查看原文
其他

网络安全行业研究报告

构建完善的安全防护体系,需要“高中低”三位一体能力,未来中高位积极防御能力成为网络安全能力发展关键

360企业安全曾提出,面对日益复杂的网络环境和层出不穷的网络攻击威胁,政府和企业需要构建“低、中、高”三位能力的信息安全系统。

低位能力是传统的安全防御能力,包括传统的终端安全、网络安全、上网行为和移动安全等等,是数据采集层也是命令执行层,低位产品市场竞争较为激烈;中位能力是对海量数据的建模与分析能力,包括安全运营和安全分析能力;

高位能力是云端威胁情报与分析能力,能对中位和低位提供支撑和决策,就像人的“大脑”,负责复杂的思考和下达行为指令。

目前中位和高位的安全能力是信息安全企业普遍欠缺的,目前做的比较好的是互联网公司以及华为,传统企业安全公司相对落后。

预计未来低位安全即传统边界安全、终端安全将保持平稳增长,而中位、高位安全产品将获得快速增长。

凸显中位和高位能力的大数据安全分析产品如态势感知、威胁情报、大数据安全防护、APT检测增长迅速:

态势感知平台分为政府部门使用的监管平台和企业使用的实施监测预警平台,目前在公安部、网信办、金融、电信、能源等行业增长迅速。

态势感知平台产品源于习主席在2016年4月19日在网络安全和信息化工作座谈会上发表重要讲话,为构建网络安全法律保障机制指明了方向,习主席提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”。

十三五规划中明确将“全天候全方位感知网络安全态势”列为健全网络安全保障体系要求。

态势感知通报预警平台核心功能包括:等级保护、实时监测、威胁感知、通报预警、快速处置、侦查调查、追踪溯源、情报信息、指挥调度,可以帮助用户实时掌握全局网络安全态势,实时开展预警通报、快速处置和网络安全综合管理工作。

态势感知平台是目前大数据安全领域规模增长最迅速的产品,据安全牛统计,2017年国内态势感知市场规模约计20亿人民币,占整个安全市场的5%左右,预计2020年态势感知整体市场规模将超过50亿。

(1) 监管侧态势感知平台:

在没有态势感知平台的时候,公安部和网信办缺乏漏洞发现、安全事件通告、安全事件应急处理和预警的能力,因此出于监管需求,从公安部、网信办到各省厅、地市公安局、网信办都在快速部署态势感知平台。

网络安全态势感知与预警通报平台通常部署在地市公安局的核心网络机房,拥有需要部署硬件系统如服务器、探针,还需要安全监测、管理软件,配合大屏幕进行态势监测数据分析和展示,并使用专线对重点单位站点及业务进行监测。

公安部和网信办都拥有统一的数据接口规范,将逐步构建部、省、市三级网络安全威胁数据共享与交换机制,形成覆盖全国的网络安全态势感知与预警监测通报体系。

(2) 企业级态势感知平台:

企业级态势感知平台基本是基于大数据架构构建的一套安全管理系统,对各种网络安全数据(来自内网和外网)进行分析处理,为安全管理者提供资产、威胁、脆弱性的相关管理,并能提供对威胁的事前预警、事中发现、事后回溯功能,贯穿威胁的整个生命周期管理。

目前企业级态势感知平台在信息化程度较高的金融行业、电信行业部署较快。

伴随态势感知平台发展,威胁情报作为态势感知平台有效输入,获得进一步快速增长。威胁情报由第三方专业机构提供的网络安全威胁数据,可进行传输交换、关联分析、挖掘应用,以反映组织存在的网络威胁和安

全影响,包括但不限于设备日志、报警或描述威胁事件等情报消息。

威胁情报大致分为两类:

1) 人读情报,即提供给安全人员使用,主要描述行业综合网络态势的战略情报和描述某次攻击或者某一类攻击战术的TTP情报;

2) 面向机器的可机读情报,可机读情报更多为安全产品赋能,例如态势感知平台,使安全产品可以检测出更多的关键性威胁,从而提高设备检测和响应能力。当前国内威胁情报应用主要集中在IT成熟度比较高和安全需

求较高的行业,如金融、政府、能源等大型企业。大部分威胁情报业务主要为“大数据安全分析平台”或态势感知平台作支撑,和内部数据进行关联分析,实现对网络威胁的全面感知。

根据2017年威胁情报的各种形态带来的收入为5亿到8亿元,约占整个安全市场的1.25%到2%,未来随着大数据安全分析平台和态势感知平台快速发展,2020年预计威胁情报市场规模有望超过12亿元。

伴随安全预测和积极防御类网络安全产品快速增长,安全运营服务市场增长迅速

过去针对网络安全基础设施的防护的传统安全服务、安全体系咨询服务增长平稳。

根据IDC统计2018年中国网络安全服务整体市场规模约为8.4亿美金,占网络安全服务总市场比例约为14%,相比美国安全服务市场占比达到30%还有较大差距。

安全服务又分为安全咨询、安全运营和安全集成三部分。大部分做网络安全公司都会提供针对关键基础设施防护的安全服务,如风险评估服务、代码安全审计、安全扫描服务、渗透测试服务、安全加固服务、应急响应服务等。

还有针对企业在部署网络安全产品前做咨询规划的服务,如等级保护咨询服务、安全体系咨询服务和安全培训等等。

过去针对基础设施防护安全的服务增长一直比较平稳,保持8%~10%的增长速度。

以态势感知平台为代表的在各行业的快速拓展下,安全运营服务需求快速增长。

随着以态势感知平台、APT防护为代表的主动防御类信息安全行业领导公司都纷纷推出网络安全运营驻场服务或者城市安全运营中心,帮助政府机关、企业进行专业的安全运维、数据分析支持,尤其是利用网络安全厂商大数据、AI能力提供事件分析与审计并做好预警服务。

普通客户因为不具备对海量网络安全相关数据的分析能力,因此未来随着政府和企业客户网络安全系统越来越复杂,获得数据也越来越复杂,对第三方运营服务需求也会逐步增加。

未来随着政企对主动安全防护、预测性防护需求的提升和信息安全系统复杂化,所需高级安全服务需求也会提升。

除了做好基础设施的网络安全防护,随着信息安全预测性防护需求增加,如对抗式演习服务、基于威胁情报的预警响应服务和工业控制系统信息安全服务需求也会逐步增加。

大数据和人工智能技术成为第三代网络安全技术核心网络安全技术发展分为三个阶段:

第一个阶段是1987年-2000年,第一代网络安全技术核心是黑名单机制,策略是“非黑即白”。

这个阶段病毒样本数量很小,每年病毒数量1万+,平均到每天高峰时也就几百个,增长速度很缓慢,多数电脑感染之后不是立刻发作,而是滞后几天、几周。

且这个时期人工分析病毒的特征码,在电脑里通过扫描文件进行匹配、查杀。

第二个阶段是2001年-2015年,第二代网络安全技术白名单机制,策略是“非白即黑”,这个时期互联网迅速普及,出现了能自我复制、自我传播的蠕虫病毒。

蠕虫病毒可以自动扫描并利用系统漏洞和服务端口,借助互联网、企业内网、电子邮件、网站挂马等方式进行传播,数十分钟就能蔓延至全球网络。

同时流氓软件爆发,把木马数量进一步推高到每日峰值时期的近1000万个,导致病毒库无法及时更新,互联网安全公司利用搜索引擎、云技术、AI等工具建立白名单文件数据库,只要不在白名单中,就可能是新的木马病毒,进而限制其敏感操作。

第三个阶段是2015年之后,第三代网络安全技术核心是基于人工智能的大数据行为分析。

2015年前后,APT攻击成为主流,黑客利用已知或未知的系统漏洞,把恶意程序注入到系统白文件中,操纵系统文件对系统进行攻击,让安全软件看上去是一个系统文件的正常操作,以躲避“查杀”。

第三代技术突破了终端和边界的限制,通过尽可能全地收集大数据,对每个样本、ID、IP、流量进行计算,判断行为是否合法,把可疑行为找出来告警。

关注微信公众号“报告研究所” ( 公众号ID: touzireport) 获取更多深度行业研究报告。

边界防护智能化,下一代防火墙通过人工智能深度分析,推算新的变种,准确检测未知病毒/变种勒索病毒等威胁,同时云端数据持续为本地设备更新安全规则。

随着网络的发展,基于2-4层进行安全防护的传统防火墙,已无法有效防护来自应用层的网络威胁,黑客越来越多的采用应用层攻击方式突破传统防火墙的防御策略。

下一代防火墙除具备传统防火墙基本访问控制功能之外,WAF、IPS、防病毒等安全功能逐渐融合到一体化引擎中。

更重要的是下一代防火墙利用算法自动化提取病毒行为特征,依托机器学习的泛化能力,根据已知的变种特征,通过人工智能深度分析,推算新的变种,准确检测未知病毒/变种勒索病毒等威胁。

以深信服下一代防火墙为例,其基于业务自学习的WAF引擎,采用机器学习方式,通过大量拟真的业务环境攻防演练,充分掌握业务特点及响应方式,实现业务内容的深度还原,大幅提高威胁识别率、降低误判漏判;

并以人工智能算法,融合词法、语法算法,对威胁深度分析,防御未知威胁。同时在云端的安全云脑持续为本地设备更新安全规则,持续增强防火墙对热门威胁的检测和防御能力;

并结合安全专家的持续监督,不断提炼算法模型,导入到下一代防火墙设备,使防火墙智能不断升级。

基于人工智能查杀病毒的下一代终端安全EDR,智能检测未知威胁。

以深信服下一代终端安全产品EDR为例,采用无特征检测技术,通过构建包含攻防专家、数据科学家和安全分析师在内的三位一体架构,并结合外部多维度威胁情报,使该引擎具备持续学习、自我进化能力,面对层出不穷的新威胁,可以帮助用户更为有效的鉴定未知病毒,其检出率已达到98%,同时该下一代终端安全应通过一体化统一管理方式进行应用,实现全网终端资产全面盘点,使得每一台终端上的资产信息清晰同时能够对终端进行统一的管控,如合规审查等。

行业需求变化和技术变革引发网络安全行业竞争格局分化

安全行业竞争格局之变1

互联网巨头入局,投资并购协同生态发展,借助资本力量和数据优势获得爆发性增长

资本加持,借助人才优势以及品牌力量,互联网巨头迅速在企业安全市场崛起。

以360、阿里巴巴、腾讯、百度为代表的互联网公司都在几年前就开始布局企业安全市场,尤其引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。

以360企业安全集团为例,过去3年融资金额达数十亿元,伴随资本推动大量招揽来自互联网、传统企业安全、外资背景信息安全公司的优秀技术和销售人才,借助自身在终端安全、大数据处理和分析、威胁情报领域优势,快速拓展在党政军、金融、公安、电信等行业的信息安全市场,实现销售额4年6倍的增长速度。

而阿里巴巴、腾讯也几乎招揽了行业内最优秀的白帽黑客、对抗领域专家、顶尖的信息安全架构师等,从资本和人才上对传统信息安全公司构成威胁。

以360企业安全、阿里云为代表的互联网巨头通过投资并购建立自己的网络安全生态,增强自身竞争优势,未来网络安全市场巨头间竞争逐步演变为生态竞争。

除去一些通用和普适性产品如防火墙、杀毒、上网行为管理、应用交付、数据安全等,网络安全领域存在大量客户个性化需求和细分的网络安全产品品类,尤其是在大型解决方案和项目中,很难做到一家厂商提供齐备的安全产品,尤其在网络安全需求越来越多样化的今天,因此通过投资并购手段将自身缺乏的网络安全产品纳入到生态中共同发展,成为了互联网巨头过去几年的发展策略。

过去4年360企业安全通过并购和投资了数十家企业,构建逐步庞大的网络安全航母,一方面完善自身的网络安全解决方案,一方面利用360企业安全大的平台与渠道,被投资公司也能获得迅速成长。

阿里云过去4年在国内外也有多次投资与并购,比较有名的投资标的包括安华金和、ThetaRay和安恒信息,同时阿里巴巴投资了以色列风投JVP,该风投投资了多家本土网络安全公司,借助阿里云庞大的用户和未来逐步爆发的混合云安全需求,阿里云生态下公司也有望获得高速增长。

安全行业竞争格局之变2

公有云安全压缩传统企业安全市场,私有云解决方案提供商安全业务增长迅速,市占率逐步提升

公有云厂商提供较为完善的云端基础设施和网络安全防护产品,随着中小企业上公有云,公有云安全将挤压传统线下企业网络安全市场。

公有云厂商利用自身资源优势提供DDoS高防IP、WAF、加密服务等,目前抗DDoS、WAF、漏洞扫描、主机安全、加密服务成为公有云厂商标配的安全产品,并为中小客户提供免费额度,目前有20万用户在使用阿里云安全服务。

以阿里云为例,阿里云依靠电商平台网络安全长期积累起来的经验,目前云安全产品线最全,用户数最多。

以抗DDoS产品为例,中国网站40%目前都放在阿里云上,阿里云每天承受攻击次数2000次,遭受300G以上的攻击数量占到全中国50%以上。

目前阿里云盾目前可以45个安全功能和服务模块,覆盖了业务、运营、数据、网络等11个维度的产品,如果还是无法满足所有客户个性化的需求,也可以使用阿里云上148家合作伙伴、350款安全产品,保证解决客户的多样化安全需求。

随着中国企业不断上云,目前中国市场公有云和私有云渗透率在2018年达到7%,随着越来越多的企业上公有云尤其是中小企业,公有云端安全产品将挤压传统线下企业网络安全市场。

私有云领域占据份额前二的华为、新华三近年在企业安全市场一直保持非常高的增长速度,2018年华为和新华三企业网络安全收入规模都在20亿以上。

华为和新华三因为私有云产品线齐全、技术实力强,都主打“云网融合”一体化解决方案,而网络安全作为混合云集成方案中重要模块进行销售,尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。

目前两家公司在硬件防火墙、IDPS等标准化产品上增速较快且市占率较高。

新华三2015~2017年安全业务整体增速都在50%以上,2017Q3~2018Q3新华三防火墙收入增速达到48.1%,IDPS收入增长45.0%。

而华为2016~2018年安全业务增速也高于网络设备30%的增长速度。

新华三的云安全2.0方案,包括虚拟化的防火墙、负载均衡、入侵检测、WAF、堡垒机,等软件定义安全的虚拟化产品,已经是一套较为完善的基础设施和网络防护解决方案。

由于大客户越来越依靠私有云解决方案提供商提供一整套交钥匙方案(包含网络、计算、安全等),因此私有云产品和解决方案提供商在硬件和标准化程度较高的网络安全设备上具有较大优势。

未来云安全将保持快速增长,云平台安全、云基础设施及虚拟化安全、云用户安全以及云端态势感知需求将得到快速增长,数据安全、应用安全等云用户侧安全产品给第三方信息安全市场空间较大。

Gartner预测,2017年全球云安全市场规模达到58亿美金,同比增长21%,预计2020年全球云安全市场将达到90亿美金,年复合增长速15%,而中国云安全产品市场增长速度在2018年达到40%以上,增速显著高于全球。

云安全包含基础的云平台基础设施安全和虚机安全,主要涉及租户隔离、身份管理、云访问控制、审计服务、数据加密服务和借助云边界产品进行东西南北向的全方位防护,进行更智能的流量调度,实时检测整个安全体系的威胁情况,云平台和私有云厂商更注重基础性防护。

而云用户侧和云安全资源池的安全架构更复杂,也给了第三方网络安全和应用安全公司更多发展空间。

为了保证云用户安全需要保障大数据层的安全产品如保障存储安全、保障用户间隔离、访问控制、操作审计,同时也需要保障业务平台、应用系统安全的产品如钓鱼防护、后门防护、业务审计、数据库类安全产品等。

安全行业竞争格局之变3

2016~2018年全球信息安全融资额不断创记录,拥有高位和中位网络安全能力公司崛起,业务安全领域发展迅速

2016~2017年全球网络安全融资额和投资活动在数量不断创历史新高。

根据中国产业信息网,2016年全球网络安全行业融资超过400起交易,共计35亿美元的交易额,2017年风投资本家给全球网络安全公司投资的资金量达到了去年的两倍,达到76亿美元,与网络安全相关的投资活动数量也增长到548起,成为网络安全初创企业风险资本融资创纪录的一年。

而2018年一季度全球网络安全领域共发起176起融资,金额达到16.4亿美元。

从投融资和被并购的热点细分领域可以看出,身份识别与访问管理、高级威胁分析、数据安全、内容安全、Web安全、安全托管服务都是热门的投资领域。

安全防护体系逐步健全,政府和企业越来越注重数据安全和积极防御,因此做态势感知产品、威胁情报、APT防护及数据安全创业公司增长迅速。

基础架构安全、被动防御市场增速放缓,但是积极防御、威胁情报等产品迅速增长。

不仅传统安全公司和互联网公司大量投入积极防御型和大数据安全产品的研发,创业团队也基于自己技术积累和资本杠杆,获得快速增长,如在APT防护、威胁检测引擎领域领先的安天科技,在数据安全和金融态势感知平台领先的观安,在态势感知平台和数据安全领先的安恒信息等。

由于网络边界逐步消失,零信任网络安全模型越来越被重视和广泛应用,基于金融、电信、公安和互联网等行业的业务安全快速增长,身份认证和访问、反欺诈等领域增长迅速。

云计算、移动互联的快速发展导致传统内外网边界模糊,越来越无法基于物理边界构筑安全基础设施,因此企业安全的零信任模型是通过对人、终端和系统都进行识别、访问控制、跟踪实现全面的身份化,这样身份就成为了网络安全新的边界,以身份为中心的零信任安全成为了网络安全发展的必然趋势,2017年全球身份认证与访问市场达到88亿美金,并且将在2018~2020年保持13%的年复合增速。

政府、涉密和军队领域身份认证与访问发展较早,近年随着金融、电信、公安等反诈骗、反欺诈需求提升,同时《网络安全法》中明确规定“国家实施网络可信身份战略,支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。

”针对这些垂直行业的身份认证和访问创业公司也不断涌现。

随着零信任架构的发展,安全且简化的身份认证技术,必然会成为未来趋势,预计2020年中国身份认证规模可超过25亿元,目前身份认证国内领先的创业公司包括芯盾时代、众人科技、九州云腾等。

在新需求、新政策、新技术的共同促进下,2016年以后网络安全行业摆脱以前纯粹合规性需求驱动而进入加速发展期,未来网络安全占信息化开支占比有望提升到5%以上。

2014年开始政府和企业进行数字化转型、信息系统逐步上云过程中,企业网络边界逐渐消失,“云大物移”新场景驱动下网络安全在防护对象、防护思想和防护技术上均发生较大变化,网络安全产品种类也大幅增加,网络安全逐步做到与IT信息系统同步规划,促进信息安全占IT支出占比逐步提升至5%以上。

同时2017年~2019年《网络安全法》、等保2.0标准的推出,进一步扩大监管范围提升了监管标准,促进了网络安全市场整体快速增长尤其是态势感知类产品和主动防御市场的快速增长。

新一代网络安全在大数据分析、人工智能技术新技术的发展使得网络安全防护思想、战略发生了变化,催生了网络安全行业新的投资机遇,促进态势感知、威胁情报、数据安全、身份认证与访问等网络安全新产品快速发展。

2019年预计中国网络安全市场规模将达到602亿,保持21%的增长速度,IDC预计2018~2020年中国网络安全市场年复合增速将超过23%,新一代网络安全产品增长速度将远超传统边界安全产品。

面对日益复杂的网络环境和层出不穷的网络攻击威胁,政府和企业需要构建“低、中、高”三位能力的信息安全系统,预计未来低位安全即传统边界安全、终端安全将保持平稳增长,而中位、高位安全产品将获得快速增长,因此未来拥有大数据能力、威胁情报能力,同时云安全产品、主动防御产品占比较高的网络安全公司能获得超过行业增速的增长速度。

低位能力强调基础架构的防护和纵深防御,中高位能力强调网络安全企业对海量数据的建模与分析能力、安全运营和安全分析能力、云端威胁情报与分析能力,能对基础设施防护产品提供支撑和决策。

目前中位和高位的安全能力是信息安全企业普遍欠缺的,传统企业安全公司相对落后,互联网公司和基于大数据与情报能力的创业公司在中高位防御能力上有一定优势。

动防御和预测类安全产品如态势感知、威胁情报分析、安全合规管理、安全配置核查等细分领域在近年取得快速增长。

尤其是态势感知平台,2017~2018年政府部门监管侧态势感知平台、企业端主动防御用态势感知平台项目发展较快,几乎所有信息安全公司都参与到这个安全管理和监测平台建设中。

随着态势感知技术发展和强调积极防御,信息安全行业领导公司都纷纷推出网络安全运营驻场服务或者城市安全运营中心,利用网络安全厂商大数据、AI能力提供事件分析与审计并做好预警服务。

普通政企客户因为不具备对海量网络安全相关数据的分析能力,因此未来随着政府和企业客户网络安全系统越来越复杂,获得数据也越来越复杂,对第三方运营服务需求也会逐步增加。

网络安全行业正在经历一个快速变革期,除了需求、产品、防护理念变化,行业竞争格局也在经历重大改变,我们预计2019~2022年会逐步看到国内网络安全收入排名前20的公司发生变化,同时网络安全巨头走向生态化和平台化竞争。

依靠资本加持,借助人才优势以及品牌力量,互联网巨头迅速在企业安全市场崛起。以360、阿里巴巴、腾讯为代表的互联网公司网络安全收入增长较快,且引发了行业人才争夺战并促进了行业工程师整体薪酬快速提升。

同时以360企业安全、阿里云为代表的互联网巨头通过不断投资并购在细分领域有独特优势的网络安全企业建立自己的网络安全生态体系,增强自身竞争优势,未来网络安全市场巨头间竞争逐步演变为生态竞争。

目前中国市场公有云和私有云渗透率在2018年达到7%,随着越来越多的企业上公有云尤其是中小企业,公有云端安全产品未来将挤压传统线下企业网络安全市场。

而私有云设备商如华为和新华三因为私有云产品线齐全、技术实力强,主打“云网融合”一体化解决方案,而网络安全作为混合云集成方案中重要模块进行销售,尤其在重视安全的政府、电信、教育、金融等领域取得了较高的安全市场份额。

未来随着基础架构安全、被动防御市场增速逐步放缓,积极防御、威胁情报等产品迅速增长,基于积极防御类、大数据分析类安全产品的创业团队也获得快速增长。

因此未来随着网络安全行业持续变革,网络安全公司、互联网公司、混合云提供商以及创业公司在规模和扩张速度上会逐步拉开差距,新白马和黑马投资机会都会涌现。

为便于研究人员查找相关行业研究报告,特将2018年各期文章汇总。欢迎点击下面红色字体查阅!


文琳行业研究 2018—2019文章汇总


文琳编辑

今日导读:点击下面链接可查阅

公众号 :文琳行业研究

  1. 2019解密5G

  2. 一图看懂5G产业链及投资机会

  3. 深度解析5G终端的创新和机遇

  4. 中国5G应用市场数字化专题2018

  5. 2019年中国5G产业市场研究报告

  6. 2018年5G应用行业研究报告

文琳行研报告,为各机构提供专业的信息、数据、研究和咨询服务。欢迎关注【文琳行业研究】


 文琳资讯,每日提供最新信息。欢迎关注【文琳资讯】

今日导读:点击下面链接可查阅

  1. 【读报时间】2019.03.28星期四

  2. 国务院办公厅关于全面开展工程建设项目审批制度改革的实施意见

  3. 中国省域人口流动全景:哪个省份人口净流入最多?

  4. 中国汽车城之争:北京、重庆降级,西安、长沙来势正猛

  5. 楼市“先行指标“出现异动,这些城市房价已经回暖?

《文琳阅读》每晚经典,欢迎关注!

文琳编辑

今日导读:点击下面链接可查阅

公众号 :文琳阅读

  1. 多去旅行,少去旅游!

  2. 71岁上班,96岁失恋,100岁获奖,忙到没有时间去死,她的人生有多高级…

  3. 《都挺好》苏明玉:会说话的女人,一开口就赢了

  4. 父母尚在苟且,你却在炫耀诗和远方(深度好文)

  5. 音乐欣赏:【欧美经典音乐】《似水流年》米歇尔.佩佩


继续滑动看下一个
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存