AI浪潮下的网络安全产业变革深度报告

AI浪潮下的网络安全产业变革 深度报告 分析师：方闻千SAC S09105230700012023年12月17日 核心观点 AI将带来网络安全在攻防两端的重要变革： 1）攻击视角（提升需求）：1、安全赋能攻击——AI/大模型能够显著降低安全攻击门槛，加剧安全威胁，进而提升行业需求；2、大模型自身风险——数据安全相关需求受到AI/大模型的直接拉动。 2）防御视角（改造产品）：AI/大模型带来安全产品形态的变化，从能力提升（从一线运营到安全专家）和效率提升（响应处置时间从天/小时到秒）两大维度，带来了竞争格局改善的可能性。 海外AI2.0+安全已经实现初步商业化落地，并且对头部安全厂商公司报表已产生实质性影响。得益于AI+安全新逻辑驱动，Panw和Crwd为代表的安全厂商年初至今涨幅达100%以上，目前主流AI2.0产品形态可分为两大类： 1）安全Copilot产品：代表为MicrosoftSecurity Copilot和CrowdstrikeCharlotte AI，目前大部分生成式AI产品聚焦在这个方向，主要功能包括安全监控、威胁检测、资产风险、创建报告等，能够辅助安全管理人员提升安全运营的自动化水平。安全Copilot产品目前已有多个标杆产品且进入商业化早期，Crowdstrike认为未来5年生成式AI产品的潜在市场规模将达到70亿美金，不亚于目前的核心产品线。随着AI赋能安全运营效率提升和规模效应的体现，Crowdstrike也上调了盈利模型的预期，将OPM从22%上修到28-32% 2）AI驱动的安全平台：代表为Palo Alto Networks推出的基于AI驱动的新产品XSIAM（扩展安全智能和自动化管理）。XSIAM是⼀个云交付的集成SOC平台，将EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等多个产品和功能整合到⼀个集成平台中，底层完全由AI驱动。目前XSIAM商业化取得极大成功，此前第一年的收入目标为1亿美元，而实际第一年XSIAM收入已达2亿美元，远远超出了此前设立的目标，最新财季XSIAM的pipeline已经达到10亿美元体量，有望成为公司增长最快且体量最大的产品线。 AI+安全的未来产业格局思考：1）AI驱动下，安全平台的能力边界向外进一步延伸，能够对不同安全域实现全方位纳管，形成整体防御合力；2）安全大数据是核心壁垒，AI提升了安全产品的海量数据分析、理解、自动化处理和生成的能力，头部厂商的优势非常明显，格局上强者恒强，头部的份额持续提升。 哪些公司能够受益：1）拥有核心产品且产品联动做得比较好，具备比较强安全平台能力的厂商直接受益；2）有比较广泛的客户触手，构建安全数据壁垒；3）产品创新和执行力强，能够率先推动相关技术的商业化。 国内AI+安全目前正处于产品测试与市场推广的初期。包括深信服、奇安信、安恒等十余家头部厂商已发布AI+安全产品，预计明年起AI+安全产品将全面铺开。在大模型落地方式上，目前国内外安全市场存在明显差异。海外市场云化部署占主导。海外客户对安全SaaS接受度较高，包括Crowdstrike、Panw等头部安全厂商均采取云优先的战略来推AI，头部安全厂商能够基于安全大数据去迭代优化安全能力。国内市场以私有化本地化部署为主，同时考虑算力成本以及大模型本地实施需求，以及国内政府、金融等头部客户对数据安全要求较高，训练/推理一体机的模式有望成为主流。 投资逻辑：今年以来，由于网络安全的后周期性和政策空窗期承压，行业整体景气度处于低位。随着预算修复和竞争企稳，行业长期成长逻辑不变，且明年AI新品放量值得期待。重点推荐：启明星辰、安恒信息、深信服；关注标的：奇安信、天融信、绿盟科技、360、美亚柏科、中新赛克、电科网安、亚信安全、迪普科技。 风险提示：数据安全风险；技术发展风险；贸易摩擦加剧风险；道德和伦理风险。 AI+网络安全：整体逻辑框架 攻击视角（提升需求）：1、AI赋能安全攻击——AI/大模型能够显著降低安全攻击门槛，加剧安全威胁，进而提升行业需求；2、大模型自身风险——数据安全相关需求受到AI/大模型的直接拉动。防御视角（改造产品）：AI/大模型带来安全产品形态的变化，从能力提升（从一线运营到安全专家）和效率提升（响应处置时间从天/小时到秒）两大维度，带来了竞争格局改善的可能性。 需求侧 美股安全公司股价整体走势强劲 今年以来海外安全公司整体走势强劲，Panw和Crwd为代表的安全厂商年初至今涨幅达100%以上，主要原因在于：1）海外科技股整体Beta，叠加估值修复；2）安全公司今年业绩表现亮眼，财报表现超预期，同时云转型快速推进；3）AI+安全新逻辑驱动，Gen AI对头部安全厂商公司报表已经产生实质性影响。 目录 AI+安全驱动需求侧：AI加剧安全威胁 AI+安全变革产品侧：安全运营自动化 AI+安全的长期思考：竞争格局改变 国内AI+安全现状：明年产品有望放量 投资策略 AI赋能安全攻击加剧整体安全威胁 大模型/生成式AI对于网络安全行业的影响与其他行业有所不同，AI不仅仅是对于安全产品形态本身带来改变（防御视角），而且能够通过大幅降低了安全攻击的门槛，进而带来行业总需求的提升（攻击视角）。AI将带来安全攻击的新变化：社会工程攻击、漏洞与攻击面发现、恶意代码生成等。AI/自动化攻击工具今年下半年进入规模化和产业化阶段。比如FraudGPT在暗网市场和Telegram平台进行售卖：1)1个月计划定价为200美元；2)3月计划定价450美元；3)6个月计划定价1000美元;4)一年计划定价1700美元。 AI/大模型存在原生安全问题 AI/大模型存在原生安全问题，其中对安全投入影响最大的为数据安全和AI工程化领域。数据安全既包括了训练阶段数据采集不当、存在偏见或标签错误、数据被投毒等，也包括了模型在应用的过程中，面临数据泄露、隐私曝光等风险隐私曝光等风险。通常需要采取包括数据加密、隐私计算、数据清晰等数据安全保障手段。 目录 AI+安全驱动需求侧：AI加剧安全威胁 AI+安全变革产品侧：安全运营自动化 AI+安全的长期思考：竞争格局改变 国内AI+安全现状：明年产品有望放量 投资策略 AI 2.0：安全能力的又一次进化 海外AI+安全Copilot工具 今年3月微软发布了首个生成式AI安全产品Security Copilot后，多家头部厂商包括Crowdstrike、Google均推出了对应安全Copilot类产品。安全Copilot类产品的主要功能包括基于自然语言和AI辅助的安全状态查询、威胁搜寻、安全事件响应等。 AI+安全的结合点：安全运营 AI+安全的主要结合点集中在安全运营+安全平台领域，目前AI2.0+安全产品主要可分为两类：1）安全Copilot产品：代表为MicrosoftSecurity Copilot和CrowdstrikeCharlotte AI；2）AI驱动的安全平台：代表为PaloAlto Networks推出的基于AI驱动的新产品XSIAM（扩展安全智能和自动化管理）。 为什么是安全运营？ 安全运营是安全行业自动化程度最低的领域：在一个网络安全系统的各个组成中，防火墙、端点安全等单点的安全产品已经具备了较高的自动化水平，而安全运营本是自动化程度最低的一环。这是由安全的复杂性决定的。安全运营是安全行业最需要AI深度改造的环节：1）传统安全设备是第三方的，多且杂，数据混乱，导致误报率高，变成了真实风险看不到，出现威胁防不了；2）安全运营工作压力太大，上万威胁，且90%非真实威胁，效率低下。 AI将带来安全运营效率的飞跃 能力提升（从一线运营到安全专家）：对于经验不足的IT和安全专业人员，AI可以帮助他们更快地做出更好的决策，让更高级的安全操作变得更加容易，能够迅速达到中高级安全人员的处置能力，降低安全运营门槛；效率提升（响应处置时间从天/小时到秒）：安全人员水平可自动执行数据收集、提取以及威胁搜索和检测等重复且繁琐的任务，缩短对关键事件的响应时间，同时通过简单的自然语言提示实现任何检测、调查或响应工作流程，降低安全运营的时间和人力成本。 微软Security Copilot：首个生成式AI安全产品 微软3月发布的Security Copilot是全球首个生成式AI安全工具，底层模型由ChatGPT-4驱动，并结合了微软的安全专用模型。模型每天持续学习微软在其威胁情报中收集的超过65万亿个信号数据，为Security Copilot幕后的安全专业人员提供支持。 Security Copilot拥有一个极其简洁的界面，能够接受自然语言输入，用户只需向其发送提示——可以是问题和请求，也可以是文件、URL、代码片段或威胁指标——Security Copilot会动用安全模型的全部功能来分析事件或执行任务。 微软Security Copilot：首个生成式AI安全产品 Microsoft Security Copilot的几个关键应用功能包括：安全事件解读与分析、优先级排序与深度分析、安全知识助手、内部态势评估总结、创建汇报文档等。 例如：安全管理人员可以使用自然语言询问与安全相关的问题，例如“公司中发生了哪些安全事件？”。Security Copilot可以总结出由公司网络安全系统和外部数据生成的威胁报告，同时聊天机器人还可用于帮助安全管理人员进行安全调查、创建报告和总结事件。Security Copilot在10月份已经开启测试，11月20日在微软Ignite大会上，推出首款集成Security Copilot的统一安全运营平台，数据安全、身份、设备管理等领域产品全面集成Security Copilot。 Crowdstrike的生成式AI产品Charlotte AI Crowdstrike今年5月发布了生成式AI产品Charlotte AI，定位为虚拟安全分析师，可以帮助安全运营中心(SOC)的分析师自动化履行职责。安全分析师可以与Charlotte AI进行对话，询问有关环境中的安全威胁、如何应用于其行业、哪些资产面临风险、如何修复这些资产的问题，甚至可以创建有关情况的报告。 Crowdstrike从成立以来就一直处于AI+安全创新的前沿，作为EDR的开创者，Crowdstrike借助Charlotte AI，正在将AI+安全的领先优势扩大到生成式AI。 Crowdstrike Charlotte AI主要功能 功能1：安全管理和安全态势感知 通过提出一些简单、直接的问题，实时洞察组织的风险状况，包括其威胁状况、关键漏洞的风险级别、当前的安全状况、合规性要求、网络安全性能指标等等。 比如：1）我们是否存在涉及MS Outlook的漏洞？2）我们的业务关键资产面临的最大风险是什么？3）我们是否能够免受Log4j漏洞的影响？我们哪里有危险？ Crowdstrike Charlotte AI主要功能 功能2：威胁搜索与威胁狩猎 对于经验不足的IT和安全人员，可以帮助他们更快地做出更好的决策，缩短对关键事件的响应时间，像高级的分析师一样进行简单的查询 比如： 1）哪些威胁行为者针对我们？2）这些对手正在利用哪些关键漏洞？3）您可以扫描我的端点资产以查找您发现的任何IOC吗？4）针对受影响的端点最推荐的补救措施是什么？ Crowdstrike Charlotte AI主要功能 可自动执行数据收集、提取以及基本威胁搜索和检测等重复且繁琐的任务，同时使执行更高级的安全操作变得更加容易。进行任何检测、调查或响应工作流程，以增强平台体验-无需编写任何代码。 比如：查找涉及Windows主机的横向移动 Crowdstrike基于AI驱动的XDR平台框架 除了生成式AI安全工具Charlotte AI之前，目前Crowdstrike已经将大模型能力作为XDR平台的重要组成部分。基于多个基础模型，利用CrowdSt