2021年中国网络安全集成服务基础能力探析.pdf

1 2021年中国网络安全集成服务基础能力探析 2021 China Cyber Security Integrated Service Capabilities Research Report 2021年中国基礎能力研究报告标签：网络安全、集成服务、检测响应报告作者：唐英杰 2021/02 报告提供的任何内容（包括但不限于数据、文字、图表、图像等）均系头豹研究院独有的高度机密性文件（在报告中另行标明出处者除外）。未经头豹研究院事先书面许可，任何人不得以任何方式擅自复制、再造、传播、出版、引用、改编、汇编本报告内容，若有违反上述约定的行为发生，头豹研究院保留采取法律措施，追究相关人员责任的权利。头豹研究院开展的所有商业活动均使用“头豹研究院”或“头豹”的商号、商标，头豹研究院无任何前述名称之外的其他分支机构，也未授权或聘用其他任何第三方代表头豹研究院开展商业活动。 12 2021LeadLeo 头豹研究院简介头豹研究院是中国大陆地区首家B2B模式人工智能技术的互联网商业咨询平台，已形成集行业研究、政企咨询、产业规划、会展会议行业服务等业务为一体的一站式行业服务体系，整合多方资源，致力于为用户提供最专业、最完整、最省时的行业和企业数据库服务，帮助用户实现知识共建，产权共享公司致力于以优质商业资源共享为基础，利用大数据、区块链和人工智能等技术，围绕产业焦点、热点问题，基于丰富案例和海量数据，通过开放合作的研究平台，汇集各界智慧，推动产业健康、有序、可持续发展 300+ 50万+ 行业专家库 1万+ 注册机构用户公司目标客户群体覆盖率高，PE/VC、投行覆盖率达80% 资深分析师和研究员 2,500+ 细分行业进行深入研究 25万+ 数据元素企业服务为企业提供定制化报告服务、管理咨询、战略调整等服务提供行业分析师外派驻场服务，平台数据库、报告库及内部研究团队提供技术支持服务地方产业规划，园区企业孵化服务行业峰会策划、奖项评选、行业白皮书等服务云研究院服务行业排名、展会宣传园区规划、产业规划四大核心服务3 2021LeadLeo 报告阅读渠道头豹科技创新网PC端阅读全行业、千本研报头豹小程序微信小程序搜索“头豹”、手机扫上方二维码阅读研报图说表说专家说数说详情请咨询添加右侧头豹研究院分析师微信，邀您进入行研报告分享交流微信群4 摘要聚焦网络安全：中国网络安全集成服务基础能力几何？在信息化深入各行业的过程中，网络安全成为首要重要的问题。中国网安市场增长迅速且远未饱和，市场结构也正处于产品向服务转型的过程中。本报告聚焦网络安全服务领域，从中国网络安全集成服务基础能力的角度去分析中国网安行业的发展情况。处于当前严峻的网络安全形势中，网络安全的防护重心由布置安全产品转向网络安全攻防的能力，防守方安全能力主要体现在威胁检测和应急响应的环节，本报告分别分析了这两个环节里的中国网安行业的技术发展和中国网安厂商的实际应用情况，从而探析安全集成服务理论技术层面及应用层面的能力。 1. 中国网络安全行业处于起步阶段，安全服务未来前景大网络安全总需求提升叠加市场由安全产品向安全服务转型，安全集成服务未来前景大：（1）中国网安行业起步晚，增长迅速且行业还远未饱和，处于行业追赶期，未来整体网络安全需求大。（2）强合规需求、云安全需求、新安全理念三大因素驱动中国网安行业由注重静态硬件部署转为注重攻防对抗能力，从而向主动防御、动态防御、一体化防御的方向发展。这需要覆盖各个细分领域的技术和产品，以及专业网安人员的运营，一般企业无法自己满足这些需求，因此网安行业服务化是大趋势。 2. 网络安全的本质是攻防对抗，攻防对抗能力是网安行业的实际安全能力简单堆叠硬件产品已经无法解决当下的安全问题，购买安全产品在攻防对抗里发挥作用才是关键所在。衡量威胁检测和应急响应能力的关键指标分别是MTTD和MTTR，网络安全厂商们大力发展的威胁情报技术、SIEM、 SOAR等均是用于改善MTTD和MTTR两个指标。 3. 中国综合网安厂商和云服务提供商集成服务基础能力较强综合网安厂商技术积累深厚，产品线齐全，有能力覆盖网安各个细分领域，提供安全集成服务，为企业提供一体化、协同、智能的防护；云服务厂商凭借其在自有云端的海量高质量安全大数据及与自身云平台的高度协同，在云安全领域有较强的集成服务能力5 2021 LeadLeo 名词解释 - 06 中国网络安全集成服务行业现状定义及分类 - 07 市场增长速度及规模预测 - 08 中外市场结构对比 - 09 中国网络安全市场竞争格局 - 10 供应端：主要厂商分类及优势分析 - 11 需求端：主要客户分类及特征分析 - 12 中国网络安全集成服务行业驱动因素强合规需求 - 13 云安全需求 - 15 新安全理念需求 - 17 从技术发展探析中国网络安全服务能力检测和响应时间是衡量安全能力的关键标准 - 18 威胁检测技术能力探析 - 20 应急响应技术能力探析 - 23 从安全厂商能力探析中国安全服务能力奇安信基础能力分析 - 25 启明星辰基础能力分析 - 26 阿里云安全基础能力分析 - 27 腾讯云安全基础能力分析 - 28 方法论 - 29 法律声明 - 30 目录 CONTENTS6 2021 LeadLeo 等保2.0：全称网络安全等级保护2.0制度,是我国网络安全领域的基本国策、基本制度云计算：是基于互联网的相关服务的增加、使用和交互模式，通常涉及通过互联网来提供动态易扩展且经常是虚拟化的资源。云是网络、互联网的一种比喻说法公有云：是指第三方提供商为用户提供的能够使用的云。公有云一般可通过互联网使用，可能是免费或成本低廉的，公有云的核心属性是共享资源服务私有云：私有云的设施只提供给一个包含许多用户的组织单独使用。它可以被该组织、第三方或两者共同拥有、管理和操作，并且可以是内置或外置的 MTTR：Mean-Time-To-Resolution，平均响应事件，网络安全事故从被首次发现到最终被安全运营人员解决之间的时间跨度 MTTD：Mean-Time-To-Detection，平均检测时间，攻击者使用战术和技术在目标网络上首次获得立足到最终被网络或终端安全设备检测出来所持续的时间 Kill Chain：杀伤链，洛克希德马丁公司开发的“网络杀伤链”模型描述了网络攻击从最早的阶段，从侦察到最终的阶段即数据提取。杀伤链有不同的步骤描述网络攻击的各个阶段生命周期 IDS：Intrusion Detection System，入侵检测系统，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 SIEM：Security Information and Event Management，安全信息和事件管理，为来自企业和组织中所有IT资产（包括网络、系统和应用）产生的安全信息（包括日志、告警等）进行统一的实时监控、历史分析，对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告，实现IT资源合规性管理的目标，同时提升企业和组织的安全运营、威胁管理和应急响应能力 NTA ：Network Traffic Analysis ，网络流量分析：通过监控网络流量、连接和对象来识别恶意的行为迹象痛苦金字塔： David Bianco 提出的模型，用于对 IOCs 进行分类并描述各类 IOCs 在攻防对抗中的价值 SOAR：Security Orchestration, Automation and Response ，安全编排自动化与响应，是一系列技术的合集，它能够帮助企业和组织收集安全运维团队监控到的各种信息（包括各种安全系统产生的告警），并对这些信息进行事件分析和告警分诊。然后在标准工作流程的指引下，利用人机结合的方式帮助安全运维人员定义、排序和驱动标准化的事件响应活动名词解释7 2021 LeadLeo 来源：中国信通院，头豹研究院编辑整理网络安全集成服务定义及分类网络安全行业分类 1.1 定义及分类网络安全集成服务将硬件软件及服务有效集成，为客户提供一体化服务，提高客户网络安全性网络安全集成服务是指技术服务提供商按照网络安全工程规范，结合用户业务风险，把安全硬件、安全软件、安全服务等有效集成到用户信息系统，提高信息系统自身安全防护能力的过程和方法网络安全集成服务定义安全产品与服务安全系统安全管理系统安全监测与分析系统安全服务安全集成安全管理与检测安全咨询安全培训其他应用场景云安全移动互联网安全终端安全工控安全大数据安全 5G安全应用安全物联网安全区块链安全数据安全基础安全网络安全基础技术身份认证密码安全审计8 2021 LeadLeo 来源：头豹研究院编辑整理从客户层面看，配合完成国家政策目标可能性极高：网安行业是客户驱动型，且下游政企大客户占比超65%，配合政策意愿强，政策目标达成可能性极大从政策层面看，近年颁布的重大网安政策将加速促进行业发展，市场规模增速预计提高：工信部表示2020年中国网安产业规模较2015年翻一倍，复合增长率为15%。但以等保2.0为代表、对网安建设提出硬性要求的政策2019年才开始颁布，且2019年当年网安行业市场规模同比增速就提升至50%，相比之前有明显加速，因此22.2%的增速预测较为保守合理从新应用场景和安全形势看，应用场景的扩张和安全形势的严峻化都将提升网安实际需求：当前网安应用场景在以“云大物移”为代表的新技术驱动下不断扩张，且以APT为代表的高级网络攻击日益增加，安全形势严峻，网安需求将随之增加 1.2 中国网络安全市场增长速度及规模预测中国网安市场处于高增速低饱和的追赶阶段，即将成为世界第二大网安市场，中国厂商未来发展空间辽阔 2016年-2020年全球各地区网安支出增长速度比较中国网安支出低于世界平均水平：目前中国网络安全支出仅占IT总支出的2%，远低于美国的4.5%和全球平均的3.8% 中国网安支出增速高且行业空间巨大，发展潜力大：中国网安支出近年来保持着15%的高速增长率，远高于全球平均的8%；市场规模也居世界前列头豹洞察中国网安市场规模及预测 0 500 1,000 1,500 2,000 2,500 2019 2020 2021 2022 2023 2024 2025 GAGR：22.2% 单位：亿元 2019年中国网安市场规模为600亿元，保守估计2025 年达到2,000亿元，年复合增长率为22.2%：2019年工信部发布的关于促进网络安全产业发展的指导意见（征求意见稿）中明确指出到2025年，中国网安市场规模将超过2,000亿元，据此保守估计市场规模到 2025年达到2,000亿元，原因有如下3个9 2021 LeadLeo 来源：CCID，Wind，头豹研究院编辑整理中国与全球网安公司安全服务收入占比对比 47% 38% 15% 中国网安市场结构硬件软件服务 12% 28% 60% 全球网安市场结构硬件软件服务全球网安市场以服务和软件为主，硬件占比最低：全球网络安全行业起步较早，安全服务市场已非常成熟，服务收入占整个网络安全行业的比重达到60% 中国网安市场以硬件为主，安全服务占比低：中国网络安全行业起步较晚，再加上企业对网络安全重视不足，网络安全需求主要为合规需求，在等保2.0 实行之前，堆砌网络硬件基本能通过合规要求，有提升真实网络安全能力意愿的企业少，因此造成了中国重硬件轻软件弱服务的局面，网络安全服务占比持续低于国际水平 1.3 中外市场结构对比中国网络安全行业仍处起步阶段，整体市场和龙头企业均呈现重硬件轻服务的现象，与全球市场结构差异较大中国与全球网安市场结构对比全球网安龙头企业安全服务均是主要收入来源，且增长趋势不变：2020年 Palo Alto、Fortinet、Check Point三家全球领先网安厂商安全服务收入占比分别为69%、65%、75%，均为主要收入来源，且三家安全服务占比仍在稳步上升中国网安龙头企业安全服务收入占比较低：2019年奇安信、启明星辰、绿盟科技三家中国领军网安厂商安全服务收入占比分别为11.65%、27.45%、32.60%，与国际大厂商相比，安全服务收入占比显著偏低 0% 20% 40% 60% 80% 2015 2016 2017 2018 2019 2020 奇安信启明星辰绿盟科技 Palo Alto Fortinet Check Point10 2021 LeadLeo 安服营收及增长安服领域布局特点大数据能力强，相关的风险探知系统和态势感知系统行业领先覆盖网络安全、大数据、云服务三类服务，提供30项安全服务细分产品 2019年网络安全服务收入 3.4亿元，同比增长90.35% 天融信网络安全服务收入没有单独统计口径以“人机共智”的创新模式为组织提供服务深信服覆盖运营类、评估类、培训类、运维类、规划咨询类服务，提供22项安全服务细分产品安服人员规模大，居中国第一 2019年网络安全服务收入 3.7亿元，同比增长67.15% 奇安信覆盖咨询、风险管控、应急处理、运维、考试与培训业务，提供27项安全服务细分产品 2019年网络安全服务收入 8.5亿元，同比增长31.67% 探索第三方独立安全运营模式，建立安全即服务全国业务平台、城市级安全运营中心启明星辰覆盖规划咨询、风险管理、运维与应急、合规评价及其他定制服务，提供12项安全服务细分产品来源：CCIA，Wind，头豹研究院编辑整理 1.4 中国网络安全市场竞争格局中国网安市场集中度低，头部厂商优势渐显，第一梯队的网安厂商均积极布局安服领域 3% 4% 5% 6% 7% 奇安信启明星辰深信服天融信 2018年 2019年中国网安行业头部厂商市场份额中国网安市场集中度低，竞争激烈：中国网安市场较为分散，综合性网安企业市占率较高，2019年CR4为24.06%，CR8为39.48%，处于完全竞争型行业龙头安全厂商市占率逐步提升，头部效应逐渐显现：从2016年至2019年，行业CR4从17.83%提升到24.06%，CR8从36.59%提升到39.42%。行业市占率前四的公司开始加速抢占市场，头部效应渐显头部安全厂商纷纷布局安服领域，安服业务增长快，细分领域逐渐覆盖，各厂商均发展出自己的特色中国网安头部厂商在安服领域的布局及特点11 2021 LeadLeo 来源：各公司官网，安全牛，头豹研究院编辑整理中国网络安服行业主要玩家包括综合型安全厂商、专业技术安全厂商、云服务提供商，其中综合型安全厂商整体实力最强，云服务提供商在云安全领域竞争力较强，专业型云安全厂商在云安全领域也有其独特优势 1.5 供应端：主要厂商分类及优势分析主要厂商分类及优势分析云平台服务商代表厂商奇安信、启明星辰、深信服、绿盟科技等安恒信息、山石网科、知道创宇、安全狗等阿里巴巴、腾讯、百度、华为等综合性安全厂商专业型云安全厂商云服务提供商优势分析深耕网安领域多年，积累大量的经验、技术、资源产品布局完善，覆盖网络安全的各个细分领域，能够提供一体化、协同化的服务，综合安全实力最强专注于云安全细分领域，云安全产品和服务布局完善专业细分领域技术积累高，产品和服务更具针对性专业领域口碑好，客户粘性强公有云安全市场有绝对优势，基本占据整个市场云平台积累大量云安全经验和用户，利于未来开展业务大数据资源丰富，技术成熟，能为云安全提供优质的数据源头豹洞察行业碎片化严重，综合型网络安全厂商覆盖细分领域多，综合安全实力最强：据安全牛统计，2020年中国网络安全行业共分为15类一级安全领域，88类二级细分领域，产业碎片化严重。综合型网络安全厂商具有完善的服务及产品线。如奇安信，产品覆盖所有15类一级安全领域和71类二级细分领域。这样的综合安全厂商能够提供一体化、协同化的安全服务，符合未来网络安全发展趋势，综合安全实力最强云安全是未来网络安全行业最有发展潜力的细分行业，云服务提供商在公有云上占据绝对优势，专业型云安全厂商在私有云也占据独特优势：云安全厂商主要分两类，即云服务提供商和第三方厂商，其中第三方厂商又包括综合型安全厂商和专业型云安全厂商。公有云方面，用户以中小B为主，对非本地部署接受度较高且付费意愿低，因此普遍偏好云服务厂商配套提供的标准化基础安全服务；私有云、混合云方面，客户以政企为主要，注重数据安全、独立性和有效性，通常选择第三方网安厂商进行本地部署。包括综合安全实力最强的综合型厂商和业务最具针对性的专业型云安全厂商12 2021 LeadLeo 来源：CCID，头豹研究院编辑整理中国网安市场客户结构 1.6 需求端：主要客户分类及特征分析网安行业是客户驱动型行业，下游政企客户掌握话语权，综合型安全厂商安全服务能力强，最受青睐政府电信金融教育制造能源交通物流其他政府电信金融教育制造能源交通物流其他网安行业是客户驱动型行业，下游客户话语权大：政府、电信、金融等网安下游客户通常将安全建设需求汇总后确定建设方案，通过项目招投标的方式确定供应商。而大多数安全产品如防火墙、WAF、堡垒机等，标准化程度都比较高，只有态势感知等少数产品、服务不同厂商之间差异较大，因此总体来说，网络安全行业由客户驱动，特别是政企客户话语权大网络安全行业下游政企客户需要一体化的安全服务和良好的保密性，头部综合型网安厂商拥有完善的产品、服务线，且有国资股东背景背书，是下游政企客户的首选：一方面，安全厂商对下游政企客户的主要交付方式是提供解决方案，以解决客户网络安全需求为目的。因此获得政企客户订单的前提是产品线和服务完备，在碎片化严重的网络安全行业，只有综合型安全厂商满足这一要求。另一方面，政企客户对数据信息极为敏感，因此有国资股东背景的网安厂商更容易受到政企客户的青睐。目前中国上市网安公司中，仅有三家具有国资股东背景，均为综合型网安厂商。奇安信由中国电子信息集团持股 17.95%，绿盟科技由中国电子科技集团持股15.5%，天融信由中国电子科技集团持股4.95% 头豹洞察政府、电信、金融等大客户是网络安全行业主要客户，且这一趋势将继续延续：政府、电信、金融几大领域目前消费了65%的网安产品及服务，是网络安全行业的主要客户。且政府、电信、金融均是中国政府重点支持信息化建设的行业，网络安全又是信息化的基础，预计未来趋势不改，政府、电信、金融仍会是网络安全产品服务的消费主力，是厂商需要重点攻克的客户 e5a31957a1713 2021 LeadLeo 网安被上升到国家战略高度：中央网安和信息化领导小组的成立体现了对网络安全的重视，国家领导人提出“没有网络安全就没有国家安全，没有信息化就没有现代化”，将网安上升到国家战略高度网安的基础性法律推出，搭建起网安的法律体系框架：网络安全法是中国第一部网络安全管理方面的基础性法律，填补了网安领域的法律空白，让网安发展有法可依网安建设的硬性要求逐渐明确：以等保2.0为代表的政策法规在网络安全法的框架基础下，进一步明确了硬性要求，是网安领域的核心法条国家大力促进网安行业的发展：关于促进网络安全产业发展的指导意见（征求意见稿）提出，到 2025年网络安全产业规模超过2,000亿，培育形成一批年营收超过20亿的安全企业继续提升企业网安建设的意识：以数据安全法为代表的法律正在密集制定中，有望进一步提升企业的网安意识来源：头豹研究院编辑整理 2.1 强合规需求（1/2）中国网络安全相关政策法规密集落地，网安相关法律体系日渐完善，合规需求旺盛中国网络安全相关政策法规及意义头豹洞察政策/事件名称颁布/发生日期颁布主体政策要点个人信息保护法（草案） 2020-10 全国人大提升企业网安建设的意识数据安全法（草案） 2020-06 全国人大提升企业网安建设的意识关于促进网络安全产业发展的指导意见（征求意见稿） 2019-09 工信部明确了对网安行业发展的扶持态度国家网络安全产业发展规划 2019-06 工信部明确了对网安行业发展的扶持态度信息安全技术网络安全等级保护基本要求（意见稿） 2019-05 公安部明确了网安建设的硬性要求关键信息基础设施安全保护条例（意见稿） 2017-07 网信办明确了网安建设的硬性要求中华人民共和国网络安全法 2017-06 全国人大建立了整个网安市场的法律体系国家网络空间安全战略 2016-12 网信办将网络安全上升到国家战略高度中央网络安全和信息化领导小组成立 2014-02 网信办将网络安全上升到国家战略高度14 2021 LeadLeo 来源：安全内参，头豹研究院编辑整理 2.1 强合规需求（2/2）等保2.0将网安要求全面提高，传统硬件布置难以满足需求，更注重防护实际效果的网络安全服务受强合规需求利好最多等保2.0与等保1.0对比及分析保护对象信息系统信息系统云计算平台、工业控制系统、大数据中心、物联网系统、移动互联网等关键信息基础设施合规内容五个规定性动作五个规定性动作风险评估、安全监测、通报预警、事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全效果评价、综治考核等保障体系被动防御：一个中心三重防护（防火墙，入侵检测，防病毒）全方面、一体化的主动防御：感知预警、动态防护、安全检测、应急响应等等级测评要求达到60分基本及格达到75分基本及格定级备案流程自主定级、自主保护专家评审、主管部门审核、公安机关备案等保 1.0 等保 2.0 覆盖对象范围扩大，对新安全领域提出合规需求更加注重防护效果，合规内容注重动态的攻防能力从碎片化硬件布置的要求转为对一体化安全服务的要求合规要求更严格分析15 2021 LeadLeo 来源：中国信通院，头豹研究院编辑整理 2.2 云安全需求（1/2）中国企业加速上云，云计算市场规模快速扩大，其中公有云是主要增长来源中国云计算市场规模及预测中国企业云计算使用率中国云计算市场高速增长趋势不变，预计2023年规模达4,800亿元：2019年中国云计算整体市场规模达1,334亿元，增速38.6%，预计未来几年增速保持增长，到 2023年市场规模将接近4,800亿元（不包含混合云）公有云市场规模反超私有云：2019年中国公有云市场规模达到689亿元，私有云市场规模达645亿元公有云首次完成了规模上对私有云的反超。预计到 2023年公有云市场规模将超过2,300亿元，私有云将接近1,500亿元 0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 2017 2018 2019 2020 2021E 2022E 2023E 公有云私有云单位：亿元以云计算为代表的新IT技术加速进入商业落地期 66.1%的中国企业已经应用了云计算，云计算的渗透率继续稳步提升：2019 年中国已经应用云计算的企业占比达到66.1%，相较2018年上升了7.5% 中国云计算使用率提升主要源于公有云的使用率提升：中国企业采用公有云的占比41.6%，较去年提高了5.2%；采用私有云的占比为14.7%，与去年相比仅有小幅提升 2018年 2019年16 2021 LeadLeo 来源：深信服，CCID，头豹研究院编辑整理 2.2 云安全需求（2/2）云环境带来新网络安全问题，安全配套需求快速增长，市场天花板高云环境下的新安全问题中国云安全市场规模及同比增速虚拟化平台：虚拟化平台的设计漏洞，将成为新的威胁多租户：多租户运行在同一台物理机上，边界消失，传统防护手段失效云内流量不可见：虚拟机之间的互访采用传统手段不可见资源集中存放：针对云计算中心的攻击更有价值虚拟机迁移：安全策略应动态跟随调整云安全市场处于起步阶段，行业天花板高：2018年中国云安全市场规模仅为 37.8亿元，市场还远未饱和，未来增长空间大；市场目前保持快速增长， 2018年同比增长44.8%，预计未来几年云安全需求将持续快速增长，到2021 年，行业规模增速保持在40%以上云内流量不可见引入新的威胁虚拟化平台引入新的威胁多租户引入新的威胁资源的集中存放引入新的威胁云环境下的新安全问题虚拟机迁移引入新的威胁 0% 10% 20% 30% 40% 50% 60% 70% 0 20 40 60 80 100 120 2016 2017 2018 2019 2020 2021E 市场规模（亿元）增长率（%）云环境下的新安全问题17 2021 LeadLeo 来源：北京网络安全大会，BCS，头豹研究院编辑整理 2.3 新安全理念传统安全理念无法应对当前的网络安全形势，主动防御、一体化防御、动态防御的新安全理念将推进行业由产品向服务转型的过程边界安全防御：通过防火墙等硬件产品隔离内外网，御敌于外，保证内网安全碎片化的安全能力部署：“创可贴”式的产品形态，基于“差哪补哪”的思路进行网安建设，没有形成体系依赖已知特征库检测威胁：检测网络事件，与已知特征库对照，检测出可能的网络攻击，发出预警传统安全理念网络边界模糊化：随着云计算应用的普及，传统的“内外网”边界越来越模糊网络攻防两方地位不对等：攻击方只需单点突破，因此网络安全程度取决于最薄弱环节，防守方需要全线防护网络攻击手段越来越隐蔽、复杂、多变：攻击手段变形方式多样，未知威胁如APT 占据主流，传统基于特征库无法有效检测当下网络安全形势传统网络安全理念与当下安全形势的冲突头豹洞察基于边界安全防御的防御理念逐渐失效：传统的被动防御多使用边界安全产品，如防火墙、IDS/IPS、防病毒等，但随着网络边界的模糊化，这种看大门式的防护理念逐渐失效碎片化的安全能力部署不能防护网络攻击方协同联动的攻击闭环体系：传统的安全理念习惯根据合规要求，创口贴式的部署安全能力，没有形成安全闭环，内各部件孤立工作，不能实现有效的信息共享、能力共享和协同工作。相反，网络的攻击方却有着从侦察、武装、传送、利用、安装、指挥控制到执行目标的一系列闭环的攻击行动，信息和能力共享，容易找到防守方最薄弱的环节，迅速突破基于已知特征规则的威胁检测不足以应对现在复杂的网络攻击手段：传统的威胁检测只能检测基于已知网络攻击的特征检测威胁，无法检测到APT等未知威胁，且现在网络攻击手段变形多、隐蔽性强，威胁特征库只能在网络攻击发生后总结该威胁特征，难以及时收集，实际防护能力较弱当前新安全理念将推动安全服务替代安全产品安全服务代替安全产品：布置齐全的安全产品价格不菲，且体系化的防御系统需要专业网安人员实时操作。因此，选择集成安全服务大势所趋建立体系化的安全能力：内部部件联动响应，打造安全闭环，对安全威胁进行发现识别、理解分析、响应处置的体系化操作打造主动防御能力：基于一体化的安全防护部署获得更全面的安全数据。结合大数据分析、机器学习等技术，主动感知、预测风险新安全理念18 2021 LeadLeo 安全事件发生后，攻击推进的步骤越靠后，造成的损失越大；响应的步骤越靠前，防护效果越好 3.1 检测和响应时间是衡量安全服务能力的关键标准（1/2）勘察武装化传送利用安装指挥与控制执行目标实体与名誉损失 Kill Chain步骤准备鉴别控制根除复原经验总结防护效果安全事件响应步骤安全事件响应阶段与对应时效性网络攻击步骤与对应损失来源：卡巴斯基，头豹研究院编辑整理网络攻击造成的损失程度取决于攻击被检测出的阶段：攻击越早被检测出来，该网络攻击造成的损失就越低从 “传送”开始，就是检测与响应的发力点：“传送”和之后的步骤，对应正在发生，和即将发生的威胁安全事件开始响应所对应的步骤决定了防护的效果：基于攻击生命周期（Kill Chain）的相关信息，安全团队创建相对应的安全事件响应步骤，采取的步骤越靠前，防护效果越好安全事件响应的步骤可以总结为“检测”和“响应”两大部分：“控制”之前的步骤属于检测，“控制”和之后的步骤属于响应19 2021 LeadLeo 网络攻防中防守方始终滞后于攻击方，优化MTTD和MTTR两个指标是提升防御方安全能力的根本问题 3.1 检测和响应时间是衡量安全服务能力的关键标准（2/2）防守方滞后于攻击方来源：Verizon，头豹研究院编辑整理头豹洞察防守方相对攻击方，行动均具有滞后性，其中发现入侵环节滞后性尤为严重：以攻防对抗的角度看，防守方与攻击方的对抗主要在发现入侵环节和应急响应环节。在发现入侵环节，攻击方通常在分钟级启动攻击，而防守方主要在月级和周级才发现入侵，中间的时间差巨大。在应急响应环节，攻击方窃取数据的时间通常在分钟级或者天级，防守方主要在周级和天级作出应急响应，防守方在这一环节仍有明显滞后性，但相对及时一些攻防方之间的时间差是网络安全防护的根本问题，同时降低MTTD和MTTR才能提升防守方安全能力：根据PPDR模型，当PtDt+Rt时，系统即是安全的。 Pt表示入侵者攻击安全目标花费时间；Dt是MTTD，表示平均检测时间，是指发现一个真正有风险的威胁所用的平均时间；Rt是MTTR，表示平均响应时间，指全面分析威胁并平息任何可能的风险所用的平均时间。因此，MTTD和MTTR共同决定了安全威胁的程度，是衡量防守方实际安全能力的关键指标，安全服务厂商需要同时降低MTTD和MTTR来提高其攻防能力威胁检测阶段安全能力指标-MTTD 威胁响应阶段安全能力指标-MTTR 攻：攻击启动时间防：入侵发现时间攻：数据窃取时间防：应急响应时间秒级分钟级小时级天级周级月级年级20 2021 LeadLeo 主流威胁检测技术有IDS、SIEM、NTA，IDS技术逐渐不能适应当前网络环境，SIEM主要检测内部威胁，NTA是比较新的技术，结合大数据、机器学习等技术，未来发展空间大 3.2 威胁检测技术能力探析（1/3）来源：安全牛，安全内参，头豹研究院编辑整理威胁检测主流技术原理及特点对比入侵检测系统（IDS）系统跟踪事件（SIEM）网络威胁检测 (NTA) 预先确定特征知识库里的各种攻击模式，对计算机或网络系统中发生的事件进行监视和分析，利用特征检测判断异常或者入侵行为融合了传统的基于规则的检测技术，及机器学习、高级分析和特征分析等技术，对正常的流量进行收集和分析，从而建立出正常的企业网络流量模型，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹从广泛的网络硬件和软件系统中获取日志数据，实时分析这些数据，将事件和个别异常或行为模式关联起来，进行威胁检测技术原理是目前解决内部威胁的主要技术从第三方收集日志和事件信息时，所收集数据的质量是无法预测和控制的，许多信息是碎片的、孤立的、不相关的 NTA通过对实际流量进行分析、对比，发现威胁，因此即使是APT攻击，也能被检测出来 NTA性能主要取决于行为模型的质量，模型质量依赖于模型训练的能力，这又取决于安全大数据的量级与质量，因此，拥有数据优势的大厂商 NTA技术占优势威胁检测的重要手段，有近30年的发展历史，但在当下一些网络场景下，并不能有效发现威胁存在主要三个缺陷：一是大量误报，需要安全人员不断对IDS系统进行调整；是二漏检严重，依靠特征库做判断，所以不能判断未知攻击；三是事后检测到，适时性不好特点21 2021 LeadLeo 威胁情报是辅助威胁检测的重要手段，能提高主流威胁检测技术的实际效果，有效性得到高度认同 3.2 威胁检测技术能力探析（2/3）主流威胁检测方式与威胁情报形成互补原理：试图寻找异常行为或已知的恶意签名活动常见传感器：防火墙、入侵检测系统(IDS / IPS)、应用程序网关防病毒/反恶意软件、终端防护缺陷：安全传感器提供的威胁相关的连续事件流会产生大量噪音，不能凸显真正重要的威胁基于安全传感器原理：用适当上下文，在正确的时间提供正确的信息优势：显著减少检测时间，过滤噪音，减少误报，发现正在发生和即将发生的重大网络安全威胁基于威胁情报威胁情报的有效性得到高度认同 80.80% 2.10% 17.10% 威胁情报应用是否改善了企业安全与响应能力？改善没有不清楚来源：SANS，头豹研究院编辑整理威胁情报提高现有威胁检测工具的价值：使用威胁情报与现有的传感器结合，会缩短他们的平均检测时间和平均响应时间，扩展当前的安全工具的价值，并通过攻陷指标的机器分析发现前所未有的威胁大部分企业认为威胁情报有效性高：根据S A NS2 019年发布的报告，80.8 0 % 的受访者认为威胁情报能改善企业的安全状况，仅有 2.10 %受访者认为威胁情报是无效的22 2021 LeadLeo 威胁情报目前主要用于检测传统IOC，但TTP情报最有价值，是主动防御体系里的重要组成部分，TTP情报是未来威胁情报发展方向 3.2 威胁检测技术能力探析（3/3）来源：奇安信，安全牛，头豹研究院编辑整理威胁情报的分类及用途头豹洞察 TTP情报最有价值：TTP处于痛苦金字塔塔尖，对攻方而言，TTP反映了攻击者的行为，调整TTP的时间和金钱成本最高；于防守方，基于TTP的检测及响应给对手造成痛苦最高，因此TTP是最有价值的一类情报 TTP情报是主动防御的重要工具，是未来威胁情报的发展方向：比起其他IOC， TTP更能检测未知威胁，在“敌在探我” 阶段就检测到威胁，将网络攻击的损害降低到最小，也给安全团队足够时间作出反应，实际的提高防守方的安全能力网络特征：IP、域名、通信协议主机特征：Mutex、运行路径、注册表项事件特征：TTP 文件样本HASH 组织人员获取难度增加稳定性增强信息量增大进攻反制阶段的前沿技术，在中国未被广泛利用：根据TTP 情报，了解攻击对手的的手法，再利用大数据、机器学习等技术，找到相似攻击手法，从而推出攻击人员和组织最为广泛应用的情报IOC：属于“敌在攻我”类情报，是现实而紧迫的危险，是易于获取但利用价值不高的低级情报主动防御的关键：属于“敌在控我”类情报，是价值高但不易获取的高级情报23 2021 LeadLeo SOAR的核心能力是编排与自动化，通过整合人、工具和流程，提升应急相应能力，弥补了SIEM的短板 3.3 应急响应技术能力探析（1/2） SOAR核心特点及优势分析来源：IT168，奇安信，头豹研究院编辑整理描述 SOAR工作原理：将各类安全应急响应过程中的动作进行组合，将原始数据（主要来自 SIEM）作为剧本，按照剧本化的方式自动开展应急响应及追踪溯源工作。借助编排好的安全应急响应剧本，当安全事件发生时，系统将通过自动化的手段进行响应，减少人工干预 SOAR从全网整体安全运维的角度去考虑，提升整体安全响应效率：SOAR将分散的检测与响应机制整合起来，不仅从单点考虑，而是站在一个安全大脑的位置，调度各种资源，标准化流程，自动响应事件，优化整体效率 SOAR针对SIEM对安全人员的高度依赖和告警低质量泛滥两大问题，进行改善：SIEM一大问题是数据来源质量低，进而得出大量低价值告警，将正真有用的高价值告警淹没，SOAR 的智能分诊功能解