中国网络安全十大创新方向China Cybersecurity Innovation DirectionReport2022-10数说安全研究院 关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 XDR平台可以跨区域收集来自多种安全设施的检测数据，并对其进行统一的集成、关联和上下文等事件化分析，以全局视角进行威胁研判，从而获得更准 确和全面的检测结果。XDR旨在高效集成产品，打破信息孤岛，降低企业内的无效告警和安全运营成本，未来将吸引难以从SOC或SIEM解决方案中获得 价值的安全运营团队。扩展检测响应（eXtended Detection and Response） 1、（大场景）SOC平台能力补充； 2、（小场景）网络环境降噪/充当SOC； 3、（新场景）云地混合场景威胁检测响应； 4、（安服场景）MDR方案的工作平台。1、一体化威胁检测能力（云/网/端）； 2、AI/ML/UEBA等技术的利用与效率； 3、多源数据整合与上下文关联分析能力； 4、ATT&CK等攻击链覆盖与攻击溯源能力； 5、API集成与自动化响应能力。 1、XDR方案开销与客户现有安全投入的平衡； 2、技术开放性与第三方能力的整合； 3、在云/多云/云地混合环境下XDR能力构建。 EDR NDR 蜜罐 CWPP 微隔离IDPS安全分 析中心 安全分 析中心 安全分 析中心 安全分 析中心 安全分 析中心安全分 析中心EDR NDR 蜜罐 CWPP 微隔离IDPSXDR 平台传统检测与响应模式 扩展检测与响应模式 SOC/SIEM日志级分析/信息孤立/告警繁杂/误报率高 多源数据采集/上下文可见/深度关联分析/高效溯源 SOAR API TI SaaSSOC/SIEM核心能力 关键挑战 应用场景 典型厂商 关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 传统的风险评估技术侧重于识别系统、网络和应用程序漏洞，BAS方案可以更进一步。BAS是指通过主动验证+（半）自动化的方式，利用攻击者的战术、 技术和程序来模拟杀伤链的不同阶段，持续测试和验证现有网络整体的安全机制（包括各安全节点是否正常工作、安全策略与配置的有效性、检测/防护 手段是否按预期运行等），对企业对抗外部威胁的能力进行量化评估，同时提供改进建议，推动企业安全体系走向成熟。入侵与攻击模拟（Breach and Attack Simulation） 1、基于内需驱动的高安全性网络环境； 2、企业安全运营效率提升与安全防御体系优化； 3、安全服务中降低人工成本，量化服务价值。1、多维安全有效性验证能力（设备/策略/脆弱性） 2、量化评估与风险优先级识别能力； 3、模拟入侵能力（入侵方法与数量/自动化能力/攻 击载体类型/ATT&CK框架匹配度等）； 4、场景覆盖度（云/IoT/工控/Mobile等新场景）。 1、安全验证覆盖面能力（终端/边界/应用/数 据等）； 2、验证结果的可靠性与全面性； 3、全场景匹配度与自身安全性保障； 4、产品部署成本、自动化程度与易用性。风险评估技术 BAS 渗透测试 漏洞扫描 工作时效性 7x24 事件触发 周期性 交互性 自动 人工+自动 N/A 评估机制安全体系 风险量化评估漏洞风险评估漏洞检测 评估维度 较广 有限 仅漏洞 评估过程回放 支持 有限 无 回归测试验证持续性验证 有限 有限 可管理性 高 低 中核心能力 关键挑战 应用场景 典型厂商关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 攻击面是指企业所有可被利用的风险因素的集合，这些风险因素大多分布在物理面（例如端点、网络、服务器等设备漏洞）和数字面（例如企业数据泄 漏、品牌侵权、个人隐私信息泄漏、网络钓鱼等）。攻击面管理旨在识别、分类这些风险因素，并对其进行优先级排序和持续监控。攻击面范围较为宽 泛，按照企业管理者和外部攻击者两个不同视角，可分为网络资产攻击面管理（CAASM）和外部攻击面管理（EASM）两种。攻击面管理（Attack Surface Management） 1、IT资产对外且分散，亟待缩小互联网暴露面的 大中型企业； 2、互联网/消费者企业数字资产保护与安全运营； 3、重要/关键业务场景主动防御能力提升，实现 高风险判定和攻击面收敛。1、资产发现能力（互联网/云资产/影子IT/数字 资产/个人隐私等未知资产）； 2、全局风险优先级评估能力（自动化安全评估/ 漏洞优先级VPT等技术利用)； 3、多维情报体系(威胁/漏洞/暗网/深网数据情报 等）。 1、海量数据采集与关联分析和风险研判能力； 2、支持测绘的攻击面类型和数量； 3、云生态发展对云资产可视化与风险评估的影 响。管理者视角 攻击者视角 企业有哪些泄漏的数据？ 员工个人隐私和社交信息？我有哪些物理资产，这些资产分布在哪里？ 我对外提供了哪些服务？ 有哪些BYOD设备？还有哪些OT资产？ 企业云应用中有哪些配置错误？我的服务器有哪些漏洞？ 目前API资产和使用情况？ 企业外部数字资产有哪些？企业有哪些云资产？ 网络钓鱼和社工入口在哪里？ 企业供应链有哪些？ 核心能力 关键挑战 应用场景 典型厂商 关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 安全运营服务是适用于我国实际国情的新型安全服务形态，按照目标客群、服务范围、能力边界不同，又分为传统MSS服务（托管式安全服务）和新型 MDR服务（托管式检测与响应服务）。MSS服务侧重于管理和维护与安全相关的技术和产品，以保障企业IT基础设施稳定运行为目标，MDR服务则以更 高的视角聚焦攻击与威胁，通过云网端数据共享与分析，提升企业在威胁检测与响应处置方面的能力。目前MSS与MDR服务商已呈现融合趋势，未来随 着市场服务型需求持续释放，这种融合趋势将进一步加深。安全运营服务（SecurityOperationServices） 1、合规驱动但无安全基础的SMB场景； 2、部署多种安全设备但安全运营效率低下中大 型企事业单位； 3、事件驱动型场景：攻防演练、重保、风险评 估等； 4、多分支、管理成本较高的分布式网络。1、中高级安全专家数量，并实现人员高效复用； 2、利旧或提供安全分析平台，实现自动化工作流； 3、整合产品/平台/人员，牵引在线服务模式/能力； 4、威胁情报能力集成； 5、7x24小时全天候安全监控与报警，有规范的应急 响应制度，可输出准确全面的安全分析报告。 1、服务SaaS化，提高人效比； 2、安全事件分析的准确性与响应速度； 3、对云/工控/物联网等新场景下服务能力的覆盖。 服务广度 服 务 深 度7x24安全监控 日志分析 安全告警 分析报告设备管理 软件升级与补丁管理 合规性管理基础安全策略管理 漏洞扫描MSS EDR/NDR 威胁狩猎 威胁情报与预警 高级专家分析 自动化响应APT监测溯源取证 MDR核心能力 应用场景 关键挑战 典型厂商关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 受事件驱动（SolarWinds事件等）、国际关系变化（贸易摩擦、技术封锁、网络战）等因素叠加影响，近年来软件供应链安全概念持续升温。软件供应 链的安全风险因素来自于软件全生命周期，除了源头上软件开发环节，也包括软件上线发布和软件运行使用等环节。开发安全不完全等同于软件供应链 安全，但开发安全却是保障软件供应链安全最重要的起点，安全左移大势所趋，DevSecOps未来或将由场景型技术转变为普适性技术，引领新一轮安全 技术的演进。软件供应链安全与开发安全（Software Supply Chain Security&DevSecOps） 1、软件开发生命周期（SDLC）安全赋能； 2、软件供应链风险评估（断供/卡脖子风控） 3、云原生应用程序安全开发与运营； 4、国产化场景下SBOM梳理与自主可控评估。1、代码级检测分析能力（代码审计/SAST）； 2、开源治理能力（SCA）； 3、应用安全检测能力（IAST/DAST/Fuzzing）； 4、运行时应用程序自保护能力（RASP）； 5、开发安全一体化管理平台。 1、产品&技术与开发流程无缝集成的能力； 2、漏洞风险优先级评估与补救能力； 3、产品自动化程度与易用性； 4、相关技术标准与市场驱动力的构建； 5、商业路径规划与目标客群触达能力。 核心能力 关键挑战 应用场景 典型厂商 代码提交 集成测试 系统测试开发 测试 验证 SAST SCADAST IAST Fuzzing 基于漏洞的告警 SOC/SIEM 基于攻击的告警释放 RASPWAF API CASB部署 Dev Ops开发安全咨询服务开发安全体系评估 安全开发过程改善 安全需求与设计 开发安全规范培训Sec关键经营数据分析——现金流健康度继续下降 河南数说安全研究院有限公司 核心能力数据安全平台是以数据为中心，面向数据全生命周期构建的安全管理与防护体系，其核心是在数据风险防护与合规监管的推动下，根据具体的业务处理 场景和生命周期各个环节，以数据发现和数据分类分级为基础，以数据流转监控及数据风险评估为目标，融合了多种数据安全技术来实现平台化数据安 全防护。随着数据安全场景需求和产品技术的不断发展，数据安全运营平台、零信任数据安全平台、数据安全监测平台等解决方案正逐步成为各安全厂 商在数据安全领域所聚焦的方向。数据安全平台（Data Security Platforms） 1、对各场景业务与数据流转的全面梳理能力； 2、对数据全生命周期安全防护和监测能力； 3、数据安全平台与能力单元智能化联动能力；