数世咨询:网络安全态势感知能力指南

3年前

2020年3月19日,数字安全领域第三方调研机构数世咨询发布《网络安全态势感知能力指南》。本报告在业界首次提出能力点阵的概念,从技术创新力与市场执行力两大维度,对国内主流态势感知提供商进行了侧写。同时,报告还对态势感知的市场、技术与应用等层面进行了梳理和描述,供业内人士参考。

一、能力图

011.jpg

二、市场指南

态势感知在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段。在技术分类上属于《网络安全能力总分类》八大领域中的“框架平台”。据本次调研统计,2019年国内态势感知市场规模约在32亿元左右,预计2021年将达到54亿元左右。

态势感知从应用场景的角度可分为:政府监管、行业监管、企业运营。从能力提供角度可分为:产品、解决方案、服务及平台。以自身产品为主的态势感知体系的提供者主要为大型综合性厂商和设备厂商, 解决方案主要由安全软件能力和攻防能力较强的厂商提供,态势感知运营服务则由行业用户长期经验和安全服务人员数量庞大的厂商提供,平台类的态势感知则由具备大型用户资源但本身不提供具体安全能力的厂商提供。以上四类提供方式不一定独立,尤其在综合性厂商中互有重叠与交叉。

态势感知体系的功能模块主要包含:资产管理、漏洞与威胁检测、配置核查、安全合规、日志管理、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、通报预警、可视化展示等。近两年,随着用户对态势感知能力要求的不断提升, 一些新兴技术与框架如:EDR(端点检测与响应)、SOAR(安全编排自动化与响应)、威胁捕捉、加密流量检测、ATT&CK框架等也逐渐加入到态势感知能力组成中。

本次参与态势感知调研的安全厂商共38家,入选态势感知能力点阵的安全厂商有23家,分别为: 兰云科技、安信天行、安全狗、盛华安、盛邦安全、华青融天、永信至诚、东软、迪普科技、PCSA行业云联盟、安天、恒安嘉新、观安信息、瀚思科技、新华三、天融信、启明星辰、安恒信息、奇安信、华为、绿盟科技、亚信安全、深信服。未入选的15家厂商,因态势感知系统更偏向于某一细分技术,或者通用的网络与信息系统场景,如移动态势感知、工业态势感知、数据态势感知等。还有一些厂商的态势感知体系与本报告所定义的“态势感知”概念不符,因此未能进入本次态势感知能力点阵图。

三、技术与应用指南

关键发现

态势感知并非是一个系列的产品套装,或是大量堆砌起来的安全设备,而是由多种能力与机制结合而成的综合性安全体系。

态势感知体系的三个核心技术支撑,信息资产管理、大数据收集与关联分析、安全管理与运营。

态势感知从应用场景可分为政府监管、行业监管、企业运营,从能力提供可分为产品、解决方案、服务和安全平台。

产品线完整性、产品及其数据的对接、大数据分析、安全服务和对业务的理解,是态势感知能力优势的衡量点。

态势感知的落地难点在于,缺乏体系化思维、检测分析能力不足、不同产品的对接成本高和安全运营人员的短缺。

六大发展趋势:安全平台化、完整体系化、双人智能化、托管服务化、环境融合化和应用场景化。

一)态势感知的定义与类型

1.态势感知的定义

数世咨询对网络安全态势感知的定义如下:

网络安全态势感知是一种由内外部多维数据驱动的,综合性的安全管理与运营体系。该体系对网络安全态势相关的所有安全要素进行收集并处理,结合大数据平台进行智能化关联分析,以实现对网络安全态势的全面感知、主动防护、风险预测和联动响应。

2.态势感知的三大技术支撑

本指南认为,以下三种技术支撑为态势感知体系的必要条件:

资产管理:对网络空间资产的盘点、登记、梳理与掌控,是整个态势感知体系最为底层的基础。没有准确的资产管理,就没有有效的数据分析。

大数据分析:充分结合设备、系统及应用的日志、漏洞信息、网络流量等内部数据和威胁情报等外部数据,进行关联分析。

安全管理与运营:持续的预测、保护、检测与响应,围绕着安全管理与运营中心展开。任何一个复杂体系的良好运转,均无法离开统一指挥和联动执行。

02.jpg

3.态势感知的分类

态势感知能力可以从两个角度进行分类:从组织和机构的落地场景角度分为三大类,从安全厂商能力提供的角度,分为四类。

应用场景角度

政府监管:政府监管部门对监管范围内的全网网络安全状态进行监督管理,包括对攻击、威胁与风险态势的掌握,以及定位安全事件和对责任方进行通告。

行业监管:行业监管类的态势感知,主要用于对带有行业性质的所属下级单位的监督管理。掌握本行业的安全态势,并对本行业下属机构的安全工作进行指导性的组织与协调。

机构运营:运营类态势感知主要用于机构和企业自身的网络安全管理与保障工作。

能力提供角度

产品:一些规模较大的综合性安全厂商,自身具备比较完整的安全产品线,基于自有设备打造出一套相对标准化的态势感知体系。

解决方案:相对于产品能力的标准化,解决方案偏重于定制化。用户或基于自身需求的特殊性,需要一套适合自身业务的安全解决方案,或已经具备了一定的安全基础设施,需要升级、补充或适配。

服务:对安全态势的分析、决策、响应依然需要大量的安全人才进行人工处理。因此,安全厂商在提供态势感知架构的同时,也会提供相应的安全服务作为运营支撑。服务能力的输出一般有驻场和远程运维两种形式。

平台:平台提供者只负责提供态势感知的基础架构,这个架构根据用户需求,可以对接任何主流安全设备或安全工具。 

二)态势感知能力优势衡量

不同安全厂商都是从各自的优势发展态势感知能力。可以从以下几个方面衡量态势感知能力的优势。

1.产品线完整性

产品线完整性、产品及其数据的对接、大数据分析、安全服务和对业务的理解,是衡量态势感知能力优势的五个关键点。

2.产品及其数据的对接

任何一家提供商都无法具备所有的安全能力,或是在大多数安全能力上做到最好。因此,能打通各种安全设备与工具及相关数据的能力是一个非常重要的考量点。

3.大数据分析

大数据分析是态势感知达成目标所需具备的最为关键的核心能力,因此也是衡量态势感知能力的重要标杆。如检出率、精准度、可见性、关联性、取证、溯源等。 

4.安全服务

虽然机器学习已经得到广泛的应用,但想几年内达到高度智能化的程度还是个未知数。目前的态势感知体系,很大程度上需要依靠安全分析人员和运维人员。 

5.对业务的理解

不同用户的计算与业务环境,面临的风险不同,需求也不尽相同。在某些行业具备多年行业经验和技术积累的安全厂商,具备优势明显的竞争力。

三)态势感知的落地难点

在态势感知落地的过程中,存在以下问题:

1.缺乏体系化思维

态势感知是一个体系化的能力输出,而不是销售或购买安全产品。是一个持续运营的长期机制,而不是阶段性的应付差事。是一种从上到下的规划,而不是打补丁式的救急。这种认知转变需要监管机构的引导,以及安全厂商和用户的共同努力。

2.检测分析能力亟待提升

大幅度降低误报率和发现高级威胁的能力,是整个行业亟待解决的通用性问题。这个问题并非简单地依靠突破某个技术难点,如人工智能,就能解决的。它需要整体规划、联动协调、技术水平、产品成熟、充足资源等综合能力与实力的提高。

3.不同产品的对接成本高

许多大型机构希望安全厂商能够完整地打包绝大部分甚至所有的安全产品,从而更方便、快速地搭建统一的安全体系。但也有许多企业更愿意选购不同厂商的优秀安全产品,有机的补充到原有体系中去。然而,国内缺乏统一标准,不同厂商的产品之间存在着数据格式不相同,接口难以打通的问题,最终影响态势感知的落地。

4.安全运营人员短缺

整个业界普遍缺乏安全人才,尤其是兼具行业经验和安全技术的人才。而态势感知体系离开了人,就变成了一堆无用的设备。安全厂商不得不派出自己的员工来承担一部分甚至是很大一部分的安全运营工作,一定程度上提高了态势感知的落地成本。未来,除了大量的人才培养供给以外,有望通过安全托管服务的形式,部分的解决这一难题。

四)未来发展趋势

态势感知的发展趋势可以概括为六个“化”:

1.安全平台化

安全的复杂性会驱动态势感知体系不仅要支持更多的安全产品,还要尽量容纳在某些细分技术上最优秀的安全产品。因此未来的一个发展方向是平台化,出现整体性的安全平台。提供者本身并不输出安全能力,只提供对接各类优秀产品的安全平台。

2.完整体系化

完整是指未来会有越来越多安全能力和新兴安全技术纳入到整个态势感知的体系中来,形成功能的多样化和完整性。体系则是指,在核心功能和核心理念标准化的基础上,根据不同的业务环境和组织需求形成有效的安全框架。在框架之上,进一步部署其他安全产品,从而回归到产品。遵循“从产品到体系,再从体系到产品“的商业应用发展规律。

3.双人智能化

智能化与安全人才的增长是同步的。安全运营人才的缺乏会刺激智能化安全运营的需求,而随着安全运营人才数量的增长,能为智能安全运营提供更多的学习样本和更精确的模型。当下的态势感知主要依赖于人类智能,未来则会形成人工智能和人类智能并重的智能化体系。强人工智能时代,在生活及商业应用上可能性很大,但在安全对抗上不可预期。

4.托管服务化

安全人才短缺的状况很可能长期存在,远程服务化可以解决因为人员不足带来的安全能力问题和成本问题。由托管服务提供商提供态势感知运营服务,包括现场服务与远程托管两种。后者在云数据中心逐渐普及后,市场将会快速变大。

5.环境融合化

态势感知体系天然地具备覆盖全数字空间资产的倾向。数据上,不仅仅局限于安全数据,还可以包括流量的走势、业务数据的流动趋势、相关设备的性能情况等等。更重要的是,随着信息技术、物联网和运营技术(IT+IoT+OT)的融合趋势,最终会形成一个CPS(Cyber-Physical System,网络与实体系统)的大环境。在CPS的环境下,态势感知将会有巨大的应用前景。

6.应用场景化

态势感知能力一方面会上升到全领域,另一方面会在场景层面更加细化:针对不同的应用领域场景,在核心的功能和核心理念之上,进化出场景化的态势感知,如数据态势感知、移动态势感知、工业互联网态势感知等。

通过这六个进化方向,态势感知体系将成为是一个在大量安全厂商,甚至是各类信息技术厂商,通力合作下的大数据分析平台以及运营中心。向上层发展将囊括CPS环境,向下层发展将细化不同领域的态势感知。在人工智能和人类专家的双重加持下,将不同的安全能力和业务能力结合,进一步优化组织的生产和激发业务的拓展能力。


作者:

产业与市场分析师:左晶 

技术与应用分析师:潘颉阳