隨著社會數(shù)字化轉型的深入,網(wǎng)絡攻擊事件日漸增多、破壞力逐步增強。國際上通用的安全方法論,正逐步從“針對威脅的安全防御”向“面向業(yè)務的安全治理”(IPDRR等)演進。2014年美國NIST發(fā)布了CSF(Cybersecurity Framework,網(wǎng)絡安全框架)三大組成部分,IPDRR是其核心框架。
企業(yè)網(wǎng)絡安全系統(tǒng)框架(參考IPDRR)
IPDRR能力框架模型包括風險識別(Identify)、安全防御(Protect)、安全檢測(Detect)、安全響應(Response)和安全恢復(Recovery)五大能力,從以防護為核心的模型,轉向以檢測和業(yè)務連續(xù)性管理(韌性)的模型,變被動為主動,最終達成自適應的安全能力。
IPDRR模型體現(xiàn)了安全保障系統(tǒng)化的思想,管理與技術結合,充分利用當前“主動縱深防御體系、網(wǎng)絡信任體系、動態(tài)安全自適應體系”的長期積累,設法建立一個讓攻擊者“進不來、看不見、搞不壞、走不脫”的體系,建立不利于攻擊方存活的環(huán)境,通過體系的力量扭轉攻防不對稱,從而有效保障系統(tǒng)核心業(yè)務的安全。整體的IPDRR也是安全態(tài)勢感知體系建立的基礎參考模型,通過動態(tài)的持續(xù)安全檢測來實現(xiàn)IPDR的閉環(huán)安全,為用戶提供完善的安全能力框架和支撐體系。
安全態(tài)勢感知市場空間巨大
需求日益增長
具體到中國的安全態(tài)勢感知市場,相關咨詢機構預計2021年將達到54億元左右。這個數(shù)字應該包括跟安全態(tài)勢感知相關聯(lián)的產(chǎn)品及安全服務,在國內(nèi)整體網(wǎng)絡安全市場中的占比在6%左右。打開全球市場來看,在國際通用的安全產(chǎn)品市場分類中是沒有安全態(tài)勢感知的,SIEM市場是最接近的分類。所以要看安全態(tài)勢感知的市場,我們可以從全球的SIEM市場說起。
SIEM市場已經(jīng)存在了二十年,最初是從日志管理產(chǎn)品發(fā)展而來的,它結合了安全事件管理(SEM)和安全信息管理(SIM),可以實時分析事件和日志等數(shù)據(jù),提供威脅監(jiān)控,事件關聯(lián)和事件響應。發(fā)展至今,SIEM產(chǎn)品越來越注重針對內(nèi)部和外部威脅的高級威脅檢測和響應功能,尤其是新型的檢測方法和響應方式。新型檢測方法指NTA(Network Traffic Analyzer,網(wǎng)絡流量分析器)、UEBA(User and Entity Behavior Analytics,用戶行為分析)及其他高級安全分析方法(如威脅情報和Deception等);響應方式特指Gartner提出的SOAR。另外,大數(shù)據(jù)架構已經(jīng)成為主流,這也使得新入局的SIEM廠商有機會利用成熟的大數(shù)據(jù)去構建其底層架構,從而為快速趕上甚至超越傳統(tǒng)的廠商創(chuàng)造了有利條件。Gartner甚至把這種新型的SIEM系統(tǒng)取了一個時髦的名字“Modern SIEM”。另外我們也經(jīng)常聽到SOC(Security Operation Center,安全運營中心)這個概念,本質上SOC不是一款單純的產(chǎn)品,而是一個復雜的體系,他既有產(chǎn)品,又有服務,還有運營。SOC是技術、流程和人的有機結合,可以簡單看成是SIEM + 安全運營服務。
從2005年開始,Gartner每年都會發(fā)布一份關于SIEM的報告,至今從未中斷過。有意思的是,Gartner的研究報告投入了大部分的精力在網(wǎng)絡與信息安全領域。而在所有涉及安全領域的報告中,跟 SIEM有關的文章占據(jù)了很大的篇幅,分析報告的數(shù)量比例遠高于SIEM產(chǎn)品在安全市場的占比。盡管市場上有不少客戶部署SIEM失敗的案例,但客戶依然熱此不疲。足見市場背后的需求推動力大過了部署失敗的風險。這從側面說明這是個有剛性需求但目前無法被很好滿足的市場。
綜合分析Gartner 2019年SIEM MQ報告以及最新發(fā)布的Market Share報告,總結出下面幾個特點:
- 2019年全球SIEM市場總份額已經(jīng)超過30億美元,依然是雙雄爭霸的格局,且集中度更高。Splunk和IBM 2019年占比已達50%(2017年44%左右),同時在競爭力上也持續(xù)領先。Splunk強在平臺能力和應用市場模式;IBM勝在功能更全,除了高級安全分析和響應外、UEBA、NTA、脆弱性管理、風險管理和Watson的AI一應俱全。但這兩強在中國的市場份額并不大,除了價格因素外,本地化的服務和運營應該是最主要原因;
- 客戶更加強調(diào)SIEM產(chǎn)品實時分析安全事件的能力,要支持攻擊和違規(guī)行為的早期檢測。單一的NTA和UEBA產(chǎn)品的市場客戶群體太小,它們多是面向一些有能力自建SOC的客戶(金融、OTT、大型企業(yè))。所以類似NTA、UEBA和威脅情報等技術不斷下沉,越來越多成為SIEM的一個基礎能力,未來我們單純?nèi)ブv述這些技術,或者單純依靠這些技術的產(chǎn)品將不會再有大的增長,更多見到的是將這些技術與其它技術結合起來的產(chǎn)品和應用。客戶更聚焦于結合這些技術有什么應用場景,達到了什么安全效果?SIEM產(chǎn)品成為一個高級安全分析和響應技術的全集,與國內(nèi)提出的態(tài)勢感知這個品類無限趨同;
- SIEM的供應商格局不斷變化,云廠商開始涉足SIEM,帶來了云化的SaaS產(chǎn)品。同時擁有成熟的SIEM技術的供應商也正在迅速更新其架構并引入基于云的產(chǎn)品和服務模式。幾乎所有廠商都通過自研、收購或第三方的合作提供SOAR解決方案,持續(xù)增強調(diào)查能力和威脅的響應能力;
- 客戶除了在購買SIEM產(chǎn)品外,也更加重視購買原廠的運維服務或第三方服務。購買服務主要是因為自身缺乏安全威脅分析和處理的資源(包括人力、流程和工具等),另外綜合的成本也是一個重要的考慮因素。這其實對MSS或MDR市場是一個極大的促進。
- 綜上所述,筆者認為,整體SIEM市場呈現(xiàn)良好的發(fā)展趨勢。近幾年市場實際規(guī)模基本都比Gartner預計的市場規(guī)模要高,復合增長率也近20%。技術上不斷有新技術或模式引入,技術上的豐富和疊加是為了更快更準的分析和響應,而不是利用不同安全產(chǎn)品拼湊組合。在實際市場表現(xiàn)方面,越來越多的客戶認識到SIEM產(chǎn)品和服務并重的必要性,同時認為建SOC有價值的客戶也日益增多。
安全監(jiān)管與安全運營,不同?相同?
SIEM市場的發(fā)展其實給國內(nèi)的安全態(tài)勢感知市場提供了參考,將更多的先進的技術融入安全大數(shù)據(jù)平臺是未來安全態(tài)勢感知發(fā)展的一個方向,要有統(tǒng)一的平臺和豐富的技術手段及應用才能滿足客戶的訴求。國內(nèi)安全態(tài)勢感知市場主要面向兩類場景:監(jiān)管類和安全運營類。從當前需求量來看,監(jiān)管類市場是安全態(tài)勢感知的基本盤,是各廠商的必爭之地。安全運營類市場,大家各顯神通,努力爭取各種與SOC相關的建設機會。但筆者認為,未來的大盤一定是安全運營類市場,包括基于云服務的安全運營,這其實也就是國際上通用的SIEM市場。具體每類場景的客戶需求可以參考相關的文章,這里不再贅述。結合近幾年與客戶交流的心得,講一些有意思的特點。
監(jiān)管類場景往往有以下特點:
- 項目一般分階段建設,不同的階段可能引入不同的廠商
- 多數(shù)場景都是多廠商檢測方案的組合
- 需要業(yè)務流程相關的應用定制
- 安全服務資源缺失,需要廠家的服務支撐
安全運營場景有以下特點:
- 一般都已有自建的SOC,不會推倒重新建設安全態(tài)勢感知系統(tǒng)
- 需要能力非常強的安全組件,比如沙箱、NTA、UEBA和威脅情報等獨立的產(chǎn)品
- 有能力自研結合業(yè)務的安全應用
- 有自己的運維團隊,一般自運維,廠家提供技術支撐
雖然這兩類場景有一些看似截然不同的需求,究其本質,還是能歸納出三個重要的共性:檢測要準確;運維要簡便;應用開發(fā)要快速靈活。不管是監(jiān)管類的引入不同的廠商,還是安全運營類需要能力強大的安全組件,主要都是為了增強檢測能力;無論是購買服務或自運維都希望運維能更簡單,運營更高效;不論是由廠商定制應用或自研都希望能有一個好的平臺,能夠快速靈活的開發(fā),同時開發(fā)出來的各種應用風格和認證能夠統(tǒng)一,不是簡單的應用拼湊。
基于自進化AI的HiSec Insight
智能防御的開放創(chuàng)新
基于上述安全態(tài)勢感知的場景特點,華為在2020年4月21日發(fā)布了基于自進化AI的HiSec Insight安全態(tài)勢感知系統(tǒng)。提出了“感知自進化、運維自簡化、應用自適應”的三大理念。
- 感知自進化:業(yè)界首發(fā)自進化AI檢測引擎威脅檢測精確率大于95%;
- 運維自簡化:基于威脅知識圖譜+GNN的安全推理和威脅響應引擎,運營成本降低30%;
- 應用自適應:全國產(chǎn)化開放式數(shù)字安全底座,像搭樂高積木一樣快速開發(fā)應用。
在整體架構設計上,華為HiSec Insight基于分層解耦的原則,將系統(tǒng)劃分為四層,即:平臺服務層、數(shù)據(jù)服務層、分析服務層和安全應用層。在每一層都可以將功能都抽象成獨立的微服務,并提供給安全應用層使用。同時HiSec Insight微服務架構與華為云上的微服務架構是同源的,因此安全應用廠商可以便利借助華為云進行開發(fā)和調(diào)測,快速無縫移植到與HiSec Insight安全態(tài)勢感知系統(tǒng)上。針對原有的安全應用,HiSec Insight也提供了基于Restful、Syslog等標準的北向接口,進行對接適配。具體的技術細節(jié)可參考《基于標準化微服務架構加速安全應用開發(fā)》。
安全態(tài)勢感知產(chǎn)業(yè)的發(fā)展僅僅依靠每個廠商各自全棧能力的構建,始終無法滿足客戶建立完整安全監(jiān)測中心或運營中心的訴求,所以常見客戶對新建或擴展這類系統(tǒng)孜孜不倦的追求。“一花獨放不是春,百花齊放春滿園”。華為通過HiSec Insight開放的軟硬件平臺,結合將AI和大數(shù)據(jù)技術應用于安全檢測和運維領域的技術積累,打造完全開放創(chuàng)新的“數(shù)字安全底座”。希望攜手國內(nèi)在安全態(tài)勢感知應用和檢測能力方面具備獨特能力的同行共建滿足客戶業(yè)務需求,服務好客戶的安全態(tài)勢感知系統(tǒng),促進產(chǎn)業(yè)健康發(fā)展。
