网络安全专题报告:态势感知,构建主动安全防御体系的智能大脑

发布者:蔡瑞奎发布时间:2019-12-16浏览次数:1910

一、态势感知是网络安全现实之所需、发展之所向

1.1 态势感知是主动防御时代最核心的网络安全平台

       态势感知集检测、预警、响应处置功能为一体,是主动防御体系中的安全大脑。态势感知的概念最早由美国空军在 20 世纪 80 年代时提出,其最为广泛的定义是指“在一定的时空范围内认知和理 解环境因素,并对未来的发展趋势进行预测”。        随着互联网的迅猛发展,网络安全态势感知应运而 生,其工作原理是对网络环境中引起网络态势发生变化的安全要素信息进行获取、理解,评估网络安全的状况,预测其发展趋势,并以可视化的方式展现给用户,帮助用户实现相应的安全决策与行 动,从而实现积极主动的动态安全防御。目前主流的态势感知产品支撑技术都是相近的,主要以全 流量分析为核心,结合威胁情报、UEBA(用户实体行为分析)、机器学习、大数据关联分析等。 被动防御时代以边界防护为主,防火墙是最重要的产品,主动防御时代安全大脑是防御体系中最核心的组成部分,而态势感知充当的就是安全大脑的角色。

       态势要素的认知、理解和预测是网络安全态势感知的三个核心环节。网络安全态势感知的最终目标 是对情境态势进行有效管理,不断针对网络攻击作出动态、积极的安全防御,以保障用户业务的正常运行。而实现态势感知,需要以安全大数据为基础,从全局视角来提升对各类安全威胁的发现识别、分析理解和响应处置,通常还以可视化的方式展现给用户。总体来说,态势感知主要包括态势认知、态势理解和态势预测三个环节。

1) 态势认知

       态势认知是态势感知的前提,态势感知是通过各类检测工具,检测收集多层次多维度的影响系统安全性的数据。从时间维度上看,不仅需要已有实时或准实时的数据,还需要通过更长时间的数 据来分析一些异常行为,以发现一些多阶段的新型攻击方式,而从数据维度看,主要包含网络安全 防护系统数据(如防火墙、WAF、IDS/IPS 等安全设备日志或告警等)、重要服务器及主机的数据 (如服务器安全日志、进程调用和文件访问等)、网络骨干节点数据、协同合作数据(如第三方的 威胁情报数据)、威胁感知数据以及资产脆弱性数据等。

2) 态势理解

       态势理解是态势感知的核心,是在获取大量网络安全数据信息的基础上,通过解析信息之间的关联性,对其融合以获取当前的网络安全态势,通过评估定性或定量分析网络当前的安全状况和薄弱环 节,并给出相应的应对措施。网络安全态势理解是从宏观的角度分析网络整体的安全状态,从而得 到综合的安全评估,达到辅助决策的目的。

3) 态势预测

       态势预测是根据网络安全态势的历史信息和当前状态,对网络未来安全状况的发展趋势进行预测, 它是态势感知的基本目标。实现真正的主动防御需要安全预警技术,即通过已检测或分析到的报警 信息来预测未来要发生的攻击行为,为组织的网络安全提供实时、动态、快速响应且主动的安全屏 障。由于网络攻击的随机性和不确定性,使得网络安全态势变化是一个复杂的非线性过程,传统的 预测模型方法已不适用,当前的研究主要朝智能预测方法发展。

1.2 态势感知可有效应对新型的攻击威胁

       新兴技术的落地应用使得传统网络安全边界消失,并带来新的安全风险。云计算、大数据、物联网 等产业的快速发展催生出云安全、大数据安全等新兴安全领域,防护对象已由传统的 PC、服务器 拓展至云平台、大数据和泛终端。以云计算为例,云计算使得 IT 基础架构发生根本性变化,企业将其业务迁移到云端,租户传统网络边界消失,IT 基础资源集中在云端,因此遭受攻击后的影响和 破坏性更大。相较于传统的 IT 架构,云计算还面临虚拟化安全、数据集中等新的安全问题。

       黑客攻击逐渐向专业化和商业化转变。DT 时代企业的核心业务越发依托信息系统,数据已成为企 业的核心资产,引来黑客等恶意攻击者的觊觎,导致近年来数据泄露、敲诈勒索病毒等安全事件层 出不穷。早期以极客为核心的黑客逐渐向组织化及专业化发展,攻击技术和手段更加高明,形成了 以利益驱动的庞大黑客产业。黑客的“盈利方式”也变得多样,如售卖敏感信息直接变现、通过 DDos 攻击实现敲诈勒索或通过篡改信息改变资产所有权等,甚至提供 HaaS(攻击即服务)形式 的服务,攻击者只需在线提交需求和付款,就能获得相应的云端攻击服务。这使得攻击者采取更加 隐蔽的手段收集、窃取或者篡改信息,这要求企业或组织在发展新技术的同时需要快速辨别不利于 自身安全的潜在威胁,保护自身免受网络攻击的危害。

       面对日益复杂的网络安全环境以及新一代安全威胁,传统单点防御逐渐失效,亟待构建新型防御 体系。IDC 认为,未来 2 年 95%的大型企业计划增加使用云技术,这将使得基于边界的安全防御 方法无法满足现有的安全防御要求。另一方面,由于传统被动的防御措施通常是将每个攻击方式作 为单独的路径,每个阶段作为独立的时间来检查,而不是将这些阶段和方式作为一系列的网络事件 来查看和分析,产生了众多的信息孤岛,因此零日攻击、高级持续性威胁(APT)等新一代安全威胁能够绕过传统的安全检测和防御体系。这些威胁往往行动水平低而缓慢,通过若干个阶段和渠道 躲避传统的被动防御手段,寻找到有漏洞的系统和敏感数据。

       主动防御体系成为发展趋势,态势感知可以有效防御新型攻击威胁。传统通过购买更多安全设备的 被动防御策略已无法适应当前的网络安全形势,需要进一步提升安全运营水平的同时积极开展主 动防御的建设。随着大数据分析、人工智能、安全情报收集等技术的逐渐成熟和发展,安全检测技 术对安全态势的分析、预警和预测将越来越准确,网络安全防御体系逐渐向自动响应、追查、威胁 诱捕等方向的主动防御体系转变。作为主动防御体系的安全大脑,大数据分析、人工智能等新兴技 术赋予态势感知基于非特征检测技术的能力,通过各类安全设备的联动,以及持续监测、事件响应、 深度分析以及预示预警,最终达到有效检测和防御新型安全威胁的目的。

1.3 态势感知是 SOC/SIEM 能力的升级和进化

       SOC/SIEM 等安全管理工具为态势感知提供基础支撑,涉及态势感知的认知和理解环节。 SIEM(安 全信息和事件管理)收集和聚合从主机系统到网络和安全设备生成的日志数据,识别、分类和分析 产生的事件,提供安全事件的报告并并对潜在的安全问题作出警报,它解决了基于安全日志和系统 运行日志的源头分散、难以统一分析的问题。SOC(安全运营中心)则是以 SIEM 为核心,是协助 管理员进行事件及风险分析、预警管理及应急响应的集中式安全管理系统。通过 SIEM/SOC 对各 安全环节的日志及系统相关的日志实现汇聚分析,并形成对安全环节的统一管理能力,这是态势感 知必备的基础能力。

       当前安全管理的过程存在诸多痛点。SOC/SIEM 作一个杂的实时响应系统,除了自身的技术 能力,真正发挥作用还需要安全人员和运营流程的配合。然而当前安全人员严重匮乏,2018年网络安全人力资源研究(ISC)的数据显示,全球网络安全人才缺口扩大至近 300 万,其中亚洲地区的缺口达到了 214 万,63%的受访企业认为企业存在网络安全人员短缺的情况,这将严重制约 SOC/SIEM 能力的发挥和普及。此外,由于数据分析能力欠缺以及安全规划薄弱等因素,现实的安 全管理存在

       1) 海量安全数据缺少分析:IDC 预测 2022 年各类开发的应用的数量将达到 5 亿款,相当于过去 40年的总合,这一方面导致IT系统面临暴露的风险不断加剧,另一方将产生海量的安全数据。 而 SOC/SIEM 对于得到的海量安全数据,缺乏内在的关联分析和数据挖掘,将影响安全事件 的及时发现和处置;

       2) 多种安全设备单独管理:部分企业或组织在安全设备部署时缺乏统一规划和统一管控,导致一 些安全事件发生时不能及时响应;

       3) 安全事件处置效率低:面对海量的安全日志和告警,通过人员来分析和处理的能力有限,导致 事件处置的效率较低,可能会忽视真正的安全威胁。

      态势感知为用户提供预测、保护、检测和响应闭环能力的安全管理。态势感知的实现一方面要发挥 SIEM 的日志整合分析和检索能力以及 SOC 的统一管理能力,另一方面要进一步推动基础能力的 改进和重构,在 SIEM/SOC 的基础上,依托于大数据分析、AI 等新兴技术,强化态势感知的自动 化认知、理解和预测能力,减少对安全人员的依赖。在掌握整体安全情况的同时定向发现潜伏的安 全威胁,并提供清晰明确的响应决策信息支撑、有效指挥对威胁行为体开展对抗,做到及时防御攻 击、自我恢复甚至实施反

二、政策扶持加码,态势感知市场前景广阔

2.1 政策密集出台,行业进入快速成长期

       多项网络安全政策将态势感知建设列为重点任务。

       态势感知市场规模增长迅速,快于同期网络安全整体市场增速。根据赛迪顾问《中国网络安全发展 白皮书(2019)》报告,2018 年,我国网络信息安全行业的市场规模达到了 495.2 亿元,同比增 长 20.9%,预计 2021 年市场规模超过 900 亿元。而根据安全牛的数据统计,2017 年国内态势感 知(定义为围绕安全运营中心(SOC),并基于日志管理(SIEM)、大数据平台、威胁情报、关联分析、 沙箱等等关键技术和多维度数据,为用户提供预测、保护、检测和响应闭环能力的安全系统)的市 场规模约为 20 亿元,预计 2020 年达到 50 亿元,CAGR 约为 35.7%,显著高于 2017-2019 年网 络安全整体市场22.3%的复合增速,预计态势感知占整体安全市场的渗透率将从4.9%增长到6.7%。 当前我们已经逐步迈进主动防御时代,随着等保 2.0 等政策的落地实施,整体网络安全市场将继续 保持较高增速市场。态势感知作为主动防御体系的安全大脑,对于监管单位和关键信息基础设施相 关的行业而言已成为必建设施,由于目前态势感知的市场渗透率较低,同时存量的态势感知需要 不断扩容和更新以适应外部网络环境及内部客户需求的变化,因此我们认为态势感知市场规模有 望继续保持高速增长趋

2.2 监管类行业已达到一定程度普及,能源、政府、教育等企 业级市场加速渗透

       当前态势感知平台的目标市场包括两种类型的客户:第一类是监管类行业态势感知平台,主要用于 区域城市或者行业的监管,客户包括各级公安和各级网络安全和信息化委员会办公室(网信办)、 各行业主管部门等;第二类是关键信息基础设施保护类态势感知,主要用于自身信息系统的安全防 护,客户包括教育、金融、能源等行业的企业客户以及各级部委和政府用户等。

      监管类行业对于态势感知建设具有一定强制性。监管行业在构建态势感知平台时注重掌握全网或 所监管行业的网络安全状态,涉及威胁告警、攻击态势以及定位安全事件。在 2017 年正式实施的 《网络安全法》要求国家网信部门及负责关键信息基础设施安全保护工作的部门加强安全监测预警等内容的建设。而网络安全信息收集、分析、网络安全监测预警等功能正是态势感知平台的长处 之所在,所以《网络安全法》的出台增加了相关部门对于态势感知建设的强制性需求。

       态势感知在公安行业起步较早且逐步普及。公安行业的需求主体包括部级部门 1 个,省级部门 34 个,地市级部门 293 个,目前行业态势感知主要提供商为安恒信息和奇安信两家公司,仅从安恒 信息看,截止 2019 年 10 月公司态势感知产品在公安行业累积成交合同约 120 例,包含十多个省 级平台以及近百个地市级平台,已达到一定的普及率。

       对于关键信息基础设施保护类态势感知市场,产品定制化程度较高,这是由于不同行业客户对于 态势感知产品的要求各有侧重:1)政府机构关注对外部攻击的防范,注重高级威胁检测和自身的 威胁感知等能力;2)能源行业包含海量的智能终端,关系国家经济命脉及生产安全,更注重产品 的兼容性以保障生产运营的可持续性;3)金融行业业务场景众多,需求重点在于产品的关联分析 能力、威胁告警精确度以及用户行为分析能力等;4)教育行业及医疗行业核心业务系统繁多,涉 及海量的敏感数据,因此更加关注产品的安全防护及威胁检测效果,防止敏感数据的泄露。

       能源、政府以及教育行业态势感知建设景气度高。截止目前,2019 年涉及态势感知的公开订单总 数达到 526 个,其中标明态势感知建设具体金额的订单数量为 312 个,总金额达到 4.6 亿元。从 订单数量行业分布情况看,能源行业涉及态势感知建设的订单数量最多,达到 142 个,占统计总 订单数的 27%,其次为政府及教育行业,订单数量分别达到 111 个和 74 个,数量占比分别为 21% 和 14%。尽管态势感知在监管类行业已有一定的渗透率,但由于监管类市场巨大,涉及公安、网 信以及各行业的主管部门,加上已建设平台的更新和扩容,仍呈现较高的需求景气度,订单数量达 到 68 个,数量占比为 13%。

三、竞争格局呈现“两超多强”,行业特征利好优势 企业

3.1 安恒信息和奇安信处于态势感知市场的第一梯队

       针对国内态势感知市场,安全牛和 IDC 分别给出了态势感知产品矩阵以及中国态势感知解决方案 市场 2019 年厂商评估图:

1) 态势感知矩阵(安全牛,2018)

       根据厂商的影响力、规模和技术创新力三个指标,态势感知矩阵可划分为领先者、竞争者和潜力者 三个矩阵区。入选态势感知矩阵的厂商共 19 家,其中安恒信息、奇安信(原 360 企业安全)综合 优势较为明显,它们与华为、绿盟科技等厂商处于领先者梯队,深信服、新华三、东软等厂商处于 竞争者梯队,上海观安、华青融天等新兴安全厂商处于潜力者梯队。由于影响力、规模和技术创新 力三个细分指标之间并非完全独立,三者是相辅相成的关系,所以处于领先者梯队的厂商通常在三 个指标上均占优:

       影响力,主要考虑厂商品牌知名度、业界口碑以及市场地位等因素。单从该指标看,排名靠 前的厂商均为知名的大型安全厂商,其中安恒信息处于第一梯队,奇安信、华为、绿盟科技 处于第二梯队;

       规模,主要考虑厂商相关产品的营业收入、人员数量以及利润等因素。单从该指标看,奇安 信和安恒信息领先于其他厂商,其中奇安信规模略大于安恒信息,上海观安等新兴安全厂商 规模较小;

       技术创新力,主要考虑厂商的研发投入、产品化能力以及技术定位等因素。单从该指标看, 安恒信息、奇安信以及瀚思科技处于领先位置,绿盟科技、华为等公司处于梯队。

2) 中国态势感知解决方案市场厂商评估(IDC,2019)

       IDC 发布的《中国态势感知解决方案市场 2019 年厂商评估》报告中,根据收入规模、产品技术 能力、行业和客户拓展、生态系统建设以及未来发展战略等指标,将国内态势感知解决方案市场划 分为领导者、主要厂商、竞争者和参与者四个象限。国内入选厂商共有 13 家,分别是安恒信息、 奇安信、深信服、启明星辰、绿盟科技、天融信、新华三、华为、腾讯云、亚信安全、盛邦安全、 兰云科技、盛华安。其中安恒信息与奇安信两家厂商竞争优势明显,在领导者象限排名靠前。

       综合来看,国内态势感知市场呈现“两超多强” 的竞争格局。安恒信息、奇安信处于国内态势感 知市场的第一梯队,包揽两份榜单中的前二位置,绿盟科技、深信服、天融信、华为、新华三、亚 信安全等安全厂商是目前态势感知市场的主要厂商。

3.2 态势感知市场特征利于优势企业拓展市场空间

       态势感知产品的核心竞争力体现在全面且高质量的数据、关联分析能力以及风险监测及响应能力 三个方面。全面高质量的数据是高质量数据分析的基础,主要涉及到态势感知认知环节中流量采集、 日志采集等产品的能力。全面且高质量的数据获取一方面需要采集到各类的数据,如各类设备日志、 重要节点流量、资产信息等,减少漏报和误报,另一方面需要对数据做好预处理,提高数据的质量。 关联分析能力以及风险监测及响应能力涉及态势感知的理解环节,是态势感知发挥效用的关键。由 于现阶段的网络攻击发生速度极快,高水平威胁行为体在长期潜伏后突然的攻击行为很难做到事 前或事中预警及响应,因此需要结合厂商在长期的网络对抗中积累的经验知识,丰富和完善关联规 则,实现对越来越多“已知”攻击行动的识别、预警和响应。

       态势感知的建设与基础安全产品销售具有良好的协同作用。当前安全防御体系的建设已由“单一防 护”及“补丁”模式发展到“系统规划、整体协防”模式,态势感知平台仅定位于“安全大脑”, 完整的防护能力还需要布置众多的基础安全产品。当前态势感知市场的优势厂商一般都拥有各类 基础的安全产品,如防火墙、安全网关等,但这些传统安全产品往往同质化严重,为公司贡献的营 收增量有限。态势感知领域的优势厂商可以通过态势感知的建设带动传统基础安全产品的销售,收 入增长中枢有望实现进一步上移。

       技术和经验构成态势感知厂商的竞争壁垒,优势厂商有望继续扩大竞争优势。尽管态势感知产品 的定制化程度较高,但不同行业的态势感知平台在技术架构以及核心技术存在共性,均需要数据的 融合、大数据的分析,高效的感知发现、快速的响应处置等技术做基础支撑,因此从监管类行业向 其他行业拓展的门槛不高。另一方面,态势感知真正实现还需要结合实时的数据采集、中长期的情 报、经验和知识积累,以支撑短期相应和中长期防护策略的调整。因此,态势感知整体市场马太效 应凸显,在态势感知向各行各业加速渗透的背景下,具备技术和经验优势的态势感知厂商有望提升 自身的市场份额和品牌影响力。

四、投资建议

       当前安全体系正处于被动防御向主动防御过度阶段,态势感知是主动安全防御体系的智能大脑, 类似于防火墙是被动防御体系中最重要的安全产品,态势感知将成为主动防御体系最核心的组成部分。监管类态势感知渗透率已达到一定水平,能源、教育、医疗等行业市场处于加速渗透状态。 另外,随着客户 IT 架构或需求变化,以及外部网络攻击手段的进化,已部署的态势感知也有不断 的扩容和更新需求,整体态势感知的市场规模将实现快速增长。我们认为在态势感知领域具有先发 优势并能与其他产品线形成良好协同的安全厂商将最为受益,安恒信息(688023,未评级)、深信服 (300454,增持)、启明星辰(002439,未评级)、绿盟科技(300369,未评级)、南洋股份(002212, 未评级)。