随着社会数字化转型的深入,网络攻击事件日渐增多、破坏力逐步增强。国际上通用的安全方法论,正逐步从“针对威胁的安全防御”向“面向业务的安全治理”(IPDRR等)演进。2014年美国NIST发布了CSF(Cybersecurity Framework,网络安全框架)三大组成部分,IPDRR是其核心框架。
企业网络安全系统框架(参考IPDRR)
IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理(韧性)的模型,变被动为主动,最终达成自适应的安全能力。
IPDRR模型体现了安全保障系统化的思想,管理与技术结合,充分利用当前“主动纵深防御体系、网络信任体系、动态安全自适应体系”的长期积累,设法建立一个让攻击者“进不来、看不见、搞不坏、走不脱”的体系,建立不利于攻击方存活的环境,通过体系的力量扭转攻防不对称,从而有效保障系统核心业务的安全。整体的IPDRR也是安全态势感知体系建立的基础参考模型,通过动态的持续安全检测来实现IPDR的闭环安全,为用户提供完善的安全能力框架和支撑体系。
安全态势感知市场空间巨大
需求日益增长
具体到中国的安全态势感知市场,相关咨询机构预计2021年将达到54亿元左右。这个数字应该包括跟安全态势感知相关联的产品及安全服务,在国内整体网络安全市场中的占比在6%左右。打开全球市场来看,在国际通用的安全产品市场分类中是没有安全态势感知的,SIEM市场是最接近的分类。所以要看安全态势感知的市场,我们可以从全球的SIEM市场说起。
SIEM市场已经存在了二十年,最初是从日志管理产品发展而来的,它结合了安全事件管理(SEM)和安全信息管理(SIM),可以实时分析事件和日志等数据,提供威胁监控,事件关联和事件响应。发展至今,SIEM产品越来越注重针对内部和外部威胁的高级威胁检测和响应功能,尤其是新型的检测方法和响应方式。新型检测方法指NTA(Network Traffic Analyzer,网络流量分析器)、UEBA(User and Entity Behavior Analytics,用户行为分析)及其他高级安全分析方法(如威胁情报和Deception等);响应方式特指Gartner提出的SOAR。另外,大数据架构已经成为主流,这也使得新入局的SIEM厂商有机会利用成熟的大数据去构建其底层架构,从而为快速赶上甚至超越传统的厂商创造了有利条件。Gartner甚至把这种新型的SIEM系统取了一个时髦的名字“Modern SIEM”。另外我们也经常听到SOC(Security Operation Center,安全运营中心)这个概念,本质上SOC不是一款单纯的产品,而是一个复杂的体系,他既有产品,又有服务,还有运营。SOC是技术、流程和人的有机结合,可以简单看成是SIEM + 安全运营服务。
从2005年开始,Gartner每年都会发布一份关于SIEM的报告,至今从未中断过。有意思的是,Gartner的研究报告投入了大部分的精力在网络与信息安全领域。而在所有涉及安全领域的报告中,跟 SIEM有关的文章占据了很大的篇幅,分析报告的数量比例远高于SIEM产品在安全市场的占比。尽管市场上有不少客户部署SIEM失败的案例,但客户依然热此不疲。足见市场背后的需求推动力大过了部署失败的风险。这从侧面说明这是个有刚性需求但目前无法被很好满足的市场。
综合分析Gartner 2019年SIEM MQ报告以及最新发布的Market Share报告,总结出下面几个特点:
- 2019年全球SIEM市场总份额已经超过30亿美元,依然是双雄争霸的格局,且集中度更高。Splunk和IBM 2019年占比已达50%(2017年44%左右),同时在竞争力上也持续领先。Splunk强在平台能力和应用市场模式;IBM胜在功能更全,除了高级安全分析和响应外、UEBA、NTA、脆弱性管理、风险管理和Watson的AI一应俱全。但这两强在中国的市场份额并不大,除了价格因素外,本地化的服务和运营应该是最主要原因;
- 客户更加强调SIEM产品实时分析安全事件的能力,要支持攻击和违规行为的早期检测。单一的NTA和UEBA产品的市场客户群体太小,它们多是面向一些有能力自建SOC的客户(金融、OTT、大型企业)。所以类似NTA、UEBA和威胁情报等技术不断下沉,越来越多成为SIEM的一个基础能力,未来我们单纯去讲述这些技术,或者单纯依靠这些技术的产品将不会再有大的增长,更多见到的是将这些技术与其它技术结合起来的产品和应用。客户更聚焦于结合这些技术有什么应用场景,达到了什么安全效果?SIEM产品成为一个高级安全分析和响应技术的全集,与国内提出的态势感知这个品类无限趋同;
- SIEM的供应商格局不断变化,云厂商开始涉足SIEM,带来了云化的SaaS产品。同时拥有成熟的SIEM技术的供应商也正在迅速更新其架构并引入基于云的产品和服务模式。几乎所有厂商都通过自研、收购或第三方的合作提供SOAR解决方案,持续增强调查能力和威胁的响应能力;
- 客户除了在购买SIEM产品外,也更加重视购买原厂的运维服务或第三方服务。购买服务主要是因为自身缺乏安全威胁分析和处理的资源(包括人力、流程和工具等),另外综合的成本也是一个重要的考虑因素。这其实对MSS或MDR市场是一个极大的促进。
- 综上所述,笔者认为,整体SIEM市场呈现良好的发展趋势。近几年市场实际规模基本都比Gartner预计的市场规模要高,复合增长率也近20%。技术上不断有新技术或模式引入,技术上的丰富和叠加是为了更快更准的分析和响应,而不是利用不同安全产品拼凑组合。在实际市场表现方面,越来越多的客户认识到SIEM产品和服务并重的必要性,同时认为建SOC有价值的客户也日益增多。
安全监管与安全运营,不同?相同?
SIEM市场的发展其实给国内的安全态势感知市场提供了参考,将更多的先进的技术融入安全大数据平台是未来安全态势感知发展的一个方向,要有统一的平台和丰富的技术手段及应用才能满足客户的诉求。国内安全态势感知市场主要面向两类场景:监管类和安全运营类。从当前需求量来看,监管类市场是安全态势感知的基本盘,是各厂商的必争之地。安全运营类市场,大家各显神通,努力争取各种与SOC相关的建设机会。但笔者认为,未来的大盘一定是安全运营类市场,包括基于云服务的安全运营,这其实也就是国际上通用的SIEM市场。具体每类场景的客户需求可以参考相关的文章,这里不再赘述。结合近几年与客户交流的心得,讲一些有意思的特点。
监管类场景往往有以下特点:
- 项目一般分阶段建设,不同的阶段可能引入不同的厂商
- 多数场景都是多厂商检测方案的组合
- 需要业务流程相关的应用定制
- 安全服务资源缺失,需要厂家的服务支撑
安全运营场景有以下特点:
- 一般都已有自建的SOC,不会推倒重新建设安全态势感知系统
- 需要能力非常强的安全组件,比如沙箱、NTA、UEBA和威胁情报等独立的产品
- 有能力自研结合业务的安全应用
- 有自己的运维团队,一般自运维,厂家提供技术支撑
虽然这两类场景有一些看似截然不同的需求,究其本质,还是能归纳出三个重要的共性:检测要准确;运维要简便;应用开发要快速灵活。不管是监管类的引入不同的厂商,还是安全运营类需要能力强大的安全组件,主要都是为了增强检测能力;无论是购买服务或自运维都希望运维能更简单,运营更高效;不论是由厂商定制应用或自研都希望能有一个好的平台,能够快速灵活的开发,同时开发出来的各种应用风格和认证能够统一,不是简单的应用拼凑。
基于自进化AI的HiSec Insight
智能防御的开放创新
基于上述安全态势感知的场景特点,华为在2020年4月21日发布了基于自进化AI的HiSec Insight安全态势感知系统。提出了“感知自进化、运维自简化、应用自适应”的三大理念。
- 感知自进化:业界首发自进化AI检测引擎威胁检测精确率大于95%;
- 运维自简化:基于威胁知识图谱+GNN的安全推理和威胁响应引擎,运营成本降低30%;
- 应用自适应:全国产化开放式数字安全底座,像搭乐高积木一样快速开发应用。
在整体架构设计上,华为HiSec Insight基于分层解耦的原则,将系统划分为四层,即:平台服务层、数据服务层、分析服务层和安全应用层。在每一层都可以将功能都抽象成独立的微服务,并提供给安全应用层使用。同时HiSec Insight微服务架构与华为云上的微服务架构是同源的,因此安全应用厂商可以便利借助华为云进行开发和调测,快速无缝移植到与HiSec Insight安全态势感知系统上。针对原有的安全应用,HiSec Insight也提供了基于Restful、Syslog等标准的北向接口,进行对接适配。具体的技术细节可参考《基于标准化微服务架构加速安全应用开发》。
安全态势感知产业的发展仅仅依靠每个厂商各自全栈能力的构建,始终无法满足客户建立完整安全监测中心或运营中心的诉求,所以常见客户对新建或扩展这类系统孜孜不倦的追求。“一花独放不是春,百花齐放春满园”。华为通过HiSec Insight开放的软硬件平台,结合将AI和大数据技术应用于安全检测和运维领域的技术积累,打造完全开放创新的“数字安全底座”。希望携手国内在安全态势感知应用和检测能力方面具备独特能力的同行共建满足客户业务需求,服务好客户的安全态势感知系统,促进产业健康发展。
