安全牛《企業高級威脅防護能力構建指南》報告正式發布

8月27日，在2021北京網絡安全大會上，由安全牛牽頭組織，金睛云華、奇安信、中睿天下、安天、安芯網盾等五家領域代表性廠商共同參與編寫的《企業高級威脅防護能力構建指南》（以下簡稱《指南》）報告正式發布。

為了給企業信息化管理者開展高級威脅防護建設提供更真實的參考與幫助，本次《指南》報告調研以問卷調查、廠商訪談、專家線上交流等多種方式調研了近百家甲方用戶，全面覆蓋了金融、計算機互聯網、制造業、電信運營商、醫療/醫藥、政府、交通/物流、教育、消費、能源等10多個領域，調研對象包括行業專家、攻擊組織、國家政策、行業用戶、安全廠商等5大維度。

《指南》報告調研行業分布

通過問卷調研結合甲方專家的實地訪談，我們發現，當前企業在高級威脅防護能力構建的過程中，面臨的主要挑戰有：

• 挑戰一：傳統防護措施失效，誤報率、漏報率不斷增長；
• 挑戰二：數字化轉型中業務暴露面和系統漏洞逐漸失控；
• 挑戰三：自動化處置水平不足，人工處置工作量巨大；
• 挑戰四：安全防護產品自身成熟度的挑戰；
• 挑戰五：新舊防護系統的升級和互操作的挑戰；
• 挑戰六：各廠商威脅情報的差異化不可視無法量化；
• 挑戰七：企業終端分布數量廣泛的挑戰；
• 挑戰八：專業化安全人才普遍缺乏，企業安全建設的預算有限。

攻擊和防護是網絡安全中沒有終點的持續對抗，防不勝防的高級威脅仍會持續存在。在本次報告中，我們從政策、經濟、市場、技術等維度對高級威脅防護的發展趨勢進行了展望：

• 趨勢一：提高威脅檢測類產品性能，加快傳統安全防護產品升級是必然趨勢；當下利益驅動的攻擊組織與企業對抗越來越頻繁，“準APT攻擊”已成為網絡威脅的新常態，應對高級威脅防護需成為企業網絡安全的必備措施之一；
• 趨勢二：高級威脅攻擊多變，情報更新也非常頻繁，軟、硬件解耦可以幫助企業實現更靈活的安全防護，軟件定義的高級威脅防護產品會受到企業用戶更多關注；
• 趨勢三：企業業務數字化、云化轉型決定了安全產品也要適配大數據、虛擬化和容器化的平臺環境，高級威脅防護云化轉型或是未來必然趨勢；
• 趨勢四：大數據學習和人工智能在威脅情報戰略化、關聯分析智能化、威脅檢測精細化、應急響應自動化等諸多關鍵技術上作用已經非常明顯，也將是未來加速高級威脅防護技術成熟的重要驅動力；
• 趨勢五：用服務化和資源共享的思維驅動高級威脅防護，將一部分安全能力釋放出來，減輕企業安全防護構建的壓力是后數字化時代安全探索的重要方向。

《指南》報告的關鍵發現主要包括：

• 調研中，90%的調研者認為自己企業正在面臨高級威脅，但其中22%的人認為對高級威脅類型并不清晰，數據顯示出目前企業用戶對高級威脅攻擊的理解和認知尚未形成普遍共識；
• 86%的調研者認為高級威脅防護重要甚至非常重要，但50%調研者表示企業還未部署高級威脅防護設施；
• 43%的調研者認為高級威脅攻擊已經常態化，并有39%的人認為高級威脅攻擊成功概率較高，還有12%認為中小企業不受高級威脅影響，3%認為高級威脅僅屬于國家對抗；
• 本次研究發現，市場上高級威脅檢測的誤報、漏洞問題仍然嚴重，自動化響應處置不成熟，人工處置工作量大，是目前有效高級威脅防護能力構建的主要挑戰；
• 隨數字化轉型的深入企業的防護建設任務越來越重，如何將部分安全能力釋放出來，減輕企業防護構建的壓力是后數字化時期企業用戶安全探索的重要任務。

分析師及產業觀點

在本次調研中，安全牛收集了行業對當下高級威脅防護模型重要性的看法，對傳統安全模型進行了分析，并基于防護區域、防護技術和防護機制提出了新一代高級威脅的防護能力模型（詳情見報告），同時篩選出5家代表性能力安全廠商共同參與了本次《指南》報告的編寫。

高級威脅防護的關鍵性能力及代表廠商

金睛云華技術總監 富吉祥

隨著網絡攻擊的發展，高級威脅演進成一個復雜的攻擊過程，傳統基于特征的檢測越來越難以應對新攻擊手段。加密、隱蔽隧道等手段也增加了對潛伏高級威脅的識別難度。而且不同的網絡行為具有其獨特的流量模式，因此需要基于流量模式識別惡意加密流量。金睛云華通過機器學習模型檢測DNS隱秘隧道流量，并通過智能圖挖掘算法實現高級威脅關聯分析及追溯，幫助用戶企業提升了對高級威脅、未知威脅、特別是加密惡意流量和隱蔽通信的檢測響應能力。

奇安信攻防安全BG天眼產品經理 黃源

數據顯示，我國已經超過美國、 韓國、中東等國家和地區，成為全球APT攻擊的首要地區性目標。在此背景下，我國企業加強高級威脅攻擊防護能力建設的重要性不言而喻。奇安信網神新一代安全感知系統以攻防滲透和數據分析為核心競爭力，聚焦威脅檢測和響應，為客戶提供安全服務與產品解決方案，為安全服務和分析人員提供一套在監測預警、威脅檢測、溯源分析和響應處置上得心應手的威脅檢測平臺。”

中睿天下安全服務部總經理 李微著

面對新形勢下的網絡威脅與挑戰，安全市場正在從合規型向以“實戰對抗“為核心的效果型加速轉變。實戰攻防已經成為常態化，此形式下效果型安全產品成為剛需。平均檢測時間（MTTD）、平均響應時間（MTTR）及安全事件回溯的完整性（SIRI）是從威脅發現、研判、響應到追蹤溯源，閉環安全事件考驗的三要素。中睿天下的XDR解決方案具有能力中心智慧化、專業化，邊緣區域自動化、工業化的特點，幫助企業用戶實現了技術能力工具化，保證了企業內部響應能力和情報的集中管理。

安芯網盾產品總監 朱燕濤

要以底層技術能力解決上層安全問題的思路，實現高階對低階的‘降維打擊’，內存保護系統在內存訪問行為及系統層面溯源具有3個天然優勢：可實現全面可視化能力；可以確保采集到信息足夠多；足夠細從而形成強大溯源分析能力，安芯網盾解決方案通過實時響應、聯動處置、產品和服務三大體系建設，可幫助用戶實現真正程序運行時保護能力、內存行為全面監控、漏洞防御與檢測和攻擊威脅防御。

《指南》報告主筆分析師 徐曉麗

目前國內網絡安全的對抗能力正在逐漸從靜態向動態、從單點檢測向聚合分析、從數據分析向人工智能演進，傳統的威脅檢測能力會逐漸老化，降為合規要求，下沉到網絡基礎設施建設，新興的高級威脅檢測和防護能力在不斷前置和左移，并遠離應用和數據。但在目前狀態下，企業應對高級網絡攻擊關鍵技術的漏報率和誤報率還處于較高的水平。從當下數字化轉型的節點來看，企業高級威脅防護工作正面臨著場景化和新技術驅動的雙重變革，還需要經歷一個從低位復蘇到逐漸成熟的自我完善過程。

《企業高級威脅防護能力構建指南》》已經在安全牛商城上架，獲取完整版本報告，請點擊識別下方預售二維碼：