总22期
Test Theory    洞察
Test Theory    洞察
网络安全运营与服务剖析
文/数说安全分析师团队
分享

网络安全服务一直是让国内网络安全公司颇感纠结的业务。自2016年国内开展网络安全实网攻防演习以来,每年演习期间安全服务人员的服务费一路走高,还在网络安全培训班学习的学生就可以达到每天几千元的水准,高水平安服人员的服务费甚至能达到每天数万元。但当演习结束后,网络安全服务依然是“不能没有,但不挣钱”的局面。网络安全公司深知安全服务的重要性,但面对安服人员薪酬日益升高、流动性越来越大、依然疲软的客户买单意愿等问题,始终难以下决心扩大安服团队的规模。

在过去很长一段时间,即使是国内头部的网络安全公司,也只维持在一百多人的安服团队规模,难以为众多的客户提供所需的安全服务。网络安全服务的内容很广泛,但在国内的发展很不均衡。渗透测试服务因为能直接帮助用户发现系统中的安全问题,从而促成销售,因此被广泛接受。而测评类服务因为是ISO27000认证、等级保护测评等合规性要求的必选项,也有稳定的市场。但安全顾问咨询类服务在国内的发展较差,相关公司营收很低。MSSP、MDR等安全托管类业务目前也还是边缘化业务。

网络安全服务的市场发展前景

上述问题的成因不管是商业文化、招投标制度,还是价值度量问题,之前已经有很多分析,在这里不再展开赘述,我们更需要关心的是如何改变现状。

首先看存量市场,谁在购买网络安全服务?在过去的20多年,网络安全服务的买单者主要是网络安全市场的头部客户:政府、金融、电信运营商、大型国企、大型商业企业。这些客户共同的特点是,所从事的业务重要性高,营收规模大,IT预算相对充裕,往往会有自己专门的网络安全团队,对供应商相对强势,采购网络安全服务是为了弥补自身网络安全团队能力的不足或解决人手不够的问题。近两年由于安全事件频发以及实网演习的影响,部分头部客户开始意识到安全服务的重要性,逐渐增加在安全服务上的预算,用采购安全服务的方式代替网络安全软硬件产品的采购,将买来的网络安全设备真正应用起来。但由于受管理体制的制约和预算模型、招投标制度的限制,以及领导对网络安全认知局限性等问题,网络安全服务市场想出现大的改变还需要时间。

再来看增量市场,当今正处在整个社会快速数字化转型的历史时期,在经历了消费互联网快速发展的20年之后,5G、物联网、大数据、人工智能驱动的产业互联网,正在更深刻地改变着社会的运行方式。所谓“数字经济”是指人类通过对数字化的知识与信息的识别、选择、过滤、存储、使用、引导,实现资源的快速优化配置与再生,实现经济高质量发展的经济形态。

数字化转型下的安全模式转变

数字经济在让企业获得竞争优势的同时,也让企业有更多的攻击面暴露在互联网上,网络攻击可能带来生产停顿、与客户失联、用户数据泄露等后果,会让企业面临经济损失或遭到主管机构处罚乃至吊销经营许可的风险,迫使企业不得不在网络安全方面加大投入,尽可能保证业务的正常开展,这时企业会遇到安全能力供应与成本两个问题。作为企业,一定要计算ROI(投资回报率),网络攻击的发生以及造成的后果都具有一定的发生概率。而网络安全方面的投资,不管是雇佣网络安全专家、购买网络安全产品、购买网络安全服务,都要计入经营成本,如果在网络安全上的投入抵消了数字化转型带来的好处,那么企业进行数字化转型的动力就不会很强。

大型企业因为其营业规模大,盈利能力强,能雇佣几十人甚至数百人的网络安全团队,购买或自研大量的网络安全系统,针对自己的业务特点来组织网络安全防线,从投资回报率上是合算的。但对广大的中小企业,这种自备安全团队的模式完全不适用。有数据显示,中国的中小企业数量超过3000万家,这些企业也在数字化转型中,用自备网络安全团队的方式进行防御,企业既无法承担网络安全防御的成本,也培养不出那么多的网络安全工程师。因此,解决广大中小企业网络安全问题的出路,就在于网络安全即服务这种商业模式上。

未来安全服务产业发展的方向

网络安全即服务是在SaaS(软件即服务)的启发下提出的一种商业模式,CSA列出了一个网络安全即服务的目录,包括业务连续性与灾难恢复、持续监测、数据防泄露、电子邮件安全、加密、身份与访问管理、入侵管理、网络安全、安全评估、SIEM、漏洞扫描、网站安全等,基本覆盖了企业日常安全运营的内容。

2018年初,谷歌的母公司Alphabet宣布成立一家名叫Chronicle的网络安全公司,利用谷歌庞大的基础设施和数据分析能力,Chronicle在2019年发布了一个名为Backstory的信息安全数据平台。Chronicle用了“Telemetry(遥感勘测)”这个词来描述Backstory提供的服务,其工作模式是企业把各种日志上传给Chronicle,Chronicle帮助企业进行分析,企业的安全运维人员在Backstory的平台上进行查询。对拥有成规模的安全团队、安全预算也不是大问题的“高端客户”来讲,Chronicle的服务吸引力并不大,但对无法负担专业的安全团队、安全预算有限的中小企业来讲,Backstory是很有吸引力的服务。

此外,作为Alphabet旗下公司,如果能充分整合利用谷歌的资源,Backstory就能做到既便宜又好用:谷歌拥有Virus Total,这是全球最大的恶意样本库,解决了样本与URL威胁情报的来源问题。另外谷歌拥有8.8.8.8的DNS,全球约有13%的域名解析是由谷歌提供的,而DNS解析信息是一个非常宝贵的威胁情报来源,并且可以通过DNS解析进行部分防护服务工作。同时,谷歌利用搜索引擎对通过网页进行传播的恶意代码有很强的追溯能力,而Chrome浏览器能从行为日志/异常告警中发现网络攻击。更重要的是,谷歌拥有先进的分布式存储、分布式计算平台,可以用极低的成本实现海量数据的存储与检索,并利用先进的人工智能技术与自然语言处理技术,对日志文件的分析实现很高的自动化水平。

虽然在2019年11月份,Chronicle曾被媒体报道一系列负面消息,例如人员流失/转岗等,但断言Chronicle的失败还为时过早。传统企业级的网络安全技术演进速度慢,二年云化、低成本、高服务带宽的网络安全服务是解决网络空间安全问题的出路之一,也是未来的主要方向。

国内网络安全及服务业务发展类型

国内的网络安全即服务业务还处于发展的初级阶段,未来可能会有三种类型的公司开展这项业务。

大型云服务商:阿里云、腾讯云等已经为使用其云服务的企业提供了与云服务相关的网络安全防御服务,阿里云2019年的云安全服务收入已经相当于一家大型综合网络安全公司的全年营收。安全是云服务客户的刚性需求,云服务商为了自身云服务的安全会配备实力很强的网络安全团队。网络安全即服务未来会是云平台提供的主要服务之一。

电信运营商:在Gartner的MSSP(网络安全托管服务提供商)魔力象限中,AT&T、Century Link、Verizon、NTT都是头部厂商。中国电信与中国联通分别推出了云堤与云盾抗DDoS服务。此外,中国电信与中国联通在MSS(安全托管服务)业务上也都做过一些尝试,中国电信推出的“安全管家”服务,部分省份与安全公司合作提供MSS/MDR服务给线路租用客户,合作的安全公司每月能获得丰厚的收入分成,虽然业务规模尚不大,但是一种很有意义的探索。电信运营商依靠其在网络链路、威胁情报、触达客户能力上的优势,具备以更低成本提供网络安全服务的条件,而其短板是网络安全能力,因此通过与网络安全公司合作提供安全服务是一种双赢模式,同时电信运营商在国家的网络安全防线中也肩负着无可替代的责任,发展网络安全能力将是必然选择。

网络安全公司:网络安全公司的优势是具备专业安全服务人员,有服务经验。但业务模式的变化意味着公司要走出之前的舒适区,面临很多挑战。与云服务商以及电信运营商相比,传统网络安全公司在网络安全即服务业务上的批量获客能力以及规模经营上都存在劣势。

网络安全即服务业务在中国的健康发展还需要两个突破:首先,是对远程服务的政策许可。用户习惯了“物理隔离”、“逻辑隔离”的网络管理方法,将会怀疑远程服务的安全性。这个问题可以通过技术与法律双重手段解决,技术的进步已经有能力对远程安全运维人员进行多维度的监控和审计,远程运维令牌、生物识别、操作审计、网络审计、行为审计、摄像头监控都可以采用技术手段来解决。其次,要解决网络安全产品的接口标准化与SIEM、SOC、SOAR系统的工作效率及有效性。生产效率的提高需要自动化、半自动化工具与网络安全产品、网络安全服务人员的高效协同,目前国内网络安全产品的接口标准化程度相对较差,因此对SIEM、SOC、SOAR系统的技术挑战也会更大。

云SaaS安全服务是趋势

SaaS作为云服务的模式之一在安全服务领域逐渐显现其优势。客户对于SaaS的认可度和接受度在2020年新冠疫情的影响下迅速加快,且随着国外成熟市场的影响和国内有实力的网络安全企业开始推出相对成熟的云SaaS安全服务的同时,市场越来越认可这种服务模式成本低、性能高、方便灵活等优势,这是传统安全服务模式所缺乏的。

目前国内成熟的云SaaS安全服务的模式到底是怎样的?以新华三为例,新华三的云安全运营中心是其云SaaS安全服务的核心,在这套安全运营中心中包含云端安全分析大脑和威胁情报中心,内部包含传统网络安全硬件设备的基础运维功能,由于突破了单体安全硬件的限制,客户还可以获得安全运营中心的安全分析、智能巡检、云日志审计、Web检测、云沙箱、云漏扫等高级增值功能。与过去的传统安全部署相比,云SaaS安全服务突破了硬件限制,单个功能的性能得到大大提升,且会随着安全运营中心的不断加强实现自动升级,不用做大量重复的设备投资。

在云SaaS安全服务模式中,客户对功能可灵活组合、自己掌握。与安全硬件产品相比,上手难度小,用户自运维的成本大大缩小,MSSP安全托管服务可以节省用户端的人力成本。同时,安全运营中心强大的处理能力与运维能力提升了客户的安全威胁响应速度,应急能力得到了提高,一旦安全事件发生,将通过短信和邮件快速发送到客户手中,让客户感受到服务效果的大幅提升。

对于那些“重硬件、轻软件”的客户来说,一旦使用云SaaS服务之后似乎也逃不过“真香定律”。客户采购安全产品与服务的核心目标是降低业务面临的安全风险,云SaaS服务能够更好地解决这个问题,由于云端运维突破了物理地域限制,性能更强、升级更快,长期来看成本比硬件投入要小很多。另外在实际项目中,为使硬件安全产品匹配用户业务,普遍存在定制化困难,资源浪费等情况,但云SaaS服务可按需购买,有的放矢地加强了安全能力,减少了不必要的成本。另外,云SaaS服务的付费模式一般以时间为周期,并非“一锤子买卖”,因此更能保证服务质量,也留给客户更加灵活的选择空间。

观点

当前,云SaaS安全服务目前的主要弊端是国内能够提供这种服务的安全供应商相对较少,客户的选择余地不是很大,但相信未来这一市场将会逐渐形成规模。如果对云SaaS安全服务动心,不防体验一下新华三的服务,其安全能力的积累之深,带给客户优质的服务体验将让您耳目一新。一个服务对客户的价值决定企业的价值,网络安全即服务的模式利用相对较低的成本来保障生产、生活的相对安全,使得这一领域未来将产生出商业价值更高的企业。

分享到
关闭