《数字安全能力指南》持续评估定义安全运营

《数字安全能力指南》 持续评估定义安全运营 ContinuousEvaluationdefinesSecurityOperation ©北京数字世界咨询有限公司2023.11 《数字安全能力指南》 持续评估定义安全运营 ContinuousEvaluationdefinesSecurityOperation ©北京数字世界咨询有限公司2023.11 数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础，来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 主笔分析师刘宸宇 首席分析师李少鹏 分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 前言1 关键发现3 概念描述5 什么是持续评估定义安全运营5 与安全运营的关系6 市场现状8 市场概况8 能力企业9 能力基因15 行业需求16 关键能力18 安全评估验证用例的积累18 对海量攻击的提炼与用例转化19 持续评估的自动化程度20 未来展望21 目 录 附录持续评估定义安全运营行业案例22 某大型金融机构用户案例(该案例由360数字安全提供)22 某大型集团用户案例(该案例由矢安科技提供)27 某银行有效性验证案例(该案例由知其安提供)31 前言 随着数字世界的临近，数字安全能力体系从建设阶段向运营阶段过渡，安全运营的效果开始成为用户关心的核心问题，即从“有没有”到“行不行”，再到“好不好”。因此，对安全能力的评估与验证成为国内安全从业者——特别是安全运营人员——越来越多讨论的话题。 这一现象背后，首先有政策的因素，例如在最新的关基保护条例里已经明确的将安全验证加入到安全建设的要求中；其次国内连续几年的高等级实网攻防演练大大加速了机构用户的安全运营水平，用户自身的安全评估验证需求已经自然而然发展出来；第三，这也与国际局势的变化直接相关，国家级APT威胁使得“安全”二字提升到了“网络战”的高度，攻击之前自我评估，威胁之侧持续评估，成为了实战化需求下安全运营的必修课。 在这样的背景下，近几年国内出现了多家专门满足这一需求的初创安全企业，不少传统综合安全大厂也内部蕴育出了相关的产线能力，业内已经逐渐形成了专门针对安全运营进行评估验证的新赛道。 然而，话题热度之后更加应当看清的是，目前国内的安全建设水平仍然有明显的不均衡特点：一是区域不均衡，北上广深成渝西安以及GDP排名较靠前的省份城市，安全建设水平相对较高；二是行业不均衡，金融、运营商、电力能源等关基行业已经走在了前面，但相较而言医疗、教育、工业制造等更多行业仍处在仅仅满足合规的程度；三是即便同行业内，其头部、腰部及以下机构用户，安全能力也存在着明显的不均衡。 由于安全评估验证需求首先从已经具备安全运营体系的机构用户中发展而来，因此这一新赛道的供需双方，目前还只集中在“不均衡”发展的“头部”群体中。那么，腰部及以下的机构用户就不需要评估与验证能力吗？ 答案是显然的，当然需要。只不过，因为这类用户的“安全家底”本身就比较薄，因此不必像“头部”一样做得那么重，只需要标准化或最小化的评估验证能力即可。 因此，无论用户规模大小，无论用户处在头部腰部甚至以下，评估与验证都不是为了给用户“找麻烦”，而是要在传统的安全能力建设之外（绝不限于设备采购、产品部署、驻场服务），使不同发展阶段、不均衡发展状态的各类机构用户都具备“安全运营”的下限，并且持续提升这个“下限”，也就是说，将评估与验证能力与安全运营同步建设，同步提升！ 用持续的评估，重新定义安全运营。这也是我们将这一赛道定义为“持续评估定义安全运营”的最主要原因。 鉴于此，数世咨询撰写本报告，希望能抛砖引玉，对这一领域的产业现状做出初步调研与阐述。 ※报告勘误与交流沟通请联系主笔分析师：刘宸宇liuchenyu@dwcon.cn 关键发现 ●数字安全能力体系从建设阶段向运营阶段过渡，安全运营的效果开始成为用户关心的核心问题，即从“有没有”到“行不行”，再到“好不好”。 ●入侵攻击模拟与安全有效性验证评估的都是安全运营的下限，提升的是MTTD/MTTR的整体效能。 ●持续评估能力帮助机构用户发现已部署的安全产品和配置、以及构建的安全纵深防御体系的有效点、失效点与空白点。 ●持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议，量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。 ●持续评估作为验证与度量的手段，同步参与安全体系的建设。参与度越高，越能有效助力体系建设，提升安全运营能力。 ●持续评估定义安全运营这一细分领域2022年的市场规模已过亿元。预计2023年将达到3亿元。 ●持续评估定义安全运营，行业需求占比排在前四位的是：金融、政府监管、能源电力、运营商。 ●持续评估定义安全运营的三大关键能力：安全评估验证用例的积累、持续评估的自动化程度、对海量攻击的提炼与用例转化。 ●持续评估用例的更新，应支持订阅式推送与开放式更新等多种方式，满足用户对最新威胁的验证与自定义用例验证等需求。 ●短期内，持续评估定义安全运营的采购方将以关基行业中的头部客户为主。 ●中期来看，持续评估定义安全运营将带有显著的行业特征。 ●未来，持续评估与验证能力将成为安全运营的试金石。让安全运营实现从“小作坊”到“工业化”的进阶。 从“有没有”到“行不行”，再到“好不好”，持 续评估将成为安全运营的试金石。 ——数世咨询 概念描述 什么是持续评估定义安全运营 本报告中的“持续评估定义安全运营”(ContinuousEvaluationdefinesSecurityOperation)是指：是指基于实战化最佳实践用例，对机构用户的安全运营体系进行持续性、自动化、常态化的测试、验证与度量等评估工作，并提供合理化改进建议，进而提升安全运营整体效能的解决方案。 “持续评估定义安全运营”的核心价值在于，通过持续评估帮助机构用户发现已部署安全产品、以及构建的安全纵深防御体系的有效点、失效点与空白点，以持续评估报告为安全团队提供可视化的成果汇报与可操作的整改建议，以量化评估结果为安全决策者提供进一步完善安全投入的合理化改进建议。 与“持续评估定义安全运营”相关的一些概念： ●入侵攻击模拟（BreachAttackSimulation-BAS） BAS以模拟仿真的体系化安全攻击手段，评估验证整个安全运营体系发现威胁的能力，发现的是安全运营的短板，弥补的是安全运营的弱点，提升的是安全运营的下限； ●安全有效性验证（CybersecurityValidation-CV） 安全有效性验证用到了BAS技术，但不仅限于BAS，在攻击模拟之外，CV还会对网络、终端等IT环境漂移以及策略、日志等安全运维场景中潜在的失效点进行验证，因此CV重点还会关注安全的一致性，例如通过自动化审计方式对安全设备的策略进行验证；与BAS一样，CV提升的也是安全运营的下限； ●持续自动化红队（ContinuousAutomatedRedTeaming–CART） CART提供的是持续发现潜在攻击路径、对抗APT攻击、提升安全意识等更高阶安全运营需求的能力，提升的是安全运营的上限；CART与上述两项是互补关系，稍有交叉，都无法替代对方。 与安全运营的关系 正如前言中所述，持续评估作为验证与度量的手段，同步参与安全体系的建设。参与度越高，越能有效助力体系建设，提升安全运营能力。如下图所示： 图例：持续评估与安全运营的关系 ●安全体系建设初期，安全团队人很少，安全手段以传统工具/设备为主，此时持续评估的参与度并不高，需求也不强烈。（例如“老三样+渗透测试服 务”，对应图中“渗透测试”箭头）； ●安全体系建设中期，安全团队人数增加，引入了管理制度，并开始建设安全运营平台，此时就需要验证与度量作为量化考核的手段了，在参加一些重保、攻防演练活动前，也有必要提前通过验证与度量先行自我检查（对应图中“攻防演练”箭头）； ●进入安全体系建设成熟期后，大批量的安全工具/设备需要纳管、维护，实战化、常态化安全运营成为安全团队的日常主要工作，为了优化威胁检测与响应流程，提升MTTD/MTTR时效，持续的评估工作（以BAS为例）开始深度参与，不断发现现有安全运营体系的短板与失效点，持续提升整体安全运营水平 （对应图中“入侵攻击模拟”箭头）； 长期来看，理想状态下，安全运营的状态应该如图中红色箭头所示，是一条45°向右上延伸出去的箭头，此时的安全体系建设与持续的评估验证是同步推进的，即安全体系建设、常态安全运营、持续评估验证三位一体实现了同步发展、同步提升。也可以说，通过持续的评估验证，重新定义了安全运营。 市场现状 市场概况 据数世咨询不完全统计，持续评估定义安全运营这一细分领域2022年的市场规模已过亿元，同比增长率约为440%。通过调研我们发现，大多数本赛道的安全企业2021年仍然处在产品开发或用户PoC试用阶段，尚未有商业化成单，进入2022年后，绝大多数参与调研的企业都签约了不同数量的商业客户，整个市场规模也因此有了数倍的增长。 “持续评估定义安全运营”这一新兴技术领域，目前在国内仍处于“市场教育”的相对初级阶段，但随着国内安全运营体系的整体完善，水平整体提升，数世咨询认为评估与验证在接下来的几年内会继续保持高速增长。 图例：持续评估定义安全运营市场规模 按照数世咨询《中国数字安全产业年度报告2023》中的统计数据，2022年国内数字安全产业规模为981.7亿元，预计2023年将达到1030亿元。以此数据为基础，参考金融、政府监管、能源电力、运营商等行业安全运营投入、持续评估所占比例，数世咨询预计2023年持续评估定义安全运营的市场规模 可达到3亿元，2025年预计将增长至10亿元规模。 能力企业 参与本次调研的有360数字安全、安洵信息、灰度安全、绿盟科技、奇安信、赛宁网安、矢安科技、腾讯安全、丈八网安、知其安等安全企业（按公司简称首字母排序）。按照横轴-市场执行力、竖轴-应用创新力为依据，上述企业综合排列如能力点阵图所示： 图例：能力点阵图–持续评估定义安全运营 对于近几年新出现的创新细分领域（例如本报告中的“持续评估定义安全运营”），我们发现仅靠点阵图中应用创新与市场执行这两个维度，难以全面体现创新企业的不同技术基因、产品特点、行业积累、能力优势等特点。 因此，为了更客观体现新赛道中各能力企业的特点，便于最终用户选取更适合自己需求的安全企业作为潜在合作对象，数世咨询将点阵图横坐标“市场执行力”进一步拆解为市场营收、品牌影响力、行业广度、行业深度等四个维度，将“应用创新力“进一步拆解为产品工程化、业务场景化、理论与基础研究、技术融合度四个维度，上述八个维度以蜘蛛图（雷达图）形式进行展现。 点阵图中各企业的蜘蛛图（雷达图）如下所示（按公司简称首字母排序）： 图例：数字安全能力雷达图-持续评估定义安全运营–360 图例：数字安全能力雷达图-持续评估定义安全运营–安洵信息 图