【华金证券】AI浪潮下的网络安全产业变革深度报告.pdf

2023-12-18

49页

5MB

AI+安全驱动需求侧：AI加剧安全威胁

AI赋能安全攻击加剧整体安全威胁

大模型/生成式AI对于网络安全行业的影响与其他行业有所不同，AI不仅仅是对于安全产品形态本身带来改变（防御视角），而且能够通过大幅降低了安全攻击的门槛，进而带来行业总需求的提升（攻击视角）。AI将带来安全攻击的新变化：社会工程攻击、漏洞与攻击面发现、恶意代码生成等。AI/自动化攻击工具今年下半年进入规模化和产业化阶段。比如FraudGPT在暗网市场和Telegram平台进行售卖：1)1个月计划定价为200美元；2)3月计划定价450美元；3)6个月计划定价1000美元;4)一年计划定价1700美元。

AI/大模型存在原生安全问题

AI/大模型存在原生安全问题，其中对安全投入影响最大的为数据安全和AI工程化领域。数据安全既包括了训练阶段数据采集不当、存在偏见或标签错误、数据被投毒等，也包括了模型在应用的过程中，面临数据泄露、隐私曝光等风险隐私曝光等风险。通常需要采取包括数据加密、隐私计算、数据清晰等数据安全保障手段。

AI+安全变革产品侧：安全运营自动化

海外AI+安全Copilot工具

今年3月微软发布了首个生成式AI安全产品Security Copilot后，多家头部厂商包括Crowdstrike、Google均推出了对应安全Copilot类产品。安全Copilot类产品的主要功能包括基于自然语言和AI辅助的安全状态查询、威胁搜寻、安全事件响应等。

AI+安全的结合点：安全运营

AI+安全的主要结合点集中在安全运营+安全平台领域，目前AI2.0+安全产品主要可分为两类：1）安全Copilot产品：代表为Microsoft Security Copilot和Crowdstrike Charlotte AI；2）AI驱动的安全平台：代表为PaloAlto Networks推出的基于AI驱动的新产品XSIAM（扩展安全智能和自动化管理）。

为什么是安全运营？

安全运营是安全行业自动化程度最低的领域：在一个网络安全系统的各个组成中，防火墙、端点安全等单点的安全产品已经具备了较高的自动化水平，而安全运营本是自动化程度最低的一环。这是由安全的复杂性决定的。安全运营是安全行业最需要AI深度改造的环节：1）传统安全设备是第三方的，多且杂，数据混乱，导致误报率高，变成了真实风险看不到，出现威胁防不了；2）安全运营工作压力太大，上万威胁，且90%非真实威胁，效率低下。

AI将带来安全运营效率的飞跃

能力提升（从一线运营到安全专家）：对于经验不足的IT和安全专业人员， AI可以帮助他们更快地做出更好的决策，让更高级的安全操作变得更加容易，能够迅速达到中高级安全人员的处置能力，降低安全运营门槛；效率提升（响应处置时间从天/小时到秒）：安全人员水平可自动执行数据收集、提取以及威胁搜索和检测等重复且繁琐的任务，缩短对关键事件的响应时间，同时通过简单的自然语言提示实现任何检测、调查或响应工作流程，降低安全运营的时间和人力成本。

微软Security Copilot：首个生成式AI安全产品

微软3月发布的Security Copilot是全球首个生成式AI安全工具，底层模型由ChatGPT-4驱动，并结合了微软的安全专用模型。模型每天持续学习微软在其威胁情报中收集的超过65万亿个信号数据，为SecurityCopilot幕后的安全专业人员提供支持。 Security Copilot拥有一个极其简洁的界面，能够接受自然语言输入，用户只需向其发送提示——可以是问题和请求，也可以是文件、URL、代码片段或威胁指标——Security Copilot会动用安全模型的全部功能来分析事件或执行任务。

Microsoft Security Copilot的几个关键应用功能包括：安全事件解读与分析、优先级排序与深度分析、安全知识助手、内部态势评估总结、创建汇报文档等。例如：安全管理人员可以使用自然语言询问与安全相关的问题，例如“公司中发生了哪些安全事件？”。Security Copilot 可以总结出由公司网络安全系统和外部数据生成的威胁报告，同时聊天机器人还可用于帮助安全管理人员进行安全调查、创建报告和总结事件。 Security Copilot在10月份已经开启测试，11月20日在微软Ignite大会上，推出首款集成Security Copilot的统一安全运营平台，数据安全、身份、设备管理等领域产品全面集成Security Copilot。

Crowdstrike的生成式AI产品Charlotte AI

Crowdstrike今年5月发布了生成式AI产品Charlotte AI，定位为虚拟安全分析师，可以帮助安全运营中心(SOC)的分析师自动化履行职责。安全分析师可以与Charlotte AI进行对话，询问有关环境中的安全威胁、如何应用于其行业、哪些资产面临风险、如何修复这些资产的问题，甚至可以创建有关情况的报告。Crowdstrike从成立以来就一直处于AI+安全创新的前沿，作为EDR的开创者，Crowdstrike借助Charlotte AI，正在将AI+安全的领先优势扩大到生成式AI。

Crowdstrike基于AI驱动的XDR平台框架

除了生成式AI安全工具Charlotte AI之前，目前Crowdstrike已经将大模型能力作为XDR平台的重要组成部分。基于多个基础模型，利用CrowdStrike的高保真数据优势，能够为整个Falcon平台提供生成式AI功能。

Crowdstrike Charlotte AI定价公布

Crowdstrike在推出Charlotte AI之后，在Q3推出数据产品Raptor（把所有数据从过去的分在不同终端统一通过raptor整合进charlotte），通过AI+数据+平台，可以将过去8hrs的运营时间降低到几分钟，同时交互和易用性大幅提升。 Charlotte AI的定价是20美元/终端，公司管理层认为未来将达到70亿美金的市场规模，不亚于目前的几条核心产品线（比如Falcon IT）。

Crowdstrike业绩指引大幅上修

Crowdstrike在今年第二财季大幅上调对未来业务空间和盈利模型，同时预计未来五到七年内实现100亿美元ARR，公司预计未来3-5年的营业利润率达到28-32%，原目标是20-22%，是近期最强的美股业绩预期上修之一，同时在第三财季公司继续保持第二财季的高预期。

Palo Alto Networks：XSIAM

网络安全龙头厂商Palo Alto Networks在去年底推出了基于AI驱动的新产品XSIAM（扩展安全智能和自动化管理）。XSIAM是⼀个云交付的集成SOC平台，统⼀了EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等模块，将威胁检测、事件管理、威胁情报、自动化、攻击面管理等将多个产品整合到⼀个集成平台中。

XSIAM是未来安全平台的雏形

XSIAM的背后是精准AI（精准检索和响应）和生成式AI（便捷交互和理解），强调用AI&ML重塑安全，处理数据量6X、误报率减少70%、自动化率大幅提升、响应速度从2-3天变成16mins-5hrs。

XSIAM是未来安全平台的雏形

XSIAM商业化取得极大成功：自全面推出了XSIAM以来，Palo Alto Networks制定了第一年收入达1亿美元的目标，从实际情况来看，公司连续两个季度内均获得了千万美元级大单，推出第一年XSIAM收入已达2亿美元，远远超出了此前设立的目标。 XSIAM有望在短时间内达到10亿美元体量：公司计划在XSIAM现在功能基础上，未来3-5年将推出10个以上的新增的XSIAM模块（包括自有和合作伙伴模块），进一步扩大AI大平台的能力边界。同时公司披露XSIAM的Pipeline在最新财季已经达到10亿美元体量，有望成为公司增长最快且体量最大的产品线。

XSIAM进一步拉动公司在安全平台领域的优势

根据最新财报数据，公司Cortex活跃客户数量增长了25%，达到5300多家。Cortex中XDR、XSOAR、Xpanse和XSIAM产品均获得多项行业认可，其中，Cortex XDR是业内唯一在第一轮MITRE评估中实现100%保护和检测的产品，而XSOAR、Xpanse和XSIAM都在GigaOm等第三方评选中处于领导者位置。 Cortex板块的持续增长将巩固公司在安全运营领域的竞争优势。根据公司CEO Nikesh Arora，目前在SOC领域公司主要竞争对手有4-5个，未来随着逐渐集成AI、安全管理、端点安全能力，主要竞争对手将会缩减到2-3个。

AI+安全的长期思考：竞争格局改变

关注安全行业格局长期提升的机会

安全行业格局现状：主要子赛道各自为王，底层技术栈的差异，导致不同赛道的头部厂商优势产品各有不同，没有出现能统一分散安全能力的大平台大公司；同时，用户在各个领域选择最好/最便宜/关系最好的厂商，然后做大集成，单一安全厂商很难在所有领域都占据头部位置。

过去技术创新是否改变了行业格局？

安全行业是一个技术创新非常频繁的行业，通常而言平均每3年时间就会有一轮小的技术迭代，但大多数情况下，新技术并不能形成独立赛道或催生出大公司，而是被过去的产品所内化。比如：UEBA、SOAR等功能逐渐融入SIEM。从投资的维度我们希望寻找的是：1）技术变革产生于足够大的赛道；2）能够对格局产生影响的重大技术创新。比如：下一代防火墙（Palo alto Networks）、端点检测与响应EDR（Crowdstrike）。

AI+安全：小变革还是大变革？

长周期看，安全行业并不缺少景气度（全球安全市场长期增速维持在7%-15%，国内安全市场短期虽然景气在低位，但长期预期复合增速仍将保持在19%左右），因此安全行业的机会往往来自于格局的变化（能够催生出大公司）。安全行业格局变化的机会大小与两个因素有关，一是技术的颠覆性，即是否能够带来产品的重要变化，二是赛道规模的大小，其中，单赛道级的变革有下一代防火墙、EDR、终端国产化等，而云和AI将对安全产业的影响将大于过去单点的技术和产品创新。

AI对格局的影响：安全大数据的重要性显著提升

AI带来竞争格局改变的可能:安全大数据提升了安全行业的规模效应。数据成为关键竞争要素，数据能力(包括获取/处理数据的能力）决定了安全能力，AI+安全的核心壁垒，是用更强大的模型来挖掘安全大数据安全大数据的两大底座：云（足够大的数据量）+AI（足够强的数据分析能力），安全数据本质多源异构数据，从安全设备的二手数据到一手遥测数据，包括端点、网络、防火墙、电子邮件、身份和DNS，分析和关联所有这些本地遥测数据+云端威胁情报，集遥测数据的单独组件，以一致的方式将其组合在一起以识别和阻止威胁。大模型出现后，海外厂商强调的是AI带来的海量数据分析、理解、自动化处理和生成的能力，特别是那些云安全做的比较好且本身产品体系完善的厂商，用户多、数据多，规模效应更明显。

国内AI+安全现状：明年产品有望放量

国内AI+安全进展：预期不充分、产品还未铺开

国内AI+安全进展：包括深信服、奇安信、安恒等十余家头部厂商已发布AI+安全产品，目前正处于产品测试与市场推广的初期，预计明年产品将全面铺开。中长期维度对AI带来的安全行业的变化——痛点解决得很明确，既会酝酿出新的大赛道上的新单品，也有希望从根本上改变安全的“复杂性”。

大模型如何落地：云化VS本地化

在大模型落地方式上，目前国内外安全市场存在明显差异。海外市场：云化部署占主导。海外客户对安全SaaS接受度较高，包括Crowdstrike、Panw等头部安全厂商均采取云优先的战略来推AI，头部安全厂商能够基于安全大数据去迭代优化安全能力。国内市场：私有化本地化部署为主，少数场景也会考虑云化部署的模式。国内政府、金融等头部客户对数据安全要求较高，同时考虑算力成本以及大模型本地实施需求，训练/推理一体机的模式有望成为主流。

模式一：深信服安全GPT

深信服在5月18日发布了国内首个安全垂直领域GPT大模型“安全GPT” ，在9月22日展示了安全GPT的落地成果与2.0版本的升级，安全GPT2.0在检测和运营能力上得到了进一步提升。安全GPT 2.0升级的能力可分为两种，其一为检测大模型，即作为新一代检测引擎，更准确、更快速地侦测到潜在的入侵活动，如0day漏洞、APT隐蔽威胁入侵等；其二为运营大模型，即作为安全运营智能助手，实现自动化值守，提升安全运营效率和效果。目前深信服安全GPT支持SaaS化及本地化多种部署方式，满足用户不同需求。在产品端，安全GPT现已全面赋能安全托管服务MSS，服务专家与“数字化助理”。

模式二：安恒恒脑大模型及昇腾一体机

安恒信息“恒脑·安全垂域大模型”于8月28日正式对外发布，同时发布了基于“恒脑”的安全运营平台。“恒脑”平台能够为用户带来安全能力和安全效率的提升。1）安全能力提升：能够从各种安全工具和数据源中收集、整合和分析信息，与态势感知、资产管理系统、威胁情报平台、漏洞管理系统等其他产品集成，从而实现全面的威胁情报分析和事件响应；通过大模型自动识别和分析安全事件，学习和适应新的威胁模式，从而提高对未知威胁的检测能力；2）安全效率提升：通过智能编排来提高安全团队的效率和响应能力，帮助安全团队减少手动操作的工作量，从而提高响应速度和准确性。目前恒脑大模型已顺利通过AI框架昇思MindSpore相互兼容性测试认证，基于昇腾联合开发的大模型一体机已完成适配，在国内安全大模型一体机落地上已占据明显先发优势。目前安恒信息已开始向客户交付恒脑大模型和一体机，主要服务于大型央国企客户，与其他厂商相比，公司拥有更早、更快拿货的优先权益。在近日的昇腾AI创新大赛2023浙江赛区决赛中公司凭借该解决方案获得应用赛道金奖，展现与华为昇腾在大模型领域的深入合作。

报告节选：

（本文仅供参考，不代表我们的任何投资建议。如需使用相关信息，请参阅报告原文。）