企業(yè)安全威脅指南

2021最新版前言Safe在此份?企業(yè)平安統(tǒng)一應(yīng)對(duì)指南?中會(huì)顯示：2021年網(wǎng)絡(luò)平安行業(yè)開展趨勢(shì)、主要平安威脅、企業(yè)平安應(yīng)對(duì)流程以及國內(nèi)外推薦平安產(chǎn)品名錄。研究背景近年來，網(wǎng)絡(luò)平安的國際形勢(shì)日益嚴(yán)峻，不斷增長的平安威脅給企業(yè)和個(gè)人都帶來巨大的挑戰(zhàn)。而了解2021年平安行業(yè)的威脅動(dòng)態(tài)和企業(yè)能夠?qū)嶋H采取的應(yīng)對(duì)方案，有助于幫助企業(yè)做出許多重要決策。2021年網(wǎng)絡(luò)平安在政策法律因素、IT技術(shù)開展、網(wǎng)絡(luò)平安事件及黑色產(chǎn)業(yè)多重因素影響下產(chǎn)生了變化。網(wǎng)絡(luò)平安逐漸步入智能時(shí)代，而傳統(tǒng)平安的邊界日漸模糊，整體趨勢(shì)呈現(xiàn)增長和多樣化的態(tài)勢(shì)。了解當(dāng)前的威脅形勢(shì)，熟悉企業(yè)平安應(yīng)對(duì)流程并選擇適宜的平安產(chǎn)品變得尤為重要。我們希望此份2021年度企業(yè)平安威脅統(tǒng)一應(yīng)對(duì)指南能夠幫助您了解當(dāng)前形勢(shì)，并通過下文內(nèi)容向您提供更多有關(guān)信息平安業(yè)務(wù)決策的信息。如需了解更多信息，請(qǐng)?jiān)L問freebuf/paper查看過去發(fā)布的平安報(bào)告。傳統(tǒng)安防流程規(guī)劃及針對(duì)新威脅的管理檢測(cè)和響應(yīng)同樣重要，到2021年，預(yù)測(cè)將有15%的中大型企業(yè)將使用MDR，而今天卻不到1%。研究主要發(fā)現(xiàn)FreeBuf是國內(nèi)關(guān)注度最高的互聯(lián)網(wǎng)平安媒體平臺(tái)，同時(shí)也是信息愛好者們交流與分享平安技術(shù)的最正確社區(qū)。本報(bào)告為FreeBuf研究院于2021年度Q3撰寫的研究報(bào)告，主要針對(duì)國內(nèi)外企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀，梳理出了平安行業(yè)態(tài)勢(shì)、開展前景、平安威脅、應(yīng)對(duì)流程以及平安產(chǎn)品推薦名錄為一體的?2021企業(yè)平安威脅統(tǒng)一應(yīng)對(duì)指南?。簡(jiǎn)而言之，網(wǎng)絡(luò)平安作為企業(yè)業(yè)務(wù)的重要根底設(shè)施之一，如今得到了越來越多企業(yè)的重視。了解年度行業(yè)動(dòng)態(tài)、把握平安威脅、應(yīng)用平安應(yīng)對(duì)流程，掌握這三個(gè)要素，是企業(yè)保障業(yè)務(wù)平安和贏得用戶信任及未來穩(wěn)定增長的關(guān)鍵。信息平安智能時(shí)代悄然來臨，到2021年，基于深度學(xué)習(xí)的智能機(jī)器將進(jìn)行10％的滲透測(cè)試，而在2021年這一比例為0%。相比較為陳舊的IDS，新興技術(shù)有望更快地走入我們的視線，到2021年，85%的大型企業(yè)都會(huì)使用CASB技術(shù)增強(qiáng)企業(yè)的平安檢測(cè)能力。政策因素、IT技術(shù)革新和企業(yè)平安事件因素將持續(xù)驅(qū)動(dòng)信息平安產(chǎn)業(yè)持續(xù)開展，預(yù)計(jì)未來三年內(nèi)企業(yè)的平安支出仍會(huì)不斷擴(kuò)大。企業(yè)的業(yè)務(wù)需求、應(yīng)用復(fù)雜度讓傳統(tǒng)的邊界不再鞏固，在企業(yè)內(nèi)部生產(chǎn)網(wǎng)絡(luò)、測(cè)試環(huán)境和其他情況中，他們?cè)馐芡{和攻擊的可能也在日益增長。2目錄

第一章

概述

3政策法律驅(qū)動(dòng)網(wǎng)絡(luò)平安行業(yè)開展IT技術(shù)革新注入平安行業(yè)創(chuàng)新動(dòng)力企業(yè)平安事件頻發(fā)聚焦社會(huì)關(guān)注信息平安的智能時(shí)代正在悄然來臨平安威脅呈現(xiàn)多樣化增長趨勢(shì) 第二章企業(yè)平安威脅 企業(yè)在線業(yè)務(wù)與運(yùn)維層威脅

企業(yè)根底設(shè)施平安與訪問控制威脅企業(yè)內(nèi)部平安威脅其他威脅

第三章企業(yè)平安應(yīng)對(duì)流程 預(yù)防環(huán)節(jié)

檢測(cè)環(huán)節(jié)

保護(hù)環(huán)節(jié)

響應(yīng)環(huán)節(jié)

持續(xù)改進(jìn) 第四章企業(yè)平安產(chǎn)品推薦名錄研究背景介紹

入選企業(yè)融資情況

各大類得分整體情況

細(xì)分分類下平安產(chǎn)品推薦名錄

第四章

附錄

0405060707070810111113141415161919202429傳統(tǒng)平安邊界已經(jīng)日漸模糊第一章

概述2021年企業(yè)平安開展?fàn)顩r一、政策法律驅(qū)動(dòng)網(wǎng)絡(luò)平安行業(yè)開展國內(nèi)層面上，2021年6月1日起?網(wǎng)絡(luò)平安法?正式施行。第十二屆全國人大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過?中華人民共和國網(wǎng)絡(luò)平安法?，習(xí)近平主席簽署第五十三號(hào)主席令，予以正式公布。?網(wǎng)絡(luò)平安法?包括總那么、網(wǎng)絡(luò)平安支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行平安、一般規(guī)定、關(guān)鍵信息根底設(shè)施的運(yùn)行平安、監(jiān)測(cè)預(yù)警與應(yīng)急處置、法律責(zé)任、附那么等七大章，自2021年6月1日起施行。?網(wǎng)絡(luò)平安法?生效以來，與其相關(guān)的執(zhí)法行為逐漸走向常態(tài)。作為我國第一部全面標(biāo)準(zhǔn)網(wǎng)絡(luò)空間安全管理的根底性法律，它的施行標(biāo)志著我國網(wǎng)絡(luò)平安從此有法可依。其次，工信部出臺(tái)的?信息通信網(wǎng)絡(luò)與信息平安規(guī)劃(2021-2021〕?也于今年正式發(fā)布。?規(guī)劃?圍繞貫徹落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)平安和信息化工作的系重要講4當(dāng)前信息技術(shù)持續(xù)高速開展的大背景下，互聯(lián)網(wǎng)對(duì)全球政治、經(jīng)濟(jì)、社會(huì)和文化的影響愈發(fā)深遠(yuǎn)，網(wǎng)絡(luò)和信息系統(tǒng)已經(jīng)成為關(guān)鍵根底設(shè)施乃至整個(gè)經(jīng)濟(jì)社會(huì)的神經(jīng)中樞，圍繞信息獲取、利用和控制的國際競(jìng)爭(zhēng)日趨劇烈，保障信息平安成為世界范圍的重要議題。下面就從政策法律、技術(shù)革新、平安事件和地下產(chǎn)業(yè)等方面，概括一下2021年信息平安行業(yè)中的開展現(xiàn)狀。話精神，立足信息通信行業(yè)網(wǎng)絡(luò)與信息平安管理職責(zé)，緊扣“十三五〞期間行業(yè)網(wǎng)絡(luò)與信息平安工作面臨的重大問題，對(duì)“十三五〞期間行業(yè)網(wǎng)絡(luò)與信息平安工作進(jìn)行統(tǒng)一謀劃、設(shè)計(jì)和部署，是“十三五〞時(shí)期信息通信行業(yè)網(wǎng)絡(luò)與信息平安工作的指導(dǎo)性文件。而在國際層面，歐盟成員國將在兩年的時(shí)間內(nèi)將?一般數(shù)據(jù)保護(hù)條例?中規(guī)定的條款納入本國法律，該條例將于2021年正式生效。?條例?加強(qiáng)了對(duì)歐盟所有企業(yè)及個(gè)人、物聯(lián)網(wǎng)的隱私保護(hù)，并簡(jiǎn)化了數(shù)據(jù)保護(hù)的管理流程。?條例?將替代1995年的歐盟提出的?數(shù)據(jù)保護(hù)指令?，在政策指向上從原來的只提供了指導(dǎo)意見而不執(zhí)行的轉(zhuǎn)變成了具體的規(guī)那么與處分相結(jié)合的做法。?一般數(shù)據(jù)保護(hù)條例?明確規(guī)定，任何機(jī)構(gòu)如果收集、傳輸、保留或處理涉及到歐盟任何人的個(gè)人信息，其中可能包括姓名、電郵地址、計(jì)算機(jī)IP地址、照片、社交媒體帖子、醫(yī)療信息或財(cái)務(wù)信息的話，就必須遵守GDPR。該法規(guī)不會(huì)考慮機(jī)構(gòu)的地理位置，或者個(gè)人身份信息是否關(guān)系到個(gè)人隱私、專業(yè)水平或公共生活。GDPR的處罰手段會(huì)相當(dāng)嚴(yán)厲，不遵守?一般數(shù)據(jù)保護(hù)條例?的后果就將面臨嚴(yán)厲的制裁及巨額罰款。由此可以看到，2021年國內(nèi)外一系列法律法規(guī)的出臺(tái)，標(biāo)志著網(wǎng)絡(luò)平安在國家層面上得到的重視程度越來越高，企業(yè)及個(gè)人的平安意識(shí)也必將隨之水漲船高，世界范圍內(nèi)的信息平安行業(yè)都將迎來更積極、更主動(dòng)、以及更大的市場(chǎng)和舞臺(tái)。二、IT技術(shù)革新注入平安行業(yè)創(chuàng)新動(dòng)力全球平安市場(chǎng)增長情況全球平安支出額(10億美元)2021202120212021202172.275.6380.7586.4932021年出現(xiàn)的IT行業(yè)技術(shù)革命包括：基于云和傳感器的物聯(lián)網(wǎng)技術(shù)進(jìn)一步普及，基于大數(shù)據(jù)分析、計(jì)算機(jī)視覺和深度學(xué)習(xí)的智能化和自動(dòng)化技術(shù)也日漸成熟，AI正在逐步從學(xué)界研究走進(jìn)行業(yè)，平安行業(yè)也越來越多地涉足此類技術(shù)的應(yīng)用。5據(jù)德勤預(yù)計(jì)，2021-2021年，針對(duì)人工智能的投資將會(huì)到達(dá)313億美元?；诤Ａ繑?shù)據(jù)進(jìn)行復(fù)雜分析，提高企業(yè)產(chǎn)出績(jī)效，技術(shù)的進(jìn)步能夠讓工作自動(dòng)化。從機(jī)器學(xué)習(xí)到深度學(xué)習(xí)，人工智能的開展目前仍處于淺智能階段，但在特定領(lǐng)域的應(yīng)用已經(jīng)到達(dá)甚至超過人類的水準(zhǔn)。有觀點(diǎn)表示，未來的人工智還可能成為網(wǎng)絡(luò)平安的救世主。據(jù)Gartner預(yù)測(cè)，到2021年，基于深度學(xué)習(xí)的智能機(jī)器將進(jìn)行10％的滲透測(cè)試，而在2021年這一比例為0%。另一方面，也有人提出警告：AI可能可以助于保護(hù)網(wǎng)絡(luò)平安，但絕非銀彈。如果機(jī)器學(xué)習(xí)如果能夠?qū)W會(huì)檢測(cè)惡意程序，那么它也可以被黑客用來躲避檢測(cè)。其次AI在面對(duì)攻擊時(shí)的表現(xiàn)依舊不穩(wěn)定，在數(shù)據(jù)處理上的局部階段也還有很多人工依賴。物聯(lián)網(wǎng)?物聯(lián)網(wǎng)〔IoT〕提供了計(jì)算機(jī)感知和控制物理世界的接口和手段，它們負(fù)責(zé)采集數(shù)據(jù)、記憶、分析、傳送數(shù)據(jù)、交互、控制。從2021年下半年到今年，可以看到全球物聯(lián)網(wǎng)的時(shí)機(jī)窗口已經(jīng)翻開，物聯(lián)網(wǎng)根底設(shè)施、物聯(lián)網(wǎng)企業(yè)數(shù)據(jù)、物聯(lián)網(wǎng)應(yīng)用等技術(shù)開展趨勢(shì)正在加速。專注于物聯(lián)網(wǎng)通訊開展的研究單位Ovum于2021年全球物聯(lián)網(wǎng)會(huì)議〔InternetofThingsWorld2021〕上提出，低功率廣域〔LowPower,WideArea，LPWA〕網(wǎng)絡(luò)、更多元的分歧需求、信息平安、大數(shù)據(jù)和機(jī)器學(xué)習(xí)、物聯(lián)網(wǎng)即效勞等新技術(shù)和新需求，將是2021年物聯(lián)網(wǎng)產(chǎn)業(yè)的重要開展趨勢(shì)。新的構(gòu)架平臺(tái)?2021年，新的架構(gòu)平臺(tái)將以“云第一〞為指導(dǎo)思想，構(gòu)建更加靈活的標(biāo)準(zhǔn)化體系結(jié)構(gòu)模型，總體上更高效、本錢更低，可以顯著提升轉(zhuǎn)化率。新架構(gòu)的開展趨勢(shì)是更多地采用寬容的聯(lián)動(dòng)體系，基于核心程序聯(lián)動(dòng)各個(gè)應(yīng)用層，開展分布式工程。其開源性同樣重要，未來的企業(yè)效勞如果僅僅依靠自己的員工，可能永遠(yuǎn)不會(huì)解決所有客戶的需求。此外，涉及體系框架時(shí)應(yīng)考慮可能出現(xiàn)的錯(cuò)誤，注入系統(tǒng)組件，提高容錯(cuò)性。同時(shí)，云計(jì)算提供了強(qiáng)大的大規(guī)模并行計(jì)算能力，也使得數(shù)據(jù)處理能力前所未有得強(qiáng)大。根據(jù)Gartner預(yù)測(cè)，2021年基于云的平安效勞市場(chǎng)規(guī)模將到達(dá)41億美金，云平安的開展將受益于云計(jì)算市場(chǎng)的快速增長。當(dāng)然，伴隨著機(jī)遇而來總是更多的挑戰(zhàn)。多租戶環(huán)境下的信息平安、虛擬化和私有云平安安全以及SaaS可視化和控制，將成為企業(yè)云平安建設(shè)之路上面臨的幾大重點(diǎn)問題。三、企業(yè)平安事件頻發(fā)聚焦社會(huì)關(guān)注2021年出現(xiàn)多起席卷全球的勒索病毒事件和多家著名企業(yè)大數(shù)量級(jí)別的數(shù)據(jù)泄露事件，網(wǎng)絡(luò)犯罪者、攻擊者和地下產(chǎn)業(yè)紛紛浮出水面，網(wǎng)絡(luò)平安事件聚焦社會(huì)各界的關(guān)注。勒索軟件席卷全球：5月12日晚，Wannacr

y蠕蟲勒索

軟件襲擊全球網(wǎng)絡(luò)，對(duì)計(jì)算機(jī)內(nèi)的文檔、程序?qū)嵤└邚?qiáng)

度加密,并向用戶索取以比特幣支付的贖金。100多個(gè)

國家的數(shù)十萬名用戶中招，被認(rèn)為是迄今為止最大的

群體勒索事件。Wannacry利用被黑客泄露的永恒之藍(lán)漏洞進(jìn)行攻擊，然而微軟其實(shí)早在今年三月就已經(jīng)發(fā)

布了MS17-010漏洞修復(fù)補(bǔ)丁，但大量用戶并沒有及時(shí)

進(jìn)行更新，最終遭到攻擊。6月27日晚，烏克蘭等多國遭遇NotPetya勒索病毒襲

擊，政府、銀行等重要系統(tǒng)受攻擊影響。這次黑客使用

了NotPetya勒索病毒的變種，依舊利用永恒之藍(lán)漏洞進(jìn)行加密勒索。但更為激進(jìn)的NotPetya直接加密系統(tǒng)

的MBR導(dǎo)致機(jī)器無法啟動(dòng)，斷絕恢復(fù)的可能。企業(yè)數(shù)據(jù)泄漏事件頻發(fā)：隨后的下半年里，企業(yè)數(shù)據(jù)泄漏事件那么開始頻頻發(fā)生。頂級(jí)防務(wù)公司BoozAllenHamilton泄露了60000份文件，包括員工的平安憑證和美國政府系統(tǒng)中的密碼；美國電信巨頭Verizon先后發(fā)生兩起數(shù)據(jù)泄漏事件；Omaha投票選舉公司的軟件系統(tǒng)〔ES&S〕泄漏180萬芝加哥選民的個(gè)人信息；華爾街日?qǐng)?bào)的母公司道瓊斯泄露了220萬客戶的個(gè)人資料；四大中的德勤和埃森哲也先后曝出數(shù)據(jù)泄漏問題。而近期最知名數(shù)據(jù)泄漏事件當(dāng)屬美國征信機(jī)構(gòu)Equifax泄露事件。同樣在2021年，國內(nèi)也發(fā)生了多起惡性數(shù)據(jù)泄露事件。3月7日，公安部網(wǎng)站宣布破獲一起特大竊取出售公民個(gè)人信息案，犯罪分子入侵多家國內(nèi)互聯(lián)網(wǎng)公司效勞器，竊取公民個(gè)人信息50多億條。隨后網(wǎng)上便出現(xiàn)了“京東內(nèi)鬼泄露50億條公民信息〞的傳聞，京東發(fā)現(xiàn)后向公安機(jī)關(guān)提供線索協(xié)助破案。此后，58同城、優(yōu)酷等網(wǎng)站也紛紛中招，大量用戶數(shù)據(jù)信息被泄露。規(guī)?；?、產(chǎn)業(yè)化，暗網(wǎng)黑產(chǎn)暗流涌動(dòng)：除此之外，2021年黑色產(chǎn)業(yè)也逐漸形成完整且興旺的產(chǎn)業(yè)鏈。暗網(wǎng)勒索軟件的定制和交易、DDoS攻擊業(yè)務(wù)都浮出水面，黑產(chǎn)核心的變現(xiàn)促使產(chǎn)業(yè)鏈中出現(xiàn)了流量牽引、分發(fā)等分工。2021年10月CarbonBlack研究報(bào)告顯示，暗網(wǎng)市場(chǎng)上的勒索軟件軟件產(chǎn)品已多達(dá)45000種，在超過6300個(gè)暗網(wǎng)市場(chǎng)上進(jìn)行銷售。僅勒索軟件定制及銷售產(chǎn)值就從2021年的249287美元增長到6237248美元，增長率到達(dá)驚人的2502%。立足2021，眺望企業(yè)平安未來該公司自5月下旬至7月起遭受黑客攻擊后泄漏了

1.45

億美國公民個(gè)人敏感信息，其中包括了社會(huì)保障號(hào)碼，出生日期、地址及局部駕照信息。此外，被泄露的還有20.9萬美國消費(fèi)者的信用卡號(hào)，局部英國和加拿大居民也受到牽連。6一、信息平安的智能時(shí)代正在悄然來臨三、平安威脅呈現(xiàn)多樣化增長趨勢(shì)二、傳統(tǒng)平安邊界已經(jīng)日漸模糊隨著信息平安行業(yè)中攻防技術(shù)的不斷升級(jí)，以往相對(duì)完善的平安產(chǎn)品與體系早已不再堅(jiān)不可摧，傳統(tǒng)平安產(chǎn)品誤報(bào)率高、維護(hù)本錢高、擴(kuò)展性不強(qiáng)、攻防不對(duì)等等問題日益顯露。平安市場(chǎng)上的需求水漲船高，企業(yè)越來越不滿足于“夠用〞的平安，而是提出更高的要求的防護(hù)目標(biāo)。平安攻防技術(shù)升級(jí)，世界范圍內(nèi)越來越多的平安公司開始將人工智能、機(jī)器學(xué)習(xí)、自然語言處理等技術(shù)運(yùn)用到平安產(chǎn)品中，加強(qiáng)自己的平安防御能力。深度學(xué)習(xí)技術(shù)分析用戶行為區(qū)分普通行為和異常行為，對(duì)涉及企業(yè)業(yè)務(wù)的數(shù)據(jù)操作進(jìn)行歸類和機(jī)器

分析

，實(shí)現(xiàn)更實(shí)時(shí)高效的響應(yīng)

、降低誤報(bào)率

。信息化時(shí)代傳統(tǒng)行業(yè)的數(shù)據(jù)化、在線化、移動(dòng)化讓企業(yè)、人和各項(xiàng)效勞都與網(wǎng)絡(luò)深層地綁定，過去相對(duì)獨(dú)立、分散的網(wǎng)絡(luò)已經(jīng)融合為深度關(guān)聯(lián)、相互依賴的整體。企業(yè)在不斷連接和網(wǎng)絡(luò)化的進(jìn)程中獲得了更好的產(chǎn)出效果，卻也讓傳統(tǒng)的網(wǎng)絡(luò)邊界日益模糊。企業(yè)的業(yè)務(wù)需求、應(yīng)用復(fù)雜度讓傳統(tǒng)的邊界不再鞏固，在企業(yè)內(nèi)部生產(chǎn)網(wǎng)絡(luò)、測(cè)試環(huán)境和其他情況中，他們?cè)馐芡{和攻擊的可能也在日益增長。7其次，企業(yè)員工的個(gè)人設(shè)備，尤其是移動(dòng)設(shè)備的普及，也使得企業(yè)企業(yè)平安防護(hù)的邊界變得模糊。BYOD〔員工自帶設(shè)備辦公〕的大規(guī)模應(yīng)用打破了企業(yè)內(nèi)外網(wǎng)的隔斷，移動(dòng)化的屬性讓企業(yè)難以對(duì)這些設(shè)備進(jìn)行管理和限制，多數(shù)企業(yè)都難以防護(hù)這些個(gè)人設(shè)備上的數(shù)據(jù)交換行為。APT攻擊常態(tài)化?大數(shù)據(jù)時(shí)代背景下，用戶信息遍

布網(wǎng)絡(luò)，為黑產(chǎn)社工庫提供了充分的養(yǎng)料

。以往分散式攻擊變得越來越?jīng)]有效率，攻擊者更加傾向施以專

注、專業(yè)、持續(xù)的APT攻擊，以期獲取大量核心的機(jī)密

數(shù)據(jù)，從而造成巨大破壞，取得最大利益。攻擊門檻日益降低?Wannacry勒索軟件的源頭，正是NSA永恒之藍(lán)漏洞泄露導(dǎo)致的，其后又有notpetya等攻擊事件接連發(fā)生。其實(shí)Wannacr

y勒索軟件本身的技術(shù)含量并不高，但假設(shè)今后有更多類似永恒之藍(lán)的“武器化〞漏洞被公開售賣甚至開源的話，無疑會(huì)導(dǎo)致黑產(chǎn)進(jìn)攻攻擊的門檻進(jìn)一步降低。物聯(lián)網(wǎng)〔IoT〕設(shè)備成為薄弱環(huán)節(jié)?近年來IOT設(shè)備規(guī)模增速日益提高，預(yù)計(jì)到2021年將增長到200億以上的數(shù)量級(jí)。IOT設(shè)備的代碼大多較為脆弱，大多由不同的供給商提供，且平安策略普遍不強(qiáng)，這將成為一個(gè)巨大的攻擊面。DDoS攻擊加劇?2021年以來，DDoS攻擊總體上呈現(xiàn)出攻擊次數(shù)下降、單次攻擊峰值上升的趨勢(shì)，且中國依然是DDoS攻擊源最多的國家，發(fā)起攻擊次數(shù)占總量的46.6%，其次是美國和俄羅斯，分別占3.0%和2.0%。關(guān)鍵根底設(shè)施平安威脅?越來越多的國家正在構(gòu)建智慧城市，電力系統(tǒng)、應(yīng)急效勞、交通控制等關(guān)鍵根底設(shè)施將形成巨大的攻擊面。這些集成系統(tǒng)受到大規(guī)模破壞的可能性很高，是不法分子眼中極具價(jià)值的攻擊目標(biāo)。第二章企業(yè)平安威脅從何著手應(yīng)對(duì)各類層出不窮的平安威脅？一、企業(yè)在線業(yè)務(wù)與運(yùn)維層威脅這一層的分類中包含網(wǎng)站平安、ERP、CMS、身份認(rèn)證&授權(quán)等。企業(yè)的效勞器往往是黑客從外網(wǎng)入侵到企業(yè)內(nèi)網(wǎng)的第一個(gè)環(huán)節(jié)，也是平安問題最多的一個(gè)環(huán)節(jié)，因此其中的平安問題不容無視。從Web應(yīng)用層面上講，常見的網(wǎng)站漏洞包括：注入、失效的身份認(rèn)證和會(huì)話管理、跨站腳本〔XSS〕、直接引用不平安的對(duì)象、平安配置錯(cuò)誤、敏感信息泄漏、跨站請(qǐng)求偽造〔CSRF〕、使用含有漏洞的組件、未驗(yàn)證的重定向和轉(zhuǎn)發(fā)等。第一層、企業(yè)在線業(yè)務(wù)與運(yùn)維層平安威脅，如包含網(wǎng)站平安、ERP、CMS、身份認(rèn)證與授權(quán)等等位。網(wǎng)站平安ERP

CMS

授權(quán)

身份認(rèn)證

郵件效勞器VPN效勞器防火墻

DNS效勞器域控

IDPS釣魚

惡意軟件

移動(dòng)設(shè)備平安防病毒

DLP

企業(yè)在線業(yè)

務(wù)&運(yùn)維層

企業(yè)內(nèi)部平安2021年企業(yè)面對(duì)的平安威脅層出不窮，而各種威脅手段又不斷變化。一、從威脅類型上來看，大量過去陳舊的攻擊方式重新受到了青睞，如Web應(yīng)用攻擊、釣魚攻擊方式全球的各類攻擊事件中重獲新生；二、從技術(shù)上，各類平安威脅又不斷推陳出新，比方利用大量物聯(lián)網(wǎng)設(shè)備進(jìn)行大規(guī)模DDoS攻擊的Mirai病毒、利用瀏覽器網(wǎng)址字符顯示缺陷進(jìn)行釣魚攻擊的Punycode攻擊，這些新的技術(shù)對(duì)企業(yè)平安帶來的新的挑戰(zhàn)。面對(duì)各類平安威脅，企業(yè)應(yīng)該從何著手應(yīng)對(duì)？首先，企業(yè)要做的是知曉自己面臨哪些平安，之后在此根底上尋找相應(yīng)的解決方案防御、應(yīng)對(duì)威脅。為此我們整理了各類企業(yè)平安威脅，對(duì)這些威脅構(gòu)建三層分類的模型，幫助企業(yè)流程化地建立防御。具體來說，這個(gè)三層模型包括了如下內(nèi)容：8第二層、企業(yè)根底設(shè)施平安與訪問控制層平安威脅，如涉及郵件效勞器、DNS效勞器、VPN效勞器、域控、防火墻、IDPS層面的平安威脅。第三層、企業(yè)內(nèi)部平安，如包含惡意互聯(lián)網(wǎng)內(nèi)容〔常見的釣魚、惡意軟件〕、終端平安〔防病毒、DLP〕、移動(dòng)設(shè)備平安等威脅內(nèi)容。企業(yè)根底設(shè)施平安&訪問控制層盡管網(wǎng)站平安問題老生常談，并且近幾年企業(yè)的平安意識(shí)也有提升，但Web應(yīng)用的攻擊從整體上仍然不斷上升。2021年8月，知名內(nèi)容分發(fā)網(wǎng)絡(luò)〔CDN〕和云效勞提供商AkamaiTechnologies發(fā)布的?2021Q2互聯(lián)網(wǎng)安全現(xiàn)狀報(bào)告?中指出，2021Q2的Web應(yīng)用攻擊比上一季度增加了5%，比去年增加了28%。除了Web應(yīng)用層面，各項(xiàng)其他平安威脅也有可能造成效勞器出現(xiàn)平安問題，常見的威脅包括端口訪問、主機(jī)漏洞、配置策略缺陷、補(bǔ)丁策略缺陷等。事實(shí)上步入2021年之后，隨著企業(yè)平安意識(shí)的不斷增高，無論是Web應(yīng)用層面的漏洞還是端口訪問等漏洞都已顯著下降。攻擊者已經(jīng)很難像以前一樣以較低的本錢尋找到漏洞，但與此同時(shí)DDoS作為一種較為古老的網(wǎng)站攻擊手段卻延續(xù)至今。的目的。Mirai的主要感染對(duì)象是可訪問網(wǎng)絡(luò)的消費(fèi)級(jí)電子設(shè)備，例如網(wǎng)絡(luò)監(jiān)控?cái)z像機(jī)和家庭路由器等。Mirai構(gòu)建的僵尸網(wǎng)絡(luò)已經(jīng)參與了幾次影響廣泛的大型分布式拒絕效勞攻擊〔DDoS攻擊〕。通過IoT設(shè)備組建僵尸網(wǎng)絡(luò)實(shí)施DDoS攻擊，這也為攻擊者提供了新的思路。2021年秋季，爆發(fā)了利用大量物聯(lián)網(wǎng)設(shè)備進(jìn)行DDoS的Mirai事件，造成了巨大的影響。Mirai是一款惡意軟件，它可以使運(yùn)行Linux的計(jì)算系統(tǒng)成為被遠(yuǎn)程操控的“僵尸〞，以到達(dá)通過僵尸網(wǎng)絡(luò)進(jìn)行大規(guī)模網(wǎng)絡(luò)攻擊AkamaiTechnologies發(fā)布的?2021Q2互聯(lián)網(wǎng)平安現(xiàn)狀報(bào)告?中已經(jīng)指出，Mirai采用Pay-for-Play模式，利用其大規(guī)模的僵尸網(wǎng)絡(luò)提供收費(fèi)的DDoS效勞，并且Mirai促成了DDoS攻擊走向商業(yè)化。除了公司對(duì)外的網(wǎng)站平安，企業(yè)內(nèi)部的網(wǎng)絡(luò)也是需要關(guān)注的業(yè)務(wù)，其中最為典型的就是企業(yè)的ERP系統(tǒng)。ERP系統(tǒng)是企業(yè)資源方案(EnterpriseResourcePlanning)的簡(jiǎn)稱，是指建立在信息技術(shù)根底上，集信息技術(shù)與先進(jìn)管理思想于一身，以系統(tǒng)化的管理思想，為企業(yè)員工及決策層提供決策手段的管理平臺(tái)。ERP系統(tǒng)是很多大企業(yè)的核心系統(tǒng)，而近年來，針對(duì)ERP系統(tǒng)的開掘的漏洞也越來越多。由于ERP的實(shí)現(xiàn)需要大量軟件，而這些軟件中可能不可防止地存在著一些漏洞，這些漏洞使得攻擊ERP變得更加容易。而ERP系統(tǒng)中存在的大量公司機(jī)密信息，也給了攻擊者們充分的動(dòng)機(jī)。根據(jù)Onapsis的報(bào)告，全球95%的SAP企業(yè)管理系統(tǒng)存在平安漏洞，可能導(dǎo)致嚴(yán)重的數(shù)據(jù)泄露。ERP系統(tǒng)本身的漏洞是一個(gè)方面，而員工的平安意識(shí)2021年，OWASPTop10威脅迎來了一次更新，在此次更新中注入漏洞仍然位居Top10威脅之首，而XSS的威脅程度從A3降到了A7。敏感信息泄露、平安配置錯(cuò)誤、失效的訪問控制等威脅均有提升，值得企業(yè)重視。與此同時(shí)，榜單中還出現(xiàn)了一些新的平安威脅，包括XXE漏洞(A4:2021,XMLExternalEntityattack)、針對(duì)Java平臺(tái)的不安全反序列化漏洞(A8:2021,InsecureDeserialization)以及記錄和監(jiān)控缺乏風(fēng)險(xiǎn)(A10:2021,Insu?cientLogging&Monitoring)等。這些新興的平安威脅也值得企業(yè)重點(diǎn)關(guān)注。9二、企業(yè)根底設(shè)施平安與訪問控制威脅又是另一方面。許多員工使用的弱口令、默認(rèn)密碼等，給了黑客可乘之機(jī)。因此，身份認(rèn)證和授權(quán)也是企業(yè)需要面對(duì)的問題。要想杜絕其中的平安風(fēng)險(xiǎn)，企業(yè)需要多角度地防護(hù)。企業(yè)自身的網(wǎng)站需要防止身份盜用，以及越權(quán)、提權(quán)等平安問題。要防止盜用，首先應(yīng)該解決的是一系列的權(quán)限漏洞，包括弱口令、默認(rèn)密碼、訪問配置缺陷等。2021年5月開始，美國大量能源企業(yè)遭到攻擊，攻擊波及到美國至少十家電力公司，其中還包括堪薩斯州的WolfCreek核電站。而相關(guān)的平安研究那么揭示出黑客將目標(biāo)對(duì)準(zhǔn)工控系統(tǒng)，并且在過去攻擊的經(jīng)驗(yàn)上，巧妙地使用“模版注入〞的方式隱匿惡意文檔，實(shí)施網(wǎng)絡(luò)釣魚，并獲取相關(guān)能源企業(yè)的登錄信息，由于黑客攻擊時(shí)的隱蔽性，給能源企業(yè)帶來的影響不可估量。除此之外，今年釣魚攻擊中還涌現(xiàn)了一些新型的手段，

例如Punycode釣魚攻擊，這種攻擊方式幾乎無法檢

測(cè)，其原理是，許多Unicode字符，代表的是國際化的

域名中的希臘、斯拉夫、亞美尼亞字母，看起來跟拉丁

字母一樣，但是計(jì)算機(jī)卻會(huì)把他們處理成完全不一樣網(wǎng)站的網(wǎng)址。攻擊者只需要將其中的一個(gè)字符或者多

個(gè)字符用Unicode字符代替就可以用來釣魚。另一方面，心存歹念的內(nèi)部員工也可能泄露機(jī)密信息，如果缺少平安的身份認(rèn)證和授權(quán)，黑客/惡意員工就有時(shí)機(jī)通過普通的身份獲取到更高級(jí)別的敏感數(shù)據(jù)。文全稱SingleSignOn，單點(diǎn)登錄。SSO是在多個(gè)應(yīng)用系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng)用系統(tǒng)。它包括可以將這次主要的登錄映射到其他應(yīng)用中用于同一個(gè)用戶的登錄的機(jī)制。它是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。如今，眾多企業(yè)所采取的方案是使用SSO方案。SSO英企業(yè)的根底設(shè)施能夠保證企業(yè)的各項(xiàng)業(yè)務(wù)能夠正常工作，常見的根底設(shè)施包括郵件效勞器、DNS效勞器、VPN效勞器。這些根底設(shè)施的平安性往往會(huì)影響到企業(yè)重要業(yè)務(wù)，因此不容無視。郵件效勞器把控著企業(yè)對(duì)外交流合作的命脈，而且其中往往包含大量機(jī)密信息。攻擊者攻擊郵件效勞器的主要方式包括：郵箱賬號(hào)爆破、DoS攻擊、系統(tǒng)配置漏洞。針對(duì)郵箱賬號(hào)的爆破，攻擊者可以使用采集到的郵箱地址和弱口令密碼，在郵箱效勞器上反復(fù)嘗試登錄，從而盜取用戶郵箱賬號(hào)。而DoS攻擊的本錢那么更低，只需要找到相關(guān)的郵箱效勞器就可以利用大量流量進(jìn)行攻擊，最終導(dǎo)致郵箱效勞器不可用，進(jìn)而使得企業(yè)無法進(jìn)行對(duì)外溝通；第三種攻擊手法是使用系統(tǒng)配置的漏洞，比方很多系統(tǒng)在交付給客戶時(shí)都設(shè)置了易于使用的默認(rèn)配置，或者配置了空的或默認(rèn)的根/管企業(yè)內(nèi)網(wǎng)中同樣也需要建設(shè)完善的身份認(rèn)證和授權(quán)機(jī)制，因?yàn)橥ㄟ^釣魚、入侵等各種攻擊，黑客同樣可能攻進(jìn)內(nèi)網(wǎng)。我們觀察到，時(shí)至今日，釣魚這種攻擊方式仍然在2021年被FancyBear等黑客組織利用，讓這種看似古老的攻擊方式仍然在被廣泛使用。10三、企業(yè)內(nèi)部平安威脅四、框架之外的其他威脅除了上面提到的這些威脅，企業(yè)還需要注意框架以外

的威脅：理員密碼，這就讓攻擊者有時(shí)機(jī)進(jìn)行入侵。而針對(duì)DNS效勞器的攻擊也是較為常見的平安威脅。常見的一種類型是DNS域傳送漏洞。如果企業(yè)DNS服務(wù)器配置不當(dāng)，可能導(dǎo)致匿名用戶獲取某個(gè)域的所有記錄。帶來的風(fēng)險(xiǎn)就是，攻擊者可以輕易知曉企業(yè)擁有的所有域名，其中也包含一些原本沒有暴露在公網(wǎng)環(huán)境中的域名，倘假設(shè)這些域名指向的效勞器存在漏洞，攻擊者就有可能進(jìn)行入侵。第二種攻擊方式在近幾年的互聯(lián)網(wǎng)世界比較常見，即通過入侵域名管理商劫持域名，指向其他效勞器。這種攻擊方式很多時(shí)候針對(duì)的是那些網(wǎng)站安全性較好的公司，攻擊者只得旁敲側(cè)擊，嘗試攻擊域名托管商。百度、Google都曾遭受過此類攻擊。2021年7月，平安研究人員MatthewBryant在進(jìn)行頂級(jí)域名映射的代碼測(cè)試時(shí)發(fā)現(xiàn)，多個(gè).io權(quán)威域名效勞器〔包括ns-a1.io、ns-a2.io、ns-a3.io和ns-a4.io〕可以注冊(cè)購置。攻擊者完全可以將其指向自己的DNS服務(wù)器，將所有.io域名連接重定向到惡意效勞器。在完善了在線業(yè)務(wù)與運(yùn)維以及根底設(shè)施平安與訪問控制平安后，企業(yè)需要加強(qiáng)的是內(nèi)部平安防御，這其中包括惡意互聯(lián)網(wǎng)內(nèi)容、終端平安以及移動(dòng)設(shè)備平安等。惡意互聯(lián)網(wǎng)內(nèi)容傳播的渠道主要包含釣魚等社會(huì)工程學(xué)手段，對(duì)于這樣的平安威脅首先可以依靠企業(yè)網(wǎng)絡(luò)中的防火墻或防病毒軟件對(duì)網(wǎng)站流量進(jìn)行過濾，對(duì)的釣魚網(wǎng)站進(jìn)行屏蔽，二是提升企業(yè)員工的平安意識(shí)，對(duì)不明的鏈接心存警惕。企業(yè)內(nèi)部平安的另一個(gè)方面包括終端以及移動(dòng)設(shè)備的平安，為了讓員工能夠得到全方位的防護(hù)，我們推薦使用現(xiàn)有的防病毒解決方案，這樣能夠保證即使是平安意識(shí)薄弱的員工也能夠抵御攻擊。除此之外，對(duì)于各種終端設(shè)備，員工還應(yīng)該即使進(jìn)行平安更新。而兩款病毒無一例外地利用“永恒之藍(lán)〞漏洞席卷全球，如果企業(yè)使用防病毒軟件經(jīng)常檢測(cè)威脅并且使用更新系統(tǒng)及時(shí)修補(bǔ)補(bǔ)丁就可以防范威脅。因此擁有防病毒軟件和補(bǔ)丁更新機(jī)制是企業(yè)平安不可或缺的部分。賽門鐵克在今年的調(diào)查中發(fā)現(xiàn)企業(yè)用戶使用云應(yīng)用的數(shù)量通常會(huì)高達(dá)900個(gè)。大量的云應(yīng)用導(dǎo)致平安管理難度的上升。事實(shí)上，企業(yè)云面對(duì)的威脅包含多個(gè)2021年5月，一款名為Wannacry的蠕蟲勒索軟件襲擊全球網(wǎng)絡(luò)，這被認(rèn)為是迄今為止最巨大的勒索交費(fèi)活動(dòng)，影響到近百個(gè)國家上千家企業(yè)、公共組織以及大量中國高校，其中也不乏一些大型企業(yè)，如西班牙的Telefonica、英國的國民保健署、以及美國的FedEx等。而其后爆發(fā)的NotPetya病毒，也對(duì)歐洲大量企業(yè)造成影響。企業(yè)面對(duì)這兩款病毒不僅不得不支付贖金，還需要遭受數(shù)據(jù)不可恢復(fù)的損失。11另一方面，企業(yè)也面臨引入云本身帶來的平安威脅，某些云平臺(tái)平安性缺乏導(dǎo)致黑客入侵是一個(gè)方面，另一方面，云平臺(tái)公開的屬性也引入了平安風(fēng)險(xiǎn)。今年發(fā)生了大量平安泄露事件都與云效勞器有關(guān)：Verizon合作伙伴泄露了超過1400萬Verizon客戶的個(gè)人信息記錄，包括姓名，地址，賬戶詳細(xì)信息，和一局部客戶的賬戶PIN碼；AWSS3泄露了將近1.98億美國選民的個(gè)人資料，其數(shù)據(jù)庫包含三家與共和黨有關(guān)的公司信息；華爾街日?qǐng)?bào)的母公司道瓊斯泄露了220萬客戶的個(gè)人資料；埃森哲的局部業(yè)務(wù)數(shù)據(jù)被放在了公開的AmazonS3bucket效勞器上，這些事件的誘因都是機(jī)密文件暴露在了云效勞器上。企業(yè)對(duì)各類威脅嚴(yán)防死守，但員工自身引入的新設(shè)備卻有可能讓這些努力功虧于潰。自攜設(shè)備〔BYOD,BringYourOwnDevice〕是指員工使用個(gè)人行動(dòng)裝置進(jìn)入他們工作區(qū)域并用以處理公司資訊與應(yīng)用程序的作業(yè)方式。這種方式十分普遍。在巴西與俄羅斯這些快速成長的市場(chǎng)里，大約有75%的員工使用自攜設(shè)備作業(yè)。而在開展中市場(chǎng)里，亦有44%的員工使用自攜設(shè)備工作。而在中國，使用自己的處理工作事務(wù)也是常態(tài)。許多公司都相信，員工使用自攜設(shè)備會(huì)更有因此，除了企業(yè)本身的網(wǎng)絡(luò)設(shè)施，傳統(tǒng)框架之外的威

脅也需要企業(yè)的重視與防范。方面，最重要的一點(diǎn)是，企業(yè)云使得平安邊界變得模糊，企業(yè)面對(duì)本地+云端的復(fù)雜環(huán)境，因而無法做到對(duì)敏感數(shù)據(jù)的有效管控。生產(chǎn)力。開放使用自攜設(shè)備可以提升便利性，也能節(jié)省辦公本錢。但是于此同時(shí)，自攜設(shè)備會(huì)帶來平安風(fēng)險(xiǎn)，我們知道公司往往不會(huì)對(duì)員工的個(gè)人設(shè)備進(jìn)行管理，倘假設(shè)員工攜帶的設(shè)備存在平安風(fēng)險(xiǎn)，企業(yè)對(duì)終端威脅所做的防御便會(huì)全部失效，導(dǎo)致各種平安威脅，輕那么機(jī)密文件泄露，重那么導(dǎo)致內(nèi)網(wǎng)主機(jī)被入侵。12第三章企業(yè)平安應(yīng)對(duì)流程一、預(yù)防環(huán)節(jié)一個(gè)完整的企業(yè)平安系統(tǒng)，首先要做的第一步就是要做好預(yù)防措施，最常見的預(yù)防措施包括身份驗(yàn)證，授權(quán)和訪問控制策略。這些預(yù)防措施首先可以解決一些最根本的問題，包括認(rèn)出用戶是誰，并且授予不同用戶不同的執(zhí)行權(quán)限。整個(gè)預(yù)防環(huán)節(jié)包含三個(gè)方面，身份認(rèn)證、授權(quán)、訪問控制策略。預(yù)防環(huán)節(jié)持續(xù)改進(jìn)環(huán)節(jié)檢測(cè)環(huán)節(jié)保護(hù)環(huán)節(jié)響應(yīng)環(huán)節(jié)面對(duì)2021年的平安態(tài)勢(shì)，企業(yè)平安涉及的方面越來越復(fù)雜，積極應(yīng)用傳統(tǒng)的企業(yè)平安流程并增強(qiáng)對(duì)于新威脅的防范。一個(gè)健壯的企業(yè)平安應(yīng)對(duì)流程應(yīng)該是一環(huán)套一環(huán)，環(huán)環(huán)相扣，需要多方面協(xié)作完成。認(rèn)證的目的就是為了認(rèn)出用戶是誰，或者說是能夠識(shí)別出正確的人。如果企業(yè)是一個(gè)屋子，那么外人如果想進(jìn)行破壞的話，第一步要做的就是先開門，持有鑰匙的人才能開門進(jìn)入屋子，那么屋子就是通過“鎖和鑰匙的匹配〞來進(jìn)行認(rèn)證的，認(rèn)證的過程就是開鎖的過程。鑰匙在認(rèn)證的過程中，被稱為“憑證〞，開門的過程，在互聯(lián)網(wǎng)里對(duì)應(yīng)的是登錄。認(rèn)證實(shí)際上是驗(yàn)證憑證的過程。而授權(quán)和認(rèn)證相似，但又有一些區(qū)別：授權(quán)的目的是為了決定用戶能夠做什么。擁有高權(quán)限的用戶獲得的授權(quán)要比低權(quán)限的用戶要多，高權(quán)限的用戶可以做的事情也就比低權(quán)限用戶多。而且權(quán)限多少是由最開始的認(rèn)證決定的。訪問控制策略那么是某個(gè)主體對(duì)某個(gè)客體實(shí)施某種操作，而系統(tǒng)對(duì)這種操作的限制就是訪問控制。用戶身份認(rèn)證和訪問控制策略在整個(gè)企業(yè)平安應(yīng)對(duì)流程中還是比較重要的，任何有缺陷的設(shè)計(jì)都會(huì)嚴(yán)重破壞整個(gè)流程。在對(duì)整個(gè)企業(yè)平安應(yīng)對(duì)流程進(jìn)行部署時(shí)，平安人員往往只關(guān)注那些系統(tǒng)中所需要的功能，通常會(huì)建立自定義的認(rèn)證和會(huì)話管理方案。但要正確實(shí)現(xiàn)這些方案卻很難，結(jié)果這些自定義的方案往往在如下方面存在漏洞：退出、密碼管理、超時(shí)、記住我、秘密問題、帳戶更新等等。因?yàn)槊恳粋€(gè)實(shí)現(xiàn)都不同，要找出這些漏洞有時(shí)會(huì)很困難。13二、檢測(cè)環(huán)節(jié)三、保護(hù)環(huán)節(jié)提前做好預(yù)防措施還是不夠的，時(shí)刻關(guān)注系統(tǒng)中可能存在的風(fēng)險(xiǎn)可以幫助企業(yè)第一時(shí)間做出決策并及時(shí)響應(yīng)，減少損失。事件發(fā)生前，一個(gè)完善并準(zhǔn)確的事件監(jiān)控策略顯得尤為重要。整個(gè)檢測(cè)環(huán)節(jié)中企業(yè)都需要依照一定的平安策略，通過軟、硬件，對(duì)網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。14一直以來檢測(cè)環(huán)節(jié)中比較常見的是IDS和DDoS檢測(cè)系統(tǒng)，IDS在技術(shù)上也已經(jīng)比較成熟，運(yùn)用也相對(duì)廣泛。但到了2021年，相比市場(chǎng)上比較陳舊的IDS，新興技術(shù)有望更快地走入我們的視線，在傳統(tǒng)應(yīng)對(duì)措施的根底上，2021年一些新技術(shù)的深度運(yùn)用越來越多地幫助企業(yè)更好地應(yīng)對(duì)威脅。UBA〔用戶行為分析〕，它可以幫助企業(yè)或組織監(jiān)測(cè)內(nèi)部威脅、惡意目標(biāo)的攻擊和金融欺詐行為。利用UBA技術(shù)解決內(nèi)部威脅是一種新的手段方法，該技術(shù)開展到今天已經(jīng)具備了能夠?qū)Ψ墙Y(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析能力，甚至可以擁有一定的預(yù)測(cè)能力，并開始應(yīng)用到內(nèi)部威脅和目標(biāo)攻擊防護(hù)中去，而不再僅僅局限于行為監(jiān)測(cè)了。而更進(jìn)一步的UEBA〔用戶實(shí)體行為分析〕那么將用戶活動(dòng)與其他局部數(shù)據(jù)結(jié)合，比方受管理終端，非受管理終端，應(yīng)用〔包括云端，移動(dòng)端和其他的本地應(yīng)用程序〕，網(wǎng)絡(luò)和內(nèi)部威脅。比照UBA，UEBA不僅可以監(jiān)測(cè)內(nèi)部的威脅，還可以監(jiān)測(cè)外部的威脅，從而保護(hù)數(shù)據(jù)防止危險(xiǎn)。2021年企業(yè)辦公系統(tǒng)和應(yīng)用上云也對(duì)傳統(tǒng)的監(jiān)測(cè)環(huán)節(jié)云訪問平安代理(CASB)是一組新的云平安技術(shù)，可解決使用云應(yīng)用和效勞〔包括SaaS和IaaS〕帶來的挑戰(zhàn)。這些新的CASB解決方案的目的是通過提供這些效勞的使用方式的關(guān)鍵可見性和控制性，使組織能夠借助云應(yīng)用和效勞提升生產(chǎn)力。這能幫助信息平安團(tuán)隊(duì)：識(shí)別和評(píng)估所有使用中的云應(yīng)用〔影子IT〕、在現(xiàn)有Web代理或防火墻中實(shí)施云應(yīng)用管理策略、實(shí)施精細(xì)策略以控制敏感信息的處理，包括與合規(guī)性相關(guān)的內(nèi)容、加密或標(biāo)記敏感內(nèi)容以保證隱私和平安、檢測(cè)并阻止顯示惡意活動(dòng)的異常帳戶行為、通過針對(duì)數(shù)據(jù)喪失防范、訪問管理和Web平安的更廣泛平安解決方案實(shí)現(xiàn)集成云可視性和控制性。時(shí)刻檢測(cè)整個(gè)系統(tǒng)看起來十分必要，但有時(shí)也需要一些主動(dòng)性的防護(hù)，旨在預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，防止其造成任何損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出警報(bào)。保護(hù)環(huán)節(jié)比較傳統(tǒng)的是IPS，它通過直接嵌入到網(wǎng)絡(luò)流量中而實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將它傳送到內(nèi)部系統(tǒng)中。這樣一來，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能夠在IPS設(shè)備中被2021年7月Gartner在平安新技術(shù)報(bào)告中提出了微分隔技術(shù)〔Microsegmentation〕。它的出現(xiàn)能夠地對(duì)IPS做出了補(bǔ)充，攻擊一旦在企業(yè)系統(tǒng)中站穩(wěn)腳跟，它們通常會(huì)橫向蔓延到其他系統(tǒng)中。微分隔能在虛擬數(shù)提出了新的要求。調(diào)查和咨詢機(jī)構(gòu)Garther公司今年的報(bào)告同樣指出，到2021年，85%的大型企業(yè)都會(huì)使用CASB技術(shù)增強(qiáng)企業(yè)的在云場(chǎng)景下的平安檢測(cè)能力。四、響應(yīng)環(huán)節(jié)據(jù)中心進(jìn)行隔離和分段操作，就像潛艇中的艙室一樣，有助于減少威脅破壞性，進(jìn)行有效保護(hù)。之前，微分段技術(shù)主要用于效勞器在相同層的橫向通信，但如今它現(xiàn)在已經(jīng)演化為保護(hù)虛擬數(shù)據(jù)中心的內(nèi)部通信機(jī)制了。預(yù)防，檢測(cè)，預(yù)防環(huán)節(jié)中主要工作還是放在防范上面，而企業(yè)在發(fā)生重大平安事故時(shí)，更需要一套完善的應(yīng)急響應(yīng)策略及取證分析流程。很多時(shí)候由于缺乏緊急響應(yīng)流程，或者緊急響應(yīng)流程執(zhí)行不到位，使得一些本來可以快速平息的平安事件，最終造成巨大的損失。早做準(zhǔn)備，如果有專門的一個(gè)事件響應(yīng)團(tuán)隊(duì)，任何時(shí)間發(fā)生的攻擊都可以有一個(gè)很好的應(yīng)對(duì)策略。明確的事件響應(yīng)規(guī)劃可以幫助團(tuán)隊(duì)知道在事件發(fā)生之后應(yīng)該做些什么，減少不必要的溝通時(shí)間。而且，制定的規(guī)劃越有效，平安和技術(shù)團(tuán)隊(duì)就會(huì)采取更加明確平安措施來應(yīng)對(duì)緊急事件，也會(huì)將損失降到最低。及時(shí)止損，越早處理發(fā)生的平安事件，對(duì)于日后產(chǎn)生的影響就會(huì)越小。因?yàn)槠桨彩录婚_始如果不被及時(shí)解決，馬上就會(huì)愈演愈烈，對(duì)于企業(yè)來說，要付出更多的時(shí)間和本錢來處理。而如果企業(yè)提前制定了完善的應(yīng)急響應(yīng)規(guī)劃的話，技術(shù)團(tuán)隊(duì)可以在平安事件剛剛發(fā)生時(shí)就可以減少損失，采取措施解決相關(guān)問題。加強(qiáng)溝通，事件發(fā)生過程中，溝通往往是一個(gè)大問題，可能會(huì)造成時(shí)間上的巨大浪費(fèi)，和方案上的混亂。而如果有一個(gè)可以集中交流的應(yīng)急小組之后，所有的情況都會(huì)無延誤的傳達(dá)給平安和技術(shù)團(tuán)隊(duì)，這可以保證響應(yīng)小組可以很快想出對(duì)策并做出行動(dòng)。整個(gè)事件響應(yīng)過程就是在平安事件爆發(fā)過程中，企業(yè)的應(yīng)對(duì)方式。入侵檢測(cè)系統(tǒng)或平安監(jiān)控產(chǎn)品的規(guī)那么被觸發(fā)時(shí)，根據(jù)攻擊的嚴(yán)重程度，最終會(huì)產(chǎn)生“事件〞或“報(bào)警〞，報(bào)警建立后，開始著手建立“緊急響應(yīng)流程〞。整個(gè)應(yīng)急響應(yīng)小組應(yīng)包括：技術(shù)負(fù)責(zé)人、產(chǎn)品負(fù)責(zé)人、最了解技術(shù)架構(gòu)的資深開發(fā)工程師、資深網(wǎng)絡(luò)工程師、資深系統(tǒng)運(yùn)維工程師、資深DBA、資深平安專家、監(jiān)控工程師、公司公關(guān)。小組建立起來之后，第一時(shí)間就要弄清楚問題產(chǎn)生的原因，并協(xié)調(diào)相關(guān)的資源進(jìn)行處理。保護(hù)平安事件現(xiàn)場(chǎng)，以最快速度處理完問題。取證技術(shù)在事件響應(yīng)流程中十分重要，有利于企業(yè)做出正確和及時(shí)的響應(yīng)。例如，如果一家公司正在處理一起釣魚攻擊事件，取證過程就可以幫助確定一些信息，比方誰點(diǎn)擊了釣魚鏈接，誰落入了攻擊者的圈套，有哪些信息泄露了或遭到了竊取。這些可以幫助平安團(tuán)隊(duì)籌劃適宜的響應(yīng)機(jī)制，評(píng)估上報(bào)需求。倘假設(shè)公司的IP地址遭到竊取，無論是內(nèi)部攻擊者還是外部攻擊者所為，取證技術(shù)可以幫助建立事件發(fā)生的時(shí)間線，執(zhí)法機(jī)構(gòu)可以以此為依據(jù)，調(diào)查或起訴攻擊者。在這種情況下，取證流程符合并保存了拘留所需的證據(jù)鏈?zhǔn)鞘种匾?。取證分析會(huì)更加專注于防護(hù)。它將跟著數(shù)據(jù)恢復(fù)的進(jìn)化方式一起進(jìn)化。一旦人們開始弄丟數(shù)據(jù)，他們就會(huì)開始使用遠(yuǎn)程備份來防止數(shù)據(jù)喪失。使用計(jì)算機(jī)取證也會(huì)發(fā)生同樣的事情。公司會(huì)確切落實(shí)計(jì)算機(jī)取證以防有事發(fā)生，這樣他們就有數(shù)據(jù)和方15五、持續(xù)改進(jìn)環(huán)節(jié)法可以追蹤出到底發(fā)生了什么。他們不再需要維護(hù)硬件了。企業(yè)們會(huì)使用一個(gè)效勞器，可以記錄所有操作和功能，可以簡(jiǎn)單請(qǐng)求回憶日志。所有信息都都以取證的方式進(jìn)行儲(chǔ)存，以確?？煽繜o誤。16同樣在2021年7月Gartner在平安新技術(shù)報(bào)告中可以看到，對(duì)于中小企業(yè)而言，近年出現(xiàn)的平安管理檢測(cè)和響應(yīng)〔MDR〕會(huì)是他們?cè)诮⑵桨矐?yīng)對(duì)流程時(shí)的好選擇。MDR提供商為那些需要改進(jìn)威脅檢測(cè)、事件響應(yīng)和持續(xù)監(jiān)控功能的買家提供效勞，這些買家自身通常不具備專業(yè)的技能和資源，由于缺乏對(duì)威脅檢測(cè)和應(yīng)急響應(yīng)方面的投資，這些MDR效勞正好觸及了這些中小企業(yè)的需求。介紹完整個(gè)響應(yīng)環(huán)節(jié)之后，整個(gè)企業(yè)平安應(yīng)對(duì)流程還沒有結(jié)束，因?yàn)槠桨彩且粋€(gè)持續(xù)的過程，還需要不斷的查缺補(bǔ)漏，逐漸讓企業(yè)的平安流程更加完善。在整個(gè)過程中，企業(yè)需要從平安評(píng)測(cè)、平安加固、平安運(yùn)營管理、平安意識(shí)、平安咨詢這幾個(gè)方面持續(xù)改進(jìn)。平安評(píng)測(cè)的過程，就是尋找薄弱環(huán)節(jié)并修復(fù)的過程。通過漏洞掃描，滲透測(cè)試，代碼審計(jì)等方式，可以發(fā)現(xiàn)系統(tǒng)中的平安問題，然后通過設(shè)計(jì)平安方案，實(shí)施平安方案，最終解決這些問題。一套完善，豐富的安全評(píng)估系統(tǒng)可以高效、全方位的檢測(cè)網(wǎng)絡(luò)中的各類脆弱性風(fēng)險(xiǎn)，提供專業(yè)、有效的平安分析和修補(bǔ)建議，并貼合平安管理流程對(duì)修補(bǔ)效果進(jìn)行審計(jì)，最大程度減小受攻擊面。它可以全方位檢測(cè)IT系統(tǒng)存在的脆弱性，發(fā)現(xiàn)信息系統(tǒng)存在的平安漏洞、平安配置問題、應(yīng)用系統(tǒng)平安漏洞，檢查系統(tǒng)存在的弱口令，收集系統(tǒng)不平安運(yùn)營貫穿在整個(gè)體系之中。平安運(yùn)營需要讓端口掃描、漏洞掃描、代碼白盒掃描等發(fā)現(xiàn)問題的方式變成一種周期性的任務(wù)。平安是一個(gè)持續(xù)的過程，管理上的疏忽隨時(shí)都有可能打破之前辛辛苦苦建立起來的平安防線。假設(shè)管理工作和流程是不可靠的，就需要通過安全運(yùn)營不斷地區(qū)發(fā)現(xiàn)問題，周期性地做平安健康檢查，才能讓企業(yè)放心。而在最近幾年，OSS平安掃描和對(duì)DevSecOps進(jìn)行軟件分析也尤為重要。在整個(gè)DevOps過程中，平安架構(gòu)師還必須能夠進(jìn)行自動(dòng)化地進(jìn)行平安控制，而且這種控制還要盡可能地對(duì)開發(fā)人員透明。平安分析人員還需了解軟件的源碼，模塊，框架和類庫，這樣才能識(shí)別并清理OSS組件中的平安或許可問題。2021年卡巴斯基實(shí)驗(yàn)室與B2BInternational共同發(fā)布的報(bào)告中提到，每年有46%的IT平安事故是由企業(yè)員工造成的。平安作為企業(yè)生產(chǎn)經(jīng)營的第一要素，列在企業(yè)生產(chǎn)經(jīng)營活動(dòng)的首位。從眾多的平安事故案例中追溯其根源，員工的平安意識(shí)淡薄是發(fā)生平安事故的根源。因此在持續(xù)改進(jìn)環(huán)節(jié)，培養(yǎng)企業(yè)員工的平安意識(shí)依然是值得企業(yè)關(guān)注的事情。平安事件發(fā)生后，專業(yè)的平安咨詢可以幫助客戶控制并應(yīng)對(duì)事件，減輕危機(jī)程度，幫助用戶處理網(wǎng)絡(luò)入侵和數(shù)據(jù)泄露，提供法律專家隨時(shí)為用戶提供法律專業(yè)建議，和數(shù)據(jù)隱私相關(guān)管理建議。必要開放的賬號(hào)、效勞、端口，形成整體平安風(fēng)險(xiǎn)報(bào)告，幫助平安管理人員先于攻擊者發(fā)現(xiàn)平安問題，及時(shí)進(jìn)行修補(bǔ)和平安加固。趨勢(shì)觀察172021年企業(yè)在應(yīng)對(duì)威脅時(shí)主要考慮哪些問題？通過觀察谷歌趨勢(shì)，可以得到以下熱點(diǎn)詞匯的搜索態(tài)勢(shì)。下面我們來詳細(xì)解釋一下2021年的熱點(diǎn)詞匯。UBA

MDRAdaptiveSecurity

DevSecOpsEPPMDRUBAUBAUBAUBAUBAEPP

EPPEPPMDREPPEPPMDER

DREDREDR

EPPEDREDRBYOD AdaptiveSecurityBYODBYODBYODIDaasAdaptive

Security

DevSecOps

DevSecOpsIDaasIDaasIDaasIDaasIDaasIDaasIDaasIDaasIDaasCoverge

ofIT/OTCoverge

ofIT/OTCoverge

ofIT/OTDevSecOpsAdaptive

Security

DevSecOpsAdaptiveSecurityMDRDevSecOpsEPP

DevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsDevSecOpsUBAMDRMDRMDRMDR

DevSecOpsDevSecOps AdaptiveSecurityDevSecOpsEPPEPPEPPAdaptiveSecurityDevSecOpsAdaptive

SecurityAdaptive

SecurityAdaptive

SecurityAdaptive

SecurityDevSecOpsDevSecOpsDevSecOpsGASB名詞解釋:UBA：UBA〔用戶行為分析〕是指幫助企業(yè)或組織發(fā)現(xiàn)內(nèi)部威脅，目標(biāo)攻擊和金融欺詐。利用UBA技術(shù)解決內(nèi)部威脅是一種新的手段方法，該技術(shù)開展到今天已經(jīng)具備了能夠?qū)Ψ墙Y(jié)構(gòu)化數(shù)據(jù)進(jìn)行分析能力，擁有一定的預(yù)測(cè)能力，已經(jīng)開始應(yīng)用到內(nèi)部威脅和目標(biāo)攻擊防護(hù)中去而不再僅局限于調(diào)查分析了。UEBA：UEBA將用戶活動(dòng)和其他局部，比方受管理終端，非受管理終端，應(yīng)用〔包括云端，移動(dòng)端和其他的本地應(yīng)用程序〕，網(wǎng)絡(luò)和內(nèi)部威脅。對(duì)比UEA，UEBA不僅可以防范內(nèi)部的威脅，還可以防范外部的威脅，從而保護(hù)數(shù)據(jù)。SDS：

Software

De?ned

Storage，軟件定義存儲(chǔ)。數(shù)據(jù)中心中的效勞器、存儲(chǔ)、網(wǎng)絡(luò)以及平安等資源可以通過軟件進(jìn)行定義，并且能夠自動(dòng)分配這些資源。軟件定義存儲(chǔ)的核心是存儲(chǔ)虛擬化技術(shù)。軟件定義的數(shù)據(jù)中心通過現(xiàn)有資源和應(yīng)用程序?qū)Σ粩嘧兓臉I(yè)務(wù)需求提供支持，從而實(shí)現(xiàn)IT靈活性。CASB：云訪問平安代理(CASB)是一組新的云平安技術(shù)，可解決使用云應(yīng)用和服務(wù)〔包括SaaS和IaaS〕帶來的挑戰(zhàn)。這些新的CASB解決方案的目的是通過提供這些效勞的使用方式的關(guān)鍵可見性和控制性，使組織能夠借助云應(yīng)用和服務(wù)提升生產(chǎn)力。EDR：EDR〔端點(diǎn)檢測(cè)和響應(yīng)〕工具通常會(huì)記錄大量端點(diǎn)和網(wǎng)絡(luò)事件，把這些信息保存在端點(diǎn)本地，或者保存在中央數(shù)據(jù)庫中。然后使用的攻擊指示器〔IOC〕、行為分析和機(jī)器學(xué)習(xí)技術(shù)的數(shù)據(jù)庫，來持續(xù)搜索數(shù)據(jù)，在早期檢測(cè)出漏洞〔包括內(nèi)部威脅〕，并對(duì)這些攻擊做出快速響應(yīng)。MDR：管理檢測(cè)和響應(yīng)〔MDR〕是一種可管理的網(wǎng)路平安效勞，可以幫助企業(yè)提高威脅檢測(cè)，事件響應(yīng)以及持續(xù)檢測(cè)效勞，本錢比用戶自建運(yùn)營相關(guān)平安團(tuán)隊(duì)要低很多，尤其受到中小企業(yè)的歡送。EPP：EPP〔端點(diǎn)保護(hù)平臺(tái)〕是一種保護(hù)端點(diǎn)設(shè)備的軟件技術(shù)，主要用來保護(hù)企業(yè)IT環(huán)境中的端點(diǎn)設(shè)備。這些端點(diǎn)設(shè)備包括PC，筆記本電腦，智能和平板電腦等。EPP是一套完整的平安解決方案，它結(jié)合了殺毒，反間諜軟件，入侵檢測(cè)/預(yù)防，個(gè)人防火墻，數(shù)據(jù)保護(hù)/加密和其他端點(diǎn)保護(hù)解決方案。SDP：SDP〔SoftwareDe?nedPerimeter〕，軟件定義邊界，也稱為“BlackCloud〞，SDP基于本章小結(jié)18need-to-know原那么，即在訪問應(yīng)用程序根底架構(gòu)之前要先對(duì)設(shè)備狀態(tài)和身份進(jìn)行驗(yàn)證。而應(yīng)用程序根底架構(gòu)是不可見的，即無法被設(shè)備檢測(cè)到，沒有可見的DNS信息和IP地址。SDP〔軟件定義邊界〕可以緩解大局部的網(wǎng)絡(luò)攻擊，包括：效勞器掃描，DoS，SQL注入，操作系統(tǒng)和應(yīng)用程序咯東利用，中間人攻擊，XSS，CSRF等。DevSe：它是糅合了開發(fā)、平安及運(yùn)營理念以創(chuàng)立解決cOps方案的全新方法〞。企業(yè)投資防火墻、IPS等外圍防御系統(tǒng)本身無可厚非。但是，單純地守衛(wèi)邊界是不夠的。DevSecOps是在DevOps方案中參加了平安理念，這需要CIO及其團(tuán)隊(duì)在軟件開發(fā)的一開始就考慮到平安問題，而不是事后。Container：Docker容器〔ContainerSecurity〕也不是完Security全平安的，對(duì)docker容器平安質(zhì)疑最大的一點(diǎn)就是其隔離的徹底性，與其比照就是當(dāng)前成熟的虛擬機(jī)〔VM〕技術(shù)。相對(duì)于VM，docker容器只是對(duì)進(jìn)程和文件進(jìn)行虛擬化，而VM做到了OS級(jí)別的虛擬化。BYOD：BYOD(BecomeYourO?ceDevice)即在你自己的設(shè)備上安裝很多公司的軟件，以便可以讓你使用公司的資源。當(dāng)員工的設(shè)備比方iphone上安裝了這樣的管理軟件，員工自己的就變成了公司的，那個(gè)Agent就不停的和效勞器同步。雖然這是員工的自帶設(shè)備，但此時(shí)BYOD就從自帶設(shè)備轉(zhuǎn)換成了自帶的辦公設(shè)備。Adaptive：自適應(yīng)平安是一種保護(hù)平安的新手段，它對(duì)威Security脅的定義不僅僅局限于感染病毒的文件和代碼，而是檢測(cè)系統(tǒng)中存在的有威脅性的行為。該方法最重要的特點(diǎn)就是就是可以很快適應(yīng)并應(yīng)對(duì)不斷變化的復(fù)雜環(huán)境進(jìn)行預(yù)警。而且它還可以主動(dòng)預(yù)測(cè)，識(shí)別，處理惡意軟件和黑客行為。跟蹤應(yīng)用程序和系統(tǒng)行為，并識(shí)別出其中不正常的行為，追蹤這些行為的源頭。自適應(yīng)平安可以幫助企業(yè)更好地應(yīng)對(duì)日益增強(qiáng)的企業(yè)威脅。整個(gè)企業(yè)平安應(yīng)對(duì)流程中，可以發(fā)現(xiàn)每個(gè)環(huán)節(jié)之間連接都相當(dāng)緊密，對(duì)于企業(yè)來說，每個(gè)環(huán)節(jié)都不能掉以輕心，平時(shí)也要加強(qiáng)員工平安意識(shí)的培養(yǎng)，出現(xiàn)問題的時(shí)候，有一套提前預(yù)演過的應(yīng)對(duì)流程，對(duì)于決策和方案都有一個(gè)很好的指示作用，對(duì)于平安事故的發(fā)生，尋求專業(yè)人士，從而得到專業(yè)的建議。只有每個(gè)環(huán)節(jié)都做好足夠的準(zhǔn)備，在事故發(fā)生的時(shí)候，企業(yè)才能將損失降到最低。一、平安產(chǎn)品名錄研究背景介紹在確保候選列表階段，F(xiàn)reeBuf主要采取的是資料搜集、走訪企業(yè)客戶以及專家訪談的形式進(jìn)行調(diào)研。FreeBuf經(jīng)過統(tǒng)計(jì)后得出推薦平安產(chǎn)品的候選列表。為了進(jìn)一步提升名錄的嚴(yán)謹(jǐn)性和公信力，評(píng)定小組還參考了國內(nèi)外信息平安領(lǐng)域的各類主要獎(jiǎng)項(xiàng)、Gartner魔力象限及多家專業(yè)機(jī)構(gòu)發(fā)布的權(quán)威報(bào)告，并對(duì)上榜企業(yè)的融資情況進(jìn)行了深入調(diào)查。二、入選企業(yè)融資情況一覽入選的190項(xiàng)平安產(chǎn)品來自于國內(nèi)國外的187家企業(yè)。其中國內(nèi)企業(yè)為90家，國外企業(yè)為家97家。第四章企業(yè)平安產(chǎn)品推薦名錄隨后，F(xiàn)reeBuf研究院對(duì)每個(gè)入選候選列表的平安產(chǎn)品進(jìn)行評(píng)分。每位專家會(huì)對(duì)每個(gè)產(chǎn)品進(jìn)行六個(gè)維度的打分〔品牌影響力、整體創(chuàng)新性、技術(shù)先進(jìn)性、市場(chǎng)占有率、產(chǎn)品體驗(yàn)及用戶口碑〕，我們通過一定的統(tǒng)計(jì)方法按照權(quán)重匯總后，最終得到推薦名錄。歷時(shí)近兩個(gè)月的評(píng)分后，最終9個(gè)大類、29個(gè)小類共

190個(gè)優(yōu)秀產(chǎn)品脫穎而出，我們可以在這一章節(jié)從各

個(gè)角度來了解到這些上榜產(chǎn)品的情況，如入選企業(yè)的

融資情況、整體得分情況，最后還會(huì)以雷達(dá)圖展現(xiàn)每

類產(chǎn)品的得分情況。獲得Pre-A輪為8家，A輪融資的企業(yè)為11家，獲得B輪融資的企業(yè)為18家，獲得C輪融資的企業(yè)為10家，D輪的那么是10家，E輪8家，G輪1家。而獲得了IPO的企業(yè)共計(jì)85家。此外，獲得私募融資的企業(yè)為27家，情況不明或者不需要融資的企業(yè)為9家。IPO85入選產(chǎn)品的企業(yè)整體融資占比19私募27C輪10D輪10A輪11B輪18Pre-A輪8未融資6不明確3G輪1E輪8而從企業(yè)的融資情況來看，IPO的企業(yè)占據(jù)多數(shù)，約占

45.45%的入選產(chǎn)品企業(yè)已經(jīng)獲得公開募股上市

。而14.44%的企業(yè)通過了私募方式獲得融資

。剩下的入

選產(chǎn)品居多是處在A、B、C輪、D輪的早期融資階段之

中。我們可以看到5.88%的企業(yè)處于A輪階段，9.63%的企

業(yè)處在B輪，5.35%的企業(yè)處在C輪階段

。此外，約占

10%

的企業(yè)處在晚期融資階段，還有約占5%三、各大類產(chǎn)品得分整體情況下面將按照威脅預(yù)警、訪問控制、身份認(rèn)證、事件監(jiān)測(cè)、主動(dòng)防御、事件響應(yīng)與取證分析、平安評(píng)測(cè)與加固、安全運(yùn)營管理、平安意識(shí)與咨詢這九大分類，展開每一層的產(chǎn)品分類描述。經(jīng)過評(píng)分，本次入選名錄的190個(gè)產(chǎn)品來自187家企業(yè)。威脅預(yù)警類產(chǎn)品下分為威脅情報(bào)、態(tài)勢(shì)感知和輿情監(jiān)控三種細(xì)分類別，我們可以看到威脅情報(bào)國外產(chǎn)品居多，而態(tài)勢(shì)感知類別和輿情監(jiān)控類別主要是國內(nèi)產(chǎn)品。訪問控制類產(chǎn)品中分為防火墻和VPN兩種細(xì)分類別，該類產(chǎn)品中國內(nèi)、國外的產(chǎn)品占比較為均衡。身份認(rèn)證類的產(chǎn)品那么分為SSO、云身份認(rèn)證兩種細(xì)分類別，該類產(chǎn)品國外產(chǎn)品居多，得分分布較廣。事件響應(yīng)與取證分析產(chǎn)品中，那么可以分為取證與漏洞響應(yīng)兩種細(xì)分類別。20的企業(yè)不需要融資或融資情況不公開。其次，我們還可以按照入選平安產(chǎn)品的大類產(chǎn)品分類，來了解每一類型產(chǎn)品的整體融資階段。我們可以發(fā)現(xiàn)，除了大趨勢(shì)中我們可以看到半數(shù)入選產(chǎn)品名錄的企業(yè)是上市企業(yè)之外，平安運(yùn)營類別、威脅預(yù)警類別中的平安產(chǎn)品中，分別有56.52%以及56.25%的所屬企業(yè)已經(jīng)處在IPO階段，說明在這兩類產(chǎn)品已經(jīng)較為成熟。而身份認(rèn)證類別、主動(dòng)防御類、安全評(píng)測(cè)與加固類別中都有不少新興企業(yè)的產(chǎn)品入選名錄，在后續(xù)市場(chǎng)中可能還有更大的潛力有待發(fā)揮。平安運(yùn)營產(chǎn)品中，可以分為SOC、容災(zāi)備份、準(zhǔn)入控制三種細(xì)分類別，國內(nèi)外產(chǎn)品較為均衡。事件監(jiān)測(cè)產(chǎn)品之中，網(wǎng)絡(luò)類、Web類、數(shù)據(jù)庫類、日志

類、移動(dòng)終端、主機(jī)類不同類別中，國內(nèi)產(chǎn)品占據(jù)多數(shù)

且網(wǎng)絡(luò)類產(chǎn)品入選居多，但產(chǎn)品的得分較為分散。主動(dòng)防御類別中，共分為網(wǎng)絡(luò)類、防病毒、主機(jī)防護(hù)、

web/waf以及數(shù)據(jù)保護(hù)、蜜罐類六種細(xì)分類別。國內(nèi)

國外產(chǎn)品均有入選，且國外產(chǎn)品稍微占比更高，得分

較為分散。入選產(chǎn)品的企業(yè)整體融資占比IPO45.45%私募14.44%B輪9.63%A輪5.88%C輪5.35%E輪4.28%未融資3.28%D輪5.35%pre-A輪

4.28%不明確1.68%G輪IPO不明確私募未融資B輪C輪D輪E輪pre-A輪

A輪威脅預(yù)警身份認(rèn)證訪問控制平安運(yùn)營主動(dòng)防御事件監(jiān)測(cè)事件響應(yīng)與取證平安評(píng)測(cè)與加固平安意識(shí)與培訓(xùn)1

11

2

1

192

2

2

1

1

22

1

2

1

1933

1

3

1

1

1

11

34 11

1102

11

1

3

2121

3

213

19242511

1

152212234105每類產(chǎn)品整體融資階段2.83.03.23.43.63.84.04.2訪問控制防火墻VPN身份認(rèn)證SSO云身份認(rèn)證事件監(jiān)測(cè)網(wǎng)絡(luò)類WEB類數(shù)據(jù)庫類日志類移動(dòng)終端主機(jī)類威脅預(yù)警威脅情報(bào)態(tài)勢(shì)感知輿情監(jiān)控事件響應(yīng)和取證取證漏洞響應(yīng)平臺(tái)主動(dòng)防御移動(dòng)/防病毒數(shù)據(jù)庫保護(hù)蜜罐主機(jī)防護(hù)類22網(wǎng)絡(luò)類NIPSWEB/WAF平安運(yùn)營SOC準(zhǔn)入控制容災(zāi)備份平安評(píng)估漏洞掃描平安評(píng)測(cè)與加固平安基線檢查與主機(jī)平安平安眾測(cè)平安意識(shí)與培訓(xùn)平安意識(shí)與培訓(xùn)國內(nèi)國外入選產(chǎn)品得分情況一覽平安評(píng)測(cè)與加固類別中，分為平安評(píng)估、漏洞掃描、安全基線檢查與主機(jī)平安、平安眾測(cè)這四種細(xì)分類別，產(chǎn)品的得分比較集中，國內(nèi)產(chǎn)品居多。此外通過對(duì)每類產(chǎn)品進(jìn)行最終得分的均分計(jì)算，我們

可以繪制雷達(dá)圖的形式得到就九個(gè)大類產(chǎn)品各自的

能力雷達(dá)圖。事件響應(yīng)和取證3.73.43.93.93.83.5主動(dòng)防御事件檢測(cè)3.33.43.53.33.43.5平安意識(shí)與培訓(xùn)訪問控制3.83.73.73.73.63.5平安評(píng)測(cè)與加固身份認(rèn)證平安運(yùn)營3.53.53.53.63.63.63.53.33.23.03.63.63.53.43.33.33.53.63.73.63.63.73.6

3.5

3.623威脅預(yù)警3.83.63.63.53.53.4平均值/品牌影響力平均值/整體創(chuàng)新性平均值/技術(shù)先進(jìn)性平均值/市場(chǎng)占有率平均值/產(chǎn)品體驗(yàn)平均值/用戶口碑3.53.53.53.73.9四、細(xì)分分類下平安產(chǎn)品推薦名錄FreeBuf在了解了入選企業(yè)的融資情況、整體得分情況后，在下面這一局部中我們將會(huì)以更細(xì)致的視角觀察每個(gè)產(chǎn)品的得分情況，并以雷達(dá)圖形式展現(xiàn)每類細(xì)分產(chǎn)品在六個(gè)維度上的得分比照。急速增長的針對(duì)性網(wǎng)絡(luò)攻擊直接催生了威脅情報(bào)服務(wù)。威脅情報(bào)包含兩個(gè)不同的層面。第一種威脅情報(bào)是“戰(zhàn)略層面〞的，也就是供人閱讀的。這類威脅情報(bào)不需要非常技術(shù)，主要為各類高管準(zhǔn)備，讓他們能夠了解威脅對(duì)于業(yè)務(wù)連續(xù)性的影響，幫助他們做出正確的決策。這類威脅情報(bào)的典型呈現(xiàn)方式就是報(bào)告。另一類是“可操作層面〞的，或者說是可機(jī)讀的數(shù)據(jù)?平安設(shè)備能夠利用這些數(shù)據(jù)來加固平安性。這些可操作的威脅情報(bào)能夠幫助SOC分析師、事件響應(yīng)團(tuán)隊(duì)，甚至到做出決策的管理層。1.

威脅情報(bào)產(chǎn)品推薦名錄入選本次威脅情報(bào)名錄的產(chǎn)品包括：FireEye、卡巴斯

基

、IBM

、Cr

o

w

ds

trik

e

、賽門鐵克

、微步在線

、

AlienVault以及奇虎360的威脅情報(bào)產(chǎn)品。2.

態(tài)勢(shì)感知產(chǎn)品推薦名錄3.

輿情監(jiān)控產(chǎn)品推薦名錄本次入選輿情監(jiān)控名錄的產(chǎn)品包括：樂思網(wǎng)絡(luò)輿情監(jiān)

控系統(tǒng)以及軍犬輿情監(jiān)控系統(tǒng)，這兩家都是國內(nèi)企業(yè)。威脅預(yù)警威脅情報(bào)威脅情報(bào)訂閱效勞X-Force情報(bào)社區(qū)DeepSightIntelligenceFalconThreatBookOTX開源威脅情報(bào)社區(qū)天擎終端、天堤防火墻、天眼APT檢測(cè)EnterpriseSecurityCounterThreatPlatformFireEye卡巴斯基IBM賽門鐵克Crowdstrike微步在線AlienVault奇虎360Securework〔sDell〕輿情監(jiān)控樂思網(wǎng)絡(luò)輿情監(jiān)測(cè)系統(tǒng)軍犬輿情監(jiān)控系統(tǒng)樂思中科點(diǎn)擊態(tài)勢(shì)感知阿里云盾360態(tài)勢(shì)感知亞信平安態(tài)勢(shì)感知明鑒任子行網(wǎng)絡(luò)平安態(tài)勢(shì)感知平臺(tái)系統(tǒng)阿里云奇虎360亞信平安安恒信息任子行4.

身份認(rèn)證SSO產(chǎn)品推薦名錄本次入選態(tài)勢(shì)感知名錄的產(chǎn)品包括：阿里云盾、360態(tài)勢(shì)感知、亞信平安態(tài)勢(shì)感知、安恒明鑒以及任子行網(wǎng)絡(luò)平安態(tài)勢(shì)感知平臺(tái)。入

選

身

份

認(rèn)證

SSO

名錄

的

產(chǎn)品

包

括

：微

軟，O

kta、

Centrify、OneLogin、RSASecurity、SecureAuth

、

九州云騰、PerfectCloud、衛(wèi)士通以及Ping的身份認(rèn)

證工具。SSOAzure

Active

DirectoryOkta

Identity

and

Mobility

Management

centrify

identify

serviceonelogin

Secure

Single

Sign-on

(SSO)

SolutionRSA

SECURIDSecureAuth

IdP九州云騰生成令牌IPGPerfectCloud

SmartSignin

身份認(rèn)證管理系統(tǒng)Ping

Identity

PingOne微軟OktaCentrify

OneLoginRSA

SecuritySecureAuth九州云騰PerfectCloud衛(wèi)士通Ping身份認(rèn)證/5.

云身份認(rèn)證產(chǎn)品推薦名錄入選云身份認(rèn)證名錄的產(chǎn)品包括

：微軟

、Ok

t

a

、

BioCatch、Netiq以及SecureAuth的產(chǎn)品。入選的產(chǎn)

品均為國外公司產(chǎn)品。身份認(rèn)證云身份Azure

Active

Directory 微軟Okta

Identity

and

Mobility

Management

OktaBioCatch

identity

proo?ng&Continuous

Authentication

BioCatchnetiq

Identity

Manager Netiqsecureauth

Multi-Factor

Authentication SecureAuth246.

VPN產(chǎn)品推薦名錄入選訪問控制VPN名錄的產(chǎn)品包括：深信服VPN、思科

ASA

、Array

Networks、Juniper

SSG、江南信安綜合

網(wǎng)關(guān)以及天融信VPN。VPN深信服

VPN

Cisco

ASAArraySecureAccessGatewayJuniperSSG江南信安VPN綜合平安網(wǎng)關(guān)IPSecVPN深信服思科Array

NetworksJuniper江南信安天融信7.

防火墻產(chǎn)品推薦名錄入選防火墻名錄的產(chǎn)品包括

：Ch

eckPoint

NGFW，

PaloAltoNGFW，F(xiàn)ortinetNGFW，深信服NGFW，思

科NGFW，華為NGF

W，天融信NGF

W，綠盟NGF

W，

H3C

NGFW，山石網(wǎng)科NGFW

以及Juniper

NGFW。防火墻CheckPoint

NGFW

新一代防火墻Fortinet

NGFW深信服NGAF下一代防火墻Cisco

NGFW華為下一代防火墻天融信NGFW

?

下一代防火墻綠盟NF防火墻系統(tǒng)H3C

SecPath系列防火墻山石網(wǎng)科下一代防火墻Juniper

NGFWCheckPointPalo

Alto

NetworksFortinet深信服思科華為天融信綠盟科技H3C山石網(wǎng)科Juniper8.

SOC產(chǎn)品推薦名錄入選SOC名錄的產(chǎn)品包括

：IBM的Qr

adar

，HP

Arcsight，啟明的泰合SOC，Splunk，瀚思安信的

HanSight下一代平安管控平臺(tái)，LogRthythm的NGSIEM，東軟的NetEyeSOC，F(xiàn)ortinet的FortiSIEM，Trustwave的SIEM，以及360網(wǎng)神的SecFox-SNI。SOCQradarHPArcsight泰合信息平安運(yùn)營中心〔SOC)SplunkHanSight下一代平安管控平臺(tái)Next-GenSIEMNetEye平安運(yùn)維管理平臺(tái)〔SOC〕FortiSIEMSIEMEnterprise平安管理平臺(tái)SecFox-SNIIBM惠普啟明星辰Splunk瀚思安信logRhythm東軟FortinetTrustwave360網(wǎng)神9.

容災(zāi)備份產(chǎn)品推薦名錄入選容災(zāi)備份名錄的產(chǎn)品包括阿里云

、EMCDa

taprotection

suite，Veritas

NetBackup

華為災(zāi)備解決方案，VeeamAvailability。容災(zāi)備份阿里云EMC

Data

protection

suiteIBM數(shù)據(jù)備份容災(zāi)解決方案NetBackup業(yè)務(wù)連續(xù)性災(zāi)備解決方案Veeam

Availability

Orchestrator阿里云EMCIBMVeritas華為Veeam10.

準(zhǔn)入控制產(chǎn)品推薦名錄入選準(zhǔn)入控制名錄的產(chǎn)品包括：CiscoSecure

AccessControl，PulsePolicySecure，盈高科技的ASM6000，

以及ArubaClearPassPolicy

Management，聯(lián)軟科技的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，以及ExtremeNetworks的ExtremeControl。準(zhǔn)入控制Cisco

Secure

Access

Control

System

Pulse

Policy

SecureASM6000Aruba

ClearPass

Policy

Manager網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)UniNAC

ExtremeControl思科Pulse

Secure

盈高科技Aruba

Networks聯(lián)軟科技Exterme

Networ