2021年網絡安全產業態勢總結
2021年是“十四五”的開局之年。隨著全社會數字化轉型的加速,網絡安全重要性的不斷提升,我國網絡安全產業迎來了發展的關鍵時刻。基于“十三五”打下的良好基礎,網絡安全相關法律法規陸續發布實施,國家層面正持續開展相關配套制度、標準體系的建設及完善,網絡安全風險投資日趨活躍,網絡安全創業蔚然成風,產業繼續快速發展。
一、網絡安全公司業績情況
2021 年,網絡安全企業的總體情況是項目數量增加,營業收入增加,但利潤減少。
(一)上市公司業績情況
對我國 23 家網絡安全上市公司的第三季度季報做分析,截至 2021 年第三季度末,與 2020 年同期相比,營業收入下滑的只有 3 家,營業收入增幅超過 40% 的有 7 家,增幅在 20%~40% 之間的有 7 家,增幅大于 0 小于 20% 的有 6 家。歸母利潤為正的只有 12 家公司,利潤較往年同期有較大幅度下滑。
網絡安全公司利潤減少的原因,一是由于研發、市場投入的增加,其刺激因素應該還是網絡安全公司對中長期市場的發展比較樂觀;二是在激烈的市場競爭中低價競爭情況還比較多。
(二)網絡安全招投標項目情況
2021 年 1 月到 11 月,網絡安全公司公開招投標項總數比 2020 年同期增加約 5.6%,招投標項目總金額較 2020 年同期有小幅增加。
因為疫情與經濟形勢影響,政府部門財政預算壓力較大,網絡安全項目費用有壓縮的可能。通過對 2021 年前 11 個月公開招投標、中標數據的分析,確實發現政府網絡安全項目數量除各地大數據局/政務數據局項目外,都有較大幅度減少,但大數據局/政務數據局項目有增加,并且項目規模變大,兩者相抵,估計政府安全項目總投資比2020 年略有減小。政府安全預算的減少,曾經引發大家對國企安全預算的擔心,但從截至 11 月底的實際情況看,運營商、能源、金融等大型國企招投標數量不僅沒有減少,還有增加。
第四季度是網絡安全行業收獲訂單的時候,全年總營收的 35%~40% 在第四季度實現。
二、網絡安全資本市場情況
2021 年,國內網絡安全產業總市值與 2020 年相比略有下降,但網絡安全創業投資市場空前活躍。
(一)網絡安全二級市場情況
全球市場來看,二級市場網絡安全上市公司指數 Hack Index,截至 2021 年 6 月 21 日,比 2020年 12 月 20 日上漲 16.8%,表現好于 NASDAQ 指數和標普 500 指數。
圖1 全球網絡安全上市公司指數對比
圖2 中國網絡安全上市公司市值變化情況
截至 2021 年 12 月,我國網絡安全上市企業一共 23 家,產業總體市值 4700 億左右,在 2020 年整體市值超過 5500 億元。截至 2021 年 12 月 2 日,網絡安全上市公司整體市值有所回落,相較于 2020 年下滑 7%。
總體來看,由于《數據安全法》《關鍵信息基礎設施安全保護條例》《個人隱私保護法》等政策的陸續落地,資本持續看好網絡安全產業未來,網絡安全企業的整體市值小幅回撤,行業高增長有利于保持在較高市值水平。
從估值角度來看,由于網絡安全產業的持續增長和重要程度增加,資本市場對網絡安全概念始終青睞有加,也給予網絡安全公司一定估值溢價,網絡安全公司估值水平一直以來都高于創業板和滬深 300 等主要指數。
對上市網絡安全企業主要估值指標的歷史數據做分析,截至數據統計日(2021 年 12 月 2 日),行業 PS-TTM 中位數為 7.4(PS,Price-to-sales ratio,即市銷率,PS 等于總市值除以主營業務收入。市銷率越低,說明該公司股票當前的投資價值越大),行業 PE-TTM(扣非)中位數為 51.6(TTM,Trailing TwelveMonths,是股票投資、財務分析領域的專業術語。TTM 是價格除以最近 4 個季度每股盈利計算得到的市盈率。因為上市公司通常以季度為單位發報表,所以 TTM 通常以季度為單位,TTM 在每個季度都會不同),相較于2020 年同期,當下的網絡安全上市公司的性價比更高。
表1 上市網絡安全企業主要估值指標
(二)網絡安全創業投資市場
全球范圍內來看,網絡安全創業投資都是空前活躍。如圖 3 圖 4 所示,2021 年上半年,全球網絡安全市場的收購和兼并從數量到金額都遠高于前四年。
圖3 全球網絡安全市場收購與兼并情況
(來源:Momentum Cyber)
圖4 全球網絡安全市場融資情況
(來源:Momentum Cyber)
圖5 中國網絡安全公司融資情況
國內網絡安全創投市場也是非常火熱,從圖 5 中可以看到,2021 年中國網絡安全企業融資數已有 96 筆,融資總金額達 90.6億元,宣布融資億元以上的有 38筆。有兩家網絡安全公司的 E 輪融資 C 輪融資估值分別達 50 億和 100 億,超過不少已上市公司。網絡安全圈的名人創業,天使輪融資估值已到 2 至 3 億元,A 輪、B 輪融資的估值的 PS 已是 10 到12 倍。
三、2021 年網絡安全產業的熱點領域
2021 年網絡安全行業群星閃耀,熱點頻出。
(一)重大網絡安全事件引發的熱點
1. 太陽風攻擊事件引發對供應鏈安全的關注
太陽風事件在 2020 年 12 月被曝光后,軟件供應鏈安全的重視程度得到很大提升,美國總統拜登在 2021 年 5 月 12 日頒布的總統行政令的第 4 節就是專門針對軟件供應鏈安全問題。對中國來講,因為大量開發人員對安全開發知識的欠缺以及廣泛依賴開源軟件,所面臨的挑戰更大。
解決軟件供應鏈安全的方法之一是求助于開發安全(DevSecOps)。其包含的靜態應用安全測試,白盒(SAST)、動態應用安全測試,黑盒(DAST)、交互式應用安全測試,灰盒(IAST)、軟件成分分析,關注開源使用(SCA)、模糊測試,黑盒暴力可靠性測試(Fuzzy)、運行時應用程序安全保護(RASP)等產品可以有效發現軟件中的漏洞,或進行運行時的安全保護。
國內從事 DevSecOps 的開源網安、懸鏡安全都完成了一輪融資,DevSecOps 領域的先行者默安科技也在進行 PreIPO 的融資,已到收尾階段。
2. 科洛尼爾攻擊引發對勒索攻擊的關注
美國當地時間 2021 年 5 月 7 日,美國最大成品油管道運營商科洛尼爾成品油輸送管道遭到勒索攻擊,此次攻擊事件導致提供美國東部沿海主要城市 45% 燃料供應的輸送油氣管道系統被迫下線。
科洛尼爾勒索攻擊因造成嚴重后果而引起人們的重視,但實際上勒索攻擊的次數每年都在增加,2020 年比 2019 年增加了 148%,所要求的贖金金額,2020 年比 2018 年增加 3,900%,預計 2021 年全球將會受到 290 萬次勒索攻擊。2021 年,除了科洛尼爾輸油管道勒索攻擊外,還有 JBS 食品加工廠、Kaseya、NBA、Acer 等企業遭到勒索攻擊。國內機構遭到勒索軟件攻擊的也不少,但多數受害者選擇低調處理,所以在全球勒索軟件攻擊排行榜上中國名次并不高。
針對勒索攻擊的防御,一些安全公司推出了勒索防護系統,通過對文件加密行為的判定檢測勒索攻擊的發生并進行阻斷。勒索攻擊在2021 年的一個新趨勢是,勒索軟件從單純加密數據尋求贖金,到加密數據與竊取并以公開被竊數據作為威脅尋求贖金的雙料勒索演進。
(二)IT 基礎設施進化帶來的熱點
云計算、大數據、物聯網、移動通信、工業互聯網是當今 IT 基礎設施演化的幾個方向,也是產業發展的重要方向。
圖6 新型 IT 基礎架構圖
IT 基礎設施云化是大趨勢,除了民用 IT 基礎設施快速云化外,政府的基礎設施也在云化。云化帶來了網絡邊界模糊、軟件生命周期變短等一系列挑戰。
在 2021 年最有影響力的兩個安全創業大賽中,ISC 創新獨角獸沙盒大賽的冠軍是做應用程序接口(API,Application Programming Interface)安全的星闌科技,BSC 安全創客匯的冠軍是從事云原生安全的探真科技,兩者都與 IT 基礎設施云化有關。
1. 云原生安全
云原生技術架構充分利用了云計算彈性、敏捷、資源池和服務化特性,在改變和云端應用的設計、開發、不熟和運行模式的同時,也帶來了新的安全需求和挑戰:容器化部署成為云原生計算環境風險輸入源、微服務細粒度切分增加云原生規模化應用風險、無服務器(Serverless)靈活性帶來模型和平臺管控風險、DevOps 提升研運流程和安全管理的防范難度、API 爆發式增長催化分離掌控和權限濫用風險。
傳統的基于邊界的防護模型已不能完全滿足云原生的安全需求,需要設計全新的云原生安全防護模式,基于動態工作負載,實現云原生技術架構和規模應用的全面防護。
國內探真科技、小佑科技、青藤云等公司從事云原生安全,從事容器安全的公司氫盾科技第一輪公開融資,即被字節跳動收購。
2. API 安全
容器/微服務等基礎設施崛起,API 成為網絡重要組成部分,API 迭代周期短,后端架構復雜,對安全管理帶來挑戰,API 攻擊面除漏洞以外,還需解決越權及風控問題,傳統安全設備難以適配 API新協議,如 SOAP、GRPC 等。
API 安全通過對 API 通信行為的采集、監控、防御等手段,發現并收斂 API 生產過程中的風險,攔截針對 API 的漏洞攻擊及數據竊取行為,最終圍繞API 的設計、開發、測試、運行、下線等不同階段建立 API 全生命周期安全管理方案,為萬物互聯時代的數據交換、大規模分布式架構、云計算、IT 數字化改造提供安全保障。
3. 安全訪問服務邊緣(SASE)
5G、軟件定義廣域網(SDWAN)、云計算、邊緣計算、物聯網等新技術正迅速改變網絡基礎架構,終端設備逐漸取代網絡設備成為企業網絡的新邊界和新中心,網絡及網絡安全的能力交付逐漸將遷移至云端。隨企業接入網改變,企業側的計算和存儲架構也將隨之改變,包括終端在內的計算和存儲將逐漸遷移至云端。
Gartner 創建了 SASE 一詞,并在 2019 年的白皮書中對其進行了首次描述。簡而言之,SASE 將 SDWAN的功能與安全性相結合,并將其作為服務交付。IT基礎設施不斷服務化,網絡安全交付方式也需隨之改變,SASE 是一個更低擁有成本,更好防御效果的解決方案。
SASE 是從網絡安全公司、云廠商、CDN 廠商到傳統 IT 公司都在布局的方向。國外 Cato Networks、Palo Alto Networks(派拓網絡)、Akamai(阿卡邁科技)、亞馬遜、思科、VMWare、戴爾等廠商都紛紛展開該領域的布局。國內,包括阿里云、華為云、網宿、白山云、深信服、奇安信等公司也開始涉足。
4. 零信任架構
零信任是近兩年最熱的概念之一,除了數蓬科技、虎符網絡等創業公司外,國內做 IAM 的竹云、寧盾、做終端安全的聯軟、做 VPN 的易安聯等公司紛紛推出自己的零信任解決方案,各大安全公司如奇安信、深信服以及互聯網公司騰訊、阿里云、360也推出零信任解決方案。
零信任無疑是一種更先進的思想,各家的零信任解決方案也各有側重,但還都有待完善,尤其在ABAC、動態訪問控制這樣的關鍵領域。
(三)網絡安全技術進步帶來的熱點
1. 終端檢測與響應(EDR)
EDR 是在終端安全防護 EPP 之后的一代終端安全技術。與其他端點保護平臺(例如防病毒、反惡意軟件)在終端上預先執行檢查和靜態特征庫比對來抵御威脅機制不同,EDR 系統在 IT 端點部署輕量級代理采集終端信息并上傳中心數據分析平臺,通過大數據、機器學習、威脅情報、用戶和實體行為分析(UEBA)等新興技術實現對終端安全態勢的研判分析,針對日漸多變的高級持續性威脅、0 Day 等新興未知攻擊進行主動性防御。
不同于傳統終端安全軟件,EDR 的核心能力是:終端活動數據采集與可視化能力、可疑活動的發現與驗證能力、對惡意活動的遏制和回溯能力、將端點修復為感染前狀態的能力。
EDR 所面臨的關鍵挑戰是:Agent 植入與系統兼容能力、與 EPP 平臺的融合與協同、與 SOC/SIEM/SOAR 平臺的集成和響應流程。
目前,國內 EDR 軟件水平與國際領先的CrowdStrike 尚有差距,可喜的是除了傳統的終端安全軟件公司外,有深信服、微步在線等公司進入EDR 領域,也有安全創業公司瞄準這個方向,相信不久的將來將就能看到優質的 EDR 產品。
2. 網絡檢測與響應(NDR)
NDR 系統是有別于傳統特征簽名檢測機制的高級安全檢測技術,NDR 利用 AI、ML、大數據等核心功能對網絡流量進行數學建模和深度學習分析,對識別到的異常行為進行流量還原、關聯分析,并結合威脅情報來定位未知威脅,在網絡層面實現對內網安全風險的實時監控,最終為安全運營處置提供信息支撐。NDR 與 EDR 技術的協同與融合,可以大幅提升企業對未知威脅的檢測能力,也是未來SOC、SIEM、SOAR 等系統高效應用的重要前提。
NDR 核心能力是:利用 AI、ML 檢測未知威脅的能力、網絡流量還原與攻擊溯源取證能力、威脅情報的集成與利用、與 FW、NAC 等系統的聯動響應能力。
3. 從漏洞管理到攻擊面管理
漏洞管理是個一直沒有被解決好的老問題,面對 Shadow IT、物聯網、過時的軟件、未知的開源軟件、第三方供應商管理的資產的時候,面臨數字資產發現困難、漏洞的發現和分級困難、打補丁困難甚至根本沒有補丁可打等問題。
攻擊面管理(ASM)解決方案提供組織攻擊面的外部攻擊者視角——發現并持續監控攻擊者在瞄準企業時看到的目標、服務、IP、域、網絡、主機名和其他工件。
從漏洞管理到攻擊面管理,是對于網絡安全防御技術創新和實踐不斷迭代的過程。
4. 安全編排自動化和響應(SOAR)
面對安全運營人員不足,安全時間響應不及時,處置不夠迅速,人們求助于安全運營的自動化工具SOAR。
對安全事件進行分類分級評估,結合威脅和弱點管理,采用模板化的腳本進行自動響應。隨著移動辦公、5G 和物聯網技術的發展,海量終端設備接入到網絡,攻擊面不斷被拓寬,攻擊事件呈現出指數增長態勢,從而使得安全運營團隊承受著極大的壓力。借助于 SOAR 產品,可以根據安全事件的分類/評估結果,關聯不同類型的處理腳本,進行自動化的事件響應,使得安全運營團隊的工作效率指數級提升,有效應對不斷攀升的漏洞和安全告警。
SOAR 的核心能力在于對攻擊的抽象建模能力、事件與威脅的關聯分析、將人工處理過程轉化為自動化劇本的能力。其關鍵挑戰在于告警準確性、腳本庫對不同類型安全事件的覆蓋度、第三方設備的協同能力。
國內有多個創業公司從事 SOAR 開發,部分公司已經實現 NLP 自然語言處理在 SOAR 上的應用,用接近自然語言的交互方式提升安全運營的效率。
(四)商業模式的變化:安全托管服務(MSS)的興起
可以說,2021 年是中國網絡安全托管服務的元年。在兩種主要的安全托管服務中,MSS 主要為組織提供安全技術的遠程 24/7 監控和跨各種平臺的與安全相關的事件,以識別、建議補救措施,以及(在適當情況下)代表客戶應對威脅暴露和安全事件。
圖7 兩種安全服務托管模式
監測和響應托管(MDR)提供現代、遠程交付的安全管理中心(SOC),通常會擁有檢測、調查和應對威脅的技術,具有威脅監控、檢測和獵捕、威脅情報、事故響應方面的技能和專業知識的員工,擁有標準工作流程和程序的 PlayBook。
MDR 服務提供商以打包交付模式向買家交付以下功能:高準確度的威脅檢測和驗證,一般是繞過了已有防線的;除告警和通知外的遠程事件響應、調查和處置活動;面向所有客戶的通用交付平臺;MDR 服務商承擔起如何檢測到威脅的責任。
在國外,提供 MSS 和 MDR 的服務商有較大區別,MSS 服務往往由電信運營商、IT 服務商提供,MDR服務由專業的網絡安全公司提供,但國內的 MSS 服務直接由專業安全公司提供。
深信服的 MSS 服務在 2021 年實現了從 100 家以下客戶到 1000 家客戶的躍升,奇安信、安恒也紛紛組建團隊,開展 MSS 業務。12 月 2 日,360 政企安全也宣布提供 MSS 服務,而啟明星辰的城市安全運營中心模式,則在 2021 年初就設定了在年底要覆蓋120 個城市的目標。
安全托管服務是破解全社會數字化轉型安全保障的鑰匙,既能解決安全人員不夠用的問題,也能降低數字化轉型的安全保證的成本。
(五)實網攻防演習帶來的市場機會與熱點
1. 網絡空間資源測繪/數字資產發現
公安部網安局推行的“掛圖做戰”,要以網絡空間資源測繪為基礎,通過探測、采集、分析和處理,發現識別網絡空間設施、服務和資源,基于地理信息和邏輯關系進行圖形繪制,直觀展現網絡空間資產、屬性、狀態和安全態勢等,最終形成覆蓋 IPv4/IPv6、工控網絡、物聯網設備、云計算的網絡空間地圖,為社會應用、網絡攻防、專業領域運作提供基礎能力。
2. 欺騙防御(蜜罐)產品
欺騙防御(蜜罐)是一種傳統但小眾的安全防御產品,因其出色的威脅發現能力,在實網攻防演習中成為必備神器。欺騙技術面向企業網絡及橫向移動下的威脅檢測場景,通過對企業網絡結構、操作系統、應用系統、文件、容器、微服務、甚至是IoT 設備的高度仿真來增加企業 IT 設施的密度,最大限度增加被攻擊者觸碰的機會來誘導攻擊者主動現身并陷入圈套,是大幅提升企業安全檢測能力、有別于傳統檢測手段的一種高級檢測技術。
3. 失陷模擬(BAS)
BAS 用模擬攻擊的方式來檢驗系統中的安全設備、安全策略是否正確配置,并處在正常工作狀態。2021 年,國內有數家創業公司開始開發 BAS 類產品。可以預見,這類產品在 2022 年的實網攻防演習中會得到應用。
(六)新的法律法規引發的熱點
1. 隱私增強計算
數據的真正價值不僅在于擁有它,還在于它如何用于 AI 模型、增強分析和洞察能力。在數據安全與個人信息保護要求越來越高的今天,直接分享數據在很多場合已不可能,而隱私增強計算方法允許跨生態系統共享數據,在創造價值的同時保護隱私。聯邦學習、多方安全計算、同態加密等方法各不相同,但都可以達到相同目的,國內有華控清交、沙海科技、富數、洞見科技、翼方健數、融數聯智等公司在從事隱私增強計算方面的創業。
2. 數據安全治理
2021 年,一系列法律法規出臺,凸顯國家對數據安全的重視,但數據安全的保護還任重而道遠,數據安全是一個復雜問題,解決方案也不會很簡單,暫且以“數據安全治理”來涵蓋它。
數據安全治理涉及的主要技術與產品包括:數據資產發現、數據分類分級、數據脫敏、隱私計算、數據加密、數據庫審計/防護、數據防泄露、數據安全監測預警。
數據安全的關鍵挑戰在于:業務與安全威脅/合規/風險容忍度的平衡;各行業、地區重要數據的定義和差異;業務變化后持續優化和保障的能力。
數據安全未來肯定會是網絡安全行業的一條大賽道,但誰會是這個賽道上的大玩家,還需要時間來證明。
3. 密碼技術
在數據安全得到充分重視的今天,密碼技術在網絡安全中的重要性不言而喻。《中華人民共和國密碼法》自 2020 年 1 月 1 日起施行至今也已經快兩年時間,但直到 2021 年底密評項目才真正開始放量。密碼技術在網絡安全產品中的應用門檻比較高,需要比較專業的人員,密碼產品的易用性又往往比較差,還面臨著 SM 算法效率比國際上的其他密碼算法執行效率更低的問題。
除了傳統的密碼產品廠商外,現在也有創新的密碼產品公司推出一些易用性更好的數據加解密產品。
四、展望未來
“十四五”規劃和 2035 年綱要對數字化轉型下的網絡安全行業提出了新的要求,強調要加強網絡安全保護,包括健全法律法規和制度標準、建立健全關鍵信息基礎設施保護體系、加強網絡安全風險評估和審查、加強網絡安全基礎設施建設、提升網絡安全威脅應急響應能力、加強網絡安全關鍵技術研發、加強網絡安全宣傳教育和人才培養等。對數據安全、數字產業安全也提出了明確要求,這些都是網絡安全產業的利好消息,今后 5 到 10 年的穩定增長是可以預期的。
從產業自身看,我國網絡安全產業創業創新活躍,風險投資活躍。舉辦了 5 年的實網攻防演習給防御效果型產品帶來了一定市場,讓創新創業公司更容易生存下來,算是一個創業的黃金期。但創業企業依然面臨著網絡安全產業高度碎片化的現實,要想完成點、線、面、體的跨越式發展依舊困難重重,對創業的困難依然要有充分的認識。因此,要把握好發展的節奏,依靠硬核的技術,緊跟 IT 基礎架構演進的腳步,貼緊用戶的業務場景,開發好用、管用的產品,提供高性價比的服務依然是取勝的王道。
