1、2021 年中国网络安全态势感知十大技术趋势预测分析报告2021 年中国网络安全态势感知十大技术趋势预测分析报告2前言2020 年是中国乃至全球网络安全的分水岭，以人工智能、大数据、云计算、边缘计算等为代表的新型技术，带来了企业业务发展的新模式。在全球应对新冠肺炎疫情冲击改变了人类的生活和工作模式的情况下，远程办公、非接触式在线经济、数字经济成为新宠，无边界、零信任、不对称、内部威胁等成为政企网络安全建设的新方向。2021 年，网络安全充满不确定性，唯一可以确定的就是威胁常在。 度以往事、 验之来事。 安恒信息 AiLPHA 大数据在总结 2020年的各类安全事件、行业技术发展方向的基础上，对

2、 2021 的网络安全态势感知技术发展趋势进行十大方向预测。2021 年中国网络安全态势感知十大技术趋势预测分析报告3趋势一：用 AI 智能检测应对 AI 武器化攻击早在 2017 年，美国“方程式组织”遭黑客入侵，并由此泄露了美国家安全局的网络“武器库” ，因此造成全球化的“永恒之蓝” 攻击。 2020 年， 全球最大的网络安全公司之一 FireEye （火眼）于 12 月 8 日透露，其内部网络被某个“拥有一流网络攻击能力的国家” （黑客） 突破， 黑客使用 “全新技术” 窃取了 FireEye掌握的安全工具套件，这也可能成为全球新一波攻击浪潮的起点。黑客进行的高级威胁攻击已经逐渐基于 A

3、I 武器化，利用 AI 产生更智能、更隐蔽的攻击方法。BeyondTrust2020 年的报告中指出，恶意攻击者将利用机器学习（ML）加速针对网络及系统的攻击。机器学习引擎将使用成功攻击中的数据进行训练，借此识别防御体系中的模式，快速查明类似系统/环境中存在的漏洞。以此为基础，所有后续攻击数据都可作为素材继续训练网络攻击引擎。通过这种方式，攻击者能够更快、更隐密地清理攻击痕迹，确保每一次攻击尝试只涉及更少的漏洞，借此避免大面积尝试被安全工具所发现。为了应对日渐升级的网络攻击威胁，传统的基于策略进行防护逐渐脆弱，需要用 AI 智能化威胁检测技术应对黑客基于 AI 武器化的高级威胁攻击。态势感知系

4、统需要更加侧重威胁的精确检测能力，尤其是未知威胁的 AI 检测能力。强化关联分析能力，包括面向资产的多维关联分析、面向威胁的多维关联分析、面向脆弱性的多维关联分析和面向安全事件的多维关联分析等。以及2021 年中国网络安全态势感知十大技术趋势预测分析报告4关联结果分析，包括安全状态评价、安全趋势预测、异常行为呈现和安全风险预警。AI 网络攻击武器堪比核武器、生化武器，其对全球基础设施和各国正常生产、生活可能造成严重破坏。针对 AI 武器攻击的识别和检测能力将成为态势感知平台核心能力和解决武器化泛滥的有效路径。趋势二：疫情成零信任加速器受新冠疫情全球影响，远程办公逐渐成为企业办公新常态。远程办公

5、的实现，意味着企业内网需要响应员工移动终端的外网接入请求。员工所处的网络安全环境不一，无论是接入网络还是移动终端本身，都更容易成为网络攻击的对象。企业的网络基础设施日渐复杂，安全边界逐渐模糊。BeyondTrust 预测，到 2021年，远程办公人员/设备将成为黑客第一大攻击目标。企业的安全边界正在逐渐变革，传统思维专注于边界防御，假定已经在边界内的任何事物都不会造成威胁，因而边界内部事务基本畅通无阻，全部拥有访问权限。但目前来看，传统基于边界的安全防护逻辑开始逐步失效，基于现代身份管理技术进行构建的零信任安全架构可以打破传统物理安全的困境，需要建立新型安全防御体系。零信任的首要目标就是基于身

6、份进行细粒度的访问控制，以便应对越来越严峻的越权横向移动风险。根据企业2021 年中国网络安全态势感知十大技术趋势预测分析报告5管理协会(EMA)8 月进行的 252 位 IT 专业人员调查，有 60%的企业表示他们的组织已经加快了零信任策略部署。40%的受访者认为，提高运营敏捷性是零信任的主要好处，而 35%的人指出，零信任改善了IT治理和风险合规性。 据Gartner 预测， 到 2023 年，60% 的企业将从虚拟专用网络 (VPN) 转向零信任计划。2021 年将会是零信任高速发展并大量落地于企业信息化安全建设的一年。新的办公方式，业务系统访问方式给这些企业的网络基础设施带来了巨大的压

7、力，带来了安全问题，而零信任可以有效的帮助解决相关问题。趋势三：SOAR 将成为安全运营利器SIEM 平台作为安全运营中心（SOC）的核心系统已部署多年，然而在处理日常安全运营工作时仍然遇到大量问题，导致部署、实施、运营的成本持续居高不下，投入回报受到很多客户质疑。2015 年，Gartner 首次提出 SOAR 概念，将其定义为对利用机器可以读取的、有含义的安全数据提供报告、分析和管理的能力，为整个运营安全团队提供支持；2017 年 Gartner 对 SOAR 进行了全新的概念升级，将 SOAR 定义为安全编排自动化与响应，并对其做出了相应的解释： SOAR 是一种帮助组织能够收集不同来源

8、与安全相关的风险和告警数据的技术，并且根据标准的工作流帮助明确定义、定优先级、标准化的进行事件响应活动。2021 年中国网络安全态势感知十大技术趋势预测分析报告6例如，当前安全运营团队处理威胁事件的流程繁琐、周期较长，有时需要数天甚至数周；而威胁事件的数量确随着安全设备的完善和补充、检测能力的不断增强而呈现出爆发性增长的趋势。这就导致安全运营需求与实际效果存在较大偏差，且持续扩大。而 SOAR 产品通过设备标准化集成、剧本可视化编排、案件全流程管理，将企业安全运营所需的数据、工具和人员最大程度地耦合在一起，极大提升了告警研判、威胁处置、闭环响应等任务的执行效率，大大降低安全运营成本，完美解决企

9、业安全事件响应不及时、安全设备孤立联动性差、海量安全告警无法及时处置、日常运营重复工作量大、安全运营专业人员匮乏等问题。随着安全运营从合规单轮走向合规与实战双轮驱动，SOAR在资源整合、自动响应、提升效率上的巨大优势将注定使其取代SIEM 平台成为 SOC 2.0 时代的核心利器。趋势四：UEBA 成为政企内部威胁检测良方内部信息化建设，已经是政府和企业高效办公的大趋势。政府企业中普遍存在多个各类内部管理信息系统，如各类OA/CRM/ERP 系统等等，其中包含了大量的敏感数据，在便捷办公的同时，埋下了安全隐患。企业往往会想当然地认为攻击者都来自于外部，但事实上，超过一半的安全攻击都是由内部员工

10、造成的，或是由心怀不轨者恶意为之，或是由员工的粗心错误操作导2021 年中国网络安全态势感知十大技术趋势预测分析报告7致。由受信员工产生的内部威胁极有可能导致重大经济损失，并伴随公信力下降。Securonix 在 2020 年发布的内部威胁报告中显示，计划离职的员工会在其正式离开公司的前两周到两个月内显露有风险行为。UEBA 技术可以帮助政府企业， 有效检测内部信息系统的安全问题。UEBA 可使用机器学习实现账号变更、行为变更等异常操作行为进行快速检测，常见的如账号的异常登录、服务器上用户的违规操作和终端上的异常动作等等。UEBA 通过与大数据驱动、人工智能等技术相结合，能够将内部的违规操作、

11、窃取数据、非法删除等非正常行为和正常行为区分并精准地进行描述，从而以极高的准确率命中异常事件，使得内部的威胁浮出水面。并在安全漏洞可能发生之前主动预警，帮助企业止损，同时为企业降低在诉讼中浪费的时间和金钱，降低公关危机。内部人员的越权或风险行为能引起严重的网络安全威胁事件。所以通过 UEBA 机器学习模型建立行为基线，实时发现预警各类账号的异常行为，是最后一道关键防线。趋势五：安全能力中台成为高效安全运营的基石随着新冠疫情的爆发，各大政企客户都在加大网络信息安全投入，但是传统的安全建设方式导致安全设备烟囱化泛滥，安全团队需要面对十多个安全厂商的几十甚至上百款安全设备。这些2021 年中国网络安

12、全态势感知十大技术趋势预测分析报告8设备使用界面都不一样，里面的资产信息、人员信息大多数时候没有同步，导致管理与运营效率低下。这些安全设备统一管理无法开展、安全策略的统一管理无法开展，想要完成安全管理与运营的闭环，还缺少一个关键点，也就是安全能力中台。随着全面在线化、广泛的远程办公场景、在线会议等，安全运营还要与 IT 运营、内控、人力资源等完成更紧密的协作与融合，安全管理与运营需要进行跨职能部门的资源协调，需要能整合企业内各应用系统，支持与保障企业的数字化战略。随着安全管理与运营的成熟，以及网络安全的常态实战化，安全建设理念正朝着一体化安全迈进。同时，由于网络信息安全的基础性和泛在性，任何一

13、个组织都无法独立应对网络安全威胁，必然需要政企、行业、国家多层面的协调联动。这种多层次的协调联动，必然产生安全能力标准化和互操作的要求。 综上内外多个因素，安全能力中台将成为企业网络安全的核心枢纽，以资源化、能力化、服务化、标准化的方式，打通组织内外和职能边界，让安全“四通八达” 。“要想富先修路” ，这个道理大家都明白。网络安全也是同样道理，要想实现高质量的安全编排、自动化和响应(SOAR)，首先要打通组织内外的安全经脉；安全能力中台就是企业的网安枢纽，打通了任督二脉，安全建设才能跳出堆叠的泥沼，实现一体化的飞跃。2021 年中国网络安全态势感知十大技术趋势预测分析报告9趋势六：红蓝对抗将成

14、为提升企业网络安全建设水平的有效手段常见攻击类型有数据泄露、勒索软件、DDoS 攻击、APT 攻击、钓鱼攻击以及网页篡改等。2020 年 3 月，万豪连锁酒店遭受网络攻击，电子邮件账户被渗透，520 万酒店客人信息被泄露。2020年 4 月，任天堂 16 万用户受到 NNID 旧版登录系统导致的大规模帐户劫持账户的影响。同年 8 月，佳能被勒索团伙迷宫袭击。一旦遭受网络攻击， 企业会遭受巨大损失， 影响品牌和商业信誉，甚至会影响企业业务运营。面对不断升级的网络安全威胁，企业逐渐加大了在网络安全建设方面的投入，如网络安全防护设备、平台的采购、专业人员的培养等等。但安全是一个动态过程，对于业务系统

15、和安全系统来说，唯有不断地查缺补漏优化迭代才能够保护信息资产，因此红蓝对抗实战演习是检验网络安全实战化能力的“试金石” 。红蓝对抗可以有效验证企业应对威胁检测能力是否实时，整体防护方案是否全面有效，设备管理是否安全以及真题安全分析和运营流程是否有效。 实战是检验安全防护能力的唯一标准， 开放心态，接受缺陷，努力完善，才能最终提升整体安全水平。面对新的安全形势和安全环境，安全防护体系建设从合规导向转向能力导向，网络安全防护转向关注实战化，红蓝对抗演习将成为常态化手段。帮助企业在面临真正风险的当下，可以临危不惧，从容应对。2021 年中国网络安全态势感知十大技术趋势预测分析报告10趋势七：标准化

16、XDR 解决方案将成为中小企业首选当前传统的 SIEM 平台，在收集数据、关联分析、生成报表等功能上较为擅长，但在大多数实际应用中很少能改进威胁检测的实际效果，也较少能用到上下文分析，不同安全产品的关联分析效果也较弱。对于企业来说，很难通过高度定制化的 SIEM 平台去构建标准化、流程化和有效性更强的威胁案件管理体系。较新的 SOAR 在解决数据、工具和人员资源整合上有了巨大提升， 但仍需要重度部署、 本地集成和持续优化改进的解决方案，对于人员和资源受限的中小企业客户仍然存在实施困难、总体拥有成本（TCO）过高等问题。作为一种新的技术和解决方案型的产品，为提升检测能力和响应效率带来了新的可能性

17、。Gartner 将 XDR 列入 2020 年-2021年十大安全项目，在有科技产业界风向标之称的 Hype Cycle（技术成熟度曲线）中，端点安全和安全运维两个 Hype Cycle 也都提及了 XDR 技术。Gartner 当前给 XDR 的定义是：XDR 是一种基于 SaaS 的，绑定到特定供应商的安全威胁检测和事件响应工具，可以将（该供应商的）多个安全产品原生地集成到一个统一的安全运行系统中，以统一所有授权的安全组件。简单来说，XDR 是由统一的平台及其组件，如流量探针、终端探针、文件检测器、邮件检测器等，配合威胁情报、大数据分析，形成标准化的威胁2021 年中国网络安全态势感知十

18、大技术趋势预测分析报告11检测、分析研判、溯源取证、联动响应能力体系，再通过云端协同实现外部安全专家和安全服务资源的整合，为企业带来快速见效、持续扩展的安全能力，以实现加速检测与响应的目标。XDR 在快速安装部署、快速配置集成、快速使用见效上具备天然的优势，通过统一、高度集成的方案为简化企业安全运营人力需求提供了巨大的便捷性和回报率，可以预见其必将成为中小企业的首选。趋势八：弱点的自动化生命周期闭环管理将成为新热点随着 5G、大数据、人工智能、物联网、云计算等相关技术的发展和应用，企业在数字化转型和应用的过程中面临着越来越多的安全风险和问题，根据国家计算机网络应急技术处理协调中心（简称“CNC

19、ERT” ） 2019 年中国互联网网络安全报告数据显示，2019 年，国家信息安全漏洞共享平台（CNVD）收录安全漏洞数量创下历史新高，收录安全漏洞数量同比增长了 14.0%，共计16,193 个，2013 年以来每年平均增长率为 12.7%，漏洞数量逐年上升，高危漏洞频发。企业各类信息化系统、软件以及第三方组件之间的依赖关系越来越大，信息系统上线周期越来越频繁。在企业信息资产规模扩大的同时，由于系统安全基线配置不合规、各类漏洞、弱口令等弱点项的实际存在，逐渐增大了安全管理的成本。同时，随着网络安全法的实施以及监管单位的监督检查，企业也面临着更多合法合规的压力。2021 年中国网络安全态势感

20、知十大技术趋势预测分析报告12因此基于风险的弱点管理（Risk-Based VulnerabilityManagement）成为新的热点，在 Gartner 2018-2020 历年十大安全项目中连续提名。传统的扫描设备注重探测发现弱点，却无法结合资产有效落实整改责任制与完成流程化管理，形成有效闭环管理，因此传统扫描设备逐渐无法满足安全运维管理业务的需求。从弱点的识别、评估、确认、加固、验证、消除各个环节做到可追溯、可落实、可分析以及高效的自动化响应，才能实现真正意义上的弱点自动化生命周期闭环管理。2021 年随着信息系统业务地逐渐扩展以及设备的增加， 将面临更多弱点管理问题，业务的爆发式增长

21、将带来巨额的安全运维工作量，弱点的自动化生命周期闭环管理，能够有效解决这一问题。趋势九：行业自建威胁情报将成为趋势网络威胁情报共享已经成为政府和企业网络安全专业部门广泛接受的一种方法，是提升网络安全情报和防御整体能力的有效途径。网络威胁情报是指可以帮助组织发现、评估、监测和响应网络威胁的任何信息。通用的威胁情报不足以解决行业网络安全问题。APT 组织的攻击具备明显的行业属性， 2020 年印度黑客组织 “Patchwork”采用鱼叉式钓鱼攻击方式，通过邮件进行投递，利用肺炎疫情等相关题材作为诱饵文档，在疫情期间对我国医疗机构发起定向攻2021 年中国网络安全态势感知十大技术趋势预测分析报告13

22、击 ；海莲花(OceanLotus)重点攻击海事机构、海域建设、航运企业；如震网（Stuxnet）蠕虫病毒针对工业控制系统的攻击。2020 年，高级威胁攻防仍然处于白热化的博弈中。许多攻击组织假借疫情之名对相关目标肆意进行攻击，其中不乏具有国家背景的实力雄厚的黑客组织。因此监管部门以及行业主管单位亟需与所属行业匹配威胁情报信息体系、数据共享体系，以便于更有针对性以及更高效地开展网络安全保障工作。行业主管单位以及相关企事业单位，应当建立全方位、立体的防御体系，建立强行业属性的威胁情报中心，精准应用海量情报，让攻击行动都在掌握之中。趋势十：态势感知行业级联建设势在必行近两年，包括政府、金融、运营商

23、、交通、能源等多个行业主管部门已经意识到，打通行业内部各个孤立的态势感知平台，通过数据上报、情报下发形成行业合力，发挥行业主管部门的协调指挥作用已经成为不可逆的趋势，上下级联的行业级态势感知平台体系建设已经势在必行。中国人民银行科技司早在 2019 年 8 月就正式下发了金融行业态势感知与信息共享平台数据接入标准说明 ，要求各试点单位根据人行接入标准， “与人行进行安全事件数据对接，实现对行业内安全信息的总体监测、对态势数据的综合分析，建立上下统一调度的指挥平台，帮助成员单位快速共享情报，形成对行业2021 年中国网络安全态势感知十大技术趋势预测分析报告14内安全资产的风险管控。 ” ，并在

24、2020 年，将这一级联建设工作推广到全国数百家地方性银行机构和非银行支付机构，初步建成了覆盖全行业的安全态势感知纵向级联体系。无独有偶， 工信部网络安全管理局于 2019 年 11 月， 发布了 关于印发基础电信企业资产安全管理平台和网络安全态势感知平台建设指南的函（工网安函20191494 号） ，该指南同样明确要求了三大运营商各级网络安全态势感知平台的建设要求， “要求提供对外预警接口，向上级部门相关系统上报预警信息” 。在政务网络安全建设中，中国信息协会也在 2019 年 7 月发布了政务网络安全监测平台总体技术要求 ，要求各级政务网络安全监测平台“通过协同服务系统实现总体态势、告警日志、威胁情报、认证、报表等数据的级联对接” 。在可以预见的未来， 会有更多的行业主管部门强化网络安全顶层设计，通过行业内部态势感知平台间的上下级联，推进网络安全一体化建设工作，2021 年会是项目建设的关键期。