(1)网络安全(简称“网安”)黄金年代正当时。
国内网络安全产业已由单一政策驱动向合规+产业内生需求双轮驱动进阶。
1995—2005年,我国启动上网工程与信息化建设,网络安全经历了从0到1的发展,由于网络攻击手段相对单一,网络安全需求不高,信息化渗透率到达一定程度后,行业增速逐渐放缓。
2013年,云计算等新技术催生了IT架构变革,从产业侧加快了安全需求释放,行业驱动因素由单一合规向合规+产业内生需求过渡,逐步在技术和商业模式上迎来新变革。
在技术层面,以数据驱动的态势感知、EDR等逐渐成为主流;
在商业模式层面,企业上云、IT架构复杂化带动了安全即服务SECaaS发展
国务院官网,网信办官网,工信部官网,公安部官网——网络安全行业发展复盘
2014年是我国网络安全黄金时代元年。
2014年,我国成立中央网络安全和信息化工作小组,将网络安全上升至国家战略。
2016年11月,《中华人民共和国网络安全法》的出台,正式将网络安全等级保护提升至法律层面;
同年,公安部也首次组织开展全国网络安全攻防演练行动。政策持续加码,行业利好逐步落地。
2016年以来,我国政府出台多项网络安全政策条例,在明确网络安全治理目标的基础上着重强调了基于云计算、大数据等新场景下的网络安全问题,并将上述新场景中产生的企业/个人数据列为关键信息基础设施。
2019年出台的等级保护2.0制度对云计算、物联网、移动互联网、工业控制、大数据等新场景提出了新的安全拓展要求,2020年的《数据安全法(草案)》《个人信息保护法(草案)》也推动信息保护步入新阶段,实现了企业数据、个人信息等关键信息保密有法可依。
2021年7月出台的《新型数据中心发展三年行动计划(2021-2023年)》明确了2023年我国网络安全市场规模达到2500亿元,电信等行业网络安全支出占IT总支出比重不低于10%。
近些年以来,就数据安全问题,国家、地方及各行业监管部门已颁布50余部相关法规,在政策驱动与新场景需求带动下,我国网络安全行业处在黄金时代。
网络安全等级保护2.0提出主动防御要求。
随着信息化程度提升,等级保护1.0时代的被动防御已无法满足各行业用户的安全需求,2019年5月13日,国家市场监督管理总局正式发布网络信息安全等级保护2.0版本,2019年12月1日正式实施。等级保护2.0从法律法规、标准要求、安全体系、实施环节等方面对网络安全进行了重新定义。
国家市场监督管理总局官网——等级保护2.0较等级保护1.0更为严格细致
关键信息基础设施是等级保护2.0下的关注焦点与重点保护对象。
2014年,中央网络安全和信息化领导小组第一次会议正式提出关键信息基础设施(简称“关基”),2021年8月18日正式公布《关键信息基础设施安全保护条例》。
关基主要包括“公路、铁路、水运交通设施、大型水利设施、大型煤矿、重要电力设施、石油天然气设施、城市基础设施”九种类别。
对关于组织自身利益、社会秩序、公共利益、国家安全的信息系统,都需要做等级保护。
等级保护工作是关键信息基础设施保护工作的基础,关键信息基础设施是等级保护制度中重点保护的系统。关基系统不会低于等级保护三级。
信息系统运营商应当在等级保护三级及以上的系统中确定哪些是关键信息基础设施,并进行重点保护。
换言之,关基系统至少为等级保护三级系统,也可能为等级保护四级或者更高级别的系统。
关基源于等级保护,要求高于等级保护。
等级保护是基础,关基是等级保护的对象上更进一步梳理,关基的安全防护在等保的安全建设整改的基础上开展,其检测评估内容包括等级保护的等级测评、安全建设情况等。
关基安全要求力度要求也高于等级保护(增加动态风控相关要求),更加注重网络安全实战化、体系化、常态化。
5G催生新场景、新应用。5G具备“增强移动宽带”“低延时、高可靠”“低功耗、大连接”三大特征。
①“增强移动宽带”前期以支持ToC应用为主,后期主要支持To B应用如车联网、智慧医疗等。在网络安全方面侧重流量清洗、IPv6安全、空口协议等;
②“低延时、高可靠”特点为业务实时发生,对安全的要求极高,需要具备实时安全以满足实时系统、专用硬件/APP的需要,对应主要场景为工业互联网;
③“低功耗、大连接”特点为海量设备相互连接,促使网络安全能力不断前移、下沉,网络安全需要具备态势感知能力,网安边缘部署需要注重安全部署,并具备人工智能、深度学习等能力,典型应用场景为物联网、智慧城市。
新场景产生海量数据,数据安全重要性提升,海量数据是发展云计算、物联网等新场景的基础,数据安全已成为当下基础性安全问题
新技术催生新应用场景,产生海量数据催生网络安全新需求
(2)如何划分网络安全赛道?
网络安全逐渐从单一工具产品升级为产品+服务生态建设。
安全主要防止网络环境中的软硬件及数据遭受破坏、更改或泄露,存在短板效应与持续更新性。
系统的安全性由安全级别最低的部分决定,网络威胁形式不断进化,防御思路也在不断升级。
纵观网络安全厂商发展路线,基本都从单一优势产品出发,通过技术复用,布局多产品线,不断加强产品间关联度与联动性,逐渐形成贯通事前预警、事中防御与事后溯源分析的防御生态。
结合IDC分类口径、网络安全技术及应用场景,我们将网络安全赛道划分为边界安全、终端安全、身份安全、安全管理、数据安全、应用安全、安全服务等七大类
IDC——网络安全产品全景图
边界安全市场存量规模最大。
边界安全产品包含防火墙、入侵检测与防御、VPN等,也是各大网安厂商最早布局的产品,市场较为成熟,边界安全是大型机构安全系统的刚需,未来数据驱动的安全也需要边界侧产品进行流量采集和挖掘。
我们认为,边界安全赛道仍将保持稳定增长。
终端安全、身份安全、数据安全、应用安全发展迅速。
①在万物互联趋势下,终端设备的形态、端点数量快速增长,终端安全需求不断放大。
②以零信任为代表的新安全理念重塑身份安全市场,传统的身份安全包括动态口令、生物识别、单点登录等产品,当用户身份通过一次认证后即可访问大部分资源,而零信任秉承“普遍不可信”,需要对访问者身份进行持续检测。
目前,国内以奇安信为代表的厂商正在大力推动零信任架构,尽管落地尚不成熟,我们认为零信任是身份安全的重点发展方向。
③《数据安全法》于2021年9月1日正式施行,数据收集、处理与使用等环节正逐步被纳入监管,《数据安全法》的落地进一步提升了行业景气度和产品落地的确定性。
④Web应用防火墙(WAF)是应用安全核心产品之一,WAF工作于应用层,能够通过拦截非法请求抵御DDoS、SQL注入等攻击。
网站是大中小企业的门户,防火墙本身是发展最为成熟的网络安全产品,随着各企业上云趋势加强,WAF正逐渐成为云化程度最高的网安产品之一。
根据安全牛统计,我国WAF云化比例已超过30%,我们认为随着云计算发展,云WAF有望持续带动应用安全赛道增长。
安全管理与安全服务具备高成长性。
①态势感知是安全管理的重要一环,态势感知能够发现网络安全数据在时间、空间上的关系,并结合资产维度、漏洞维度数据,对攻击事件进行复盘,出具攻击溯源报告,提升安全管理便捷度,推动管理平台落地。
②安全服务驱动因素来自合规需求与产业升级需求,企业客户面临攻防演习,需要网安厂商提供持续性安全服务;
此外,日益复杂的攻击形式要求网安厂商具备专业的安全产品结构规划、安全平台建设与安全运营能力,我们认为安全服务与安全管理融合度逐渐提升,价值也更加被认可。
(3)从技术和商业模式两个维度理解“传统安全”与“新安全”。
从技术维度而言,新安全可分为面向新场景的安全产品与新安全技术。
新安全场景通常指云计算、物联网、大数据、工业互联网等,这类场景下的应用发展快、数据交互频繁,用户的服务器、网站与业务系统等安全设备的部署变得多样,用户可以从自己的设备通过云端访问企业数据,边界概念逐渐模糊。
新场景下的安全产品本质上是基于场景进行适配,底层技术并没有发生太多变化(如针对工业互联网的工控防火墙是在传统防火墙的基础上内置了工业通信协议的过滤模块)。
而EDR、SOAR等都是通过新技术增强了产品有效性,但解决的安全问题并没有产生太大变化。
在不变的核心问题与变化的技术、场景和需求面前,如何构建好自身的安全产品生态成为网络安全厂商的成功关键。
我们通过拆解下一代防火墙、EDR、态势感知三类产品进行分析。
①下一代防火墙(NGFW)。
NGFW的本质为网安产品一揽子工程。
网络安全产品线的布局方向是决定安全厂商长期竞争力的关键。
作为传统网络安全产品,防火墙只能被动响应已发生的威胁,下一代防火墙通过将流量分析、信息分析等功能整合至传统防火墙,对网络环境数据包深度检测,实现基于应用层构建安全、主动防御、多威胁检测机制智能融合。面向新场景,NGFW具备高级安全功能与智能分析能力。
以云计算为例,为解决云计算存储虚拟数据安全性,下一代防火墙支持基于第三方用户存储、公有/私有云对象、外部服务源(如Office 365、AWS地理位置)及新设备(如IoT)。
NGFW需要在多维统计基础上加以深入分析,通过引入外部威胁信息,实现安全态势感知和风险预测。
②终端安全响应系统(EDR)。
现有EDR产品本质上是EPP(终端防护平台)与EDR理念的结合。
EDR产品是EPP和EDR理念的组合
在EDR概念提出前,基于机器学习、行为分析的EPP已被应用,能够有效检测、阻止勒索病毒活动,通常包括防病毒、防火墙、端口与设备控制等功能。
但EPP主要针对的还是已知威胁,如想要单纯通过EPP“看清无文件攻击”存在难度。
2013年,Garter提出了EDR理念,要求持续检测端点,并进行事后的响应补救、攻击原因分析、回溯查询、影响范围评估。
Gartner对EDR提出了如下四种基本功能:检测、遏制、调查、修复,实现安全闭环。
EDR有望成为未来终端市场增长的重要推动产品。
根据IDC,2017年全球企业级终端安全市场规模达61.5亿美元,预计2022年将超过92亿美元,年复合增速8.6%,传统终端安全防护平台(EPP)相对EDR产品的增速已明显偏低。
全球传统终端安全市场增速低于网络安全产品平均增速
我们认为,EDR将成为未来终端安全市场持续增长的重要推力,类似于下一代防火墙在边界安全市场的推动作用。
本土网络安全厂商EDR市场空间扩大,安全防护统一性与整体性成为重要评判指标。
根据IDC,2010—2020年,外资网安厂商EDR市场份额逐渐缩窄。
2015年,亚信科技收购Trend Micro中国区业务,成立亚信安全。
2019年起,亚信安全EDR国内市占率稳定在12%左右。
目前,奇安信与亚信安全合计市占率已超过30%。
产品核心技术能力、威胁可见性、安全专家能力、托管安全服务能力以及安全防护的统一性和整体性成为重要评价指标。
奇安信EDR作为天擎终端安全管理的重要模块,能够依托海量数据通过机器学习与数据处理技术,在第一时间内对威胁进行监测与响应
国内厂商EDR产品市占率逐步提升
③态势感知。
态势感知是以大数据分析为支撑,赋能网络安全的新应用。
态势感知强调网络安全解决方案基于当前网络环境中各类特征要素,通过大数据分析,叠加人工智能对潜在威胁进行预测与诊断,准确理解、量化与预测当前网络空间安全态势。
态势感知的核心在于数据釆集与特征提取。类似深度学习系统,只有通过足够多数据的输入,态势感知才能学习各类攻击特征,并通过内嵌算法对潜在威胁进行预测。
态势感知数据采集方法很多,除了设备自带数据采集工具,态势感知还能够搭载在网络系统中各类辅助性设备上,如防火墙、入侵检测系统等,进行企业资产、漏洞、威胁等维度信息的采集。
目前,态势感知数据采集主要通过日志采集与协议采集实现。
此外,为避免采集后数据量过大而产生的数据过载问题,态势感知还需要对数据降维,发现关联数据。
考虑到态势感知对输入数据要求较高,安全厂商自身的终端布局更显重要。以奇安信为例,2019—2020年态势感知平台NGSOC在国内安全管理平台产品市场占有率排名第一,支持国内外数十家厂商的上百种常见设备的自动解析、过滤、内容转化与归一化,并支持通过DB、SNMP、NetFlow.API接口等多种采集方式
态势感知通过数据采集、特征提取构建攻击预测模型
态势感知对于网安厂商数据融合能力有高要求。
总体而言,态势感知更类似于深度学习领域在网络安全行业的迁移应用。
就纯技术层面而言,态势感知设计的技术并不复杂,主要以层次分析、神经网络模型为主;
就数据层而言,态势感知需要整合设备资产维度数据(主要包含企业硬件、软件与信息资产)、漏洞维度数据、威胁维度数据,三类数据具备不同的数据结构与口径,标准化难度高,且不易收集。
因此,我们认为通过传统网安产品收集流量数据成为网安厂商开发态势感知的优先切入点。
商业模式维度,新安全可以理解为新服务模式。
安全即服务(SECaaS)是云计算时代下的新型服务模式,将安全产品功能模块部署在公有云,以订阅制方式向用户提供安全能力。
SECaaS在敏捷性、可扩展性与收入持续性上具有优势,成为海外网安厂商的主流模式。
SECaaS模式可以从收入与成本两个角度进行分析。
收入上,SECaaS本质为通过订阅化方式为厂商带来可持续性收入;
成本上,基于轻量化部署的SECaaS能够降低厂商的边际成本。
对标海外,我国主要网安客户仍以私有云为主,网安产品SaaS化仍处于萌芽期,但大多厂商如奇安信、启明星辰、安恒信息、深信服等已开始布局订阅制安全服务方式,逐渐发展出具有中国特色的SECaaS。
奇安信安全服务采用订阅制,用户按年订阅管家式服务,订阅期内奇安信负责保障用户攻防演习等需求,启明星辰建设了城市级安全运营中心,为用户提供7×24小时全天候、全方位安全检测、安全响应服务,深信服在行为管理、EDR等产品线重点发力SaaS化模式。
智慧城市发展为安全运营服务带来机会。
智慧城市中储存着海量城市数据信息,涉及政务、医疗、交通等行业,如何保障海量数据在融合与使用过程中,居民个人隐私信息、企业和政府敏感数据不被入侵篡改和肆意泄露是打造智慧城市面临的难题。
目前,国内智慧城市主要参与厂商的网络安全基础较为薄弱,大多需要通过第三方网络安全厂商协助,构建安全运营中心。
根据IDC,2023年中国智慧城市相关投资将达到389亿美元,网络安全是重要组成部分。
除网络安全相关产品的投入,网络安全运营对于智慧城市是一个更长期的专业性服务,具有长期投资价值。
城市安全运营中心有较强的排他性,通常一个城市只有一个安全运营商,各大综合型网安厂商纷纷布局。
第一,启明星辰是最早布局安全运营业务的厂商之一,打造了北斗成都安全运营中心,由专业安全团队进行全年不间断监测服务,并以成都运营中心为模板不断进入新的城市,通过与客户长期合作形成标杆效应。成都安全运营中心已通过等保三级测评,设立了大数据安全实验室、深度安全攻防实验室、培训服务+中心等,为国家培养信息安全新型人才。
第二,奇安信以数据驱动面向智慧城市提供全线安全产品与服务,结合态势感知、数据关联分析能力实现安全资源合理配置,解决地方网络空间安全防御资源有限、安全事件应急处理能力不足等问题。奇安信在贵阳、长沙、绵阳与武汉等地建设了城市运营中心,敏捷高效地提供安全托管服务。
第三,深信服打造了“1+1+N”智慧城市运营服务,通过打造一套整体安全体系防护框架,辅以一个数据汇聚与计算平台,同时赋能N个智慧城市应用中心。深信服同运营商达成了深度的合作,在深圳龙华智慧城市、青岛高新区智慧城市等20多个智慧城市基础设施平台建设项目中积累了丰富的经验
慧城市带动安全运营服务发展
(4)未来演化方向,技术革新驱动应用场景迭代。
网络安全是伴生性技术,同信息技术革新密切相关。
信息技术的升级催生新应用场景,安全产业更多是适应性创新。
在同步迭代的过程中,原有的市场价值分配机制也会随之调整。
以云计算为例,原有数据中心云化后,以硬件形式布局在数据中心的安全产品应用场景不断缩窄,如何在云场景下开展网络安全成为新趋势。
我国网络安全行业仍未形成清晰的商业模式。
我国信息化起步较晚,行业用户未形成业务上公有云的习惯,厂商的商业模式较为传统。
部分产品型公司也会承担少量集成与服务业务,服务型网安厂商也提供自研产品,国内网安厂商应对激烈的竞争,主要通过扩大产品覆盖面与扩充销售人员规模以挖掘更多业务机会,且国内客户对网络安全认知仍不完备,选择网安产品或解决方案主要为了合规要求,竞争中销售能力成为赢单的关键因素。海外网安公司的商业模式转向SECaaS。
随着企业逐渐将业务迁移至云端,海外厂商也逐步以云化的形式交付安全能力(SECaaS)。
用户根据自己的业务特点,线上自助选择不同形态的产品或服务,厂商可以借助产品间的协同效应打造平台化产品,降低边际成本同时提升开发效率。
市场对CrowdStrike、Okta、Zscaler等代表性的SECaaS公司给予较高估值。
但商业模式仅仅是一方面,企业自身产品力和业绩同样重要。
以同样是SECaaS模式的Carbon Black为例,2018财年,其收入增速持续下行,估值回撤,低于竞争对手CrowdStrike。
我们认为,随着网安厂商与公有云厂商合作深化,公有云平台上将接入更多第三方厂商提供的安全功能模块。
目前,阿里云、腾讯云上已开放安恒信息、深信服、绿盟等厂商提供的防火墙、抗DDdoS等产品。网安厂商产品多采用一次性授权+实施、后续更新病毒库、行为库采取额外收费模式,本质上追求一次性客户成功,对销售的要求高于产品本身使用要求。
通过将产品放入公有云平台,采用订阅制收费将产品价值与客户进行深层次绑定,网安厂商有望实现更多持续性收入。
安全软件市场具备后发市场与先发优势双重属性,率先布局对应赛道尤为重要。
网络安全行业跟随信息化进程同步发展,信息化本身仍处于上升阶段,各项技术不成熟,各数据口径不统一,网络安全产品在某种程度上是滞后于新技术、新场景发展的。
网络安全厂商较难在某项技术或某个场景得到规模化应用前事先布局对应产品,因为一旦新场景自身发生改变或数据标准更新,原先大量研发投入无法得到应用。
但网络安全同时又是受下游客户需求驱动,一旦某项新技术得到应用,用户迫切需求相应网络安全产品,率先推出对应产品的网络安全厂商能够占据先机。
而网络安全产品本身又需要一定的研发周期,不仅需要网安厂商拥有一定业务量、数据量的积累,同时也需要网安厂商拥有超前意识,能够快速把握未来赛道。
我们认为,应对不断变化的场景、缩短原本较长的研发周期、及时解决下游客户的需求成为网络安全新赛道产品的“不可能三角”。
增强产品间的关联程度是突破“不可能三角”的有效途径。
过往的攻击终端主要为PC,各终端间有着较为清晰的边界,用户可以将网络安全产品部署至数据中心出入口处,即可做到南北向流量防护,网络安全产品间关联程度较低。
在新场景下,数据交互终端更加多元,用户内部数据交互更加频繁,单一产品无法有效解决问题,多数厂商为实现快速布局新赛道,减少无效投入,会首先选择在某一细分赛道部署产品,通过在该赛道获取一定市场份额后,再逐渐导入其他赛道。
如边界安全的龙头Palo Alto Networks、Fortinet、深信服、天融信等;终端安全的CrowdStrike、Trend Micro;数据安全领域的安恒信息等,各细分赛道均存在龙头公司
提高产品关联度能够解决“不可能三角”
随着场景间交集扩大,各赛道间的边界也逐渐消失,工业互联网也会逐渐上云,保障云安全的同时也需要关注数据安全。
产品仅仅聚焦于单一安全赛道已无法满足用户日益复杂的安全需求,产品的综合性能力成为用户关注的重点。
海外网安厂商针对用户需求打造了集成化产品,能够应用于多种场景,如Pal。
Alto Networks的下一*代防火墙、CrowdStrike的Falcon平台、Zscaler的SASE平台。
增强产品间的关联程度,通过数据驱动,在新场景下实现各产品间的协同防御是“不可能三角”的可行解。
我们认为,成功的网络安全公司需要提升产品间的协同度。
一方面,在新场景下快速迭代,带来增量市场收入;
另一方面,高内聚、低耦合的产品能够降低研发费用率,减少冗余开发。
以奇安信为例,采用模块化研发模式,即通过打造大量标准功能模块并进行组合,实现新产品高效落地,前端研发效能提升20%,开发成本降低10%。
元宇宙是网络安全未来发力重要方向。
元宇宙是基于下一代网络技术搭建的全新生态,是愈加真实的数字虚拟世界。
元宇宙是下一代互联网,而网络安全则是元宇宙发展和繁荣的重要前提。
科技的发展从来不是以牺牲安全为前提,作为下一代互联网的典型场景,元宇宙的发展更离不开网络安全的护航。
元宇宙集成了诸多信息技术,其安全隐患可能更加突出、多元。
从其所集成的技术来看,元宇宙很可能将面临以下技术安全问题:
①网络攻击。
网络攻击是数字生态所面临的主要威胁,元宇宙也无法避免这一危害。
网络攻击既可能针对元宇宙的最终用户和设备终端,也很有可能针对元宇宙的运营商或关键服务提供商。
元宇宙带来的虚拟世界与现实世界的融合将令网络攻击变得更为危险,可能对一国或特定群体造成系统性影响。
②技术安全缺陷。
元宇宙所釆取的技术集成模式令其可能蕴藏更多的设计缺陷或漏洞。
这些漏洞有可能被网络攻击者利用,也有可能破坏系统自身的运行。
由于元宇宙试图实现在线信息的永久保存和系统的完整性,系统整体升级、修复的成本将远大于当前的数字生态系统。
一些缺陷有可能在多年后才会被发现和弥补。
③关键基础设施。
元宇宙将产生新的关键基础设施,这些基础设施一旦受到攻击或发生故障,其所带来的影响和社会冲击可能会超出预期。
例如,元宇宙中的交易市场和信息存储系统如果发生故障,将严重削弱元宇宙的整体价值,造成巨大的经济损失。
④篡改、盗取和大规模泄漏。
虽然元宇宙设计者试图运用区块链技术保障元宇宙中用户的信息安全,但区块链技术对于一些网络攻击者来说仍然十分脆弱。
元宇宙中用户的“化身”资产和信息如被盗取,其用户价值将瞬间归零。
巨大的潜在收益将让全球黑客群体将元宇宙作为下一个开展网络犯罪的重要目标。
元宇宙赋能安全服务。
元宇宙的虚拟现实技术大幅增强了用户体验,同时能够为网络安全服务“添砖加瓦”。
以智慧城市安全运营为例,我们认为智慧城市深度融合新一代信息技术,具有高度信息化的特点,聚焦云计算、大数据、物联网、工业互联网。
智慧城市本身就是“微缩型元宇宙”。
网络安全厂商为智慧城市提供的安全服务侧重利用可视化技术,实现资产管理可视、漏洞风险可视、分析结果可视。
智慧城市可视化系统
通过对元宇宙内部风险要素进行分析,网络安全企业可以搜集更多虚拟数据,并以此为基础进行安全攻击的反向推演,大幅提升防御效率。
