2021年中国网络安全态势感知十大技术趋势预测分析报告 2021年中国网络安全态势感知十大技术趋势预测分析报告2前言2020年是中国乃至全球网络安全的分水岭，以人工智能、大数据、云计算、边缘计算等为代表的新型技术，带来了企业业务发展的新模式。在全球应对新冠肺炎疫情冲击改变了人类的生活和工作模式的情况下，远程办公、非接触式在线经济、数字经济成为新宠，无边界、零信任、不对称、内部威胁等成为政企网络安全建设的新方向。2021年，网络安全充满不确定性，唯一可以确定的就是威胁常在。度以往事、验之来事。安恒信息AiLPHA大数据在总结2020年的各类安全事件、行业技术发展方向的基础上，对2021的网络安全态势感知技术发展趋势进行十大方向预测。 2021年中国网络安全态势感知十大技术趋势预测分析报告3趋势一：用AI智能检测应对AI武器化攻击早在2017年，美国“方程式组织”遭黑客入侵，并由此泄露了美国家安全局的网络“武器库”，因此造成全球化的“永恒之蓝”攻击。2020年，全球最大的网络安全公司之一FireEye（火眼）于12月8日透露，其内部网络被某个“拥有一流网络攻击能力的国家”（黑客）突破，黑客使用“全新技术”窃取了FireEye掌握的安全工具套件，这也可能成为全球新一波攻击浪潮的起点。黑客进行的高级威胁攻击已经逐渐基于AI武器化，利用AI产生更智能、更隐蔽的攻击方法。BeyondTrust2020年的报告中指出，恶意攻击者将利用机器学习（ML）加速针对网络及系统的攻击。机器学习引擎将使用成功攻击中的数据进行训练，借此识别防御体系中的模式，快速查明类似系统/环境中存在的漏洞。以此为基础，所有后续攻击数据都可作为素材继续训练网络攻击引擎。通过这种方式，攻击者能够更快、更隐密地清理攻击痕迹，确保每一次攻击尝试只涉及更少的漏洞，借此避免大面积尝试被安全工具所发现。为了应对日渐升级的网络攻击威胁，传统的基于策略进行防护逐渐脆弱，需要用AI智能化威胁检测技术应对黑客基于AI武器化的高级威胁攻击。态势感知系统需要更加侧重威胁的精确检测能力，尤其是未知威胁的AI检测能力。强化关联分析能力，包括面向资产的多维关联分析、面向威胁的多维关联分析、面向脆弱性的多维关联分析和面向安全事件的多维关联分析等。以及 2021年中国网络安全态势感知十大技术趋势预测分析报告4关联结果分析，包括安全状态评价、安全趋势预测、异常行为呈现和安全风险预警。AI网络攻击武器堪比核武器、生化武器，其对全球基础设施和各国正常生产、生活可能造成严重破坏。针对AI武器攻击的识别和检测能力将成为态势感知平台核心能力和解决武器化泛滥的有效路径。趋势二：疫情成零信任加速器受新冠疫情全球影响，远程办公逐渐成为企业办公新常态。远程办公的实现，意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一，无论是接入网络还是移动终端本身，都更容易成为网络攻击的对象。企业的网络基础设施日渐复杂，安全边界逐渐模糊。BeyondTrust预测，到2021年，远程办公人员/设备将成为黑客第一大攻击目标。企业的安全边界正在逐渐变革，传统思维专注于边界防御，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事务基本畅通无阻，全部拥有访问权限。但目前来看，传统基于边界的安全防护逻辑开始逐步失效，基于现代身份管理技术进行构建的零信任安全架构可以打破传统物理安全的困境，需要建立新型安全防御体系。零信任的首要目标就是基于身份进行细粒度的访问控制，以便应对越来越严峻的越权横向移动风险。根据企业 2021年中国网络安全态势感知十大技术趋势预测分析报告5管理协会(EMA)8月进行的252位IT专业人员调查，有60%的企业表示他们的组织已经加快了零信任策略部署。40%的受访者认为，提高运营敏捷性是零信任的主要好处，而35%的人指出，零信任改善了IT治理和风险合规性。据Gartner预测，到2023年，60%的企业将从虚拟专用网络(VPN)转向零信任计划。2021年将会是零信任高速发展并大量落地于企业信息化安全建设的一年。新的办公方式，业务系统访问方式给这些企业的网络基础设施带来了巨大的压力，带来了安全问题，而零信任可以有效的帮助解决相关问题。趋势三：SOAR将成为安全运营利器SIEM平台作为安全运营中心（SOC）的核心系统已部署多年，然而在处理日常安全运营工作时仍然遇到大量问题，导致部署、实施、运营的成本持续居高不下，投入回报受到很多客户质疑。2015年，Gartner首次提出SOAR概念，将其定义为对利用机器可以读取的、有含义的安全数据提供报告、分析和管理的能力，为整个运营安全团队提供支持；2017年Gartner对SOAR进行了全新的概念升级，将SOAR定义为安全编排自动化与响应，并对其做出了相应的解释：SOAR是一种帮助组织能够收集不同来源与安全相关的风险和告警数据的技术，并且根据标准的工作流帮助明确定义、定优先级、标准化的进行事件响应活动。 2021年中国网络安全态势感知十大技术趋势预测分析报告6例如，当前安全运营团队处理威胁事件的流程繁琐、周期较长，有时需要数天甚至数周；而威胁事件的数量确随着安全设备的完善和补充、检测能力的不断增强而呈现出爆发性增长的趋势。这就导致安全运营需求与实际效果存在较大偏差，且持续扩大。而SOAR产品通过设备标准化集成、剧本可视化编排、案件全流程管理，将企业安全运营所需的数据、工具和人员最大程度地耦合在一起，极大提升了告警研判、威胁处置、闭环响应等任务的执行效率，大大降低安全运营成本，完美解决企业安全事件响应不及时、安全设备孤立联动性差、海量安全告警无法及时处置、日常运营重复工作量大、安全运营专业人员匮乏等问题。随着安全运营从合规单轮走向合规与实战双轮驱动，SOAR在资源整合、自动响应、提升效率上的巨大优势将注定使其取代SIEM平台成为SOC2.0时代的核心利器。趋势四：UEBA成为政企内部威胁检测良方内部信息化建设，已经是政府和企业高效办公的大趋势。政府企业中普遍存在多个各类内部管理信息系统，如各类OA/CRM/ERP系统等等，其中包含了大量的敏感数据，在便捷办公的同时，埋下了安全隐患。企业往往会想当然地认为攻击者都来自于外部，但事实上，超过一半的安全攻击都是由内部员工造成的，或是由心怀不轨者恶意为之，或是由员工的粗心错误操作导 2021年中国网络安全态势感知十大技术趋势预测分析报告7致。由受信员工产生的内部威胁极有可能导致重大经济损失，并伴随公信力下降。Securonix在2020年发布的内部威胁报告中显示，计划离职的员工会在其正式离开公司的前两周到两个月内显露有风险行为。UEBA技术可以帮助政府企业，有效检测内部信息系统的安全问题。UEBA可使用机器学习实现账号变更、行为变更等异常操作行为进行快速检测，常见的如账号的异常登录、服务器上用户的违规操作和终端上的异常动作等等。UEBA通过与大数据驱动、人工智能等技术相结合，能够将内部的违规操作、窃取数据、非法删除等非正常行为和正常行为区分并精准地进行描述，从而以极高的准确率命中异常事件，使得内部的威胁浮出水面。并在安全漏洞可能发生之前主动预警，帮助企业止损，同时为企业降低在诉讼中浪费的时间和金钱，降低公关危机。内部人员的越权或风险行为能引起严重的网络安全威胁事件。所以通过UEBA机器学习模型建立行为基线，实时发现预警各类账号的异常行为，是最后一道关键防线。趋势五：安全能力中台成为高效安全运营的基石随着新冠疫情的爆发，各大政企客户都在加大网络信息安全投入，但是传统的安全建设方式导致安全设备烟囱化泛滥，安全团队需要面对十多个安全厂商的几十甚至上百款安全设备。这些 2021年中国网络安全态势感知十大技术趋势预测分析报告8设备使用界面都不一样，里面的资产信息、人员信息大多数时候没有同步，导致管理与运营效率低下。这些安全设备统一管理无法开展、安全策略的统一管理无法开展，想要完成安全管理与运营的闭环，还缺少一个关键点，也就是安全能力中台。随着全面在线化、广泛的远程办公场景、在线会议等，安全运营还要与IT运营、内控、人力资源等完成更紧密的协作与融合，安全管理与运营需要进行跨职能部门的资源协调，需要能整合企业内各应用系统，支持与保障企业的数字化战略。随着安全管理与运营的成熟，以及网络安全的常态实战化，安全建设理念正朝着一体化安全迈进。同时，由于网络信息安全的基础性和泛在性，任何一个组织都无法独立应对网络安全威胁，必然需要政企、行业、国家多层面的协调联动。这种多层次的协调联动，必然产生安全能力标准化和互操作的要求。综上内外多个因素，安全能力中台将成为企业网络安全的核心枢纽，以资源化、能力化、服务化、标准化的方式，打通组织内外和职能边界，让安全“四通八达”。“要想富先修路”，这个道理大家都明白。网络安全也是同样道理，要想实现高质量的安全编排、自动化和响应(SOAR)，首先要打通组织内外的安全经脉；安全能力中台就是企业的网安枢纽，打通了任督二脉，安全建设才能跳出堆叠的泥沼，实现一体化的飞跃。 2021年中国网络安全态势感知十大技术趋势预测分析报告9趋势六：红蓝对抗将成为提升企业网络安全建设水平的有效手段常见攻击类型有数据泄露、勒索软件、DDoS攻击、APT攻击、钓鱼攻击以及网页篡改等。2020年3月，万豪连锁酒店遭受网络攻击，电子邮件账户被渗透，520万酒店客人信息被泄露。2020年4月，任天堂16万用户受到NNID旧版登录系统导致的大规模帐户劫持账户的影响。同年8月，佳能被勒索团伙"迷宫"袭击。一旦遭受网络攻击，企业会遭受巨大损失，影响品牌和商业信誉，甚至会影响企业业务运营。面对不断升级的网络安全威胁，企业逐渐加大了在网络安全建设方面的投入，如网络安全防护设备、平台的采购、专业人员的培养等等。但安全是一个动态过程，对于业务系统和安全系统来说，唯有不断地查缺补漏优化迭代才能够保护信息资产，因此红蓝对抗实战演习是检验网络安全实战化能力的“试金石”。红蓝对抗可以有效验证企业应对威胁检测能力是否实时，整体防护方案是否全面有效，设备管理是否安全以及真题安全分析和运营流程是否有效。实战是检验安全防护能力的唯一标准，开放心态，接受缺陷，努力完善，才能最终提升整体安全水平。面对新的安全形势和安全环境，安全防护体系建设从合规导向转向能力导向，网络安全防护转向关注实战化，红蓝对抗演习将成为常态化手段。帮助企业在面临真正风险的当下，可以临危不惧，从容应对。 2021年中国网络安全态势感知十大技术趋势预测分析报告10趋势七：标准化XDR解决方案将成为中小企业首选当前传统的SIEM平台，在收集数据、关联分析、生成报表等功能上较为擅长，但在大多数实际应用中很少能改进威胁检测的实际效果，也较少能用到上下文分析，不同安全产品的关联分析效果也较弱。对于企业来说，很难通过高度定制化的SIEM平台去构建标准化、流程化和有效性更强的威胁案件管理体系。较新的SOAR在解决数据、工具和人员资源整合上有了巨大提升，但仍需要重度部署、本地集成和持续优化改进的解决方案，对于人员和资源受限的中小企业客户仍然存在实施困难、总体拥有成本（TCO）过高等问题。作为一种新的技术和解决方案型的产品，为提升检测能力和响应效率带来了新的可能性。Gartner将XDR列入2020年-2021年十大安全项目，在有科技产业界风向标之称的HypeCycle（技术成熟度曲线）中，端点安全和安全运维两个HypeCycle也都提及了XDR技术。Gartner当前给XDR的定义是：XDR是一种基于SaaS的，绑定到特定供应商的安全威胁检测和事件响应工具，可以将（该供应商的）多个安全产品原生地集成到一个统一的安全运行系统中，以统一所有授权的安全组件。简单来说，XDR是由统一的平台及其组件，如流量探针、终端探针、文件检测器、邮件检测器等，配合威胁情报、大数据分析，形成标准化的威胁 2021年中国网络安全态势感知十大技术趋势预测分析报告11检测、分析研判、溯源取证、联动响应能力体系，再通过云端协同实现外部安全专