網路安全行業競爭格局之變
構建完善的安全防護體系,需要「高中低」三位一體能力,未來中高位積極防禦能力成為網路安全能力發展關鍵。
360企業安全曾提出,面對日益複雜的網路環境和層出不窮的網路攻擊威脅,政府和企業需要構建「低、中、高」三位能力的信息安全系統。
低位能力是傳統的安全防禦能力,包括傳統的終端安全、網路安全、上網行為和移動安全等等,是數據採集層也是命令執行層,低位產品市場競爭較為激烈;中位能力是對海量數據的建模與分析能力,包括安全運營和安全分析能力;
高位能力是雲端威脅情報與分析能力,能對中位和低位提供支撐和決策,就像人的「大腦」,負責複雜的思考和下達行為指令。
目前中位和高位的安全能力是信息安全企業普遍欠缺的,目前做的比較好的是互聯網公司以及華為,傳統企業安全公司相對落後。
預計未來低位安全即傳統邊界安全、終端安全將保持平穩增長,而中位、高位安全產品將獲得快速增長。
凸顯中位和高位能力的大數據安全分析產品如態勢感知、威脅情報、大數據安全防護、APT檢測增長迅速:
態勢感知平台分為政府部門使用的監管平台和企業使用的實施監測預警平台,目前在公安部、網信辦、金融、電信、能源等行業增長迅速。
態勢感知平台產品源於習主席在2016年4月19日在網路安全和信息化工作座談會上發表重要講話,為構建網路安全法律保障機制指明了方向,習主席提出:「要樹立正確的網路安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網路安全態勢,增強網路安全防禦能力和威懾能力」。
十三五規劃中明確將「全天候全方位感知網路安全態勢」列為健全網路安全保障體系要求。
態勢感知通報預警平台核心功能包括:等級保護、實時監測、威脅感知、通報預警、快速處置、偵查調查、追蹤溯源、情報信息、指揮調度,可以幫助用戶實時掌握全局網路安全態勢,實時開展預警通報、快速處置和網路安全綜合管理工作。
態勢感知平台是目前大數據安全領域規模增長最迅速的產品,據安全牛統計,2017年國內態勢感知市場規模約計20億人民幣,占整個安全市場的5%左右,預計2020年態勢感知整體市場規模將超過50億。
監管側態勢感知平台
在沒有態勢感知平台的時候,公安部和網信辦缺乏漏洞發現、安全事件通告、安全事件應急處理和預警的能力,因此出於監管需求,從公安部、網信辦到各省廳、地市公安局、網信辦都在快速部署態勢感知平台。
網路安全態勢感知與預警通報平台通常部署在地市公安局的核心網路機房,擁有需要部署硬體系統如伺服器、探針,還需要安全監測、管理軟體,配合大屏幕進行態勢監測數據分析和展示,並使用專線對重點單位站點及業務進行監測。
公安部和網信辦都擁有統一的數據介面規範,將逐步構建部、省、市三級網路安全威脅數據共享與交換機制,形成覆蓋全國的網路安全態勢感知與預警監測通報體系。
企業級態勢感知平台
企業級態勢感知平台基本是基於大數據架構構建的一套安全管理系統,對各種網路安全數據(來自內網和外網)進行分析處理,為安全管理者提供資產、威脅、脆弱性的相關管理,並能提供對威脅的事前預警、事中發現、事後回溯功能,貫穿威脅的整個生命周期管理。
目前企業級態勢感知平台在信息化程度較高的金融行業、電信行業部署較快。
伴隨態勢感知平台發展,威脅情報作為態勢感知平台有效輸入,獲得進一步快速增長。威脅情報由第三方專業機構提供的網路安全威脅數據,可進行傳輸交換、關聯分析、挖掘應用,以反映組織存在的網路威脅和安全影響,包括但不限於設備日誌、報警或描述威脅事件等情報消息。
威脅情報大致分為兩類
(1) 人讀情報,即提供給安全人員使用,主要描述行業綜合網路態勢的戰略情報和描述某次攻擊或者某一類攻擊戰術的TTP情報;
(2) 面向機器的可機讀情報,可機讀情報更多為安全產品賦能,例如態勢感知平台,使安全產品可以檢測出更多的關鍵性威脅,從而提高設備檢測和響應能力。當前國內威脅情報應用主要集中在IT成熟度比較高和安全需求較高的行業,如金融、政府、能源等大型企業。大部分威脅情報業務主要為「大數據安全分析平台」或態勢感知平台作支撐,和內部數據進行關聯分析,實現對網路威脅的全面感知。
根據2017年威脅情報的各種形態帶來的收入為5億到8億元,約佔整個安全市場的1.25%到2%,未來隨著大數據安全分析平台和態勢感知平台快速發展,2020年預計威脅情報市場規模有望超過12億元。
伴隨安全預測和積極防禦類網路安全產品快速增長,安全運營服務市場增長迅速。
過去針對網路安全基礎設施的防護的傳統安全服務、安全體系諮詢服務增長平穩。
根據IDC統計2018年中國網路安全服務整體市場規模約為8.4億美金,占網路安全服務總市場比例約為14%,相比美國安全服務市場佔比達到30%還有較大差距。
安全服務又分為安全諮詢、安全運營和安全集成三部分。大部分做網路安全公司都會提供針對關鍵基礎設施防護的安全服務,如風險評估服務、代碼安全審計、安全掃描服務、滲透測試服務、安全加固服務、應急響應服務等。
還有針對企業在部署網路安全產品前做諮詢規劃的服務,如等級保護諮詢服務、安全體系諮詢服務和安全培訓等等。
過去針對基礎設施防護安全的服務增長一直比較平穩,保持8%~10%的增長速度。
以態勢感知平台為代表的在各行業的快速拓展下,安全運營服務需求快速增長。
隨著以態勢感知平台、APT防護為代表的主動防禦類信息安全行業領導公司都紛紛推出網路安全運營駐場服務或者城市安全運營中心,幫助政府機關、企業進行專業的安全運維、數據分析支持,尤其是利用網路安全廠商大數據、AI能力提供事件分析與審計並做好預警服務。
普通客戶因為不具備對海量網路安全相關數據的分析能力,因此未來隨著政府和企業客戶網路安全系統越來越複雜,獲得數據也越來越複雜,對第三方運營服務需求也會逐步增加。
未來隨著政企對主動安全防護、預測性防護需求的提升和信息安全系統複雜化,所需高級安全服務需求也會提升。
除了做好基礎設施的網路安全防護,隨著信息安全預測性防護需求增加,如對抗式演習服務、基於威脅情報的預警響應服務和工業控制系統信息安全服務需求也會逐步增加。
大數據和人工智慧技術成為第三代網路安全技術核心網路安全技術發展分為三個階段
第一個階段是1987年-2000年,第一代網路安全技術核心是黑名單機制,策略是「非黑即白」。
這個階段病毒樣本數量很小,每年病毒數量1萬 ,平均到每天高峰時也就幾百個,增長速度很緩慢,多數電腦感染之後不是立刻發作,而是滯後幾天、幾周。
且這個時期人工分析病毒的特徵碼,在電腦里通過掃描文件進行匹配、查殺。
第二個階段是2001年-2015年,第二代網路安全技術白名單機制,策略是「非白即黑」,這個時期互聯網迅速普及,出現了能自我複製、自我傳播的蠕蟲病毒。
蠕蟲病毒可以自動掃描並利用系統漏洞和服務埠,藉助互聯網、企業內網、電子郵件、網站掛馬等方式進行傳播,數十分鐘就能蔓延至全球網路。
同時流氓軟體爆發,把木馬數量進一步推高到每日峰值時期的近1000萬個,導致病毒庫無法及時更新,互聯網安全公司利用搜索引擎、雲技術、AI等工具建立白名單文件資料庫,只要不在白名單中,就可能是新的木馬病毒,進而限制其敏感操作。
第三個階段是2015年之後,第三代網路安全技術核心是基於人工智慧的大數據行為分析。
2015年前後,APT攻擊成為主流,黑客利用已知或未知的系統漏洞,把惡意程序注入到系統白文件中,操縱系統文件對系統進行攻擊,讓安全軟體看上去是一個系統文件的正常操作,以躲避「查殺」。
第三代技術突破了終端和邊界的限制,通過儘可能全地收集大數據,對每個樣本、ID、IP、流量進行計算,判斷行為是否合法,把可疑行為找出來告警。
邊界防護智能化,下一代防火牆通過人工智慧深度分析,推算新的變種,準確檢測未知病毒/變種勒索病毒等威脅,同時雲端數據持續為本地設備更新安全規則。
隨著網路的發展,基於2-4層進行安全防護的傳統防火牆,已無法有效防護來自應用層的網路威脅,黑客越來越多的採用應用層攻擊方式突破傳統防火牆的防禦策略。
下一代防火牆除具備傳統防火牆基本訪問控制功能之外,WAF、IPS、防病毒等安全功能逐漸融合到一體化引擎中。
更重要的是下一代防火牆利用演算法自動化提取病毒行為特徵,依託機器學習的泛化能力,根據已知的變種特徵,通過人工智慧深度分析,推算新的變種,準確檢測未知病毒/變種勒索病毒等威脅。
以深信服下一代防火牆為例,其基於業務自學習的WAF引擎,採用機器學習方式,通過大量擬真的業務環境攻防演練,充分掌握業務特點及響應方式,實現業務內容的深度還原,大幅提高威脅識別率、降低誤判漏判;
並以人工智慧演算法,融合詞法、語法演算法,對威脅深度分析,防禦未知威脅。同時在雲端的安全雲腦持續為本地設備更新安全規則,持續增強防火牆對熱門威脅的檢測和防禦能力;
並結合安全專家的持續監督,不斷提煉演算法模型,導入到下一代防火牆設備,使防火牆智能不斷升級。
基於人工智慧查殺病毒的下一代終端安全EDR,智能檢測未知威脅。
以深信服下一代終端安全產品EDR為例,採用無特徵檢測技術,通過構建包含攻防專家、數據科學家和安全分析師在內的三位一體架構,並結合外部多維度威脅情報,使該引擎具備持續學習、自我進化能力,面對層出不窮的新威脅,可以幫助用戶更為有效的鑒定未知病毒,其檢出率已達到98%,同時該下一代終端安全應通過一體化統一管理方式進行應用,實現全網終端資產全面盤點,使得每一台終端上的資產信息清晰同時能夠對終端進行統一的管控,如合規審查等。
行業需求變化和技術變革引發網路安全行業競爭格局分化
安全行業競爭格局之變1
互聯網巨頭入局,投資併購協同生態發展,藉助資本力量和數據優勢獲得爆發性增長
資本加持,藉助人才優勢以及品牌力量,互聯網巨頭迅速在企業安全市場崛起。
以360、阿里巴巴、騰訊、百度為代表的互聯網公司都在幾年前就開始布局企業安全市場,尤其引發了行業人才爭奪戰並促進了行業工程師整體薪酬快速提升。
以360企業安全集團為例,過去3年融資金額達數十億元,伴隨資本推動大量招攬來自互聯網、傳統企業安全、外資背景信息安全公司的優秀技術和銷售人才,藉助自身在終端安全、大數據處理和分析、威脅情報領域優勢,快速拓展在黨政軍、金融、公安、電信等行業的信息安全市場,實現銷售額4年6倍的增長速度。
而阿里巴巴、騰訊也幾乎招攬了行業內最優秀的白帽黑客、對抗領域專家、頂尖的信息安全架構師等,從資本和人才上對傳統信息安全公司構成威脅。
以360企業安全、阿里云為代表的互聯網巨頭通過投資併購建立自己的網路安全生態,增強自身競爭優勢,未來網路安全市場巨頭間競爭逐步演變為生態競爭。
除去一些通用和普適性產品如防火牆、殺毒、上網行為管理、應用交付、數據安全等,網路安全領域存在大量客戶個性化需求和細分的網路安全產品品類,尤其是在大型解決方案和項目中,很難做到一家廠商提供齊備的安全產品,尤其在網路安全需求越來越多樣化的今天,因此通過投資併購手段將自身缺乏的網路安全產品納入到生態中共同發展,成為了互聯網巨頭過去幾年的發展策略。
過去4年360企業安全通過併購和投資了數十家企業,構建逐步龐大的網路安全航母,一方面完善自身的網路安全解決方案,一方面利用360企業安全大的平台與渠道,被投資公司也能獲得迅速成長。
阿里雲過去4年在國內外也有多次投資與併購,比較有名的投資標的包括安華金和、ThetaRay和安恆信息,同時阿里巴巴投資了以色列風投JVP,該風投投資了多家本土網路安全公司,藉助阿里雲龐大的用戶和未來逐步爆發的混合雲安全需求,阿里雲生態下公司也有望獲得高速增長。
安全行業競爭格局之變2
公有雲安全壓縮傳統企業安全市場,私有雲解決方案提供商安全業務增長迅速,市佔率逐步提升。
公有雲廠商提供較為完善的雲端基礎設施和網路安全防護產品,隨著中小企業上公有雲,公有雲安全將擠壓傳統線下企業網路安全市場。
公有雲廠商利用自身資源優勢提供DDoS高防IP、WAF、加密服務等,目前抗DDoS、WAF、漏洞掃描、主機安全、加密服務成為公有雲廠商標配的安全產品,並為中小客戶提供免費額度,目前有20萬用戶在使用阿里雲安全服務。
以阿里云為例,阿里雲依靠電商平台網路安全長期積累起來的經驗,目前雲安全產品線最全,用戶數最多。
以抗DDoS產品為例,中國網站40%目前都放在阿里雲上,阿里雲每天承受攻擊次數2000次,遭受300G以上的攻擊數量佔到全中國50%以上。
目前阿里雲盾目前可以45個安全功能和服務模塊,覆蓋了業務、運營、數據、網路等11個維度的產品,如果還是無法滿足所有客戶個性化的需求,也可以使用阿里雲上148家合作夥伴、350款安全產品,保證解決客戶的多樣化安全需求。
隨著中國企業不斷上雲,目前中國市場公有雲和私有雲滲透率在2018年達到7%,隨著越來越多的企業上公有雲尤其是中小企業,公有雲端安全產品將擠壓傳統線下企業網路安全市場。
私有雲領域佔據份額前二的華為、新華三近年在企業安全市場一直保持非常高的增長速度,2018年華為和新華三企業網路安全收入規模都在20億以上。
華為和新華三因為私有雲產品線齊全、技術實力強,都主打「雲網融合」一體化解決方案,而網路安全作為混合雲集成方案中重要模塊進行銷售,尤其在重視安全的政府、電信、教育、金融等領域取得了較高的安全市場份額。
目前兩家公司在硬體防火牆、IDPS等標準化產品上增速較快且市佔率較高。
新華三2015~2017年安全業務整體增速都在50%以上,2017Q3~2018Q3新華三防火牆收入增速達到48.1%,IDPS收入增長45.0%。
而華為2016~2018年安全業務增速也高於網路設備30%的增長速度。
新華三的雲安全2.0方案,包括虛擬化的防火牆、負載均衡、入侵檢測、WAF、堡壘機,等軟體定義安全的虛擬化產品,已經是一套較為完善的基礎設施和網路防護解決方案。
由於大客戶越來越依靠私有雲解決方案提供商提供一整套交鑰匙方案(包含網路、計算、安全等),因此私有雲產品和解決方案提供商在硬體和標準化程度較高的網路安全設備上具有較大優勢。
未來雲安全將保持快速增長,雲平台安全、雲基礎設施及虛擬化安全、雲用戶安全以及雲端態勢感知需求將得到快速增長,數據安全、應用安全等雲用戶側安全產品給第三方信息安全市場空間較大。
Gartner預測,2017年全球雲安全市場規模達到58億美金,同比增長21%,預計2020年全球雲安全市場將達到90億美金,年複合增長速15%,而中國雲安全產品市場增長速度在2018年達到40%以上,增速顯著高於全球。
雲安全包含基礎的雲平台基礎設施安全和虛機安全,主要涉及租戶隔離、身份管理、雲訪問控制、審計服務、數據加密服務和藉助雲邊界產品進行東西南北向的全方位防護,進行更智能的流量調度,實時檢測整個安全體系的威脅情況,雲平台和私有雲廠商更注重基礎性防護。
而雲用戶側和雲安全資源池的安全架構更複雜,也給了第三方網路安全和應用安全公司更多發展空間。
為了保證雲用戶安全需要保障大數據層的安全產品如保障存儲安全、保障用戶間隔離、訪問控制、操作審計,同時也需要保障業務平台、應用系統安全的產品如釣魚防護、後門防護、業務審計、資料庫類安全產品等。
安全行業競爭格局之變3
2016~2018年全球信息安全融資額不斷創記錄,擁有高位和中位網路安全能力公司崛起,業務安全領域發展迅速。
2016~2017年全球網路安全融資額和投資活動在數量不斷創歷史新高。
根據中國產業信息網,2016年全球網路安全行業融資超過400起交易,共計35億美元的交易額,2017年風投資本家給全球網路安全公司投資的資金量達到了去年的兩倍,達到76億美元,與網路安全相關的投資活動數量也增長到548起,成為網路安全初創企業風險資本融資創紀錄的一年。
而2018年一季度全球網路安全領域共發起176起融資,金額達到16.4億美元。
從投融資和被併購的熱點細分領域可以看出,身份識別與訪問管理、高級威脅分析、數據安全、內容安全、Web安全、安全託管服務都是熱門的投資領域。
安全防護體系逐步健全,政府和企業越來越注重數據安全和積極防禦,因此做態勢感知產品、威脅情報、APT防護及數據安全創業公司增長迅速。
基礎架構安全、被動防禦市場增速放緩,但是積極防禦、威脅情報等產品迅速增長。
不僅傳統安全公司和互聯網公司大量投入積極防禦型和大數據安全產品的研發,創業團隊也基於自己技術積累和資本槓桿,獲得快速增長,如在APT防護、威脅檢測引擎領域領先的安天科技,在數據安全和金融態勢感知平台領先的觀安,在態勢感知平台和數據安全領先的安恆信息等。
由於網路邊界逐步消失,零信任網路安全模型越來越被重視和廣泛應用,基於金融、電信、公安和互聯網等行業的業務安全快速增長,身份認證和訪問、反欺詐等領域增長迅速。
雲計算、移動互聯的快速發展導致傳統內外網邊界模糊,越來越無法基於物理邊界構築安全基礎設施,因此企業安全的零信任模型是通過對人、終端和系統都進行識別、訪問控制、跟蹤實現全面的身份化,這樣身份就成為了網路安全新的邊界,以身份為中心的零信任安全成為了網路安全發展的必然趨勢,2017年全球身份認證與訪問市場達到88億美金,並且將在2018~2020年保持13%的年複合增速。
政府、涉密和軍隊領域身份認證與訪問發展較早,近年隨著金融、電信、公安等反詐騙、反欺詐需求提升,同時《網路安全法》中明確規定「國家實施網路可信身份戰略,支持研究開發安全、方便的電子身份認證技術,推動不同電子身份認證之間的互認。」針對這些垂直行業的身份認證和訪問創業公司也不斷湧現。
隨著零信任架構的發展,安全且簡化的身份認證技術,必然會成為未來趨勢,預計2020年中國身份認證規模可超過25億元,目前身份認證國內領先的創業公司包括芯盾時代、眾人科技、九州雲騰等。
在新需求、新政策、新技術的共同促進下,2016年以後網路安全行業擺脫以前純粹合規性需求驅動而進入加速發展期,未來網路安全占信息化開支佔比有望提升到5%以上。
2014年開始政府和企業進行數字化轉型、信息系統逐步上雲過程中,企業網路邊界逐漸消失,「雲大物移」新場景驅動下網路安全在防護對象、防護思想和防護技術上均發生較大變化,網路安全產品種類也大幅增加,網路安全逐步做到與IT信息系統同步規劃,促進信息安全佔IT支出佔比逐步提升至5%以上。
同時2017年~2019年《網路安全法》、等保2.0標準的推出,進一步擴大監管範圍提升了監管標準,促進了網路安全市場整體快速增長尤其是態勢感知類產品和主動防禦市場的快速增長。
新一代網路安全在大數據分析、人工智慧技術新技術的發展使得網路安全防護思想、戰略發生了變化,催生了網路安全行業新的投資機遇,促進態勢感知、威脅情報、數據安全、身份認證與訪問等網路安全新產品快速發展。
2019年預計中國網路安全市場規模將達到602億,保持21%的增長速度,IDC預計2018~2020年中國網路安全市場年複合增速將超過23%,新一代網路安全產品增長速度將遠超傳統邊界安全產品。
面對日益複雜的網路環境和層出不窮的網路攻擊威脅,政府和企業需要構建「低、中、高」三位能力的信息安全系統,預計未來低位安全即傳統邊界安全、終端安全將保持平穩增長,而中位、高位安全產品將獲得快速增長,因此未來擁有大數據能力、威脅情報能力,同時雲安全產品、主動防禦產品佔比較高的網路安全公司能獲得超過行業增速的增長速度。
低位能力強調基礎架構的防護和縱深防禦,中高位能力強調網路安全企業對海量數據的建模與分析能力、安全運營和安全分析能力、雲端威脅情報與分析能力,能對基礎設施防護產品提供支撐和決策。
目前中位和高位的安全能力是信息安全企業普遍欠缺的,傳統企業安全公司相對落後,互聯網公司和基於大數據與情報能力的創業公司在中高位防禦能力上有一定優勢。
動防禦和預測類安全產品如態勢感知、威脅情報分析、安全合規管理、安全配置核查等細分領域在近年取得快速增長。
尤其是態勢感知平台,2017~2018年政府部門監管側態勢感知平台、企業端主動防禦用態勢感知平台項目發展較快,幾乎所有信息安全公司都參與到這個安全管理和監測平台建設中。
隨著態勢感知技術發展和強調積極防禦,信息安全行業領導公司都紛紛推出網路安全運營駐場服務或者城市安全運營中心,利用網路安全廠商大數據、AI能力提供事件分析與審計並做好預警服務。
普通政企客戶因為不具備對海量網路安全相關數據的分析能力,因此未來隨著政府和企業客戶網路安全系統越來越複雜,獲得數據也越來越複雜,對第三方運營服務需求也會逐步增加。
網路安全行業正在經歷一個快速變革期,除了需求、產品、防護理念變化,行業競爭格局也在經歷重大改變,我們預計2019~2022年會逐步看到國內網路安全收入排名前20的公司發生變化,同時網路安全巨頭走向生態化和平台化競爭。
依靠資本加持,藉助人才優勢以及品牌力量,互聯網巨頭迅速在企業安全市場崛起。以360、阿里巴巴、騰訊為代表的互聯網公司網路安全收入增長較快,且引發了行業人才爭奪戰並促進了行業工程師整體薪酬快速提升。
同時以360企業安全、阿里云為代表的互聯網巨頭通過不斷投資併購在細分領域有獨特優勢的網路安全企業建立自己的網路安全生態體系,增強自身競爭優勢,未來網路安全市場巨頭間競爭逐步演變為生態競爭。
目前中國市場公有雲和私有雲滲透率在2018年達到7%,隨著越來越多的企業上公有雲尤其是中小企業,公有雲端安全產品未來將擠壓傳統線下企業網路安全市場。
而私有雲設備商如華為和新華三因為私有雲產品線齊全、技術實力強,主打「雲網融合」一體化解決方案,而網路安全作為混合雲集成方案中重要模塊進行銷售,尤其在重視安全的政府、電信、教育、金融等領域取得了較高的安全市場份額。
未來隨著基礎架構安全、被動防禦市場增速逐步放緩,積極防禦、威脅情報等產品迅速增長,基於積極防禦類、大數據分析類安全產品的創業團隊也獲得快速增長。
因此未來隨著網路安全行業持續變革,網路安全公司、互聯網公司、混合雲提供商以及創業公司在規模和擴張速度上會逐步拉開差距,新白馬和黑馬投資機會都會湧現。
轉自丨 信息安全與通信保密雜誌社
作者丨 石澤蕤
研究所簡介
國際技術經濟研究所(IITE)成立於1985年11月,是隸屬於國務院發展研究中心的非營利性研究機構,主要職能是研究我國經濟、科技社會發展中的重大政策性、戰略性、前瞻性問題,跟蹤和分析世界科技、經濟發展態勢,為中央和有關部委提供決策諮詢服務。「全球技術地圖」為國際技術經濟研究所官方微信賬號,致力於向公眾傳遞前沿技術資訊和科技創新洞見。
地址:北京市海淀區小南庄20號樓A座
電話:010-82635247/6558
微信:iite_er
※特朗普將發布行政令,全面禁用中國5G網路設備
※歐盟高票通過外國投資審查議案
TAG:全球技術地圖 |