2023年中国网络安全运营市场研究报告
AI智能总结
2023-11 数说安全研究院有限公司 版权声明 本报告由“数说安全研究院”出品(数说安全隶属于北京赛博英杰科技有限公司),报告版权归北京赛博英杰科技有限公司所有,报告中所有原创文字、观点、图片、表格均受中国知识产权法律法规保护。转载、摘编或利用其他方式使用本报告内容的,应向所有者取得书面授权,并注明“来源:数说安全”。违反上述使用的,我司将追究其法律责任。 免责声明 本报告中部分文字和数据采集于公开信息;市场数据通过CSRadar商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈获得。数说安全对报告内容的准确性、完整性和可靠性尽最大努力的追求。由于研究方法和数据样本具有一定局限性,故在任何情况下,本报告中的信息或所表达的观点仅供客户作为参考,不构成任何建议。本公司不对报告的数据及分析结论承担法律责任。 关键经营数据分析——现⾦流健康度继续下降研究背景与研究范围说明 u在我国网安产业近三十年发展过程中,网络安全法实行超过6年、等级保护制度实行接近20年,这两项网安普适性法律法规已对企业网络安全建设产生重要且实质性的影响。目前看,多数企业已完成合规建设,基础安全体系搭建完成,未来将进入深耕细作、建设与运营并重的新阶段。 u数字应用爆炸式增长导致企业安全风险暴露面不断扩大,网络威胁态势日益严峻。安全运营可以帮助企业将安全技术、安全人员与安全管理制度进行高效聚合,实现更为主动、快速、贯穿全局的防御能力。安全运营已成为海内外广泛认可的重要发展方向,未来也将成为绝大多数企业安全能力提升过程中的核心工作。 u企业安全运营需求的快速释放也推动了安全运营市场蓬勃发展。安全运营涵盖范围非常广,主要由安全运营产品、安全运营服务和安全运营应用场景构成,不同应用场景所需要的安全运营产品、安全运营服务以及服务的模式可能存在差异。 u本次研究主要针对安全运营服务市场,以市场需求最大的网络安全运营作为主要应用场景,非安全运营平台类产品和其它应用场景的安全运营不作为本次研究的主要内容。 数据安全运营 01安全运营概述 02安全运营技术与产品介绍 03安全运营服务介绍 04安全运营市场分析 05安全运营市场优秀项目案例 06安全运营市场总结与发展趋势 07附录-安全运营厂商调研情况 安全运营概述 安全运营的模式(甲方视角) 企业安全管理工作面临的挑战 安全运营的价值 安全运营的定义 安全运营利好政策 安全运营在网络安全体系中的定位与价值 安全运营与安全运维的区别 安全运营法律法规 关键经营数据分析——现⾦流健康度继续下降企业安全管理工作面临的挑战 u缺乏安全运营的静态防御模式无法有效应对不断演进的网络安全威胁:国内大多数企业在构建安全体系时主要以满足合规要求作为第一导向,采购大量安全产品并堆叠部署已成为常态。然而,在这种背景下,各安全产品间常常孤立运转,缺乏有效的协同联动能力,企业整体安全策略与防御姿态长期处于静止和被动的状态,难以有效应对日益复杂和精细化、平台化、自动化的网络攻击,企业迫切需要建立动态、主动的安全运营体系,以达到有效防护的目标。 攻防不对等性导致企业难以实现100%绝对的安全:攻击者在暗而防守者在明,防守方需要耗费大量资源部署长长的防线来保护庞大的网络资产,攻击者只要在100次攻击中成功1次,就可以抵消防守方在99次成功防守中所付出的努力。因此,企业在构建安全防线时,盲目的建设防线并不是最优的选择,更好的办法是在安全运营过程中时刻感知威胁与风险,采用更具针对性、动态的安全策略,并不断加强防御系统的韧性,保证即便发生攻击或系统被攻破,也能够及时发现、阻断攻击并快速恢复业务。 企业在网络安全投入上面临预算压力和资源限制:对于一些企业来说,很难衡量网络安全投资的回报率(ROI),这导致它们在网络安全方面只拥有有限的预算和资源,同时也可能限制其采购和实施最新的安全技术和措施。因此,企业需要找到一种平衡,通过建立高效的安全运营体系,帮助企业最大程度提高系统的安全性,同时实现在有限资源下进行有效管理。 安全运营的定义 中国网络安全审查技术与认证中心(CCRC)安全运维服务资质简介 数说安全对安全运营的定义 结合行业主管部门对安全运维的定义和安全运营能力过程要求,数说安全对安全运营定义如下: 安全运营是通过统一和协调组织内安全人员、安全技术和安全管理流程,对组织面临的安全风险进行预警、识别、保护、检测、响应的过程。安全运营的目标是发现组织已存在或未来可能会出现的安全风险,并利用高效的安全防控措施来主动化解风险,以此不断改善组织的安全状况。 通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。 中国信息安全测评中心(CNITSEC)安全运营服务资质(安全运营过程能力要求) 安全意识和安全技能培训;资产识别和管理;脆弱性识别和管理;应急响应及处理能力;深度威胁检测、研判和管理;安全事件预警与取证分析;风险评估的能力;内部审计和威胁情报处置;态势感知和趋势分析;维护安全运营中心(SOC)工具生命周期;安全性协调的能力;检验并证实整体安全性。 数说安全研究院 关键经营数据分析——现⾦流健康度继续下降安全运营在网络安全体系中的定位与价值 威胁处置盘面 纵深防线盘面 资产安全盘面 积极防御的posture,是威胁发现能力和处置及时性有效 纵深防御的防御姿态posture,是防护策略有效性,以构成坚实的防御“阵地” 基础结构安全的防御姿态posture,主要就是解决“资产-漏洞-配置-补丁”问题的系统安全 关键经营数据分析——现⾦流健康度继续下降安全运营与安全运维的区别 关键经营数据分析——现⾦流健康度继续下降安全运营的模式(甲方视角) 完全自建模式 产品体系自建+采购驻场运维服务模式 u组织具有成熟的安全体系,安全管理流程、安全人员、安全技术均由组织自建自筹;u组织CSO(首席安全官)对本组织的安全运营情况和效果负责;u组织具备充足的安全预算,已建成体系化的安全架构,拥有专业的安全运营团队,安全运营是保障组织业务发展的重要因素。u目前在市场中,采用完全自建模式的客户比例不超过3%。 u组织通过安全集成的方式购买安全产品并建立安全防护体系,但组织内安全人员有限,需要以人力外包的方式补充安全运营人员;u组织CSO(首席安全官)对本组织的安全运营情况和效果负责;u组织安全预算相对充足,但预算优先投入安全技术体系建设,拥有相对成熟的安全管理流程,但受限于组织体制、技术能力与人员编制控制等原因,无法自建完整的安全运营团队。 托管检测与响应模式(MDR) 安全托管模式(MSS) u组织建立了安全防护体系,但没有独立的安全运营团队,也不具备安全运营能力,需要将安全运营工作委托给外部专业的安全公司;u受委托的安全公司针对组织面临的安全需求,制定组织安全管理流程、配备安全运营人员、提供安全运营工具,以云端/远程的交付方式实现对组织安全运营工作的全面托管,并对最终的效果负责;u组织安全预算有限,短期内不具备自筹自建安全运营体系的能力。 u除基础安全运营工作外,组织更关注自身面临的网络攻击与威胁,但组织不具备相应的技术能力,需要将威胁检测、威胁分析、威胁响应等工作委托给外部专业的安全公司;u受委托的安全公司为组织提供面向威胁视角的托管式安全服务,包括部署威胁检测探针、威胁分析和响应平台等基础设施,并在云端配备安全专家,为组织提供7*24小时的威胁检测与响应服务。 数说安全研究院 安全运营的价值 安全运营利好政策 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》 十三届人大四次会议 2021.3 第十八章第三节:加强网络安全保护,健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。 u 《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》 工信部 2021.7 u第4条 创新安全服务模式 u加强安全企业技术产品的云化能力,推动云化安全产品应用,鼓励综合实力强的安全企业发展弹性、灵活的云模式网络安全服务。 u发展集约化安全服务,鼓励企业提供集防火墙、用户身份认证、数据安全、应用安全等一揽子整体解决方案。支持开展威胁管理、检测响应等安全托管和咨询服务。发展地区级、城市级、行业级安全运营服务,提高运营自动化、流程化、工具化水平。u鼓励基础电信企业、大型云服务提供商,并充分发挥网络和基础资源优势,输出安全服务能力,同时升级改造基础设施,支持安全企业嵌入安全服务能力。 u第9条 推动关键行业基础设施强化网络安全建设 u推动能源、金融、交通、水利、卫生医疗、教育等行业领域加强资产识别、设备防护、边界防护、身份认证、数据安全、应用安全等技术手段建设,提升重要系统、关键节点及数据的安全防护能力。 支持建立态势感知、通报预警、应急响应、安全运营等安全机制及纵深防护体系,不断提高风险防范和应急处置能力。 u推进零信任、人工智能等技术应用,提升防护体系效能。 u第10条 推进中小企业加强网络安全能力建设 u实施中小企业“安全上云”专项行动,建设网络安全运营服务中心,面向中小企业提供高质量、低成本、集约化的网络安全产品和服务。 u引导中小企业通过网络安全产品服务一站式购买、租赁、订阅、托管、云端交付等方式,灵活部署网络安全产品和解决方案。支持开展多元化网络安全意识宣贯和技能培训,不断提升中小企业网络安全防护意识和能力。 数说安全研究院 安全运营法律法规 中华人民共和国网络安全法(2017.6.1实施) u第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险,在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。u第五十一条:国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作,按照规定统一发布网络安全监测预警信息。u第五十二条:负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。 中华人民共和国数据安全法(2021.9.1实施) u第二十二条:国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。u第二十九条:开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 关键信息基础设施安全保护条例(2021.9.1实施) u第二十四条:保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度,及时掌握本行业、本领域关键信息基础设施运行状况、安全态势,预警通报网络安全威胁和隐患,指导做好安全防范工作。 数说安全研究院 安全运营技术与产品介绍 安全运营方法论 安全运营关键技术-终端检测与响应(EDR&CWPP) 安全运营关键技术-网络检测与响应(NDR) 安全运营技术栈 安全运营创新技术-入侵与攻击模拟(BAS) 安全运营核心能力-
