2021年是“十四五”的开局之年。随着全社会数字化转型的加速,网络安全重要性的不断提升,我国网络安全产业迎来了发展的关键时刻。基于“十三五”打下的良好基础,网络安全相关法律法规陆续发布实施,国家层面正持续开展相关配套制度、标准体系的建设及完善,网络安全风险投资日趋活跃,网络安全创业蔚然成风,产业继续快速发展。

一、网络安全公司业绩情况

2021 年,网络安全企业的总体情况是项目数量增加,营业收入增加,但利润减少。

(一)上市公司业绩情况

对我国 23 家网络安全上市公司的第三季度季报做分析,截至 2021 年第三季度末,与 2020 年同期相比,营业收入下滑的只有 3 家,营业收入增幅超过 40% 的有 7 家,增幅在 20%~40% 之间的有 7 家,增幅大于 0 小于 20% 的有 6 家。归母利润为正的只有 12 家公司,利润较往年同期有较大幅度下滑。

网络安全公司利润减少的原因,一是由于研发、市场投入的增加,其刺激因素应该还是网络安全公司对中长期市场的发展比较乐观;二是在激烈的市场竞争中低价竞争情况还比较多。

(二)网络安全招投标项目情况

2021 年 1 月到 11 月,网络安全公司公开招投标项总数比 2020 年同期增加约 5.6%,招投标项目总金额较 2020 年同期有小幅增加。

因为疫情与经济形势影响,政府部门财政预算压力较大,网络安全项目费用有压缩的可能。通过对 2021 年前 11 个月公开招投标、中标数据的分析,确实发现政府网络安全项目数量除各地大数据局/政务数据局项目外,都有较大幅度减少,但大数据局/政务数据局项目有增加,并且项目规模变大,两者相抵,估计政府安全项目总投资比2020 年略有减小。政府安全预算的减少,曾经引发大家对国企安全预算的担心,但从截至 11 月底的实际情况看,运营商、能源、金融等大型国企招投标数量不仅没有减少,还有增加。

第四季度是网络安全行业收获订单的时候,全年总营收的 35%~40% 在第四季度实现。

二、网络安全资本市场情况

2021 年,国内网络安全产业总市值与 2020 年相比略有下降,但网络安全创业投资市场空前活跃。

(一)网络安全二级市场情况

全球市场来看,二级市场网络安全上市公司指数 Hack Index,截至 2021 年 6 月 21 日,比 2020年 12 月 20 日上涨 16.8%,表现好于 NASDAQ 指数和标普 500 指数。

图1 全球网络安全上市公司指数对比

图2 中国网络安全上市公司市值变化情况

截至 2021 年 12 月,我国网络安全上市企业一共 23 家,产业总体市值 4700 亿左右,在 2020 年整体市值超过 5500 亿元。截至 2021 年 12 月 2 日,网络安全上市公司整体市值有所回落,相较于 2020 年下滑 7%。

总体来看,由于《数据安全法》《关键信息基础设施安全保护条例》《个人隐私保护法》等政策的陆续落地,资本持续看好网络安全产业未来,网络安全企业的整体市值小幅回撤,行业高增长有利于保持在较高市值水平。

从估值角度来看,由于网络安全产业的持续增长和重要程度增加,资本市场对网络安全概念始终青睐有加,也给予网络安全公司一定估值溢价,网络安全公司估值水平一直以来都高于创业板和沪深 300 等主要指数。

对上市网络安全企业主要估值指标的历史数据做分析,截至数据统计日(2021 年 12 月 2 日),行业 PS-TTM 中位数为 7.4(PS,Price-to-sales ratio,即市销率,PS 等于总市值除以主营业务收入。市销率越低,说明该公司股票当前的投资价值越大),行业 PE-TTM(扣非)中位数为 51.6(TTM,Trailing TwelveMonths,是股票投资、财务分析领域的专业术语。TTM 是价格除以最近 4 个季度每股盈利计算得到的市盈率。因为上市公司通常以季度为单位发报表,所以 TTM 通常以季度为单位,TTM 在每个季度都会不同),相较于2020 年同期,当下的网络安全上市公司的性价比更高。

表1 上市网络安全企业主要估值指标

(二)网络安全创业投资市场

全球范围内来看,网络安全创业投资都是空前活跃。如图 3 图 4 所示,2021 年上半年,全球网络安全市场的收购和兼并从数量到金额都远高于前四年。

图3 全球网络安全市场收购与兼并情况

(来源:Momentum Cyber)

图4 全球网络安全市场融资情况

(来源:Momentum Cyber)

图5 中国网络安全公司融资情况

国内网络安全创投市场也是非常火热,从图 5 中可以看到,2021 年中国网络安全企业融资数已有 96 笔,融资总金额达 90.6亿元,宣布融资亿元以上的有 38笔。有两家网络安全公司的 E 轮融资 C 轮融资估值分别达 50 亿和 100 亿,超过不少已上市公司。网络安全圈的名人创业,天使轮融资估值已到 2 至 3 亿元,A 轮、B 论融资的估值的 PS 已是 10 到12 倍。

三、2021 年网络安全产业的热点领域

2021 年网络安全行业群星闪耀,热点频出。

(一)重大网络安全事件引发的热点

1. 太阳风攻击事件引发对供应链安全的关注

太阳风事件在 2020 年 12 月被曝光后,软件供应链安全的重视程度得到很大提升,美国总统拜登在 2021 年 5 月 12 日颁布的总统行政令的第 4 节就是专门针对软件供应链安全问题。对中国来讲,因为大量开发人员对安全开发知识的欠缺以及广泛依赖开源软件,所面临的挑战更大。

解决软件供应链安全的方法之一是求助于开发安全(DevSecOps)。其包含的静态应用安全测试,白盒(SAST)、动态应用安全测试,黑盒(DAST)、交互式应用安全测试,灰盒(IAST)、软件成分分析,关注开源使用(SCA)、模糊测试,黑盒暴力可靠性测试(Fuzzy)、运行时应用程序安全保护(RASP)等产品可以有效发现软件中的漏洞,或进行运行时的安全保护。

国内从事 DevSecOps 的开源网安、悬镜安全都完成了一轮融资,DevSecOps 领域的先行者默安科技也在进行 PreIPO 的融资,已到收尾阶段。

2. 科洛尼尔攻击引发对勒索攻击的关注

美国当地时间 2021 年 5 月 7 日,美国最大成品油管道运营商科洛尼尔成品油输送管道遭到勒索攻击,此次攻击事件导致提供美国东部沿海主要城市 45% 燃料供应的输送油气管道系统被迫下线。

科洛尼尔勒索攻击因造成严重后果而引起人们的重视,但实际上勒索攻击的次数每年都在增加,2020 年比 2019 年增加了 148%,所要求的赎金金额,2020 年比 2018 年增加 3,900%,预计 2021 年全球将会受到 290 万次勒索攻击。2021 年,除了科洛尼尔输油管道勒索攻击外,还有 JBS 食品加工厂、Kaseya、NBA、Acer 等企业遭到勒索攻击。国内机构遭到勒索软件攻击的也不少,但多数受害者选择低调处理,所以在全球勒索软件攻击排行榜上中国名次并不高。

针对勒索攻击的防御,一些安全公司推出了勒索防护系统,通过对文件加密行为的判定检测勒索攻击的发生并进行阻断。勒索攻击在2021 年的一个新趋势是,勒索软件从单纯加密数据寻求赎金,到加密数据与窃取并以公开被窃数据作为威胁寻求赎金的双料勒索演进。

(二)IT 基础设施进化带来的热点

云计算、大数据、物联网、移动通信、工业互联网是当今 IT 基础设施演化的几个方向,也是产业发展的重要方向。

图6 新型 IT 基础架构图

IT 基础设施云化是大趋势,除了民用 IT 基础设施快速云化外,政府的基础设施也在云化。云化带来了网络边界模糊、软件生命周期变短等一系列挑战。

在 2021 年最有影响力的两个安全创业大赛中,ISC 创新独角兽沙盒大赛的冠军是做应用程序接口(API,Application Programming Interface)安全的星阑科技,BSC 安全创客汇的冠军是从事云原生安全的探真科技,两者都与 IT 基础设施云化有关。

1. 云原生安全

云原生技术架构充分利用了云计算弹性、敏捷、资源池和服务化特性,在改变和云端应用的设计、开发、不熟和运行模式的同时,也带来了新的安全需求和挑战:容器化部署成为云原生计算环境风险输入源、微服务细粒度切分增加云原生规模化应用风险、无服务器(Serverless)灵活性带来模型和平台管控风险、DevOps 提升研运流程和安全管理的防范难度、API 爆发式增长催化分离掌控和权限滥用风险。

传统的基于边界的防护模型已不能完全满足云原生的安全需求,需要设计全新的云原生安全防护模式,基于动态工作负载,实现云原生技术架构和规模应用的全面防护。

国内探真科技、小佑科技、青藤云等公司从事云原生安全,从事容器安全的公司氢盾科技第一轮公开融资,即被字节跳动收购。

2. API 安全

容器/微服务等基础设施崛起,API 成为网络重要组成部分,API 迭代周期短,后端架构复杂,对安全管理带来挑战,API 攻击面除漏洞以外,还需解决越权及风控问题,传统安全设备难以适配 API新协议,如 SOAP、GRPC 等。

API 安全通过对 API 通信行为的采集、监控、防御等手段,发现并收敛 API 生产过程中的风险,拦截针对 API 的漏洞攻击及数据窃取行为,最终围绕API 的设计、开发、测试、运行、下线等不同阶段建立 API 全生命周期安全管理方案,为万物互联时代的数据交换、大规模分布式架构、云计算、IT 数字化改造提供安全保障。

3. 安全访问服务边缘(SASE)

5G、软件定义广域网(SDWAN)、云计算、边缘计算、物联网等新技术正迅速改变网络基础架构,终端设备逐渐取代网络设备成为企业网络的新边界和新中心,网络及网络安全的能力交付逐渐将迁移至云端。随企业接入网改变,企业侧的计算和存储架构也将随之改变,包括终端在内的计算和存储将逐渐迁移至云端。

Gartner 创建了 SASE 一词,并在 2019 年的白皮书中对其进行了首次描述。简而言之,SASE 将 SDWAN的功能与安全性相结合,并将其作为服务交付。IT基础设施不断服务化,网络安全交付方式也需随之改变,SASE 是一个更低拥有成本,更好防御效果的解决方案。

SASE 是从网络安全公司、云厂商、CDN 厂商到传统 IT 公司都在布局的方向。国外 Cato Networks、Palo Alto Networks(派拓网络)、Akamai(阿卡迈科技)、亚马逊、思科、VMWare、戴尔等厂商都纷纷展开该领域的布局。国内,包括阿里云、华为云、网宿、白山云、深信服、奇安信等公司也开始涉足。

4. 零信任架构

零信任是近两年最热的概念之一,除了数蓬科技、虎符网络等创业公司外,国内做 IAM 的竹云、宁盾、做终端安全的联软、做 VPN 的易安联等公司纷纷推出自己的零信任解决方案,各大安全公司如奇安信、深信服以及互联网公司腾讯、阿里云、360也推出零信任解决方案。

零信任无疑是一种更先进的思想,各家的零信任解决方案也各有侧重,但还都有待完善,尤其在ABAC、动态访问控制这样的关键领域。

(三)网络安全技术进步带来的热点

1. 终端检测与响应(EDR)

EDR 是在终端安全防护 EPP 之后的一代终端安全技术。与其他端点保护平台(例如防病毒、反恶意软件)在终端上预先执行检查和静态特征库比对来抵御威胁机制不同,EDR 系统在 IT 端点部署轻量级代理采集终端信息并上传中心数据分析平台,通过大数据、机器学习、威胁情报、用户和实体行为分析(UEBA)等新兴技术实现对终端安全态势的研判分析,针对日渐多变的高级持续性威胁、0 Day 等新兴未知攻击进行主动性防御。

不同于传统终端安全软件,EDR 的核心能力是:终端活动数据采集与可视化能力、可疑活动的发现与验证能力、对恶意活动的遏制和回溯能力、将端点修复为感染前状态的能力。

EDR 所面临的关键挑战是:Agent 植入与系统兼容能力、与 EPP 平台的融合与协同、与 SOC/SIEM/SOAR 平台的集成和响应流程。

目前,国内 EDR 软件水平与国际领先的CrowdStrike 尚有差距,可喜的是除了传统的终端安全软件公司外,有深信服、微步在线等公司进入EDR 领域,也有安全创业公司瞄准这个方向,相信不久的将来将就能看到优质的 EDR 产品。

2. 网络检测与响应(NDR)

NDR 系统是有别于传统特征签名检测机制的高级安全检测技术,NDR 利用 AI、ML、大数据等核心功能对网络流量进行数学建模和深度学习分析,对识别到的异常行为进行流量还原、关联分析,并结合威胁情报来定位未知威胁,在网络层面实现对内网安全风险的实时监控,最终为安全运营处置提供信息支撑。NDR 与 EDR 技术的协同与融合,可以大幅提升企业对未知威胁的检测能力,也是未来SOC、SIEM、SOAR 等系统高效应用的重要前提。

NDR 核心能力是:利用 AI、ML 检测未知威胁的能力、网络流量还原与攻击溯源取证能力、威胁情报的集成与利用、与 FW、NAC 等系统的联动响应能力。

3. 从漏洞管理到攻击面管理

漏洞管理是个一直没有被解决好的老问题,面对 Shadow IT、物联网、过时的软件、未知的开源软件、第三方供应商管理的资产的时候,面临数字资产发现困难、漏洞的发现和分级困难、打补丁困难甚至根本没有补丁可打等问题。

攻击面管理(ASM)解决方案提供组织攻击面的外部攻击者视角——发现并持续监控攻击者在瞄准企业时看到的目标、服务、IP、域、网络、主机名和其他工件。

从漏洞管理到攻击面管理,是对于网络安全防御技术创新和实践不断迭代的过程。

4. 安全编排自动化和响应(SOAR)

面对安全运营人员不足,安全时间响应不及时,处置不够迅速,人们求助于安全运营的自动化工具SOAR。

对安全事件进行分类分级评估,结合威胁和弱点管理,采用模板化的脚本进行自动响应。随着移动办公、5G 和物联网技术的发展,海量终端设备接入到网络,攻击面不断被拓宽,攻击事件呈现出指数增长态势,从而使得安全运营团队承受着极大的压力。借助于 SOAR 产品,可以根据安全事件的分类/评估结果,关联不同类型的处理脚本,进行自动化的事件响应,使得安全运营团队的工作效率指数级提升,有效应对不断攀升的漏洞和安全告警。

SOAR 的核心能力在于对攻击的抽象建模能力、事件与威胁的关联分析、将人工处理过程转化为自动化剧本的能力。其关键挑战在于告警准确性、脚本库对不同类型安全事件的覆盖度、第三方设备的协同能力。

国内有多个创业公司从事 SOAR 开发,部分公司已经实现 NLP 自然语言处理在 SOAR 上的应用,用接近自然语言的交互方式提升安全运营的效率。

(四)商业模式的变化:安全托管服务(MSS)的兴起

可以说,2021 年是中国网络安全托管服务的元年。在两种主要的安全托管服务中,MSS 主要为组织提供安全技术的远程 24/7 监控和跨各种平台的与安全相关的事件,以识别、建议补救措施,以及(在适当情况下)代表客户应对威胁暴露和安全事件。

图7 两种安全服务托管模式

监测和响应托管(MDR)提供现代、远程交付的安全管理中心(SOC),通常会拥有检测、调查和应对威胁的技术,具有威胁监控、检测和猎捕、威胁情报、事故响应方面的技能和专业知识的员工,拥有标准工作流程和程序的 PlayBook。

MDR 服务提供商以打包交付模式向买家交付以下功能:高准确度的威胁检测和验证,一般是绕过了已有防线的;除告警和通知外的远程事件响应、调查和处置活动;面向所有客户的通用交付平台;MDR 服务商承担起如何检测到威胁的责任。

在国外,提供 MSS 和 MDR 的服务商有较大区别,MSS 服务往往由电信运营商、IT 服务商提供,MDR服务由专业的网络安全公司提供,但国内的 MSS 服务直接由专业安全公司提供。

深信服的 MSS 服务在 2021 年实现了从 100 家以下客户到 1000 家客户的跃升,奇安信、安恒也纷纷组建团队,开展 MSS 业务。12 月 2 日,360 政企安全也宣布提供 MSS 服务,而启明星辰的城市安全运营中心模式,则在 2021 年初就设定了在年底要覆盖120 个城市的目标。

安全托管服务是破解全社会数字化转型安全保障的钥匙,既能解决安全人员不够用的问题,也能降低数字化转型的安全保证的成本。

(五)实网攻防演习带来的市场机会与热点

1. 网络空间资源测绘/数字资产发现

公安部网安局推行的“挂图做战”,要以网络空间资源测绘为基础,通过探测、采集、分析和处理,发现识别网络空间设施、服务和资源,基于地理信息和逻辑关系进行图形绘制,直观展现网络空间资产、属性、状态和安全态势等,最终形成覆盖 IPv4/IPv6、工控网络、物联网设备、云计算的网络空间地图,为社会应用、网络攻防、专业领域运作提供基础能力。

2. 欺骗防御(蜜罐)产品

欺骗防御(蜜罐)是一种传统但小众的安全防御产品,因其出色的威胁发现能力,在实网攻防演习中成为必备神器。欺骗技术面向企业网络及横向移动下的威胁检测场景,通过对企业网络结构、操作系统、应用系统、文件、容器、微服务、甚至是IoT 设备的高度仿真来增加企业 IT 设施的密度,最大限度增加被攻击者触碰的机会来诱导攻击者主动现身并陷入圈套,是大幅提升企业安全检测能力、有别于传统检测手段的一种高级检测技术。

3. 失陷模拟(BAS)

BAS 用模拟攻击的方式来检验系统中的安全设备、安全策略是否正确配置,并处在正常工作状态。2021 年,国内有数家创业公司开始开发 BAS 类产品。可以预见,这类产品在 2022 年的实网攻防演习中会得到应用。

(六)新的法律法规引发的热点

1. 隐私增强计算

数据的真正价值不仅在于拥有它,还在于它如何用于 AI 模型、增强分析和洞察能力。在数据安全与个人信息保护要求越来越高的今天,直接分享数据在很多场合已不可能,而隐私增强计算方法允许跨生态系统共享数据,在创造价值的同时保护隐私。联邦学习、多方安全计算、同态加密等方法各不相同,但都可以达到相同目的,国内有华控清交、沙海科技、富数、洞见科技、翼方健数、融数联智等公司在从事隐私增强计算方面的创业。

2. 数据安全治理

2021 年,一系列法律法规出台,凸显国家对数据安全的重视,但数据安全的保护还任重而道远,数据安全是一个复杂问题,解决方案也不会很简单,暂且以“数据安全治理”来涵盖它。

数据安全治理涉及的主要技术与产品包括:数据资产发现、数据分类分级、数据脱敏、隐私计算、数据加密、数据库审计/防护、数据防泄露、数据安全监测预警。

数据安全的关键挑战在于:业务与安全威胁/合规/风险容忍度的平衡;各行业、地区重要数据的定义和差异;业务变化后持续优化和保障的能力。

数据安全未来肯定会是网络安全行业的一条大赛道,但谁会是这个赛道上的大玩家,还需要时间来证明。

3. 密码技术

在数据安全得到充分重视的今天,密码技术在网络安全中的重要性不言而喻。《中华人民共和国密码法》自 2020 年 1 月 1 日起施行至今也已经快两年时间,但直到 2021 年底密评项目才真正开始放量。密码技术在网络安全产品中的应用门槛比较高,需要比较专业的人员,密码产品的易用性又往往比较差,还面临着 SM 算法效率比国际上的其他密码算法执行效率便低的问题。

除了传统的密码产品厂商外,现在也有创新的密码产品公司推出一些易用性更好的数据加解密产品。

四、展望未来

“十四五”规划和 2035 年纲要对数字化转型下的网络安全行业提出了新的要求,强调要加强网络安全保护,包括健全法律法规和制度标准、建立健全关键信息基础设施保护体系、加强网络安全风险评估和审查、加强网络安全基础设施建设、提升网络安全威胁应急响应能力、加强网络安全关键技术研发、加强网络安全宣传教育和人才培养等。对数据安全、数字产业安全也提出了明确要求,这些都是网络安全产业的利好消息,今后 5 到 10 年的稳定增长是可以预期的。

从产业自身看,我国网络安全产业创业创新活跃,风险投资活跃。举办了 5 年的实网攻防演习给防御效果型产品带来了一定市场,让创新创业公司更容易生存下来,算是一个创业的黄金期。但创业企业依然面临着网络安全产业高度碎片化的现实,要想完成点、线、面、体的跨越式发展依旧困难重重,对创业的困难依然要有充分的认识。因此,要把握好发展的节奏,依靠硬核的技术,紧跟 IT 基础架构演进的脚步,贴紧用户的业务场景,开发好用、管用的产品,提供高性价比的服务依然是取胜的王道。

(本文刊登于《中国信息安全》杂志2021年第12期)