人工智能行業(yè)分析研究

人工智能行業(yè)分析研究AI+安全驅(qū)動(dòng)需求側(cè)：AI加劇安全威脅AI賦能安全攻擊加劇整體安全威脅大模型/生成式AI對(duì)于網(wǎng)絡(luò)安全行業(yè)的影響與其他行業(yè)有所不同，AI不僅僅是對(duì)于安全產(chǎn)品形態(tài)本身帶來(lái)改變（防御視角），而且能夠通過(guò)大幅降低了安全攻擊的門(mén)檻，進(jìn)而帶來(lái)行業(yè)總需求的提升（攻擊視角）。AI將帶來(lái)安全攻擊的新變化：社會(huì)工程攻擊、漏洞與攻擊面發(fā)現(xiàn)、惡意代碼生成等。AI/自動(dòng)化攻擊工具今年下半年進(jìn)入規(guī)?；彤a(chǎn)業(yè)化階段。比如FraudGPT在暗網(wǎng)市場(chǎng)和Telegram平臺(tái)進(jìn)行售賣(mài)：1)1個(gè)月計(jì)劃定價(jià)為200美元；2)3月計(jì)劃定價(jià)450美元；3)6個(gè)月計(jì)劃定價(jià)1000美元;4)一年計(jì)劃定價(jià)1700美元。AI/大模型存在原生安全問(wèn)題AI/大模型存在原生安全問(wèn)題，其中對(duì)安全投入影響最大的為數(shù)據(jù)安全和AI工程化領(lǐng)域。數(shù)據(jù)安全既包括了訓(xùn)練階段數(shù)據(jù)采集不當(dāng)、存在偏見(jiàn)或標(biāo)簽錯(cuò)誤、數(shù)據(jù)被投毒等，也包括了模型在應(yīng)用的過(guò)程中，面臨數(shù)據(jù)泄露、隱私曝光等風(fēng)險(xiǎn)隱私曝光等風(fēng)險(xiǎn)。通常需要采取包括數(shù)據(jù)加密、隱私計(jì)算、數(shù)據(jù)清晰等數(shù)據(jù)安全保障手段。AI+安全變革產(chǎn)品側(cè)：安全運(yùn)營(yíng)自動(dòng)化海外AI+安全Copilot工具今年3月微軟發(fā)布了首個(gè)生成式AI安全產(chǎn)品SecurityCopilot后，多家頭部廠(chǎng)商包括Crowdstrike、Google均推出了對(duì)應(yīng)安全Copilot類(lèi)產(chǎn)品。安全Copilot類(lèi)產(chǎn)品的主要功能包括基于自然語(yǔ)言和AI輔助的安全狀態(tài)查詢(xún)、威脅搜尋、安全事件響應(yīng)等。AI+安全的結(jié)合點(diǎn)：安全運(yùn)營(yíng)AI+安全的主要結(jié)合點(diǎn)集中在安全運(yùn)營(yíng)+安全平臺(tái)領(lǐng)域，目前AI2.0+安全產(chǎn)品主要可分為兩類(lèi)：1）安全Copilot產(chǎn)品：代表為MicrosoftSecurityCopilot和CrowdstrikeCharlotteAI；2）AI驅(qū)動(dòng)的安全平臺(tái)：代表為PaloAltoNetworks推出的基于AI驅(qū)動(dòng)的新產(chǎn)品XSIAM（擴(kuò)展安全智能和自動(dòng)化管理）。為什么是安全運(yùn)營(yíng)？安全運(yùn)營(yíng)是安全行業(yè)自動(dòng)化程度最低的領(lǐng)域：在一個(gè)網(wǎng)絡(luò)安全系統(tǒng)的各個(gè)組成中，防火墻、端點(diǎn)安全等單點(diǎn)的安全產(chǎn)品已經(jīng)具備了較高的自動(dòng)化水平，而安全運(yùn)營(yíng)本是自動(dòng)化程度最低的一環(huán)。這是由安全的復(fù)雜性決定的。安全運(yùn)營(yíng)是安全行業(yè)最需要AI深度改造的環(huán)節(jié)：1）傳統(tǒng)安全設(shè)備是第三方的，多且雜，數(shù)據(jù)混亂，導(dǎo)致誤報(bào)率高，變成了真實(shí)風(fēng)險(xiǎn)看不到，出現(xiàn)威脅防不了；2）安全運(yùn)營(yíng)工作壓力太大，上萬(wàn)威脅，且90%非真實(shí)威脅，效率低下。AI將帶來(lái)安全運(yùn)營(yíng)效率的飛躍能力提升（從一線(xiàn)運(yùn)營(yíng)到安全專(zhuān)家）：對(duì)于經(jīng)驗(yàn)不足的IT和安全專(zhuān)業(yè)人員，AI可以幫助他們更快地做出更好的決策，讓更高級(jí)的安全操作變得更加容易，能夠迅速達(dá)到中高級(jí)安全人員的處置能力，降低安全運(yùn)營(yíng)門(mén)檻；效率提升（響應(yīng)處置時(shí)間從天/小時(shí)到秒）：安全人員水平可自動(dòng)執(zhí)行數(shù)據(jù)收集、提取以及威脅搜索和檢測(cè)等重復(fù)且繁瑣的任務(wù)，縮短對(duì)關(guān)鍵事件的響應(yīng)時(shí)間，同時(shí)通過(guò)簡(jiǎn)單的自然語(yǔ)言提示實(shí)現(xiàn)任何檢測(cè)、調(diào)查或響應(yīng)工作流程，降低安全運(yùn)營(yíng)的時(shí)間和人力成本。微軟SecurityCopilot：首個(gè)生成式AI安全產(chǎn)品微軟3月發(fā)布的SecurityCopilot是全球首個(gè)生成式AI安全工具，底層模型由ChatGPT-4驅(qū)動(dòng)，并結(jié)合了微軟的安全專(zhuān)用模型。模型每天持續(xù)學(xué)習(xí)微軟在其威脅情報(bào)中收集的超過(guò)65萬(wàn)億個(gè)信號(hào)數(shù)據(jù)，為SecurityCopilot幕后的安全專(zhuān)業(yè)人員提供支持。SecurityCopilot擁有一個(gè)極其簡(jiǎn)潔的界面，能夠接受自然語(yǔ)言輸入，用戶(hù)只需向其發(fā)送提示——可以是問(wèn)題和請(qǐng)求，也可以是文件、URL、代碼片段或威脅指標(biāo)——SecurityCopilot會(huì)動(dòng)用安全模型的全部功能來(lái)分析事件或執(zhí)行任務(wù)。MicrosoftSecurityCopilot的幾個(gè)關(guān)鍵應(yīng)用功能包括：安全事件解讀與分析、優(yōu)先級(jí)排序與深度分析、安全知識(shí)助手、內(nèi)部態(tài)勢(shì)評(píng)估總結(jié)、創(chuàng)建匯報(bào)文檔等。例如：安全管理人員可以使用自然語(yǔ)言詢(xún)問(wèn)與安全相關(guān)的問(wèn)題，例如“公司中發(fā)生了哪些安全事件？”。SecurityCopilot可以總結(jié)出由公司網(wǎng)絡(luò)安全系統(tǒng)和外部數(shù)據(jù)生成的威脅報(bào)告，同時(shí)聊天機(jī)器人還可用于幫助安全管理人員進(jìn)行安全調(diào)查、創(chuàng)建報(bào)告和總結(jié)事件。SecurityCopilot在10月份已經(jīng)開(kāi)啟測(cè)試，11月20日在微軟Ignite大會(huì)上，推出首款集成SecurityCopilot的統(tǒng)一安全運(yùn)營(yíng)平臺(tái)，數(shù)據(jù)安全、身份、設(shè)備管理等領(lǐng)域產(chǎn)品全面集成SecurityCopilot。Crowdstrike的生成式AI產(chǎn)品CharlotteAICrowdstrike今年5月發(fā)布了生成式AI產(chǎn)品CharlotteAI，定位為虛擬安全分析師，可以幫助安全運(yùn)營(yíng)中心(SOC)的分析師自動(dòng)化履行職責(zé)。安全分析師可以與CharlotteAI進(jìn)行對(duì)話(huà)，詢(xún)問(wèn)有關(guān)環(huán)境中的安全威脅、如何應(yīng)用于其行業(yè)、哪些資產(chǎn)面臨風(fēng)險(xiǎn)、如何修復(fù)這些資產(chǎn)的問(wèn)題，甚至可以創(chuàng)建有關(guān)情況的報(bào)告。Crowdstrike從成立以來(lái)就一直處于AI+安全創(chuàng)新的前沿，作為EDR的開(kāi)創(chuàng)者，Crowdstrike借助CharlotteAI，正在將AI+安全的領(lǐng)先優(yōu)勢(shì)擴(kuò)大到生成式AI。Crowdstrike基于AI驅(qū)動(dòng)的XDR平臺(tái)框架除了生成式AI安全工具CharlotteAI之前，目前Crowdstrike已經(jīng)將大模型能力作為XDR平臺(tái)的重要組成部分?；诙鄠€(gè)基礎(chǔ)模型，利用CrowdStrike的高保真數(shù)據(jù)優(yōu)勢(shì)，能夠?yàn)檎麄€(gè)Falcon平臺(tái)提供生成式AI功能。CrowdstrikeCharlotteAI定價(jià)公布Crowdstrike在推出CharlotteAI之后，在Q3推出數(shù)據(jù)產(chǎn)品Raptor（把所有數(shù)據(jù)從過(guò)去的分在不同終端統(tǒng)一通過(guò)raptor整合進(jìn)charlotte），通過(guò)AI+數(shù)據(jù)+平臺(tái)，可以將過(guò)去8hrs的運(yùn)營(yíng)時(shí)間降低到幾分鐘，同時(shí)交互和易用性大幅提升。CharlotteAI的定價(jià)是20美元/終端，公司管理層認(rèn)為未來(lái)將達(dá)到70億美金的市場(chǎng)規(guī)模，不亞于目前的幾條核心產(chǎn)品線(xiàn)（比如FalconIT）。Crowdstrike業(yè)績(jī)指引大幅上修Crowdstrike在今年第二財(cái)季大幅上調(diào)對(duì)未來(lái)業(yè)務(wù)空間和盈利模型，同時(shí)預(yù)計(jì)未來(lái)五到七年內(nèi)實(shí)現(xiàn)100億美元ARR，公司預(yù)計(jì)未來(lái)3-5年的營(yíng)業(yè)利潤(rùn)率達(dá)到28-32%，原目標(biāo)是20-22%，是近期最強(qiáng)的美股業(yè)績(jī)預(yù)期上修之一，同時(shí)在第三財(cái)季公司繼續(xù)保持第二財(cái)季的高預(yù)期。PaloAltoNetworks：XSIAM網(wǎng)絡(luò)安全龍頭廠(chǎng)商PaloAltoNetworks在去年底推出了基于AI驅(qū)動(dòng)的新產(chǎn)品XSIAM（擴(kuò)展安全智能和自動(dòng)化管理）。XSIAM是?個(gè)云交付的集成SOC平臺(tái)，統(tǒng)?了EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等模塊，將威脅檢測(cè)、事件管理、威脅情報(bào)、自動(dòng)化、攻擊面管理等將多個(gè)產(chǎn)品整合到?個(gè)集成平臺(tái)中。XSIAM是未來(lái)安全平臺(tái)的雛形XSIAM的背后是精準(zhǔn)AI（精準(zhǔn)檢索和響應(yīng)）和生成式AI（便捷交互和理解），強(qiáng)調(diào)用AI&ML重塑安全，處理數(shù)據(jù)量6X、誤報(bào)率減少70%、自動(dòng)化率大幅提升、響應(yīng)速度從2-3天變成16mins-5hrs。XSIAM是未來(lái)安全平臺(tái)的雛形XSIAM商業(yè)化取得極大成功：自全面推出了XSIAM以來(lái)，PaloAltoNetworks制定了第一年收入達(dá)1億美元的目標(biāo)，從實(shí)際情況來(lái)看，公司連續(xù)兩個(gè)季度內(nèi)均獲得了千萬(wàn)美元級(jí)大單，推出第一年XSIAM收入已達(dá)2億美元，遠(yuǎn)遠(yuǎn)超出了此前設(shè)立的目標(biāo)。XSIAM有望在短時(shí)間內(nèi)達(dá)到10億美元體量：公司計(jì)劃在XSIAM現(xiàn)在功能基礎(chǔ)上，未來(lái)3-5年將推出10個(gè)以上的新增的XSIAM模塊（包括自有和合作伙伴模塊），進(jìn)一步擴(kuò)大AI大平臺(tái)的能力邊界。同時(shí)公司披露XSIAM的Pipeline在最新財(cái)季已經(jīng)達(dá)到10億美元體量，有望成為公司增長(zhǎng)最快且體量最大的產(chǎn)品線(xiàn)。XSIAM進(jìn)一步拉動(dòng)公司在安全平臺(tái)領(lǐng)域的優(yōu)勢(shì)根據(jù)最新財(cái)報(bào)數(shù)據(jù)，公司Cortex活躍客戶(hù)數(shù)量增長(zhǎng)了25%，達(dá)到5300多家。Cortex中XDR、XSOAR、Xpanse和XSIAM產(chǎn)品均獲得多項(xiàng)行業(yè)認(rèn)可，其中，CortexXDR是業(yè)內(nèi)唯一在第一輪MITRE評(píng)估中實(shí)現(xiàn)100%保護(hù)和檢測(cè)的產(chǎn)品，而XSOAR、Xpanse和XSIAM都在GigaOm等第三方評(píng)選中處于領(lǐng)導(dǎo)者位置。Cortex板塊的持續(xù)增長(zhǎng)將鞏固公司在安全運(yùn)營(yíng)領(lǐng)域的競(jìng)爭(zhēng)優(yōu)勢(shì)。根據(jù)公司CEONikeshArora，目前在SOC領(lǐng)域公司主要競(jìng)爭(zhēng)對(duì)手有4-5個(gè)，未來(lái)隨著逐漸集成AI、安全管理、端點(diǎn)安全能力，主要競(jìng)爭(zhēng)對(duì)手將會(huì)縮減到2-3個(gè)。AI+安全的長(zhǎng)期思考：競(jìng)爭(zhēng)格局改變關(guān)注安全行業(yè)格局長(zhǎng)期提升的機(jī)會(huì)安全行業(yè)格局現(xiàn)狀：主要子賽道各自為王，底層技術(shù)棧的差異，導(dǎo)致不同賽道的頭部廠(chǎng)商優(yōu)勢(shì)產(chǎn)品各有不同，沒(méi)有出現(xiàn)能統(tǒng)一分散安全能力的大平臺(tái)大公司；同時(shí)，用戶(hù)在各個(gè)領(lǐng)域選擇最好/最便宜/關(guān)系最好的廠(chǎng)商，然后做大集成，單一安全廠(chǎng)商很難在所有領(lǐng)域都占據(jù)頭部位置。過(guò)去技術(shù)創(chuàng)新是否改變了行業(yè)格局？安全行業(yè)是一個(gè)技術(shù)創(chuàng)新非常頻繁的行業(yè)，通常而言平均每3年時(shí)間就會(huì)有一輪小的技術(shù)迭代，但大多數(shù)情況下，新技術(shù)并不能形成獨(dú)立賽道或催生出大公司，而是被過(guò)去的產(chǎn)品所內(nèi)化。比如：UEBA、SOAR等功能逐漸融入SIEM。從投資的維度我們希望尋找的是：1）技術(shù)變革產(chǎn)生于足夠大的賽道；2）能夠?qū)Ω窬之a(chǎn)生影響的重大技術(shù)創(chuàng)新。比如：下一代防火墻（PaloaltoNetworks）、端點(diǎn)檢測(cè)與響應(yīng)EDR（Crowdstrike）。AI+安全：小變革還是大變革？長(zhǎng)周期看，安全行業(yè)并不缺少景氣度（全球安全市場(chǎng)長(zhǎng)期增速維持在7%-15%，國(guó)內(nèi)安全市場(chǎng)短期雖然景氣在低位，但長(zhǎng)期預(yù)期復(fù)合增速仍將保持在19%左右），因此安全行業(yè)的機(jī)會(huì)往往來(lái)自于格局的變化（能夠催生出大公司）。安全行業(yè)格局變化的機(jī)會(huì)大小與兩個(gè)因素有關(guān)，一是技術(shù)的顛覆性，即是否能夠帶來(lái)產(chǎn)品的重要變化，二是賽道規(guī)模的大小，其中，單賽道級(jí)的變革有下一代防火墻、EDR、終端國(guó)產(chǎn)化等，而云和AI將對(duì)安全產(chǎn)業(yè)的影響將大于過(guò)去單點(diǎn)的技術(shù)和產(chǎn)品創(chuàng)新。AI對(duì)格局的影響：安全大數(shù)據(jù)的重要性顯著提升AI帶來(lái)競(jìng)爭(zhēng)格局改變的可能:安全大數(shù)據(jù)提升了安全行業(yè)的規(guī)模效應(yīng)。數(shù)據(jù)成為關(guān)鍵競(jìng)爭(zhēng)要素，數(shù)據(jù)能力(包括獲取/處理數(shù)據(jù)的能力）決定了安全能力，AI+安全的核心壁壘，是用更強(qiáng)大的模型來(lái)挖掘安全大數(shù)據(jù)安全大數(shù)據(jù)的兩大底座：云（足夠大的數(shù)據(jù)量）+AI（足夠強(qiáng)的數(shù)據(jù)分析能力），安全數(shù)據(jù)本質(zhì)多源異構(gòu)數(shù)據(jù)，從安全設(shè)備的二手?jǐn)?shù)據(jù)到一手遙測(cè)數(shù)據(jù)，包括端點(diǎn)、網(wǎng)絡(luò)、防火墻、電子郵件、身份和DNS，分析和關(guān)聯(lián)所有這些本地遙測(cè)數(shù)據(jù)+云端威脅情報(bào)，集遙測(cè)數(shù)據(jù)的單獨(dú)組件，以一致的方式將其組合在一起以識(shí)別和阻止威脅。大模型出現(xiàn)后，海外廠(chǎng)商強(qiáng)調(diào)的是AI帶來(lái)的海量數(shù)據(jù)分析、理解、自動(dòng)化處理和生成的能力，特別是那些云安全做的比較好且本身產(chǎn)品體系完善的廠(chǎng)商，用戶(hù)多、數(shù)據(jù)多，規(guī)模效應(yīng)更明顯。國(guó)內(nèi)AI+安全現(xiàn)狀：明年產(chǎn)品有望放量國(guó)內(nèi)AI+安全進(jìn)展：預(yù)期不充分、產(chǎn)品還未鋪開(kāi)國(guó)內(nèi)AI+安全進(jìn)展：包括深信服、奇安信、安恒等十余家頭部廠(chǎng)商已發(fā)布AI+安全產(chǎn)品，目前正處于產(chǎn)品測(cè)試與市場(chǎng)推廣的初期，預(yù)計(jì)明年產(chǎn)品將全面鋪開(kāi)。中長(zhǎng)期維度對(duì)AI帶來(lái)的安全行業(yè)的變化——痛點(diǎn)解決得很明確，既會(huì)醞釀出新的大賽道上的新單品，也有希望從根本上改變安全的“復(fù)雜性”。大模型如何落地：云化VS本地化在大模型落地方式上，目前國(guó)內(nèi)外安全市場(chǎng)存在明顯差異。海外市場(chǎng)：云化部署占主導(dǎo)。海外客戶(hù)對(duì)安全SaaS接受度較高，包括Crowdstrike、Panw等頭部安全廠(chǎng)商均采取云優(yōu)先的戰(zhàn)略來(lái)推AI，頭部安全廠(chǎng)商能夠基于安全大數(shù)據(jù)去迭代優(yōu)化安全能力。國(guó)內(nèi)市場(chǎng)：私有化本地化部署為主，少數(shù)場(chǎng)景也會(huì)考慮云化部署的模式。國(guó)內(nèi)政府、金融等頭部客戶(hù)對(duì)數(shù)據(jù)安全要求較高，同時(shí)考慮算力成本以及大模型本地實(shí)施需求，訓(xùn)練/推理一體機(jī)的模式有望成為主流。模式一：深信服安全GPT深信服在5月18日發(fā)布了國(guó)內(nèi)首個(gè)安全垂直領(lǐng)域GPT大模型“安全GPT”，在9月22日展示了安全GPT的落地成果與2.0版本的升級(jí)，安全GPT2.0在檢測(cè)和運(yùn)營(yíng)能力上得到了進(jìn)一步提升。安全GPT2.0升級(jí)的能力可分為兩種，其一為檢測(cè)大模型，即作為新一代檢測(cè)引擎，更準(zhǔn)確、更快速地偵測(cè)到潛在的入侵活動(dòng)，如0day漏洞、APT隱蔽威脅入侵等；其二為運(yùn)營(yíng)大模型，即作為安全運(yùn)營(yíng)智能助手，實(shí)現(xiàn)自動(dòng)化值守，提升安全運(yùn)營(yíng)效率和效果。目前深信服安全GPT支持SaaS化及本地化多種部署方式，滿(mǎn)足用戶(hù)不同需求。在產(chǎn)品端，安全GPT現(xiàn)已全面賦能安全托管服務(wù)MSS，服務(wù)專(zhuān)家與“數(shù)字化助理”。模式二：安恒恒腦大模型及昇騰一體機(jī)安恒信息“恒腦·安全垂域大模型”于8月28日正式對(duì)外發(fā)布，同時(shí)發(fā)布了基于“恒腦”的安全運(yùn)營(yíng)平臺(tái)?！昂隳X”平臺(tái)能夠?yàn)橛脩?hù)帶來(lái)安全能力和安全效率的提升。1）安全能力提升：能夠從各種安全工具和數(shù)據(jù)源中收集、整合和分析信息，與態(tài)勢(shì)感知、資產(chǎn)管理系統(tǒng)、威脅情報(bào)平臺(tái)、漏洞管理系統(tǒng)等其他產(chǎn)品集成，從而實(shí)現(xiàn)全面的威脅情報(bào)分析和事件響應(yīng)；通過(guò)大模型自動(dòng)識(shí)別和分析安全事件，學(xué)習(xí)和適應(yīng)新的