计算机行业信息安全专题报告—主动防御引领信安需求.docx-淘文阁

资源描述

《计算机行业信息安全专题报告—主动防御引领信安需求.docx》由会员分享，可在线阅读，更多相关《计算机行业信息安全专题报告—主动防御引领信安需求.docx（40页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、目录创新之处1等保政策升级，促进网安市场新需求1等级保护制度是国家网络平安保障的基本制度1等保2.0对平安需求更加细化和升级，企业平安投入有望持续加大3等保2.0改变防护思路，主动防御产品成为市场主流7态势感知、威胁情报、APT防护等产品迎来增长浪潮10态势感知是主动防御体系的核心，市场规模快速增长 10威胁情报是态势感知的有效补充，国内市场正在快速开展 14APT持续高发，主动防护系统重要性日益凸显 18主动防御产品有望反向拉动基础平安产品的增长21主动防御产品赋能基础平安产品，形成一体化解决方案21主动防御产品优势的厂商有望通过平安运营中心模式迅速开展 24风险因素25行业投资策略25重点

2、公司介绍27图8：不同地区IT平安的投入占IT市场的比例资料来源：IDC,中信证券研究部硬件软件服务美国全球中国图10：平安仍处于被动防御的形式资料来源：首届网络平安分析与情报大会（郑聿铭）图9：不同地区IT平安投资分布100%90%80%70%60%50%40%30%20%10%0%资料来源：IDC,中信证券研究部I等保2.0改变防护思路,主动防御产品成为市场主流被动防御方式无法抵挡频繁、复杂的网络攻击，主动防御领域是企业平安防护的缺乏之处。传统的边界平安产品其设计的核心理念是用“堵”的方式进行被动式防御，如防火墙、IDS/IPS、防病毒等。但基于特征规那么的传统平安设备只能检测网络攻

3、击，存在较高漏报和误报，而且以纯粹攻防理念为主导的产品与业务结合性差，无法做到攻击溯源与取证，仍需人工分析在海量数据中寻找线索，对信息平安专业人员的分析帮助有限。因此，网络信息平安预测、主动防御领域一直是企业平安防护的缺乏之处。网络平安形势日益严峻，传统被动防御过程难以应对日益复杂的网络攻击。当今网络攻击已经不再局限于传统的僵尸网络、木马和病毒，而是使用零日威胁、变形多态等高级逃避技术、多步骤攻击、APT攻击等新型攻击手段。传统的被动防御过程中也遇到了越来越多的问题，如网络日志碎片化、网络被动拦截、网络单点式防御和攻击结果未知等，传统防御体系越来越难以应对日益复杂的网络攻击。图1

4、1:传统防御体系失效黑客攻击技术专业化黑客攻击技术专业化独立攻击者黑客组织HaaS团队分工 ODa/i用远端控制网络监听海运利用考意代码跟方交付/ 明码标价/ 侬交黑客攻击目的商业化敏感信息黑产直接受现勒索病毒敲诈勒索表达信息篇改改变奥产所有权彳专统防御体系失效围墙式的防御体系落后的边界隔离理念封闭隔阂的平安孤岛日益臃肿的攻击特征库一片祥和的监控页面拖沓的平安事件响应能力资料来源：华为云计算、大数据等新技术广泛应用于各行各业，网络平安问题更加复杂、频繁，需采取积极、主动的防御手段应对网络攻击。目前，作为我国关键信息基础设施的金融、教育、政府等行业正面临着大数据、云计算、移动互联网、人工智

5、能等新兴技术的严重冲击，传统的被动防御手段已经无法解决目前复杂的网络平安环境，逐步向主动防御演进。主动防御在入侵行为对信息系统发生影响之前，能够及时精准地预警，实时构建弹性防御体系，防止、转移、降低信息系统面临的风险。图12：平安防护体系演进方向资料来源：H3C3.0主动平安与此同时，等保1.0以被动防御为主的政策存在一系列问题，已无法有效应对平安风险和新技术应用所带来的新威胁：(1)等保1.0无法有效防护新的风险。当前，APT、邮件钓鱼、虚拟机逃逸等新的攻击手段带来了很多新的平安风险，等保1.0中缺乏相应的平安措施要求。在等保1.0政策实施期间，绝大多数单位只为合规而开展等保，缺

6、少体系性考虑和真正有效的风险处置能力，无法真正提升平安防护水平。(2)等保1.0无法建立主动保障，难以进行主动分析。等保1.0要求以被动防御为主，对事前、事中和事后的闭环平安保障能力要求较少，等保合规系统遭受攻击后，难以实现主动分析、及时响应和快速发现。(3)等保1.0无法有效应对云计算、大数据、物联网等新技术的开展。随着信息技术的快速开展和迭代，导致等级保护缺少对新兴技术的平安要求，云计算、大数据、物联网、AI等一系列新技术应用缺乏对应的平安要求和管控措施。与1.0相比，等保2.0将行业平安的关注点从原来的传统系统平安，拓展到云计算、移动互联网、大数据平台等新的技术领域，更加注重全方

7、位主动防御和动态防御。等保2.0 在1.0的基础上补充更新，由原来的被动防御向主动防御开展。从被动防御到事前、事中、事后全流程的平安可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络的等级保护以及对云计算、大数据、物联网、移动互联网和工业控制信息系统的等级保护对象的全覆盖。图13：等级保护平安框架国家网络平安等级保护制度国家网络平安等级保护制度网络平安综合防御体系平安管理体系平安技术体系网络信任体系mm等级保护对象、信息系统、大数据、物联网、系统.移动互联网、智能设备等平安簧中心 aa忱界网络平安战略规划目标总体平安策略风险管理体系定级备案平安建设等级测评平安整改监督检查国家

8、网络平安法律法规政策体系经费保障教育培训队伍建设平安可控技术检测能力建设态势感知应急处置通报预警平安监测平安规划机制建设组织管理资料来源：UCIoud主动防御和预测类平安产品，如态势感知平台、威胁情报服务等在等保2.0背景下有望迎来开展机遇。IDC认为，全球数字化转型进程已经进入到倍增创新阶段，网络威胁对业务开展的挑战越来越大，企业必须将网络平安战略与企业业务开展战略充分融合，积极采用科学的方法构筑一套贴合自身需求的主动平安防御体系，才能够有效将网络威胁降至最低水平。主动防御和预测类平安产品如态势感知、威胁情报、APT防护等有望在等保 2.0背景下迎来开展机遇。

9、主动防御体系图14：等保2.0下防御体系的升级/APT 4.版谶然.触./d业平安服务：渗透测试, 系统安个测隹等合理的平安管理制度漏洞扫描器、数据库防火墙、双因素认证、防火墙、防毒墙、杀毒软件、IPS、准入、堡垒机服务器、交换机、负载均衡、数据备份、容灾、网闸、加密机 4资料来源：等级保护测评微信公众号态势感知、威胁情报、APT防护等产品迎来增长浪潮态势感知是主动防御体系的核心，市场规模快速增长态势感知是一种能够通过当前网络环境、数据动态变化，全方位多角度洞察网络平安风险的大数据平安分析平台，为网络后台管理者提供有效决策和行动。网络平安态势感知覆盖认知、理解和预测三个层面，通过对网络中

10、的全部数据流量进行实时采集，运用数据融合、数据挖掘技术对流量进行分析处理，再采用大数据可视化技术进行直观展示，实时展示网络的运行平安状况，为网络平安提供保障。通过实时感知网络中的平安态势，可以实现威胁攻击与可疑流量的可视化，及时发现网络中的攻击事件，并对信息系统存在的漏洞进行加固处理，防止和减少公司网络被恶意人员攻击的风险。图15：态势感知工作流程资料来源：华为云资料来源：华为云分布式存储与幸引文时/准文时侑线批量计算机器学习/ai聚合统计分析多维贸据关联分析智能综合分析异常分析机器学工/红基甜风及防护平安痂点分析智言缤全运难网络平安态势感知平台构建从事前到事后完整的主动平安管理体系，

11、使平安组件的使用价值和协同价值最大化。网络平安态势感知平台通过对公司信息系统进行实时监控，构建了 “事前发现、事中控制、事后追踪”的主动防控的信息平安管理体系，变彼动防御为主动防控，完善已发生的信息事件应急处置机制，通过主动防御技术措施的实施和管理体系化的创新，提高对未知平安威胁的发现和甄别能力，使平安组件的使用价值与协同价值最大化。图16：态势感知系统使平安组件的使用价值与协同价值最大化资料来源：IDC针对使用目的的不同，态势感知平台分为监管类和关键信息基础设施类两种产品：(1)监管类行业态势感知平台，主要用户是各级公安和各级网络平安和信息化委员会办公室。随着信息技术的快速开展，网

12、络平安风险日益突出，国家关键信息基础设施面临较大风险隐患。因此，监管机构需要建设全方位、全天候的网络平安态势感知平台，形成统一高效的网络平安风险报告机制、情报共享机制、研判处置机制。国家级态势感知平台用于情报分析、统一指挥、溯源研判、通报响应，各省市地级单位态势感知系统用于感知地域整体态势、实现日常监控及案件处理。图17：安恒信息态势感知通报预警平台架构开放API开发接口开放API开发接口运维辅助系统资料来源：安恒信息招股说明书(2)关键信息基础设施保护类态势感知平台，主要用户是电力、运营商、金融、大型央企和智慧城市等。政府和企业等单位需要构建统一、精准、高效的网络平安态势感知平台

13、，对组织的资产和脆弱性自动监管闭环、平安集中监测分析、平安风险发现及处置、平安设备集中管控等网络态势感知能力，提高和规范全网平安管理的水平与标准，提升内平安管理能力和执行效率。态势感知在总部单位主要负责系统平安运营，平安检测及通报预警，各下级单位感知本单位态势，进行平安监测上报及协同防护。图18：安恒信息AiLPHA大数据智能平安平台架构!大数据中心!大数据中心存悌童阖不瘴(烟3 政福中，口配 I数盛琏口大数据智能分析阚管理平台资料来源：安恒信息招股说明书由于行业特性，各行业客户对态势感知所提供的技术需求也有所不同。不同领域对态势感知平台的需求也不一样，如监管机构通过态势感知平台建设实

14、现监管重任，金融行业通过态势感知平台建设实现防护提升，工业互联网企业落实工控环境态势感知建设解决防护能力缺乏等。表4：各行业客户对态势感知的需求资料来源：平安牛，中信证券研究部行业态势感知需求监管机构注重掌握全网或本行业平安状态及威胁告警、可监控攻击态势、定位平安事件公安系统关注管辖范围内的关键基础设施，企事业单位的平安态势感知，发现平安隐患，推动等保和整改政府机构对外部攻击防范，高级威胁检测和自身的威胁感知金融有着更多的业务场景，注重态势感知系统的关联分析能力、威胁告警精确度、用户行为分析能力，以到达更深入的平安运营能力运营商SOC基础良好，除了自身的平安，也会注重利用本身的数据资源

15、优势，拓宽其他行业市场能源IT设备的种类繁多，生产平安关系重大，因此更注重产品的兼容性、保障生产运营的可连续性等等保体系是态势感知的指导方针和理论基础，态势感知是等保体系的应用方式和落地手段。等级保护的核心是保证不同平安保护等级的对象具有对应的平安保护能力，在等保 2.0的指导下，建立以态势感知为基础，基于大数据、人工智能、机器学习的实时检测和持续监控平台，能够为用户提供高效自动化的管控途径和数据分析中心，利用多维度的数据可视化手段，打通分级预警与响应流程的流通管道，从而构建网络空间平安。图19：态势感知在等级保护中的作用和地位A 态势感知是普保体系的态势感知是高效自动化的底用方式和海

16、地手Kt ，控途径和政据分折中心态势感知), 御儒信 (等级保护夕体系是态势感腌等保体系是态势飙的xJBx7- re方计和高标准 B 理论基砒和建设依据 w资料来源：亚信平安自习总书记提出全天候全方位感知网络平安态势以来，各厂商积极在态势感知布局目前在监管类市场主要由安恒信息和奇安信占据。2016年4月19日，习总书记在网络平安座谈会上明确指出：“加快构建关键信息基础设施平安保障体系，全天候全方位感知网络平安态势，增强网络平安防御能力和威慑能力。”“十三五”国家信息化规划中也明确将态势感知列为健全网络平安保障体系要求。2016年安恒信息推出国内首个态势感知产品, 随后奇安信、绿盟科技

17、、亚信平安等厂商纷纷加入态势感知阵营，目前安恒信息和奇安信占据了监管类态势感知平台主要的市场份额。表5：各厂商态势感知平台比照资料来源：各公司官网、年报、公众号，中信证券研究部公司产品名称产品优势安恒信息监管：网络平安态势感知通报预警平台截至2019.12服务于全国130余个网络平安监管企业：AiLPHA大数据智能平安平台部门和行业主管部门。监管：网络空间平安态势感知平台企业：网络平安态势感知通报预警平台截至2019.7为监管部门建立超过70套态势感知平奇安信介，覆盖90%以上千万级国家监管部门的网络安全态势感知系统。启明星辰态势感知平台获得2017军工信息平安护航先锋奖，2019年度

18、中国IT行业创新力产品奖绿盟科技绿盟企业平安平台(ESP-H)2018年获得中国移动物联网平安态势感知平台试点工程的最大份额。亚信平安平安运营与态势感知平台企业版、行业版获得2017年平安态势感知平台技术领先奖。深信服平安感知平台SIP获得第76届教育装备展示会金奖产品，入选为中国教育装备行业协会2020年度推荐产品天融信态势感知系统标准版、企业版、监管版满足差异性需求，为20多个行业提供服务。态势感知市场竞争格局较为稳定，安恒信息、深信服、启明星辰、奇安信等头部公司持续布局。根据IDC2019年中国态势感知解决方案厂商评估报告，IDC对具有代表性的13家态势感知解决方案提供商进行了深

19、度研究，其中安恒信息、深信服、启明星辰、奇安信等头部公司均进入中国态势感知解决方案领导者象限。平安牛的态势感知矩阵显示, 安恒信息和奇安信处于第一梯队，在态势感知市场领先的公司还包括启明星辰、华为、绿盟科技等。图 20： IDC MarketScape 象限图IDC MarketScape 中国态势感知解决方案市场2019年厂商评估图21：平安牛态势感知矩阵IDC.2019资料来源：IDC资料来源：平安牛态势感知市场开展迅速，平安牛预计2020年我国态势感知市场规模将超过50亿元，3年复合增速到达35.7%，市场开展迅速。据平安牛统计，2017年国内态势感知市场规模约计20亿，占整个平安

20、市场的5%左右，近两年随着国家政策和监管部门的要求，以及态势感知技术的不断成熟，“态势感知”已经成为网络平安领域的聚焦热点。2018年，公安、网信、公信、政府等行业领域在加快建设网络平安态势感知平台，预计2020年态势感知整体市场规模将超过50亿，2017-2020年三年复合增速到达35.7%,远远超过行业平均水平, 市场开展迅速。图22： 2017-2020年我国态势感知市场规模及预测资料来源：平安牛预测，中信证券研究部威胁情报是态势感知的有效补充，国内市场正在快速开展威胁情报是关于IT或信息资产所面临的现有或潜在威胁的循证知识，包括情景、机制、指标、推论与可行建议，这些知识可为威胁

21、响应提供决策依据。威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息，帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。企业和机构通过对威胁情报的交换和共享，联合平安各方的力量，整合信息资源实现更大范围内的快速响应，以对抗不停进化的平安威胁，进行更有效的平安防御。威胁情报是构建主动防御能力体系的关键。威胁情报是以预测、防护、检测、响应四个阶段组成的自适闭环应平安体系，进行持续监控与分析。将威胁情报和内外部信息相关联，能帮助企业或组织对于攻击有更清晰的认识，从而对威胁进行事先防御。图23：威胁情报层次金字塔图24：威胁情报体系获取难度增加稳定性

22、增强信息量增大Predict SO/主动披露及评估/攻击预测技术/应用系统基线Respond 响应/修宜/生成变更/设计/模式的变更/调查/取证持续监控及分析Prevent?5 防/系统强化及隔离/转移攻击者,预防事件Detect检测/事件检测/确认及优先级，事件顺资料来源：奇安信威胁情报中心资料来源：2018威胁情报&APT攻击技术与趋势高峰论坛（作者: 薛锋）国内威胁情报主要为态势感知、平安运营中心等平台做支撑，提供全面准确的威胁情报。威胁情报在很大程度上并非孤立存在，而是作为基础能力落地到具体的平安产品和服务中，国内威胁情报的应用场景除攻击检测与防御与攻击溯源外，最主要的是为平安运

23、营中心（SOC）或态势感知平台作支撑。情报驱动的态势感知平台和平安运营中心都具有融合分析大数据的能力，既能和内部数据进行关联分析，实现对自身的感知能力，又可以调用外部开源或威胁情报接口，获取最新的外部资讯，形成对外的感知能力。IDC认为，如果缺乏威胁情报的输入和大数据分析能力，态势感知平台就无法有效比对和检测攻击信息，因此难以发挥作用。图25：态势感知与威胁情报相辅相成态势感知是一种平安能力建设写个组织态势感知系统的输出可贡献给共享情报平台威胁情报关注于信息的分析与共享可机读威胁情报（MRTI）是态势感知系统的数据输入威胁情报资料来源：平安金融平安研究院威胁情报日益重要，等保2.0首

24、次提出对威胁情报检测系统和威胁情报库的要求。等保二、三、四级都提出对威胁情报检测系统的硬性要求，测评对象中增加了一项“威胁情报检测系统”；等保三级和四级要求引入威胁情报库，并需要升级到最新版本。等保2.0对于威胁情报的要求表达了国家对建设网络平安环境的重视，企业应用威胁情报已经成为必然选择。砺后嬴丽、函演旗彘政冠标题元超拱 I图26：等保2.0与威胁情报抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击I和入侵保护系统或相关组件I“应核查相关系统或组件是否能够检测到从内部发起的网络攻击行为应核查相关系统或组件的规那么库版本或威胁情报库是否已经更新到!|最新版本|I应核查

25、相关系统或组件的配置信息或平安策略是否能够覆盖网络所有关键节点!匕应测试验证相关系统或组件的配置信息或平安策略是否有效|资料来源：中信证券研究部整理众多海外平安龙头厂商都提供威胁情报服务，国内平安厂商也纷纷参与进来。威胁情报在网络平安防护的重要性日益显现，海外网络平安头部企业如Symantec McAfee FireEye等都提供威胁情报服务。目前，国内众多平安厂商纷纷进入该领域，包括奇安信、深信服、绿盟科技、天融信、亚信平安等。图27：国外知名威胁情报供应商资料来源：平安金融平安研究院图28：国内知名威胁情报供应商资料来源：平安金融平安研究院奇安信领跑国内市场，亚信平安、腾讯平安、绿盟科

26、技等处于行业领先地位。根据IDCMarketScape：中国威胁情报平安服务（TISS）市场，2018厂商评估（IDC）报告显示,奇安信领跑国内市场，亚信平安、腾讯平安、绿盟科技等处于行业领先地位。根据IDCMarketScape：中国威胁情报平安服务（TISS）市场，2018厂商评估（IDC）报告显示,插图目录图1：我国等级保护20年开展历程2图2：等级保护的5个阶段3图3：等保2.0政策的主要变化4图4：等保2.0从法规条例上升到法律层面4图5：等保1.0和20定级对象比照5图6：新兴技术产生新的平安需求5图7：等保2.0通用平安要求+新技术平安扩展要求6图8：不同地区IT平安的投入占IT

27、市场的比例7图9：不同地区IT平安投资分布7图10：平安仍处于被动防御的形式7图11：传统防御体系失效8图12：平安防护体系演进方向8图13：等级保护平安框架9图14：等保2.0下防御体系的升级 10图15：态势感知工作流程 10图16：态势感知系统使平安组件的使用价值与协同价值最大化11图17：安恒信息态势感知通报预警平台架构11图18：安恒信息AiLPHA大数据智能平安平台架构 12图19：态势感知在等级保护中的作用和地位 13图 20： I DC MarketScape 象限图 14图21：平安牛态势感知矩阵 14图22： 2017-2020年我国态势感知市场规模及预测 14图23：威胁

28、情报层次金字塔15图24：威胁情报体系15图25：态势感知与威胁情报相辅相成15图26：等保2.0与威胁情报16图27：国外知名威胁情报供应商 16图28：国内知名威胁情报供应商 16图29： IDC中国威胁情报市场厂商评估 17图30：平安牛威胁情报矩阵17图31：全球威胁情报市场规模（亿美元） 18图32：中国威胁情报市场规模（亿元） 18图33：全球APT攻击行动、组织地理位置分布图 18图34： 2019年上半年中国大陆被APT攻击的地区分布 19图35：国内被攻击目标属性分布 19图36： APT攻击过程19图37：主动防御机制下的威胁检测防御20图38：传统平安技术体系以单点建设为

29、主22图39：网络平安从单一解决产品向整体解决方案演进22图40：天融信态势感知系统架构23图41：威胁情报赋能传统漏洞扫描产品形成解决方案 23图42：平安运营体系主要构成24IDC对国内具有代表性的11家威胁情报平安服务提供商进行了深度研究，其中奇安信、亚信平安和腾讯平安等企业处于“领导者”象限。平安牛对国内外15家威胁情报厂商进行调研，结果显示奇安信、绿盟科技、亚信平安、安恒信息等厂商出于领先者地位。图29： IDC中国威胁情报市场厂商评估StrategiesStrategies图30：平安牛威胁情报矩阵资料来源：平安牛资料来源：IDC随着威胁情报的重要意义日益凸显，市场规模也在持续

30、扩张，预计2021年市场规模将到达20亿元。IDC全球威胁情报服务预测，2017-2021) (IDC)报告指出，2016年全球威胁情报服务市场规模已达11.8亿美元，2021年将到达20亿美元，复合增长率为 11.2 %,全球的威胁情报服务市场保持健康稳定的增长态势。Gartner预测，2022年将有 20%的大型企业会使用商业威胁情报为其平安战略提供信息，而目前这一占比不到10%。威胁情报2015年进入中国市场，目前仍处于快速开展初期阶段，平安牛预计2020 年我国威胁情报市场规模在12亿元左右，3年复合增速到达35%-59%。政府、金融、能源、电信等重点行业市场用户对威胁情报的认知

31、度不断提升，市场需求持续增加。据平安牛估算，2017年我国威胁情报的各种形态带来的收入为5亿到8亿元，约占整个平安市场的1.25%到2%,预计2020年我国威胁情报市场规模将超过12亿元，2017-2020年复合增速到达35%-59%o随着威胁情报市场的逐渐成熟和服务提供商技术能力和服务水平的不断提升，威胁情报平安服务在企业打造威胁生命周期服务体系过程中将起到越来越关键的作用。图31：全球威胁情报市场规模（亿美元）资料来源：IDC （含预测），中信证券研究部图32：中国威胁情报市场规模（亿元）资料来源：平安牛（含预测），中信证券研究部APT持续高发，主动防护系统重要性日益凸显APT

32、（ Advanced Persistent Threat）是指高级持续性威胁，本质上是某组织对特定对象展开的持续有效的攻击活动，具有强烈的政治、经济目的。APT （高级可持续威胁）攻击堪称网络空间中的军事对抗，攻击者会长期持续地对特定目标进行精准打击。这种攻击活动通常具有极强的隐蔽性和针对性，掺杂了大量的人工智能、躲避手段、情报手段、社会工程等多维度的变化，给各级政府部门、行业组织和企业单位带来了极大的麻烦。中国是APT攻击的主要受害国之一。图33：全球APT攻击行动、组织地理位置分布图资料来源：安天实验室官网近年来APT攻击持续高发，广西和北京是受到APT攻击最多的地区，企业和政府

33、部门那么成为主要的攻击对象，占比到达56%。腾讯平安全球高级持续性威胁（APT） 2019 年上半年研究报告指出，中国依然是APT攻击的主要受害国，从被攻击地域分布来看，图36： APT攻击过程资料来源：腾讯平安产品白皮书，中信证券研究部2019年上半年大陆受APT攻击最多的地区为广西和北京；从行业分布来看，大陆被攻击对象大多是国企/央企、私营企业和政府部门，合计占比到达56%o图35：国内被攻击目标属性分布图34： 2019年上半年中国大陆被APT攻击的地区分布国企/央企私营企业政府部门科研机构事业单位其他非政府组织院校个人资料来源：腾讯平安威胁情报中心，中信证券研究部资料来源：腾

34、讯平安威胁情报中心APT的攻击链条主要分为扫描侦测、渗透入侵、植入隐匿、控制利用和盗取破坏五个阶段。无论是APT还是普通网络攻击，都会先针对性地收集信息，寻找易受攻击的系统突破点，然后通过钓鱼邮件和网页等方式渗透入侵。在入侵成功后建立长期控制机制，通过远程控制命令到达盗取破坏目的，一般APT攻击者更关注数字资产，收集目标系统数据并向外部传输。传统防御体系无法检测未知的新病毒，以沙箱技术和蜜罐技术为代表的主动防御机制被应用到APT防护过程中。传统的被动防御方法，包括病毒检测软件、防火墙、入侵检测技术等，因无法检测到未知的新病毒及以变种病毒而无法抵抗APT攻击。受需求拉动，各厂商相继

35、涉足APT防护领域，开始转向主动防御，寻求解决方案以应对Oday、未知木马病毒、新型僵尸网络等各种未知威胁。目前在对抗APT攻击的各种方法中，大多数使用沙箱技术和蜜罐技术等诱骗机制，模拟内部网的日常活动，构建攻击者感兴趣的环境，把入侵者的火力吸引到自己身上，通过分析入侵者的行为，挖掘攻击者的行为模式，这样既能够消耗攻击者的资源，又保护了其他的主机信息。图37：主动防御机制下的威胁检测防御独击倏海及攻击潼转发现击俵潮及坦击流铸发生产网000|营通攻击含0 Mz区000-内网服务等区SB0BS同同同目算三方4更入区记事行为通勘渊源A办公网曲C3 3cs n财务PC0厘0目0客服PCBHBi

36、l目剧目目ART攻击1r测试网EJ0同日一DMZ区内网服务等区C3D 1 伪装代理攻击者流鼻APT攻击：高级持续威胁攻击资料来源：绿盟科技金融事业部微信公众号等保2.0对入侵防范新增需求，APT防护系统有望迎来快速增长。等保2.0针对二级及以上的信息系统，在“平安通用要求-入侵防范”局部新增了 “应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为”、“应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析”等要求，与APT的防护系统相对应，并且针对云平台提出了 “入侵防范”的要求，APT防护产品有望迎来新增长。表6：等保2.0与APT防护关联等保2.0新要

37、求与APT防护如何关联针对网络攻击行为的检测和防范不再满足于发现外部到内部，“平安通用要求-入侵防范”局部新增：应在还要能发现从内部发起的网络攻击行为。针对这一新增要求，关键网络节点处检测、防止或限制从内部发三级以上的信息系统需耍部署双向流量检测产品。APT防护平起的网络攻击行为。台就是基于双向流量检测，从外部到内部、内部到外部，以及内部之间的各种攻击行为，统统都能发现掌握。“平安通用要求-入侵防范”局部新增：应采这条新增要求的重点在于发现新型网络攻击行为。“识别恶意取技术措施对网络行为进行分析，实现对网行为，发现未知威胁，直击新型网络攻击”，就是APT防护平络攻击特别是新型网络

38、攻击行为的分析。台的核心定位。等保2.0将云平台和云上信息系统也纳入了等级保护的范围，针对云平台提出了 “入侵需要一个能适用于云环境的入侵防范产品。防范”的要求。资料来源：安恒信息公众号，中信证券研究部目前，以腾讯平安、奇安信、启明星辰、安恒信息、绿盟科技等为代表的平安厂商均对APT攻击研发了自己的解决方案。表7：主耍平安厂商的APT防护系统公司及产品名称产品介绍及优势御界高级威胁检测系统在网络边界处采用镜像流量、旁路检测的方式，发现企业受到的恶意攻击和潜在威胁，拥有丰富的数据和海量运算能力，发现威胁之后可溯源。御界的沙箱技术以腾讯平安腾讯哈勃分析系统为核心，具有高仿真、深度分析的特

39、点，模御界高级威胁检测系统拟真实用户环境，模拟用户交互，模拟网络环境，从而激发样本行为。其中自研的监控模块，经过了海量样本行为分析的检验，监控广度与深度覆盖的全面性在和国内外各种动态分析系统的比照中均处于领先地位。产品架构图奇安信新一代威胁感知系统天眼新一代威胁感知系统（SkyEye）是为客户提供针对高级威胁的检测、分析、响应、回溯的一体化解决方案。基于网络流量和终端EDR日志，运用威胁情报、规那么引擎、文件虚拟执行、机器学习等技术，精准发现网络中针对主机与服务器的高级网络攻击和未知的新型网络攻击的入侵行为。同时，利用本地大数据平台对流量日志和终端日志进行存储和查询，结合威胁情

40、报和攻击链分析对事件进行分析、研判和回溯。卜启明星辰天阖APT检测系列天阑APT检测系列，是一款针对恶意代码等未知威胁具有细粒度检测效果的专业平安产品，可实现包括对：未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞（O-day）利用行为的检测。采用国内领先的双重检测方法（静态检测和动态检测）和多种核心检测技术手段，可以检测出APT攻击的核心步骤，同时，产品可结合人工服务，有效发现APT攻击。All in one安恒信息明御APT攻击预警平台明御APT攻击预警平台实时预警APT （高级持续性攻击行为）等未知威胁，检测恶意文件中的Oday样本、勒索软件

41、等，专利级沙箱防逃逸技术全方位预警绕过边界防护设备的异常访问行为，具有国际领先的反病毒检测引擎，集成高可用的威胁情报, 云端威胁情报实时更新，实现云端大数据和本地设备协同防御。新版本新增了可视化大屏，实现全网威胁感知、失陷主机感知、平安事件追踪溯源。可视化大屏0 ilil流量采集APT预餐平台威胁情报绿盟科技NGTP解决方案NGTP解决方案，即“下一代威胁防御”方案，是由多个不同功能的模块组成，包括：绿盟全球威胁信誉系统，威胁分析系统，入侵防护模块，邮件过滤模块，内网流量感知模块，以及本地的平安管理平台。为适应不同的网络攻击场景和攻击链条， NGTP方案可灵活组合为“恶意软件防护

42、方案”，“邮件平安方案”和“内网异常和敏感数据拦截防护方案”等假设干子方案。 NGTP方案根据APT攻击链条各个过程的特点，采用不同的子方案进行检测和防护。资料来源：各公司官网、公众号，中信证券研究部|主动防御产品有望反向拉动基础平安产品的增长主动防御产品赋能基础平安产品，形成一体化解决方案传统平安建设以单点为主，数据无法流通很容易形成数据孤岛。传统的信息平安建设主要是部署修改的平安设备和平安系统，如防火墙、VPN、IDS/IPS、防病毒系统等，这图38：传统平安技术体系以单点建设为主1|身份认证访问控制内容平安监控审计备份恢复物理平安 I 终端平安 I 网络平安 I 系统平安 I 应用

43、平安些平安设备和系统能较好地解决某个方面的平安问题。不过随着网络应用规模和复杂程度的不断提高，当企业内部出现新的平安问题时，复杂的网络环境让传统的平安工作无从下手，传统平安技术对高持续性威胁, (APT)无能为力，围墙式的防御体系也不再适应当前的网络环境。平安防护技术体系资料来源：网信防务与此同时，政企以往采用分散招标，很难形成各种网安产品的立体联动防御和大数据分析，入围的平安厂商无法提供有效的整体服务。由于网络平安行业的产品线众多，大到集团公司小到部门，都可能需要针对单个产品进行单独招标，并且为了防止一家独大，往往出现刻意分散招标的情况，导致网络平安行业出现小公司林立、市场集中

44、度较为分散的格局。而由于分散招标，很难形成各种网安产品的立体联动防御和大数据分析，入围的网络平安公司也很难提供有效的整体平安服务。网络平安行业开始从单一产品逐步向整体解决方案和服务演进，建设方式也有望从单点到整体。信息平安需求已经从单一的产品向整体的平安防护开展，对于整体平安解决方案相关的招标数量也开始上升，预计拥有完整软硬件方案及系统集成能力的厂商将具备更强的竞争优势，且这些厂商在面对新兴市场平安问题时也具备更为成熟的综合实力。图39：网络平安从单一解决产品向整体解决方案演进Agile ControllerAgile Controller资料来源：华为主动防御产品态势感知、威胁情报

45、、APT防护等都以大数据为核心，与基础平安产品防火墙、WAF设备、主机管理产品、路由和交换设备等产生联动，赋能传统平安设备，实现从检测、响应场景到全面的平安防护。态势感知在利用大数据、AI等新技术进行分析、感知、预判的基础上，还需要基础安全能力的支持。作为以平安大数据为基础的态势感知，通过在以往的平安事件包括各种攻击手段的特征如可执行文件的行为，异常的流量等溯源获取经验。与此同时，态势感知还会与基础平安产品打通接口，通过终端检测防护系统、流量类检测系统、独立日志采集等手段获取数据进行多维度地分析。IPS、防火墙、木马分析以及动态检测等产品都是态势感知数据获取的来源，数据获取后形成可

46、视化的解决方案。通过与各个部位有机协同，网络平安态势感知为核心的解决方案具备体系对抗能力，突破了传统系统单兵作战的技术缺陷，大幅提高解决方案的防御能力和生存能力。0单机引擎分析国主动攻击场景违崛外蚊烯景一1DDOS攻击蜀R 失帕主机场景一 &J阳祖帆攻击/景缄口8描场景 ICMP攻击场霰霆似失陷场景短动态跟踪可自动归档，）第三方关联应可视化交互图40：天融信态势感知系统架构7*24监控数据分析弓|擎状态分析矶事特证格测引窜情板匹配引擎国关WMft 据分布式存用十口分布式内存计.分布式文本检索回呻清洗v-什J ，,接数据口、v“C,1Q * 士 q）流SB审讳日志行为snetti*宇h裆I分布式消息员资产发现给脆弱性检测&威胁检测L_募仟Web基放龙祝深度球如E胃病日僵木结防刈* IDP 同站左拄WAI AntiDDOS资料来源：天融信官网威胁情报主要作为基础能力，赋能更多的基础平安产品。作为情报数据驱动的平安市场，在建立“大数据平安分析平台”或“态势感知平台”工程的过程中，将引用威胁情报技

展开阅读全文