8月27日，在2021北京网络安全大会上，由安全牛牵头组织，金睛云华、奇安信、中睿天下、安天、安芯网盾等五家领域代表性厂商共同参与编写的《企业高级威胁防护能力构建指南》（以下简称《指南》）报告正式发布。

为了给企业信息化管理者开展高级威胁防护建设提供更真实的参考与帮助，本次《指南》报告调研以问卷调查、厂商访谈、专家线上交流等多种方式调研了近百家甲方用户，全面覆盖了金融、计算机互联网、制造业、电信运营商、医疗/医药、政府、交通/物流、教育、消费、能源等10多个领域，调研对象包括行业专家、攻击组织、国家政策、行业用户、安全厂商等5大维度。

《指南》报告调研行业分布

通过问卷调研结合甲方专家的实地访谈，我们发现，当前企业在高级威胁防护能力构建的过程中，面临的主要挑战有：

• 挑战一：传统防护措施失效，误报率、漏报率不断增长；
• 挑战二：数字化转型中业务暴露面和系统漏洞逐渐失控；
• 挑战三：自动化处置水平不足，人工处置工作量巨大；
• 挑战四：安全防护产品自身成熟度的挑战；
• 挑战五：新旧防护系统的升级和互操作的挑战；
• 挑战六：各厂商威胁情报的差异化不可视无法量化；
• 挑战七：企业终端分布数量广泛的挑战；
• 挑战八：专业化安全人才普遍缺乏，企业安全建设的预算有限。

攻击和防护是网络安全中没有终点的持续对抗，防不胜防的高级威胁仍会持续存在。在本次报告中，我们从政策、经济、市场、技术等维度对高级威胁防护的发展趋势进行了展望：

• 趋势一：提高威胁检测类产品性能，加快传统安全防护产品升级是必然趋势；当下利益驱动的攻击组织与企业对抗越来越频繁，“准APT攻击”已成为网络威胁的新常态，应对高级威胁防护需成为企业网络安全的必备措施之一；
• 趋势二：高级威胁攻击多变，情报更新也非常频繁，软、硬件解耦可以帮助企业实现更灵活的安全防护，软件定义的高级威胁防护产品会受到企业用户更多关注；
• 趋势三：企业业务数字化、云化转型决定了安全产品也要适配大数据、虚拟化和容器化的平台环境，高级威胁防护云化转型或是未来必然趋势；
• 趋势四：大数据学习和人工智能在威胁情报战略化、关联分析智能化、威胁检测精细化、应急响应自动化等诸多关键技术上作用已经非常明显，也将是未来加速高级威胁防护技术成熟的重要驱动力；
• 趋势五：用服务化和资源共享的思维驱动高级威胁防护，将一部分安全能力释放出来，减轻企业安全防护构建的压力是后数字化时代安全探索的重要方向。

《指南》报告的关键发现主要包括：

• 调研中，90%的调研者认为自己企业正在面临高级威胁，但其中22%的人认为对高级威胁类型并不清晰，数据显示出目前企业用户对高级威胁攻击的理解和认知尚未形成普遍共识；
• 86%的调研者认为高级威胁防护重要甚至非常重要，但50%调研者表示企业还未部署高级威胁防护设施；
• 43%的调研者认为高级威胁攻击已经常态化，并有39%的人认为高级威胁攻击成功概率较高，还有12%认为中小企业不受高级威胁影响，3%认为高级威胁仅属于国家对抗；
• 本次研究发现，市场上高级威胁检测的误报、漏洞问题仍然严重，自动化响应处置不成熟，人工处置工作量大，是目前有效高级威胁防护能力构建的主要挑战；
• 随数字化转型的深入企业的防护建设任务越来越重，如何将部分安全能力释放出来，减轻企业防护构建的压力是后数字化时期企业用户安全探索的重要任务。

分析师及产业观点

在本次调研中，安全牛收集了行业对当下高级威胁防护模型重要性的看法，对传统安全模型进行了分析，并基于防护区域、防护技术和防护机制提出了新一代高级威胁的防护能力模型（详情见报告），同时筛选出5家代表性能力安全厂商共同参与了本次《指南》报告的编写。

高级威胁防护的关键性能力及代表厂商

金睛云华技术总监 富吉祥

随着网络攻击的发展，高级威胁演进成一个复杂的攻击过程，传统基于特征的检测越来越难以应对新攻击手段。加密、隐蔽隧道等手段也增加了对潜伏高级威胁的识别难度。而且不同的网络行为具有其独特的流量模式，因此需要基于流量模式识别恶意加密流量。金睛云华通过机器学习模型检测DNS隐秘隧道流量，并通过智能图挖掘算法实现高级威胁关联分析及追溯，帮助用户企业提升了对高级威胁、未知威胁、特别是加密恶意流量和隐蔽通信的检测响应能力。

奇安信攻防安全BG天眼产品经理 黄源

数据显示，我国已经超过美国、 韩国、中东等国家和地区，成为全球APT攻击的首要地区性目标。在此背景下，我国企业加强高级威胁攻击防护能力建设的重要性不言而喻。奇安信网神新一代安全感知系统以攻防渗透和数据分析为核心竞争力，聚焦威胁检测和响应，为客户提供安全服务与产品解决方案，为安全服务和分析人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台。”

中睿天下安全服务部总经理 李微著

面对新形势下的网络威胁与挑战，安全市场正在从合规型向以“实战对抗“为核心的效果型加速转变。实战攻防已经成为常态化，此形式下效果型安全产品成为刚需。平均检测时间（MTTD）、平均响应时间（MTTR）及安全事件回溯的完整性（SIRI）是从威胁发现、研判、响应到追踪溯源，闭环安全事件考验的三要素。中睿天下的XDR解决方案具有能力中心智慧化、专业化，边缘区域自动化、工业化的特点，帮助企业用户实现了技术能力工具化，保证了企业内部响应能力和情报的集中管理。

安芯网盾产品总监 朱燕涛

要以底层技术能力解决上层安全问题的思路，实现高阶对低阶的‘降维打击’，内存保护系统在内存访问行为及系统层面溯源具有3个天然优势：可实现全面可视化能力；可以确保采集到信息足够多；足够细从而形成强大溯源分析能力，安芯网盾解决方案通过实时响应、联动处置、产品和服务三大体系建设，可帮助用户实现真正程序运行时保护能力、内存行为全面监控、漏洞防御与检测和攻击威胁防御。

《指南》报告主笔分析师 徐晓丽

目前国内网络安全的对抗能力正在逐渐从静态向动态、从单点检测向聚合分析、从数据分析向人工智能演进，传统的威胁检测能力会逐渐老化，降为合规要求，下沉到网络基础设施建设，新兴的高级威胁检测和防护能力在不断前置和左移，并远离应用和数据。但在目前状态下，企业应对高级网络攻击关键技术的漏报率和误报率还处于较高的水平。从当下数字化转型的节点来看，企业高级威胁防护工作正面临着场景化和新技术驱动的双重变革，还需要经历一个从低位复苏到逐渐成熟的自我完善过程。