中国网络安全十大创新方向
AI智能总结
中国网络安全十大创新方向 ChinaCybersecurityInnovationDirectionReport 2022-10 数说安全研究院 关键经营数据分析——现金流健康度继续下降 扩展检测响应(eXtendedDetectionandResponse) XDR平台可以跨区域收集来自多种安全设施的检测数据,并对其进行统一的集成、关联和上下文等事件化分析,以全局视角进行威胁研判,从而获得更准确和全面的检测结果。XDR旨在高效集成产品,打破信息孤岛,降低企业内的无效告警和安全运营成本,未来将吸引难以从SOC或SIEM解决方案中获得价值的安全运营团队。 扩展检测与响应模式 多源数据采集/上下文可见/深度关联分析/高效溯源 EDR SOAR NDR API 蜜罐 XDR 平台 SOC/SIEM IDPS TI CWPP SaaS 微隔离 1、(大场景)SOC平台能力补充; 2、(小场景)网络环境降噪/充当SOC; 3、(新场景)云地混合场景威胁检测响应; 4、(安服场景)MDR方案的工作平台。 应用场景 1、一体化威胁检测能力(云/网/端); 2、AI/ML/UEBA等技术的利用与效率; 3、多源数据整合与上下文关联分析能力; 4、ATT&CK等攻击链覆盖与攻击溯源能力; 5、API集成与自动化响应能力。 核心能力 安全分析中心 EDR 安全分析中心 NDR 安全分析中心 蜜罐 SOC/SIEM 安全分析中心 IDPS 安全分析中心 CWPP 安全分析中心 微隔离 1、XDR方案开销与客户现有安全投入的平衡; 2、技术开放性与第三方能力的整合; 3、在云/多云/云地混合环境下XDR能力构建。 关键挑战 典型厂商 日志级分析/信息孤立/告警繁杂/误报率高 传统检测与响应模式 关键经营数据分析——现金流健康度继续下降 1、多维安全有效性验证能力(设备/策略/脆弱性) 2、量化评估与风险优先级识别能力; 3、模拟入侵能力(入侵方法与数量/自动化能力/攻击载体类型/ATT&CK框架匹配度等); 4、场景覆盖度(云/IoT/工控/Mobile等新场景)。 核心能力 1、安全验证覆盖面能力(终端/边界/应用/数据等); 2、验证结果的可靠性与全面性; 3、全场景匹配度与自身安全性保障; 4、产品部署成本、自动化程度与易用性。 关键挑战 1、基于内需驱动的高安全性网络环境; 2、企业安全运营效率提升与安全防御体系优化; 3、安全服务中降低人工成本,量化服务价值。 应用场景 典型厂商 入侵与攻击模拟(BreachandAttackSimulation) 传统的风险评估技术侧重于识别系统、网络和应用程序漏洞,BAS方案可以更进一步。BAS是指通过主动验证+(半)自动化的方式,利用攻击者的战术、技术和程序来模拟杀伤链的不同阶段,持续测试和验证现有网络整体的安全机制(包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护手段是否按预期运行等),对企业对抗外部威胁的能力进行量化评估,同时提供改进建议,推动企业安全体系走向成熟。 风险评估技术 BAS 渗透测试 漏洞扫描 工作时效性 7x24 事件触发 周期性 交互性 自动 人工+自动 N/A 评估机制 安全体系风险量化评估 漏洞风险评估 漏洞检测 评估维度 较广 有限 仅漏洞 评估过程回放 支持 有限 无 回归测试验证 持续性验证 有限 有限 可管理性 高 低 中 关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 1、资产发现能力(互联网/云资产/影子IT/数字资产/个人隐私等未知资产); 2、全局风险优先级评估能力(自动化安全评估/ 漏洞优先级VPT等技术利用); 3、多维情报体系(威胁/漏洞/暗网/深网数据情报等)。 核心能力 1、海量数据采集与关联分析和风险研判能力; 2、支持测绘的攻击面类型和数量; 3、云生态发展对云资产可视化与风险评估的影响。 关键挑战 1、IT资产对外且分散,亟待缩小互联网暴露面的大中型企业; 2、互联网/消费者企业数字资产保护与安全运营; 3、重要/关键业务场景主动防御能力提升,实现高风险判定和攻击面收敛。 应用场景 典型厂商 我有哪些物理资产,这些资产分布在哪里? 管理者视角 我的服务器有哪些漏洞? 我对外提供了哪些服务? 有哪些BYOD设备?还有哪些OT资产? 目前API资产和使用情况? 企业有哪些云资产? 攻击者视角 企业外部数字资产有哪些? 企业有哪些泄漏的数据?员工个人隐私和社交信息? 企业云应用中有哪些配置错误? 网络钓鱼和社工入口在哪里? 企业供应链有哪些? 攻击面管理(AttackSurfaceManagement) 攻击面是指企业所有可被利用的风险因素的集合,这些风险因素大多分布在物理面(例如端点、网络、服务器等设备漏洞)和数字面(例如企业数据泄漏、品牌侵权、个人隐私信息泄漏、网络钓鱼等)。攻击面管理旨在识别、分类这些风险因素,并对其进行优先级排序和持续监控。攻击面范围较为宽泛,按照企业管理者和外部攻击者两个不同视角,可分为网络资产攻击面管理(CAASM)和外部攻击面管理(EASM)两种。 关键经营数据分析——现金流健康度继续下降 安全运营服务(SecurityOperationServices) 安全运营服务是适用于我国实际国情的新型安全服务形态,按照目标客群、服务范围、能力边界不同,又分为传统MSS服务(托管式安全服务)和新型MDR服务(托管式检测与响应服务)。MSS服务侧重于管理和维护与安全相关的技术和产品,以保障企业IT基础设施稳定运行为目标,MDR服务则以更高的视角聚焦攻击与威胁,通过云网端数据共享与分析,提升企业在威胁检测与响应处置方面的能力。目前MSS与MDR服务商已呈现融合趋势,未来随着市场服务型需求持续释放,这种融合趋势将进一步加深。 1、中高级安全专家数量,并实现人员高效复用; 2、利旧或提供安全分析平台,实现自动化工作流; 3、整合产品/平台/人员,牵引在线服务模式/能力; 4、威胁情报能力集成; 5、7x24小时全天候安全监控与报警,有规范的应急响应制度,可输出准确全面的安全分析报告。 核心能力 1、合规驱动但无安全基础的SMB场景; 2、部署多种安全设备但安全运营效率低下中大型企事业单位; 3、事件驱动型场景:攻防演练、重保、风险评估等; 4、多分支、管理成本较高的分布式网络。 应用场景 服务广度 设备管理 基础安全策略管理 EDR/NDR 威胁狩猎 威胁情报与预警高级专家分析 软件升级与补丁管理 漏洞扫描 MSS 7x24安全监控 日志分析 安全告警 合规性管理 APT监测 溯源取证 分析报告 自动化响应 MDR 1、服务SaaS化,提高人效比; 2、安全事件分析的准确性与响应速度; 3、对云/工控/物联网等新场景下服务能力的覆盖。 关键挑战 典型厂商 度 服务深 关键经营数据分析——现金流健康度继续下降 典型厂商 关键挑战 1、软件开发生命周期(SDLC)安全赋能; 2、软件供应链风险评估(断供/卡脖子风控) 3、云原生应用程序安全开发与运营; 4、国产化场景下SBOM梳理与自主可控评估。 应用场景 Sec 开发安全体系评估 安全开发过程改善 安全需求与设计 开发安全规范培训 开发安全咨询服务 开发 测试 代码提交 集成测试 验证 系统测试 部署 释放 WAF DAST RASP API SAST IAST CASB SCA Fuzzing 基于漏洞的告警 SOC/SIEM 基于攻击的告警 Dev Ops 软件供应链安全与开发安全(SoftwareSupplyChainSecurity&DevSecOps) 受事件驱动(SolarWinds事件等)、国际关系变化(贸易摩擦、技术封锁、网络战)等因素叠加影响,近年来软件供应链安全概念持续升温。软件供应链的安全风险因素来自于软件全生命周期,除了源头上软件开发环节,也包括软件上线发布和软件运行使用等环节。开发安全不完全等同于软件供应链安全,但开发安全却是保障软件供应链安全最重要的起点,安全左移大势所趋,DevSecOps未来或将由场景型技术转变为普适性技术,引领新一轮安全技术的演进。 1、代码级检测分析能力(代码审计/SAST); 2、开源治理能力(SCA); 3、应用安全检测能力(IAST/DAST/Fuzzing); 4、运行时应用程序自保护能力(RASP); 5、开发安全一体化管理平台。 核心能力 1、产品&技术与开发流程无缝集成的能力; 2、漏洞风险优先级评估与补救能力; 3、产品自动化程度与易用性; 4、相关技术标准与市场驱动力的构建; 5、商业路径规划与目标客群触达能力。 关键经营数据分析——现金流健康度继续下降 1、对各场景业务与数据流转的全面梳理能力; 2、对数据全生命周期安全防护和监测能力; 3、数据安全平台与能力单元智能化联动能力; 4、敏感数据自动发现及大数据分析能力。 核心能力 1、业务与安全威胁/合规/风险容忍度的平衡; 2、各行业、地区重要数据的定义和差异; 3、业务变化后持续优化和保障的能力; 4、数据识别技术的覆盖率、效率和准确率。 关键挑战 1、客户侧全局数据资产管理与风险监测; 2、主管/监管侧对全行业数据安全态势掌控; 3、数据安全行为动态控制; 4、数据安全流转可视化监测; 5、数据安全合规性检验。 应用场景 典型厂商 数据安全平台(DataSecurityPlatforms) 数据安全平台是以数据为中心,面向数据全生命周期构建的安全管理与防护体系,其核心是在数据风险防护与合规监管的推动下,根据具体的业务处理场景和生命周期各个环节,以数据发现和数据分类分级为基础,以数据流转监控及数据风险评估为目标,融合了多种数据安全技术来实现平台化数据安全防护。随着数据安全场景需求和产品技术的不断发展,数据安全运营平台、零信任数据安全平台、数据安全监测平台等解决方案正逐步成为各安全厂商在数据安全领域所聚焦的方向。 关键经营数据分析——现金流健康度继续下降 云安全左移 风险识别 AST/SCA API扫描 云配置管理 CIEM 身份 CSPM 行为 运行时保护 CWPP 工作负载 WAAP 应用程序 云原生应用保护平台 1、云资产全面风险可视、威胁响应及漏洞修复; 2、云原生应用程序全生命周期开发运营安全; 3、CWPP、CIEM、CSPM等技术平台融合; 4、云原生应用及工作负载运行时保护。 核心能力 1、云原生应用和工作负载可见性全面识别能力; 2、云原生应用和工作负载从DevOps过渡到DevSecOps的投入成本及复杂性; 3、与客户现网中云防护系统功能重叠情况下的能力评估及技术联动。 关键挑战 1、云原生工作负载运行时可疑行为检测及保护; 2、云原生基础设施合规性和完整性验证; 3、云原生工作负载及开发过程漏洞扫描和管理; 4、云原生应用(WEB及API)安全防护。 应用场景 典型厂商 云原生应用保护平台(Cloud-nativeapplicationprotectionplatforms) 云原生应用保护平台(CNAPP)是一套集成安全性和合规性功能,旨在帮助云原生应用程序在开发和生产过程中进行保护。其整合了多种云原生安全工具和技术,包括:容器扫描、云安全态势管理(CSPM)、基础设施即代码扫描、云基础设施授权管理(CIEM)和运行时云工作负载保护平台 (CWPP)。它可以保护从系统代码到业务开展的整个应用程序开发生命周期安全,提高对云工作负载的可见性,增强对云环境中安全性和合规性风险的控制。 关键经营数据分析——现金流健康度继续下降 03 安全服务 CASBSWGZTNA/VPN FWaaSRBI 应用安全数据安全 02 网络服务 SD-WAN
