淺談網絡安全態勢感知產業的發展

　　安全態勢感知的概念已經出現多年，被行業開始炒作是在4.19講話之後，這兩年被廣大的用戶熟知並接納。關於什麼是安全態勢感知，NIST、Gart呢如何IDC都有定義。總體來看都包含以下5個方面：風險識別。安全檢測、取證溯源。威脅響應以及各種安全態勢城市呈現和報表，如果按照字面的意思應該再加上對未來安全態勢的預測，但這是後話了。

　　隨著社會數位化轉型的深入，網絡攻擊事件日漸增多、破壞力逐步增強。國際上通用的安全方法論，正逐步從「針對威脅的安全防禦」向「面向業務的安全治理」（IPDRR等）演進。2014年美國NIST發布了CSF（Cybersecurity Framework，網絡安全框架）三大組成部分，IPDRR是其核心框架。

　　企業網絡安全系統框架（參考IPDRR）

　　IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力，從以防護為核心的模型，轉向以檢測和業務連續性管理（韌性）的模型，變被動為主動，最終達成自適應的安全能力。

　　IPDRR模型體現了安全保障系統化的思想，管理與技術結合，充分利用當前「主動縱深防禦體系、網絡信任體系、動態安全自適應體系」的長期積累，設法建立一個讓攻擊者「進不來、看不見、搞不壞、走不脫」的體系，建立不利於攻擊方存活的環境，通過體系的力量扭轉攻防不對稱，從而有效保障系統核心業務的安全。整體的IPDRR也是安全態勢感知體系建立的基礎參考模型，通過動態的持續安全檢測來實現IPDR的閉環安全，為用戶提供完善的安全能力框架和支撐體系。

　　安全態勢感知市場空間巨大

　　需求日益增長

　　具體到中國的安全態勢感知市場，相關諮詢機構預計2021年將達到54億元左右。這個數字應該包括跟安全態勢感知相關聯的產品及安全服務，在國內整體網絡安全市場中的佔比在6%左右。打開全球市場來看，在國際通用的安全產品市場分類中是沒有安全態勢感知的，SIEM市場是最接近的分類。所以要看安全態勢感知的市場，我們可以從全球的SIEM市場說起。

　　SIEM市場已經存在了二十年，最初是從日誌管理產品發展而來的，它結合了安全事件管理（SEM）和安全信息管理（SIM），可以實時分析事件和日誌等數據，提供威脅監控，事件關聯和事件響應。發展至今，SIEM產品越來越注重針對內部和外部威脅的高級威脅檢測和響應功能，尤其是新型的檢測方法和響應方式。新型檢測方法指NTA（Network Traffic Analyzer，網絡流量分析器）、UEBA（User and Entity Behavior Analytics，用戶行為分析）及其他高級安全分析方法（如威脅情報和Deception等）；響應方式特指Gartner提出的SOAR。另外，大數據架構已經成為主流，這也使得新入局的SIEM廠商有機會利用成熟的大數據去構建其底層架構，從而為快速趕上甚至超越傳統的廠商創造了有利條件。Gartner甚至把這種新型的SIEM系統取了一個時髦的名字「Modern SIEM」。另外我們也經常聽到SOC（Security Operation Center，安全運營中心）這個概念，本質上SOC不是一款單純的產品，而是一個複雜的體系，他既有產品，又有服務，還有運營。SOC是技術、流程和人的有機結合，可以簡單看成是SIEM + 安全運營服務。

　　從2005年開始，Gartner每年都會發布一份關於SIEM的報告，至今從未中斷過。有意思的是，Gartner的研究報告投入了大部分的精力在網絡與信息安全領域。而在所有涉及安全領域的報告中，跟 SIEM有關的文章佔據了很大的篇幅，分析報告的數量比例遠高於SIEM產品在安全市場的佔比。儘管市場上有不少客戶部署SIEM失敗的案例，但客戶依然熱此不疲。足見市場背後的需求推動力大過了部署失敗的風險。這從側面說明這是個有剛性需求但目前無法被很好滿足的市場。

　　綜合分析Gartner 2019年SIEM MQ報告以及最新發布的Market Share報告，總結出下面幾個特點：

1. 2019年全球SIEM市場總份額已經超過30億美元，依然是雙雄爭霸的格局，且集中度更高。Splunk和IBM 2019年佔比已達50%（2017年44%左右），同時在競爭力上也持續領先。Splunk強在平臺能力和應用市場模式；IBM勝在功能更全，除了高級安全分析和響應外、UEBA、NTA、脆弱性管理、風險管理和Watson的AI一應俱全。但這兩強在中國的市場份額並不大，除了價格因素外，本地化的服務和運營應該是最主要原因；
2. 客戶更加強調SIEM產品實時分析安全事件的能力，要支持攻擊和違規行為的早期檢測。單一的NTA和UEBA產品的市場客戶群體太小，它們多是面向一些有能力自建SOC的客戶（金融、OTT、大型企業）。所以類似NTA、UEBA和威脅情報等技術不斷下沉，越來越多成為SIEM的一個基礎能力，未來我們單純去講述這些技術，或者單純依靠這些技術的產品將不會再有大的增長，更多見到的是將這些技術與其它技術結合起來的產品和應用。客戶更聚焦於結合這些技術有什麼應用場景，達到了什麼安全效果？SIEM產品成為一個高級安全分析和響應技術的全集，與國內提出的態勢感知這個品類無限趨同；
3. SIEM的供應商格局不斷變化，雲廠商開始涉足SIEM，帶來了雲化的SaaS產品。同時擁有成熟的SIEM技術的供應商也正在迅速更新其架構並引入基於雲的產品和服務模式。幾乎所有廠商都通過自研、收購或第三方的合作提供SOAR解決方案，持續增強調查能力和威脅的響應能力；
4. 客戶除了在購買SIEM產品外，也更加重視購買原廠的運維服務或第三方服務。購買服務主要是因為自身缺乏安全威脅分析和處理的資源（包括人力、流程和工具等），另外綜合的成本也是一個重要的考慮因素。這其實對MSS或MDR市場是一個極大的促進。
5. 綜上所述，筆者認為，整體SIEM市場呈現良好的發展趨勢。近幾年市場實際規模基本都比Gartner預計的市場規模要高，複合增長率也近20%。技術上不斷有新技術或模式引入，技術上的豐富和疊加是為了更快更準的分析和響應，而不是利用不同安全產品拼湊組合。在實際市場表現方面，越來越多的客戶認識到SIEM產品和服務並重的必要性，同時認為建SOC有價值的客戶也日益增多。

　　安全監管與安全運營，不同？相同？

　　SIEM市場的發展其實給國內的安全態勢感知市場提供了參考，將更多的先進的技術融入安全大數據平臺是未來安全態勢感知發展的一個方向，要有統一的平臺和豐富的技術手段及應用才能滿足客戶的訴求。國內安全態勢感知市場主要面向兩類場景：監管類和安全運營類。從當前需求量來看，監管類市場是安全態勢感知的基本盤，是各廠商的必爭之地。安全運營類市場，大家各顯神通，努力爭取各種與SOC相關的建設機會。但筆者認為，未來的大盤一定是安全運營類市場，包括基於雲服務的安全運營，這其實也就是國際上通用的SIEM市場。具體每類場景的客戶需求可以參考相關的文章，這裡不再贅述。結合近幾年與客戶交流的心得，講一些有意思的特點。

　　監管類場景往往有以下特點：

1. 項目一般分階段建設，不同的階段可能引入不同的廠商
2. 多數場景都是多廠商檢測方案的組合
3. 需要業務流程相關的應用定製
4. 安全服務資源缺失，需要廠家的服務支撐

　　安全運營場景有以下特點：

1. 一般都已有自建的SOC，不會推倒重新建設安全態勢感知系統
2. 需要能力非常強的安全組件，比如沙箱、NTA、UEBA和威脅情報等獨立的產品
3. 有能力自研結合業務的安全應用
4. 有自己的運維團隊，一般自運維，廠家提供技術支撐

　　雖然這兩類場景有一些看似截然不同的需求，究其本質，還是能歸納出三個重要的共性：檢測要準確；運維要簡便；應用開發要快速靈活。不管是監管類的引入不同的廠商，還是安全運營類需要能力強大的安全組件，主要都是為了增強檢測能力；無論是購買服務或自運維都希望運維能更簡單，運營更高效；不論是由廠商定製應用或自研都希望能有一個好的平臺，能夠快速靈活的開發，同時開發出來的各種應用風格和認證能夠統一，不是簡單的應用拼湊。

　　基於自進化AI的HiSec Insight

　　智能防禦的開放創新

　　基於上述安全態勢感知的場景特點，華為在2020年4月21日發布了基於自進化AI的HiSec Insight安全態勢感知系統。提出了「感知自進化、運維自簡化、應用自適應」的三大理念。

• 感知自進化：業界首發自進化AI檢測引擎威脅檢測精確率大於95%；
• 運維自簡化：基於威脅知識圖譜+GNN的安全推理和威脅響應引擎，運營成本降低30%；
• 應用自適應：全國產化開放式數字安全底座，像搭樂高積木一樣快速開發應用。

　　在整體架構設計上，華為HiSec Insight基於分層解耦的原則，將系統劃分為四層，即：平臺服務層、數據服務層、分析服務層和安全應用層。在每一層都可以將功能都抽象成獨立的微服務，並提供給安全應用層使用。同時HiSec Insight微服務架構與華為雲上的微服務架構是同源的，因此安全應用廠商可以便利藉助華為雲進行開發和調測，快速無縫移植到與HiSec Insight安全態勢感知系統上。針對原有的安全應用，HiSec Insight也提供了基於Restful、Syslog等標準的北向接口，進行對接適配。具體的技術細節可參考《基於標準化微服務架構加速安全應用開發》。

　　安全態勢感知產業的發展僅僅依靠每個廠商各自全棧能力的構建，始終無法滿足客戶建立完整安全監測中心或運營中心的訴求，所以常見客戶對新建或擴展這類系統孜孜不倦的追求。「一花獨放不是春，百花齊放春滿園」。華為通過HiSec Insight開放的軟硬體平臺，結合將AI和大數據技術應用於安全檢測和運維領域的技術積累，打造完全開放創新的「數字安全底座」。希望攜手國內在安全態勢感知應用和檢測能力方面具備獨特能力的同行共建滿足客戶業務需求，服務好客戶的安全態勢感知系統，促進產業健康發展。