网络安全行业的发展趋势

你好，我是何为舟。

只有看清楚未来，才能做好当下。作为本次加餐的最后一篇，我想聊聊我对目前网络安全发展趋势的思考，以及对网络安全未来形态的判断，希望能够帮助你构造出自己的安全价值观，确定自己的长期发展目标，从而更有方向性地学习和成长。

网络安全行业演化历史

展望未来之前，我们先来回顾一下历史，了解网络安全行业是怎么一步一步发展至今的。我们可以将其划分为四个阶段：概念起步阶段、技术演进阶段、体系成熟阶段和效果验证阶段。

首先是概念起步阶段。

从上世纪90年代初，互联网刚刚开始普及，但安全意识和防御水平相对落后，因此出现了很多恐慌性事件，如著名的“熊猫烧香”。它们实际造成的损失有限，毕竟还没有人把大量资产放置于互联网之上，攻击者们也大多是出于“炫技”的目的。但这些事件成功地引起了大众的恐慌，人们开始意识到需要一些安全工具来提供防护了。

反病毒软件、防火墙等基础安全工具，在这个阶段得到了快速的发展。目前很多的乙方安全厂商，如360、绿盟、启明星辰等，都是在这一阶段诞生的。

2010年前后，进入了技术演进阶段。跟随国外安全产业的发展，很多新的技术被引入，最典型的如WAF、IDS/IPS等。分析技术上，也由原来的静态特征码，开始演变为动态沙箱、评分卡等更为复杂的策略体系。

政策法规也在这个期间得到了不断的完善和落地。等级保护、密码管理等制度开始在各个政府部门和企业进行落地，诞生了以“合规”为主要驱动力的市场。奇安信就是在这一时期诞生，并最终脱离出360，专注于2B市场的安全服务。

随着2013年斯诺登事件爆发，网络安全行业进入了体系成熟阶段。斯诺登事件反映了美国对网络安全的重视程度，以及其利用网络安全技术所实现的国家级竞争优势。这大大促进了国家对网络安全行业的发展和重视，随后几年网信办等政府部门开始成立，《网络安全法》、《数据安全法》等重要法律法规也接连出台。

而经过早期的技术积累，网络安全攻防认知也得到了充分演进。人们发现单一的安全产品无法应对复杂的攻防场景，安全全景、纵深防御等架构性的概念在这个阶段开始逐步被提出来，各行各业也纷纷分享经验，带来了更多市场发展的空间。

最后是效果验证阶段。

2018年，国家级网络攻防演练活动开始引起行业的关注。政府部门组织攻击队伍，对各个企业进行模拟网络攻击。通过暴露问题，引起了各个公司对安全问题的重视，以攻促防。

这个模式为网络安全行业带来进一步变革：在过去的合规驱动模式下，公司只需要按照要求购买并部署相应的安全设施，哪怕不通电，都可以蒙混过关；而在攻防演练模式下，这些表面工夫都毫无意义，各个公司开始思考如何才能够真正防御住外部攻击。

通过上述的历史阶段回顾，我们可以发现，网络安全行业刚刚完成了一个从0到1的发展过程。由早期的恐慌但不知所措，到后来的依葫芦画瓢，照搬一通，安全确实投入了，但效果并不大，并不能真正意义上起到阻断攻击者的效果。如今，行业开始讲究实战效果，并通过攻防演练验证，这才真正体现了安全带来的实际收益。

网络安全行业的现状

一个普遍共识是网络安全行业正在经历一轮“寒冬”，既是因为整体经济环境的下行，也是由于对安全的诉求发生了转变，即讲究实战效果。

这和保险行业的演进非常类似：保险行业早期经历过一波野蛮发展，主要依靠销售的“忽悠”，但实际效果很差，想要理赔的时候很难兑现。这就导致保险的名声跌到了谷底，被各种吐槽诟病。但平心而论，保险确实是对抗风险的一种有效且必要手段。随着人们认知水平的提高，近几年很多人开始重新了解和尝试配置自己的保险服务。而保险行业自身也发生了明显的转变，保险经纪人不再单纯忽悠，而是开始通过专业的对比分析，来帮助人们量身定制合适的保险方案。

安全行业同样如此。过去，乙方安全厂商很大一部分投入是在销售方面，而不是产品研发。当公司以合规为驱动投入安全建设时，销售确实能够满足公司诉求。但随着公司开始关注实际效果，安全产品的有效性以及持续的安全运营，才是能够争取到客户的核心竞争力。

在这个阶段，安全能力的可管理和可验证是核心关注点，近几年也诞生了不少相关的技术和概念，最典型的为ASM（Attacking Sufface Management，攻击面管理）。

ASM的思路是识别可能被攻击者利用的薄弱环节，并制定合适的优先级策略进行修补和加固。这其中，“攻击者视角”是其核心所在，是讲究实战效果的具象化体现。过往的安全策略，通常是追求各种安全能力的全量资产的100%覆盖，但这个目标有两个致命缺陷。

一方面，并不是所有的资产都有必要受到保护，有的资产可能是内网的，可能需要特殊账号才能触达，实际上被利用的风险很低，覆盖安全能力就产生了成本上的浪费；另一方面，100%覆盖的分母往往是基于内部的资产库来计算的。但实际情况下，资产库总会存在各种各样的盲区，导致严重的视野缺失，让所谓的100%覆盖变成了一个笑话。

因此，ASM会尝试以攻击者视角来定义资产大盘，并尝试衡量不同资产的暴露程度，以合理地分配安全投入资源。

比较有意思的事情是，围绕ASM衍生出了不少细分概念，如EASM（External Attack Surface Management）、CAASM（Cyber Asset Attack Surface Management）、CTEM（Continuous Threat Exposure Management）等。如果你去搜索它们的描述，就能够发现其实在技术实现上并没有太多差异，只是管理思路上的不同。这其实就代表着网络安全行业目前正在探索的主要方向：如何将过往积累的各种技术能力有效地管理起来，以确保在实战中能够产生相应的防御效果。

网络安全行业的未来

在当前日益注重实战效果的背景下，网络安全行业正经历着从技术密集型向劳动密集型的转变。过去，安全公司主要依赖于提供各种安全产品，而如今，它们更多地转向提供多样化的安全服务，以满足客户日益复杂和多元化的需求。在这种转变中，MSS（Managed Security Services，安全托管运营服务）逐渐成为网络安全行业的必然发展方向。

尽管 MSS 的概念和实践已逐步推广，但目前尚未显现出明显的规模效应。许多安全公司虽然为众多企业提供了安全服务，但这种服务模式往往只是通过增加安全服务人员的投入来应对客户需求，没有显著提高整体运营效率。这种现象的核心挑战在于，各个企业的需求差异性较大，个性化要求繁多，导致安全服务的提供更多依赖于人力资源。

例如，一家金融机构可能需要高度定制化的风险监控和合规服务，而制造企业可能更关注工业控制系统的安全。这种个性化需求使得服务标准化和规模化变得困难，安全公司难以通过传统手段实现效率的提升。

然而，从市场发展规律来看，任何行业在充分发展之后，规模效应所带来的效率提升都是一个必然趋势。而在大模型和人工智能技术迅速发展的今天，这些技术为解决安全场景下的个性化问题提供了不错的解决思路。

在不久的将来，安全公司有望开发出类似于“安全Copilot”的智能机器人，这些机器人将能够在少量安全服务人员的配合下，为大量企业提供高效、定制化的托管安全服务。

目前，微软的安全Copilot属于头部玩家，能够实现以对话的形式去获取当前的主要风险事项和关注点，并给出相应的建议和措施。既能够提升效率，也降低人为因素导致的疏忽。

但现阶段的安全Copilot离我心目中的理想形态，还存在着两个比较明显的缺陷：

• 一方面，Copilot对API有很强的依赖，然而很多公司并不具备成熟的线上化能力，很多操作还是人工执行的，这就大大降低了Copilot的作用。

• 另一方面，Copilot的可调节性不足，简单的微调很难让大模型理解公司的实际安全偏好，导致给出的建议过于通用，实用性不足。

随着大模型的持续发展，其调用外部工具的能力和定制化训练的成本，应该都能够得到大幅度优化。那时，一家公司能够以很低的成本接入安全Copilot，安全Copilot也能够很好地理解和适应不同企业的特定需求，就能够实现真正意义上的规模化效应。

总结

今天，我们主要探讨了网络安全行业的过去、现状，以及未来发展趋势。

网络安全行业早期以基础工具发展为主，随后经历了技术演进和体系成熟阶段，并在攻防演练推动下转向实战效果验证阶段。当前，行业正经历“寒冬”，需求从合规转向实战效果，安全能力的可管理与可验证成为核心。ASM等技术的出现，标志着行业对技术整合与实战应用的探索。

未来，网络安全行业将从技术密集型向劳动密集型转变，MSS成为发展方向，但目前面临个性化需求与规模效应的矛盾。而大模型的出现，有望助力开发“安全Copilot”，实现智能化安全服务，提升效率并满足企业多样化需求。

而对于安全从业人员而言，现阶段至关重要的是投入到大模型的学习与应用之中，积极探索并打造高效实用的“安全Copilot”。这不仅是应对未来挑战的关键，更将成为我们在行业竞争中脱颖而出的核心竞争力，引领我们迈向智能化安全服务的新时代。