媒體報道

首頁 > 關于我們 > 安恒動態(tài) > 2021 > 正文

安恒信息重磅發(fā)布《2021年中國網(wǎng)絡安全態(tài)勢感知十大技術趨勢預測分析報告》

閱讀量：次

前言

2020年是中國乃至全球網(wǎng)絡安全的分水嶺，以人工智能、大數(shù)據(jù)、云計算、邊緣計算等為代表的新型技術，帶來了企業(yè)業(yè)務發(fā)展的新模式。在全球應對新冠肺炎疫情沖擊改變了人類的生活和工作模式的情況下，遠程辦公、非接觸式在線經(jīng)濟、數(shù)字經(jīng)濟成為新寵，無邊界、零信任、不對稱、內部威脅等成為政企網(wǎng)絡安全建設的新方向。

2021年，網(wǎng)絡安全充滿不確定性，唯一可以確定的就是威脅常在。度以往事、驗之來事。安恒信息AiLPHA大數(shù)據(jù)在總結2020年的各類安全事件、行業(yè)技術發(fā)展方向的基礎上，對2021的網(wǎng)絡安全態(tài)勢感知技術發(fā)展趨勢進行十大方向預測。

（完整版《2021年中國網(wǎng)絡安全態(tài)勢感知十大技術趨勢預測分析報告》下載）

趨勢一用AI智能檢測應對AI武器化攻擊

早在2017年，美國“方程式組織”遭黑客入侵，并由此泄露了美國家安全局的網(wǎng)絡“武器庫”，因此造成全球化的“永恒之藍”攻擊。2020年，全球最大的網(wǎng)絡安全公司之一FireEye（火眼）于12月8日透露，其內部網(wǎng)絡被某個“擁有一流網(wǎng)絡攻擊能力的國家”（黑客）突破，黑客使用“全新技術”竊取了FireEye掌握的安全工具套件，這也可能成為全球新一波攻擊浪潮的起點。黑客進行的高級威脅攻擊已經(jīng)逐漸基于AI武器化，利用AI產(chǎn)生更智能、更隱蔽的攻擊方法。

BeyondTrust2020年的報告中指出，惡意攻擊者將利用機器學習（ML）加速針對網(wǎng)絡及系統(tǒng)的攻擊。機器學習引擎將使用成功攻擊中的數(shù)據(jù)進行訓練，借此識別防御體系中的模式，快速查明類似系統(tǒng)/環(huán)境中存在的漏洞。以此為基礎，所有后續(xù)攻擊數(shù)據(jù)都可作為素材繼續(xù)訓練網(wǎng)絡攻擊引擎。通過這種方式，攻擊者能夠更快、更隱密地清理攻擊痕跡，確保每一次攻擊嘗試只涉及更少的漏洞，借此避免大面積嘗試被安全工具所發(fā)現(xiàn)。

為了應對日漸升級的網(wǎng)絡攻擊威脅，傳統(tǒng)的基于策略進行防護逐漸脆弱，需要用AI智能化威脅檢測技術應對黑客基于AI武器化的高級威脅攻擊。態(tài)勢感知系統(tǒng)需要更加側重威脅的精確檢測能力，尤其是未知威脅的AI檢測能力。強化關聯(lián)分析能力，包括面向資產(chǎn)的多維關聯(lián)分析、面向威脅的多維關聯(lián)分析、面向脆弱性的多維關聯(lián)分析和面向安全事件的多維關聯(lián)分析等。以及關聯(lián)結果分析，包括安全狀態(tài)評價、安全趨勢預測、異常行為呈現(xiàn)和安全風險預警。

AI網(wǎng)絡攻擊武器堪比核武器、生化武器，其對全球基礎設施和各國正常生產(chǎn)、生活可能造成嚴重破壞。針對AI武器攻擊的識別和檢測能力將成為態(tài)勢感知平臺核心能力和解決武器化泛濫的有效路徑。

趨勢二? 疫情成零信任加速器

受新冠疫情全球影響，遠程辦公逐漸成為企業(yè)辦公新常態(tài)。遠程辦公的實現(xiàn)，意味著企業(yè)內網(wǎng)需要響應員工移動終端的外網(wǎng)接入請求。員工所處的網(wǎng)絡安全環(huán)境不一，無論是接入網(wǎng)絡還是移動終端本身，都更容易成為網(wǎng)絡攻擊的對象。企業(yè)的網(wǎng)絡基礎設施日漸復雜，安全邊界逐漸模糊。BeyondTrust預測，到2021年，遠程辦公人員/設備將成為黑客第一大攻擊目標。

企業(yè)的安全邊界正在逐漸變革，傳統(tǒng)思維專注于邊界防御，假定已經(jīng)在邊界內的任何事物都不會造成威脅，因而邊界內部事務基本暢通無阻，全部擁有訪問權限。但目前來看，傳統(tǒng)基于邊界的安全防護邏輯開始逐步失效，基于現(xiàn)代身份管理技術進行構建的零信任安全架構可以打破傳統(tǒng)物理安全的困境，需要建立新型安全防御體系。零信任的首要目標就是基于身份進行細粒度的訪問控制，以便應對越來越嚴峻的越權橫向移動風險。根據(jù)企業(yè)管理協(xié)會(EMA)8月進行的252位IT專業(yè)人員調查，有60%的企業(yè)表示他們的組織已經(jīng)加快了零信任策略部署。40%的受訪者認為，提高運營敏捷性是零信任的主要好處，而35%的人指出，零信任改善了IT治理和風險合規(guī)性。據(jù)Gartner 預測，到 2023 年，60% 的企業(yè)將從虛擬專用網(wǎng)絡 (VPN) 轉向零信任計劃。

2021年將會是零信任高速發(fā)展并大量落地于企業(yè)信息化安全建設的一年。新的辦公方式，業(yè)務系統(tǒng)訪問方式給這些企業(yè)的網(wǎng)絡基礎設施帶來了巨大的壓力，帶來了安全問題，而零信任可以有效的幫助解決相關問題。

趨勢三? SOAR將成為安全運營利器

SIEM平臺作為安全運營中心（SOC）的核心系統(tǒng)已部署多年，然而在處理日常安全運營工作時仍然遇到大量問題，導致部署、實施、運營的成本持續(xù)居高不下，投入回報受到很多客戶質疑。

2015年，Gartner首次提出SOAR概念，將其定義為對利用機器可以讀取的、有含義的安全數(shù)據(jù)提供報告、分析和管理的能力，為整個運營安全團隊提供支持；2017年Gartner對SOAR進行了全新的概念升級，將SOAR定義為安全編排自動化與響應，并對其做出了相應的解釋：SOAR是一種幫助組織能夠收集不同來源與安全相關的風險和告警數(shù)據(jù)的技術，并且根據(jù)標準的工作流幫助明確定義、定優(yōu)先級、標準化的進行事件響應活動。

例如，當前安全運營團隊處理威脅事件的流程繁瑣、周期較長，有時需要數(shù)天甚至數(shù)周；而威脅事件的數(shù)量確隨著安全設備的完善和補充、檢測能力的不斷增強而呈現(xiàn)出爆發(fā)性增長的趨勢。這就導致安全運營需求與實際效果存在較大偏差，且持續(xù)擴大。

而SOAR產(chǎn)品通過設備標準化集成、劇本可視化編排、案件全流程管理，將企業(yè)安全運營所需的數(shù)據(jù)、工具和人員最大程度地耦合在一起，極大提升了告警研判、威脅處置、閉環(huán)響應等任務的執(zhí)行效率，大大降低安全運營成本，完美解決企業(yè)安全事件響應不及時、安全設備孤立聯(lián)動性差、海量安全告警無法及時處置、日常運營重復工作量大、安全運營專業(yè)人員匱乏等問題。

隨著安全運營從合規(guī)單輪走向合規(guī)與實戰(zhàn)雙輪驅動，SOAR在資源整合、自動響應、提升效率上的巨大優(yōu)勢將注定使其取代SIEM平臺成為SOC 2.0時代的核心利器。

趨勢四??UEBA成為政企內部威脅檢測良方

內部信息化建設，已經(jīng)是政府和企業(yè)高效辦公的大趨勢。政府企業(yè)中普遍存在多個各類內部管理信息系統(tǒng)，如各類OA/CRM/ERP系統(tǒng)等等，其中包含了大量的敏感數(shù)據(jù)，在便捷辦公的同時，埋下了安全隱患。企業(yè)往往會想當然地認為攻擊者都來自于外部，但事實上，超過一半的安全攻擊都是由內部員工造成的，或是由心懷不軌者惡意為之，或是由員工的粗心錯誤操作導致。由受信員工產(chǎn)生的內部威脅極有可能導致重大經(jīng)濟損失，并伴隨公信力下降。Securonix 在2020年發(fā)布的內部威脅報告中顯示，計劃離職的員工會在其正式離開公司的前兩周到兩個月內顯露有風險行為。

UEBA技術可以幫助政府企業(yè)，有效檢測內部信息系統(tǒng)的安全問題。UEBA可使用機器學習實現(xiàn)賬號變更、行為變更等異常操作行為進行快速檢測，常見的如賬號的異常登錄、服務器上用戶的違規(guī)操作和終端上的異常動作等等。UEBA通過與大數(shù)據(jù)驅動、人工智能等技術相結合，能夠將內部的違規(guī)操作、竊取數(shù)據(jù)、非法刪除等非正常行為和正常行為區(qū)分并精準地進行描述，從而以極高的準確率命中異常事件，使得內部的威脅浮出水面。并在安全漏洞可能發(fā)生之前主動預警，幫助企業(yè)止損，同時為企業(yè)降低在訴訟中浪費的時間和金錢，降低公關危機。

內部人員的越權或風險行為能引起嚴重的網(wǎng)絡安全威脅事件。所以通過UEBA機器學習模型建立行為基線，實時發(fā)現(xiàn)預警各類賬號的異常行為，是最后一道關鍵防線。

趨勢五??安全能力中臺成為高效安全運營的基石

隨著新冠疫情的爆發(fā)，各大政企客戶都在加大網(wǎng)絡信息安全投入，但是傳統(tǒng)的安全建設方式導致安全設備煙囪化泛濫，安全團隊需要面對十多個安全廠商的幾十甚至上百款安全設備。這些設備使用界面都不一樣，里面的資產(chǎn)信息、人員信息大多數(shù)時候沒有同步，導致管理與運營效率低下。這些安全設備統(tǒng)一管理無法開展、安全策略的統(tǒng)一管理無法開展，想要完成安全管理與運營的閉環(huán)，還缺少一個關鍵點，也就是安全能力中臺。

隨著全面在線化、廣泛的遠程辦公場景、在線會議等，安全運營還要與IT運營、內控、人力資源等完成更緊密的協(xié)作與融合，安全管理與運營需要進行跨職能部門的資源協(xié)調，需要能整合企業(yè)內各應用系統(tǒng)，支持與保障企業(yè)的數(shù)字化戰(zhàn)略。隨著安全管理與運營的成熟，以及網(wǎng)絡安全的常態(tài)實戰(zhàn)化，安全建設理念正朝著一體化安全邁進。同時，由于網(wǎng)絡信息安全的基礎性和泛在性，任何一個組織都無法獨立應對網(wǎng)絡安全威脅，必然需要政企、行業(yè)、國家多層面的協(xié)調聯(lián)動。這種多層次的協(xié)調聯(lián)動，必然產(chǎn)生安全能力標準化和互操作的要求。綜上內外多個因素，安全能力中臺將成為企業(yè)網(wǎng)絡安全的核心樞紐，以資源化、能力化、服務化、標準化的方式，打通組織內外和職能邊界，讓安全“四通八達”。

“要想富先修路”，這個道理大家都明白。網(wǎng)絡安全也是同樣道理，要想實現(xiàn)高質量的安全編排、自動化和響應(SOAR)，首先要打通組織內外的安全經(jīng)脈；安全能力中臺就是企業(yè)的網(wǎng)安樞紐，打通了任督二脈，安全建設才能跳出堆疊的泥沼，實現(xiàn)一體化的飛躍。

趨勢六? 紅藍對抗將成為提升企業(yè)網(wǎng)絡安全建設水平的有效手段

常見攻擊類型有數(shù)據(jù)泄露、勒索軟件、DDoS攻擊、APT攻擊、釣魚攻擊以及網(wǎng)頁篡改等。2020年3月，萬豪連鎖酒店遭受網(wǎng)絡攻擊，電子郵件賬戶被滲透，520萬酒店客人信息被泄露。2020年4月，任天堂16萬用戶受到NNID舊版登錄系統(tǒng)導致的大規(guī)模帳戶劫持賬戶的影響。同年8月，佳能被勒索團伙"迷宮"襲擊。一旦遭受網(wǎng)絡攻擊，企業(yè)會遭受巨大損失，影響品牌和商業(yè)信譽，甚至會影響企業(yè)業(yè)務運營。

面對不斷升級的網(wǎng)絡安全威脅，企業(yè)逐漸加大了在網(wǎng)絡安全建設方面的投入，如網(wǎng)絡安全防護設備、平臺的采購、專業(yè)人員的培養(yǎng)等等。但安全是一個動態(tài)過程，對于業(yè)務系統(tǒng)和安全系統(tǒng)來說，唯有不斷地查缺補漏優(yōu)化迭代才能夠保護信息資產(chǎn)，因此紅藍對抗實戰(zhàn)演習是檢驗網(wǎng)絡安全實戰(zhàn)化能力的“試金石”。紅藍對抗可以有效驗證企業(yè)應對威脅檢測能力是否實時，整體防護方案是否全面有效，設備管理是否安全以及真題安全分析和運營流程是否有效。實戰(zhàn)是檢驗安全防護能力的唯一標準，開放心態(tài)，接受缺陷，努力完善，才能最終提升整體安全水平。

面對新的安全形勢和安全環(huán)境，安全防護體系建設從合規(guī)導向轉向能力導向，網(wǎng)絡安全防護轉向關注實戰(zhàn)化，紅藍對抗演習將成為常態(tài)化手段。幫助企業(yè)在面臨真正風險的當下，可以臨危不懼，從容應對。

趨勢七??標準化XDR解決方案將成為中小企業(yè)首選

當前傳統(tǒng)的SIEM平臺，在收集數(shù)據(jù)、關聯(lián)分析、生成報表等功能上較為擅長，但在大多數(shù)實際應用中很少能改進威脅檢測的實際效果，也較少能用到上下文分析，不同安全產(chǎn)品的關聯(lián)分析效果也較弱。對于企業(yè)來說，很難通過高度定制化的SIEM平臺去構建標準化、流程化和有效性更強的威脅案件管理體系。

較新的SOAR在解決數(shù)據(jù)、工具和人員資源整合上有了巨大提升，但仍需要重度部署、本地集成和持續(xù)優(yōu)化改進的解決方案，對于人員和資源受限的中小企業(yè)客戶仍然存在實施困難、總體擁有成本（TCO）過高等問題。

作為一種新的技術和解決方案型的產(chǎn)品，為提升檢測能力和響應效率帶來了新的可能性。Gartner將XDR列入2020年-2021年十大安全項目，在有科技產(chǎn)業(yè)界風向標之稱的Hype Cycle（技術成熟度曲線）中，端點安全和安全運維兩個Hype Cycle也都提及了XDR技術。Gartner當前給XDR的定義是：XDR是一種基于SaaS的，綁定到特定供應商的安全威脅檢測和事件響應工具，可以將（該供應商的）多個安全產(chǎn)品原生地集成到一個統(tǒng)一的安全運行系統(tǒng)中，以統(tǒng)一所有授權的安全組件。簡單來說，XDR是由統(tǒng)一的平臺及其組件，如流量探針、終端探針、文件檢測器、郵件檢測器等，配合威脅情報、大數(shù)據(jù)分析，形成標準化的威脅檢測、分析研判、溯源取證、聯(lián)動響應能力體系，再通過云端協(xié)同實現(xiàn)外部安全專家和安全服務資源的整合，為企業(yè)帶來快速見效、持續(xù)擴展的安全能力，以實現(xiàn)加速檢測與響應的目標。

XDR在快速安裝部署、快速配置集成、快速使用見效上具備天然的優(yōu)勢，通過統(tǒng)一、高度集成的方案為簡化企業(yè)安全運營人力需求提供了巨大的便捷性和回報率，可以預見其必將成為中小企業(yè)的首選。

趨勢八??弱點的自動化生命周期閉環(huán)管理將成為新熱點

隨著5G、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、云計算等相關技術的發(fā)展和應用，企業(yè)在數(shù)字化轉型和應用的過程中面臨著越來越多的安全風險和問題，根據(jù)國家計算機網(wǎng)絡應急技術處理協(xié)調中心（簡稱“CNCERT”）《2019 年中國互聯(lián)網(wǎng)網(wǎng)絡安全報告》數(shù)據(jù)顯示，2019年，國家信息安全漏洞共享平臺（CNVD）收錄安全漏洞數(shù)量創(chuàng)下歷史新高，收錄安全漏洞數(shù)量同比增長了14.0%，共計16,193個，2013年以來每年平均增長率為12.7%，漏洞數(shù)量逐年上升，高危漏洞頻發(fā)。企業(yè)各類信息化系統(tǒng)、軟件以及第三方組件之間的依賴關系越來越大，信息系統(tǒng)上線周期越來越頻繁。在企業(yè)信息資產(chǎn)規(guī)模擴大的同時，由于系統(tǒng)安全基線配置不合規(guī)、各類漏洞、弱口令等弱點項的實際存在，逐漸增大了安全管理的成本。同時，隨著網(wǎng)絡安全法的實施以及監(jiān)管單位的監(jiān)督檢查，企業(yè)也面臨著更多合法合規(guī)的壓力。

因此基于風險的弱點管理（Risk-Based Vulnerability Management）成為新的熱點，在Gartner 2018-2020歷年十大安全項目中連續(xù)提名。傳統(tǒng)的掃描設備注重探測發(fā)現(xiàn)弱點，卻無法結合資產(chǎn)有效落實整改責任制與完成流程化管理，形成有效閉環(huán)管理，因此傳統(tǒng)掃描設備逐漸無法滿足安全運維管理業(yè)務的需求。從弱點的識別、評估、確認、加固、驗證、消除各個環(huán)節(jié)做到可追溯、可落實、可分析以及高效的自動化響應，才能實現(xiàn)真正意義上的弱點自動化生命周期閉環(huán)管理。

2021年隨著信息系統(tǒng)業(yè)務地逐漸擴展以及設備的增加，將面臨更多弱點管理問題，業(yè)務的爆發(fā)式增長將帶來巨額的安全運維工作量，弱點的自動化生命周期閉環(huán)管理，能夠有效解決這一問題。

趨勢九??行業(yè)自建威脅情報將成為趨勢

網(wǎng)絡威脅情報共享已經(jīng)成為政府和企業(yè)網(wǎng)絡安全專業(yè)部門廣泛接受的一種方法，是提升網(wǎng)絡安全情報和防御整體能力的有效途徑。網(wǎng)絡威脅情報是指可以幫助組織發(fā)現(xiàn)、評估、監(jiān)測和響應網(wǎng)絡威脅的任何信息。

通用的威脅情報不足以解決行業(yè)網(wǎng)絡安全問題。APT組織的攻擊具備明顯的行業(yè)屬性， 2020年印度黑客組織 “Patchwork”采用魚叉式釣魚攻擊方式，通過郵件進行投遞，利用肺炎疫情等相關題材作為誘餌文檔，在疫情期間對我國醫(yī)療機構發(fā)起定向攻擊；海蓮花(OceanLotus)重點攻擊海事機構、海域建設、航運企業(yè)；如震網(wǎng)（Stuxnet）蠕蟲病毒針對工業(yè)控制系統(tǒng)的攻擊。

2020年，高級威脅攻防仍然處于白熱化的博弈中。許多攻擊組織假借疫情之名對相關目標肆意進行攻擊，其中不乏具有國家背景的實力雄厚的黑客組織。因此監(jiān)管部門以及行業(yè)主管單位亟需與所屬行業(yè)匹配威脅情報信息體系、數(shù)據(jù)共享體系，以便于更有針對性以及更高效地開展網(wǎng)絡安全保障工作。

行業(yè)主管單位以及相關企事業(yè)單位，應當建立全方位、立體的防御體系，建立強行業(yè)屬性的威脅情報中心，精準應用海量情報，讓攻擊行動都在掌握之中。

趨勢十??態(tài)勢感知行業(yè)級聯(lián)建設勢在必行

近兩年，包括政府、金融、運營商、交通、能源等多個行業(yè)主管部門已經(jīng)意識到，打通行業(yè)內部各個孤立的態(tài)勢感知平臺，通過數(shù)據(jù)上報、情報下發(fā)形成行業(yè)合力，發(fā)揮行業(yè)主管部門的協(xié)調指揮作用已經(jīng)成為不可逆的趨勢，上下級聯(lián)的行業(yè)級態(tài)勢感知平臺體系建設已經(jīng)勢在必行。

中國人民銀行科技司早在2019年8月就正式下發(fā)了《金融行業(yè)態(tài)勢感知與信息共享平臺數(shù)據(jù)接入標準說明》，要求各試點單位根據(jù)人行接入標準，“與人行進行安全事件數(shù)據(jù)對接，實現(xiàn)對行業(yè)內安全信息的總體監(jiān)測、對態(tài)勢數(shù)據(jù)的綜合分析，建立上下統(tǒng)一調度的指揮平臺，幫助成員單位快速共享情報，形成對行業(yè)內安全資產(chǎn)的風險管控?！?，并在2020年，將這一級聯(lián)建設工作推廣到全國數(shù)百家地方性銀行機構和非銀行支付機構，初步建成了覆蓋全行業(yè)的安全態(tài)勢感知縱向級聯(lián)體系。

無獨有偶，工信部網(wǎng)絡安全管理局于2019年11月，發(fā)布了《關于印發(fā)基礎電信企業(yè)資產(chǎn)安全管理平臺和網(wǎng)絡安全態(tài)勢感知平臺建設指南的函（工網(wǎng)安函〔2019〕1494號）》，該指南同樣明確要求了三大運營商各級網(wǎng)絡安全態(tài)勢感知平臺的建設要求，“要求提供對外預警接口，向上級部門相關系統(tǒng)上報預警信息”。

在政務網(wǎng)絡安全建設中，中國信息協(xié)會也在2019年7月發(fā)布了《政務網(wǎng)絡安全監(jiān)測平臺總體技術要求》，要求各級政務網(wǎng)絡安全監(jiān)測平臺“通過協(xié)同服務系統(tǒng)實現(xiàn)總體態(tài)勢、告警日志、威脅情報、認證、報表等數(shù)據(jù)的級聯(lián)對接”。

在可以預見的未來，會有更多的行業(yè)主管部門強化網(wǎng)絡安全頂層設計，通過行業(yè)內部態(tài)勢感知平臺間的上下級聯(lián)，推進網(wǎng)絡安全一體化建設工作，2021年會是項目建設的關鍵期。

（完整版《2021年中國網(wǎng)絡安全態(tài)勢感知十大技術趨勢預測分析報告》下載

關閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運營咨詢服務智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應急響應

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務

AI+ 安全服務

一切產(chǎn)品皆資源，一切資源皆服務

行業(yè)解決方案>

技術解決方案>

安全意識教育解決方案>

媒體報道

安恒信息重磅發(fā)布《2021年中國網(wǎng)絡安全態(tài)勢感知十大技術趨勢預測分析報告》

相關推薦

告警研判和
降噪智能體

安全運營咨詢
服務智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務