2023安全运营市场洞察报告

关于ISCISC成立于2013年，是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、生态联盟、产业导入“六维一体”的生态模式，全面赋能国家、政府、行业、企业、个人。过去10年，ISC秉承创新引领、智慧洞察、专业高效的宗旨，创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全大会，树立了中国网络安全产业名片。版权声明本报告版权属于ISC，任何组织、个人未经授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容需要注明来源，同时不得进行如下活动： ·不得擅自同意他人转载、引用本报告内容。 ·不得引用本报告进行商业活动或商业炒作。 ·本报告中的信息及观点仅供参考，ISC对本报告拥有最终解释权。 专 I 家 I 寄 I 语网络安全不是靠安全产品堆砌就可以搞好的，网络安全是运营出来的！兜兜转转多年以后，现在终于成为网络安全从业者的共识。网络安全运营又是复杂的，过去曾是资源丰富、技术能力强的头部客户的专利，今天随着知识的共享，运营工具的进步，以及托管运营模式的出现，有更多的机构可以尝试通过网络安全运营提升自身的网络安全防御能力。ISC编写的这份《ISC 2023 安全运营市场洞察》如同一本故事书，将网络安全运营的前世今生及未来向您徐徐道来！— 赛博英杰创始人 谭晓生安全运营摒弃了传统的，不合时宜的唯产品论思维，且已经成为广大业内人士的共识。数世咨询认为，安全运营是真正提升网络安全和数据安全能力——即数字安全能力的关键纽带。安全运营有五个核心要素，平台，工具，管理，流程和人。如何有序、合理的贯穿好这五个要素，是做好安全运营的关键。ISC本次发布的安全运营报告，丰富全面，言之有物，有着很大的实用参考价值。— 数世咨询创始人 李少鹏《ISC 2023 安全运营市场洞察》一书厘清了安全运营的基本内涵，提出了安全运营发展的驱动力，从技术角度提出影响安全运营发展的核心能力，以及企业安全运营能力构建的两种方式。本书在安全运营不断拓展的时点，为企业理解安全运营以及未来如何选择和布局安全运营团队具有较强的指导意义。— 赛迪顾问业务总监 高丹发展数字经济、建设数字中国已上升为国家战略，未来是高度数字化的数字孪生世界，安全威胁前所未有。网络安全威胁将遍布数字化所有场景，直接或间接地威胁整个现实世界，包括金融、工业生产、能源、交通、医疗、以及城市和社会治理。为应对严峻的安全威胁及数字化转型带来的问题，农银集团以企业级安全运营中心为抓手，打造农银集团一体化安全运营体系，提炼关键指标，挖掘隐蔽攻击，打通安全告警及安全漏洞的检测发现、流转处置、响应反馈的闭环流程，提升安全运营一体化、实战化、自动化、智能化水平。ISC本次编写的安全运营报告具有一定的参考价值及指导意义，该报告详细分析了不同体量用户对于安全运营的需求，从多个维度介绍了企业如何构建安全运营能力，有助于企业全面了解网络安全形势，构建健全的安全运营体系，全面提升安全运营能力。— 中国农业银行 资深安全架构师 温景容 金融行业是经济运行和社会发展的命脉，也是对信息系统依存度非常高的行业。在互联网金融模式兴起，外部网络安全环境恶化以及自身系统架构日趋复杂的新形势下，金融行业正面临着愈发严峻的网络安全威胁。依托现有传统安全能力，实现对安全威胁的提前感知与预测预防，对正在发生安全事件的实时防御和响应处置，对潜在的安全威胁的持续监测，对已发生安全事件的分析溯源，以全面提升攻防能力为目标的安全运营建设势在必行。开泰银行通过建立CSOC，为数据中心形成整体安全态势感知及对未来短期预测的安全运营体系，通过态势分析能够很好的洞察银行内部整体安全状态。实时进行网络威胁检测，消除安全孤岛所导致的数据割裂问题，实时监测网络中各组成部分的安全状态，形成安全信息汇总枢纽、信息安全事件调查处置中心、全局网络安全态势感知中心，提高对信息安全事件风险的预警和响应能力。实现建立各类场景化的安全模型，以实现快速准确的发现各种内部人员违规或高危的操作。当发现安全事件时，支撑攻击溯源取证。同时能够进行预案编排与自动化响应，并开展持续评估。依托云端检测、情报、分析、漏洞以及专家能力等，借助安全云端赋能提升本地安全能力，全面支撑本地安全运营。同时，开泰银行不断优化安全管理制度，将原本基于安全运维为主的网络环境，建设成依托专业人员安全运营的专业安全团队，借助外部专家能力，使银行内部网络具备高级未知威胁检测能力，并可进行溯源和反制。ISC本次发布的安全运营报告，针对各领域不同体量、不同需求的用户提供了部署指引，为金融行业安全运营建设提供决策参考。— 开泰银行 CIO 丁伟随着合规驱动、实战演练、实时监管的大背景下，网络安全防护体系建设不再是简单的堆砌设备，如何做好网络安全运营，全面把控网络安全态势，建设符合自身业务发展和时代需求的安全体系，是网络安全管理人员的首要任务。目前中交集团已经建立安全运营中心平台，运营平台作为全网数据的汇总枢纽，结合多源的情报体系、漏洞数据和专家能力，实现整体安全态势感知、安全事件监测及预警、威胁攻击的处置与响应等网络安全运营一体化工作。中交集团以实战化、智能化、体系化为目标，持续开展网络安全运营平台建设，为中交集团网络与信息安全保驾护航。ISC本次发布的安全运营报告从运营发展历程、需求分析及核心能力多个维度较为全面的阐述安全运营理念，能够为各企业提供很好的决策参考，能够助力企业构建良好的安全运营体系。— 中交集团科学技术数字化部 总经理助理兼网络安全处处长 刘学忠 前 言纵观网络安全产业发展历程，网络安全的核心始终是实现安全能力的最有效交付。在这一核心诉求驱动下，网络安全逐步从单项产品或服务，走向了基于纵深防御体系的一体化网络安全服务解决方案。在此背景下，闭环化、动态化、指标化、持续化的安全运营，成为安全能力交付的最优选之一。现阶段，随着云计算、大数据、人工智能等新技术的出现，安全运营已然迈入了规模化的发展阶段，不断迭代升级。新一代的安全运营体系面向政企数字化业务，将攻防实践与全球先进作战思想相融合，围绕“看见-处置”打造安全运营工作的完整闭环。通过以能力集中、数据集中、研判集中、专家集中、服务集中的模式，将数字安全要素进行重构，全面构建“人员+技术+流程”一体化的安全运营体系，全面提升政企数字化业务的主动防护能力。因此，为了更好地帮助客户了解安全运营的现状及如何才能拥有安全运营能力，本报告着重分析了安全运营的发展驱动力及演变历程，通过全面剖析各类客户对于安全运营的需求，深度总结了安全运营的核心能力及重点技术，有针对性的为企业提出如何拥有“安全运营”能力的解决方案，并结合当前安全运营的现状系统性的阐述了安全运营的实际应用场景，列举了不同场景下安全运营的实践应用以供广大用户参考。 目 录1.1 什么是安全运营？1.2 安全运营和安全运维之间的共性及差异性1 安全运营概述03042 安全运营发展的驱动力2.1 技术发展带来新威胁2.2 市场需求迎来新机遇2.3 政策法规带来新要求0707083 安全运营的发展历程3.1 碎片化阶段3.2 全局化阶段3.3 可视化阶段3.4 智能化阶段111112134 各类客户对于安全运营的需求分析4.1 中小企业客户4.2 关基行业客户4.3 部委客户 1617185 安全运营的核心能力及重点技术5.1 安全运营的五大核心能力5.2 安全运营的关键核心技术21246 企业如何拥有安全运营能力6.1 企业如何构建合适的安全运营中心6.2 两种常见的安全运营服务34377 企业安全运营的落地实践7.1 天津信创安全产业集群服务项目7.2 鹏信科技网络安全能力综合管理平台建设项目7.3 国网某电力安全运营项目7.4 某头部金融企业网络安全协同作战平台7.5 某头部证券企业SOAR平台建设项目7.6 江苏省某财政单位一体化安全运营中心建设项目7.7 未来智安XDR助力银行业有效提高告警研判率7.8 某县域数字化改革网络安全体系建设项目7.9 某银行自动化安全响应分析平台项目7.10 金融行业背景下的安全运营靶场建设40455155636771758487CONTENTS 01安全运营概述 网络安全领域早期发展的过程中认可度较高的主动防御安全模型之一为PPDR模型，主要由4个部分组成：Policy（策略）、Protection（防护）、Detection（检测）和Response（响应）。其中策略是整个安全模型的核心部分，通过建立符合实际情况的安全策略才能更有效的防御攻击，防护手段是整个流程上的第一个有效措施，对公司资产采用现有安全手段进行防护，检测则是通过监测发现系统或网络的异常情况及可能存在的攻击行为，而响应则是在发现异常或攻击行为后采取的一系列防御和挽救手段。但随着时间的推移，网络攻击技术越来越复杂，仅是以策略为中心、被动反应的PPDR模型难以随着攻击手段的升级而灵活调整防御策略以抵御未知的攻击。因此，原有的 PPDR 模型已经不再能满足当今的网络安全形势以及组织对于业务正常运行的需求。在此基础上，Gartner 提出新一代的 PPDR 模型，由 Predict（预测）、Prevent（防护）、Detect（检测）、Response（响应）4个部分组成闭环安全防护模型。其中新的Predict（预测）是指通过威胁情报等行为对可能存在的攻击行为进行预测，以动态的预测过程替代原来的Policy（策略）部分，加强安全防护模型的适应性，Prevent相比Protection更加强调防守方和攻击方的对抗性，而非简单防守方单方面通过不断的增加防御手段抵御攻击，同时对潜在的安全风险及威胁进行持续的检测（Detect）动作，并动态调整安全防护策略，对检测结果实现快速响应（Response），加强反馈和预测能力，形成安全防护闭环。基于Gartner提出的PPDR模型，再结合我国当下网络安全形势的实际情况，组织需要建立一个具有强适应力的安全保障体系，将安全贯穿企业生态系统的每个环节，以一种动态的、主动的、对抗的战略思维建设组织强大的安全态势。稳健的安全态势意味着组织必须要拥有必要的流程来保护其业务和应用程序免受威胁和漏洞的侵害。如今，当企业关键数据和信息不断面临被恶意攻击者攻击泄露时，加强安全态势成为组织目前的首要任务。安全态势取决于组织保护其网络、数据和系统的能力，以及在发生攻击时的有效反应。简而言之，安全态势是衡量整个组织如何实施网络安全以及组织对网络攻击的弹性程度的表现形式。组织安全态势的强度与其面临的风险量成反比，组织必须改善其安全态势，以便他们可以专注于威胁可见性和网络风险量化，组织目前需要的是根据不断变化的威胁形势调整和建立安全方案以实现拥有动态安全态势的目的。通过细粒度、多角度、持续化的对安全威胁进行实时动态分析，自适应不断变化的网络和威胁环境，并不断优化自身的安全防御机制，从被动防御向主动防御的转变离不开体系化的安全运营流程。因此，对组织来说，建立动态且稳健的安全态势的最好办法是建设安全运营体系架构。011.1 I 什么是安全运营？ISC 2023安全运营市场洞察03 那么安全运营具体指什么呢？通常来说，安全运营的理念可以从狭义和广义两个方面进行简单阐述：狭义的安全运营是以资产为核心，以安全事件管理为关键流程，依托于安全运营中心（SOC），建立一套实时的资产风险模型，进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理流程。广义的安全运营不再是单纯的技术理念，而是通过集合人员、技术、流程和平台的复杂体系架构，通过对已有的安全产品、工具、服务产出的数据进行有效的分析，持续输出价值，解决安全风险，从而实现安全运营体系化建设的最终目标。概括起来就是安全运营不是一个产品建设、单一的技术使用以及某类平台的建设，而是一种以人、技术、平台、工具和流程为基础的新型安全保障模式。安全运营旨在定义安全边界并制定满足公司业务目标的同