浅谈网络安全态势感知产业的发展

　　安全态势感知的概念已经出现多年，被行业开始炒作是在4.19讲话之后，这两年被广大的用户熟知并接纳。关于什么是安全态势感知，NIST、Gart呢如何IDC都有定义。总体来看都包含以下5个方面：风险识别。安全检测、取证溯源。威胁响应以及各种安全态势城市呈现和报表，如果按照字面的意思应该再加上对未来安全态势的预测，但这是后话了。

　　随着社会数字化转型的深入，网络攻击事件日渐增多、破坏力逐步增强。国际上通用的安全方法论，正逐步从“针对威胁的安全防御”向“面向业务的安全治理”（IPDRR等）演进。2014年美国NIST发布了CSF（Cybersecurity Framework，网络安全框架）三大组成部分，IPDRR是其核心框架。

　　企业网络安全系统框架（参考IPDRR）

　　IPDRR能力框架模型包括风险识别（Identify）、安全防御（Protect）、安全检测（Detect）、安全响应（Response）和安全恢复（Recovery）五大能力，从以防护为核心的模型，转向以检测和业务连续性管理（韧性）的模型，变被动为主动，最终达成自适应的安全能力。

　　IPDRR模型体现了安全保障系统化的思想，管理与技术结合，充分利用当前“主动纵深防御体系、网络信任体系、动态安全自适应体系”的长期积累，设法建立一个让攻击者“进不来、看不见、搞不坏、走不脱”的体系，建立不利于攻击方存活的环境，通过体系的力量扭转攻防不对称，从而有效保障系统核心业务的安全。整体的IPDRR也是安全态势感知体系建立的基础参考模型，通过动态的持续安全检测来实现IPDR的闭环安全，为用户提供完善的安全能力框架和支撑体系。

　　安全态势感知市场空间巨大

　　需求日益增长

　　具体到中国的安全态势感知市场，相关咨询机构预计2021年将达到54亿元左右。这个数字应该包括跟安全态势感知相关联的产品及安全服务，在国内整体网络安全市场中的占比在6%左右。打开全球市场来看，在国际通用的安全产品市场分类中是没有安全态势感知的，SIEM市场是最接近的分类。所以要看安全态势感知的市场，我们可以从全球的SIEM市场说起。

　　SIEM市场已经存在了二十年，最初是从日志管理产品发展而来的，它结合了安全事件管理（SEM）和安全信息管理（SIM），可以实时分析事件和日志等数据，提供威胁监控，事件关联和事件响应。发展至今，SIEM产品越来越注重针对内部和外部威胁的高级威胁检测和响应功能，尤其是新型的检测方法和响应方式。新型检测方法指NTA（Network Traffic Analyzer，网络流量分析器）、UEBA（User and Entity Behavior Analytics，用户行为分析）及其他高级安全分析方法（如威胁情报和Deception等）；响应方式特指Gartner提出的SOAR。另外，大数据架构已经成为主流，这也使得新入局的SIEM厂商有机会利用成熟的大数据去构建其底层架构，从而为快速赶上甚至超越传统的厂商创造了有利条件。Gartner甚至把这种新型的SIEM系统取了一个时髦的名字“Modern SIEM”。另外我们也经常听到SOC（Security Operation Center，安全运营中心）这个概念，本质上SOC不是一款单纯的产品，而是一个复杂的体系，他既有产品，又有服务，还有运营。SOC是技术、流程和人的有机结合，可以简单看成是SIEM + 安全运营服务。

　　从2005年开始，Gartner每年都会发布一份关于SIEM的报告，至今从未中断过。有意思的是，Gartner的研究报告投入了大部分的精力在网络与信息安全领域。而在所有涉及安全领域的报告中，跟 SIEM有关的文章占据了很大的篇幅，分析报告的数量比例远高于SIEM产品在安全市场的占比。尽管市场上有不少客户部署SIEM失败的案例，但客户依然热此不疲。足见市场背后的需求推动力大过了部署失败的风险。这从侧面说明这是个有刚性需求但目前无法被很好满足的市场。

　　综合分析Gartner 2019年SIEM MQ报告以及最新发布的Market Share报告，总结出下面几个特点：

2019年全球SIEM市场总份额已经超过30亿美元，依然是双雄争霸的格局，且集中度更高。Splunk和IBM 2019年占比已达50%（2017年44%左右），同时在竞争力上也持续领先。Splunk强在平台能力和应用市场模式；IBM胜在功能更全，除了高级安全分析和响应外、UEBA、NTA、脆弱性管理、风险管理和Watson的AI一应俱全。但这两强在中国的市场份额并不大，除了价格因素外，本地化的服务和运营应该是最主要原因；