市场洞察力报告:金融行业安全有效性验证

1年前

1.png

前言

近年来,随着“三法一条例”等上位法的陆续颁布,区域、行业落地实施细则的跟进出台,“等保”、“密评”等测评要求的更新迭代,结合国际形势与地缘政治因素的潜在影响,各级大型攻防演练活动的正面促进,国内数字安全整体水平加速提升。

在此过程中,以金融、能源、运营商等“关基”行业为代表的一线安全用户,开始出现“如何评判已有安全手段是否有效”的需求,即从“有没有”到“行不行”,再到“好不好”,需要一个能够可度量的验证方案。为此,数世咨询开展调研并发布了能力指南报告《持续评估定义安全运营》,对这一细分领域进行了初步调研。

本报告选取“关基”行业中最具代表性的“金融”为目标行业,开展进一步调研,希望发现更具洞察性的市场特点与发展趋势。

接下来,数世咨询还将会继续深入各代表性行业,对安全有效性验证这一新兴细分领域持续跟进调研。

 

勘误与交流,请联系:

主笔分析师 刘宸宇

liuchenyu@dwcon.cn


关键发现

安全有效性验证应以行业安全运营最佳实践为基础;


金融行业已经率先出现了较为普遍的安全有效性验证需求;


金融行业安全有效性验证相关投入会持续增长;


安全有效性验证将会向能源、电力、运营商等更多关基行业普及扩散;

概念描述

数世咨询发布的《持续评估定义安全运营》报告中所述,“持续评估定义安全运营” (Continuous Evaluation Defines Security Operation)是指:基于实战化最佳实践用例,对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作,并提供合理化改进建议,进而提升安全运营整体效能的解决方案。


“持续评估定义安全运营”目前国内有行业最佳实践、BAS+EASM、仿真靶场等三条技术路线。安全有效性验证即是基于“行业最佳实践”这一路线的。


我们对安全有效性验证定义如下:

安全有效性验证 Cybersecurity Validation


基于行业安全运营最佳实践形成的验证用例,针对机构当前整体安全运营能力中的各类型、各领域安全设备、产品及规则策略等进行有效性验证的解决方案。


安全有效性验证应以行业安全运营最佳实践为基础。因此,安全有效性验证虽然用到了入侵攻击模拟(Breach Attack Simulation - BAS)技术,但不仅限于BAS,在攻击模拟之外,安全有效性验证还会对资产、网络、终端等IT环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证,因此CV重点还会关注安全的一致性,例如通过自动化审计方式对安全设备的策略进行验证。

市场洞察

数世咨询发布的《持续评估定义安全运营》报告中所述,2022年持续评估与验证市场规模已过亿元,同比增长率达到了440%,预计2023年可达3亿元。


同时报告中按照机构用户所处行业划分,行业需求占比排在前三位的是:金融、政府监管、能源电力。如下图所示:


image008.png                       

(图表:持续评估与验证行业分布2022)


从图表中可以看出,安全工作的有效性验证需求,金融行业占比最高,这在一定程度上表明,金融行业已经率先出现了较为普遍的安全有效性验证需求。

据调研,其原因在于,相比其他行业,金融行业:


l  有更为统一的合规要求与安全标准


l  有更高的业务连续性与安全需求


l  金融机构特别是银行、证券等头部安全团队更为完备,安全工作的基础相对较高


我们综合金融行业中安全防护有效性验证产品的企业营收,poc 测试覆盖,品牌影响力,心智占有力等进行了交叉调研汇总,知其安,360 数字安全,奇安信,盛邦安全,锦行科技在金融行业安全有效性验证这一细分赛道排名靠前。

据本次调研,2023年安全有效性验证国内市场规模约为五千万元。具体来说:


l  金融行业安全有效性验证的供应商相对集中,少部分头部企业获取了行业中的大部分订单;


l  相比“BAS+EASM”这一攻防驱动的技术路线,基于金融行业最佳实践的“安全有效性验证”这一路线,在金融同行业可复制性更高;


l  整个细分市场并未形成完全垄断式的格局,随着中小金融机构的安全水平不断提升,安全有效性验证需求持续出现,加之能力企业多条技术路线的整合,整个细分市场仍有充分的成长空间。

未来展望

在数字化依赖程度不断提高、国际形势暂未明显好转的态势下,我们认为安全有效性验在金融行业的发展会有以下趋势:


l  金融行业具有典型的强监管属性,因此担负安全监督管理职能的相关机构,会借助安全有效性验证对行业业务单位实施有效的安全监测与检测;


l  金融行业用户特别是安全体系建设已经较为完备的机构,会在安全有效性验证上持续加强建设,用度量的手段验证自身安全水平,因此相关投入会持续增长;


l  由于安全有效性验证以行业最佳实践为基础,因此随着基于最佳实践的测试用例的数量的增加,我们可以预见LLM大语言模型技术的应用,会大大提升安全有效性验证的效率与效果;


l  安全有效性验证在头部一线用户得到实践后,安全运营体系的最后一环得以补全,未来“一体化的安全运营及验证能力”将以整体解决方案的方式向腰部及以下中小金融行业客户赋能;


l  随着安全有效性验证在金融行业的深入实践,未来这一细分赛道将会向能源、电力、运营商等更多关基行业普及扩散,国内数字安全整体水平将进一步提升。