中國網(wǎng)絡(luò)安全十大創(chuàng)新方向

中國網(wǎng)絡(luò)安全十大創(chuàng)新方向ChinaCybersecurityInnovation

DirectionReport關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降XDR平臺可以跨區(qū)域收集來自多種安全設(shè)施的檢測數(shù)據(jù)，并對其進行統(tǒng)一的集成、關(guān)聯(lián)和上下文等事件化分析，以全局視角進行威脅研判，從而獲得更準確和全面的檢測結(jié)果。XDR旨在高效集成產(chǎn)品，打破信息孤島，降低企業(yè)內(nèi)的無效告警和安全運營成本，未來將吸引難以從SOC或SIEM解決方案中獲得價值的安全運營團隊。擴展檢測響應(yīng)（eXtended

Detection

and

Response）1、（大場景）SOC平臺能力補充；2、（小場景）網(wǎng)絡(luò)環(huán)境降噪/充當SOC；3、（新場景）云地混合場景威脅檢測響應(yīng)；4、（安服場景）MDR方案的工作平臺。1、一體化威脅檢測能力（云/網(wǎng)/端）；2、AI/ML/UEBA等技術(shù)的利用與效率；3、多源數(shù)據(jù)整合與上下文關(guān)聯(lián)分析能力；4、ATT&CK等攻擊鏈覆蓋與攻擊溯源能力；5、API集成與自動化響應(yīng)能力。1、XDR方案開銷與客戶現(xiàn)有安全投入的平衡；2、技術(shù)開放性與第三方能力的整合；3、在云/多云/云地混合環(huán)境下XDR能力構(gòu)建。EDRNDR蜜罐CWPP微隔離IDPS安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心EDRNDR蜜罐CWPP微隔離IDPSXDR平臺SOC/SIEM傳統(tǒng)檢測與響應(yīng)模式日志級分析/信息孤立/告警繁雜/誤報率高擴展檢測與響應(yīng)模式多源數(shù)據(jù)采集/上下文可見/深度關(guān)聯(lián)分析/高效溯源SOARAPITISaaSSOC/SIEM核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降傳統(tǒng)的風(fēng)險評估技術(shù)側(cè)重于識別系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用程序漏洞，BAS方案可以更進一步。BAS是指通過主動驗證+（半）自動化的方式，利用攻擊者的戰(zhàn)術(shù)、技術(shù)和程序來模擬殺傷鏈的不同階段，持續(xù)測試和驗證現(xiàn)有網(wǎng)絡(luò)整體的安全機制（包括各安全節(jié)點是否正常工作、安全策略與配置的有效性、檢測/防護手段是否按預(yù)期運行等），對企業(yè)對抗外部威脅的能力進行量化評估，同時提供改進建議，推動企業(yè)安全體系走向成熟。入侵與攻擊模擬（Breach

and

Attack

Simulation）1、基于內(nèi)需驅(qū)動的高安全性網(wǎng)絡(luò)環(huán)境；2、企業(yè)安全運營效率提升與安全防御體系優(yōu)化；3、安全服務(wù)中降低人工成本，量化服務(wù)價值。1、多維安全有效性驗證能力（設(shè)備/策略/脆弱性）2、量化評估與風(fēng)險優(yōu)先級識別能力；3、模擬入侵能力（入侵方法與數(shù)量/自動化能力/攻擊載體類型/ATT&CK框架匹配度等）；4、場景覆蓋度（云/IoT/工控/Mobile等新場景）。1、安全驗證覆蓋面能力（終端/邊界/應(yīng)用/數(shù)據(jù)等）；2、驗證結(jié)果的可靠性與全面性；3、全場景匹配度與自身安全性保障；4、產(chǎn)品部署成本、自動化程度與易用性。風(fēng)險評估技術(shù)BAS滲透測試漏洞掃描工作時效性7x

24事件觸發(fā)周期性交互性自動人工+自動N/A評估機制安全體系風(fēng)險量化評估漏洞風(fēng)險評估漏洞檢測評估維度較廣有限僅漏洞評估過程回放支持有限無回歸測試驗證持續(xù)性驗證有限有限可管理性高低中核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降攻擊面是指企業(yè)所有可被利用的風(fēng)險因素的集合，這些風(fēng)險因素大多分布在物理面（例如端點、網(wǎng)絡(luò)、服務(wù)器等設(shè)備漏洞）和數(shù)字面（例如企業(yè)數(shù)據(jù)泄漏、品牌侵權(quán)、個人隱私信息泄漏、網(wǎng)絡(luò)釣魚等）。攻擊面管理旨在識別、分類這些風(fēng)險因素，并對其進行優(yōu)先級排序和持續(xù)監(jiān)控。攻擊面范圍較為寬泛，按照企業(yè)管理者和外部攻擊者兩個不同視角，可分為網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）和外部攻擊面管理（EASM）兩種。攻擊面管理（Attack

Surface

Management）1、IT資產(chǎn)對外且分散，亟待縮小互聯(lián)網(wǎng)暴露面的大中型企業(yè)；2、互聯(lián)網(wǎng)/消費者企業(yè)數(shù)字資產(chǎn)保護與安全運營；3、重要/關(guān)鍵業(yè)務(wù)場景主動防御能力提升，實現(xiàn)高風(fēng)險判定和攻擊面收斂。1、資產(chǎn)發(fā)現(xiàn)能力（互聯(lián)網(wǎng)/云資產(chǎn)/影子IT/數(shù)字資產(chǎn)/個人隱私等未知資產(chǎn)）；2、全局風(fēng)險優(yōu)先級評估能力（自動化安全評估/漏洞優(yōu)先級VPT等技術(shù)利用)；3、多維情報體系(威脅/漏洞/暗網(wǎng)/深網(wǎng)數(shù)據(jù)情報等）。1、海量數(shù)據(jù)采集與關(guān)聯(lián)分析和風(fēng)險研判能力；2、支持測繪的攻擊面類型和數(shù)量；3、云生態(tài)發(fā)展對云資產(chǎn)可視化與風(fēng)險評估的影響。管理者視角攻擊者視角員工個人隱私和社交信息？我有哪些物理資產(chǎn)，這些資產(chǎn)分布在哪里？我對外提供了哪些服務(wù)？有哪些BYOD設(shè)備？還有哪些OT資產(chǎn)？企業(yè)云應(yīng)用中有哪些配置錯誤？我的服務(wù)器有哪些漏洞？企業(yè)外部數(shù)字資產(chǎn)有哪些？企業(yè)有哪些泄漏的數(shù)據(jù)？目前API資產(chǎn)和使用情況？企業(yè)有哪些云資產(chǎn)？網(wǎng)絡(luò)釣魚和社工入口在哪里？企業(yè)供應(yīng)鏈有哪些？核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降安全運營服務(wù)是適用于我國實際國情的新型安全服務(wù)形態(tài)，按照目標客群、服務(wù)范圍、能力邊界不同，又分為傳統(tǒng)MSS服務(wù)（托管式安全服務(wù)）和新型MDR服務(wù)（托管式檢測與響應(yīng)服務(wù)）。MSS服務(wù)側(cè)重于管理和維護與安全相關(guān)的技術(shù)和產(chǎn)品，以保障企業(yè)IT基礎(chǔ)設(shè)施穩(wěn)定運行為目標，MDR服務(wù)則以更高的視角聚焦攻擊與威脅，通過云網(wǎng)端數(shù)據(jù)共享與分析，提升企業(yè)在威脅檢測與響應(yīng)處置方面的能力。目前MSS與MDR服務(wù)商已呈現(xiàn)融合趨勢，未來隨著市場服務(wù)型需求持續(xù)釋放，這種融合趨勢將進一步加深。安全運營服務(wù)（Security

Operation

Services）1、合規(guī)驅(qū)動但無安全基礎(chǔ)的SMB場景；2、部署多種安全設(shè)備但安全運營效率低下中大型企事業(yè)單位；3、事件驅(qū)動型場景：攻防演練、重保、風(fēng)險評估等；4、多分支、管理成本較高的分布式網(wǎng)絡(luò)。1、中高級安全專家數(shù)量，并實現(xiàn)人員高效復(fù)用；2、利舊或提供安全分析平臺，實現(xiàn)自動化工作流；3、整合產(chǎn)品/平臺/人員，牽引在線服務(wù)模式/能力；4、威脅情報能力集成；5、7x24小時全天候安全監(jiān)控與報警，有規(guī)范的應(yīng)急響應(yīng)制度，可輸出準確全面的安全分析報告。1、服務(wù)SaaS化，提高人效比；2、安全事件分析的準確性與響應(yīng)速度；3、對云/工控/物聯(lián)網(wǎng)等新場景下服務(wù)能力的覆蓋。服務(wù)廣度服務(wù)深度7

x

24

安全監(jiān)控日志分析安全告警分析報告設(shè)備管理合規(guī)性管理基礎(chǔ)安全策略管理軟件升級與補丁管理漏洞掃描MSSEDR/NDR威脅狩獵威脅情報與預(yù)警高級專家分析自動化響應(yīng)APT監(jiān)測溯源取證MDR核心能力應(yīng)用場景關(guān)鍵挑戰(zhàn)典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降受事件驅(qū)動（SolarWinds事件等）、國際關(guān)系變化（貿(mào)易摩擦、技術(shù)封鎖、網(wǎng)絡(luò)戰(zhàn)）等因素疊加影響，近年來軟件供應(yīng)鏈安全概念持續(xù)升溫。軟件供應(yīng)鏈的安全風(fēng)險因素來自于軟件全生命周期，除了源頭上軟件開發(fā)環(huán)節(jié)，也包括軟件上線發(fā)布和軟件運行使用等環(huán)節(jié)。開發(fā)安全不完全等同于軟件供應(yīng)鏈安全，但開發(fā)安全卻是保障軟件供應(yīng)鏈安全最重要的起點，安全左移大勢所趨，DevSecOps未來或?qū)⒂蓤鼍靶图夹g(shù)轉(zhuǎn)變?yōu)槠者m性技術(shù)，引領(lǐng)新一輪安全技術(shù)的演進。軟件供應(yīng)鏈安全與開發(fā)安全（Software

Supply

Chain

Security

&

DevSecOps）1、軟件開發(fā)生命周期（SDLC）安全賦能；2、軟件供應(yīng)鏈風(fēng)險評估（斷供/卡脖子風(fēng)控）3、云原生應(yīng)用程序安全開發(fā)與運營；4、國產(chǎn)化場景下SBOM梳理與自主可控評估。1、代碼級檢測分析能力（代碼審計/SAST）；2、開源治理能力（SCA）；3、應(yīng)用安全檢測能力（IAST/DAST/Fuzzing）；4、運行時應(yīng)用程序自保護能力（RASP）；5、開發(fā)安全一體化管理平臺。1、產(chǎn)品&技術(shù)與開發(fā)流程無縫集成的能力；2、漏洞風(fēng)險優(yōu)先級評估與補救能力；3、產(chǎn)品自動化程度與易用性；4、相關(guān)技術(shù)標準與市場驅(qū)動力的構(gòu)建；5、商業(yè)路徑規(guī)劃與目標客群觸達能力。核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商代碼提交集成測試開發(fā)測試驗證系統(tǒng)測試SASTSCADASTIASTFuzzing基于漏洞的告警SOC/SIEM基于攻擊的告警RASPWAFAPICASB部署釋放DevOps開發(fā)安全體系評估開發(fā)安全規(guī)范培訓(xùn)Sec安全開發(fā)過程改善 安全需求與設(shè)計開發(fā)安全咨詢服務(wù)關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降核心能力數(shù)據(jù)安全平臺是以數(shù)據(jù)為中心，面向數(shù)據(jù)全生命周期構(gòu)建的安全管理與防護體系，其核心是在數(shù)據(jù)風(fēng)險防護與合規(guī)監(jiān)管的推動下，根據(jù)具體的業(yè)務(wù)處理場景和生命周期各個環(huán)節(jié)，以數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)分類分級為基礎(chǔ)，以數(shù)據(jù)流轉(zhuǎn)監(jiān)控及數(shù)據(jù)風(fēng)險評估為目標，融合了多種數(shù)據(jù)安全技術(shù)來實現(xiàn)平臺化數(shù)據(jù)安全防護。隨著數(shù)據(jù)安全場景需求和產(chǎn)品技術(shù)的不斷發(fā)展，數(shù)據(jù)安全運營平臺、零信任數(shù)據(jù)安全平臺、數(shù)據(jù)安全監(jiān)測平臺等解決方案正逐步成為各安全廠商在數(shù)據(jù)安全領(lǐng)域所聚焦的方向。數(shù)據(jù)安全平臺（Data

Security

Platforms）1、對各場景業(yè)務(wù)與數(shù)據(jù)流轉(zhuǎn)的全面梳理能力；2、對數(shù)據(jù)全生命周期安全防護和監(jiān)測能力；3、數(shù)據(jù)安全平臺與能力單元智能化聯(lián)動能力；4、敏感數(shù)據(jù)自動發(fā)現(xiàn)及大數(shù)據(jù)分析能力。1、業(yè)務(wù)與安全威脅/合規(guī)/風(fēng)險容忍度的平衡；2、各行業(yè)、地區(qū)重要數(shù)據(jù)的定義和差異；3、業(yè)務(wù)變化后持續(xù)優(yōu)化和保障的能力；4、數(shù)據(jù)識別技術(shù)的覆蓋率、效率和準確率。1、客戶側(cè)全局數(shù)據(jù)資產(chǎn)管理與風(fēng)險監(jiān)測；2、主管/監(jiān)管側(cè)對全行業(yè)數(shù)據(jù)安全態(tài)勢掌控；3、數(shù)據(jù)安全行為動態(tài)控制；4、數(shù)據(jù)安全流轉(zhuǎn)可視化監(jiān)測；5、數(shù)據(jù)安全合規(guī)性檢驗。關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降云原生應(yīng)用保護平臺（CNAPP）是一套集成安全性和合規(guī)性功能，旨在幫助云原生應(yīng)用程序在開發(fā)和生產(chǎn)過程中進行保護。其整合了多種云原生安全工具和技術(shù)，包括：容器掃描、云安全態(tài)勢管理（CSPM）、基礎(chǔ)設(shè)施即代碼掃描、云基礎(chǔ)設(shè)施授權(quán)管理（CIEM）和運行時云工作負載保護平臺（CWPP）。它可以保護從系統(tǒng)代碼到業(yè)務(wù)開展的整個應(yīng)用程序開發(fā)生命周期安全，提高對云工作負載的可見性，增強對云環(huán)境中安全性和合規(guī)性風(fēng)險的控制。云原生應(yīng)用保護平臺（Cloud-native

application

protection

platforms）1、云資產(chǎn)全面風(fēng)險可視、威脅響應(yīng)及漏洞修復(fù)；2、云原生應(yīng)用程序全生命周期開發(fā)運營安全；3、CWPP、CIEM、CSPM等技術(shù)平臺融合；4、云原生應(yīng)用及工作負載運行時保護。1、云原生應(yīng)用和工作負載可見性全面識別能力；2、云原生應(yīng)用和工作負載從DevOps過渡到DevSecOps的投入成本及復(fù)雜性；3、與客戶現(xiàn)網(wǎng)中云防護系統(tǒng)功能重疊情況下的能力評估及技術(shù)聯(lián)動。1、云原生工作負載運行時可疑行為檢測及保護；2、云原生基礎(chǔ)設(shè)施合規(guī)性和完整性驗證；3、云原生工作負載及開發(fā)過程漏洞掃描和管理；4、云原生應(yīng)用（WEB及API）安全防護。云配置管理CIEM身份CSPM行為云原生應(yīng)用保護平臺云安全左移風(fēng)險識別AST/SCAAPI掃描運行時保護CWPP工作負載WAAP應(yīng)用程序核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降安全訪問服務(wù)邊緣（Secure

AccessServiceEdge，簡稱SASE）是一個安全框架，旨在實現(xiàn)安全和快速的云應(yīng)用，并幫助確保用戶和設(shè)備在任何地點、任何時間對應(yīng)用程序、數(shù)據(jù)和服務(wù)進行安全的云訪問。它以支持數(shù)字企業(yè)的動態(tài)、安全訪問需求為目標，融合了全面的廣域網(wǎng)功能和網(wǎng)絡(luò)安全功能。此模型包括全球和云本地服務(wù)中的網(wǎng)絡(luò)安全解決方案，它可以使用戶以靈活、經(jīng)濟高效和可擴展的方式輕松連接到企業(yè)網(wǎng)絡(luò)并受到保護。安全訪問服務(wù)邊緣（SASE）1、遠程辦公安全；2、多分支機構(gòu)安全互聯(lián)；3、企業(yè)安全合規(guī)建設(shè)；4、物聯(lián)網(wǎng)安全防護。1、云原生安全架構(gòu)；2、高覆蓋度的邊緣云節(jié)點；3、基于零信任的身份授權(quán)和訪問接入能力；4、完整的網(wǎng)絡(luò)即服務(wù)和安全即服務(wù)能力；5、一體化安全管控及威脅感知能力。1、缺少統(tǒng)一的技術(shù)要求及能力評估標準；2、構(gòu)建一套完整的SASE服務(wù)體系所消耗的資源投入及安全運營難度；3、企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云的內(nèi)驅(qū)力、復(fù)雜度及時間周期。01基礎(chǔ)設(shè)施

02網(wǎng)絡(luò)服務(wù)

03安全服務(wù)

CASBSWGZTNA/VPNFWaaSRBI應(yīng)用安全數(shù)據(jù)安全SD-WAN廣域網(wǎng)優(yōu)化QoSCDN高級路由云原生架構(gòu)邊緣接入節(jié)點統(tǒng)一管理平臺零信任組件核心能力關(guān)鍵挑戰(zhàn)應(yīng)用場景典型廠商關(guān)鍵經(jīng)營數(shù)據(jù)分析——現(xiàn)金流健康度繼續(xù)下降隨網(wǎng)絡(luò)應(yīng)用互聯(lián)互通變得越來越普遍，API接口逐漸與Web應(yīng)用、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)以及SaaS服務(wù)融為一體。特別在幾次重大數(shù)據(jù)泄露事件發(fā)生后，API安全也變得越來越重要。API安全是一種構(gòu)建從API的設(shè)計、開發(fā)、使用和維護階段全鏈路風(fēng)險管控，以防止未經(jīng)授權(quán)的訪問、篡改和破壞應(yīng)用數(shù)據(jù)的防護體系。它關(guān)注于API資產(chǎn)識別、防護控制、威脅分析以及開發(fā)安全，目的是降低針對API特有的安全漏洞風(fēng)險所帶來的損失。API安全防護（Application

Programming

Interface

Security）1、自動化、及時化的API資產(chǎn)識別能力；2、零信任安全原則的API授權(quán)控制能力；3、在線/旁路部署下的API威脅檢測能力；4、持續(xù)模擬攻擊的API安全測試能力；5、依托AI與ML技術(shù)的API監(jiān)控分析能力；6、自動化修復(fù)與溯源的API審計響應(yīng)能力；7、貫穿API安全生命周期的開發(fā)運營能力。1、應(yīng)用程序開發(fā)過程中，從需求設(shè)計到人員意識都缺少對API安全能力的構(gòu)建及重視；2、多應(yīng)用開放互聯(lián)的發(fā)展趨勢與降低API應(yīng)用暴露面和攻擊面的平衡策略；3、云原生場景帶來的API所暴露的攻擊面指數(shù)級加劇，新引入的東西向流量成為防護重點。1、大規(guī)模分布式API通信及數(shù)據(jù)交換防護；2、數(shù)據(jù)安全保護場景中API數(shù)據(jù)流轉(zhuǎn)監(jiān)測；3、Bots自動化攻擊防護；4、黑灰產(chǎn)數(shù)據(jù)竊取場景。API提供者API消費者API網(wǎng)關(guān)訪問授權(quán)、流量控制加解密策略下發(fā)流量鏡像流量