2023年中国网络安全运营市场研究报告 2023-11 数说安全研究院有限公司 关键经营数据分析——现⾦流健康度继续下降 版权声明 本报告由“数说安全研究院”出品(数说安全隶属于北京赛博英杰科技有限公司),报告版权归北京赛博英杰科技有限公司所有,报告中所有原创文字、观点、图片、表格均受中国知识产权法律法规保护。转载、摘编或利用其他方式使用本报告内容的,应向所有者取得书面授权,并注明“来源:数说安全”。违反上述使用的,我司将追究其法律责任。 免责声明 本报告中部分文字和数据采集于公开信息;市场数据通过CSRadar商业分析平台进行统计分析与模型估算获得;企业数据通过公开信息或访谈获得。数说安全对报告内容的准确性、完整性和可靠性尽最大努力的追求。由于研究方法和数据样本具有一定局限性,故在任何情况下,本报告中的信息或所表达的观点仅供客户作为参考,不构成任何建议。本公司不对报告的数据及分析结论承担法律责任。 关键经营数据分析——现⾦流健康度继续下降 安全运营分类 安全运营产品 安全运营服务 SOC SIEM XDR 态势感知 SOAR BAS EDR/CWPP NDR TI ASM DECEPTION 全 运 营 咨 询 服 驻场运维服务 安全托管服务 CAM VA/VPT ITDR SASE 托 管 检 测 与 响 应 服 务 网络安全运营 云安全运营 数据安全运营 工控安全运营 研究背景与研究范围说明 移动安全运营 安全运营应用场景 务 安 建设与运营并重的新阶段。 在我国网安产业近三十年发展过程中,网络安全法实行超过6年、等级保护制度实行接近20年,这两项网安普适性法律法规已对企业网络安全建设产生重要且实质性的影响。目前看,多数企业已完成合规建设,基础安全体系搭建完成,未来将进入深耕细作、 数字应用爆炸式增长导致企业安全风险暴露面不断扩大,网络威胁态势日益严峻。安全运营可以帮助企业将安全技术、安全人员与安全管理制度进行高效聚合,实现更为主动、快速、贯穿全局的防御能力。安全运营已成为海内外广泛认可的重要发展方向,未来也将成为绝大多数企业安全能力提升过程中的核心工作。 企业安全运营需求的快速释放也推动了安全运营市场蓬勃发展。安全运营涵盖范围非常广,主要由安全运营产品、安全运营服务和安全运营应用场景构成,不同应用场景所需要的安全运营产品、安全运营服务以及服务的模式可能存在差异。 本次研究主要针对安全运营服务市场,以市场需求最大的网络安全运营作为主要应用场景,非安全运营平台类产品和其它应用场景的安全运营不作为本次研究的主要内容。 关键经营数据分析——现⾦流健康度继续下降 目录 01 安全运营概述 02 安全运营技术与产品介绍 03 安全运营服务介绍 04 安全运营市场分析 05 安全运营市场优秀项目案例 06 安全运营市场总结与发展趋势 07 附录-安全运营厂商调研情况 关键经营数据分析——现⾦流健康度继续下降 安全运营概述 企业安全管理工作面临的挑战安全运营的模式(甲方视角) 安全运营的定义安全运营的价值 安全运营在网络安全体系中的定位与价值安全运营利好政策 安全运营与安全运维的区别安全运营法律法规 关键经营数据分析——现⾦流健康度继续下降 缺乏安全运营的静态防御模式无法有效应对不断演进的网络安全威胁:国内大多数企业在构建安全体系时主要以满足合规要求作为第一导向,采购大量安全产品并堆叠部署已成为常态。然而,在这种背景下,各安全产品间常常孤立运转,缺乏有效的协同联动能力,企业整体安全策略与防御姿态长期处于静止和被动的状态,难以有效应对日益复杂和精细化、平台化、自动化的网络攻击,企业迫切需要建立动态、主 动的安全运营体系,以达到有效防护的目标。 攻防不对等性导致企业难以实现100%绝对的安全:攻击者在暗而防守者在明,防守方需要耗费大量资源部署长长的防线来保护庞大的网络资产,攻击者只要在100次攻击中成功1次,就可以抵消防守方在99次成功防守中所付出的努力。因此,企业在构建安全防线时,盲目的建设防线并不是最优的选择,更好的办法是在安全运营过程中时刻感知威胁与风险,采用更具针对性、动态的安全策略,并不断加强防御系统 的韧性,保证即便发生攻击或系统被攻破,也能够及时发现、阻断攻击并快速恢复业务。 数说安全研究院 企业在网络安全投入上面临预算压力和资源限制:对于一些企业来说,很难衡量网络安全投资的回报率(ROI),这导致它们在网络安全方面只拥有有限的预算和资源,同时也可能限制其采购和实施最新的安全技术和措施。因此,企业需要找到一种平衡,通过建立高效的安全运营体系,帮助企业最大程度提高系统的安全性,同时实现在有限资源下进行有效管理。 关键经营数据分析——现⾦流健康度继续下降 中国网络安全审查技术与认证中心(CCRC)安全运维服务资质简介 中国信息安全测评中心(CNITSEC) 安全运营服务资质(安全运营过程能力要求) 安全意识和安全技能培训;资产识别和管理;脆弱性识别和管理;应急响应及处理能力;深度威胁检测、研判和管理;安全事件预警与取证分析;风险评估的能力;内部审计和威胁情报处置;态势感知和趋势分析;维护安全运营中心 (SOC)工具生命周期;安全性协调的能力;检验并证实整体安全性。 通过技术设施安全评估,技术设施安全加固,安全漏洞补丁通告、安全事件响应以及信息安全运维咨询,协助组织的信息系统管理人员进行信息系统的安全运维工作,以发现并修复信息系统中所存在的安全隐患,降低安全隐患被非法利用的可能性,并在安全隐患被利用后及时加以响应。 数说安全对安全运营的定义 结合行业主管部门对安全运维的定义和安全运营能力过程要求,数说安全对安全运营定义如下:安全运营是通过统一和协调组织内安全人员、安全技术和安全管理流程,对组织面临的安全风险进行预警、识别、保护、检测、响应的过程。安全运营的目标是发现组织已存在或未来可能会出现的安全风险,并利用高效的安全防控措施来主动化解风险,以此不断改善组织的安全状况。 预警 安全管理流程 识别 攻击 保护 威胁 安全技术 安全人员 检测 风险 响应 关键经营数据分析——现⾦流健康度继续下降 IDS 密码 资产安全盘面 基础结构安全的防御姿态posture,主要就是解决“资产-漏洞-配置-补丁” 问题的系统安全 防火墙 IDS 防病毒 密码 VA 网闸 UTM IPS EPP IAM SOC WAF 纵深防线盘面 纵深防御的防御姿态posture,是防护策 略有效性,以构成坚实的防御“阵地” 防火墙 防病毒 IDS 密码 VA 网闸 UTM IPS EPP IAM SOC WAF 云计算 大数据 移动 区块链 业务安全 物联网 车联网 工控 AI UEBA SDN ZTNA CAM DECEPTION SOAR SASE TI XDR 威胁处置盘面 积极防御的posture,是威胁发现能力和处置及时性有效 防火墙 防病毒 基础结构安全 纵深防御 态势感知与积极防御 关键经营数据分析——现⾦流健康度继续下降 安全运维 安全运营 以保障企业网络安全基础设施正常使用和稳定运行为主要目标 目标 通过主动化解网络安全风险来保障企业数字化业务稳定运行为主要目标 工作围绕用户现有的网络安全设施,比如防火墙、WAF、上网行为管理、防病毒软件、终端安全管理等网络安全产品 范围 工作围绕企业所有数字化业务和应用而展开,通过安全运营来保护企业IT资产、数据资产、互联网资产不被侵害 安全巡检、配置核查、产品运行状态监控、产品升级、设备维保、等保整改等 过程 资产盘点、漏洞管理、渗透测试、风险评估、安全加固、威胁管理、态势感知、风险缓解、应急响应、溯源取证等 人工和手动为主、以少量工具作为辅助 方法 通过人+自动化平台/工具实现人机合智的安全运营与管理 关键经营数据分析——现⾦流健康度继续下降 数说安全研究院 完全自建模式 组织具有成熟的安全体系,安全管理流程、安全人员、安全技术均由组织自建自筹; 组织CSO(首席安全官)对本组织的安全运营情况和效果负责; 组织具备充足的安全预算,已建成体系化的安全架构,拥有专业的安全运营团队,安全运营是保障组织业务发展的重要因素。 目前在市场中,采用完全自建模式的客户比例不超过3%。 产品体系自建+采购驻场运维服务模式 组织通过安全集成的方式购买安全产品并建立安全防护体系,但组织内安全人员有限,需要以人力外包的方式补充安全运营人员; 组织CSO(首席安全官)对本组织的安全运营情况和效果负责; 组织安全预算相对充足,但预算优先投入安全技术体系建设,拥有相对成熟的安全管理流程,但受限于组织体制、技术能力与人员编制控制等原因,无法自建完整的安全运营团队。 安全托管模式(MSS) 组织建立了安全防护体系,但没有独立的安全运营团队,也不具备安全运营能力,需要将安全运营工作委托给外部专业的安全公司; 受委托的安全公司针对组织面临的安全需求,制定组织安全管理流 程、配备安全运营人员、提供安全运营工具,以云端/远程的交付方式实现对组织安全运营工作的全面托管,并对最终的效果负责; 组织安全预算有限,短期内不具备自筹自建安全运营体系的能力。 托管检测与响应模式(MDR) 除基础安全运营工作外,组织更关注自身面临的网络攻击与威胁,但组织不具备相应的技术能力,需要将威胁检测、威胁分析、威胁响应等工作委托给外部专业的安全公司; 受委托的安全公司为组织提供面向威胁视角的托管式安全服务,包括部署威胁检测探针、威胁分析和响应平台等基础设施,并在云端配备安全专家,为组织提供7*24小时的威胁检测与响应服务。 关键经营数据分析——现⾦流健康度继续下降 国内以合规为导向的市场供需关系导致企业购买了很多安全产品,但并未通过技术有机结合形成有效的体系化能力,安全运营可以在弥补企业管理能力与技术能力的同时,合理规划安全需求与安全投入,实现物尽其用,减少冗余和重复性投资,以此降低企业整体的安全成本。 成熟的安全运营将打破传统网络安全管理的模式,在管理制度和管理流程基础上,进一步采用科学的数字化管理指标,通过风险平均检测时间(MTTD)、平均确认时间(MTTA)、平均遏制时间(MTTC)、平均恢复时间(MTTR)等多项指标量化安全运营过程和结果,从而达成更精细、可度量的安全管理能力。 安全管理指标化 安全运营通过威胁情报预测、主动监控、安全测试等多样化手段,提前发现企业可能面临的安全风险和威胁,自适应调整对抗策略,降低企业发生网络安全风险的可能性。同时,在风险发生时,安全运营可以实现快速的风险定位,通过体系化的安全运营流程来化解风险,在减少企业损失的同时不断强化实战能力。 安全能力实战化 安全成本最小化 企业安全投入与产出不匹配是我国网安产业一直以来面临的突出矛盾,其主要原因在于长期形成的堆叠式安全体系,在没有良好的管理和运营的情况下,无法带来令人满意的安全价值。2016年开始的实网攻防,其目的也是解决让企业看到安全价值的问题,安全运营未来将进一步加速这个价值平衡的过程。 安全价值最大化 数说安全研究院 关键经营数据分析——现⾦流健康度继续下降 《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》十三届人大四次会议2021.3 第十八章第三节:加强网络安全保护,健全国家网络安全法律法规和制度标准,加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系,提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,提升网络