全方位感知網絡安全態勢
構建完善的安全防護體系,需要“高中低”三位一體能力,未來中高位積極防御能力成為網絡安全能力發展關鍵
360企業安全曾提出,面對日益復雜的網絡環境和層出不窮的網絡攻擊威脅,政府和企業需要構建“低、中、高”三位能力的信息安全系統。
低位能力是傳統的安全防御能力,包括傳統的終端安全、網絡安全、上網行為和移動安全等等,是數據采集層也是命令執行層,低位產品市場競爭較為激烈;中位能力是對海量數據的建模與分析能力,包括安全運營和安全分析能力;
高位能力是云端威脅情報與分析能力,能對中位和低位提供支撐和決策,就像人的“大腦”,負責復雜的思考和下達行為指令。
目前中位和高位的安全能力是信息安全企業普遍欠缺的,目前做的比較好的是互聯網公司以及華為,傳統企業安全公司相對落后。
預計未來低位安全即傳統邊界安全、終端安全將保持平穩增長,而中位、高位安全產品將獲得快速增長。
凸顯中位和高位能力的大數據安全分析產品如態勢感知、威脅情報、大數據安全防護、APT檢測增長迅速:
態勢感知平臺分為政府部門使用的監管平臺和企業使用的實施監測預警平臺,目前在公安部、網信辦、金融、電信、能源等行業增長迅速。
態勢感知平臺產品源于習主席在2016年4月19日在網絡安全和信息化工作座談會上發表重要講話,為構建網絡安全法律保障機制指明了方向,習主席提出:“要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態勢,增強網絡安全防御能力和威懾能力”。
十三五規劃中明確將“全天候全方位感知網絡安全態勢”列為健全網絡安全保障體系要求。
態勢感知通報預警平臺核心功能包括:等級保護、實時監測、威脅感知、通報預警、快速處置、偵查調查、追蹤溯源、情報信息、指揮調度,可以幫助用戶實時掌握全局網絡安全態勢,實時開展預警通報、快速處置和網絡安全綜合管理工作。
態勢感知平臺是目前大數據安全領域規模增長最迅速的產品,據安全牛統計,2017年國內態勢感知市場規模約計20億人民幣,占整個安全市場的5%左右,預計2020年態勢感知整體市場規模將超過50億。
(1) 監管側態勢感知平臺:
在沒有態勢感知平臺的時候,公安部和網信辦缺乏漏洞發現、安全事件通告、安全事件應急處理和預警的能力,因此出于監管需求,從公安部、網信辦到各省廳、地市公安局、網信辦都在快速部署態勢感知平臺。
網絡安全態勢感知與預警通報平臺通常部署在地市公安局的核心網絡機房,擁有需要部署硬件系統如服務器、探針,還需要安全監測、管理軟件,配合大屏幕進行態勢監測數據分析和展示,并使用專線對重點單位站點及業務進行監測。
公安部和網信辦都擁有統一的數據接口規范,將逐步構建部、省、市三級網絡安全威脅數據共享與交換機制,形成覆蓋全國的網絡安全態勢感知與預警監測通報體系。
(2) 企業級態勢感知平臺:
企業級態勢感知平臺基本是基于大數據架構構建的一套安全管理系統,對各種網絡安全數據(來自內網和外網)進行分析處理,為安全管理者提供資產、威脅、脆弱性的相關管理,并能提供對威脅的事前預警、事中發現、事后回溯功能,貫穿威脅的整個生命周期管理。
目前企業級態勢感知平臺在信息化程度較高的金融行業、電信行業部署較快。
伴隨態勢感知平臺發展,威脅情報作為態勢感知平臺有效輸入,獲得進一步快速增長。威脅情報由第三方專業機構提供的網絡安全威脅數據,可進行傳輸交換、關聯分析、挖掘應用,以反映組織存在的網絡威脅和安
全影響,包括但不限于設備日志、報警或描述威脅事件等情報消息。
威脅情報大致分為兩類:
1) 人讀情報,即提供給安全人員使用,主要描述行業綜合網絡態勢的戰略情報和描述某次攻擊或者某一類攻擊戰術的TTP情報;
2) 面向機器的可機讀情報,可機讀情報更多為安全產品賦能,例如態勢感知平臺,使安全產品可以檢測出更多的關鍵性威脅,從而提高設備檢測和響應能力。當前國內威脅情報應用主要集中在IT成熟度比較高和安全需
求較高的行業,如金融、政府、能源等大型企業。大部分威脅情報業務主要為“大數據安全分析平臺”或態勢感知平臺作支撐,和內部數據進行關聯分析,實現對網絡威脅的全面感知。
根據2017年威脅情報的各種形態帶來的收入為5億到8億元,約占整個安全市場的1.25%到2%,未來隨著大數據安全分析平臺和態勢感知平臺快速發展,2020年預計威脅情報市場規模有望超過12億元。
伴隨安全預測和積極防御類網絡安全產品快速增長,安全運營服務市場增長迅速
過去針對網絡安全基礎設施的防護的傳統安全服務、安全體系咨詢服務增長平穩。
根據IDC統計2018年中國網絡安全服務整體市場規模約為8.4億美金,占網絡安全服務總市場比例約為14%,相比美國安全服務市場占比達到30%還有較大差距。
安全服務又分為安全咨詢、安全運營和安全集成三部分。大部分做網絡安全公司都會提供針對關鍵基礎設施防護的安全服務,如風險評估服務、代碼安全審計、安全掃描服務、滲透測試服務、安全加固服務、應急響應服務等。
還有針對企業在部署網絡安全產品前做咨詢規劃的服務,如等級保護咨詢服務、安全體系咨詢服務和安全培訓等等。
過去針對基礎設施防護安全的服務增長一直比較平穩,保持8%~10%的增長速度。
以態勢感知平臺為代表的在各行業的快速拓展下,安全運營服務需求快速增長。
隨著以態勢感知平臺、APT防護為代表的主動防御類信息安全行業領導公司都紛紛推出網絡安全運營駐場服務或者城市安全運營中心,幫助政府機關、企業進行專業的安全運維、數據分析支持,尤其是利用網絡安全廠商大數據、AI能力提供事件分析與審計并做好預警服務。
普通客戶因為不具備對海量網絡安全相關數據的分析能力,因此未來隨著政府和企業客戶網絡安全系統越來越復雜,獲得數據也越來越復雜,對第三方運營服務需求也會逐步增加。
未來隨著政企對主動安全防護、預測性防護需求的提升和信息安全系統復雜化,所需高級安全服務需求也會提升。
除了做好基礎設施的網絡安全防護,隨著信息安全預測性防護需求增加,如對抗式演習服務、基于威脅情報的預警響應服務和工業控制系統信息安全服務需求也會逐步增加。
大數據和人工智能技術成為第三代網絡安全技術核心網絡安全技術發展分為三個階段:
第一個階段是1987年-2000年,第一代網絡安全技術核心是黑名單機制,策略是“非黑即白”。
這個階段病毒樣本數量很小,每年病毒數量1萬+,平均到每天高峰時也就幾百個,增長速度很緩慢,多數電腦感染之后不是立刻發作,而是滯后幾天、幾周。
且這個時期人工分析病毒的特征碼,在電腦里通過掃描文件進行匹配、查殺。
第二個階段是2001年-2015年,第二代網絡安全技術白名單機制,策略是“非白即黑”,這個時期互聯網迅速普及,出現了能自我復制、自我傳播的蠕蟲病毒。
蠕蟲病毒可以自動掃描并利用系統漏洞和服務端口,借助互聯網、企業內網、電子郵件、網站掛馬等方式進行傳播,數十分鐘就能蔓延至全球網絡。
同時流氓軟件爆發,把木馬數量進一步推高到每日峰值時期的近1000萬個,導致病毒庫無法及時更新,互聯網安全公司利用搜索引擎、云技術、AI等工具建立白名單文件數據庫,只要不在白名單中,就可能是新的木馬病毒,進而限制其敏感操作。
第三個階段是2015年之后,第三代網絡安全技術核心是基于人工智能的大數據行為分析。
2015年前后,APT攻擊成為主流,黑客利用已知或未知的系統漏洞,把惡意程序注入到系統白文件中,操縱系統文件對系統進行攻擊,讓安全軟件看上去是一個系統文件的正常操作,以躲避“查殺”。
第三代技術突破了終端和邊界的限制,通過盡可能全地收集大數據,對每個樣本、ID、IP、流量進行計算,判斷行為是否合法,把可疑行為找出來告警。
邊界防護智能化,下一代防火墻通過人工智能深度分析,推算新的變種,準確檢測未知病毒/變種勒索病毒等威脅,同時云端數據持續為本地設備更新安全規則。
隨著網絡的發展,基于2-4層進行安全防護的傳統防火墻,已無法有效防護來自應用層的網絡威脅,黑客越來越多的采用應用層攻擊方式突破傳統防火墻的防御策略。
下一代防火墻除具備傳統防火墻基本訪問控制功能之外,WAF、IPS、防病毒等安全功能逐漸融合到一體化引擎中。
更重要的是下一代防火墻利用算法自動化提取病毒行為特征,依托機器學習的泛化能力,根據已知的變種特征,通過人工智能深度分析,推算新的變種,準確檢測未知病毒/變種勒索病毒等威脅。
以深信服下一代防火墻為例,其基于業務自學習的WAF引擎,采用機器學習方式,通過大量擬真的業務環境攻防演練,充分掌握業務特點及響應方式,實現業務內容的深度還原,大幅提高威脅識別率、降低誤判漏判;
并以人工智能算法,融合詞法、語法算法,對威脅深度分析,防御未知威脅。同時在云端的安全云腦持續為本地設備更新安全規則,持續增強防火墻對熱門威脅的檢測和防御能力;
并結合安全專家的持續監督,不斷提煉算法模型,導入到下一代防火墻設備,使防火墻智能不斷升級。
基于人工智能查殺病毒的下一代終端安全EDR,智能檢測未知威脅。
以深信服下一代終端安全產品EDR為例,采用無特征檢測技術,通過構建包含攻防專家、數據科學家和安全分析師在內的三位一體架構,并結合外部多維度威脅情報,使該引擎具備持續學習、自我進化能力,面對層出不窮的新威脅,可以幫助用戶更為有效的鑒定未知病毒,其檢出率已達到98%,同時該下一代終端安全應通過一體化統一管理方式進行應用,實現全網終端資產全面盤點,使得每一臺終端上的資產信息清晰同時能夠對終端進行統一的管控,如合規審查等。
▌行業需求變化和技術變革引發網絡安全行業競爭格局分化
安全行業競爭格局之變1
互聯網巨頭入局,投資并購協同生態發展,借助資本力量和數據優勢獲得爆發性增長
資本加持,借助人才優勢以及品牌力量,互聯網巨頭迅速在企業安全市場崛起。
以360、阿里巴巴、騰訊、百度為代表的互聯網公司都在幾年前就開始布局企業安全市場,尤其引發了行業人才爭奪戰并促進了行業工程師整體薪酬快速提升。
以360企業安全集團為例,過去3年融資金額達數十億元,伴隨資本推動大量招攬來自互聯網、傳統企業安全、外資背景信息安全公司的優秀技術和銷售人才,借助自身在終端安全、大數據處理和分析、威脅情報領域優勢,快速拓展在黨政軍、金融、公安、電信等行業的信息安全市場,實現銷售額4年6倍的增長速度。
而阿里巴巴、騰訊也幾乎招攬了行業內最優秀的白帽黑客、對抗領域專家、頂尖的信息安全架構師等,從資本和人才上對傳統信息安全公司構成威脅。
以360企業安全、阿里云為代表的互聯網巨頭通過投資并購建立自己的網絡安全生態,增強自身競爭優勢,未來網絡安全市場巨頭間競爭逐步演變為生態競爭。
除去一些通用和普適性產品如防火墻、殺毒、上網行為管理、應用交付、數據安全等,網絡安全領域存在大量客戶個性化需求和細分的網絡安全產品品類,尤其是在大型解決方案和項目中,很難做到一家廠商提供齊備的安全產品,尤其在網絡安全需求越來越多樣化的今天,因此通過投資并購手段將自身缺乏的網絡安全產品納入到生態中共同發展,成為了互聯網巨頭過去幾年的發展策略。
過去4年360企業安全通過并購和投資了數十家企業,構建逐步龐大的網絡安全航母,一方面完善自身的網絡安全解決方案,一方面利用360企業安全大的平臺與渠道,被投資公司也能獲得迅速成長。
阿里云過去4年在國內外也有多次投資與并購,比較有名的投資標的包括安華金和、ThetaRay和安恒信息,同時阿里巴巴投資了以色列風投JVP,該風投投資了多家本土網絡安全公司,借助阿里云龐大的用戶和未來逐步爆發的混合云安全需求,阿里云生態下公司也有望獲得高速增長。
安全行業競爭格局之變2
公有云安全壓縮傳統企業安全市場,私有云解決方案提供商安全業務增長迅速,市占率逐步提升
公有云廠商提供較為完善的云端基礎設施和網絡安全防護產品,隨著中小企業上公有云,公有云安全將擠壓傳統線下企業網絡安全市場。
公有云廠商利用自身資源優勢提供DDoS高防IP、WAF、加密服務等,目前抗DDoS、WAF、漏洞掃描、主機安全、加密服務成為公有云廠商標配的安全產品,并為中小客戶提供免費額度,目前有20萬用戶在使用阿里云安全服務。
以阿里云為例,阿里云依靠電商平臺網絡安全長期積累起來的經驗,目前云安全產品線最全,用戶數最多。
以抗DDoS產品為例,中國網站40%目前都放在阿里云上,阿里云每天承受攻擊次數2000次,遭受300G以上的攻擊數量占到全中國50%以上。
目前阿里云盾目前可以45個安全功能和服務模塊,覆蓋了業務、運營、數據、網絡等11個維度的產品,如果還是無法滿足所有客戶個性化的需求,也可以使用阿里云上148家合作伙伴、350款安全產品,保證解決客戶的多樣化安全需求。
隨著中國企業不斷上云,目前中國市場公有云和私有云滲透率在2018年達到7%,隨著越來越多的企業上公有云尤其是中小企業,公有云端安全產品將擠壓傳統線下企業網絡安全市場。
私有云領域占據份額前二的華為、新華三近年在企業安全市場一直保持非常高的增長速度,2018年華為和新華三企業網絡安全收入規模都在20億以上。
華為和新華三因為私有云產品線齊全、技術實力強,都主打“云網融合”一體化解決方案,而網絡安全作為混合云集成方案中重要模塊進行銷售,尤其在重視安全的政府、電信、教育、金融等領域取得了較高的安全市場份額。
目前兩家公司在硬件防火墻、IDPS等標準化產品上增速較快且市占率較高。
新華三2015~2017年安全業務整體增速都在50%以上,2017Q3~2018Q3新華三防火墻收入增速達到48.1%,IDPS收入增長45.0%。
而華為2016~2018年安全業務增速也高于網絡設備30%的增長速度。
新華三的云安全2.0方案,包括虛擬化的防火墻、負載均衡、入侵檢測、WAF、堡壘機,等軟件定義安全的虛擬化產品,已經是一套較為完善的基礎設施和網絡防護解決方案。
由于大客戶越來越依靠私有云解決方案提供商提供一整套交鑰匙方案(包含網絡、計算、安全等),因此私有云產品和解決方案提供商在硬件和標準化程度較高的網絡安全設備上具有較大優勢。
未來云安全將保持快速增長,云平臺安全、云基礎設施及虛擬化安全、云用戶安全以及云端態勢感知需求將得到快速增長,數據安全、應用安全等云用戶側安全產品給第三方信息安全市場空間較大。
Gartner預測,2017年全球云安全市場規模達到58億美金,同比增長21%,預計2020年全球云安全市場將達到90億美金,年復合增長速15%,而中國云安全產品市場增長速度在2018年達到40%以上,增速顯著高于全球。
云安全包含基礎的云平臺基礎設施安全和虛機安全,主要涉及租戶隔離、身份管理、云訪問控制、審計服務、數據加密服務和借助云邊界產品進行東西南北向的全方位防護,進行更智能的流量調度,實時檢測整個安全體系的威脅情況,云平臺和私有云廠商更注重基礎性防護。
而云用戶側和云安全資源池的安全架構更復雜,也給了第三方網絡安全和應用安全公司更多發展空間。
為了保證云用戶安全需要保障大數據層的安全產品如保障存儲安全、保障用戶間隔離、訪問控制、操作審計,同時也需要保障業務平臺、應用系統安全的產品如釣魚防護、后門防護、業務審計、數據庫類安全產品等。
安全行業競爭格局之變3
2016~2018年全球信息安全融資額不斷創記錄,擁有高位和中位網絡安全能力公司崛起,業務安全領域發展迅速
2016~2017年全球網絡安全融資額和投資活動在數量不斷創歷史新高。
根據中國產業信息網,2016年全球網絡安全行業融資超過400起交易,共計35億美元的交易額,2017年風投資本家給全球網絡安全公司投資的資金量達到了去年的兩倍,達到76億美元,與網絡安全相關的投資活動數量也增長到548起,成為網絡安全初創企業風險資本融資創紀錄的一年。
而2018年一季度全球網絡安全領域共發起176起融資,金額達到16.4億美元。
從投融資和被并購的熱點細分領域可以看出,身份識別與訪問管理、高級威脅分析、數據安全、內容安全、Web安全、安全托管服務都是熱門的投資領域。
安全防護體系逐步健全,政府和企業越來越注重數據安全和積極防御,因此做態勢感知產品、威脅情報、APT防護及數據安全創業公司增長迅速。
基礎架構安全、被動防御市場增速放緩,但是積極防御、威脅情報等產品迅速增長。
不僅傳統安全公司和互聯網公司大量投入積極防御型和大數據安全產品的研發,創業團隊也基于自己技術積累和資本杠桿,獲得快速增長,如在APT防護、威脅檢測引擎領域領先的安天科技,在數據安全和金融態勢感知平臺領先的觀安,在態勢感知平臺和數據安全領先的安恒信息等。
由于網絡邊界逐步消失,零信任網絡安全模型越來越被重視和廣泛應用,基于金融、電信、公安和互聯網等行業的業務安全快速增長,身份認證和訪問、反欺詐等領域增長迅速。
云計算、移動互聯的快速發展導致傳統內外網邊界模糊,越來越無法基于物理邊界構筑安全基礎設施,因此企業安全的零信任模型是通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化,這樣身份就成為了網絡安全新的邊界,以身份為中心的零信任安全成為了網絡安全發展的必然趨勢,2017年全球身份認證與訪問市場達到88億美金,并且將在2018~2020年保持13%的年復合增速。
政府、涉密和軍隊領域身份認證與訪問發展較早,近年隨著金融、電信、公安等反詐騙、反欺詐需求提升,同時《網絡安全法》中明確規定“國家實施網絡可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。
”針對這些垂直行業的身份認證和訪問創業公司也不斷涌現。
隨著零信任架構的發展,安全且簡化的身份認證技術,必然會成為未來趨勢,預計2020年中國身份認證規模可超過25億元,目前身份認證國內領先的創業公司包括芯盾時代、眾人科技、九州云騰等。
在新需求、新政策、新技術的共同促進下,2016年以后網絡安全行業擺脫以前純粹合規性需求驅動而進入加速發展期,未來網絡安全占信息化開支占比有望提升到5%以上。
2014年開始政府和企業進行數字化轉型、信息系統逐步上云過程中,企業網絡邊界逐漸消失,“云大物移”新場景驅動下網絡安全在防護對象、防護思想和防護技術上均發生較大變化,網絡安全產品種類也大幅增加,網絡安全逐步做到與IT信息系統同步規劃,促進信息安全占IT支出占比逐步提升至5%以上。
同時2017年~2019年《網絡安全法》、等保2.0標準的推出,進一步擴大監管范圍提升了監管標準,促進了網絡安全市場整體快速增長尤其是態勢感知類產品和主動防御市場的快速增長。
新一代網絡安全在大數據分析、人工智能技術新技術的發展使得網絡安全防護思想、戰略發生了變化,催生了網絡安全行業新的投資機遇,促進態勢感知、威脅情報、數據安全、身份認證與訪問等網絡安全新產品快速發展。
2019年預計中國網絡安全市場規模將達到602億,保持21%的增長速度,IDC預計2018~2020年中國網絡安全市場年復合增速將超過23%,新一代網絡安全產品增長速度將遠超傳統邊界安全產品。
面對日益復雜的網絡環境和層出不窮的網絡攻擊威脅,政府和企業需要構建“低、中、高”三位能力的信息安全系統,預計未來低位安全即傳統邊界安全、終端安全將保持平穩增長,而中位、高位安全產品將獲得快速增長,因此未來擁有大數據能力、威脅情報能力,同時云安全產品、主動防御產品占比較高的網絡安全公司能獲得超過行業增速的增長速度。
低位能力強調基礎架構的防護和縱深防御,中高位能力強調網絡安全企業對海量數據的建模與分析能力、安全運營和安全分析能力、云端威脅情報與分析能力,能對基礎設施防護產品提供支撐和決策。
目前中位和高位的安全能力是信息安全企業普遍欠缺的,傳統企業安全公司相對落后,互聯網公司和基于大數據與情報能力的創業公司在中高位防御能力上有一定優勢。
動防御和預測類安全產品如態勢感知、威脅情報分析、安全合規管理、安全配置核查等細分領域在近年取得快速增長。
尤其是態勢感知平臺,2017~2018年政府部門監管側態勢感知平臺、企業端主動防御用態勢感知平臺項目發展較快,幾乎所有信息安全公司都參與到這個安全管理和監測平臺建設中。
隨著態勢感知技術發展和強調積極防御,信息安全行業領導公司都紛紛推出網絡安全運營駐場服務或者城市安全運營中心,利用網絡安全廠商大數據、AI能力提供事件分析與審計并做好預警服務。
普通政企客戶因為不具備對海量網絡安全相關數據的分析能力,因此未來隨著政府和企業客戶網絡安全系統越來越復雜,獲得數據也越來越復雜,對第三方運營服務需求也會逐步增加。
網絡安全行業正在經歷一個快速變革期,除了需求、產品、防護理念變化,行業競爭格局也在經歷重大改變,我們預計2019~2022年會逐步看到國內網絡安全收入排名前20的公司發生變化,同時網絡安全巨頭走向生態化和平臺化競爭。
依靠資本加持,借助人才優勢以及品牌力量,互聯網巨頭迅速在企業安全市場崛起。以360、阿里巴巴、騰訊為代表的互聯網公司網絡安全收入增長較快,且引發了行業人才爭奪戰并促進了行業工程師整體薪酬快速提升。
同時以360企業安全、阿里云為代表的互聯網巨頭通過不斷投資并購在細分領域有獨特優勢的網絡安全企業建立自己的網絡安全生態體系,增強自身競爭優勢,未來網絡安全市場巨頭間競爭逐步演變為生態競爭。
目前中國市場公有云和私有云滲透率在2018年達到7%,隨著越來越多的企業上公有云尤其是中小企業,公有云端安全產品未來將擠壓傳統線下企業網絡安全市場。
而私有云設備商如華為和新華三因為私有云產品線齊全、技術實力強,主打“云網融合”一體化解決方案,而網絡安全作為混合云集成方案中重要模塊進行銷售,尤其在重視安全的政府、電信、教育、金融等領域取得了較高的安全市場份額。
未來隨著基礎架構安全、被動防御市場增速逐步放緩,積極防御、威脅情報等產品迅速增長,基于積極防御類、大數據分析類安全產品的創業團隊也獲得快速增長。
因此未來隨著網絡安全行業持續變革,網絡安全公司、互聯網公司、混合云提供商以及創業公司在規模和擴張速度上會逐步拉開差距,新白馬和黑馬投資機會都會涌現。
