数世咨询:网络安全态势感知能力指南
态势感知在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段。在技术分类上属于《网络安全能力总分类》八大领域中的“框架平台”。据本次调研统计,2019年国内态势感知市场规模约在32亿元左右,预计2021年将达到54亿元左右。
态势感知从应用场景的角度可分为:政府监管、行业监管、企业运营。从能力提供角度可分为:产品、解决方案、服务及平台。以自身产品为主的态势感知体系的提供者主要为大型综合性厂商和设备厂商, 解决方案主要由安全软件能力和攻防能力较强的厂商提供,态势感知运营服务则由行业用户长期经验和安全服务人员数量庞大的厂商提供,平台类的态势感知则由具备大型用户资源但本身不提供具体安全能力的厂商提供。以上四类提供方式不一定独立,尤其在综合性厂商中互有重叠与交叉。
态势感知体系的功能模块主要包含:资产管理、漏洞与威胁检测、配置核查、安全合规、日志管理、威胁情报、沙箱、用户行为分析、网络流量分析、取证溯源、通报预警、可视化展示等。近两年,随着用户对态势感知能力要求的不断提升, 一些新兴技术与框架如:EDR(端点检测与响应)、SOAR(安全编排自动化与响应)、威胁捕捉、加密流量检测、ATT&CK框架等也逐渐加入到态势感知能力组成中。
本次参与态势感知调研的安全厂商共38家,入选态势感知能力点阵的安全厂商有23家,分别为: 兰云科技、安信天行、安全狗、盛华安、盛邦安全、华青融天、永信至诚、东软、迪普科技、PCSA行业云联盟、安天、恒安嘉新、观安信息、瀚思科技、新华三、天融信、启明星辰、安恒信息、奇安信、华为、绿盟科技、亚信安全、深信服。未入选的15家厂商,因态势感知系统更偏向于某一细分技术,或者通用的网络与信息系统场景,如移动态势感知、工业态势感知、数据态势感知等。还有一些厂商的态势感知体系与本报告所定义的“态势感知”概念不符,因此未能进入本次态势感知能力点阵图。
态势感知并非是一个系列的产品套装,或是大量堆砌起来的安全设备,而是由多种能力与机制结合而成的综合性安全体系。
态势感知体系的三个核心技术支撑,信息资产管理、大数据收集与关联分析、安全管理与运营。
态势感知从应用场景可分为政府监管、行业监管、企业运营,从能力提供可分为产品、解决方案、服务和安全平台。
产品线完整性、产品及其数据的对接、大数据分析、安全服务和对业务的理解,是态势感知能力优势的衡量点。
态势感知的落地难点在于,缺乏体系化思维、检测分析能力不足、不同产品的对接成本高和安全运营人员的短缺。
六大发展趋势:安全平台化、完整体系化、双人智能化、托管服务化、环境融合化和应用场景化。
资产管理:对网络空间资产的盘点、登记、梳理与掌控,是整个态势感知体系最为底层的基础。没有准确的资产管理,就没有有效的数据分析。
大数据分析:充分结合设备、系统及应用的日志、漏洞信息、网络流量等内部数据和威胁情报等外部数据,进行关联分析。
安全管理与运营:持续的预测、保护、检测与响应,围绕着安全管理与运营中心展开。任何一个复杂体系的良好运转,均无法离开统一指挥和联动执行。
政府监管:政府监管部门对监管范围内的全网网络安全状态进行监督管理,包括对攻击、威胁与风险态势的掌握,以及定位安全事件和对责任方进行通告。
行业监管:行业监管类的态势感知,主要用于对带有行业性质的所属下级单位的监督管理。掌握本行业的安全态势,并对本行业下属机构的安全工作进行指导性的组织与协调。
机构运营:运营类态势感知主要用于机构和企业自身的网络安全管理与保障工作。
产品:一些规模较大的综合性安全厂商,自身具备比较完整的安全产品线,基于自有设备打造出一套相对标准化的态势感知体系。
解决方案:相对于产品能力的标准化,解决方案偏重于定制化。用户或基于自身需求的特殊性,需要一套适合自身业务的安全解决方案,或已经具备了一定的安全基础设施,需要升级、补充或适配。
服务:对安全态势的分析、决策、响应依然需要大量的安全人才进行人工处理。因此,安全厂商在提供态势感知架构的同时,也会提供相应的安全服务作为运营支撑。服务能力的输出一般有驻场和远程运维两种形式。
平台:平台提供者只负责提供态势感知的基础架构,这个架构根据用户需求,可以对接任何主流安全设备或安全工具。
全文完
作者: