2023年中国网络安全行业《移动安全产品及服务购买决策参考》发布

2023年8月22日作者：GoUpSec

前言

数字化转型的头号威胁：移动安全

2023年随着后新冠时代的到来，企业数字化转型/劳动力去中心化/移动办公/远程办公的常态化，针对企业员工的网络犯罪日益猖獗，企业员工的隐私、个人身份和特权访问凭证面临前所未有的风险。与此同时，经济衰退和疫情“后遗症”促使很多企业都选择牺牲安全性来提高生产力，这导致企业面临的移动安全风险快速反弹，正成为数字化转型的头号威胁。

根据Verizon的2022 年移动安全指数 (MSI)报告，虽然 85% 的企业有专门的移动安全预算，但超过一半（52%）的企业牺牲了移动和物联网设备的安全性以“完成工作”。报告还发现，去年涉及移动和物联网设备的网络攻击增长了 22%。

报告显示，66%的受访企业安全专业人员面临牺牲移动设备安全性“以完成工作”的压力，其中 79% 的人最终屈服于压力。这相当于超过一半或 52% 的企业安全专业人员选择牺牲安全性来换取生产效率，但考虑到潜在网络攻击的巨大损失，这无异于饮鸩止渴。

移动安全也是技术堆栈最为庞杂，防御难度最大的网络安全细分市场之一，因为移动设备是个人隐私、身份/访问权限和企业数据的交汇点，同时其攻击面非常宽广，面临的四大威胁分别来自移动应用/API、移动硬件、云端和移动/无线网络。移动安全产品和解决方案通常涉及移动应用安全、移动API安全、端点安全、IoT物联网安全、云安全、移动数据安全、移动通信安全、身份与访问安全等多个领域。

近年来，随着移动攻击变得更加致命且热衷于窃取特权访问凭据，企业网络安全领导者必须面对这样一个严酷的事实：对于移动安全而言，即便只有一台移动设备遭到入侵，整个企业的基础设施就会遭到破坏，移动安全只有100%成功或者100%失败两个选项。

随着端点安全、XDR、零信任和SASE的快速发展，以及网络安全方法从基于边界到基于身份，从以网络为中心到以数据为中心的范型转移，未来几年大量企业需要升级移动安全战略以面对全新的威胁和挑战，移动安全的八大发展趋势和热点如下：

端点弹性（自动化补丁管理、移动应用加固/屏蔽、端点检测、端点自愈、移动端点管理MEM、移动威胁防御、区块链技术、生物识别技术）
5G和物理网络空间安全（移动物联网安全、关键基础设施无线网络安全、抗量子加密技术）
基于人工智能技术的网络钓鱼和欺诈防护（威胁检测大语言模型、AI驱动的威胁情报）
转向零信任架构（微隔离、MFA、移动IAM、机器身份管理）
员工、高管个人安全防护（隐私合规、内容安全、安全意识培训）
移动应用安全左移（DevSecOps、设计安全）
移动云安全（移动设备原生云服务安全、数据安全）
供应链安全（移动应用开发工具、开源软件、第三方风险管理）

随着企业远程办公、混合办公、移动办公和和向云端数字化迁移的加速，身份正在成为新的安全边界，而移动设备正是身份与访问管理的第一入口和防线。身份优先的移动安全并不是个新概念，但随着攻击者开始瞄准身份和访问管理功能以实现长期潜伏，身份优先安全变得更加紧迫。身份优先包括人员和机器身份，随着移动API和移动物联网设备的快速增长，机器身份、证书和机密的管理将成为企业移动安全战略的重点之一。

移动安全产品方案的选型重要基准问题：

集成性和互操作性：移动安全产品和方案应当对市场中的主流安全方案有良好的集成性和互操作性，这样可以大大降低部署和运营成本，提高安全投资的有效性和回报率。
端点弹性：安全团队不知道移动设备何时何地如何连接到网络，因此移动安全的重点之一是“端点弹性”，即设备端本地的威胁检测和防护能力，而不是完全依赖联网来确定威胁、漏洞或攻击。
移动数据安全：数据安全是移动安全的重中之重，移动数据安全解决方案通常包括远程锁定和数据擦除、数据加密、安全网关、DLP、邮件安全等功能。
移动安全重在全面性：移动安全的攻击面非常宽泛，恶意程序并非唯一的移动攻击媒介，设备、应用、网络、人员（身份）和云端防护缺一不可。移动安全还应该防范网络钓鱼、基于网络的攻击和设备漏洞，保护设备免受已知和未知的威胁。
集成隐私保护：移动安全方案需要考虑到远程办公和BYOD的应用场景，重视隐私保护和合规，无需从设备端发回任何敏感数据。
较低的运营和管理成本：企业安全专业人员非常忙碌，他们没有义务也不愿意以不同于其他端点设备的方式管理移动设备，并且他们往往不需要单独的移动安全管理控制台来执行此操作。
企业声誉、战略和行业经验：移动安全产品方案的提供商是否具备同行业解决方案的实施经验？是否能够理解并针对客户实际需求定制开发和集成？产品和解决方案的技术路径和产品服务交付能力是否能够“与时俱进”，跟上移动安全威胁态势和技术发展的脚步？

世界上没有完全相同的移动网络环境，因此也不存在“通用”移动安全解决方案，面对移动安全威胁态势的快速恶化，大量移动安全专业厂商和传统安全厂商针对新威胁和新需求纷纷推出新的解决方案，这也给行业CISO的选型增加了难度。

为了帮助CISO拨开营销迷雾，提高市场能见度，全面了解潜在移动安全战略合作伙伴。GoUpSec深入调研了九家国内移动安全“酷厂商”（包括专业厂商和综合安全厂商），从产品功能、应用行业、成功案例、安全策略等维度对各厂商开发安全产品及服务进行调研了解，整理形成了2023年中国网络安全行业《移动安全产品及服务购买决策参考》。