埃森哲和 IBM,相较于四大,埃 森哲和IBM在ICT产业有着更深入的行业布局和更强大的技术实力, 更能够向客户提供包括安全咨询、安全运营、系统集成、安全外包在 内的端到端的网络安全及 IT 服务。近年来头部安全咨询厂商在网络安全领域的并购步伐开始显著加快, 背后的原因是客户对端到端的安全服务的需求在不断增加。对安全咨 询的“TOP6”而言,一方面相较于原有的审计、IT 服务等业务,安 全服务市场具备更高景气度,通过并购一些新兴的安全厂商能够加强 自身的安全技术能力,以持续拓展具备更高价值的安全咨询业务,比 如运营技术/物联网(OT / IoT)的安全测试,云安全评估或 OT 环境 的事件响应,而不仅仅是合规审计,配置评估等传统的安全咨询业务; 另一方面通过并购能够完善对安全服务全产品线的布局,包括“四大” 目前的业务也早已不局限在安全咨询领域,其在安全运营服务等领域 都已经进行了深度布局。安全咨询行业的集中度正在稳步提升。在安全咨询行业,头部厂商因 为其品牌影响力,跨业务的协同能力,领先的技术实力等因素,往往 成为大中型客户的首选。而且近年来随着头部厂商不断加大了对于这 一赛道的投入,包括对中小型安全厂商的收购,填补了业务范围和地 域覆盖上的短板,因此带来了份额的持续提升。根据 Gartner 的数据,安全咨询行业的 CR5 从 2016 年的 42.7%提升到了 2018 年的 44.7%, CR10 从 2016 年的 52.6%提升到了 2018 年的 58.6%。与此同时,因为 安全咨询对于安全服务人员的本地和现场服务有较高的要求,实现真 正的全球化布局即使对于头部厂商而言也存在很大的挑战。而且头部 厂商虽然在综合能力上有所领先,但也难以在所有的客户和项目上都 能保持足够的资源投入,因此未来在安全咨询市场中小规模的安全服 务商依然有其生存空间。2.3 德勤:全球安全咨询行业龙头德勤咨询是全球咨询行业龙头,持续多年收入体量保持在全球第一的 位置。相较于管理咨询领域的 MBB(麦肯锡、波士顿、贝恩),IT 咨询领域的埃森哲及 IBM,德勤的咨询服务以综合性和全面性著称。德勤的业务线共分为 5 大部分,分别为咨询(Consulting)、审计(Audit)、 税务及法律(Tax&Legal)、风险咨询 (Risk Advisory)和财务咨询 (Financial Advisory),网络安全咨询(Cyber Risk Advisory)是德勤风 险咨询业务最重要的组成部分。从德勤近年的发展情况来看,德勤的 传统的审计业务目前已经非常成熟且稳定,根据德勤 2019 年财报, 公司审计业务在 2019 年仅增长了 3%,而咨询业务近年来的增速基本 保持在 10%以上,是德勤的重要增长引擎。其中德勤的风险咨询业务 2019 财年的收入达 53 亿美元,其中网络安全咨询占风险咨询业务的 比重在 60%左右,是风险咨询业务中最重要的组成部分。德勤的网络 安全咨询与其风险咨询的其他四大板块,包括战略和声誉风险、监管 风险、财务风险及运营风险咨询彼此相互关联,融合为完整的风险管 理框架。德勤在网络安全行业的布局早已不局限于安全咨询业务,目前德勤已 经具备从安全咨询到安全实施及安全运营的端到端的安全服务能力。 德勤的网络安全服务业务可分为安全战略(Cyber Strategy)、安全 防护(Secure)、安全预警(Vigilant)、安全响应及恢复(Resiliant) 四大模块。德勤近年来通过不断收购新兴安全厂商以强化自身在网络安全领域 的技术能力及业务布局。2013 年,德勤收购了独立 MSSP 及安全监控 和网络威胁情报厂商 Vigilant , 作为 IT 咨询厂商正式进入了 MSS(托 管安全服务)市场;在 2016 年,德勤收购了加拿大托管安全服务市 场的主要厂商之一 Integrity-Paahi Solutions,同年德勤还收购了知名数 字鉴识和电子取证服务公司 I-Analysis Pte。在 2017 年德勤针对网络 安全领域的并购活动较前几年有所放缓,但其业务增速仍然高达 20%,内生增长的能力得以充分体现。2019 年,德勤收购了网络安全 公司 Converging Data,将其直接纳入到风险咨询框架下,并强化了在 亚太地区市场的布局;2020 年,德勤收购了安全厂商 Zimbani,进一 步加强了在澳洲和亚太地区的覆盖。德勤强大的安全服务能力背后是其覆盖全球的网络情报中心(Cyber Intelligence Centers,CIC)。德勤目前在全球范围内拥有超过 31 个网 络情报中心(CIC),其情报中心网络通过不断汇集关键威胁信息,对 于了解潜在的安全威胁发挥了关键作用,同时德勤也会和其他第三方 威胁情报方共享情报来提升风险识别的能力。基于网络情报中心 (CIC),德勤能够向客户提供 24x7x365 的托管安全服务、安全事件 管理服务和威胁情报服务等。德勤作为安全服务厂商,本身并不直接生产安全产品,但通过与全球 多家领先的安全产品及技术提供商的深度合作,建立了强大的外部生 态系统,联合生态合作伙伴向客户提供完整的网络安全解决方案。在 安全领域,德勤的主要的合作伙伴中包括 Palo Alto Network、Symantec 等安全产品供应商,HP、Oracle、SAP 等 IT 基础设施提供商,以及 AWS 等公有云厂商。3 托管安全服务(MSS)3.1 什么是 MSS MSS(托管安全服务,Managed Security Service)指安全厂商通过统 一的安全运营平台为客户提供一系列安全服务,以满足企业对安全人 员、技术和流程外包的需要。托管安全服务(MSS)的主要职能在于支撑企业安全运营中心(SOC) 有效运行。安全运营中心(SOC)并非简单由安全产品或工具组成, 而是人员、工具、技术、场地、流程的有机结合。SOC 通过集中统一 管理安全工具,并且搜集所有 IT 资产的安全信息,不断监视和改善 组织的安全状况,以及预防,检测,分析和响应企业所面临的网络安 全事件。目前大部分中大型企业已经具备了基础的安全防护措施,包 括防火墙,IDS / IPS,防病毒,VPN 等工具已经成为标配,因此搭建 SOC,将安全工具进行统一管理的必要性也在逐渐提升。SOC 的底层 平台称为 SIEM (安全信息和事件管理) ,SIEM 的主要功能在于搜集 来自企业内部所有 IT 资源的异构数据源的信息(包括日志,事件, 流量、行为等),使用户对整个网络的运行状态进行实时监控和管理, 并及时发布预警,提供快速响应能力。在国内安全行业习惯直接称 SIEM 为 SOC 或安全管理平台,实际上更加突出了 SIEM 作为安全运 营中心底层支撑平台的功能。一般情况下只有一些超大型企业会选择自建安全运营中心,并且能够 持续有效运营,因为这类企业能够保证足够的 IT 安全预算和资源的 投入,且对安全性和数据保护的要求非常严苛,因此对安全外包的选 择上也会比较谨慎。对于大多数企业和政府机构而言,自建,实施, 运行和维护 24/7 SOC 的成本都会过高,而且在专业性和实际效果上 会明显逊色于外部托管服务提供商(MSSP)。首先从成本角度来看,构建 SOC 首先需要满足三个最核心的要素: 人员,流程和技术,三者缺一不可。目前 SOC 功能也在不断扩展, 现在一个全功能的 SOC 至少需要配置 8 至 12 名全职员工,包含了各 级安全分析师,事件处置/调查人员,安全专家及经理,这还不包括人 员流动及休假等特殊情况。除了人员之外,构建 SOC 还包括了流程的建设,比如人员如何实现有效协同,如何分配权限等等,而且对 SIEM 的实施和管理都需要 IT 资源的持续投入。构建一个完善的 SOC 至少需要耗费上百万美金,而且短期还不一定能见到明显成效。对于 一个专业的 MSSP 而言,因为能够同时服务多个客户,具有一定的规 模效应,因此能够降低向客户提供安全服务的成本。其次从专业性上来看,大多数企业实施、管理和应用安全管理平台(安 全信息和事件管理(SIEM))的门槛都非常高。目前主流的安全管理 平台,比如 LogRhythm 的 NextGen SIEM,IBM 的 Qradar SIEM, Splunk 的 Analytics-Driven SIEM,都会有合作的托管服务提供商 (MSSP)来提供相应的运营服务,能够降低企业的实施和使用的门槛,而且 MSSP 能够帮助企业用户以相对较低的成本来利用一些新兴 的安全技术。托管安全服务的另一个好处在于,企业自身的 IT 团队 是很难实现 24/7 的安全检测,而对于像 IBM 这类大型 MSSP,他们 的 SOC 都是分布在全球各个地区,能够横跨多个时区,轮流传递工 作任务,真正实现 24/7 的全时间段覆盖。因此全球范围内大多数企业通过与外部托管服务提供商(MSSP)合 作,将自身的安全运营流程、人员、技术外包,已经成为了非常主流 的选择。在采购 MSS 服务后,企业仅需要搭建一些基础的功能如 LM (日志管理),即可通过采购 MSS+MDR 服务来构建 SOC,或者企业 在本地部署 SIEM,但采购第三方的 SIEM 管理服务(Co-managed SIEM)模式,让第三方来构建和运行 SOC。托管安全服务供应商作 为企业安全团队的延伸,能够帮助企业搭建更加成熟的网络安全体 系,减轻安全运营团队的工作压力,使其更加专注于自身的核心业务。MSS 作为百亿美金级的大赛道,近年来基本维持在 10%以上的快速增 长。IDC、Gartner 两大机构对 MSS 的口径存在一定差异,其中 Gartner 对 MSS 有非常严格的定义,即 MSSP 必须通过统一的平台进行远程交 付,且具备明显的多租户特征,对于一对一的定制化的模式,比如利 用客户自己的 SIEM 解决方案交付的托管的 SIEM 服务则不包含在内, 可以看做狭义的 MSS。相较而言,IDC 所定义的 MSS 的范围更加宽泛。 根据 IDC 的口径,MSS 2018 年的市场规模达到 211 亿美金(Gartner 的口径下 2018 年 MSS 市场规模为 107 亿美元)。在欧美 MSS 市场已经形成了非常成熟的定价和交付模式,安全服务 商通过服务等级协议(SLA,service-level agreements),能够量化所 交付的 MSS 的等级和质量。标准且清晰的行业规范和定价模式是支撑MSS 持续发展的重要基础。托管安全服务提供商根据不同等级的 SLA 提供不同级别的服务,定价基准包括安全设备数量和规模、数据 量、端点数量、员工数量、事件数量等,并且根据平均检测时间、平 均响应时间、平均报告时间等要求制定服务等级。企业客户也会评估 SLA 的报价,对自身的可承受风险和成本进行权衡取舍,确定是否可 以接受较低等级的服务,因此一般更昂贵的服务具有更短的响应时间 和更高的服务质量。而在违反了约定的 SLA 时,服务提供商也将按照 合同要求提供相应的额外服务或罚款。除了供需双方量化服务等级的 要求之外,合规要求也是驱动 SLA 不断完善的重要因素,比如通用数 据保护法规(GDPR)和支付卡(PCI)行业标准中都包含了 SLA 相 应的规范要求。从定价情况看,以全球知名的安全服务商 Alert Logic 为例,Alert Logic 针对客户提供基于 SIEM 的远程安全运营服务,包含了 Essentials,Professional 和 Enterprise 三条业务线,覆盖从中型企业到 大型全球化跨国企业的一系列客户,公司针对这三类业务的定价参考 (实际价格会根据 SLA 有所调整)为:Essential 主要包括漏洞管理和 资产可视化等一些基础服务,价格在 550 美元/月;Professional 在 Essential 的基础上增加了安全威胁监测和事件管理等服务,价格在 2400美元/月;Enterprise在Professional基础上增加了托管WAF或SOC 等服务,价格为 4500 美元/月。3.2 MSS 的竞争格局及发展趋势 MSS市场整体竞争格局较为分散,全球前十的 MSSP 市场份额合计为 32.6%,前二十的 MSSP 市场份额为 47.2%,跟安全咨询相比,MSS 的 集中度偏低。在 MSS 市场头部的厂商中,前二十大厂商仅 Symantec, Trustwave 是独立安全厂商,占主导的一类是 IT 服务商,包括 IT 咨询 厂商、IT 外包服务商,主要有 IBM、埃森哲、Atos、DXC Technology、 Wipro、HCL、凯捷等,另一类是电信运营商,包括 ATT、NTT、BT、 Verison、DT 等。无论是 IT 服务商还是电信运营商,均将 MSS 业务 作为其 IT 整体解决方案的一部分向用户提供。 MSS 行业集中度偏低的原因一方面在于,MSS 的业务模式已经非常成 熟,且随着安全编排和自动化等技术的不断发展,MSS 中包括安全事 件监控等基础业务变得逐渐标准化和同质化,门槛也有所下降,导致 行业参与方在不断增加。全球来看绝大多数的大型电信公司,IT 外包 商(ITO)和系统集成商(SI)都有涉及 MSS 的一些基础业务,而且 许多企业因为各种原因,更愿意向综合型 IT 服务厂商采购一揽子服 务,而非向专业 MSSP 进行采购;另一方面在许多国家和地区,受限 于一些数据本地化相关的法律合规要求,用户只能向本地服务商进行 采购。因此相较于安全咨询,MSS 厂商在全球化布局上会遇到更多的 限制。早期头部 MSSP 通过不断并购整合来完善产品线和区域覆盖能力,目 前全球 MSS 市场竞争格局逐渐趋于稳定。从 MSS 行业的发展历程来 看,MSS 在上世纪 90 年代末开始萌芽,并在 2001 年前后行业开始整 合,大型的 IT 服务商和电信运营商包括 IBM、Verizon、BT、HP、 NTT 开始收购垂直领域的安全厂商。到 2010 年,MSS 市场逐渐从北 美向全球其他区域拓展,Secureworks,Verizon,Symantec 开始确立 自己的领导地位,而随后 IBM 和 AT&T 凭借综合型 IT 服务厂商的优 势逐渐赶超并且成为了行业份额排名前二的厂商,独立的 MSS 厂商随着市场不断的整合数量越来越少。目前来看 MSS 的竞争格局已经 非常稳固,在最近几年内,大部分场的市场份额也一直相对停滞,大 多在 0.1%和 0.2%之间波动。随着安全技术的发展和安全形势的变化,MSS 在近年来也正在向更 高层次不断演进。早期 MSS 主要是针对一线安全人员的基础安全运 营工作,包括防火墙、入侵检测等安全工具的管理和配置等,主要处 置设备管理和合规问题。随着安全技术的不断进步,MSS 也开始向安 全信息与事件管理系统(SIEM)的管理,7 x 24 小时的持续监控和告 警等服务演进,以提供安全分析、情报、响应、编排的闭环服务为主。 目前 MSS 正在向高级行为分析、大数据分析、托管检测与响应 (MDR)、威胁情报、威胁狩猎等新兴领域不断发展。随着传统的 MSS 市场整体增长趋缓,以托管检测及响应 (MDR) 为 代表的新兴 MSS 业务正在快速兴起。根据 Gartner 的统计,新兴 MSS 服务(包括 MDR,IaaS、SaaS、Iot、OT 等新型 IT 环境下的安全监 测,以及托管的网络流量分析及威胁情报等服务)在整体 MSS 市场 的占比达到了 11%,其中占主导的是托管检测及响应 (MDR)服务, 年均增长在 20%以上,目前渗透率还不到 5%。相较于传统的 MSS 服务,MDR 能够为用户提供更深入更全面的安全服务,并和 EDR(端 点检测与响应)等新兴技术相互融合,进一步增强了安全威胁检测和 响应的能力。随着用户对 MDR 需求的不断增加,专业安全厂商在安 全服务市场相较于综合型厂商的竞争力也有所增强,目前 MDR 服务 的大部分提供者都是专业安全厂商。为什么 MDR 能够成为全球托管安全服务行业的重要趋势,主要原因 在于 MDR 能够有效应对传统 MSS 在威胁检测和响应能力上存在的 不足。MSS 业务重点在日志管理和设备管理上,而 MDR 的侧重点在 威胁检测和响应上,会采取更主动的方法来检测安全事件。MDR 充 分利用客户部署在端点及网络层的工具,通过行为分析,网络流量分 析,威胁情报以及与安全专家的组合,为客户提供更加深度和全面的 威胁监视,检测和响应的服务,而不像 MSS 主要依靠客户现有安全 工具生成的日志来监视和检测威胁。因此 MDR 非常适用于许多安全 框架不完善以及内部 IT 安全资源投入不足的企业。3.3 IBM:网络安全行业的蓝色巨人IBM 作为全球知名的信息技术产业巨头,以“蓝色巨人”之名享誉全 球。在网络安全产业,IBM 同样有着非常独特的地位。在 2019 年底 Symantec 的企业安全业务被博通收购之后,从收入规模来看,IBM 正式成为了全球规模最大的网络安全厂商,而且能够同时在安全产品 市场和安全服务市场均占据头部位置。在网络安全行业,IBM 借助自身强大的品牌影响力,全球化的布局和 完整的安全产品线,能够向客户提供完整的 IT 及网络安全解决方案, 同时 IBM 分布在全球的运营中心和情报网络也是其网络安全业务的重要支撑。IBM 在全球拥有 5 个全天候运行的 X-Force 指挥中心,以 及 4 个非 24/7 的 SOC,分布在美国的乔治亚州和科罗拉多州,欧洲 的波兰和比利时,印度班加罗尔、哥斯达黎加爱雷迪雅、巴西霍托兰 达、以及日本东京等地。这些 SOC 能够向客户提供多种语言的支持, 例如英语、西班牙语、葡萄牙语和日语,向分布在全球 133 个国家和 地区的客户提供本土化语言支持。根据 IBM 与许多客户的协议,SOC 会将客户在运营中遇到的安全事件共享到 X-Force 平台,这形成了 IBM 安全大数据的来源,同时再通过 IBM 的 9 大安全运营中心共 1400 多名网络安全专家,每天对 200 亿以上的安全事件进行梳理。IBM 遍 步全球的 9 个 SOC,12 个安全研究中心及 14 个安全开发实验室构建 了全球顶尖的网络安全服务交付平台和情报网络。以 IBM 位于波兰弗罗茨瓦夫 X-Force 中心为例。IBM 的波兰弗罗茨瓦 夫中心在 2017 年 6 月正式启动,雇用了超过 160 名网络安全专家, 与亚特兰大和哥斯达黎加的 SOC 并列为 IBM 的前三大的 X-Force 中 心。弗罗茨瓦夫中心完全遵从欧盟的相关法规交付安全服务,客户数 据驻留不会超出欧盟所要求的范围,主要任务是支持客户应对网络安 全事件,以应对 GDPR 法规并提供专业服务,并充当 IBM 全球网络 中心的枢纽。弗罗茨瓦夫的中心与其他八个 IBM X-Force 指挥中心通 过全球网络相连,每个月平均处理一万亿次网络事件,覆盖来自 133 个国家/地区的客户,构建了 IBM 的全球网络安全情报网络和交付平 台。除了情报及服务交付之外,IBM 的 X-Force 中心还承担了安全培 训、安全研究等相关的职能。IBM 的安全服务业务基于 IBM 的“安全大脑”QRadar SIEM 平台, 能够为用户提供全生命周期的安全管理服务。无论客户是需要共享多 租户服务,本地服务,还是混合服务,都可以通过 QRadar 对整个客 户群进行统一管理。除了 IBM 自己的 QRadar 平台服务之外,IBM 还 能够支持多种其他 SIEM 平台,包括 Splunk 和 ArcSight 的 SIEM 平台。 IBM 主要 MSS 业务还包括漏洞评估和管理服务,事件响应和情报服 务(IRIS),以及综合威胁管理服务(XFTM),而且 IBM 的认知计算系统 Watson 也会服务于网络安全业务,以增强 IBM 的 MSS 能力。此外, IBM 的 X-Force 的平台整合了強大的合作伙伴生态体系,包含了 Carbon Black、Crowdstrike、Cisco、Palo Alto Networks、Fortinet、 Checkpoint 等顶级安全厂商,为用户提供全生命周期的安全服务。4 安全即服务(SECaaS)4.1 什么是 SECaaS随着企业的 IT基础架构及安全架构逐渐向云上迁移,安全即服务 (SECaaS,Security as a Service)正在成为全球网络安全行业近年来 最重要的产业趋势,引领了行业商业模式的变革。在 SECaaS 模式下,安全能力集中托管在云上,基于多租户架构,以 云服务的方式向用户动态分配安全资源。相比本地部署的安全架构, SECaaS 在节约成本、弹性部署、释放资源和提升能力等多个方面具 备明显的优势。1)节约成本:SECaaS 无需内部硬件或庞大预算即可集成安全服务, 仅在需要时才支付所需的费用,而且基于云的安全产品和服务还可以 避免用户对昂贵的安全专家的需求;2)弹性部署:SECaaS 的另一大优势就是能够大幅减少产品部署的时 间和成本,用户可以按需购买所需的安全资源,且能够动态扩展到平 台所提供的其他安全功能模块;3)释放资源:SECaaS 简化了企业内部 IT 与安全团队之间的工作, 将安全解决方案的部署、配置、维护、更新和管理纳入到云安全厂商 的业务范畴,让内部团队可以专注于更具战略意义的业务;4)提升能力:SECaaS 厂商能够将其所覆盖的每台服务器、PC 及其 他设备纳入自身的情报网络,在云端安全实时动态更新病毒库和特征 库,向用户提供更强大的威胁情报和安全专家服务。全球范围来看,SECaaS 已经度过了萌芽期,目前正处于快速成长期。 根据 IDC 的数据,2019 年全球 SECaaS 的市场规模已经达到了 93 亿 美金,同比增长 18%,增速明显高于全球网络安全行业的平均水平。从各个细分赛道的规模来看,AIRO(分析、情报、响应、编排,主要 包含 SIEM 和威胁情报等产品)是目前 SECaaS 领域最大的细分市场, 规模达到 27 亿美金,一定程度上得益于 SIEM 及威胁情报相关服务天 然适合于通过云的方式进行交付,其次为身份与访问管理(IAM)及 终端安全市场(Endpoint Security),规模分别为 21 亿及 18 亿美金。 从成长性来看,终端安全 SaaS 的增速排名第一,是各个细分赛道上 云速度最快的一个,其次为 Web 安全及 AIRO。与此同时,网络边界 安全(Network Security)作为网络安全行业规模最大的细分赛道,目 前 SECaaS 的应用要滞后于终端安全和身份安全市场。虽然安全 Web 网关及 WAF 的云化程度已经较高,但是网络边界安全市场最大的赛 道防火墙,受限于大流量高并发场景及内部隔离等场景对本地部署的 刚性需求,其云化的难度要显著高于其他的赛道。SECaaS 与托管安全服务(MSS)及云安全(Cloud Security)存在 非常显著的区别:1)SECaaS 与 MSS 的区别在于:MSS 更多是针对企业本地部署的安 全工具,比如针对防火墙、入侵防御系统、SIEM 等提供安全监控、 安全管理等服务,在某些情况下,托管安全服务提供商(MSSP)可 能成为 SECaaS 厂商的下游客户,即 MSSP 可以将 SECaaS 作为整体 解决方案的一部分提供给最终企业客户。而在 SECaaS 模式下,安全 资源和数据都是集中托管在云上的;2)SECaaS 与云安全的区别在于:云安全指针对云上 IT 资源进行保 护的安全解决方案,云上资源包括了公有云、私有云、混合云及 SaaS应用,而云安全解决方案可以部署在本地,也可以通过 SECaaS 的方 式进行交付,而 SECaaS 则必须基于云和订阅的方式进行交付,可用 于保护云上 IT 资源,也可用于保护本地的 IT 系统。4.2 SECaaS 的竞争格局及发展趋势SECaaS 正在驱动全球网络安全行业竞争格局的变化,以 Okta、 Crowdstrike、Zscaler 为代表的新兴 SECaaS 厂商正持续替代老牌安 全厂商的市场份额,并且分别成了 IAM、终端安全、网络边界安全 三个主要赛道上的主流玩家。Okta、Crowdstrike、Zscaler 在 IAM、终 端安全、网络边界安全市场的份额均在迅速提升,特别是 Crowdstrike 近三年的复合增速达到 100%以上,是网络安全行业历史上增速最快 的厂商之一。在快速成长的同时,三家公司目前分别进入了 Gartner 的 AM(访问管理)、EPP(端点保护平台)、SWG(Web 安全网关) 魔力象限的“领导者”的象限,且基本上处于魔力象限的右上角位置, 这也预示着它们在主流的安全市场也已经成为了行业的领导者。Okta 是身份与访问管理(IAM)领域的云原生安全 SaaS 厂商,公司 市值为 368 亿美金(2021 年 2 月 18 日),是全球市值第三大的独立安 全公司。Okta 于 2009 年创立于美国旧金山,两位创始人均来自于全 球 SaaS 鼻祖 Salesforce。从创立初始,Okta 便围绕企业在上云过程中, 传统的身份与访问管理逐渐失效这一问题,进而打造了身份云—— Okta Identity Cloud,来解决混合环境下的企业的身份与访问管理问 题。在 2014 年,Gartner 首次发布了身份与访问管理即服务(IDaaS) 魔力象限,Okta 作为一家成立仅 5 年的新兴安全厂商,即进入了 IDaaS 领导者(leaders)象限。随后 Okta 在 2017 年首次进入了 Gartner 访问 管理(AM)魔力象限,且在 2017-2019 连续三年保持在“领导者 (leaders)”位置,且从前瞻性以及执行力两大维度来看,Okta 优势 还在不断扩大。2020 财年 Okta 收入达到 5.9 亿美金,同比增长 47%。Okta 的身份云实际上针对的是随着企业 SaaS 应用不断增加,而传统 的 IAM工具难以有效应对新型 IT环境下的身份与访问管理所产生的问题。Okta 最核心的模块是单点登录系统(SSO,Single Sign On), 能够让用户通过 Okta 的 Web 门户仅进行一次身份认证,即可获得系 统中其他云上 SaaS 应用及本地应用程序的访问权限,这一方面解决 了过去企业员工需要创建多个密码,来访问不同的应用,进而带来的 账号密码管理相关的安全风险;另一方面企业安全管理人员也能够通 过 Okta 的身份云平台对所有内部和外部的应用及访问人员统一进行 身份与访问管理。Okta 的身份云将数千个 SaaS 应用预集成在云端, IT 管理员仅需做简单的设置即可完成部署,而不必针对每个应用程序 的 API 及协议再进行定制化开发。因此,Okta 提供给用户的实际上是 已经将所有技术细节封装好的身份云服务,能够有效降低企业对于身 份与访问管理相关的 IT 资源投入。CrowdStrike 是全球知名的终端安全 SaaS 厂商。在成为全球市值最 大的独立安全公司(528 亿美金,2021 年 2 月 18 日)的同时, CrowdStrike 也是美股增长最强劲(FY2017-2020 复合增速 100%以 上)和估值最高(PS-FY2020 为 110 倍)的网络安全公司。CrowdStrike 凭借威胁情报和 EDR(端点检测与响应)产品起家,EDR 作为新兴 的端点安全工具,是传统终端防病毒产品的有效补充,能够有效监视 终端的异常行为,捕获可疑数据进行分析、取证、调查及修复。 CrowdStrike 在通过 EDR 实现快速发展的同时,凭借云原生的端点安 全平台,以及轻量级的端点安全方案,近年来不断替代老牌终端安全 厂商迈克菲、赛门铁克的市场份额。目前 CrowdStrike 已经成为了终 端安全行业的领导厂商,在 2019 年进入了 Gartner 魔力象限的领导者 象限(Leaders),并且产品线正在从端点安全向身份安全、CWPP 等 领域不断横向拓展。网络边界安全市场最具代表性的安全 SaaS 厂商是 Zscaler,Zscaler 基于直接到云(direct-to-cloud)的架构,构建了位于流量出发地和 目的地之间的中间层,正在逐渐颠覆本地部署的边界安全架构。早期 的企业网络架构以本地数据中心为访问的中心,随着企业对于云上应 用和 IT 资源访问的不断增加,企业的网络环境也正在发生巨大变化: 1)相比企业内网,员工更依赖开放的 Internet 来完成工作;2)相比 本地应用,企业更多的使用 Office365、Salesforce、Workday 等 SaaS 应用;3)相比本地数据中心,企业的工作负载和应用程序更多的托 管在 AWS、Azure 等 IaaS 平台之上,而本地数据中心已经不再是用 户访问的中心。与此同时,企业员工对于移动办公和远程办公的需求 激增,办公地点不再局限于公司,家庭、机场、咖啡厅都成为了潜在 的办公场景,而在这类混合环境下传统的网络边界安全防护机制正在 逐渐失效。Zscaler 直接到云的架构(Direct-to-cloud)不仅改变了安全架构,也 改变了企业的内部网络架构和对外部应用的访问方式。在部署了 Zscaler 的云之后,企业分支机构流量无需再流入总部统一执行安全策 略,因此也无需依赖特定网络,包括 MPLS 专线租用以及 VPN 设备。 通过 Zscaler 直接到云的架构,用户可以通过 Internet 连接到最近的 Zscaler 数据中心,以最短的路径到达云上应用程序或企业内部应用, 实现了用户体验的大幅提升,并降低所需相关硬件设施及专线租用的 投入。在 Zscaler 的方案部署完成后,为 1 个有 100 名员工的企业和 100 个均仅有 1 名员工的企业提供服务,在机制上完全无差异的,是 真正的动态、弹性和多租户的云原生解决方案。除了云原生的安全厂商之外,Palo Alto Networks、Fortinet 传统安全 厂商也正在积极转云,并取得到了明显的成效。以 Palo Alto Networks (PANW)为例,PANW 作为下一代防火墙的缔造者和行业龙头,目 前正从过去的产品销售的模式向订阅服务和云服务全面转型,目前订 阅及服务收入占比已经接近 70%。PANW 在 2019 年将自身的产品线 重新划分成了三大方向,分别为 Strata(企业安全), Prisma(云安全) 和 Cortex(未来安全),其中 Prisma(云安全)和 Cortex(未来安全) 被 PANW 定义为 Next-Gen(下一代)的业务线。如果将 PANW 的 Next-Gen 业务作一家独立的公司,那么它的体量和成长性完全可以与 Okta、CrowdStrike 和 Zscaler 三家 SECaaS 厂商媲美。PANW 也对 Next-Gen 业务设定了很高的增长目标,公司预计,到 2022 财年,PANW 的 Next-Gen 业务线的 Billings(考虑递延收入的口径)将达到 17.5 亿 美元,占公司 Billings 的 30%。这意味着未来两年 Next-Gen 业务线的 平均增长率将达到 45%以上。4.3 Crowdstrike:下一代端点安全平台CrowdStrike 作为全球知名的下一代端点安全厂商,其产品形态和交 付模式跟赛门铁克、Macfee 等传统终端安全厂商有非常显著的差异。CrowdStrike 的端点安全方案由本地部署的轻量级代理与云端的 Falcon 安全平台两部分构成,CrowdStrike 本地代理大小仅为 10MB 左右(赛门铁克在本地部署的终端安全方案约 700MB,McAfee 约 1GB),并且集成了安全检测功能(在断网情况仍能执行基础安全功能) 以及数据过滤器(回传有效数据以减少带宽资源占用)两大模块,通 过将端点数据回传到云端后执行安全策略,能够有效减少本地 IT 资 源的占用。相较于传统的端点安全方案,CrowdStrike 轻量级的端点安 全方案具备三个方面的优势:1)和其他 SaaS 产品类似,在敏捷性、易用性、可扩展性、定价灵活 性等方面要明显优于本地部署的安全产品,特别是本地部署轻量级代 理具备更强的伸缩性,能够显著缩短交付和部署的周期;2)基于云原生架构能够实现安全功能的快速迭代,特别在网络安全 这类技术变化非常快速的行业,安全能力的动态迭代是安全厂商真正 的竞争壁垒;3)云上的威胁情报网络具备很强的网络效应,只要在单个端点检测 到了某个未知威胁,云端的威胁库将实时更新,进而 CrowdStrike所覆盖的所有用户的所有端点能够实时提升应对未知威胁的能力。目前CrowdStrike的主要竞争对手包括赛门铁克等也正逐渐将传统的 基于本地部署的安全产品向云端迁移,但相比 CrowdStrike 云原生的 方案,在功能模块的耦合性还有可扩展性等方面存在明显差距。 轻量级代理展现出了强大的快速部署能力,CrowdStrike 仅需要数周 就能够完成超过 10 万级终端的大型企业的部署,并且能大幅降低企 业后续管理和运维的成本。CrowdStrike 的 Falcon 平台目前已经为 AWS、汇丰银行、凯越酒店集团、ADP 有限公司、口袋妖怪国际等全 球多家大型跨国集团提供了终端安全解决方案。CrowdStrike 轻量级的 代理能够快速部署及实施,在服务这类超大型客户时,能够在短时间 内实现对十万级终端的快速覆盖。比如公司在数天内就部署了凯越酒 店的超过 4 万个终端,12 周内部署完成了汇丰银行的超过 32 万个终 端,三个月时间在 ADP 公司 8.5 万台服务器上完成实施,且在快速部署的同时对客户现有的业务流程不造成太大影响。CrowdStrike 的订阅用户数和销售收入保持高速增长,而且通过“低 接触式”销售,能够加速对新用户的覆盖。公司早期客户群体主要以 大中型企业为主,包括 40%以上的全球财富 100 强、前 20 家银行中 的 9 家均是公司客户。近年公司通过免费试用、网络营销等低接触式 销售加大了中小型公司的拓展力度。公司于 2017 年 12 月开始采用试 用付费模式,为潜在客户提供 15 天免费试用 Falcon Prevent,2018 年 5 月,公司在 AWS 上提供 Falcon Prevent 的试用和购买。截至 2019 年 1 月 31 日,公司约三分之二的订阅客户是员工数少于 1000 人的企 业。2020 年在疫情的驱动下,公司的订阅用户数和营业收入均实现了 快速增长,截止 2021 年第三财季,公司的订阅用户数达到了 8416 个, 同比增长了 85%。CrowdStrike 的 Falcon 平台具备很强的可拓展性,用户仅需在本地部 署一个代理,在订阅多个安全功能模块时无需额外的部署和实施的成 本,因此 CrowdStrike 能够针对老客户不断增加终端数量和额外功能 模块的交叉销售。大部分客户在刚接触到 CrowdStrike 的产品时,往 往从 EDR 或者反病毒等单一安全模块的采购开始,在一段时间后即 转化为公司的“重度用户”,开始订阅威胁情报、威胁狩猎等其他安全模块。在 FY18Q1 仅有 9%的用户订阅了 4 个及以上的云模块,而 到了 FY21Q3,这一占比提升到了 61%,而且公司的净留存率持续保 持在 120%以上。CrowdStrike 的威胁情报网络具备强大的网络效应。CrowdStrike 部 署在每个端点上的轻量级代理都是数据搜集器,只要在单点检测到未 知威胁,云端的威胁库会实时更新,进而 CrowdStrike 所覆盖的所有 用户的所有端点能够实时提升应对未知威胁的能力。而且覆盖的终端 数量越多,所汇聚的威胁情报数据量越丰富,其终端用户所具备的安 全防护能力也就越强大。公司目前每周通过分布在全球数百万的端点 的数据搜集,处理、关联和分析超 4 万亿的安全事件。同时公司还会 建立安全威胁和事件的索引,作为云端能力的一部分。本地轻量级代 理通过机器学习和 AI 等算法收集和分析未经过滤的数据,对数据进 行智能过滤以确保数据的高保真度,即只将威胁检测、预防和调查所 需的数据传输云上,将端点的 IT 资源消耗降到最低,并显著降低网 络带宽的占用。此外 CrowdStrike 的威胁情报服务平台 Falcon X 还汇集了威胁情报 收集、分析、搜索、输出及溯源的完整产品线。Falcon X 包括:1) 端点情报搜集:在 Falcon 平台发现并隔离的所有文件都将由 Falcon X 自动调查;2)恶意程序分析:所有针对可疑文件的分析都将在 Falcon 沙箱中完成;3)恶意软件搜索:自动发现恶意程序相关联的威胁及 运动轨迹,以防御在未来发生类似的攻击;4)定制威胁情报: Falcon X 与其他安全工具共享,以保护无法安装 Falcon 端点保护的系统的用 户;5)威胁情报溯源及防御:了解威胁的幕后发起者,以及背后的 商业背景和攻击方式,部署先发制人的安全策略。威胁情报显著增强 了 Falcon 系列产品在端点的安全能力。虽然公司的终端安全产品在离 线状态下也能够使用,且每个端点都具备基础的安全功能。但在接入 到云端的威胁情报库后,根据 Gartner 等第三方的测评结果,其安全 检测效果得到了大幅提升,凸显出公司威胁情报网络和安全大数据的 有效性。基于云原生架构,CrowdStrike 能够实现安全功能的快速迭代,Falcon 平台功能模块的不断增加带来了公司业务边界的持续扩张。CrowdStrike 在 2013 年前后的产品线仅有威胁情报和 EDR,在 2017 年前后,公司开始基于单一的 EDR 产品向多 SKU 多产品模块的体系 发展,到 2019 年底已经推出了 IT 资产管理、漏洞管理、下一代防病 毒等十个彼此高度协同的云模块。目前 Crowdstrike 的 Falcon 平台上 已经包含了 17 个模块,跨越 IT 运营,端点安全,托管安全服务,威 胁情报和身份安全(通过收购 Preempt Security)等领域,远远超出了 单纯的端点安全的范畴,TAM 已经达到了 324 亿美金(端点安全市场 TAM 为 84 亿美金)。详见报告原文。(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)精选报告来源:【未来智库官网】。
避孕药2021网络安全产业面临的机遇与挑战
市场调研机构Canalys发布报告《网络安全产业的现在时和将来时》,剖析2021年及以后网络安全产业面临的机遇和挑战。由于上一年新冠疫情在全球肆虐,网络安全行业面临着不少挑战。例如,企业在被迫数字转型过程中,造成数据泄露威胁加剧。另一方面,攻击者的攻击手段和方式也日趋复杂和成熟,加密勒索和针对新冠疫情的网络钓鱼层出不穷。基于此情况,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%。数字转型加剧数据泄露2020年以来行业的数据泄露加速,尤其是教育、医疗保健、媒体、娱乐和游戏。在新冠疫情期间,上述部门都经历着数字化转型的巨大转变。各行业发生的数据泄露事件占比Zoom是吃到了疫情红利的产品之一,但它却成为了数据泄露的目标。暗网上有超过50万个Zoom帐户信息被出售或免费赠送,黑客利用以往数据泄露事件中流出的账户,通过“证书填充攻击”(credential stuffing attack)收集数据。这导致平台上出现了一些案件和恶意活动。2005年以来,数据泄露事件的主体是技术部门、数据分析部门、社交媒体和数据代理公司。历年通告的数据泄露事件及损失但在近些年的数据泄露事件中,攻击者看到了数据潜在的高价值,专注于窃取高价值的个人身份信息(PII),并转向其他能带来高收益的攻击手段,例如勒索软件和加密劫持。2020年,网络钓鱼活动中的勒索软件激增,报告的案件数量增加了近60%。攻击者在过去的一年演变出了新战术,首先从目标中渗出数据,然后加密资产,以向目标受害者施压,要求支付赎金。Maze、Conti、REvil、DoppelPaymer和NetWalker是惯用此类手法的勒索组织。由于2020年远程工作需求的爆发,钓鱼活动开始针对安全意识和保障较弱的远程办公人员。并且这种情况由于新冠疫情未结束而持续下去。钓鱼活动起初针对在网络上搜索新冠疫情信息的人,然后演变成模拟云平台、服务和工具这些远程办公所依赖的生产工具;接着,钓鱼行为开始针对搜索和接种新冠疫苗的人。此外,暴力破解远程桌面协议(RDP)也是攻击者的主要攻击手段之一。攻击复杂程度上升如今攻击者的行为已经变得更加复杂和成熟。自动技术化的发展一定程度上加剧了攻击行为,僵尸网络操纵者借助自动化快速成长并攫取利益。据估计,将近三分之一的互联网流量由恶意机器人制造,超过三分之一网站登录和其他数字服务的登录记录是虚假的。盗刷团伙利用先进的机器人和自动化技术,抢夺新冠疫情期间在线电商的流量红利。他们利用泄露的个人身份信息,大规模进行凭证滥用、盗刷、网络刷单、库存抓取、DDoS攻击和漏洞扫描。最有利可图的是新一代游戏机发售。例如索尼的PlayStation 5和微软的Xbox X、S系列。由于线下实体零售店的关闭,新一代游戏机的发布和发售全都在网上进行。限量发售的大部分货源被机器人拍下,转而在拍卖网站上高价售出。虽然这一行为在大多数国家并不违法,但转卖所得得收益可能会用来资助其他恶意网络活动。除了操纵僵尸网络之外,攻击者对人工智能的使用还处于早期阶段,但它带来的新挑战需要缓解和应对方法。利用Deepfake技术合成人物形象进行欺诈由来已久。主要是窃取知名人物的图像、视频和音频信息,对特定的个人和组织进行有目的性欺诈。起初,这项技术主要用于影视特效,例如塑造一个虚拟角色。知名度最高的一个案例是,一家英国能源公司被攻击者利用合成语音技术诈骗24万美元。攻击者伪造母公司首席执行官的声音,要求该公司总经理向一家新供应商汇款。最近发生的Sunburst攻击事件和SolarWinds供应链攻击,是攻击者部署日趋复杂和成熟的又一个例子。更广泛的供应链攻击已经大量国家流传,包括商业电子邮件泄露、证书钓鱼和凭证欺诈。攻击者还会开发假的网络安全应用程序和恶意应用程序来伪装。数据监管加强倒推企业革新针对数据方面的立法落后于个人的隐私和网络安全需求,也落后于数据集成者和攻击者的意图。但随着各国提升数据保护的优先级,立法开始跟上。然而,在实际情况中,处于数据泄露中心的组织和企业没有及时响应和承担责任。那些在网络安全技术和流程方面没有足够投入的公司更是脆弱。欧盟的《通用数据保护条例》(GDPR)是一个优秀标杆,它为隐私数据设定了全球基准,但仍有不明确之处。GDPR要求实施数据保护措施,来安全地处理数据。包括使用双重身份验证(2FA)和端到端加密,以及员工培训、制定公司数据隐私政策和限制对个人数据的访问。此外,处理个人资料亦须获得当事人同意。组织或企业被要求在72小时内告知当局数据泄露。如果不遵守,企业将被处以2000万欧元(2400万美元)的罚款,或全球营收的4%。各地区出台的数据保护政策和措施GDPR于2018年5月在所有欧盟成员国生效,目的是为数据保护提供统一的框架。2020年,GDPR共发出12.1万份违规通知,比2019年增加19%。在此期间,GDPR罚款增加了40%,共计1.92亿美元。在2020年开出的五大罚单中,有两笔是针对数据泄露的。去年网络安全投资明显高于IT行业的其他领域Canalys首席分析师Matthew Ball在评论这份全新的有关网络安全的报告时表示:"网络安全必须成为数字计划的前沿和中心,否则将出现大规模的企业组织损失,这将威胁到新冠疫情后的经济复苏。对网络安全关注的失误已经产生了重大影响,导致当前数据泄露危机的升级和勒索软件攻击的加速。"虽然Canalys表示,在网络安全支出方面还需要做更多的工作,但报告也表示,去年网络安全投资已经明显高于IT行业的其他领域。网络安全支出增长到530亿美元,大增10%,但并非增长最快领域,表现优于网络安全的领域是业务连续性和劳动力生产力,其中云基础设施服务增长33%,云软件增长20%。
阮咸【行业洞察】云安全成为网络安全重要细分领域,投资机会在哪里?
“没有网络安全就没有国家安全!”随着云计算、大数据等技术的飞速发展,云安全成为了我国网络安全行业的重要细分领域,本文将从产品结构、应用场景、发展环境、竞争格局、投资机会、发展趋势等方面详细阐述我国云安全行业发展现状。云安全行业概况(一)云安全行业定义云安全行业是云计算行业的分支,云安全即云安全服务,将云计算技术和业务模式应用于网络安全领域,实现安全即服务的一种技术和业务模式。云安全服务融合了并行处理、网格计算、病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中大流量攻击、木马、恶意程序、病毒等信息及攻击流量,并传送到云端进行自动分析,以云端直接处理或端云协同处理的方式完成安全防御。云安全行业包括了云计算基础架构的安全、云计算服务平台的安全和云计算软件的安全,具体包括数据、应用、传输、系统和网络等各方面的安全,目前,云安全服务市场的提供商主要包括两种类型,分别为云服务提供商和安全厂商。云服务提供商在多维度为用户提供云上安全,如亚马逊AWS、微软Azure、阿里云等;安全厂商主要负责用户侧云安全,如McAfee、Palo Alto等。图表1:云安全行业定义及分类资料来源:融中研究整理(二)云安全产品结构从责任共担模型和云原生两个维度出发,云安全产品可以大体分成三大类,分别为传统安全设备的云化、云服务提供商(CSP)为配套云服务而提供的安全产品以及基于云原生应运而生的“新安全”产品和服务。第一类是传统安全设备的云化。在传统的数据中心中,安全防护通常是通过在安全域入口部署专用的安全设备来实现的,比如防火墙、IDS、IPS等。在虚拟化的云环境下,传统的安全防护设备不再发挥作用,因此出现了相对应的虚拟防火墙,虚拟IDS、IPS。第二类是云服务提供商(CSP)为配套云服务而提供的安全产品。常见的有威胁检测、云数据库安全、API安全、容器和工作负载安全、用户行为监控、合规与风险管理等。第三类是基于云原生应运而生的“新安全”产品和服务,也是目前发展前景最好的云安全产品,包括CASB(云访问安全代理),CSPM(云安全配置管理),CWPP(云工作负载安全防护平台)等。其中,CASB作为部署在客户和云服务商之间的安全策略控制点,是在访问基于云的资源时企业实施的安全策略。而CSPM产品通常使用自动化方式来解决云配置和合规性问题。CWPP作为一项以主机为中心的解决方案,主要是满足这些数据中心的工作负载保护需求,因此,主要适用于IaaS层。虽然这三大产品在功能上有一些重叠,但是三者之间更多是起到互补的作用。图表2:三大云安全工具覆盖范围关系图资料来源:安全牛,融中研究整理(三)云安全应用场景云安全的应用需求场景主要可以分为电子邮件安全、web安全、身份识别与访问管理(IAM)、远程漏洞评估、安全信息与事件管理(SIEM)、应用安全测试和其他等。图表3:云安全应用场景资料来源:公开资料,融中研究整理2017年开始,电子邮件安全、Web安全以及身份识别与访问管理(IAM)成为企业上云的三大优先考虑事项,这些优先事项的主要实现方法(包括SIEM、IAM技术以及新型技术与服务)是云安全服务市场增长的主要组成部分;威胁情报、基于云的恶意软件沙箱、基于云的数据加密、端点保护管理和WAF等都属于新兴服务,新兴服务是云安全服务市场增长最快的部分之一。根据Gartner统计数据显示,2019年IAM领域市场规模最大,占比达到38.40%,预计2020年仍然为云安全服务市场的最大板块;其次是安全的网页网关,市场规模约为11.20%;安全的电子邮件网关占比位于第三,市场规模占比达到10.4%。图表4:2016-2020年全球云安全细分领域市场结构(单位:%)数据来源:Gartner,融中研究整理云安全行业发展环境(一)云安全行业政策环境2016年以前,针对云安全行业的政策较少,行业政策大多只涉及云计算,云安全政策尚不健全。2016年11月7日,中国《网络安全法》获得通过,我国网络安全管理的综合法律体系建设正式起航,后续配套政策和规范性文件相继出台,包括《国家网络安全应急预案》、《网络产品和服务安全审查办法(试行)》、《网络关键设备和网络安全专用产品目录》、《个人信息和重要数据出境安全评估办法(征求意见稿)》等,我国网络安全法治体系建设加速开展。“没有网络安全就没有国家安全”网络空间是国家主权的新疆域,网络安全事关国家安全和国家发展,国家将网络安全放在了更重要的位置。2018年3月中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,简称“中央网信办”,成为我国网络安全工作国家层面的监管机构,随着国家网络安全监管机构的设立,网络安全政策陆续实施,云安全政策也不断出台。图表5:截至2020年云安全行业政策法规汇总资料来源:各大政府网站,融中研究整理除相关政策外,网络安全及云安全也同时被列入国家规划重点发展方向,随着“十三五”规划逐渐落实,“十四五”规划制定实施,有效拉动云安全产业的规划和措施也不断增多。如2018年8月,工信部及发改委提出的《扩大和升级信息消费三年行动计划(2018-2020年)》、2019年4月工信部《关于工业大数据发展的指导意见》、2020年4月发改委、网信办的《关于推进“上云用数赋智”行动培育新经济发展实施方案》等规划中均对推进云安全行业发展提出了具体措施。对于云安全行业来说,近年来多项政策、规划的出台代表着中国逐渐认可云计算安全,是信息化发展的重大变革和必然趋势。在政策上积极促进云计算创新发展,但也高度重视云计算存在的安全问题,并强调要制定云安全的相关标准以应对网络安全问题,是我国云安全行业健康发展的保证。(二)云安全相关行业现状分析1、网络安全行业发展现状近年来,我国积极布局网络安全,加快网络安全市场布局,并采取一系列的重大措施以应对日益突出的网络和信息安全问题,网络安全市场进一步扩大,而云安全作为网络安全的重要组成部分,也随着网络安全市场的不断扩大而具备巨大的发展潜力。根据CNCERT统计数据显示,2020年前三季度共检测发现我国境内感染网络病毒终端累计1191万个,相比2019年同期798万个上涨了49.25%。图表6:2019-2020年我国境内感染网络病毒终端数(单位:万个)数据来源:CNCERT,融中研究整理层出不穷的国内信息安全事件给政府和社会公众带来了严重损失,网络安全问题日渐突出,中国已经成为全球遭受网络攻击数量位列第二的国家,近几年,伴随互联网的高速发展及物联网、工业互联网、云计算、大数据等新兴领域和新兴技术的快速发展,网络攻击形态更为复杂,同时为了应对日益复杂的网络环境,网络安全市场规模也日益庞大。从党的十八大以来,我国政府陆续出台了《国家信息化发展战略纲要》、《“十三五”国家信息化规划》、《国家网络空间安全战略》、《软件和信息技术服务业发展规划(2016-2020年)、《信息通信网络与信息安全规划(2016-2020年)》和《中华人民共和国网络安全法》等相关重要政策和法律法规,这为我国网络安全行业的发展提供了发展动力。国家网信工作持续发力,为网络安全技术创新、网络安全企业做大做强提供了宝贵机遇,也为网络安全产业发展创造了更为优越的政策环境,在行业技术不断创新和企业大做强过程中,我国网络安全产业进入黄金发展期。根据中国信通院2020年10月发布的《2020中国网络安全发展白皮书》显示,2019年我国网络安全产业规模达到1563.59亿元,较2018年增长17.1%,预计2020年产业规模约为1702亿元,增速的为8.85%。网络安全市场规模的持续增长也将会给云安全市场的发展提供良好的机遇。图表7:2015-2020年中国网络安全市场规模及预测(单位:亿元,%)数据来源:中国信通院,融中研究整理2、云计算行业发展现状云安全行业的发展是伴随着云计算市场规模的扩大而发展的。云计算行业的不断发展为云安全行业奠定了坚实的基础。根据中国信息通信研究院发布的《2020年云计算发展白皮书》数据显示,2019年我国云计算整体市场规模达1334亿元,增速38.6%;预计2020年我国云计算整体市场规模将会达到1781.8亿元,继续保持30%以上增速。图表8:2015-2020年中国云计算市场规模及预测(单位:亿元,%)数据来源:中国信通院,融中研究整理从细分市场来看,2016-2019年,公有云市场占比逐年提升,2019年为51.65%;私有云市场占比逐年下降,2019年为48.35%。2019年我国公有云市场规模达到689.3亿元,私有云市场规模达到645.2亿元,公有云市场规模首次超过私有云。预计2020年公有云市场将会进一步扩大,公有云和私有云市场规模分别达到990.6亿元和791.2亿元。图表9:2017-2020年我国公有云及私有云市场规模(单位:亿元)数据来源:中国信通院,融中研究整理根据Gartner统计数据显示,2020年全球IT支出总额预计将达到3.4万亿美元;中国IT支出总额预计将达到2.77万亿人民币。从全球和中国云计算市场占IT支出比重来看,中国云计算市场占比IT支出比重远低于全球水平,中国云计算市场未来仍有较大发展空间,从而带动云安全行业的快速发展。图表10:2017-2020年全球与中国云计算市场占IT支出比重对比(单位:%)数据来源:Gartner,中国信通院,融中研究整理云安全行业发展现状(一)云安全行业现状分析云计算正在不断改变组织使用、存储和共享数据、应用程序以及工作负载的方式。但是同时也引发了一系列的新的安全威胁和挑战。根据云计算安全联盟(CSA)发布的《12大顶级云安全威胁:行业见解报告》,总结了数据泄露;身份、凭证和访问管理不足;不安全的API等12大核心安全问题。其中,数据泄露、系统漏洞、数据丢失等问题是由来已久的传统安全问题,而不安全的API、滥用和恶意使用云服务、拒绝服务、共享的技术漏洞等问题则是企业使用云服务所面临的新的安全威胁。图表11:十二大顶级云安全威胁资料来源:CAS,融中研究整理面对传统威胁的变革和新的网络安全威胁和挑战,基于自动化、远程化、智能化的威胁检测、攻击防御等新兴服务模式也逐步得到推广和应用,带动了网络安全市场服务化转型。从2018年开始,出现了更多针对云管理平台、工作负载和企业SaaS应用额度供给,各安全企业也纷纷布局云安全防线,切实提供云服务安全应用,保护包含用户信息的应用及服务免于侵扰。根据赛迪顾问统计数据显示,2018年,中国云安全服务市场规模达到37.8亿元,较上年同比增长44.8%。随着网络安全市场规模的不断扩大,云计算技术提升不断为云安全行业奠定基础,云安全行业具有广阔的发展前景,根据前瞻产业研究院统计,2019年中国云安全市场规模达到55.1亿元,年增长率为45.8%;预计到2021年中国云安全服务市场规模将达 到115亿元左右,未来三年年均增长率为45.2%。云安全服务带来网络安全行业商业模式的变革,给市场注入新的活力和增量,云安全行业将成为网络安全中极具发展前景的细分市场。图表12:2014-2020年中国云安全服务市场规模(单位:亿元,%)数据来源:赛迪顾问,前瞻产业研究院,融中研究整理(二)云安全行业竞争格局分析我国云安全市场的参与企业主要包括云平台服务提供商、专业云安全解决方案提供商和传统IT安全解决方案提供商。其中云平台服务提供商涉及企业有阿里云、腾讯云、华为云等,专业云安全解决方案提供商涉及企业包括光通天下、途隆科技等,传统IT安全解决方案提供商有亚信安全、绿盟科技、启明星辰等。中国云安全市场尚处于创新发展期,与海外云安全市场存在较大差异。从技术应用上来说,目前我国厂商尚处于追随阶段,大多数中国的安全厂商都聚焦在CWPP以保护客户云安全。对于一些新兴的云安全技术,CASB因为国内缺乏重量级的企业级SaaS而导致市场较小;CSPM则因为国内的公有云相比私有云、行业云还是较少,尚未得到重视。但随着国内公有云市场的加速发展,云原生技术的应用越来越广泛,CASB、SCPM、SASE等新兴技术在国内的应用也将越来越广泛。图表13:国内部分云安全厂商的主要产品资料来源:华经产研,融中研究整理国内应用较为广泛的云产品为以安全资源池为核心的云安全管理平台。云安全资源池提供虚拟化的安全能力,如防火墙、WAF、IDS、IPS.堡垒机、数据库审计等,并通过统一安全管理平台对各类安全能力进行组织和编排,形成整体安全方案。国内安全池市场中奇安信集团以18.08%的市场份额领先,其次为深信服科技和安恒信息,市场份额分别为14.09%和13.19%。图表14:安全资源池国内厂商市场份额(单位:%)数据来源:华经产研,融中研究整理云安全行业发展趋势(一)投资机会主要集中在产业链中游随着云安全产业链的不断完善和市场规模逐渐扩大,云安全行业的投资机会主要集中在产业链中游,云安全行业产业链的投资机会将会逐渐向“梭型”演变。云安全产业链上游为云服务设备厂商和网络提供商,未来投资机会适中,主要由于大部分云服务设备的技术含量不高,供给来源和规模较大,行业巨头企业已经定型,投资产出有限。产业链中游的投资机会较多,因为现在“核心化”管理概念盛行,企业希望把有限资源用在最核心的技术上,包括研发资源、人力资源、渠道资源等。只有行业的核心技术不断进步,才能推动行业的快速发展,所以中游云安全产品、服务及解决方案提供商技术革新快,目前竞争格局发生变革的可能性较大,技术将会引领资本方向,因此,云安全产业链中游未来投资机会较多。云安全产业链下游主要是在电子政务、地理信息化、电子商务、企业应用软件、物联网等领域的应用。随着国家政策扶持和国内政府、企业的安全意识增强,云安全将成为以需求为导向的行业,故投资机会较少。(二)智能安全推动云安全迈向人工智能时代随着我国云计算应用日益普及,用户不再仅仅考虑“如何上云”,而更关注“如何安全上云”。目前,IaaS场景下除基础环境的风险由云计算厂商承担外,云主机、网络、数据等层面的风险均由用户和云计算厂商共同分担。云主机作为IaaS场景下的基础和核心产品,安全问题成为关键。由此,国内云安全市场形成了以云主机安全为核心,网络安全、数据安全、应用安全、安全管理和业务安全为重要组成部分的格局。随着人工智能技术的不断发展,国家和国内厂商日益重视人工智能与安全领域的深度融合。工业和信息化部印发的《促进新一代人工智能产业发展三年行动计划(2018-2020年)》中指出,应“完善人工智能网络安全产业布局,形成人工智能安全防护体系框架”。随着智能安全需求的不断增加,将会推动我国云安全行业迈向人工智能时代。未来AI云安全产品将以解决某一类安全问题为目标,将传统的安全技术与人工智能相融合,聚焦某一类或几类的数据,提供更智能化的分析、决策、预测和处理模式,突破传统安全技术的局限。(三)跨境数据管理为国内云安全新方向在数字经济时代,“数据”俨然已经成为企业重要资产和关键的生产要素。无论是“新基建”建设要求还是政策层面的发展规划,均将数据纳入了国家基础性战略资源。随着云计算、大数据、分布式系统和国际数字贸易的飞速发展,跨境数据管理问题成为数字经济国际规则的新焦点。《网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”随着云计算、人工智能等新技术的应用,数据管理模式也向智能化、云化的方向发展,因此,跨境数据安全管理将成为网络安全尤其是云安全的新方向。
彼兀者也2020年全球数据泄漏超过去15年总和,新型网络安全架构受追捧
记者 | 彭新根据市场调研公司Canalys的最新报告《网络安全的下一步》显示,2020年数据泄露呈现爆炸式增长,短短12个月内泄露的记录比过去15年的总和还多。此外,勒索软件攻击激增,并且首次夺取生命,报告的勒索软件攻击事件数量与2019年相比增长了60%。在网络安全的猫鼠游戏中,安全人员意识到,想让企业在互联网中更安全的运转,他们还需要更多的努力。为了尽快实现这一目标,他们把目光投向了一个新概念——Secure Access Service Edge(SASE,安全访问服务边缘)。疫情的到来迫使人们远程办公,视频会议、企业协作成为重要工作方式。同时,在疫情需求催化下,工业互联网、智慧城市、车联网等数字化业务场景成为新趋势,当业务从中心趋向于边缘,对安全也提出了更高的要求。首先,疫情迫使世界各地的企业迅速数字化,而没有充分考虑在线业务带来的新安全要求,网络安全事故频发,成为无法忽视的薄弱环节。由于社交距离和线上工作逐步成为常态,许多企业以牺牲网络安全为代价开展业务,进一步加剧了网络安全问题。英国网络安全顾问莉萨·文图拉(Lisa Ventura)就表示,以勒索攻击为例,网络攻击不仅更加频繁,还变得更为复杂。“大家越来越朝着‘数字化’的世界前进,我们过去使用的基于设备的安全方式就不再变得有意义,而且现在越来越多的机构转移到云端。”阿卡迈(Akamai)亚太区安全战略总监Siddharth Deshpande说,“人们更多地思考,‘我们下一代的安全架构应该如何设计、如何设计出未来五至十年依然能够安全可靠的架构?’。”在此背景下,Gartner在2019年提出的新技术概念——SASE成为安全市场热点。所谓SASE,是指一整套云计算采用和运营的网络安全框架,涵盖软件定义广域网、云安全、零信任网络访问等部分。Gartner声称,SASE有潜力将已有安全方案从以数据中心为核心转变向为用户和终端设备进行设计。目前思科、CatoNetworks、PaloAltoNetworks、阿卡迈、网宿等云安全及CDN厂商都纷纷展开该领域的布局。思科公司就称,SASE模型将许多网络和安全功能整合到单个集成的云服务中。通过与SASE整合,企业可以降低成本和复杂性、提供集中协调和实时应用优化、帮助确保用户无缝访问、支持更安全的远程和移动访问、基于用户、设备和应用身份限制访问。根据研究机构Markets and Markets预计,到2024年,全球“零信任”安全市场规模将达到386.31亿美元,复合年化增长率接近20%。基于SASE,新安全框架覆盖了工程师能想到的多种安全场景。例如,在远程办公场景,企业通过“云访问”安全代理,在更严格的身份验证机制下(行话称为“多因素身份验证”),使未经授权的人访问计算机系统或网络更加困难。此外,SASE还可以应对诸如分布式拒绝服务(DDoS)攻击、API攻击或跨站脚本攻击等安全隐患。一般而言,由于企业IP地址或域名公开且易于获取,更容易被攻击者所盯上,也是企业亟需应对的安全问题。举例来说,在阿卡迈近期针对疫苗接种机构推出的Vaccine Edge服务中,就为疫苗接种机构提供网络安全防御。“医药或医疗公司在进行数字化转型、需要发展全球化的供应链布局,所以基于SASE的防御就变得非常关键。”Siddharth Deshpande称,“以疫苗接种为例,每一个接种疫苗的人手会拿到一个排队号或者等候室的号码,只有号码到你时,你才能去接种疫苗。这种方式就能够保护疫苗接种机构免受DDoS攻击。”不过,考虑到其脆弱性,物联网设备目前来看是网络安全中最薄弱的环节,SASE面向物联网安全能够提供的保护是什么?Siddharth Deshpande告诉界面新闻,物联网安全涉及两个方面。第一,如何保证企业内部物联网设备的安全。第二,如何抵御针对物联网设备的大规模僵尸网络攻击。从解决方案而言,物联网设备的安全参数设定、更好地将相应的验证限定在“影子物联网设备”上将是重要因素。而应对大规模僵尸网络攻击,SASE可以从CDN层面抵御攻击流量。这里有个潜在的问题,尽管受到企业追捧,但更大规模地接受SASE仍然存在挑战:作为新兴技术框架,主要实施的SASE方案早期可能并不完善。此外,由于SASE的复杂性,成本成为一大问题,这将损害它的部署。总之,目前SASE的一部分愿景和部署还停留在概念阶段,需要沿着技术路线的漫漫长路前行。
革天防火墙推荐:中国网络安全防火墙顶级供应商评估报告
1. 核心发现作为最重要的边界安全节点,防火墙与其它产品的安全协同成为大势所趋,也是未来深化筑牢边界安全体系的关键因素。外部环境不断恶化促使越来越多的防火墙开始集成威胁情报功能,用于快速提升自身对威胁的预判和感知能力。未知威胁防御成为新方向,防火墙在传统特征检测基础上正在向以AI、UEBA等技术为主的未知威胁检测方向演变。近三年防火墙市场需求小幅下降,供给侧厂商数量增长不明显,供需双方基本趋于平稳状态,百亿大盘扩容亟待新鲜血液的注入。信创之路任重而道远,各厂商进行了较大的产品投入,但目前市场需求释放不明显,未来的发展仍需关注需求侧的节奏,除此外,产品成熟度和实用性也将成为是否能收割到这部分增量市场红利的重要前提。2. 市场定义最初传统的防火墙部署在网络外围,核心功能是依据IP地址、端口号和协议进行网络流量过滤和访问控制。随着技术发展和用户需求升级,在防火墙产品漫长的演进过程中添加了一系列超越传统防火墙的安全功能。市场上也诞生了UTM、下一代/第二代防火墙、工控防火墙、虚拟化防火墙、智慧防火墙等产品形态。虽然叫法各不相同,从产品本质和主要功能特性来说,它们都没有跳出防火墙这一产品范畴。与此同时,人们逐渐摸清了一个基本事实:单一类型的防火墙产品不能覆盖所有的客户需求,不可能在一款防火墙产品实现对所有应用场景的支持。于是,依据应用场景的不同,防火墙市场被人为分割成了若干个典型的子市场,例如运营商市场、数据中心市场、政企市场和SMB市场。由于每个子市场上的客户行业属性存在着差异,导致各厂家的防火墙产品或多或少存在着特性区别。本报告将传统网络防火墙作为评估领域(不含Web应用防火墙、工控防火墙、数据库防火墙等),选取了市场上知名度较高的防火墙品牌作为评估对象,梳理了供需两侧的真实情况和产品发展趋势,为客户购买防火墙产品提供建议和参考。3. 发展趋势通过对防火墙产品进行对比以及与各厂商交流,我们总结出目前防火墙产品的共性发展趋势,包括:3.1 安全协同大势所趋随着外网环境不断恶化、内网IT资产不断增长、网络流量加密这三大趋势的发展,防火墙自身“嗅觉”和“视觉”的灵敏度逐渐下降,需要从云管端三个方面聚合更多的安全能力来提升检测识别和访问控制的精度。在终端侧上可以通过EDR、终端安全管理等产品提升防火墙对内网IT资产的可见性以及对加密流量的识别能力;在云端侧利用威胁情报、云沙箱、态势感知平台等增强防火墙在外部环境感知、未知威胁检测与防范等方面的能力;在网络侧通过与部署的其它安全节点进行协同,形成动态的主动防御体系,达到联防联控的效果。在安全协同方式上,目前大多数防火墙可以通过Syslog和API方式联动,但联动效果和应用程度十分有限。部分产品采用内部私有协议进行深度联动,可以达到威胁感知和快速处置安全事件的效果。未来安全能力通过安全协同的方式向防火墙汇集将成为趋势,这也是未来深化提升边界防御体系的重要方向。3.2 易用性升级满足新的买方需求对于专业性极强的网络安全产品来说易用性变得日益重要。首先,在部署和使用频率上,随着政策和自身安全需求的推动,防火墙会逐渐下沉到更深的民用级市场,易用、智能化成为新的买方需求;其次,在现有使用场景上,安全产品的种类和数量越来越多,客户开始关注产品的管理和维护成本,类似OTA升级、策略冗余分析与冲突检测、SaaS模式管理等有助于提升客户工作效率的功能将更受到市场的欢迎。3.3 效果驱动成为新的产品价值主张无论是国家宏观层面的护网实战还是企业自身安全事件导致经营受损,都反映出网络安全产品不应再固守合规角色。从功能方面来看,由于0Day、APT攻击比例越来越高,未知威胁防御成为新的重点方向,防火墙在传统特征检测基础上正向以AI、UEBA、威胁情报技术为主的未知威胁防御方向演变,例如将AI技术应用于病毒检测、APT检测等功能模块。而在性能方面,由于IT基础架构和应用越来越复杂,在这样的背景下,产品通常公开的所谓最大性能指标(UDP大包)逐渐失去参考价值,时延、小包性能、应用层性能、混合流量性能、Full Protection性能、加密流量检测性能成为客户更为关注的性能指标。由此可见,防火墙产品真正进入到了深耕细作的时代,未来无论是政策变化还是网络环境升级,效果驱动都将成为新的产品价值主张。3.4 场景细分引领新一轮产品升级从“IT安全”进入到“安全IT”时代,无论是客户需求升级还是厂商间的横向竞争,都会驱动大多防火墙产品从原来标准化、同质化的状态向精准匹配客户场景和差异化竞争方向发展。例如,云场景的南北向上要提供更高的带宽和性能、而在东西向上需要对终端有更好的可见性和隔离能力;在物联网场景要能识别并实现对各类终端包括哑终端的准入控制;在总部分支互联场景下需要灵活的VPN组网和集中管理特性等。因此,防火墙技术并不会退化,未来的革新一定会由场景分化驱动功能细分开始,定位清晰、特点明确、精准匹配不同业务需求的专用型防火墙将更受到客户的青睐。3.5 信创之路任重而道远信创产业发展是国家之大计,但与基础软件(操作系统、数据库、中间件等)相比,信息安全产品板块的推进速度低于预期。在防火墙方面,虽然目前信创产品的需求量还不足传统产品市场的一成,但各厂商都进行了较大的投入,在产品功能方面基本完成了多种硬件平台的适配和移植,在性能方面,部分厂商通过专用硬件进行了性能优化提升。目前供给侧堪比“荷枪实弹”状态,但未来的市场发展仍需要关注需求侧的情况,保持与之匹配的节奏,避免加速度过配造成资源浪费。4. 产品评估结论4.1 产品评估范围目前国内防火墙厂商数量超过百余家。报告选取了近二十家在市场中具备一定市场份额和口碑、专注于自主研发的防火墙厂商,邀请十余位行业技术专家对其进行初评,确定了十家入围品牌,后通过定向邀约、问卷调研、线上交流、产品功能演示等多个环节的详细评估,最终确定发布中国网络安全防火墙市场顶级供应商如下(按品牌首字母排序,排名不分先后):图1 中国网络安全防火墙市场顶级供应商4.2 产品对比4.2.1 性能对比通过图2可以看出,政企市场仍然是各产品覆盖度最高的场景,SMB和数据中心场景绝大多数产品可以覆盖,但各有侧重,而在运营商场景上,主要还是具有数通背景和硬件研发能力较强的厂商可以覆盖。图2 防火墙产品性能与场景覆盖对比4.2.2 功能对比我们基于场景适应性、基础网络能力、远程接入能力、应用识别与加密流量检测、安全防护能力、安全协同能力、高可靠性、安全管理与易用性这8大核心功能,并设计了在每一个核心功能下的评估指标。l 场景适应性:场景适应性意味着产品对客户需求的匹配度,丰富的场景适应性可以节省客户后期安全投入成本。评估指标包括性能覆盖区间、无线支持、IPv6支持、云环境支持和虚拟化部署等;l 基础网络能力:防火墙部署在网络边界,良好的基础网络能力能满足客户更多样化的组网需求。评估指标包括路由、NAT、ALG、负载均衡等特性;l 远程接入能力:远程接入能力决定了产品对远程办公场景的支持力度。评估指标包括防火墙的VPN性能、是否支持硬件加速卡、国密算法的支持程度、是否支持异构平台的客户端、是否支持SD-WAN等;l 应用识别与加密流量检测:应用识别是实现应用控制和应用安全的前提,主要考查特征库规模、应用识别种类、移动应用特征数量、SSL卸载和加密流量检测性能等指标;l 安全防护能力:安全防护是防火墙的核心功能之一。传统考查指标通常包括入侵防御、防病毒等,此外,随着威胁情报技术的普及,威胁情报也作为评估产品安全防护能力的新要素。因此,我们确定的评估指标包括入侵防御能力及其时效性、防病毒能力、威胁情报支持情况以及特征库升级维护频率等;l 安全协同能力:协同联动是防火墙扩展自身安全能力的重要途径,主要应围绕终端联动、云端联动、其它设备联动的种类,以及联动接口的开放性和扩展性指标进行评价。l 高可靠性:高可靠性是考查防火墙健壮与否的一项重要特性。从设备自身的保障机制(如HA同步、软硬件Bypass)和厂商的硬件制造能力入手,可对高可靠性做出评价。l 安全管理与易用性:安全管理能力是产品应用价值的体现,也决定了产品运营和维护方面的的成本。在安全功能以外,防火墙易用与否将直接影响客户对产品的认可程度。具体评估指标包括策略管理能力、集中管理、产品升级方式以及人机交互界面的友好性等。在针对这七家厂商的防火墙产品进行评估后,我们最终得到了横评结果(如表1所示)。表1 防火墙功能对比表A:产品完全覆盖该领域功能特性。B:产品覆盖该领域多数功能特性。C:产品仅覆盖该领域内的个别功能特性。D:产品不具备该领域特性。4.2.3 资质对比以下列举了目前国内防火墙市场主要的产品资质,由行业主管部门和权威评测机构出具认定,通过梳理可以看到,各厂商基本都具备了各项顶级资质,具体情况如下:表2 防火墙部分资质对比5. 产品典型应用场景表4描述了办公网、远程接入、数据中心、运营商等四个常见应用场景的基本情况,并分析了各自的安全需求和防火墙代表性的安全功能。表4 典型应用场景的关注点图3 办公网、远程接入、数据中心防火墙6. 厂商分析(以公司首字母排序)7. 购买建议(一)明确应用场景在一款防火墙中不可能集成满足所有应用场景的安全功能。另一方面,不同类型客户的网络环境差别较大,面临的外部威胁也不尽相同。只有满足自身安全需求的防火墙才能为客户带来最佳的网络安全体验。因此,客户应首先明确自身的应用场景,以此作为选择防火墙的第一步。表12简述了各个应用场景下客户对防火墙产品应关注的安全能力。表12 不同应用场景下客户对产品的安全能力关注点(二)考查防火墙性能与业务的匹配度目前,几乎所有防火墙厂商都发布过标称支持几G甚至上百G性能的产品型号,但是这个所谓的性能区间是针对网络层吞吐来说的。一旦打开防火墙上的所有功能(特别是应用层安全防护),吞吐量至少就会减少三分之一(个别产品甚至下降得更多)。在应用成为网络活动重心的今天,客户应该更加关注产品应用层安全防护的性能,这也是更贴近防火墙实际使用时的性能指标。(三)考查防火墙集成安全能力的全面性由于安全威胁层出不穷,客户需要更多的安全组件(设备),这意味着需要管理和更新的组件会越来越多。但这并不总是解决问题的首选办法,而且往往要付出高昂代价,达到的效果反而低下。优秀的防火墙产品内置了必要的安全组件,能够节省用户后续的安全开销。此外,目前防火墙的安全防护能力主要通过被动防御和主动防御功能体现。前者在防火墙进化史上出现时间较早,也是防火墙普遍具备的成熟功能;后者通常是防火墙从外部安全能力源以某种方式聚合得到的。防火墙支持的外部安全能力源种类也应该是客户选择防火墙时的重要影响因素。(四)考查防火墙自身的安全性和可靠性防火墙产品自身的安全性往往决定了防火墙的健壮程度和持续提供安全服务的能力。优秀的防火墙产品应具备漏洞修复功能和自身安全性的多重保障机制,以确保产品本身安全可靠。如,以双机热备、软硬件bypass、软硬件冗余为代表的高可用性可充分提高产品自身安全性。此外,为了修复产品缺陷和支持新的功能扩展,系统升级是防火墙产品必不可少的功能之一。每年系统版本的升级迭代次数,更是直接反映了厂商在产品全生命周期中的持续研发投入和售后服务的支持力度。(五)衡量总体拥有成本产品在易用性方面的设计与防火墙的维护成本相关。好的易用性设计,可以使运维成本大幅降低,同时减轻设备故障风险。比如,在安全策略管理方面,对策略的冗余分析和冲突检测、策略自学习是众多防火墙厂商经常采纳的易用性设计。此外,OTA升级、SaaS管理由于能够降低防火墙的运维代价,也成为了受到客户追捧的流行趋势。在选择合适的防火墙产品时,预算始终是一个无法回避的影响因素。与重大网络安全漏洞造成的损失相比,或者与防火墙性能不足导致的工作效率下降相比,防火墙的价格要便宜得多。多数情况下,预算决定了客户为解决安全风险愿意付出的代价。这就需要在了解厂商产品区别的基础上,综合选择性价比最高的产品。
吕才读创公司调研|“网安一哥”奇安信营收超40亿创新高 新赛道跑出“加速度”
读创/深圳商报记者 李耿光4月14日晚,被称为A股科创板“网安一哥”的奇安信(688561.SH)发布了上市以来的首份年报。报告期内,公司全年实现营业总收入41.61亿元,比上年同期增长31.93%,近四年(2017-2020)复合增长率71.76%。4月15日,奇安信接待了203家机构调研,其中包括55家证券公司、27家资产管理公司、24基金管理公司家等机构投资者。业绩说明会上,公司重点介绍了2020年经营成果、重大战略进展及2021年经营计划展望。记者注意到,奇安信迎来众多机构调研,也反映了市场对公司近年来的基本面改善和新赛道异军突起尤为关注。▍新赛道产品收入占主营收入近六成 整体增长率翻倍 2020年报数据显示,2020年奇安信实现营业总收入41.61亿元,同比增长31.93%,营收规模创下国内网安行业新高。其中去年四季度总收入为22.91亿元,全年总收入占比大约55%,超前三季度收入总和。近四年,奇安信总营收年复合增长率超71%,在国内网络安全行业持续领先,成长速度显著快于同行。奇安信在年报中将总营收维持高增长的原因归结于两个方面:一是市场利好,政府部门和企业客户针对网络安全市场的实战化安全能力及体系化建设的需求非常旺盛;二是公司内部驱动,主营业务市场优势扩大,新赛道创新产品拉动,助力公司营收快速增长。同时2020财报显示,公司新赛道产品整体增长率翻倍,市场占有率均已做到行业第一。目前公司安全团队规模、研发投入、营收规模均在国内排名第一。值得一提的是,公司在介绍业务经营成果时谈到,新兴赛道和创新业务全面开花。新冠肺炎疫情似乎并未对奇安信造成多少影响,疫情过后全行业加速数字化转型,公司营收实现了高速增长,新赛道也持续快速增长。公司介绍,2020年更加注重高质量发展。报告期内,公司实施“高质量发展”战略并初见成效:一方面,营收增长质量进一步提升,随着政企客户信息化建设的逐渐完善,公司硬件及其他的营收占主营业务比例明显下降,由2019年的21.83%降至2020年的16.51%,公司毛利率由2019年度的56.72%提升至59.57%,毛利率提升接近3个百分点。除主营产品外,2020年奇安信新赛道产品开始发力。2020年,以大数据安全检测与管控、零信任安全、云安全、工业互联网安全、大数据安全与隐私保护、安全取证等为核心的新赛道产品,整体实现营收超过3亿,整体增长率翻倍,占公司主营产品收入比例接近六成,合计同比收入增长率在60%以上。其中,在网络安全产品收入中,IT架构安全防护产品实现爆发式增长,收入同比增长超过一倍;零信任安全产品增长尤为显著,收入同比增长300%以上,公司零信任安全市场领导者地位进一步巩固。在新赛道产品的带动下,报告期内公司净利润亏损也大幅收窄,亏损较上年同期减少38.38%。奇安信2014年成立,一直专注网络安全市场,主要服务政府、企业客户。奇安信主营业务主要为网络安全产品和网络安全服务。据财报显示,2020年,奇安信网络安全产品收入同比增长34.72%至28.2亿元,占主营业务收入比例提升了1.4个百分点;与此同时,公司网络安全服务收入也实现大涨,同比增长75.89%至6.5亿元,占公司主营业务收入比例提升了3.9个百分点。奇安信在年报中表示,随着政企客户信息化建设的逐渐完善,公司硬件及其他的营收占主营业务比例明显下降,而公司毛利率则由2019年度的56.72%显著提升至59.57%。另一方面,公司进一步加强费用管控、提升经营效率,在持续加大研发投入的同时,销售费用及管理费用营收占比均较去年同期有所下降。▍不断加大研发投入 研发费用超12亿元作为网络安全公司,高质量发展离不开研发创新的投入。财报显示,2020年,奇安信研发费用为12.28亿元,同比增加了17.29%。近年来,奇安信研发费用投入不断加大,截至2020年12月31日,奇安信已拥有473项网络安全领域的主要发明专利和936项主要计算机软件著作权,另有827项专利申请正在审核中。在科创板上市公司中有效发明专利排名第五。多项产品和服务获得行业认可。根据赛迪、国际数据公司IDC等第三方机构数据,奇安信在终端安全、大数据智能安全检测与管控、安全管理平台、云安全等新兴领域,市场占有率均已做到行业第一。目前公司安全团队规模、研发投入、营收规模均在国内排名第一。国际杀毒软件评测机构Virus Bulletin,公司的天擎首次参与评测,凭借自主研发的新一代QOWL 猫头鹰反病毒引擎和云安全引擎,以零误报、100%检出率通过多样化样本检测VB100 测试,标志着公司已步入全球顶级反病毒厂商行列。值得一提的是,公司在过去“鲲鹏”、“诺亚”、“雷尔”、“锡安”四大研发平台基础上进行全面升级,2020年推出“川陀”、“大禹”、“玄机”、“千星”新四大平台,目前,八大网络安全研发平台已经完成研发并投入使用,生产效率逐步提升,高质量发展初见成效。▍今年有望实现扭亏为盈摘“U”有投资者问道,目前国内网络安全行业相对分散,公司在十四五期间如何保持自身的增长速度跟上行业的增长速度,并不断扩大市场份额?公司回应称,十四五的增速看数字化转型增速。公司拿到最好的份额主要有几点:首先要紧盯数字化转型。首先要把市场容量扩大,从规划开始扩大市场份额,规划上百家政府央企等等,安全投资从1-3%扩大到8-10%。其次是规划产品的优势,此外对安全研究能力要求也很高。通过安全服务高增长,带动产品销售。公司表示,客户身边缺安全管家,不缺安全产品,但是龙头公司能做规划,运行兜底的很少。为什么55%以上的客户愿意把订单交给我们,因为服务能力强、过去表现好,我们是最大的安全公司,是帮他规划的,这样相当于改变了甲乙方关系,属于客户的助手和管家。针对未来一年内信息安全重要事件或政策节点,公司表示,主要3个重大事件:1.建党100年对7月前后和全年整个网络安全市场有很大促进影响;2.建党百年和冬奥会之间两次大型攻防实战化演习;3.冬奥会带来网络安全保障。另外,网络诈骗、黄赌毒,主要是GA、取证,今年公安部重点也是反诈骗。财报显示,奇安信称,公司2020年净利润为-34,073.62万元,亏损较上年同期减少38.38%,归属于母公司所有者的净利润-33,436.61万元,亏损较上年同期减少32.44%。公司经营性现金流明显改善,经营活动产生的现金流量净额-68,855.63万元,比上年同期增长38.19%。值得一提的是,近日,记者了解到,阿里云与奇安信宣布达成战略合作。双方将围绕重点行业的云安全领域进行自主研发,同时将在工业物联网、应急与攻防演练等场景,展开技术、产品、市场、资本等领域全面深入合作。安信证券预测称,奇安信盈利拐点将在2022年出现。民生证券计算机团队则相对乐观,预计2021年奇安信即有望实现扭亏为盈,至2023年公司归母净利润可达到6.44亿元。中国电子信息产业集团副书记曾毅近日表示,“当前,网络安全越来越重要,已成为未来中国发展建设工作的重点之一。‘十四五’规划中,提及网络安全14次,涉及数字经济、数字生态、国家安全、能源资源安全等各个方面。”随着国家“十四五规划”及新基建、数字基建的快速推进,以“5G、大数据、物联网、云计算、工业互联网”为主线的IT设施建设发展迅猛,网络安全已成为国家数字经济发展的重要支撑。公司将持续发力新赛道领域,如重点发力云安全、实现云增速65%;大数据安全与隐私保护收入同比增长超过60%。未来,随着网络安全行业的高速增长,“十四五”规划对网络安全保障体系和能力建设的持续推进,加之奇安信内部“高质量发展战略”的驱动,盈利,已然近在眼前。4月16日,奇安信以92元/股收盘,总市值625亿元。审读:孙世建
黑之雨省委网信办副主任张丽调研走访南昌市重点网络安全企业
2月22日至2月23日,省委网信办副主任张丽一行走访调研我市重点网络安全企业。市委宣传部副部长、市委网信办主任熊中高陪同调研。调研组一行先后走访了奇安信、绿盟科技等网络安全企业,认真听取各企业在各自专业领域核心技术突破、业务开展方向、市场影响力度的汇报,并详细询问了企业发展情况、人才队伍建设、典型成功案例、助力本地发展取得的成绩和现阶段发展方面的思路。张丽指出,近年来数字经济快速发展过程中网络安全问题越来越突出,伴随人工智能、物联网、移动互联网等新技术新业务发展,呈现出全方位、体系化、内生性的新特点。各网络安全企业在促进省市网络安全保障体系建设方面发挥了积极作用,希望各企业把握发展机遇,继续发挥自身优势,加大人才培养,为全省网络安全事业发展添砖加瓦。【来源:南昌新闻】声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 邮箱地址:newmedia@xxcb.cn
丁一山筑泰防务再度上榜中国网络安全行业全景图
3月25日,安全行业知名媒体平台安全牛正式发布第八版《中国网络安全行业全景图》,筑泰防务成功入选移动应用安全、移动业务安全及移动终端管理三大细分领域。值得一提的是,2019年至今,筑泰防务已连续3年登榜《中国网络安全行业全景图》。▲图片来源:安全牛据悉,本次调研历时3个月,在此期间,安全牛进行了近200次的企业实际调研访谈,充分融合分析师团队和安全牛甲方智库资源,力求更加科学、规范、全面地展现当前我国网络安全产业的发展状况和企业能力。此次能够入围三大细分领域,是行业对筑泰防务移动安全产品、技术及服务能力的全方位认可。抓住机遇 转型发展今年正好是中国建党100周年。回首百年,在党的领导下,国家经济飞速发展,科学技术日新月异。在党和国家在各个领域不断推进智慧化建设进程的努力下,信息技术不停取得重大突破,信息技术应用进一步普及和深入。信息安全产业作为智慧社会建设的基础,是支撑经济社会发展的战略性、先导性行业。筑泰防务作为最早一批涉足移动安全领域的企业也因此抓住了时代发展机遇,跻身于智慧城市建设进程中,保障建设进程中的移动安全问题。自2011年创立初始,在积累了相关行业经验后,筑泰防务便开启了自主探索政企行业智慧化转型之路,率先在广东推行移动警务,成功助力广东省智慧新警务成为全国典范。此次试点成功开启了筑泰防务移动安全业务迈向智慧化转型新阶段,自此,筑泰防务逐渐迈向全国地区、跨越更多领域,业务遍地开花,为全国千行百业赋能增值。肩负使命 持续赋能如今,随着国家逐渐加大力度支持“新基建”推进,各大城市如火如荼地开展智慧化建设,智慧化转型需求不断激增,筑泰防务知名度不断攀升,已成为政企信赖的智慧化转型伙伴。在实施国家大数据战略加快建设数字中国的战略及《网络安全法》法规要求下,筑泰防务将继续肩负时代使命,全力维护移动安全,推动国家智慧化建设。智慧化转型是一场没有终点的旅行。未来,筑泰防务将会继续坚持以科技为核心,积极发展创新技术,秉持“客户至上”的核心价值观和服务理念,满足客户的智慧化转型需求,不断提升网络安全及信息化水平,为全国政企行业提供“技术赋能”,助力更多政企完成智慧化转型变革。
狂风沙国内网络安全信息与事件管理类产品研究与测试报告(2021年)
(报告出品方/作者:中国信通院)前言安全运营是企业对于网络安全工作的有效管理和高效输出。随 着企业规模变大、面临的威胁环境更为复杂,如何通过有限的人员 对数量庞大的安全事件进行管理与快速响应,如何更精确的度量当 前的关键安全指标,如何将安全工作与业务有效结合更好地赋能业 务,这是安全运营不断发展、优化的意义所在。随着业界对安全运营活动的认知逐渐改变,用户行为分析、安 全编排自动化与响应、威胁情报等等,都被列入安全运营的核心需 求。总体来看,安全运营的发展过程是一个技术不断融合、内涵不 断丰富的过程,当下以及未来一段时期内的安全运营将会是以 SIEM 1/SOCF2为核心,结合大数据分析、机器学习、人工智能技术,融 合更多运营功能,形成新一代安全运营服务。如果将安全产品与技术作为企业安全工作的输入,那么良好的 安全事件运营则是企业安全能力的稳定输出。而现在,日益复杂的 安全事件与落后的安全运营能力成为了现阶段安全建设中的主要矛 盾。安全建设的输入和输出处于非常不对等的情况。对企业而言,安全管理及运营涉及方方面面,不仅仅从单点去 考虑,还需要从企业整体安全运维的角度,根据不同的安全侧重点, 体系化分类管理安全事件,做到事件管理标准化、关联信息详实化、 人员/工具定位精准化,这样才可以做到高效安全响应。为了更好地满足基础电信和互联网、金融、能源和医疗等行业 用户在 5G 网络、云计算、物联网等新型业务场景下的实际需要,为 其在网络安全产品能力选型中提供技术参考,中国信息通信研究院 (以下简称“中国信通院”)安全研究所联合 FreeBuf 咨询共同完 成了此次 SIEM/SOC 类产品调研和测试工作。本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试,测试内容和角度覆盖全面且广泛,测试内容包括产品功能、 性能以及自身安全测试,覆盖数十种技术能力指标测试项。本次测 试是对各企业的 SIEM/SOC 类产品的“能力拔高测试”,以体现该产 品在某一个技术能力领域的硬核实力。测试方案内容不仅基于现有 相关标准,并且依据 Gartner 对 SIEM/SOC 的能力定义以及综合国内 各安全企业最佳实践。到报名截止日期 2020 年 10 月 23 日为止,共 有 20 款产品报名,符合测试要求的 14 款产品参与此次验证评估。本报告由中国信通院安全研究所对国内主流 SIEM/SOC类产品 进行基本面测试评估,并输出整体测试、分析结果与整体报告。由 FreeBuf 咨询通过现场走访、资料整合及问卷调查的形式,对国内 外近百家企业的使用情况进行对比分析,并深入总结国内 SIEM/SOC 类产品的基本现状,并尝试对其发展趋势进行评估和预测,为企业 安全建设提供有效参考,提升安全运营与响应能力。安全运营的演变与发展(一)安全运营的定义根据 2014 年美国 NISTF3发布的 Cybersecurity Framework,安 全运营可以拆解为 5 个版块:风险识别(Identify)、安全防御 (Protect)、安全检测(Detect)、安全响应(Response)和安全 恢复(Recovery)。而安全运营的核心即解决问题,通过提出安全 解决构想、验证效果、分析问题、诊断问题、协调资源解决问题并 持续迭代优化,推动整体安全目标的实现。随着企业规模变大、面临的威胁环境更为复杂,如何通过有限 的人员对数量庞大的安全事件进行管理与响应,如何将安全工作与 业务有效结合更好地赋能业务,是安全运营不断发展、优化的目的 所在。(二)安全运营的发展经过近 30 年的发展,国内的安全运营从粗放型逐渐转向业务与 技术双驱动的精细化运营。 (1)基础架构阶段八九十年代末,计算机应用迅速拓展,第一批计算机安全相关 政策、举措开始实施,重点行业、大型企业的安全需求开始显现。 这一时期,头部行业的企事业单位正视网络安全,将其作为系统建 设中的重要内容之一,并且建立专门的安全部门以开展信息安全工 作。网络安全厂商迎来初步发展期,将其主要研发精力投入于防火 墙、IDS、杀毒软件三大件上,奠定了传统的安全运营基础架构。(2)快速发展阶段九十年代末至 2010 年,国内网络安全行业基本结束野蛮生长阶 段。等级保护相关标准规范体系相继密集出台,中小型企业、传统 企业将补全安全能力作为主要安全建设工作,而安全运营的主要手 段依然以防火墙、IDS、防病毒为主,呈现快速发展、被动防御的特 点。(3)体系化阶段2010 年后,随着国内大部分企业完成信息安全建设进程,国家 和企业对于合规需求进一步升级,安全运营迎来体系化发展阶段。 安全管理中心、态势感知等安全运营理念在信息系统建设中同 步运用。企业将安全运营作为体系化工作开展,以基础安全设备为边界防护,内部建立完整的安全运营中心/体系,进行整体安全规划、 逐步开展自研并引入国内外多种安全运营理念。(4)技术驱动阶段2018 年后,AI、大数据、云计算飞速发展,新技术催生了新的 业务场景,也让企业面临传统安全边界消失、攻击面无处不在、业 务增长带来的数据量暴增等问题。为了实现快速、持续的响应,安 全人员不得不与复杂的操作流程以及匮乏的资源、技能和预算做斗 争。然而此起彼伏的安全事件让安全运营人员即便依托安全运营平 台,仍然疲于应付。企业开始寻求更高效、自动化的安全运营方式, 安全运营从被动式转变为主动式,注重从防御、检测、响应和预测 四个维度构建纵深的网络安全运营体系。(三)安全运营的技术实践本质上,安全运营是一个安全理念和运营体系,而在国内外落 地过程中,安全运营逐渐衍生出多种形态,如常见的 SIEM、SOC、态 势感知平台等。一般来说,不同国家、不同厂商对于某一安全运营 产品/解决方案的名称可能存在差异,通过目前市面上已有的安全运 营产品/服务/架构的了解,能够帮助企业更好地理解安全运营是如 何把技术、流程和人结合起来服务于安全的。在以上多个安全运营形态中,技术、流程和人都必不可缺,且 安全运营能力重点体现在数据收集、事件分析及响应等方面。近几年,安全运营的各种形态在不断集成、融合其他安全技术、 工具和策略,在优化发展过程中,不同的安全运营平台/产品相互之 间存在一定的功能交叉甚至重合。比如,SIEM 作为重要的检测响应 技术,被 SOC、SOAPA 等多个安全运营形态采用与融合,并且在安全 运营中扮演重要角色。因此,尽管 SIEM、SOC 等在能力侧重点、技 术等细节上存在差异,但在安全运营能力的整体提升方面的目标仍 然是一致的。二、安全信息实践管理技术发展现状(一)技术早期发展在 SIEM 萌芽阶段,收集 IT 网络资源产生的各种日志,进行存 储和查询的日志管理是行业主流。而建立在日志管理之上的 SIM 4和 SEM 5就在这一时期出现。初代 SIEM 的定义也由此开启,2005 年, Gartner 首次将 SIM 和 SEM 整合到一起,并提出了 SIEM 的概念,为 安全运营和管理揭开了新的篇章。此后,随着安全合规政策的出现,又衍生出了新一代日志管理 技术 LM 6。LM 与前者的区别在于,更加强调日志的广泛收集、海量存 储、原始日志保留及安全合规,并借鉴搜索引擎技术实现快速检索 分析能力。现代 SIEM 的定义实质上融合了 SIM、SEM、LM 三者,尽管各个 厂商产品间的重点技术能力略有区分,但以此为基础的大方向是一 致的:即基于大数据基础架构的集成式 SIEM,为来自企业和组织中 所有 IT 资源产生的安全信息(日志、告警等)进行统一实时监控、 历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、 审计分析、调查取证、出具报表报告,实现 IT 资源合规性管理的目 标。2010 年后,伴随着安全运营的热度 SIEM 同样迎来蓬勃发展期,在市场占领和技术成熟度上都有了突破。2013 年,SIEM 全球市场规 模达到 15 亿美元,相比 2012 年度增长 16%,预示着 SIEM 市场完全 成熟且竞争激烈。同时,在合规要求下,SIEM 的目标群体转向中小 型企业,为了解决小型企业无力购买整体 SIEM 解决方案/服务、缺乏管理 SIEM 的专业员工等问题,SIEM 开始在产品形态、功能,还有 商业模式上进行创新,推出 SaaS 软件即服务,进一步推动 SIEM 的 广泛部署。(二)基础核心能力SIEM/SOC 的核心功能包括了日志收集、跨源关联和分析事件能 力等,常见 SIEM 工作流程可参考下图:SIEM 在数据流水线的每个阶段都需要进行精细的管理、数据提 取、策略、查看警报和分析异常。其中,SIEM 的核心技术点包括:日志采集及处理SIEM 需要从企业相关组织系统中广泛收集日志和事件,每个设 备每次发生某事时都会生成一个事件,并将事件收集到平面日志文 件或数据库中。SIEM 的任务是从设备收集数据,对其进行标准化并 将其保存为能够进行分析的格式。在日志采集后,SIEM 还需要进行日志处理,即从多个来源获取 原始系统日志后,识别其结构或架构并将其转变为一致的标准化数 据源的技术。日志关联分析SIEM 需要汇总所有历史日志数据并进行实时分析警报,通常通 过分析数据建立关系,以帮助识别异常、漏洞和事件,这也是 SIEM 最关键的一项能力。传统 SIEM 产品使用关联规则和脆弱性和风险评 估技术从日志数据生成警报,但是这两种技术存在误报及新型威胁 难以抵御地风险,因此部分头部 SIEM 厂商积极应用实时关联分析引 擎,分析数据包括对安全事件、漏洞信息、监控列表、资产信息、 网络信息等信息,同时应用机器学习、用户行为分析等高级分析技 术,着力提高 SIEM 的智能分析能力。安全产出SIEM 处于安全运营的关键环节,其应用目的之一便是帮助安全 运营人员高效处理安全事件。因此清晰完善的安全产出尤为重要。 例如根据安全事件产出相关报告,如人员异常登录报告、恶意软件 活动报等,同时根据事件分析产生安全警报。SIEM 安全产出主要提 供警报和通知、仪表盘、数据探索及 API 和 WEB 服务等能力。尽管 SIEM 在事件分析和响应上已有成熟的体系,但近几年趋向 复杂化、高级化的网络攻击依然对于以 SIEM 为主要解决方案的安全 运营提出了挑战。一是 SIEM 采用关系数据库技术构建,但随着日志 数据源的数量增加,数据库的负载不断加重,限制了实时响应能力; 二是 SIEM 在运行中会产生大量告警事件,“告警过载”等于无告警; 三是 SIEM 采用模式匹配引擎技术(签名技术)进行上下文的匹配,容易产生大量误报;四是 SIEM 简单地将事件的严重程度划分为高、 中、低,缺乏细致的决策参考,对企业网络安全专业人才的技能提 出更高的要求。根据 CMS Distribution 公司对企业安全运营的技术调研发现, 传统的SIEM解决方案产生大量告警事件使得安全运营人员分身乏术, 同时专业安全技能人才的缺失,使得传统 SIEM 解决方案的平均寿命 已经缩短到 18-24 个月,无法有效应对云计算、大数据、物联网、 人工智能新时代的网络安全挑战。当 SIEM 的不足开始凸显,企业的 安全水位线难以被满足,也亟须 SIEM 有新的突破以应对更高级的威 胁。三、国内 SIEM/SOC 类产品应用现状(一)国内企业安全运营态势画像1.安全检测类产品部署现状大多数企业都依靠部署安全产品和解决方案管理安全和合规建 设。根据调研结果,有 33.5%的受访企业部署了 11 个以上的网络安 全检测类产品,部署数量在 6-10 之间的企业占比为 16.7%。直观地看,通过众多安全检测类产品的部署,企业具备相对成 熟的单点安全防护能力,安全团队能够解决大部分基础安全问题。 此外,企业对安全建设的投入和重视程度也可见一斑。2.安全警报数量现状随着安全检测产品部署数量的增加,势必会产生更多的安全警 报。对此,报告分别针对企业安全警报数量、安全警报变化状态和 产生原因进行了调研,详细调研结果如下:过去 1 年中,企业安全事件警报的数量如何变化?调研结果显示,38.5%的受访企业在过去一年间的安全事件警报 数量显著增加(增加 1 倍-2 倍),19.2%的企业在过去一年间的安全 警报数量呈现大幅增加(超过 2 倍 以上),仅有 7.7%的企业表示过 去一年的安全警报数量几乎没有变化。企业过去一年间大约处置了多少有效安全警报事件?调研结果显示,23.1%的受访企业在过去一年间处置了 100000+ 的安全警报,仅有 9.1%的企业在过去一年间处置了少于 100 的安全 警报。是什么问题导致安全警报事件增加?根据调研结果,共有 63.7%的受访企业认为【威胁数量日益增 加】、【部署的安全产品逐渐增多】、【内部用户及资产数量增加】 是企业安全警报数量激增的核心原因。3.企业安全运营&威胁发现能力现状针对企业安全运营&威胁发现能力现状,报告分别从企业威胁发 现能力自评、企业安全运营能力自评、企业安全运营问题三个方面 进行了调研。详细调研结果如下:企业目前威胁发现能力的评价为:根据调研结果,四成的受访企业认为自己【有完善的边界防御 体系,可及时发现入侵行为,但仍存在改进空间】,仅有 14.8%的受 访用户具备自信并表示自己【建立了全面和纵深防御体系,可快速 发现入侵者】。企业目前的安全运营能力评价为:根据调研结果,半数受访企业认为安全运营能力处于【有专职 的安全运营人员,可以实现高风险安全事件的响应,但人力资源会 搁置一般性风险事件】的阶段。值得关注的是,安全运营能力成熟 度最高级和最低级的企业比例相当,这也意味着目前国内企业安全 运营能力仍处于两极分化阶段,不乏已经在安全建设及运营阶段走 在前列的国内企业,但同时仍旧有部分企业处于初级救火队的阶段。企业面临着哪些安全运营问题?根据调研结果,【缺乏有效的自动化工具】、【安全运营可视 化能力弱】、【缺乏有效的威胁跟踪和管理平台】、【安全运营人 员经验不足】是大多数企业面临的运营问题。(二)国内安全信息和事件管理类产品应用现状1.安全信息和事件管理类产品国内部署现状企业是否选择部署安全信息和事件管理类产品?从调研结果来看,针对安全信息和事件管理类产品的部署选择, 有 46.9%的企业已经部署 SIEM/SOC 产品。同时报告也观察到,近九 成企业不会选择单独部署 SIEM/SOC 产品,同时还会配合 UEBA、SOAR、 漏洞管理等产品进行综合应用。企业部署商用安全信息和事件管理类产品的品牌选择:商用安全信息和事件管理类产品的厂商品牌较多,竞争也非常 激烈。根据调研结果,国内企业对安全信息和事件管理类产品的品 牌选择上,国外厂商并不占据压倒性优势地位,有 51.1%的企业选择 部署国内厂商的产品。国内厂商布局安全信息和事件管理类产品也是近几年开始的动 作,在 Gartner 历年发布的 SIEM 产品魔力象限中,无论在市场还是 技术领域,无一例外都是国外厂商占据领导者地位。但随着近几年 国内安全信息和事件管理类产品市场的猛烈需求和发展,国内厂商 也在纷纷投入精力切入该市场,根据该调研结果也能看到国产厂商 在国内安全信息和事件管理类产品市场发展中所做的努力与成果。2.安全信息和事件管理类产品使用效果评价针对已部署 SIEM 地调研对象,54.8%的企业认为部署 SIEM 对企 业安全运营效率提升的效果一般,32.7%的企业认为部署 SIEM 可以 显著提升企业安全运营效率。根据调研,企业用户对现阶段 SIEM 产品不满意的问题主要集中 在以下六个方面:【价格高昂】、【产品操作复杂,对安全运营人 员的技术要求较高】、【日志关联分析能力弱】、【误报率过高】、 【占据大量安全资源,需要巨大的安全运营投入】、【与第三方安 全工具的集成性较差】。3.企业对 SIEM 集成安全能力的期望随着“Smart SIEM”理念的发展,企业对 SIEM 的期望不仅仅局 限于传统 SIEM 提供的安全事信息和事件管理能力。新一代 SIEM 解 决方案更加趋向于融合多项安全能力,将安全需求打通,并基于用 户的选择进行按需扩展,从而帮助企业更加高效统一地完成安全运 营工作。针对企业对 SIEM 集成安全能力的期望,报告进行了定向调研, 调研结果显示:威胁情报、端点安全(EDR)、漏洞管理、SOAR、UEBA、 NTA 是大部分企业期望集成至 SIEM 平台的安全能力。4.企业对 SIEM 产品期望改进的能力根据调研结果,54.7%的企业认为 SIEM 产品需要提升【威胁情 报能力】、【用户行为分析能力(UEBA)】、【安全编排及自动化 响应能力】这三项能力。四、SIEM/SOC 类产品测试情况综述(一)测试基本情况本次SIEM/SOC类先进网络安全能力验证评估工作在信通院安全 所网络安全实验室进行,开始于 2020 年 11 月 2 日,结束于 2020 年 12 月 8 日。各参测企业根据测试方案分别组合自身的产品模块和技 术能力,完成了 SIEM/SOC 能力验证评估。各参测企业受测的产品数量不同,如表 3 所示,每个参测企业 产品数量从一台至五台数量不等,但普遍为两台至三台,通常一台 设备作为采集探针,另外一台设备作为安全分析和展示系统,对于 采用两台以上设备的企业通常是将安全分析模块进行了能力拆分, 例如态势感知模块、威胁感知模块、运维审计类探针模块以及总体 分析和展示模块几个部分。参与测试的产品均采用了标准 1U 或 2U 服务器。(二)测试环境介绍本次测试主要采用IXIA PerfectStormONE流量发生器(IP地址: 172.16.5.111)模拟网络流量、攻击以及恶意程序等,采用 IXIA Vision E40 分流设备(IP 地址:172.16.5.112)进行多路模拟流量 生成。如图 16 所示测试环境网络拓扑情况,流量发生器与分流设备 相连接,并配置流量策略,分流设备将模拟的测试流量同时下发多份,受测产品的采集口(或通过交换机转发)与分流设备相连。管 理口交换机连接所有产品管理口进行统一管理。受测产品需配置 172.16.5.0 网段 IP 作为管理 IP,并接入到受 测网络中。为了保障整个测试过程的真实性与客观性,管理口 IP 以 及其他相关采集分析设备被分配的 IP 不可以私自改变,在测试结果 截图中应包含页面全屏,显示出管理 IP,以明确该测试截图内容是 通过现场测试得到的结果截图。(三)测试方法说明本次测试包括产品功能测试、性能测试和系统自身安全测试。 在功能测试方面,由 IXIA PerfectStormONE 流量发生器生成相关流 量,随后在产品找到采集或分析结果相应界面,对满足测试内容的 部分进行截图和说明,证明该产品对该测试项的满足程度。对于不 需要专门利用流量发生器的测试项,直接在产品界面截图中进行描 述说明。在性能测试方面,根据产品型号(千兆或万兆),由 IXIA PerfectStormONE 流量发生器生成最大混合流量,受测产品记录流量 采集峰值以及峰值期间 CPU 或内存资源的消耗情况。在自身安全测 试方面,由专业白帽子渗透测试工程师利用各类 Web 检测工具,结合手工验证对设备系统和应用层面进行全面渗透测试。(四)测试对象范围一般情况下,SIEM/SOC 类产品从基础架构上主要分为采集层、分析层、展现层。采集层通过对网络内的流量、日志进行基础性收 集并进行标准化处理;分析层是一个 SIEM/SOC 类产品的核心技术体 现,它通过多系统之间的关联、多数据/情报标准化之后的分析,进 而形成威胁预警信息、态势感知信息、数据治理手段等。 本次测试对象范围主要包含安全信息和事件管理系统(SIEM)、 SOC 安全运营中心、NGSOC 态势感知与安全运营平台、SRC 安全应急 响应中心等产品形态和类别。其中包含的功能模块包含但不限于日 志管理、威胁情报、漏洞扫描、态势感知、威胁预警、安全治理等 子系统。本次测试对象范围主要包含安全信息和事件管理系统(SIEM)、 SOC 安全运营中心、NGSOC 态势感知与安全运营平台、SRC 安全应急 响应中心等产品形态和类别。其中包含的功能模块包含但不限于日 志管理、威胁情报、漏洞扫描、态势感知、威胁预警、安全治理等 子系统。(五)测试内容简介本次测试内容范围覆盖从原始网络流量采集、还原,并进行网 络攻击、恶意程序、APT 等威胁识别,到安全分析和态势感知,到安 全运营和安全治理,并对风险进行处置和溯源等网络流量全生命周 期分析能力测试。如表 4 所示,测试内容包括产品功能测试、产品 性能测试和产品自身安全测试三个方向。其中产品功能测试包括网 络流量识别能力、安全分析能力、安全事件处置能力、安全事件溯 源能力、自身管理能力、自身日志审计能力六大产品能力,其中网 络流量识别能力和安全分析能力是本次测试的重点方向。产品性能 测试包括网络流量吞吐能力和系统资源使用情况测试。自身安全测 试包括针对系统的 Web 应用安全和业务逻辑安全测试。五、SIEM/SOC 类产品测试结果总体分析(一)日志采集告警与基础分析支持较好通过测试结果发现,绝大部分受测产品的日志采集与告警、威 胁情报采集与安全分析能力均表现良好。如图 20 所示,全部受测产 品的两个大项指标的符合率高达近 90%,侧面表明国内大部分 SIEM/SOC 类产品在日志与事件的收集、标准化和实时监控告警方面 的技术能力已经相当成熟。一方面,本次测试中主要验证受测产品对于收集各信息系统及 网络的流量、日志、运行状态、告警信息,包括 Syslog、SNMP、SNMP Trap、SSH、TELNET 和文件系统等方式接入日志类型数据;另一方面, 本次测试对于威胁情报的采集、利用、溯源和验证方面进行了相关的测试,根据测试结果综合情况来看,受测产品普遍在威胁情报的 采集和利用方面表现优异,但威胁情报的溯源和验证功能仍具有一 定的优化空间。如图 22 所示,相对于受测产品的基础能力外,多数产品也普遍 存在一定的功能短板,主要在自动编排能力和安全治理能力等方面。(二)自动化编排能力有待深化现在的安全运营场景中,往往需要整合大量的系统信息和事件, 运维工作的复杂度大大增加,因此必然需要产品提供丰富的事件响 应与处理编排能力,能够基于一系列预定义的预处理策略、关联分 析策略和合并策略自动化对告警严重性和处置优先级进行划分、自 动化地执行匹配的剧本和应用动作,同时应能够对外提供 API 调用 接口,供外部第三方应用系统调用,为它们提供编排、自动化与响 应服务。通过测试结果发现,大多数产品具备基本的告警功能,但自动化 编排响应能力有待完善。在所有受测产品中,仅有三家完全支持自 动化编排相应(SOAR),此项功能支持较好及以上的仅占全部受测 产品的 42%,完全不支持此项功能的占全部受测产品的 36%。根据测试用例要求,受测产品应具备自动化告警分诊、自动化 安全响应、自动化剧本执行、自动化案件处置以及自动化服务调用 等功能。不仅应实现实时有效告警,并且告警信息在系统中有详细 记录。具备供第三方应用调用的接口的配置,并且可以与企业其他 产品和其他企业或开源组件实现数据联动,以满足风险通知等其他 扩展功能。就本次测试情况综合评估,在安全编排自动化与响应能 力方面,多数受测产品未体现出相关能力优势,需要在实践中不断 完善和改进。(三)安全合规审计能力亟需加强本次测试在安全治理功能的测试方面,基于当前网络安全市场 的运营趋势提出了两点测试项:等级保护 2.0 合规审计以及安全治 理数据。等级保护 2.0 合规审计。网络安全等级保护 2.0 制度,是我国 网络空间安全领域的基本国策和基本制度。在等级保护 1.0 时代的 基础上,更加注重主动防御,建立全流程的安全可信、动态感知和 全面审计。SIEM/SOC 类产品作为企业安全运营的核心,承载着收集、 分析和情报处理的关键功能,如果能通过等级保护 2.0 进行赋能与 合规管理,将大大提高 SIEM/SOC 类产品应用的深度和广度。根据测试结果,有 10 款产品完全不支持等级保护 2.0 的合规审 计功能,占全部受测产品的 72%。没有一款受测产品能够完全支持本 次的测试用例。但值得期待的是,其中 1 款产品在后续版本将加入 等保审计功能,而另外部分产品可通过接入本次测试外的定制模块、 探针等方式进行等保合规审计和安全信息事件地集中管理。从总体 上看,本次受测产品在等级保护 2.0 合规审计功能上亟需加强。安全治理数据。本次测试中,增加了安全治理数据的功能检测, 旨在展示安全治理整体数据、态势和成效。通过受测产品内置安全 风险 KPI 指标,包括安全状况指标、运行能力指标、安全态势指标 以及合规指标。查看总体安全治理情况。 通过测试结果发现,虽距安全治理的要求还有一定距离,但多 数产品已经基本具备功能。大部分受测产品在功能上基本能够实现 查看全网安全威胁指数、查看安全域 KPI 的态势、不同安全域的指 标变化以及设置 KPI 的标准等。通过测试结果发现,虽距安全治理的要求还有一定距离,但多 数产品已经基本具备功能。大部分受测产品在功能上基本能够实现 查看全网安全威胁指数、查看安全域 KPI 的态势、不同安全域的指 标变化以及设置 KPI 的标准等。(四)系统自身安全管理功能完善通过测试结果发现,几乎全部受测产品在自身安全配置方面, 均具备包括不限于用户标识、数据安全、身份鉴别、安全审计等安 全配置功能。用户标识方面,具备管理角色标识、鉴别信息、隶属 组、权限等自定义用户安全属性,并具备用户属性初始化功能和用 户唯一性设置。数据安全方面,具备数据安全管控机制,涵盖数据 的创建、存储、使用、共享、归档、销毁数据全生命周期环节,涉 及通过网络协议、接口、维护终端等多种途径进行数据访问、传输, 保证在这些途径上的数据保密性、安全性和完整性。身份鉴别方面, 具备提供授权管理员鉴别数据的初始化、鉴别失败处理、鉴别授权 保护等功能。安全审计方面,具备对不同的安全行为进行审计记录 的生成,并能够限制审计记录的访问。如图 31 所示,绝大部分产品具有完善的自身安全管理能力。其 中 86%受测产品具备完善的自身管理能力,满足测试功能要求,14% 受测产品在本次测试用例中存在微弱的差距。(五)Web 和业务安全漏洞均有存在通过测试结果发现,全部受测产品均存在应用安全漏洞。本次 测试过程中,通过系统漏洞测试、应用安全测试、口令破解、数据 包分析等不同工具和方法,对受测产品的 Web 应用和业务安全进行 了测试,测试内容包括不限于对 Web 应用进行安全扫描监控,查看 Web 应用是否存在安全漏洞、利用业界知名安全扫描工具/开源扫描 工具扫描和人工渗透测试尝试发现 Web 应用是否存在的安全风险、 对系统业务逻辑进行分析和测试,查看业务逻辑是否存在漏洞(越 权、数据泄漏等)。在本次全部受测产品中,均存在 Web 和业务安 全漏洞。所有产品的高危漏洞占总漏洞数的 33%,中危漏洞占 55%, 低危漏洞占 12%。其中,有 8 款产品均存在不同危害程度的高危漏洞。 如图 32 所示各产品漏洞数量。六、SIEM/SOC 类产品威胁识别能力分析(一)各类网络攻击发现和分析的能力在本测试中,利用流量发生器构造了近 5000 条漏洞利用攻击, 包括但不限于远程代码执行、破壳漏洞利用、SQL 注入、HTTP PUT 方法任意写文件、暴力破解、端口扫描、非法权限获取、挖矿、木 马后门通信、中间件漏洞等,用于验证受测产品的网络攻击识别和 分析能力。通过测试结果发现,绝大部分受测产品可实现对网络攻击的基 本识别,需加强机器学习、数据图谱等高级关联分析和溯源展示能 力。在网络攻击识别方面,多数受测产品能识别出 Web 应用攻击、 弱口令、暴力破解、扫描与爬虫、数据库攻击、敏感信息泄露、恶 意通信流量、内网渗透、通用应用漏洞攻击、恶意软件、后门识别、异常协议等攻击行为。(二)多步骤攻击发现和关联分析的能力通过测试结果发现,绝大部分产品可以实现分析流量中的多步 骤攻击链条,包括基于攻击链模型的分析、攻击源追溯等功能。但 是在风险告警与攻击链构成防御策略方面仍需不断完善。随着各企 业在国家 APT 网络攻击对抗领域的不断深入研究与实践,应持续完 善产品能力,以在网络安全防御与应急响应工作中起到实际效果。ATT&CK28F7技术落地仍需完善。在本测试用例中,利用流量发生器 构造具有完整攻击链的 APT 攻击,查看受测产品是否具备提供攻击 链模型的安全事件监测的方法,是否能够直观呈现攻击者的抽象行 为并提供攻击路径追溯等功能。如图 36 所示,虽然绝大部门受测产品都可以识别出多步攻击链 条,但是其中仍有 3 款产品不支持通过以 ATT&CK 为例的全过程告警 功能,占全部测试产品的 22%。七、SIEM/SOC 类产品态势感知能力分析态势感知能力,不仅是SIEM/SOC类产品对于数据分析的展示层, 更代表一个系统对于网络中的资产、用户以及环境等各方面信息的 深度理解和分析,从而形成全局视角,以用于决策支撑、应急响应 和安全处置等。本次测试过程中分别对 SIEM/SOC 类产品的攻击和威 胁态势感知能力、资产和运行态势感知能力、用户实体和 UEBA 能力 等方面进行逐一测试,用来分析受测产品在态势感知方面的功能支 持情况。(一)攻击和威胁态势感知能力分析根据测试结果,大部分受测产品均具备一定的攻击和威胁态势 分析能力。其中,攻击态势感知能力主要能够实现显示攻击源国家 TOP n、显示不同时间段的攻击事件量、显示情报命中数、显示当前 攻击状态值、显示当前攻击趋势值等内容。威胁态势感知能力能够 实现潜伏威胁感知、外部威胁感知、威胁情报态势感知等方面的内 容。如图 39 所示,本次受测产品中,有 4 款产品在攻击和威胁态势 感知的功能上完全满足测试要求,占全部受测产品的 29%;有 1 款产 品完全支持攻击态势感知能力但威胁感知能力还需加强。其他产品 均为基本支持或者较好的支持本次的测试用例,测试中未发现不支 持此功能的产品。(二)资产和运行态势感知能力分析根据测试结果,大部分受测产品均具备一定的资产和运行态势 分析能力。其中,资产态势感知能力主要能够展示资产安全概览、 展示业务系统和安全域 TOP n、资产价值分布、资产发现示意图、展 示互联网资产暴露、展示操作系统版本、展示资产端口类型、展示 资产来源、正常展示网段分布、展示资产分类统计信息和资产发现 的来源等。运行态势感知能力主要能够显示全网安全状况及风险分 布地图、安全域风险等级 TOP n、不同时间维度脆弱性、威胁和风险 TOP n、安全域价值等级分布、攻击关系图、威胁分布状况等等。根据测试结果,本次受测产品中,有 6 款产品在攻击和威胁态 势感知的功能上完全满足测试要求,占全部受测产品的 43%;有 2 款产品完全支持其中一项态势感知功能。仅有 1 款产品不支持此项 态势感知功能。其他产品均为基本支持或者较好的支持本次的测试 用例。(三)用户实体画像和 UEBA 能力分析UEBA 是 SIEM/SOC 的关键功能,Gartner 曾预测,到 2020 年,80%的 SIEM 产品都将具备 UEBA 功能。根据本次测试结果,大部分受 测产品均具备用户实体画像分析能力和 UEBA 分析能力,但在机器学 习和深度分析上仍存在很大空间。其中,用户实体画像分析能力主 要能够添加设备的详细画像、能够在场景画像查看由于 UEBA 场景所 触发的实体画像、能够在猎物画像看到威胁狩猎所触发的实体画像 等。UEBA 分析能力主要是围绕用户和资产提供细粒度的行为分析场 景,找出潜在的内部威胁与安全风险,并且可以查看异常行为场景 的详细信息,进行深度分析操作,例如生成画像,进行威胁狩猎, 产生告警,误报忽略等操作,同时对场景进行配置管理,包括场景 的开启和关闭以及特征配置的调整。根据测试结果,本次受测产品中,有 3 款产品在用户实体画像 分析功能和 UEBA 分析功能上完全满足测试要求,占全部受测产品的 21%;有 3 款产品完全支持其中一项功能。有 2 款产品不支持此项功能。支持较好及以上的受测产品在用户实体画像分析功能和 UEBA 分 析功能占比分别为 58%和 72%。八、SIEM/SOC 类产品趋势展望根据 Gartner 的定义,安全信息和事件管理(SIEM)技术通过 对来自各种事件和上下文数据源的安全事件的实时收集和历史分析 来支持威胁检测和安全事件响应。在安全运营的发展历程中,SIEM 作为一种非常有效的技术解决方案,一直以来都是安全运营的关键 输入,尤其是在安全响应(Response)版块发挥关键作用。而随着安全数据、应用、场景量的激增,SIEM 的技术能力也在不断优化。回顾 SIEM/SOC 发展演变的历程,我们可以看到其发展与安全运 营的变化相契合,并不断优化以满足安全运营的需求。回顾 SIEM/SOC 发展演变的历程,我们可以看到其发展与安全运 营的变化相契合,并不断优化以满足安全运营的需求。(一)“智能 SIEM”将引领新一代 SIEM 能力发展新一代 SIEM 从解决传统 SIEM 的告警爆炸、企业网络安全专业 技能人才的匮乏等问题出发,能力集中在日志和事件融合分析、人 工智能技术集成、关联分析、用户行为分析、安全编排自动化与响 应、威胁狩猎等方面。我们将新一代 SIEM 定义为“智能 SIEM(Smart SIEM)”。对比传统 SIEM 产品的技术能力,Smart SIEM 的能力发展趋势 更多集中在智能化、主动化、集成化。1.智能化:AI+自动化驱动随着事件数量的增加,使用旧 SIEM 解决方案的企业能够拥有大 量的日志和事件数据,但无法智能地了解数据背后的原因。企业需要更智能的 SIEM,通过机器学习技术或自动化手段消除一些普通重 复的任务,以确保有限的企业资源不会因警报疲劳而陷入困境。在 此过程中,Smart SIEM 更强调应用用户行为分析(UEBA)和安全编 排自动化和响应(SOAR)等能力。基于机器学习的 UEBA 技术。用户和实体行为分析(UEBA)这项 技术通常利用数百种机器学习模型来分析大量事件,并为每个实体(用户/机器/打印机/IP 地址等)识别“正常”行为。对于每个实体, 通过将其基线与新行为及其对等实体的基线进行比较,并将数百条 线索之间的点连接起来,以评估是否产生风险分数异常行为预示着 真正的安全风险。这样,数十亿个数据点就变成了少数优先的威胁 线索,从而减少了警报,并使安全运营人员可以专注于调查对企业 构成真正风险的威胁。UEBA 的机器学习类型通常分为两类:监督机 器学习和无监督机器学习。监督机器学习依赖于大型标签数据集来训练模型,它非常适合 识别具有已知攻击模式或危害指标(IOC)的已知网络安全威胁。例 如,恶意软件检测是此类机器学习的用例之一,因为该行业具备数 十年的恶意软件数据,可以提供用作训练模型的数据依据。无监督机器学习通过查找数据集中的模式进行学习,因此非常适合异常检测,在异常检测中它可以自动比较并查明异常行为,适 应企业的数据并发现新的模式,无须人工指导机器寻找。将 UEBA 与 SIEM 有效结合使用,可以提供一种分层的安全分析 方法,快速、有效地找到已知威胁, 并帮助运营人员提高检测与响 应效率。安全编排自动化和响应(SOAR)技术SOAR 的概念最早由 Gartner 在 2015 年提出,SOAR 的三大核 心技术能力分别安全编排与自动化 (SOA,Security Orchestration and Automation)、安全事件响应平台 (SIRP, Security Incident Response Platform) 和威胁情报平台 (TIP, Threat Intelligence Platform)。SOAR 可以根据事先的预案(Playbook)进行编排和自动化,能 国内网络安全信息与事件管理类产品研究与测试报告(2021 年) 53 够有效地简化安全运营人员的手工作业,减少了单调繁重的威胁分 析过程。一是 SOAR 帮助安全分析人员更快地响应和调查攻击,使他 们能够更快地开始缓解。自动化功能使他们能够采取措施将攻击风 险降到最低,而无须人工干预。二是SOAR自动化技术与机器学习(ML) 和人工智能(AI)相结合,它们提供了更快的方法来识别新的攻击, 并使预测分析能够得出统计推断,从而以更少的资源缓解威胁。三 是利用 SOAR 的编排和自动化技术,安全运营人员可以在多个安全工 具之间快速进行协调、从多个来源快速获取威胁源,并使工作流自 动化以主动扫描整个环境中的潜在漏洞。四是安全运营人员通常需 要花费大量时间来管理案例,创建报告并记录事件响应程序。SOAR 通过自动化操作手册、创建知识库沉淀,帮助企业保留安全运营经 验并持续迭代学习。将 SIEM 和 SOAR 结合后,能够大大缩短 MTTD(平均检测时间) 和 MTTR(平均修复时间),解决安全运营人员短缺的问题,并降低 SIEM/SOC 中常见的告警爆炸问题,并通过自动化实现运营成本有效 降低。2.主动化:威胁感知与主动防御企业需要寻找通过预测和预期对手的下一步行动来具备主动竞 争的能力,在此过程中,新一代 SIEM/SOC 需要具备威胁感知和主动 防御的能力。将 SIEM/SOC 与威胁情报匹配,企业能够以敏捷和快速 反应的方式应对不断发展的、大批量、高优先级的威胁。通过威胁情报平台,企业可以汇总和合理化威胁数据,自动筛 选出攻陷指标(IOC)作为可机读威胁情报(MRTI),并且使用现存 的日志对比匹配以便轻松发现不常见的趋势或线索,并对其有效执 行操作。通过将团队、流程和工具结合在一起,威胁情报平台指导 安全响应并进行阻断,节省了追踪传统 SIEM/SOC 产生误报所花的大 量时间。如果将 SIEM/SOC 与威胁情报平台相结合,企业可以将所有人、 过程和技术统一在智能驱动的防御背后,获得强大的安全运营增益 效果。一是日志、事件和数据的进一步分析。将来自威胁情报平台 的攻陷指标将自动发送到 SIEM/SOC 中进行警报,并将来自 SIEM/SOC 的特定事件发送回威胁情报平台来进行关联分析、数据挖掘和优先 性排序,分析人员可以锁定恶意行为的所在位置。二是建立企业自 身威胁知识库。综合性威胁情报平台可以作为企业的中央威胁信息库。帮助企业了解网络犯罪分子的工具、流程、受害者和预期目标。 三是根据企业网络环境生成和优化情报。威胁情报平台增加了上下 文信息和关系丰富的指标,从而使企业能够更好地了解威胁的性质、 对企业风险更有效地做出全面的反应。四是主动防御。威胁情报平 台支持安全响应团队寻找线索和联系,这可以显示攻击企业的威胁 与可能存在的威胁之间的关系,并发现新的相关的情报。使用这些 信息,帮助安全团队变被动防御转为主动防御。3.集成化:多元安全能力高效联动随着 SIEM/SOC 的发展,Smart SIEM 的定义中逐渐集合了多种 安全能力,例如前文提到的用户和实体行为分析(UEBA)、安全编 排自动化和响应(SOAR)、威胁情报等多种能力。这些能力可以是 单独的产品,但是对企业而言,集成化将是更好的选择。事实上,在原有的企业安全建设中,常常面临的问题就是不同 品牌、不同功能的产品并行在企业网络中。数量众多、品牌各异、 功能不同的安全产品大大提高了安全运营工作的复杂度,对安全运 营人员的要求也将更高。同时,不同安全产品产生的各类数据及事 件繁杂且细密,致使安全运营人员深陷于事件风暴中,无法有效寻 找梳理有效信息和及时处理安全警报。在此背景下,新一代 SIEM/SOC 的需求逐渐被引导为各类安全能 力的迁移和集成。例如,用于定义剧本和流程的编排和自动化工具 或充当中央存储库的威胁情报平台、可以使用上下文的外部全局威胁情报来聚合和丰富大量内部威胁和事件数据,方便企业可以了解 并确定优先级采取行动。此外,集成化的体现还包括 SIEM/SOC 对各安全品牌产品的兼容 与多元化。企业战略集团(ESG)曾做过一项调研,数据表示,62% 的受访者更愿意考虑从单个企业级网络安全供应商处购买公司所需 的绝大部分安全技术。对于企业运营人员来讲,管理不同品牌的安全产品更像是多维 度的角力。不同品牌产品具备相异的技术架构、操作界面,甚至操 作语言也会有所区分。这就对企业安全运营投入与技术能力提出了 很高的要求,因此这也是大多数企业更愿意选择单一供应商的原因。 换个角度,近几年各大安全厂商纷纷推出全行业全能力覆盖级解决 方案未尝不是该需求的推动因素导致。安全运营集成化更是“All-In-One”思维地接续传递,这种集 成能力将安全团队、流程和技术整合到一个安全体系结构中,最大 化提高效率和有效性,消除重复性任务,使得安全运营人员可以自 由地专注于更高优先级的活动,不断赋能企业安全运营能力的提升。4.MITRE ATT&CK 框架助推安全运营能力提升MITER ATT&CK 矩阵的出现为企业安全运营提供了强大助推力, 将 SIEM/SOC 的技术工具能力与其有效结合,将是企业应对安全风险 的利器之一。MITRE ATT&CK 将已知攻击者行为转换为结构化列表,将这些已知的行为汇总成战术和技术。该列表相当全面地呈现了攻击者在攻 击网络时所采用的行为,因此对于各种进攻性和防御性度量、表示 和其他机制都非常有用。MITRE ATT&CK 的目标是创建网络攻击中使用的已知对抗战术和 技术的详尽列表。简单来说,ATT&CK 是 MITRE 提供的“对抗战术、 技术和常识”框架,是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。在网络安全事件分析中使用 ATT&CK 框架可以在不同的策略和 技术之间建立联系。这有助于安全团队在完成攻击之前就识别出正 在进行的攻击,并让安全团队很好地了解对手已经做了什么以及下 一步可能会做什么。此外,ATT&CK 框架对于检测攻击特别有用,因 为它是基于行为的模型,而不是基于签名的模型。因此 ATT&CK 可 以预测常见的行为,避免被检测者破坏或基于签名的系统的其他弱 点所欺骗。总的来讲,MITRE ATT&CK 基于对网络杀伤链概念的扩展,从 而将安全事件分解为阶段性的概念及应对措施,并可以与基于行为 的检测方式相结合。无论是内置在企业检测和响应工具中,还是仅 作为建设企业安全防护手段的标准方法论,MITER ATT&CK 矩阵都应 该在企业的安全运营中占据一席之地。对国内企业而言,安全重视程度和技术应用手段也在逐步提升。 与之相对应地,忽视安全的代价也越来越高,例如客户流失、企业 商誉受损、企业收入受影响等。大部分企业的安全建设取得了较大 的进步,基本的网络安全防护已经不再是问题,而新的问题在于如 何获悉安全事件的详细过程、如何全面掌握整网安全态势现状、如何从纷乱繁杂的安全事件中抽丝剥茧命中高危安全行为。SIEM/SOC 作为新一代安全信息和事件管理的技术,帮助安全运 营人员从整个 IT 基础架构堆栈的各种系统中收集、关联和分析日志 等数据,从而识别并报告安全威胁及可疑活动。(二)多元安全能力组合成新趋势SIEM/SOC 需要从海量冗杂的设备日志数据中有效梳理分析,通 过融合更多有效的安全产品,形成采集、分析一体化平台,减少基 础数据筛选和分析工作。在此背景下,安全运营需要智能化、主动 化及高准确性的体系化建设,以达成内外部高级威胁检测和响应, 而单一产品之间整合度较低、联动性较弱,无法高效处理安全事件, 远无法满足用户需求,受此影响,安全运营从单一产品到组合型产 品的转变趋势愈加明显。无论厂商侧还是用户端,均从产品技术导 向和市场需求方面共同引导。从厂商侧来看,安全大厂纷纷布局该 能力,主要采用收购单一产品能力厂商或整合新技术的方式,扩展 安全运营产品生态,典型案例如综合安全厂商 360 收购 SIEM 能力厂 商瀚思。从产品技术能力看,通过引入新的技术改进检测、调查、 响应等功能不断优化 SIEM/SOC 的安全状态,例如 NTA/NDR 提升全网 流量监控及威胁发现能力,UEBA 帮助运营人员深入了解安全威胁, SOAR 则大大提升了安全事件的补救效率,多元安全能力组合的转变 越来越明显。(三)AI&自动化驱动智能化转型随着安全事件数量的增加,企业往往面临着大量日志和事件数 据暴增却无力快速高效处理的状况。企业需要更智能的 SIEM/SOC 产 品,以确保有限的企业资源不会因警报疲劳而陷入困境。 通过 AI 和机器学习技术驱动产品智能化转型成为 SIEM/SOC 的 主流趋势。AI 技术可以帮助企业从海量的输入数据流信息中发掘威 胁事件,并自动使用 AI 技术对不同业务、不同维度的数据进行智能 关联,建立内在联系,并实现自动化威胁事件处置。目前部分新型 SIEM/SOC 已经集成了常用的 AI 算法,比如异常检测、线性预测等, 这些算法以插件的方式集成进平台,企业可以选择基于算法分析自 身庞杂的数据。(四)云端部署能力持续扩展随着云应用越来越普遍,企业必须确保包括云在内的整个 IT 基 础设施的安全能力保障,云安全成为必争之地。因此,SIEM/SOC 需 提供多种应用场景能力适配,除了硬件、软件等本地场景部署外, 还需提供虚拟化或基于云服务的部署选项。 得益于企业对希望减少日志管理及安全事件监控成本的需求, “安全信息和事件管理即服务”模式逐渐增加。但是,有很多企业 仍旧不放心把敏感日志信息发送到云端,而这也是 SaaS 服务商们需 要解决的一个重要问题。(五)需求落地向业务导向型转变在以往 SIEM/SOC 的实际落地过程中,很多企业由于无法准确认 知到真实的业务需求,往往盲目遵循“技术为先”或“架构为先” 的惯性思维,便会出现产品部署后无法与业务架构密切融合甚至闲 置为“花瓶”的状态。企业对于技术的追逐,虽然可以促进安全运 营业务的发展,但是过于依赖技术,以为花大价钱购买了先进的技 术就诸事大吉,其实更是一种误区。随着企业安全业务的发展,对于 SIEM/SOC 的选择逐渐转变为业 务导向型。即从业务架构角度出发,精准挖掘企业安全数据、安全 应用等关联需求,匹配人员、技术和流程三大基本要素,只有训练 有素的技术员工、核心技术平台 SIEM/SOC 与恰到好处的工作流,才 能让安全运营这件事落到实处。(六)多行业标准化交付能力待提升由于 SIEM/SOC 涉及专业领域较宽,对使用者的安全能力要求相 对较高,而大多数企业存在专业安全技能人才缺失、安全运营人员 能力有限等普遍性问题,便会出现企业安全运营人员技术能力无法 匹配产品运维的问题。因此,随着 SIEM/SOC 的市场需求逐渐在各行业普及开来,安全 厂商需要实现各行业标准化交付能力,简化产品运维,帮助提升 SIEM/SOC 产品的使用效率。此外,企业也需要注重培养安全运营人 才,产品可以提升安全运营效率,但永远无法完全替代人的作用。在此过程,从厂商及用户端共同促使 SIEM/SOC 有效落地。九、SIEM/SOC 类产品能力分组本次测试主要是针对当前行业内主流企业的产品进行技术能力 测试,测试内容和角度覆盖全面且广泛,测试内容包括产品功能、 性能以及自身安全测试,覆盖数十种技术能力指标测试项。基于测试结果,《2021 中国安全信息和事件管理类产品 (SIEM/SOC)研究报告》对参与测评的产品进行产品专业能力划分, 并输出九大能力组,以满足不同行业用户的需求,为其在网络安全 产品选型过程中提供技术能力参考。详见报告原文。(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)精选报告来源:【未来智库官网】。
隔离区《2020网信自主创新调研报告》解读之:数据库
2021年4月19日,《2020网信自主创新调研报告》(以下简称“《报告》”)正式发布。《报告》由中国关键信息基础设施技术创新联盟组织,30多位专家参与编写和审阅工作,包括优炫软件在内的百余家典型网信厂商提供原始素材,实际参与编写超过200余人。《报告》主体分为四个部分:第一部分为基础篇,主要讨论基础软硬件、信息化设备和相关软件产品的技术、产业和生态问题;第二部分为安全篇,主要讨论网络安全的技术创新和产业发展问题;第三部分为应用篇,针对三个重点领域讨论了网信技术的应用问题;第四部分为支撑篇,主要讨论网信领域的人才队伍建设问题。作为主要参编单位,优炫软件在《报告》的编撰过程中,总结自身实践经验,从一线厂商的视角梳理了行业现状、创新与应用成果、发展趋势及人才培养等问题,并希望借由《报告》的发布,进一步推动数据库产业自主创新与融合发展。接下来,小编从数据库领域为大家划重点,解读报告!划重点:长足进步、协同创新、产业生态建设《报告》显示:“十三五”以来,国产数据库技术不断进步,产品基本由“可用”进入“好用”阶段,特别在高并发事务处理、高可用方案、高性能集群等方面进步明显;各项高端功能、内存外存等核心技术已趋于国外同等水平;应用领域逐步扩大、市场份额逐年增加,部分领域已形成了规模化应用。优炫软件推出大规模数据库实时应用集群SuperRac技术,在各节点性能不明显损耗的情况下,目前可实现64节点数据库服务多活,满足银行、电信等关键行业的需求,且远超国外同类产品。针对国产数据库的应用,《报告》指出:国产数据库在国内的市场份额已提升至8%-10%,并逐步在党政、金融、电信等多个关键信息基础设施行业领域开始规模化应用。据悉,赛迪报告在2020年出具的国内数据库市场份额上看,优炫软件在国产数据库厂商中排名第三。国产数据库产品已经在政务、金融、军工等重点行业实现了落地应用,其中,支持中国人民银行清算中心实施了数据中心建设项目,为第七次全国人口普查应用系统提供基于全面、国产、安全技术的支撑。针对产业生态,《报告》认为:协同创新推进数据库产业可持续发展。对标产业链专攻环节做大做强,形成数据库研发企业、数据库服务企业、整机厂商、软件开发商、系统集成商等协同分工的数据库产业生态,实现全产业链共同发展。优炫软件在生态建设方面,已与国内关键技术厂商的160款软硬件完成兼容认证,实现了从芯片、操作系统、中间件、安全到应用软件全方位国产化适配工作。如今,万亿级信创市场叠加数据爆发式增长,优炫软件作为国产数据库厂商头部企业,将继续攻坚数据库核心关键技术,同时从产品功能、易用性以及产品售后服务等各方面努力提升用户体验,最大程度守护用户数据安全,支撑关键行业领域的核心系统安全稳定高效运行,服务和保障数字化升级转型。-FIN-D
