2019年10月21日,IDC中国正式对外发布了《IDC MarketScape: 中国态势感知解决方案市场2019年厂商评估》报告,对中国13家代表性的网络安全态势感知厂商进行了深入研究与评估,并绘制了MarketScape象限图【图有版权】。其中,我参与创立的盛华安信息技术有限公司作为其中的代表,榜上有名,处于主要厂商的位置。

IDC在该报告发布的新闻稿中表示,随着IT系统日益复杂和新IT技术的应用,IT系统暴露面急剧增加,应对网络攻击的难度越来越大,传统的安全防御体系逐渐失效,态势感知解决方案正在成为新一代防御体系的核心。

网络安全态势感知解决方案市场重要发现

基于该研究报告,IDC总结了8点重要发现:

  1. 企业需要有效提升主动防御体系的安全能力,主动安全防御体系建设理念在全球正在成为主流;

  2. 情报及分析能力已经成为态势感知平台的核心能力;

  3. 态势感知平台在自动化编排能力上尚未成熟,仍然需要进一步提升

  4. 探针部署极为重要,强调边缘威胁分析、终端威胁分析与态势感知平台的融合;

  5. MSS变得更为重要,客户虽然可以借助态势感知平台快速发现异常,但普遍缺乏足够的人力和相应的技术来应对网络攻击;

  6. 平台本身缺乏与安全产品对接的统一接口

  7. 针对应用场景的定制化开发普遍存在,针对应用场景定制化开发将使得态势感知平台发挥更大的作用;

  8. AI技术的融入将有效提高态势感知平台的综合安全检测能力。

IDC中国网络安全市场助理研究总监王军民表示:“态势感知解决方案/平台是构建主动网络安全防御体系的重要组成部分,基于情报、分析、响应和编排构建的态势感知解决方案/平台将真正的成为主动安全防御体系的“智慧大脑”。对于企事业单位和关键信息基础设施相关的行业而言,态势感知解决方案/平台已经成为必须建设的内容,该市场已经进入一个高速上升的通道。”

如何看懂这份报告?笔者认为需要先厘清以下几个概念,即IDC是如何定义中国(网络安全)态势感知市场的?跟AIRO是什么关系?什么是MarketScape象限图?以下笔者依照IDC的相关报告提出自己的解读。

IDC对AIRO市场的定义

根据IDC2019年的《全球网络安全产品分类》,IDC对网络安全产品的分类进行了重大调整,其中最大的变化就是在2018年创建的一个名为“AIRO”的全新产品类别,如下图所示:

下图则是以前的市场分类:

根据IDC的最新定义,网络安全产品的一类分类不再按照软件、硬件和服务三种产品形态来划分,而是根据其应用的领域来界定,产品形态策划成为了产品属性,并且更加多样化。新的一级分类包括:网络安全、内容检测、互联网防御、端点安全、AIRO、身份与数字信任、应用安全与DevSecOps、平行市场及其它安全产品。

其中,AIRO是由分析与情报(输入与分析)、响应(行动)和编排(自动化)三个子类组合起来的一个分类。在命名上,则取了三个子分类的首字母组合(Analytics and Intelligence、Response、Orachestration),给人感觉是实在没法对这三个市场组合找到一个合适的词汇了。

具体而言,AIRO是针对原来的SVM产品市场的重大升级。IDC定义: AIRO是一套专注于允许组织确定、解析和改进公司风险态势的全面的解决方案,是成熟安全架构的基本组成部分。该市场中的产品(无论是硬件,软件还是服务)包括那些创建、监控和实施安全策略的产品以及确定给定设备的配置、结构和属性的产品。

上述定义比较拗口,如果将其内容展开,可能就比较好理解了,其实就是一揽子相关技术的合集,可谓大杂烩,如下图所示:

如上图所示,AIRO包括了:

  • 分析与情报

    • SIEM与安全分析,应该含LM

    • 威胁分析

    • 威胁情报

    • 欺骗

  • 响应

    • 取证和应急响应(IR)

    • 策略与合规管理:譬如设备集中管理、策略集中下发

    • GRC

  • 编排

    • 脆弱性评估与管理

    • NAC

    • 编排自动化工具:相当于Gartner定义的SOAR中的SOA部分

IDC对中国网络安全态势感知市场的定义

从全球范围内来看,IDC是没有“网络安全态势感知市场”定义的。这个概念是针对中国市场单独定义的。也因此,IDC将这个市场描述为网络安全态势感知解决方案,突出了解决方案这个词,表明该市场是一类技术、产品和服务的集合体。

为了研究方便,IDC中国将网络安全态势感知解决方案与IDC最新的市场分类进行了映射,大体上将其与AIRO(分析、情报、响应与编排)类别对应起来。

通过前面对AIRO的介绍,我们可以发现, IDC将中国的网络安全态势感知解决方案市场映射到AIRO是有道理的,但不能将它们完全对等起来理解,只能作为一个参照。

说它合理,是因为这个映射抓住了网络安全态势感知解决方案的核心——安全分析与情报,尤其是SIEM,并对传统的态势感知进行了闭环方向上的扩展——自动化编排与响应。因此,借AIRO的定义, IDC中国将网络安全态势感知解决方案定义为由网络安全分析与情报、响应和编排(AIRO)三类技术组成的,一套专注于允许组织确定、解析和改进公司风险态势的全面的解决方案,是成熟安全架构的基本组成部分。简单来说,就是该解决方案包括了综合性安全分析与响应,并充分整合的威胁情报,以及编排自动化工具。

进一步分析,可以发现,上述定义是在IDC全球统一语境下给出的,有助于从IDC统一视角对该市场进行研究分析,但从笔者而言,则认为如果抛开这个限制,可以给出一个更加易于理解的定义: 网络安全态势感知系统以特定网络空间资产及上面运行的业务系统为保护对象,整合分散的安全防护和检测技术,持续收集目标对象的资产数据、运行数据、脆弱性数据、内外部安全情报、日志及流量数据,及各类情境数据,进行多层次安全分析,从多个维度持续监测、评估和预测网络安全态势,及时进行预警、告警、响应处置和情报分享,协助网络管理者全面细致地掌握网络安全运行状况,有效识别入侵、攻击、违规、泄露和破坏行为,并通过与其它系统的协同联动来达成对目标网络安全的有效防护。

什么是MarketScape象限图

简单地说,IDC的MarketScape是IDC设计的一套针对厂商在某个细分市场综合能力的评估方法论。它的最终表现形式是一副变异的二维象限图。IDC的MarketScape相当于Gartner的魔力象限(MQ)图,Forrester的Wave图,都是对厂商的一种评估,在图形上更接近于Forrester的Wave图,从X轴、Y轴和气泡面积(Z轴)三个维度来表现厂商的位置。

其中,X轴分析厂商未来3到5年的战略能力,Y轴分析厂商当前的能力,气泡大小则反映该市场的收入多少。最终,MarketScape将厂商划分为四种类型:领导者、主要厂商、竞争者、参与者。

厂商评估

报告的主要内容是对13个厂商依次进行评估,包括厂商概况,优势和劣势分析。

针对盛华安,IDC表示,其CyberSky-SAP 安全态势感知与管理系统作为一款综合性网络安全态势感知系统具备较高的技术水平,主要体现在以下几个方面:

  • 开放式大数据技术架构:系统内置Elasticsearch,并支持多种Hadoop系统,并支持Kafka、Spark、Flink等多种大数据基础设施;能够运行在X86和国产化安全可控硬件平台上,也支持虚拟化、Docker和云部署。系统具有良好的分析能力开放性,允许用户自定义安全分析的算子。系统具备良好的整合能力开放性,能够方便地与第三方开源或商业NTA、EDR、SIEM,以及安全情报等系统对接。系统底层基于赛博坦安全管理套件开发平台,对外提供SDK,允许用户进行二次开发。

  • 多要素采集融合:系统能够采集多维多源异构的安全要素信息,既采集设备和端点的日志,也采集流量数据;既能够采集资产数据,也能够采集漏洞和配置等脆弱性数据,还能够采集包括情报、身份、业务在内的各种情境数据。对于采集到的数据通过大数据技术进行融合,既包括日志、流量、资产、漏洞、情报信息的各自融合,也包括这些要素信息的交叉融合。内置数据治理功能,既支持对要素信息的动态建模(比如日志建模、资产建模、弱点建模、威胁建模、风险建模、态势指标建模等),也支持对要素信息采集、传输、存储、利用的全程质量监控。

  • 纵深化安全分析:系统实现了将基于规则匹配的关联分析、基于机器学习的行为分析和可以自定义算子的专项分析三种分析引擎叠加到一起,并集成了情报分析、攻击链分析和用户及实体行为分析(UEBA)功能,形成一个纵深化、立体式的分析网络,综合发挥各种分析能力的优势。

  • 多方位态势感知:系统强调从资产、用户、运行、弱点、攻防、威胁、风险等多个角度进行多方位的态势评估、预测与呈现,帮助用户全面地掌控目标网络安全态势。

  • 安全编排与自动化:发布了具备SOAR功能的网络安全态势感知系统,通过具备分诊与调查能力的告警管理、案件管理和安全编排自动化模块,帮助用户快速核实告警、自动响应处置、持续事件调查,实现积极安全响应。系统内置符合BPMN规范的工作流引擎、具备可视化剧本编辑器。

  • 高性能:系统采用分布式架构设计,实现了高性能的信息采集、分析、存储和响应。系统具备高性能分布式关联分析引擎,借助4个分布式节点,每秒钟能够处理10万条以上的事件。

小结

纵观整个报告,入选的13家公司涵盖了国内的综合型安全厂商、云服务提供商及新兴态势感知解决方案提供商等,分别是:兰云科技、绿盟科技、盛华安、安恒信息、华为、奇安信、启明星辰、深信服、天融信、腾讯云、新华三、盛邦安全、亚信安全。

可以看到,由于其极强的综合性和带动效应,网络安全态势感知已经成为大型综合性安全厂商的必争之地。而又由于当前市场的相对分散性,各大厂商之间的竞争并没有那么惨烈。随着这块市场未来空间越来越被看好,相信会有更多的厂商通过各种方式加入其中,而网络安全态势感知解决方案市场本身也会不断地被细分和重塑。

声明:本文来自专注安管平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。