5．     安全管理

安全管理類主要應(yīng)用于企業(yè)安全運(yùn)營(yíng)中心,是企業(yè)安全管理人員進(jìn)行安全運(yùn)營(yíng)、威脅檢測(cè)乃至應(yīng)急響應(yīng)的平臺(tái)工具產(chǎn)品,主要包含SIEM/SOC(安全管理平臺(tái))、態(tài)勢(shì)感知、高級(jí)威脅檢測(cè)、日志審計(jì)、漏洞管理等產(chǎn)品。如果說邊界安全、終端安全和身份安全是網(wǎng)絡(luò)安全的“底座”,那么安全管理就是網(wǎng)絡(luò)安全的“皇冠”。

安全管理類產(chǎn)品中最核心的產(chǎn)品就是安全管理平臺(tái),安全管理平臺(tái)在國(guó)外一般稱為SIEM(安全信息和事件管理),而在國(guó)內(nèi)更習(xí)慣性的稱SIEM為SOC或安全管理平臺(tái),實(shí)際上這也更加突出了SOC或安管平臺(tái)作為企業(yè)安全運(yùn)營(yíng)中心(Serurity Operation Center)的技術(shù)支撐平臺(tái)的功能。SIEM是SIM(安全信息管理)和SEM(安全事件管理)的融合體,主要功能是通過搜集來自異構(gòu)數(shù)據(jù)源(通常包括路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備、防火墻或IDPS等安全設(shè)備、Web或郵件服務(wù)器、以及各類應(yīng)用程序等)的相關(guān)信息(日志,事件,流量),對(duì)數(shù)據(jù)進(jìn)行關(guān)聯(lián)和分析,以檢測(cè)事件、發(fā)現(xiàn)威脅、識(shí)別異常行為和模式,以供后續(xù)使用(報(bào)告,審查、取證)。而最近幾年在國(guó)內(nèi)熱度很高的態(tài)勢(shì)感知,由于其底層平臺(tái)大多也是SIEM或SOC,因此也屬于安全管理平臺(tái)的范疇。

圖表31:SIEM的基本架構(gòu)

資料來源:方正證券研究所繪制

隨著政企用戶安全建設(shè)的重心的轉(zhuǎn)變,安全管理成為了近年國(guó)內(nèi)網(wǎng)絡(luò)安全行業(yè)景氣度最高的賽道。雖然SOC在2005年前后就進(jìn)入了國(guó)內(nèi)市場(chǎng),但與防火墻、反病毒等自動(dòng)化程度較高的安全工具不同,安管平臺(tái)對(duì)于企業(yè)用戶自身的安全運(yùn)維能力有較高的要求。而早期國(guó)內(nèi)用戶由于安全預(yù)算的不足,以及國(guó)內(nèi)安全服務(wù)生態(tài)的不成熟,安管平臺(tái)在國(guó)內(nèi)并沒有實(shí)現(xiàn)很好的落地。最近幾年隨著AI、大數(shù)據(jù)、UEBA(用戶及實(shí)體行為分析)及SOAR(安全編排及自動(dòng)化響應(yīng))等相關(guān)技術(shù)的成熟,降低了安全管理平臺(tái)的使用門檻,因此安管平臺(tái)在國(guó)內(nèi)的落地效果開始出現(xiàn)顯著的提升。具體體現(xiàn)在:

1)態(tài)勢(shì)感知平臺(tái)的興起:在2015年公安部開始率先推進(jìn)態(tài)勢(shì)感知和通報(bào)預(yù)警平臺(tái)的建設(shè),隨后態(tài)勢(shì)感知逐漸向電子政務(wù)、網(wǎng)信、金融等行業(yè)擴(kuò)散,態(tài)勢(shì)感知通過可視化的監(jiān)控大屏等方式,讓安全管理平臺(tái)的應(yīng)用效果能夠被更加清晰的感知,也間接促進(jìn)了安管平臺(tái)的采購(gòu),目前來看泛行業(yè)態(tài)勢(shì)感知的建設(shè)仍有很大的潛在空間。

2)高級(jí)威脅檢測(cè)需求的持續(xù)提升:隨著安全形勢(shì)日趨嚴(yán)峻,對(duì)于大中型機(jī)構(gòu)而言,建立面向?qū)崙?zhàn)化的威脅檢測(cè)與響應(yīng)能力已成為網(wǎng)絡(luò)安全體系建設(shè)的重中之重。且近幾年攻防演練活動(dòng)中,以攻防為主要場(chǎng)景的高級(jí)威脅檢測(cè)產(chǎn)品已經(jīng)成為眾多企業(yè)用戶的核心需求。

3)安全管理能力平臺(tái)的輕量化落地:過去來看SIEM/SOC類產(chǎn)品涉及到較多的定制化,一般的采購(gòu)方主要為安全預(yù)算充足的大型企業(yè)和機(jī)構(gòu)。目前以NDR+EDR+SOAR+安全分析等多種能力形式的XDR解決方案開始在中型機(jī)構(gòu)中快速落地。XDR作為SIEM/SOC的替代,方案簡(jiǎn)單、輕量、易用,且標(biāo)準(zhǔn)化程度更高,未來將成為國(guó)內(nèi)安全市場(chǎng)的重要趨勢(shì)。

奇安信、啟明星辰和安恒信息目前占據(jù)了國(guó)內(nèi)安全管理平臺(tái)的前三位置,其他頭部安全廠商也已經(jīng)把這一賽道作為重點(diǎn)發(fā)力方向。前三大廠商均具備較強(qiáng)的競(jìng)爭(zhēng)優(yōu)勢(shì):1)奇安信的安全管理類產(chǎn)品主要包括了NGSOC、態(tài)勢(shì)感知和威脅感知系統(tǒng)天眼,奇安信作為國(guó)內(nèi)最早布局態(tài)勢(shì)感知市場(chǎng)的安全廠商之一,目前在態(tài)勢(shì)感知市場(chǎng)的份額排名第一,同時(shí)憑借在安全大數(shù)據(jù)以及高級(jí)威脅檢測(cè)方面的能力,公司NGSOC和威脅感知系統(tǒng)天眼也是近年來的爆款產(chǎn)品,綜合來看公司在安全管理類產(chǎn)品在國(guó)內(nèi)市場(chǎng)占據(jù)龍頭地位;2)啟明星辰作為國(guó)內(nèi)最早開發(fā)安全管理平臺(tái)產(chǎn)品的廠商,在2005年前后就推出了國(guó)內(nèi)第一代安全管理平臺(tái)“泰合”,同時(shí)在2017年啟明作為首家中國(guó)廠商進(jìn)入了GartnerSIEM魔力象限,在安管平臺(tái)領(lǐng)域有非常深厚的技術(shù)沉淀;3)安恒信息作為新興安全廠商,在2014年前后開始將態(tài)勢(shì)感知及安全管理平臺(tái)作為重要發(fā)展方向。安恒從公安態(tài)勢(shì)感知平臺(tái)切入,在打造標(biāo)桿效應(yīng)后,目前在重要行業(yè)成功落地態(tài)勢(shì)感知案例200余個(gè),在監(jiān)管側(cè)態(tài)勢(shì)感知市場(chǎng)排名第一。同時(shí),安恒的大數(shù)據(jù)安全平臺(tái)在多源異構(gòu)數(shù)據(jù)采集、海量數(shù)據(jù)存儲(chǔ)、安全事件溯源分析等核心技術(shù)上也具備一定的領(lǐng)先優(yōu)勢(shì)。除了前三大廠商之外,深信服作為安全管理賽道的新進(jìn)入者,憑借成熟的渠道體系,目前市場(chǎng)份額也正在迅速提升,也進(jìn)入到了前五的位置。

圖表32:2020年中國(guó)安全分析和威脅情報(bào)市場(chǎng)份額

資料來源:IDC、方正證券研究所

6．     安全服務(wù)

網(wǎng)絡(luò)安全服務(wù)指為增強(qiáng)和完善用戶網(wǎng)絡(luò)信息系統(tǒng)所提供的一系列的服務(wù),通常情況下,安全服務(wù)由安全咨詢、安全運(yùn)營(yíng)、安全集成三大部分構(gòu)成。從Gartner和IDC兩大機(jī)構(gòu)的統(tǒng)計(jì)口徑來看:IDC認(rèn)為安全服務(wù)包括安全咨詢、安全運(yùn)營(yíng)(MSS)、安全集成、安全教育及培訓(xùn)四個(gè)部分,而Gartner認(rèn)為安全服務(wù)主要由安全咨詢、安全外包(含MSS及駐場(chǎng)服務(wù))、安全集成、硬件維護(hù)與支持四部分構(gòu)成。雖然兩家機(jī)構(gòu)在統(tǒng)計(jì)口徑上存在一定差異,但無論是在Gartner還是IDC的口徑下,安全咨詢、安全運(yùn)營(yíng)、安全集成都是最主要的三個(gè)部分,占據(jù)了安全服務(wù)市場(chǎng)90%以上的份額。

圖表33:IDC安全行業(yè)分類

資料來源:IDC、方正證券研究所

國(guó)內(nèi)安全服務(wù)市場(chǎng)無論從市場(chǎng)總規(guī)模,還是從市場(chǎng)結(jié)構(gòu)來看,跟歐美市場(chǎng)相比,都存在非常明顯的差距。首先在市場(chǎng)規(guī)模上,根據(jù)IDC、賽迪股份等機(jī)構(gòu)的統(tǒng)計(jì)數(shù)據(jù),目前國(guó)內(nèi)安全服務(wù)市場(chǎng)總規(guī)模遠(yuǎn)低于全球平均水平。同時(shí)在國(guó)內(nèi)安全服務(wù)市場(chǎng),安全咨詢和安全運(yùn)營(yíng)等附加值較高的安全服務(wù)占比較低,安全實(shí)施和系統(tǒng)集成占據(jù)了大部分的市場(chǎng)份額,體現(xiàn)出了國(guó)內(nèi)外安全服務(wù)市場(chǎng)在產(chǎn)業(yè)成熟度上的差距。

圖表34: 2020年中國(guó)IT安全投資分布(IDC)

資料來源:IDC、方正證券研究所

圖表35: 2020年全球IT安全投資分布(Gartner)

資料來源:Gartner、方正證券研究所

我們認(rèn)為,國(guó)內(nèi)外安全服務(wù)市場(chǎng)存在差異的主要原因在于:1)缺乏安全意識(shí):國(guó)內(nèi)許多政企客戶過去網(wǎng)絡(luò)安全預(yù)算非常有限,絕大部分的預(yù)算都用于采購(gòu)安全工具,以應(yīng)付合規(guī)和審查,沒有主動(dòng)提升安全能力的訴求;2)沒有付費(fèi)意愿:在國(guó)內(nèi)安全咨詢、安全運(yùn)營(yíng)等專業(yè)服務(wù)經(jīng)常被安全廠商作為采購(gòu)安全設(shè)備的附贈(zèng)品,企業(yè)用戶甚至不需要向安全服務(wù)單獨(dú)付費(fèi),而實(shí)際上單獨(dú)的咨詢規(guī)劃和運(yùn)營(yíng)服務(wù)的價(jià)格并不低于設(shè)備采購(gòu);3)產(chǎn)業(yè)生態(tài)不成熟:國(guó)內(nèi)安全服務(wù)市場(chǎng)從起點(diǎn)上就跟歐美市場(chǎng)存在天然的差距,缺少類似IBM、Dell、德勤、埃森哲等大型廠商對(duì)安全服務(wù)市場(chǎng)的培育,導(dǎo)致國(guó)內(nèi)政企用戶對(duì)安全服務(wù)的接受度普遍偏低。

安全服務(wù)的行業(yè)景氣度以及安服對(duì)安全廠商的戰(zhàn)略價(jià)值均在快速提升:1)在政策合規(guī)和產(chǎn)業(yè)升級(jí)兩大因素的驅(qū)動(dòng)下,政企用戶對(duì)安全服務(wù)的需求正在迅速提升。安全服務(wù)目前已經(jīng)成為網(wǎng)絡(luò)安全市場(chǎng)熱度最高,潛在空間最大的賽道,是安全廠商的重要增長(zhǎng)點(diǎn)。2)除了直接采購(gòu)在持續(xù)增加之外,安全服務(wù)能夠有效提升用戶粘性,對(duì)安全廠商而言具備極大的戰(zhàn)略價(jià)值。頭部安全廠商也正在通過頂層設(shè)計(jì)、平臺(tái)建設(shè)以及運(yùn)營(yíng)服務(wù)的組合,持續(xù)卡位政企用戶的安全預(yù)算。

6．1     安全咨詢服務(wù)

安全咨詢作為安全服務(wù)的重要組成部分,所涉及的內(nèi)容非常廣泛,最常見的安全咨詢服務(wù)包括安全戰(zhàn)略規(guī)劃,安全架構(gòu)設(shè)計(jì)、安全測(cè)評(píng)(等保)及合規(guī)審計(jì)等,此外技術(shù)類服務(wù),包括滲透測(cè)試、漏洞評(píng)估、調(diào)查取證、應(yīng)急響應(yīng)、攻防演練等一般也屬于安全咨詢的范疇。

圖表36:安全咨詢業(yè)務(wù)分類

資料來源:方正證券研究所繪制

安全咨詢市場(chǎng)近年來在政策驅(qū)動(dòng)下正處于快速增長(zhǎng)期。新的安全法規(guī)條例近年來的不斷出臺(tái)直接提升了用戶對(duì)安全咨詢的需求,包括等保2．0、關(guān)鍵基礎(chǔ)設(shè)施保護(hù)條例、密碼法、網(wǎng)絡(luò)安全審查辦法以及在2021年即將落地的個(gè)人信息保護(hù)法、數(shù)據(jù)安全法等法規(guī)條例的相繼出臺(tái),使得政企用戶對(duì)安全評(píng)估、安全測(cè)試、安全戰(zhàn)略、安全規(guī)劃的需求得以迅速提升。同時(shí)HW行動(dòng)及重大活動(dòng)網(wǎng)絡(luò)安保驅(qū)動(dòng)了應(yīng)急常態(tài)化和防護(hù)實(shí)戰(zhàn)化,相關(guān)企事業(yè)單位對(duì)于攻防演練、安全評(píng)估的需求也正在持續(xù)增加。

目前國(guó)內(nèi)安全咨詢市場(chǎng)以奇安信、啟明星辰、天融信、綠盟科技、安恒信息等安全廠商占主導(dǎo)。根據(jù)IDC的數(shù)據(jù),2020年奇安信以7．2%的市占率在國(guó)內(nèi)安全咨詢市場(chǎng)位居第一,啟明星辰以5．7%的市場(chǎng)份額排名第二,天融信、綠盟科技及新華三的市占率分別為5．6%、4．7%及2．6%。隨著網(wǎng)絡(luò)安全在政府和企業(yè)內(nèi)部的戰(zhàn)略層級(jí)正在不斷提升,用戶對(duì)安全咨詢的需求正在從過去數(shù)據(jù)安全治理、滲透測(cè)試、漏洞評(píng)估等專項(xiàng)建設(shè)向頂層設(shè)計(jì)升級(jí),安全咨詢服務(wù)的戰(zhàn)略地位也在不斷提升,包括奇安信、安恒信息、深信服、綠盟科技、啟明星辰等頭部廠商都將安全咨詢能力的建設(shè)作為重點(diǎn)發(fā)力的方向。

圖表37:2020年中國(guó)IT安全咨詢服務(wù)市場(chǎng)份額

資料來源:IDC、方正證券研究所

6．2     安全運(yùn)營(yíng)服務(wù)

托管安全服務(wù)(MSS)指通過第三方安全服務(wù)廠商的遠(yuǎn)程安全運(yùn)營(yíng)中心(SOC)交付的事件監(jiān)控、分析、預(yù)警、響應(yīng)等一系列服務(wù)。通常情況下MSS包括:1)遠(yuǎn)程24/7小時(shí)對(duì)客戶側(cè)的安全事件和相關(guān)數(shù)據(jù)源(包括日志、流量等)進(jìn)行安全監(jiān)控和威脅檢測(cè)(Threat Detection);2)漏洞(弱點(diǎn))評(píng)估與管理(Vulnerability Management)服務(wù),包括漏洞掃描,分析和補(bǔ)救;3)對(duì)客戶的IT安全設(shè)備和工具,包括防火墻、IDPS、SIEM、端點(diǎn)安全等進(jìn)行管理;4)對(duì)客戶的安全事件進(jìn)行響應(yīng)。目前許多新興的MSS服務(wù)已經(jīng)超出了傳統(tǒng)MSS的邊界,包括威脅情報(bào)服務(wù),托管檢測(cè)和響應(yīng)(MDR)服務(wù)等。此外,通過駐場(chǎng)人員現(xiàn)場(chǎng)交付的安全運(yùn)營(yíng)服務(wù)一般被稱為安全外包或安全駐場(chǎng)服務(wù)。

圖表38:MSS的典型運(yùn)行機(jī)制

資料來源:Gartner、方正證券研究所

托管安全服務(wù)市場(chǎng)最大的驅(qū)動(dòng)力是安全產(chǎn)業(yè)成熟度的提升。隨著產(chǎn)業(yè)成熟度的持續(xù)提升,政企用戶的安全重心,將逐漸從采購(gòu)安全產(chǎn)品以滿足合規(guī)要求,轉(zhuǎn)移到采購(gòu)安全服務(wù)以提升安全能力,這是產(chǎn)業(yè)發(fā)展的必然規(guī)律。對(duì)于國(guó)內(nèi)許多頭部企業(yè)而言,在經(jīng)過多年的安全建設(shè)后,繼續(xù)堆設(shè)備所帶來的提升已經(jīng)相當(dāng)有限,當(dāng)前的主要問題在于如何構(gòu)建一套更為有效的安全體系,并且如何讓這套體系持續(xù)高效運(yùn)作,這也將直接帶來對(duì)專業(yè)安全服務(wù)廠商的安全運(yùn)營(yíng)服務(wù)的需求。中長(zhǎng)期來看,政企用戶出于降低人力成本(安全廠商通過體系化管理實(shí)現(xiàn)規(guī)模效應(yīng)),以及應(yīng)對(duì)復(fù)雜威脅和管理復(fù)雜架構(gòu)的需要(專業(yè)的人做專業(yè)的事),都將持續(xù)增加對(duì)專業(yè)安全服務(wù)的采購(gòu)。

國(guó)內(nèi)托管安全服務(wù)市場(chǎng)以啟明星辰、奇安信、安恒信息、綠盟科技等頭部安全廠商占據(jù)主導(dǎo)。根據(jù)IDC的數(shù)據(jù),2020年,啟明星辰以13．7%的份額排名第一,奇安信和安恒信息分別排名第二和第三。國(guó)內(nèi)安全廠商近年來將托管安全服務(wù)作為重點(diǎn)布局方向,而且和海外市場(chǎng)更為流行MSS的模式所有不同,國(guó)內(nèi)安全龍頭廠商正在探索更加適應(yīng)于本土市場(chǎng)的安全運(yùn)營(yíng)服務(wù),比較典型的有啟明星辰和安恒信息的城市安全運(yùn)營(yíng)中心,360的城市安全大腦,奇安信的應(yīng)急響應(yīng)中心,以及深信服“人機(jī)共智”MSS服務(wù)等。

圖表39:2020年中國(guó)托管安全服務(wù)市場(chǎng)份額

資料來源:IDC、方正證券研究所