2023中国网络安全运营市场研究报告.pdf

《2023中国网络安全运营市场研究报告.pdf》由会员分享，可在线阅读，更多相关《2023中国网络安全运营市场研究报告.pdf（90页珍藏版）》请在咨信网上搜索。

1、2023年中国网络安全运营市场研究报告2023-11数说安全研究院有限公司关键经营数据分析现流健康度继续下降数说安全研究院研究背景与研究范围说明u在我国网安产业近三十年发展过程中，网络安全法实行超过6年、等级保护制度实行接近20年，这两项网安普适性法律法规已对企业网络安全建设产生重要且实质性的影响。目前看，多数企业已完成合规建设，基础安全体系搭建完成，未来将进入深耕细作、建设与运营并重的新阶段。u数字应用爆炸式增长导致企业安全风险暴露面不断扩大，网络威胁态势日益严峻。安全运营可以帮助企业将安全技术、安全人员与安全管理制度进行高效聚合，实现更为主动、快速、贯穿全局的防御能力。安全运营已成为海内外

2、广泛认可的重要发展方向，未来也将成为绝大多数企业安全能力提升过程中的核心工作。u企业安全运营需求的快速释放也推动了安全运营市场蓬勃发展。安全运营涵盖范围非常广，主要由安全运营产品、安全运营服务和安全运营应用场景构成，不同应用场景所需要的安全运营产品、安全运营服务以及服务的模式可能存在差异。u本次研究主要针对安全运营服务市场，以市场需求最大的网络安全运营作为主要应用场景，非安全运营平台类产品和其它应用场景的安全运营不作为本次研究的主要内容。安全运营产品安全运营服务SOCSIEMXDR态势感知SOARBASEDR/CWPPNDRTIASMDECEPTIONCAMVA/VPTITDRSASE安全运营

3、咨询服务安全运营应用场景网络安全运营云安全运营数据安全运营工控安全运营移动安全运营安全运营分类驻场运维服务安全托管服务托管检测与响应服务关键经营数据分析现流健康度继续下降数说安全研究院目录01安全运营概述02安全运营技术与产品介绍03安全运营服务介绍04安全运营市场分析05安全运营市场优秀项目案例06安全运营市场总结与发展趋势07附录-安全运营厂商调研情况关键经营数据分析现流健康度继续下降数说安全研究院安全运营概述企业安全管理工作面临的挑战安全运营的模式（甲方视角）安全运营的定义安全运营的价值安全运营在网络安全体系中的定位与价值安全运营利好政策安全运营与安全运维的区别安全运营法律法规关键经营数

4、据分析现流健康度继续下降数说安全研究院企业安全管理工作面临的挑战u缺乏安全运营的静态防御模式无法有效应对不断演进的网络安全威胁：缺乏安全运营的静态防御模式无法有效应对不断演进的网络安全威胁：国内大多数企业在构建安全体系时主要以满足合规要求作为第一导向，采购大量安全产品并堆叠部署已成为常态。然而，在这种背景下，各安全产品间常常孤立运转，缺乏有效的协同联动能力，企业整体安全策略与防御姿态长期处于静止和被动的状态，难以有效应对日益复杂和精细化、平台化、自动化的网络攻击，企业迫切需要建立动态、主动的安全运营体系，以达到有效防护的目标。u攻防不对等性导致企业难以实现攻防不对等性导致企业难以实现100%1

5、00%绝对的安全：绝对的安全：攻击者在暗而防守者在明，防守方需要耗费大量资源部署长长的防线来保护庞大的网络资产，攻击者只要在100次攻击中成功1次，就可以抵消防守方在99次成功防守中所付出的努力。因此，企业在构建安全防线时，盲目的建设防线并不是最优的选择，更好的办法是在安全运营过程中时刻感知威胁与风险，采用更具针对性、动态的安全策略，并不断加强防御系统的韧性，保证即便发生攻击或系统被攻破，也能够及时发现、阻断攻击并快速恢复业务。u企业在网络安全投入上面临预算压力和资源限制：企业在网络安全投入上面临预算压力和资源限制：对于一些企业来说，很难衡量网络安全投资的回报率（ROI），这导致它们在网络安全

6、方面只拥有有限的预算和资源，同时也可能限制其采购和实施最新的安全技术和措施。因此，企业需要找到一种平衡，通过建立高效的安全运营体系，帮助企业最大程度提高系统的安全性，同时实现在有限资源下进行有效管理。关键经营数据分析现流健康度继续下降数说安全研究院安全运营的定义安全管理流程安全人员安全技术风险威胁攻击识别保护检测响应预警通过技术设施安全评估，技术设施安全加固，安全漏洞补丁通告、安全事件响应以及信息安全运维咨询，协助组织的信息系统管理人员进行信息系统的安全运维工作，以发现并修复信息系统中所存在的安全隐患，降低安全隐患被非法利用的可能性，并在安全隐患被利用后及时加以响应。中国网络安全审查技术与认证

7、中心（CCRC）安全运维服务资质简介安全意识和安全技能培训；资产识别和管理；脆弱性识别和管理；应急响应及处理能力；深度威胁检测、研判和管理；安全事件预警与取证分析；风险评估的能力；内部审计和威胁情报处置；态势感知和趋势分析；维护安全运营中心（SOC）工具生命周期；安全性协调的能力；检验并证实整体安全性。中国信息安全测评中心（CNITSEC）安全运营服务资质（安全运营过程能力要求）结合行业主管部门对安全运维的定义和安全运营能力过程要求，数说安全对安全运营定义如下：安全运营是通过统一和协调组织内安全人员、安全技术和安全管理流程，对组织面临的安全风险进行预警、安全运营是通过统一和协调组织内安全人员、

8、安全技术和安全管理流程，对组织面临的安全风险进行预警、识别、保护、检测、响应的过程。安全运营的目标是发现组织已存在或未来可能会出现的安全风险，并利识别、保护、检测、响应的过程。安全运营的目标是发现组织已存在或未来可能会出现的安全风险，并利用高效的安全防控措施来主动化解风险，以此不断改善组织的安全状况。用高效的安全防控措施来主动化解风险，以此不断改善组织的安全状况。数说安全对安全运营的定义数说安全对安全运营的定义关键经营数据分析现流健康度继续下降数说安全研究院安全运营在网络安全体系中的定位与价值防火墙防病毒IDS密码资产安全盘面基础结构安全的防御姿态posture，主要就是解决“资产-漏洞-配置

9、-补丁”问题的系统安全基础结构安全防火墙防病毒IDS密码VA网闸UTMIPSEPPIAMSOCWAF纵深防御纵深防线盘面纵深防御的防御姿态posture，是防护策略有效性，以构成坚实的防御“阵地”防火墙防病毒IDS密码VA网闸UTMIPSEPPIAMSOCWAF态势感知与积极防御云计算大数据移动区块链业务安全物联网车联网工控AIUEBASDNZTNACAMDECEPTIONSOARSASETIXDR威胁处置盘面积极防御的posture，是威胁发现能力和处置及时性有效关键经营数据分析现流健康度继续下降数说安全研究院安全运营与安全运维的区别安全运维以保障企业网络安全基础设施正常使用和稳定运行为主要

10、目标工作围绕用户现有的网络安全设施，比如防火墙、WAF、上网行为管理、防病毒软件、终端安全管理等网络安全产品安全巡检、配置核查、产品运行状态监控、产品升级、设备维保、等保整改等人工和手动为主、以少量工具作为辅助安全运营通过主动化解网络安全风险来保障企业数字化业务稳定运行为主要目标工作围绕企业所有数字化业务和应用而展开，通过安全运营来保护企业IT资产、数据资产、互联网资产不被侵害资产盘点、漏洞管理、渗透测试、风险评估、安全加固、威胁管理、态势感知、风险缓解、应急响应、溯源取证等通过人+自动化平台/工具实现人机合智的安全运营与管理范围过程方法目标关键经营数据分析现流健康度继续下降数说安全研究院安全

11、运营的模式（甲方视角）完全自建模式u组织具有成熟的安全体系，安全管理流程、安全人员、安全技术均由组织自建自筹；u组织CSO（首席安全官）对本组织的安全运营情况和效果负责；u组织具备充足的安全预算，已建成体系化的安全架构，拥有专业的安全运营团队，安全运营是保障组织业务发展的重要因素。u目前在市场中，采用完全自建模式的客户比例不超过3%。产品体系自建+采购驻场运维服务模式u组织通过安全集成的方式购买安全产品并建立安全防护体系，但组织内安全人员有限，需要以人力外包的方式补充安全运营人员；u组织CSO（首席安全官）对本组织的安全运营情况和效果负责；u组织安全预算相对充足，但预算优先投入安全技术体系建设

12、，拥有相对成熟的安全管理流程，但受限于组织体制、技术能力与人员编制控制等原因，无法自建完整的安全运营团队。安全托管模式（MSS）u组织建立了安全防护体系，但没有独立的安全运营团队，也不具备安全运营能力，需要将安全运营工作委托给外部专业的安全公司；u受委托的安全公司针对组织面临的安全需求，制定组织安全管理流程、配备安全运营人员、提供安全运营工具，以云端/远程的交付方式实现对组织安全运营工作的全面托管，并对最终的效果负责；u组织安全预算有限，短期内不具备自筹自建安全运营体系的能力。托管检测与响应模式（MDR）u除基础安全运营工作外，组织更关注自身面临的网络攻击与威胁，但组织不具备相应的技术能力，需

13、要将威胁检测、威胁分析、威胁响应等工作委托给外部专业的安全公司；u受委托的安全公司为组织提供面向威胁视角的托管式安全服务，包括部署威胁检测探针、威胁分析和响应平台等基础设施，并在云端配备安全专家，为组织提供7*24小时的威胁检测与响应服务。关键经营数据分析现流健康度继续下降数说安全研究院安全运营的价值安全管理指标化成熟的安全运营将打破传统网络安全管理的模式，在管理制度和管理流程基础上，进一步采用科学的数字化管理指标，通过风险平均检测时间（MTTD）、平均确认时间（MTTA）、平均遏制时间（MTTC）、平均恢复时间（MTTR）等多项指标量化安全运营过程和结果，从而达成更精细、可度量的安全管理能力

14、。安全能力实战化安全运营通过威胁情报预测、主动监控、安全测试等多样化手段，提前发现企业可能面临的安全风险和威胁，自适应调整对抗策略，降低企业发生网络安全风险的可能性。同时，在风险发生时，安全运营可以实现快速的风险定位，通过体系化的安全运营流程来化解风险，在减少企业损失的同时不断强化实战能力。安全成本最小化国内以合规为导向的市场供需关系导致企业购买了很多安全产品，但并未通过技术有机结合形成有效的体系化能力，安全运营可以在弥补企业管理能力与技术能力的同时，合理规划安全需求与安全投入，实现物尽其用，减少冗余和重复性投资，以此降低企业整体的安全成本。安全价值最大化企业安全投入与产出不匹配是我国网安产业

15、一直以来面临的突出矛盾，其主要原因在于长期形成的堆叠式安全体系，在没有良好的管理和运营的情况下，无法带来令人满意的安全价值。2016年开始的实网攻防，其目的也是解决让企业看到安全价值的问题，安全运营未来将进一步加速这个价值平衡的过程。关键经营数据分析现流健康度继续下降数说安全研究院安全运营利好政策u第十八章第三节：加强网络安全保护，健全国家网络安全法律法规和制度标准，加强重要领域数据资源、重要网络和信息系统安全保障。建立健全关键信息基础设施保护体系，提升安全防护和维护政治安全能力。加强网络安全风险评估和审查。加强网络安全基础设施建设，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、

16、监测预警、应急指挥、攻击溯源能力。加强网络安全关键技术研发，加快人工智能安全技术创新，提升网络安全产业综合竞争力。加强网络安全宣传教育和人才培养。中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要 十三届人大四次会议 2021.3网络安全产业高质量发展三年行动计划（2021-2023年）（征求意见稿）工信部 2021.7u第4条 创新安全服务模式u加强安全企业技术产品的云化能力，推动云化安全产品应用，鼓励综合实力强的安全企业发展弹性、灵活的云模式网络安全服务。u发展集约化安全服务，鼓励企业提供集防火墙、用户身份认证、数据安全、应用安全等一揽子整体解决方案。支持开展威胁管理

17、、检测响应等安全托管和咨询服务。发展地区级、城市级、行业级安全运营服务，提高运营自动化、流程化、工具化水平。u鼓励基础电信企业、大型云服务提供商，并充分发挥网络和基础资源优势，输出安全服务能力，同时升级改造基础设施，支持安全企业嵌入安全服务能力。u第9条 推动关键行业基础设施强化网络安全建设u推动能源、金融、交通、水利、卫生医疗、教育等行业领域加强资产识别、设备防护、边界防护、身份认证、数据安全、应用安全等技术手段建设，提升重要系统、关键节点及数据的安全防护能力。u支持建立态势感知、通报预警、应急响应、安全运营等安全机制及纵深防护体系，不断提高风险防范和应急处置能力。u推进零信任、人工智能等技

18、术应用，提升防护体系效能。u第10条 推进中小企业加强网络安全能力建设u实施中小企业“安全上云”专项行动，建设网络安全运营服务中心，面向中小企业提供高质量、低成本、集约化的网络安全产品和服务。u引导中小企业通过网络安全产品服务一站式购买、租赁、订阅、托管、云端交付等方式，灵活部署网络安全产品和解决方案。支持开展多元化网络安全意识宣贯和技能培训，不断提升中小企业网络安全防护意识和能力。关键经营数据分析现流健康度继续下降数说安全研究院安全运营法律法规u第二十五条：网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险，在发生危害网络安全的事件时，立即启动

19、应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。u第五十一条：国家建立网络安全监测预警和信息通报制度。国家网信部门应当统筹协调有关部门加强网络安全信息收集、分析和通报工作，按照规定统一发布网络安全监测预警信息。u第五十二条：负责关键信息基础设施安全保护工作的部门，应当建立健全本行业、本领域的网络安全监测预警和信息通报制度，并按照规定报送网络安全监测预警信息。中华人民共和国网络安全法（2017.6.1实施）关键信息基础设施安全保护条例（2021.9.1实施）u第二十四条：保护工作部门应当建立健全本行业、本领域的关键信息基础设施网络安全监测预警制度，及时掌握本行业、本领域关键信息基础设

20、施运行状况、安全态势，预警通报网络安全威胁和隐患，指导做好安全防范工作。中华人民共和国数据安全法（2021.9.1实施）u第二十二条：国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。u第二十九条：开展数据处理活动应当加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。关键经营数据分析现流健康度继续下降数说安全研究院安全运营技术与产品介绍安全运营方法论安全运营技术栈安全运营核心能力

21、-安全信息和事件管理（SIEM）安全运营核心能力-安全编排自动化与响应（SOAR）安全运营核心能力-扩展检测与响应（XDR）安全运营核心能力-威胁情报（TI）安全运营关键技术-终端检测与响应（EDR&CWPP）安全运营关键技术-网络检测与响应（NDR）安全运营创新技术-入侵与攻击模拟（BAS）安全运营创新技术-攻击面管理（ASM）安全运营创新技术-欺骗防御（DECEPTION）关键经营数据分析现流健康度继续下降数说安全研究院安全运营方法论企业安全运营围绕以识别、保护、检测、响应、恢复为主要能力的安全体系框架，在原有纵深+静态防御基础上，可以通过扩展和强化识别、检测、响应3个维度的能力，向主动式

22、、动态式防御效果进化。同时利用成熟、多样化的安全运营工具可以保障企业安全运营体系的高效运行，提升企业应对风险的能力，保证企业安全防护体系始终处于全局可视、自主可控、高弹性、自适应的积极对抗姿态。资产梳理脆弱性评估威胁管理风险研判风险处置资产识别漏洞评估风险评估威胁检测威胁狩猎威胁预警态势感知风险缓解溯源取证通过工具/产品/技术识别组织内外部所有的IT资产发现组织已存在的安全漏洞并根据优先级进行修复立足攻击者视角发现组织存在的安全风险，并评估风险优先级在终端、网络、身份基础设施中采集信息以发现攻击通过伪造脆弱性、增加IT设施密度来发现和延缓攻击通过接入实时的威胁情报数据，实现安全风险的感知和预警

23、对全局安全态势进行动态、全面研判，为管理决策提供依据攻击发生后通过协同联动安全基础设施来遏制攻击，处置威胁通过还原攻击手法与攻击路径，找到攻击源头彻底排除隐患CAMVA、VPTASM、PTE、渗透测试EDR、CWPP、NDR、ITDRDECEPTIONTI态势感知/SOC/XDR/SIEMSOAR溯源工具/全流量存储/人工识别检测响应安全检测安全有效性验证通过自动化方式对组织安全体系的有效性进行持续验证BAS纵深防御在识别企业所有风险因素后，在安全基础设施上设置对抗策略FW、WAF、IPS、NAC保护企业安全框架安全运营过程与目标安全运营工具备份容灾恢复系统被攻破后，通过多种技术手段恢复业务，

24、保证业务连续性数据容灾/备份/一体机/人工恢复关键经营数据分析现流健康度继续下降数说安全研究院安全运营技术栈SIEMXDRTIEDR&CWPPNDRVACAMPTESASEDECEPTIONITDRFW基础平台核心能力敏捷工具BASASMSOARVPT安全运营平台网络安全技术的有效运用是提升企业安全运营效率、保障企业安全运营效果的核心手段。在安全运营技术栈中，安全运营平台是必不可少的基础性平台，除了承载企业安全运营管理的自动化流程，也是构建SIEM、XDR、SOAR、TI这4项安全运营核心能力的底座平台。SIEM是传统的安全信息和事件分析技术，XDR是更为先进的威胁检测技术，SOAR在安全运营

25、事件的响应处置中不可或缺，TI是常态化安全运营状态下最重要的数据支撑。在构建基础平台与核心能力后，企业可以根据不同的安全需求，有选择性的使用十余种敏捷工具，来不断细化、落实安全运营工作，实现更自动化、智能化的安全运营体系。关键经营数据分析现流健康度继续下降数说安全研究院安全运营核心能力-安全信息和事件管理（SIEM）u最初的SIEM平台是日志管理工具，结合了安全信息管理和安全事件管理，能够实时监控和分析安全相关事件，以及跟踪和记录安全数据以进行合规或审计。近些年SIEM不断发展，融合了用户和实体行为分析（UEBA）以及其他高级安全分析、人工智能和机器学习能力，用于识别异常行为和高级威胁。如今S

26、IEM已成为现代安全运营中心中安全数据监控与处理的中枢，帮助企业实现更全面、精准的事件分析与管理能力。uSIEM从本地和云环境中，采集包括用户、终端、网络、应用程序、云工作负载等多类IT和安全基础设施的数据，通过对这些多源数据进行聚合、富化、关联和建模，实现对威胁的调查，并生成准确的安全事件，为企业在安全数据层面提供整体安全视图和决策支撑。SIEM是企业构建安全运营体系最核心的底层能力。安全信息和事件管理（Security Information Event Management）安全设备FW/WAF/IAM/EDR等网络设备ROUTER/SWITCH/AD等服务器AIX/UNIX/NETWA

27、RE等应用程序OA/IM/MOBILE APP等终端WINDOWS/LINUX等SYSLOGSNMPAPI数据解析数据映射数据富化数据标准化数据聚合数据存储UEBA人工智能大数据分析安全监控态势预测威胁分析事件聚合安全告警安全编排安全任务威胁情报MONITORREPOARTPLAYBOOK安全报表安全大屏仪表盘SIEM产品逻辑图数据采集数据处理与分析安全结果输出关键经营数据分析现流健康度继续下降数说安全研究院安全运营核心能力-安全编排自动化与响应（SOAR）u随着移动办公、5G和物联网技术的发展，海量终端设备接入到网络，攻击面不断被拓宽，攻击事件呈现指数增长态势，使得安全运营团队承受着极大的压

28、力。借助于SOAR产品，可以根据安全事件的分类/评估结果，关联不同类型的处理脚本，进行自动化的事件响应，帮助安全运营团队的工作效率实现指数级提升，有效应对不断攀升的漏洞和安全告警。u在安全运营场景下，SOAR是最重要的核心技术之一，通过接收高置信度的分析结果，SOAR可以将人工处理过程转化为自动化的剧本/工作流，大幅缩短从发现威胁到处置威胁的时间。安全编排自动化与响应（Security Orchestration Automation and Response）自动化运营效率平均检测时间（MTTD）平均响应时间（MTTR）安全运营人员投入SOAR工作流概况SOAR应用价值检测从检测到响应的时间

29、是关键，SOAR提升响应效率SIEM/SOCXDRDeceptionSandboxIDP响应事件管理自动化编排威胁情报IP、DNS、C2提升置信度告警置信度工作流半人工化辅助决策API对接指令下发剧本管理：创建、优化、积累知识库关键经营数据分析现流健康度继续下降数说安全研究院安全运营核心能力-扩展检测与响应（XDR）传统检测与响应模式的局限性u各产品信息孤立，缺少关联分析，难以发现APT等高级威胁；u各检测点产生大量告警信息，安全运营工作效率低、负担重；u各品牌和各类型产品独立配置和维护，管理成本高。扩展检测与响应模式的先进性u产品同品牌，各产品信息互通可读，由XDR平台统一分析；u摒弃繁杂的

30、告警信息，而是精准少量的安全事件，效率提升；uXDR平台可整合TI、SOAR等能力，并支持SaaS运营模式。uXDR平台可以跨区域收集来自多种安全设施的检测数据，并对其进行统一的集成、关联和上下文等事件化分析，以全局视角进行威胁研判，从而获得更准确和全面的检测结果。XDR旨在高效集成产品，打破信息孤岛，降低企业内的无效告警和安全运营成本。u在合规背景下，企业安全体系普遍存在产品碎片化、告警信息繁杂、事件响应流程混乱、人员能力不足等深层问题。如何通过安全运营体系一体化整合来提高安全运营效率，成为目前亟待解决的核心问题，XDR或在此方面形成技术突破，并对多场景常态化安全运营工作提供最直接的安全价值

31、。扩展检测与响应（eXtended Detection and Response）EDRNDR蜜罐CWPP微隔离IDPS安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心安全分析中心datadatadatadatadatadataLogLogLogLogLogLogEDRNDR蜜罐CWPP微隔离IDPSXDR平台datadatadatadatadatadata传统检测与响应模式扩展检测与响应模式SOCSIEMlog日志级分析/信息孤立/告警繁杂/误报率高多源数据采集/上下文可见/深度关联分析/高效溯源SOARAPITISaaSSOC/SIEM扩展检测与响应模式与传统检测响应模式的区别

32、VS关键经营数据分析现流健康度继续下降数说安全研究院安全运营核心能力-威胁情报（TI）u威胁情报是基于威胁知识、证据、技能和经验的信息集合，可以对已存在和正在出现的威胁和风险提供上下文、机制、可能产生的结果和应对意见等信息。这些信息可被用于及时响应和优化风险应对的决策。威胁情报可以帮助企业更好地洞察威胁形势和攻击行为，以及攻击者最新的策略、技术和程序，为企业提供决策依据和先发优势。通过广覆盖和高时效的威胁情报，企业可以主动、快速调整其安全防御策略，从而识别和抵御高级攻击、0 Day等安全风险。u在滑动标尺模型中，威胁情报定位于态势感知和积极防御之上，是填补已知威胁知识缺口并驱动积极防御的过程。

33、威胁情报的posture，是覆盖面、时效性和可执行水平。威胁情报（Threat Intelligence）可观测数据攻击指标DNS邮件文件观测数据攻击方法攻击阶段进程网络访问注册表检测机制潜在影响应对措施安全事件攻击活动关系者影响资产影响评估安全事件威胁主体攻击方法预期效果获取权限发现方法攻击活动可信度相关活动攻击方法应对措施攻击行为攻击资源攻击目标阶段类型对象攻击阶段信息来源攻击链影响成本效果威胁主体攻击目标身份动机经验漏洞列表弱点类型应对措施预期效果计划支持可信度信息来源攻击目标版本信息生成信息共享信息使用网络安全威胁信息格式规范国家标准方法域事件域对象域攻击活动攻击指标安全事件攻击方法可

34、观测数据相关数据方法体现对应指标对应方法所属事件相关方法发起活动发起主体使用方法威胁主体漏洞利用攻击目标应对措施有效措施采取措施关键经营数据分析现流健康度继续下降数说安全研究院安全运营关键技术终端检测与响应（EDR&CWPP）u终端检测与响应技术在IT端点部署轻量级代理采集终端信息并上传中心数据分析平台，通过大数据、机器学习、威胁情报、UEBA等新技术实现对终端安全态势的研判分析，是针对日渐多变的高级持续性威胁、0 Day等新兴未知攻击的主动性防御机制。u终端检测与响应技术在网络安全运营中同样扮演着关键的角色，其重要性和价值包括：实时监测终端上的活动，在快速检测和识别潜在威胁的同时可以将监控数

35、据同步给安全运营中心，通过在终端采集的详细事件日志和活动记录，安全运营团队可以对安全事件做进一步根因分析。除此外，通过与SOAR、威胁情报等能力整合，终端检测与响应技术可以实现对终端风险的实时预警和快速处置。终端检测与响应（Endpoint Detection Response&Cloud Workload Protection Platform）端网云面向PC终端（EDR）终端检测与响应技术与在安全运营体系中的价值 办公操作系统 自动响应处置 实时在线监控 加密流量识别 恶意软件防护 漏洞识别管理 威胁检测分析 威胁情报集成 用户行为分析 事件调查取证面向服务器终端（CWPP）虚拟机/容器/

36、无服务 应用控制白名单 自动资产识别 身份访问管理 漏洞风险管理 系统完整性监测 微隔离/vFW 主机入侵检测 服务器加固 恶意软件防护关键经营数据分析现流健康度继续下降数说安全研究院安全运营关键技术-网络检测与响应（NDR）u网络检测与响应NDR技术是在传统特征检测基础上，利用AI、ML、大数据等核心功能对网络流量进行建模和深度学习分析的过程，对识别到的异常行为进行流量还原、关联分析，并结合威胁情报来定位未知威胁，在网络层面实现对内网安全风险的实时监控，最终为安全运营处置提供信息支撑。u网络检测与响应与终端检测与响应技术的协同，可以大幅提升企业在安全运营工作中对未知威胁的识别与防御能力，也是

37、未来支撑SOC、SIEM、SOAR等系统高效应用的重要前提。目前在企业安全运营体系构建中，已经有越来越多的客户使用NDR作为网络流量采集和检测的主要产品。网络检测与响应（Network Detection and Response）NDR产品主要技术路线网络流量分析-加密流量、东西向流量分析未知威胁检测-0Day、1Day等检测流量还原与溯源取证-攻击链分析自动化响应处置-旁路阻断，多产品联动NDR在安全运营体系中的价值1234特征检测AI模型检测威胁情报检测沙箱检测深度包检测加密流量检测关键经营数据分析现流健康度继续下降数说安全研究院安全运营创新技术-入侵与攻击模拟（BAS）BAS对日常安全

38、运营常见问题进行自动化检测安全产品常见问题归因分析防火墙安全策略异常对重要系统设置权限过大的访问控制策略NDR告警延迟达30分钟自身流量解析能力不足导致告警延迟不响应/无日志产品无法达到宣称的性能，检测失效面对互联网攻击无告警只接入电信运营商流量，漏接联通和移动WAF/IPS边界防护未覆盖资产没有配置应该监测保护的资产边界防护策略不同步同步策略未生效，防护失效IDS无任何告警或日志策略配置后未生效，产品形同虚设HIDS日志异常日志消息队列异常导致日志无法外传Webshell上传检测失效Webshell检测告警失效反弹shell检测失效反弹shell检测服务异常蜜罐蜜罐失效大量节点蜜罐装置未正常

39、工作SOCSOC告警日志丢失日志漏包率达1%，远高于万分之一的预估u企业购买防火墙、防病毒软件、IDS、WAF、蜜罐等大量安全产品，设计严密的网络安全架构，但整套体系和设备是否如用户预期运行？如果网络攻击下一刻到来，管理者是否能看得见、防得住、抓的着？目前还没有一项完美的技术可以解决这些问题，但至少入侵与攻击模拟迈出了第一步。uBAS通过主动验证+（半）自动化的方式，利用攻击者的战术、技术和程序来模拟杀伤链的不同阶段，持续测试和验证现有网络整体的安全机制（包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护手段是否按预期运行等），对企业对抗外部威胁的能力进行量化评估，并强化实战能力，

40、最终实现安全运营工作降本增效。入侵与攻击模拟（Breach and Attack Simulation）邮件安全身份安全数据安全应用层主机安全终端安全容器安全主机层互联网资产管理边界防护流量安全网络层基础安全验证开发安全运维管理安全运营安全管理验证BAS安全有效性验证维度关键经营数据分析现流健康度继续下降数说安全研究院安全运营创新技术-攻击面管理（ASM）u攻击面是指企业所有可被利用的风险因素的集合，这些风险因素大多分布在物理面（例如端点、网络、服务器等设备漏洞）和数字面（例如企业数据泄漏、品牌侵权、个人隐私信息泄漏、网络钓鱼等）。攻击面管理旨在识别、分类这些风险因素，并对其进行优先级排序和持

41、续监控。u攻击面管理是持续发现、分析、监控和评估内部和外部资产以发现潜在暴露面、攻击向量和风险，并进行优先排序、响应处置的过程。因为攻击面范围较为宽泛，按照企业管理者和外部攻击者两个不同视角，可分为网络资产攻击面管理（CAASM）和外部攻击面管理（EASM）两种。攻击面管理（Attack Surface Management）来源：未岚科技情报扩展威胁情报漏洞情报数字情报攻击防护与缓解SyslogAPI脆弱性管理基于指纹基于POC敏感信息泄漏威胁优先级评估补丁管理资产管理互联网资产内网资产恶意资产资产信息整合攻击面管理核心能力企业攻击面的定义暴露面攻击技术攻击工具攻击情报攻击面机会能力攻击面=

42、可被攻击利用的暴露面可被攻击利用=可利用的机会 x 攻击能力关键经营数据分析现流健康度继续下降数说安全研究院安全运营创新技术-欺骗防御（DECEPTION）u欺骗技术面向企业网络及横向移动下的威胁检测场景，通过对企业网络结构、操作系统、应用系统、文件、容器、微服务、甚至是IoT设备的高度仿真来增加企业IT设施的密度，最大限度增加被攻击者触碰的机会来诱导攻击者主动现身并陷入圈套，欺骗系统发出的告警信息，其置信度通常较高，是有别于传统检测手段、可以大幅提升企业安全检测能力的高级检测技术。u欺骗技术在安全运营中的主要价值包括误导并诱捕攻击者、攻击分析与研究、威胁情报生成、攻击溯源取证等，是高级别安全

43、运营场景的重要技术。欺骗防御（DECEPTION）常态化内网安全监测非传统IT环境下安全监测，如：IoT设备、医疗环境终端无法部署检测探针，EDR或主机IDS无法使用网络流量加密、传统检测手段失效海量告警、管理成本较高、亟待降噪的分布式网络欺骗防御在安全运营下的应用场景欺骗防御示意图必须监控来自欺骗工具的警报！传统企业网络采用欺骗技术的企业网络LAN1LAN2LAN1LAN2陷阱server serverserverserverinternetinternet关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务介绍安全运营服务与安全服务的关系安全运营服务的主要模式（乙方视角）安全运营服

44、务商类型安全运营服务的主要内容安全运营服务-安全运维服务安全运营服务-托管检测与响应服务（MDR）安全托管服务的主要模式安全托管服务市场客户的特点安全托管服务应用场景-城市级安全运营安全托管服务应用场景-行业级安全运营安全运营服务-安全托管服务（MSS）关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务与安全服务的关系以时间为服务计价单位，以保障性为目标，持续为组织提供的不间断安全服务风险处置攻防对抗监测预警安全服务安全咨询服务安全集成服务安全审计服务安全运营服务应急响应服务安全培训服务关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务的主要模式（乙方视角）对比项驻场运维服

45、务安全托管服务（MSS）托管检测与响应服务（MDR）服务地点用户现场非用户现场客户服务模式1对11对多服务平台无/甲方提供/乙方提供乙方提供服务工具以甲方现有产品为主乙方工具+甲方现有产品服务交付方式现场交付远程交付服务交付物人工报告自动化周期性报告服务时效5*87*24*365服务目标保障企业网络安全基础设施稳定运行通过化解网络安全风险来保障企业数字化业务稳定运行攻击威胁检测与响应处置服务客户类型合规驱动合规+技术驱动监管+实战驱动关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务商类型电信运营商/互联网厂商网络安全厂商系统集成商/安全服务商主要面向使用自身“云”“网”服务的中小企

46、业客户，在较强的网络资源、数据资源和算力资源基础上，通过生态合作、产品集成、自主研发等方式补充安全能力，形成“云网安”一体化服务能力，为中小企业提供轻量级的增值安全运营服务，在客户数量上远超其它类型的服务商。在网安厂商中主要包含两类：第一类是具有成熟安全产品和安全服务能力的综合型安全厂商，针对不同的应用场景和用户需求，可以提供多样化的安全运营服务模式；第二类是以自研SOC/SIEM/XDR等平台为主的产品型厂商，在技术创新性、场景适应性、产品易用性等多方面具备优势，可以为市场主要的安全运营服务商提供能力支撑。具备较强的一线经验，服务专业化水平高，保障用户最后一公里安全。在熟悉用户IT架构、业务

47、流程、管理制度等情况下，可以近距离对用户的IT、网络、安全提供全方位服务，达成更好的服务效果和满意度。在安全运营服务市场供需关系中，系统集成商和安全服务商是重要的角色之一，同时也是MSS安全托管服务商主要的合作伙伴。关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务的主要内容u安全运营服务是以时间为服务计价单位，为企业持续提供保障性安全服务的过程。下面列举了国内安全运营类招标项目中最为常见的用户需求，其中用户需求最高的服务有：应急响应、风险评估、漏洞管理、等保相关服务、驻场运维、基础安全服务。u在这些需求中，有一些已经可以通过自动化的方式实现，但仍有一些需求还需要人工现场参与。虽然安

48、全运营服务在朝着集约化、智能化、低成本方向发展，但从当前多样化的市场需求来看，国内安全运营服务尚不能做到完全离场式的托管模式，到场的安全运营服务仍然占据一定比重。攻防演练渗透测试漏洞管理等保相关服务安全培训驻场运维安全加固基础安全服务安全审计应用上线安全检测威胁狩猎风险评估资产管理网站安全监测应急响应安全运营规划咨询威胁管理重大活动保障数据泄漏监测暴露面管理关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务-驻场运维服务u驻场运维服务是由传统安全集成业务自然延伸出现的服务形式，也是有安全预算、但苦于没有人员编制情况下甲方通常采用的形式。驻场运维服务是存量客户最多的安全运营服务子市场，

49、对于以提供驻场运维为主的服务商来说，有以下4个共性特点：1.劳动密集型：由于需要1对1和5*8驻场服务，服务商需要配备更多的服务人员，才能实现更好的客户覆盖；2.跨区域服务挑战大：由于人员差旅、地域文化和工作方式差异，跨区域的项目可能不赚钱，服务商更聚焦于区域内用户，很少参与区域外的项目；3.引入更多自动化平台和工具：因为“卖人头”模式投入产出比有限，服务商逐渐开始自研服务平台和工具，提高服务交付过程中自动化的比重，以达到更高的人效比，实现业务利润率提升；4.服务要求细化升级：由于政策与监管力度持续加强，客户对驻场运维服务的要求也开始从被动防御、静态防御、监测告警服务级别向主动防御、动态防御、

50、态势感知目标转变，并且愿意为这些增值的安全运营服务付费，服务商也在不断推动自身能力向安全运营服务能力转型。u虽然国内安全托管服务市场持续发展，但从国内客户使用习惯、接受度、核心需求、安全制度等方面来看，驻场运维服务仍可能是未来几年内市场中的主要需求。安全集成延伸防火墙WAF数据库审计防病毒网关网络审计网闸/光闸驻场运维服务安全巡检漏洞管理安全加固事件分析产品维护等保整改IDPS安管平台堡垒机日志审计漏洞扫描网络准入合规驱动关键经营数据分析现流健康度继续下降数说安全研究院安全运营服务-安全托管服务（MSS）安全托管服务（Managed Security Services，MSS）是一种新型的安全