本文援引于报告《2022年中国云主机安全市场报告》，首发于头豹科技创新网（www.leadleo.com）。

头豹科技创新网内容覆盖全行业、深入垂直领域，行业报告每日更新；政策图录、数据工具助您轻松了解市场动态；智能关键词轻松搜索，直奔行业热点内容。

诚挚欢迎各界精英交流合作，头豹承接行业研究、市场调研、产业规划、企业研究、商业计划、战略规划等业务，您可发送邮件或来电咨询。

客服邮箱：CS@leadleo.com 咨询热线：400-072-5588

头豹研究院联合沙利文发布《2022年中国云主机安全市场报告》，追踪中国云主机安全服务商2022年度在技术革新、方案创新方面的成果。

头豹研究院联合沙利文发布《2022年中国云主机安全市场报告》，该市场报告研究课题为2022年中国云主机安全赛道，以中国云工作负载安全市场的现状、应用前景、技术动向及发展趋势为核心研究对象，研究周期为2022年。本研究项目对中国云主机安全市场进行下游用户体验调查，受访者来自金融、国央企、政务、电信、医疗、教育等不同行业，报告亦从价值创造、技术发展维度对市场发展前景做出推测或预判。

鉴于中国市场在安全合规、市场习惯等方面存在的相对于境外市场的差异化特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。

Agent全方位采集云端资产，应对多变的虚拟环境威胁：截至当前，中国云计算产业依旧保持较高速增长，预计在未来5年内，90%以上的企业将实现部分业务或关键性业务整体上云。 在中国市场环境下，公有云环境可信度相对境外云环境仍存在差距。多数用户偏好“混合云”解决方案，包括传统设备主机、核心私有云、非核心资产公有云以及容器等承载环境。混合云部署方案下，安全防护相关的资产归属和控制机制对安全服务商和用户而言，存在更多合作的机遇和责任共担的挑战。

鉴于中国市场在安全合规、市场习惯等方面存在地域性特征，安全服务商在引进更为前瞻的技术策略时，宜在可用性和适用性之间进行权衡。云原生安全机制的引入，给予中国云安全市场更多的选择，云原生环境的安全事件存在于系统和组件之间，云工作负载安全类产品在对风险进行发掘和重构后，持续设计新的安全功能，最终实现安全机制与云原生系统的全面融合，确保用户安全访问使用云系统和云应用。

云原生安全环境下的市场机会：①持续交付场景下的实时安全：企业云上业务更新频率或达每日上百次、上千次，持续开发部署工具链各个环节相关安全检测、监控、防护手段更趋精细化和个性化。②广域云工作负载安全防护：云工作负载环境形态更趋丰富，边界模糊性强，资产暴露面从静态文件至动态中间件皆面临广域的威胁形态，威胁探知能力和应急策略更待精进。

从应用距离的角度而言，CASB更加靠近生产端，CWPP则更加靠近IT基础设施管理端。CASB的使用助力企业对云服务在业务中的渗透范围有了全域认知， CSPM在云负载全生命周期的应用过程中适应性不断增强，CWPP针对混合云架构下工作负载提供可视化的管控。

CASB (Cloud Access Security Broker) 云访问安全代理，是置于云服务消费者和和提供商之间的安全策略，其覆盖面包括了SaaS、PaaS和IaaS，主要提供针对于SaaS的安全控制。CASB主要具备以下功能：深度可视化、数据安全性、合规性、威胁防护。

CSPM (Cloud Security Posture Management)云安全态势管理，可同时适用于PaaS和IaaS，主要对基础设施安全配置进行分析管理，也可以强化和检查控制面的安全和正确配置。其安全策略包括管理工作负载、合规评估、保障API完整和运营监控等。若发现不合规配置，CSPM将对其进行修正，并持续改进和适应云安全态势。

CWPP（Cloud Workload Protection Platform) 云工作负载安全防护平台，主要聚焦于IaaS相关的工作负载安全，对云上工作负载提供全方位和多个维度的保护能力。其主要保护范围是IaaS层，可以横跨物理机、公有云、私有云等多种数据中心环境，部署方式因而更加灵活，防护面更广。

主机安全系产品核心模块及应用环境变化：基础类主机安全产品聚焦于检测、探知、盘点、合规四个方面。技术叠加效用下，产品模块拓宽至蜜罐、内存码检测、病毒查杀等方面，而随用户侧业务上云、统一安全管理方案建设和产品聚合效用提升，主机安全能力更加收敛于四个核心模块，并在运行环境层面渗透云原生、供应链，头部服务商融合威胁情报系统优化主机产品的检测效率。

主机安全系产品技术理念迭代：

      病毒查杀机制应用：风险查询和处置多以静态样本为依据，通过在计算机文件和病毒特征码之间进行比对确认风险，存在更新不及时、样本质量参差不齐的缺陷。

      白名单机制应用：相对病毒查杀在进程消耗、内存占用等方面可能对业务造成的影响，白名单机制的创建有利于防守加固和前置，降低木马程序对系统的危害。

      纵深防御机制应用：利用虚拟化、微隔离、无服务等云原生技术，应对多云和跨云环境下的复杂攻击态势，纵深防御系统与完整性验证、EDR、HIPS等多层次防御策略融合。

境外服务商在整体技术栈层面具备较为显著的创新力，在特定漏洞研究以及技术栈升级等方面始终处于领先的地位。境内服务商逐渐通过原厂研究、独立实验室孵化等方式加快技术栈布局。

安全服务商能力进阶：安全分析工具和安全管控工具对用户业务场景适用性增强。安全服务商于2022年度持续优化云主机安全功能点，提供更加丰富的工作负载安全闭环管理方案，针对挖矿场景、APT攻击场景、勒索场景、窃密木马、常规木马、重保/护网场景等提供更具针对性的防护方案，如收敛资产暴露面、漏洞发现、威胁情报探知、勒索治理、虚拟化补丁等。安全服务商助力用户依托大数据分析平台、机器学习分析引擎、集中部署微隔离策略、主动防御技术等，提升工作负载环境整体安全管控效率，解决传统运维管控方案中存在的难题，扩大自适应架构应用面，并强化主机安全产品与EDR、SOC、SIEM等防护体系的融合。

资产清点要点及用户进阶诉求：①功能特征：助力用户提升漏洞应急响应效率及业务影响分析能力。相对传统物理服务器环境下的业务而言，云端业务所面临的安全态势更加复杂，云端资产中间组件存在漏洞频发的特征。在此背景下，云端资产盘点更需要针对漏洞影响面规划响应和分析方案。云业务环境所需要的资产清点功能，更需要对技术栈组件进行全面的盘点和进一步的链路呈现。用户诉求要点在于通过全面盘点和展示中间组件及相关进程和文件的连接关系，在漏洞发生时对相关资产进行快速定位、快速梳理。并且通过Agent充分展现资产所遭受风险的严重性和范围。并在此基础上，支持用户对漏洞作出更有效的快速响应。此外，日常化资产盘点流程能够协助用户规划基线，通过清点的功能，判断应用版本的安全性，进而更新安全交付基线模式。

②用户进阶诉求：云产业链安全逻辑协同，资产清点细化至版本层面。当前，多数服务商支持的资产清点模块在检测逻辑方面，多以进程或目录为对象，存在版本判断准确性不足的痛点，存在版本信息滞后的问题，对用户资产清点结果造成干扰。此外，云端资产清点涉及开源性质文件，对版本盘点准确性的提升需要供应链上游服务商对应用目录进行更加标准化的处理。未来安全服务商或可通过与软件供应链上游参与者提升协同性和设计趋向等方式，提升云环境整体安全系统设计的一致性，进而助力下游用户在资产面和攻击面之间实现更加精准的映射分析，提升漏洞与资产类型之间的关联度。

入侵检测要点及用户进阶诉求：①入侵检测产品端与应用端。用户业务系统对入侵行为定义存在差异

在入侵检测板块，服务商基本能够满足用户在检测类型、检测敏感度、检测告警方面的需求，入侵检测功能的应用痛点更多缘于不同业务系统设计模式对操作行为合规定义的差异性。

目前，应用端风险探知能力未能有效应对的入侵事件主要存在于特权账户使用行为(包括账户提权、高危命令执行等）。

②用户进阶诉求：强化日志分析针对性，构建多元业务基线。安全服务商在对入侵行为定义细化的可行性方面能力有限，此外，造成入侵检测准确性偏差的因素更在于用户业务系统设计结构对风险行为定义的差异性。在部分应用场景下，业务系统常见的提权行为是基于业务后台（如脚本、工具、执行过程）正常实际要求而进行的，但在主机安全防护层面，针对该类偶发性正常提权行为进行规则定义和自动化剥离的可行性较低。基于应用端特征对入侵检测精准度提升的限制，安全服务商可将注意力集中在优化通用合规行为定义层面，可依托自动化分析算法，结合不同行业业务特征对系统关键日志进行梳理，并通过对长期积累的日志数据进行清洗，形成基线和针对性告警机制。

风险探知要点及用户进阶诉求：风险探知板块的能力更多体现在对风险的定义、风险漏洞评分和关联、风险分析等方面。主机基础设施是企业建立在业务内部的运行基础，主机风险探测的方式与边界防火墙通过扫描探知风险的方式有较大区别。

主机端所面临的风险类型与业务特征相关度较高，需根据业务资产暴露面梳理和判断主机所遭遇的漏洞与何类漏洞相匹配。部分服务商提供漏洞评分机制，但业务内部漏洞和外部系统漏洞之间存在结构性差异性，故而评分机制缺乏准确性。相对而言，公有云安全服务商在主机漏洞与外部漏洞匹配方面具备优势，可结合公有云上大部分租户对漏洞的判断和修补动作，为更多用户提供决策依据或风险指标。而在私有云环境下，服务商普遍根据用户内部风险面构建风险探知机制，对漏洞进行相应的匹配和分析，在风险展示能力方面略弱于公有云安全服务商。

此外，服务商需持续提升云主机端风险探知和资产清点功能的联动性，通过对资产更加精细化和准确的盘点，对风险和漏洞进行更强的关联，提升安全事件分组、分类机制的有效性。

合规基线要点及用户进阶诉求：当前在合规基线模块，安全服务商基本能够助力用户满足国家网络安全等级保护以及CIS考核指标等要求，部分服务商协助用户在通用性标准基础上进行安全条件增补，根据所在行业安全环境自定义设置基线模板，并随自研基线应用的扩展，提升用户内部安全管理策略有效性。安全服务商尚未对组件和端口进行关联性归类处置，不同的安全产品组件分布在不同端口运行，对用户而言，新安全组件增量交付时或面临较高的适应成本和运维成本。

对安全运营能力较为成熟的用户而言，对同类型安全组件和资产分配指定端口的归类方式有助于降低运维成本。通过在组件和端口之间建立一一映射的关系，用户能够更加清晰地盘点资产、定位资产，实现合规基线检验有效性的提升。然而，当前自研基线理念对多数安全服务商而言，在设计逻辑层面存在较大差异性。但远期愿而言，自研基线生态产品的构建或成为安全服务商的优势项。

头豹联合沙利文根据产品能力、服务能力、市场能力、生态能力四大评估维度，通过误报漏报控制、漏洞挖掘管理、高端入侵检测防护、功能覆盖及深化、负载协同、方案升级、市场粘性、消费模式、用户体验、融合容器安全、融合DevOps和微隔离、生态共建十二项大指标，对中国云主机安全市场竞争力进行了多因素分层次评估。由产品能力、服务能力、市场能力、生态能力评分，青藤云安全、亚信安全、奇安信（椒图科技）位列中国云主机安全市场领导者梯队。

青藤云安全： 2022年，青藤云安全业务覆盖面涉及全国34个省级行政区，形成高质量业务发展格局。截至当前，青藤云安全已为1,000家以上头部客户提供持续安全服务，涉及政府机构、金融、运营商、能源、电力、制造业等各行业关键信息基础设施。青藤云安全在全国范围主机安全Agent装机量超过600万台，单用户最大装机量超20万台，客户续签率达97%，2022年，青藤云安全客户数量同比增长150%，引领中国云主机安全市场快速增长。

亚信安全：亚信安全持续跟踪新兴技术发展，包括大数据分析、机器学习、人工智能等新兴技术，并在云安全产品矩阵中逐步落地。针对用户对云主机安全防护“一体化”安全需求，亚信安全提供包括病毒防护、访问控制、入侵检测、入侵防护、虚拟补丁等功能，同时支持不同行业用户对云主机运维需求，如针对云主机的完整性监控、日志审计、资产管理、漏洞风险管理、检测与响应、基线检查、主机资源监控等。此外，信舱DS与亚信安全XDR形成云工作负载联合防御，保障多个云平台跨云安全。

奇安信（椒图科技）：椒图科技在服务器操作系统加固领域具备深度技术积累优势，依托主力产品JHSE椒图主机安全环境系统，融合操作系统加固、服务器管控能力，支持windows、linux、hpux等多元主流服务器操作系统。椒图科技注重研发实力，依托服务器安全研究团队人才实力，参与国家信息安全等级保护相关标准建设工作，在多项重保活动中为用户提供高可靠的服务器安全解决方案，为政务、金融、央企、商业等领域客户提供全面主机安全服务。

推荐阅读

头豹研究院联合沙利文发布《2021年中国云主机安全报告》

头豹研究院联合沙利文发布《2022年中国威胁情报市场报告》

头豹研究院联合沙利文发布《2022年中国容器安全市场报告》

头豹研究院联合沙利文发布《2022年中国数据安全市场报告》