未来已来:网络空间安全迎接2.0时代
编者按:习主席指出,“网络安全与信息化是一体两翼、驱动双轮”。在2019年5月召开的《数字中国建设峰会》上,中央网信办发布《数字中国建设发展报告(2018年)》,指出2018年我国数字经济规模达到31.3万亿元,占GDP比重达34.8%。然而网络安全市场容量却局限在400-500亿元空间,不论是绝对值还是在信息化中的占比,都很不恰当。近一段时间以来,Stuxnet、乌克兰电网、委内瑞拉电网、《塔林手册》、美伊网络战、Wannacry、HW行动等事件,都让笔者感到一股伟大的力量正在推动我国网络空间安全产业跑步进入2.0时代(从“合规”导向到“能力”导向)。
随着BAT相继发力“产业互联网”,宣告ICT相关的庞大产业链条,拖拽其上生长的各种泛娱乐、社交、电商等大数据业态,彻底告别“互联网时代”而进入崭新的“网络空间时代”。从科技趋势、产业机会、变革力量、治理方式等角度,“网空时代”与“互联网时代”的产业业态会(正在)发生颠覆性的变化。笔者认为,引起这一系列变化的重要因素之一是“网络空间安全问题被重新定义”,更确切的说是网络空间的威胁模型从“合规、内生威胁模型”跨到了“对抗、外部威胁模型”,这也高度符合习主席提出的“没有网络安全,就没有国家安全”的战略认识。大家很清楚,不同的威胁模型必然导致整个行业在技术、产业、政策、职能等角度的重构。当然,这对国家监管、投资券商、甲乙方企业等利益相关方既是挑战也蕴含巨大机遇(类似于2001年911事件,让美国认识到“恐怖主义”和“网络攻击”的全新威胁模型,并为之确立新的治理结构和配套设施,也间接开启了美国网络空间安全产业的“黄金十年”)。本文将着重从产业转型升级角度进行探讨,其他视角未完待续。
最近网安圈发生了几件事情,估计会为网安产业(笔者更愿意称为“网空产业”,具体原因后文会阐明)的逐步转型奠定重要的基础,这包括:
1. 5月26日,基于拟态防御思想(安全对抗防护思路)的全球首个网络内生安全试验场(NEST)开始全球众测;
2. 5月28日,刚刚结束的“HW行动”,开创以持续真枪实弹(多支攻击队伍模拟APT攻击)检验防守方保障能力新玩法;
3. 6月18日,工信部发布《网络安全漏洞管理规定(征求意见稿)》,引起圈内安全研究者、监管单位、漏洞平台、安全公司等多方热烈讨论;
4. 继早期的Stuxnet(伊朗核设施)、BlackEnergy(乌克兰电网)、美对ISIS宣布发动网络战等事件后,2019年相继爆发委内瑞拉电网遭网络攻击、美伊网络作战等事件,将网络空间推向国家级对抗领域。
从上边4件事情可以看到,网安技术已倾向于“对抗防护思路”的创新解决方案,告别了动辄NG、NGNG的嘴炮年代;产业驱动力逐步从合规驱动过渡到了实战对抗驱动;监管单位对漏洞这类“网络军火”的态度也发生了重要的变化;最重要的,在中美大国博弈时代背景下,网络空间具有军事化发展趋势,军事斗争形态也随之发生了显著变化,表现出“军事行动网络化”和“网络空间军事化”的特征。围绕网络空间安全问题在虚拟、现实空间展开的复合博弈,将会成为新时代“传统军事威慑”的重要补充形式和手段。从上述趋势判断,不论是创新技术的内因,还是网空国际形势、监管态度的外因,都合力转化为促进“网络空间安全2.0时代”产业转型的巨大驱动力。
名词解释:“网安产业”和“网空产业”,按照笔者理解,“网安产业”对应于“互联网时代”,是为应对 “内生威胁和合规检查”而发展起来的业态,以2007年发布《信息安全等级保护管理办法》为标志性事件,关键词是“盘子小、强合规、非刚需、价格战、低毛利”,这也难怪某位圈内大佬曾在某公开会议上吐槽网安行业不容易做,“水浅王八多”;“网空产业”对应于“网络空间时代”,是为应对“外部国家级威胁”而正在发展的业态,以2015年战略支援部队成立、2019年HW行动为标志性事件,关键词是“盘子大、高对抗、强需求、高技术、高价值”。
“网络空间”来源于美国的军语“CyberSpace”,美国大学教授Robert Chesney将网络战称为“21世纪的炮舰外交”。他说:“我们正在向对手展示,我们并不需要做多少就可以给对方造成严重后果。过去,我们将战舰停在从海岸上可以看得见的地方;如今,我们也许进入了诸如电网这样的重要系统。”
“网络空间”将“互联网”的内涵做了全面的丰富,将“互联网”原本的科技、贸易、社交等属性,大力度延展到“网络空间”的军事、科技、文化、贸易、法律、宗教等领域,并与现实社会实现了全面映射,成为了继“陆、海、空、天”外的“第五空间”。这就使得“安全产业”提升到了空前重要的高度,并要求她像水晶球一样,在不同属性中折射出“美丽”的光芒。
下图为根据“数说安全”的《深度数说:国内外网络安全上市公司大PK》整理的我国A股和美股上市公司的人均毛利率对比图。一般,人均毛利率是商业模式健康程度的最好表征指标。从图中可以看出,我国A股人均毛利率最高的深信服也仅相当于美股人均毛利率最低的Zscaler的1/2,美股9家安全企业人均毛利率中位数为157.433,我国A股9家安全企业人均毛利率中位数为37.733,仅为美股企业1/4。
图1:中美主板网安上市企业人均毛利率对比
同一个行业,中美人均毛利率为何会有如此大的差距,笔者下边做一涂鸦分析:
• 我国网安产业不如美国刚需,用户花钱积极性不高。笔者认为,这点肯定不成立。就刚刚过去的5、6月,先后是《网络安全法》颁布两周年、发布《等保2.0》、《网络安全审查办法(征求意见稿)》、《数据安全管理办法(征求意见稿)》、《个人信息处境安全评估办法(征求意见稿)》、《网络安全漏洞管理规定(征求意见稿)》等政策法规,更即将或已经召开“强网杯”、“纵横网络空间创新论坛”、ISC、观潮、北京2019网络安全大会和若干行业(如电网、石油、金融等土豪大户)安全峰会。从上边来看,不论是政策力度还是行业热情,都体现用户对网安足够重视。
• 用户足够重视,但优质(有钱、土豪)客户少。这点肯定更不成立,刚由《财富》统计出炉的2018世界500强排行榜,中国有120家上榜,其中国家电网、中石化、中石油更是名列2-4位,这都属于中央网信办2017年的发布的《关键信息基础设施安全保护条例》所规定的严格网络安全防护的主题责任单位。
• 政府、客户足够重视,土豪客户又多,然而中美毛利率差别还会这样之大,笔者认为,原因只能是“价值交付能力不同”,也即美国网安产业属于“能力交付型”而我国属于“合规驱动型”。而由于合规仅仅是为了满足“过个检查”、“评个优秀”等的面子工程,并未让用户看到真正价值,建构此上的商业模式必然不够健康(这类似2015年OPM泄露事件以后,GAO开始对DHS的Einstein系统进行问责,并在报告中声称“EINSTEIN只能检测出6%的最常见的安全漏洞”,由于没有给美国带来价值,必然会导致Einstein甚至DHS整体经费的下滑)。
这里谈一谈“网空时代”的安全产业核心价值。TK很早就提出“不知攻、焉知防”,老周、ic、老杨、yuange、呆神、段钢、岩冰、剑客等老一代和剑心、301、猪猪侠等新一代黑客(这里指钻研安全领域的技术大牛)也都曾经表达过由“对抗”而非“合规”来推动产业发展的观点。如下图所示,“安全能力”带来的价值持续增强,合规价值将会弱化,而“安全能力”会让优质客户看到安全产业的价值,带来巨大的蓝海市场空间。
图2:“网空时代”产业转型趋势
网安圈的老人都了解,“对抗”才是安全产业的核心价值。也即防御、保障角度的:Recognizing识别、Detection监测发现、Decetion欺骗、Response响应,以及Forensics取证等;攻击测试角度的:threat simulation威胁模拟、Red Team Service红队服务、Pentest渗透测试等。上述观点从历年代表产业发展方向的RSA大会和代表甲方需求方向的Gartner也能得到印证。下图为“RSA2019创新沙盒十强”和“Gartner2019 10大安全项目”,可以看出不论甲乙方,核心关注点都在于基于弹性、可扩展、自适应、SaaS、情报共享等关键词下的识别、监测、欺骗、响应、取证、威胁模拟等领域。
图3:RSA、Gartner2019安全技术、产品趋势
从这次HW行动也能反映相似观点,类似NDR、EDR、NTA、Deception、微隔离等对抗类产品都得到了用户的很大认可,而FW、IDS等基线、合规类产品都未能输出优势价值。著名科技咨询公司IDC应对于该网络空间安全产业趋势,也提出了AIRO( Analyst分析、Intelligence情报、Response响应、Orchestration编排)的创新产业方向,并基于此推出了IDC创新者计划(IDC Innovators)。
商业模式这个词儿经常被提及,但如果究其定义,大家会发现没那么简单,而且众说纷纭。有人把商业模式直观简单的定义为企业赚钱的方式,也有人把商业模式狭义理解为盈利模式。笔者认同的说法是“商业模式是产品技术的价值载体”,也就是说“再好的技术,也需要搭配优秀的商业模式,才能实现其价值兑现”。从另一个角度说,谁能够设计出更好的商业模式,往往也会强绑定行业技术资源,这在网络安全这种强对抗的行业,体现的尤为明显。所以从某种程度上讲,商业模式的变革也能够带来网络安全产业的技术能力发展。
根据Gartner数据,2017年全球网络安全市场规模989.9亿美元,其中安全服务市场份额占比达到60%;与此结论类似,据IDC数据测算,2017年全球超过80%的安全支出落在软件和服务上,其中最大的两块服务支出是managed security services ($15.25 billion)和integration services($12.5 billion)。具体数据如下图所示,可以看出:在我国网安行业以远高于全球的年复合增长率(CAGR)25.6%(全球为9.2%,IDC数据)的背后,营收构成(主要为硬件、软件、服务等)已经明确的标记了我国网安行业传统(luohou)的商业模式属性。
图4:全球2017网络安全产业发展趋势(Gartner)
图5:全球2017网络安全产业结构(Gartner)
图6:中国2019网络安全产业结构预测(IDC)
下面,用两个表来具体拆解下中美网络空间安全产业商业模式的异同(PS:参考了AngelaY的文章《网络安全商业模式分析》):
厂商类型 | 设备供应商 | 设备+传统服务商 | SaaS模式服务商 |
关键词 | 规模化、集采 | 懂攻防、卖设备 | 大数据、云服务 |
商业模式 | 高频场景自研硬件销售 | 高频场景自研硬件销售/渗透、等保等安服推动中低频方案销售 | Security-as-a-Service云平台,安全功能云服务形式提供/SaaS转化的中低频方案销售 |
主要产品 | FW、IDS、流控等 | FW、IDS、流控、培训、Pentest、等保测评服务等 | 中低频场景类产品 |
服务 | 很少 | 培训 | 云服务、订阅、培训 |
主要收入 | 产品销售、集成服务 | 产品销售、安全集成 | 云服务、少量产品培训 |
人均毛利率 | 较高,100万左右 | 一般,60万左右 | 较高,80万左右 |
价值点 | 基础设施 | 基础设施+人力服务 | 安全托管服务 |
典型代表 | 华为、深信服等 | 启明、天融信等 | 360、知道创宇等 |
表1:中国网络空间安全产业主要商业模式分析
厂商 | Palo Alto | FireEye | Qualys |
关键词 | 产品带动订阅服务 | 订阅服务(MssP) | 安全云化服务(MssP) |
商业模式 | 通过产品销售锁定客户进而带动订阅和支持服务销售,订阅收入占比30%以上 | 产品收入占比较低,服务收入为主,其中订阅服务收入占比近50% | Security-as-a-Service云平台,安全功能云服务形式提供 |
主要产品 | FW、EPP 威胁情报云等 | 威胁探测与防御、安全管理与协同、取证与事件调查 | 云平台 |
服务 | 订阅、培训 | 订阅、云服务、安全评估、咨询、威胁情报及培训 | 云服务及订阅 |
主要收入 | 产品+订阅 | 主要是订阅 | 云服务 |
人均毛利率 | 较高,211.5万 | 一般,113.2 | 较高,143.4万左右 |
价值点 | 基础设施 | 基础设施+人力服务 | 安全托管服务 |
表2:美国网络空间安全产业主要商业模式分析
从上表可以看出,我国依然是“硬件盒子+人力线下服务”的传统商业模式,这直接的后果就是低毛利、留不住核心人才(安全大牛普遍在BAT等高毛利互联网企业),当然也就很难体系化输出对抗能力(作战威慑、关基APT溯源);美国则是“SaaS模式的MssP服务+高价值红队对抗、应急取证等服务”,这种模式帮助美国既提高了人均毛利率从而留住人才,也为国家网络空间提供了战略能力储备(各种APT报告、对伊朗、ISIS宣布网络战等)。
当然,上文仅从产业转型角度,介绍了美国网空安全产业的“MssP+线下红队、响应、取证等服务”优秀模式。然而,美国也是从最早的FISMA、FIPS等合规时期的“硬件盒子+人力线下服务”时期过度过来的,他们是如何转型的呢?
笔者认为,支持美国用户乐意于购买软件化、订阅化、云化等交付形式产品的重要原因之一就是立法。首先,美国在推动防御联邦和军事网络的Einstein和Tutelege形成能力后(同时培育起一批监测、检测、应急、响应等厂商,如FireEye、Plantir、Cylance、CrowdStrike等,也即最早具备SIEM能力的厂商),便开始以MssP模式将其复制到各州,并最终形成全国性的统一监控、分析、预警、响应、取证、恢复能力的态势感知中心,具体如下图所示(摘自笔者文章《美(军)国态势感知体系能力分析》)。
图7:美国“大态势感知体系”结构图
这使得国家监管单位(主要为DHS)具有了看到Federal、ISP、CIP等关键部位安全实时状况的dashboard。另一方面,美国强化监管立法(如SOX、HIPPA,最近又在准备出台美国版本GDPR)要求公私营单位及时、负责任披露网络安全事件,不然会承担刑事或者经济责任(想必CISSPer们,对Due Care和Due Diligence的应用场景还熟记于心吧)。一手立法,要求单位主动披露;一手以MssP形式要求接入统一态势感知平台(这好比一边立法要求不允许醉驾,一边路上机动设置检查站。一顿操作猛如虎啊,不得不佩服大辽人民的创新治理能力,哈哈)。
最后,对于国家级APT溯源的关键能力,讲一个笔者经常思考的小例子:如果一个笔帽掉进了游泳池,可以用各种探针(红外线、电磁波、无线电、声呐等)进行查找,并且上述技术的探针也都可在某些场景发现笔帽。那么,关键问题是部署 哪一类更高技术的探针呢,还是部署的密度呢?
远望智库
2019.07.08