【华金证券】AI浪潮下的网络安全产业变革深度报告.pdf

2023-12-18
49页
5MB

AI+安全驱动需求侧:AI加剧安全威胁


AI赋能安全攻击加剧整体安全威胁


大模型/生成式AI对于网络安全行业的影响与其他行业有所不同,AI不仅仅是对于安全产品形态本身带来改变(防御视角),而且能够通过大幅降低了安全攻击的门槛,进而带来行业总需求的提升(攻击视角)。AI将带来安全攻击的新变化:社会工程攻击、漏洞与攻击面发现、恶意代码生成等。AI/自动化攻击工具今年下半年进入规模化和产业化阶段。比如FraudGPT在暗网市场和Telegram平台进行售卖:1)1个月计划定价为200美元;2)3月计划定价450美元;3)6个月计划定价1000美元;4)一年计划定价1700美元。


AI/大模型存在原生安全问题


AI/大模型存在原生安全问题,其中对安全投入影响最大的为数据安全和AI工程化领域。数据安全既包括了训练阶段数据采集不当、存在偏见或标签错误、数据被投毒等,也包括了模型在应用的过程中,面临数据泄露、隐私曝光等风险隐私曝光等风险。通常需要采取包括数据加密、隐私计算、数据清晰等数据安全保障手段。


AI+安全变革产品侧:安全运营自动化


海外AI+安全Copilot工具


今年3月微软发布了首个生成式AI安全产品Security Copilot后,多家头部厂商包括Crowdstrike、Google均推出了对应安全Copilot类产品。安全Copilot类产品的主要功能包括基于自然语言和AI辅助的安全状态查询、威胁搜寻、安全事件响应等。


AI+安全的结合点:安全运营


AI+安全的主要结合点集中在安全运营+安全平台领域,目前AI2.0+安全产品主要可分为两类:1)安全Copilot产品:代表为Microsoft Security Copilot和Crowdstrike Charlotte AI;2)AI驱动的安全平台:代表为PaloAlto Networks推出的基于AI驱动的新产品XSIAM(扩展安全智能和自动化管理)。


为什么是安全运营?


安全运营是安全行业自动化程度最低的领域:在一个网络安全系统的各个组成中,防火墙、端点安全等单点的安全产品已经具备了较高的自动化水平,而安全运营本是自动化程度最低的一环。这是由安全的复杂性决定的。安全运营是安全行业最需要AI深度改造的环节:1)传统安全设备是第三方的,多且杂,数据混乱,导致误报率高,变成了真实风险看不到,出现威胁防不了;2)安全运营工作压力太大,上万威胁,且90%非真实威胁,效率低下。


AI将带来安全运营效率的飞跃


能力提升(从一线运营到安全专家):对于经验不足的IT和安全专业人员, AI可以帮助他们更快地做出更好的决策,让更高级的安全操作变得更加容易,能够迅速达到中高级安全人员的处置能力,降低安全运营门槛;效率提升(响应处置时间从天/小时到秒):安全人员水平可自动执行数据收集、提取以及威胁搜索和检测等重复且繁琐的任务,缩短对关键事件的响应时间,同时通过简单的自然语言提示实现任何检测、调查或响应工作流程,降低安全运营的时间和人力成本。


微软Security Copilot:首个生成式AI安全产品


微软3月发布的Security Copilot是全球首个生成式AI安全工具,底层模型由ChatGPT-4驱动,并结合了微软的安全专用模型。模型每天持续学习微软在其威胁情报中收集的超过65万亿个信号数据,为SecurityCopilot幕后的安全专业人员提供支持。 Security Copilot拥有一个极其简洁的界面,能够接受自然语言输入,用户只需向其发送提示——可以是问题和请求,也可以是文件、URL、代码片段或威胁指标——Security Copilot会动用安全模型的全部功能来分析事件或执行任务。


Microsoft Security Copilot的几个关键应用功能包括:安全事件解读与分析、优先级排序与深度分析、安全知识助手、内部态势评估总结、创建汇报文档等。 例如:安全管理人员可以使用自然语言询问与安全相关的问题,例如“公司中发生了哪些安全事件?”。Security Copilot 可以总结出由公司网络安全系统和外部数据生成的威胁报告,同时聊天机器人还可用于帮助安全管理人员进行安全调查、创建报告和总结事件。 Security Copilot在10月份已经开启测试,11月20日在微软Ignite大会上,推出首款集成Security Copilot的统一安全运营平台,数据安全、身份、设备管理等领域产品全面集成Security Copilot。


Crowdstrike的生成式AI产品Charlotte AI


Crowdstrike今年5月发布了生成式AI产品Charlotte AI,定位为虚拟安全分析师,可以帮助安全运营中心(SOC)的分析师自动化履行职责。安全分析师可以与Charlotte AI进行对话,询问有关环境中的安全威胁、如何应用于其行业、哪些资产面临风险、如何修复这些资产的问题,甚至可以创建有关情况的报告。Crowdstrike从成立以来就一直处于AI+安全创新的前沿,作为EDR的开创者,Crowdstrike借助Charlotte AI,正在将AI+安全的领先优势扩大到生成式AI。


Crowdstrike基于AI驱动的XDR平台框架


除了生成式AI安全工具Charlotte AI之前,目前Crowdstrike已经将大模型能力作为XDR平台的重要组成部分。基于多个基础模型,利用CrowdStrike的高保真数据优势,能够为整个Falcon平台提供生成式AI功能。


Crowdstrike Charlotte AI定价公布


Crowdstrike在推出Charlotte AI之后,在Q3推出数据产品Raptor(把所有数据从过去的分在不同终端统一通过raptor整合进charlotte),通过AI+数据+平台,可以将过去8hrs的运营时间降低到几分钟,同时交互和易用性大幅提升。 Charlotte AI的定价是20美元/终端,公司管理层认为未来将达到70亿美金的市场规模,不亚于目前的几条核心产品线(比如Falcon IT)。


Crowdstrike业绩指引大幅上修


Crowdstrike在今年第二财季大幅上调对未来业务空间和盈利模型,同时预计未来五到七年内实现100亿美元ARR,公司预计未来3-5年的营业利润率达到28-32%,原目标是20-22%,是近期最强的美股业绩预期上修之一,同时在第三财季公司继续保持第二财季的高预期。


Palo Alto Networks:XSIAM


网络安全龙头厂商Palo Alto Networks在去年底推出了基于AI驱动的新产品XSIAM(扩展安全智能和自动化管理)。XSIAM是⼀个云交付的集成SOC平台,统⼀了EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等模块,将威胁检测、事件管理、威胁情报、自动化、攻击面管理等将多个产品整合到⼀个集成平台中。


XSIAM是未来安全平台的雏形


XSIAM的背后是精准AI(精准检索和响应)和生成式AI(便捷交互和理解),强调用AI&ML重塑安全,处理数据量6X、误报率减少70%、自动化率大幅提升、响应速度从2-3天变成16mins-5hrs。


XSIAM是未来安全平台的雏形


XSIAM商业化取得极大成功:自全面推出了XSIAM以来,Palo Alto Networks制定了第一年收入达1亿美元的目标,从实际情况来看,公司连续两个季度内均获得了千万美元级大单,推出第一年XSIAM收入已达2亿美元,远远超出了此前设立的目标。 XSIAM有望在短时间内达到10亿美元体量:公司计划在XSIAM现在功能基础上,未来3-5年将推出10个以上的新增的XSIAM模块(包括自有和合作伙伴模块),进一步扩大AI大平台的能力边界。同时公司披露XSIAM的Pipeline在最新财季已经达到10亿美元体量,有望成为公司增长最快且体量最大的产品线。


XSIAM进一步拉动公司在安全平台领域的优势


根据最新财报数据,公司Cortex活跃客户数量增长了25%,达到5300多家。Cortex中XDR、XSOAR、Xpanse和XSIAM产品均获得多项行业认可,其中,Cortex XDR是业内唯一在第一轮MITRE评估中实现100%保护和检测的产品,而XSOAR、Xpanse和XSIAM都在GigaOm等第三方评选中处于领导者位置。 Cortex板块的持续增长将巩固公司在安全运营领域的竞争优势。根据公司CEO Nikesh Arora,目前在SOC领域公司主要竞争对手有4-5个,未来随着逐渐集成AI、安全管理、端点安全能力,主要竞争对手将会缩减到2-3个。


AI+安全的长期思考:竞争格局改变


关注安全行业格局长期提升的机会


安全行业格局现状:主要子赛道各自为王,底层技术栈的差异,导致不同赛道的头部厂商优势产品各有不同,没有出现能统一分散安全能力的大平台大公司;同时,用户在各个领域选择最好/最便宜/关系最好的厂商,然后做大集成,单一安全厂商很难在所有领域都占据头部位置。


过去技术创新是否改变了行业格局?


安全行业是一个技术创新非常频繁的行业,通常而言平均每3年时间就会有一轮小的技术迭代,但大多数情况下,新技术并不能形成独立赛道或催生出大公司,而是被过去的产品所内化。比如:UEBA、SOAR等功能逐渐融入SIEM。从投资的维度我们希望寻找的是:1)技术变革产生于足够大的赛道;2)能够对格局产生影响的重大技术创新。比如:下一代防火墙(Palo alto Networks)、端点检测与响应EDR(Crowdstrike)。


AI+安全:小变革还是大变革?


长周期看,安全行业并不缺少景气度(全球安全市场长期增速维持在7%-15%,国内安全市场短期虽然景气在低位,但长期预期复合增速仍将保持在19%左右),因此安全行业的机会往往来自于格局的变化(能够催生出大公司)。安全行业格局变化的机会大小与两个因素有关,一是技术的颠覆性,即是否能够带来产品的重要变化,二是赛道规模的大小,其中,单赛道级的变革有下一代防火墙、EDR、终端国产化等,而云和AI将对安全产业的影响将大于过去单点的技术和产品创新。


AI对格局的影响:安全大数据的重要性显著提升


AI带来竞争格局改变的可能:安全大数据提升了安全行业的规模效应。数据成为关键竞争要素,数据能力(包括获取/处理数据的能力)决定了安全能力,AI+安全的核心壁垒,是用更强大的模型来挖掘安全大数据安全大数据的两大底座:云(足够大的数据量)+AI(足够强的数据分析能力),安全数据本质多源异构数据,从安全设备的二手数据到一手遥测数据,包括端点、网络、防火墙、电子邮件、身份和DNS,分析和关联所有这些本地遥测数据+云端威胁情报,集遥测数据的单独组件,以一致的方式将其组合在一起以识别和阻止威胁。大模型出现后,海外厂商强调的是AI带来的海量数据分析、理解、自动化处理和生成的能力,特别是那些云安全做的比较好且本身产品体系完善的厂商,用户多、数据多,规模效应更明显。


国内AI+安全现状:明年产品有望放量


国内AI+安全进展:预期不充分、产品还未铺开


国内AI+安全进展:包括深信服、奇安信、安恒等十余家头部厂商已发布AI+安全产品,目前正处于产品测试与市场推广的初期,预计明年产品将全面铺开。 中长期维度对AI带来的安全行业的变化——痛点解决得很明确,既会酝酿出新的大赛道上的新单品,也有希望从根本上改变安全的“复杂性”。


大模型如何落地:云化VS本地化


在大模型落地方式上,目前国内外安全市场存在明显差异。 海外市场:云化部署占主导。海外客户对安全SaaS接受度较高,包括Crowdstrike、Panw等头部安全厂商均采取云优先的战略来推AI,头部安全厂商能够基于安全大数据去迭代优化安全能力。国内市场:私有化本地化部署为主,少数场景也会考虑云化部署的模式。国内政府、金融等头部客户对数据安全要求较高,同时考虑算力成本以及大模型本地实施需求,训练/推理一体机的模式有望成为主流。


模式一:深信服安全GPT


深信服在5月18日发布了国内首个安全垂直领域GPT大模型“安全GPT” ,在9月22日展示了安全GPT的落地成果与2.0版本的升级,安全GPT2.0在检测和运营能力上得到了进一步提升。安全GPT 2.0升级的能力可分为两种,其一为检测大模型,即作为新一代检测引擎,更准确、更快速地侦测到潜在的入侵活动,如0day漏洞、APT隐蔽威胁入侵等;其二为运营大模型,即作为安全运营智能助手,实现自动化值守,提升安全运营效率和效果。目前深信服安全GPT支持SaaS化及本地化多种部署方式,满足用户不同需求。在产品端,安全GPT现已全面赋能安全托管服务MSS,服务专家与“数字化助理”。


模式二:安恒恒脑大模型及昇腾一体机


安恒信息“恒脑·安全垂域大模型”于8月28日正式对外发布,同时发布了基于“恒脑”的安全运营平台。“恒脑”平台能够为用户带来安全能力和安全效率的提升。1)安全能力提升:能够从各种安全工具和数据源中收集、整合和分析信息,与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等其他产品集成,从而实现全面的威胁情报分析和事件响应;通过大模型自动识别和分析安全事件,学习和适应新的威胁模式,从而提高对未知威胁的检测能力;2)安全效率提升:通过智能编排来提高安全团队的效率和响应能力,帮助安全团队减少手动操作的工作量,从而提高响应速度和准确性。 目前恒脑大模型已顺利通过AI框架昇思MindSpore相互兼容性测试认证,基于昇腾联合开发的大模型一体机已完成适配,在国内安全大模型一体机落地上已占据明显先发优势。目前安恒信息已开始向客户交付恒脑大模型和一体机,主要服务于大型央国企客户,与其他厂商相比,公司拥有更早、更快拿货的优先权益。在近日的昇腾AI创新大赛2023浙江赛区决赛中公司凭借该解决方案获得应用赛道金奖,展现与华为昇腾在大模型领域的深入合作。


报告节选:


(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)


相关报告

人工智能行业研究报告:AI浪潮下的网络安全产业变革.pdf

安永-智启新质生产力:生成式人工智能在医疗医药领域的潜在应用.pdf

联想高性能计算和人工智能医疗行业生命科学解决方案白皮书.pdf

人工智能专题报告:人形机器人步入软件定义和AI驱动时代.pdf

安永-金融服务业领导网络:应对人工智能在金融服务业的迅猛发展.pdf

人工智能赋能新型工业化.pdf

2024年全球网络安全前景.pdf

网络安全整体保障方案.docx

构建网络安全运营体系 .pptx

智慧机场网络安全解决方案.pdf

毕马威-2024网络安全行业重要趋势.pdf

AI人脸识别诈骗敲响金融安全警钟.pdf

AI搜索专题报告:怎么看Kimi的空间?.pdf

边缘AI行业研究报告:边缘AI硬件,引领硬件创新时代.pdf

人形机器人专题报告:AI驱动,未来已来.pdf

建筑行业2024年春季投资策略:新国九条催化央企市值国改,低空经济AI与铜矿有色弹性大.pdf

【华金证券】AI浪潮下的网络安全产业变革深度报告.pdf-第一页
联系烽火研报客服烽火研报客服头像
  • 服务热线
  • 4000832158
  • 客服微信
  • 烽火研报客服二维码
  • 客服咨询时间
  • 工作日8:30-18:00