新財富APP(www.ikuyu.cn), 溝通資本與分析師的橋樑, 提供有深度的見解
作者 國信證券 何立中
人工智慧需要網路安全保護和限制
兵馬未動,
人工智慧對網路安全需求程度高於互聯網
從產業週期角度看, 科技從消費互聯網到產業互聯網, 再到人工智慧。 越來越深入經濟和社會, 從簡單的資訊傳遞、遊戲娛樂到為生活、工作、經濟做出決策。 人工智慧承擔的角色從配角到主角, 再到主演, 對主演的保護要遠勝配角。
消費互聯網時代, 在使用者獲取資訊、打遊戲過程中網路被攻擊後, 使用者基本上沒什麼損失。 頂多是重啟電腦、殺毒、重打遊戲。
產業互聯網時代, 用戶利用互聯網進行商品交易, 使用者的網路被攻擊的後果, 可能是用戶被導流到釣魚網站, 付款完成但是沒有實際交易等。 用戶損失的頂多是小額資金。
人工智慧時代, 我們需要人工智慧為患者診斷疾病。 當醫院的資料庫或患者的病歷資料被攻擊後, 人工智慧判斷系統可能對患者疾病做出嚴重失誤的判斷,
人工智慧需要網路安全限制邊界
隨著人工智慧逐步完善, 發展人工智慧可能是一個潛在的災難性錯誤。
主要是考慮到機器雖然能夠為人類造福, 但如果若干年後機器發展得足夠智慧就將成為人類的心頭大患。 人工智慧一旦發展完全將終結人類這一物種, 尤其是人類被緩慢的生物進化所束縛不能與之對抗就會被取而代之。
人工智慧的AlphaGO贏了李世石、Master橫掃人類圍棋高手, 現在我們需要考慮的是人工智慧的邊界在哪裡。
如果人工智慧的發展使得我們個人沒有隱私、企業沒有了商業秘密、股票的走勢被完全預測、大規模的殺傷性武器被研發問世。 對於那些沒有能力使用人工智慧或者這些超人類的控制力的人和組織來說是不公平的, 也是災難性的。
所以, 人工智慧需要網路安全來限制其邊界, 實行保護式發展。
最典型的案例就是無人機禁飛區, 以北京為例, 以前是5環內禁止無人機起飛, 現在是以天安門為中心200公里以內禁飛。 2017年2月28日, 北京市公安局發佈了《關於加強北京地區“低慢小”航空器管理工作的通告》內容於今日開始正式施行。 該通告要求3月1日零時至16日24時, 在以天安門廣場為中心的200公里半徑範圍內, 禁止一切單位、組織和個人利用“低慢小”航空器進行各類體育廣告娛樂性飛行活動。
這種禁飛除了行政手段外, 最有效的還是技術手段, 用網路安全限制無人機。
另外, 當人工智慧發展到超級階段, 出現反抗人類的時候, 也需要從網路安全技術的角度去限制人工智慧。 例如2016年HBO發行的科幻類連續劇《西部世界》刻畫了人工智慧的自主意識, 出現了人工智慧反抗人類的情景。
當現有法律、用戶的隱私意識等還不足以匹配人工智慧的時候, 就需要網路安全技術手段來限制人工智慧的應用, 限制其邊界。
網路安全需要人工智慧提升防護能力
“人工智慧+網路安全”出現頻次急劇上升
CBInsights資料顯示, 網路安全公司逐漸開始使用人工智慧技術, 改善安全防禦體系, 開創網路防護新時代。我們網路安全使用人工智慧技術是有兩大原因:一是隨著網路攻擊增多,危害程度上升,網路安全專業人才嚴重不足。二是“零日攻擊”等新型攻擊形式增多。
2016年,“網路安全”、“人工智慧”和“機器學習”這三個詞彙都很突出。但是,這些都不是新詞。早在2012至2014年間,這三種技術在媒體文章中的出現頻率就已經開始增長了,而且三者的增長率基本相同。隨著各個領域開始應用更多技術,商界和大眾也逐漸瞭解這些技術,這三個詞開始出現在越來越多的文章中。2016年末,它們的出現率更是急劇增長。
另外,我們再看“網路安全”與“人工智慧”共同出現在文章中的頻率增加了,表明媒體更加頻繁地將兩者聯繫在一起討論。2016年,網路安全與機器學習共同出現的頻率也有所增加,但跟前者相比,增幅略小。
防護邊界泛網路化
傳統網路安全方法的核心是對網路劃分邊界,但現在往往是通過內網大資料系統直接遙控終端,網路安全要利用人工智慧技術應對網路泛化的資料安全。
以往內網外網等等都有個邊界,現在網路泛化是趨勢。汽車可能在各種場合接入各種wifi。比如說特斯拉,它除了接入wifi,在國內還能接入聯通的3G/4G網路。這本身可能就有多個網路的介面,泛化的確是目前網路安全要面對的一個新的挑戰,尤其是在萬物互聯的大背景下。越來越多的智慧設備連接入網,客觀上擴大了潛在的攻擊點。這是人工智慧時代網路安全最大的矛盾,大資料、人工智慧相關技術的運用可能成為被攻擊點。同時,這些新技術也能作為新的網路安全防禦手段。
在整個網路安全的領域來說,人工智慧相關技術的應用還是處於比較初級的階段。就大範圍的應用來說,機器學習已經是很多領域常用的方法,但它在網路安全這塊,比如判定網路攻擊的種類時,準確率還可以進一步提升。
UEBA用於網路安全
美國運營商巨頭Verizon公司聯合數十家企業機構發表了“2016資料洩密調查報告”。該報告指出,內部人員(員工、合作夥伴)和許可權濫用導致的資料洩密事件依然是主流。
所以,當內部人員變得不那麼可靠的時候,一種有效的內部威脅防禦技術正是解決之道。UEBA技術應運而生。
使用者和實體行為分析(UEBA)能夠實現廣泛的安全分析,就像是安全資訊和事件管理(SIEM)能夠實現廣泛的安全監控一樣。UEBA提供了圍繞用戶行為的、以用戶為中心的分析,但是也圍繞其他例如端點、網路和應用。跨不同實體分析的相關性似的分析結果更加準確,讓威脅檢測更加有效。
UEBA解決方案收集網路多個節點產生的資訊。最好的解決方案會從網路設備、系統、應用、資料庫和使用者處收集資料。利用這些資料,UEBA可以創建一條基線以確定各種不同情況下的正常狀態是什麼。一旦基準線建立,UEBA解決方案會跟進聚合資料,尋找被認為是非正常的模式。這一確定過程僅評估新事件在上下文環境中是否不正常,以及不正常的程度有多深,並排序事件的重要性及可能的業務影響。
UEBA提供視覺化錄屏、使用者行為資料化和基於大資料的智慧行為分析。UEBA説明使用者防範資訊洩露、避免商業欺詐、增強服務品質、提高工作效率。這其中涉及到使用者行為資料的收集、存儲和分析,用到人工智慧的相關技術。
UEBA技術將成為,事實上已經成為某個新興市場的特徵。舊派和新派安全產品都在向著這個市場移動。未來舊派SIEM廠商會在未來版本中簡單將UEBA引擎植入進去,使它們並行工作;同時SIEM把資料送到UEBA,UEBA的告警和附帶數據被回饋給SIEM。
EDR用於網路安全
另外一種新的防禦思想叫做EDR(End-pointDetectionResponse)和NDR(NetworkDetectionResponse)。傳統安全防護是在網路邊界上放個防火牆,把攻擊攔在防火牆外面。現在網路的防線越來越長,漏洞越來越多,要想繼續把攻擊阻擋在防火牆之外幾乎是不可能的。
DR(DetectionResponse)的思想考慮在攻擊發生時能不能及早地發現、檢測以及進行對應處理,因為在攻擊發生的一開始,並不一定會造成非常嚴重的破壞,如果我們可以及時地阻斷攻擊,我們也能進行有效的管控。
DR主要分為EDR和NDR。EDR是在終端進行檢測與回應,比如像殺毒軟體,過去只是簡單地殺病毒,現在實際上把功能擴大了,他能收集應用程式在使用者電腦中運行時的一些行為,在回應的過程中能對不合理的行為進行阻斷。NDR是在網路邊界上進行檢測與回應,比如現在常說的下一代防火牆在功能上已經不僅僅是包過濾,還要求可以檢測使用者通過網路訪問到底幹了什麼,在網路上進行檢測和回應。
那麼EDR和NDR也是結合雲的一種防禦機制,用來應對目前防禦戰線越來越長的現狀,由此可見,人們的防禦思想也在不斷革新。
人工智慧網路安全成為創投並購重點
2017前2月已有5家AI網路安全企業被收購
2017年才過去兩個月,就有三家AI網路安全創業企業被科技巨頭重金收購。
在打擊網路犯罪領域,人工智慧技術正變得越來越重要。2017年前2個月已經有3家關注AI的網路安全創業企業已被收購。
這三家網路安全創業企業都針對機器學習技術,即一組用來訓練機器從資料中學習並預測趨勢和結果的演算法。包括利用機器學習演算法來進行自然語言處理、預測分析、圖像識別等種種功能。
CBInsights的資料庫顯示2017年前兩個月中被大型科技公司收購的3家AI網路安全創企。
另外,埃森哲於2月8日收購了AI網路安全公司Endgame的聯邦服務部門。LRRPartners於1月9日收購了BluVector。BluVector是從國防承包商諾斯羅普·格魯曼公司分離出的子公司,其使用機器學習演算法來即時檢測企業網路中的安全威脅。
防止未知威脅的Invincea被Sophos收購
Invincea提供高級惡意軟體威脅檢測、網路漏洞預防和預漏洞法醫情報。公司的旗艦產品“XbyInvincea”是一個機器學習的終端解決方案,旨在防止新的、未知的威脅類型。Invincea擁有不少使用沙箱環境檢測威脅的專利,沙箱環境可以讓軟體發展人員在為測試代碼發佈之前先將其孤立等等。
Sophos以1億美元現金收購了Invincea,同時還有2000萬美元的盈利能力支付計畫,績效目標由Sophos設置。公司的研發部門InvinceaLabs不再此收購之列。
UEBA技術的被惠普收購
Niara提供的使用者和實體行為分析(UEBA)技術,該技術使用監督和非監督機器學習技術來分析用戶行為,發現可能導致安全問題的異常現象。
Niara的行為分析軟體可以自動檢測組織機構內的攻擊和風險行為。其UserandEntityBehavioralAnalytics(UEBA)軟體依賴機器學習和大資料分析,增強安全性以防止那些可能滲透傳統防火牆和其他週邊系統的威脅。
收購後,Niara將在HPEAruba下運營,並整合Aruba的ClearPass網路安全產品組合用於有線和無線網路基礎設施。Aruba部門一直是HPE計畫構建實現物聯網服務平臺的一部分。而收購和整合Niara將會特別加強HPE針對物聯網的網路安全產品組合。當Niara發現安全事件後,客戶可以利用ClearPass隔離或者斷開使用者或者設備與易受攻擊網路的連接。
關鍵IP用戶行為分析的Harvest.ai日被亞馬遜收購
Harvest.ai使用機器學習和AI圍繞公司的關鍵IP分析使用者行為,從而在客戶重要資料被竊取之前識別並阻止針對性攻擊。Harvest.ai的旗艦產品是一個正在等待專利審核通過的AI產品,名叫MACIEAnalytics,可以即時監測智慧財產權的訪問情況。
根據媒體報導,亞馬遜可能從2016年初就開始了針對Harvest.ai的收購流程,只不過收購細節現在才公開。有傳言表示,亞馬遜以2000萬美元收購了該公司,讓公司背後的唯一風投TrinityVentures大賺了一筆。
值得關注的人工智慧與網路安全公司
國外已經有公司將機器學習或者人工智慧融入安全技術,我們從CBInsights找出13家值得關注的公司,具體情況如下表所示。
政策驅動網路安全下游需求
《網路安全發》和《工控安全指南》實施,從政策層面將刺激下游客戶對網路安全產品和服務的需求。
《網路安全法》實施將有法可依擴大市場空間
2016年11月7日十二屆全國人大常委會第二十四次會議正式的通過了《中華人民共和國網路安全法》。網路安全法將於2017年6月1日起施行。法律進一步界定關鍵資訊基礎設施範圍;對攻擊、破壞我國關鍵資訊基礎設施的境外組織和個人規定相應的懲治措施;增加懲治網路詐騙等新型網路違法犯罪活動的規定等。
目前我國面臨著三大網路安全突出問題:國家網路主權和國家安全戰略需求;企業資料、智慧財產權遭竊取難以維權;公民個人資訊和隱私遭洩露、詐騙損失慘重。而我國網路安全法律法規處於空白狀態,在網路安全問題日益凸顯的當前,往往面臨無法可依的窘境。2017年6月1日,《網路安全法》正式實施後,網路安全工作將進入有法可依、有法必依的階段。
這將催生一個不斷擴大的網路安全市場空間,產業投入和建設也將步入持續穩定的發展軌道。
《工控安全指南》指明方向
2010年10月發生在伊朗核電站的"震網"(Stuxnet)病毒,為工業生產控制系統安全敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了日程。
工信部於2016年10月發佈了《工業控制系統資訊安全防護指南》(簡稱《指南》),指導工業企業開展工控資訊安全防護工作。《指南》從安全軟體選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠端存取安全、安全監測和應急預案演練、資產安全、資料安全、供應鏈管理、落實責任11個方面對工控資訊安全建設內容進行了規定。
工控資訊安全是新增長點
工業控制系統(IndustrialControlSystems,ICS),是由各種自動化控制元件和即時資料採集、監測的程序控制組件共同構成。其元件包括資料獲取與監控系統(SCADA)、分散式控制系統(DCS)、可程式設計邏輯控制器(PLC)、遠端終端機(RTU)、智慧電子設備(IED),以及確保各元件通信的介面技術。
三大潛在風險
工業控制系統潛在的風險
1.由於考慮到工控軟體與作業系統補丁相容性的問題,系統開車後一般不會對Windows平臺打補丁,導致系統帶著風險運行。2.殺毒軟體安裝及升級更新問題:用於生產控制系統的Windows作業系統基於工控軟體與殺毒軟體的相容性的考慮,通常不安裝殺毒軟體,給病毒與惡意程式碼傳染與擴散留下了空間。3.使用U盤、光碟導致的病毒傳播問題:由於在工控系統中的管理終端一般沒有技術措施對U盤和光碟使用進行有效的管理,導致外設的無序使用而引發的安全事件時有發生。4.設備維修時筆記型電腦的隨便接入問題:工業控制系統的管理維護,沒有到達一定安全基線的筆記型電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。5.工業控制系統控制終端、伺服器、網路設備故障沒有及時發現而回應延遲的問題:對工業控制系統中IT基礎設施的運行狀態進行監控,是工業工控系統穩定運行的基礎。
兩化融合"給工控系統帶來的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為了實現即時的資料獲取與生產控制,滿足"兩化融合"的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統接入的範圍不僅擴展到了企業網,而且面臨著來自Internet的威脅。
同時,企業為了實現管理與控制的一體化,提高企業資訊化合綜合自動化水準,實現生產和管理的高效率、高效益,引入了生產執行系統MES,對工業控制系統和執行資訊系統進行了集成,管理資訊網路與生產控制網路之間實現了資料交換。導致生產控制系統不再是一個獨立運行的系統,而要與管理系統甚至互聯網進行互通、互聯。
工控系統採用通用軟硬體帶來的風險
工業控制系統向工業乙太網結構發展,開放性越來越強。基於TCP/IP乙太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中,由於工業系統集成和使用的便利性,大量使用了工業乙太環網和OPC通信協定進行了工業控制系統的集成;同時,也大量的使用了PC伺服器和終端產品,作業系統和資料庫也大量的使用了通用的系統,很容易遭到來自企業管理網或互聯網的病毒、木馬、駭客的攻擊。
工控安全性漏洞數回升
截至2016年底,根據中國國家資訊安全性漏洞共用平臺[CNVD]所發佈的2016年新增工業控制系統漏洞資訊,並經過匡恩網路的統計分析,2016年新增公開工控漏洞數量達141個,而2015年只有108個。
伺服器系統和工控資料危害集中區
2000年以來新增漏洞危害性分析,緩衝區溢位、資訊洩露、輸入驗證、跨站腳本等類型的工控漏洞數量居多,對工控系統的危害主要集中在伺服器的系統和資料中。
從已公開的工控系統漏洞類型來看,緩衝區溢位類型的漏洞高居榜首,漏洞數量達到165個,其次分別為資訊洩露、輸入驗證、跨站腳本、許可權問題類型的漏洞,數量分別達到66、63、58、52個。由於以上五種漏洞類型都能夠造成工控系統服務中斷、系統停機、資訊洩露,甚至是物理性破壞,因此常常被駭客、病毒及惡意程式所利用,危害性十分巨大。利用緩衝區溢位攻擊,可以導致程式運行失敗、系統宕機、重新開機等後果,甚至可以利用它執行非授權指令,對工業現場的智慧設備下發非法指令(例如修改運行參數、關閉閥門開關等),以達到其攻擊目的。
啟明星辰綠盟科技引領工控安全
中國工控安全廠商,根據其歷史背景可以分為三種類型:自動化背景廠商、傳統IT安全廠商、專業工控安全廠商。
隨著工業4.0實施,物聯網的普及之後,工控不再是相對獨立的網路,而是完全融入互聯網的一部分。工控安全也不再是相對獨立的一部分,而是和傳統網路安全融為一體,要從傳統互聯網的角度維護工控安全,而非工控系統。
所以我們認為,未來的工控安全領域,傳統IT廠商啟明星辰、綠盟科技等具有顯著優勢。
網路資訊安全龍頭啟明星辰
啟明星辰1996年成立,是國內最具實力、擁有完全自主智慧財產權的綜合性資訊網路安全企業。啟明星辰是國家認定的企業級技術中心、國家規劃佈局內重點軟體企業,擁有最高級別的涉及國家秘密的電腦資訊系統集成資質。
公司主要產品大類為安全產品(安全閘道、安全監測、平臺工具、資料安全)、安全服務、硬體及其他。2014年入侵偵測系統市場佔有率達到28%,全國第一。
2015年年報中安全閘道、檢測貢獻收入較高。
政府軍隊等客戶的選擇證明公司實力雄厚
公司的客戶遍佈政府、軍隊、金融、電信等國家安全級別非常高的領域,這些重要領域的客戶選擇公司的產品,證明了公司在網路安全的實力。
例如政府領域的全國人民代表大會、最高人民檢察院、中央辦公廳、國務院辦公廳、中共中央組織部、中共中央宣傳部、中央政府門戶網站、國家發展和改革委員會、國家保密技術研究所、財政部、科學技術部、公安部、人事部、交通部、工業和資訊化部等。
軍工領域有人民解放軍總參某部、人民解放軍總裝某部、人民解放軍總後某部、人民解放軍總政某部、人民解放軍海軍某部、人民解放軍空軍某部。
外延收購擴大網路安全服務領域
2011年至今,啟明星辰先後完成了對網禦星雲、賽貝卡、合眾數據、安方高科、賽博興安、書生電子等企業的部分或全部股權收購,使得公司在網路安全及資料處理等方面的技術得到突破,市場影響力及市場份額不斷提高。
通過外延收購的標的公司與原有啟明星辰產品和客戶形成互補和加強,例如偏重軍隊、電信的網禦星雲;資料加密的書生電子;電磁安全的安方高科等。
安全產品是主力,資料安全是亮點
2015年安全產品和服務占營業收入86%,隨著網路安全需求的普及和多樣化發展,公司業務收入構成日趨多元化。除安全閘道和安全檢測構成公司收入的主要來源外,其餘各業務收入占比逐漸均衡。
其中,安全監測、平臺工具、硬體及其他業務多年保持相對穩定的收入占比;安全服務收入占比逐漸降低;隨著互聯網使用者需求及網路安全隱患的增加,安全閘道業務自2010年以來取得了快速增長;安全監管業務自2012年起不再構成公司業務收入來源。
相反地,隨著大資料概念的興起和發展,資料安全成為公司新興業務,尤其是在公司收購合眾資料和書生電子後,這一業務取得了快速增長。
受益於並表和內生增長
2007年以來,公司經營良好,營業收入和淨利潤都有較大增長,同比增長率基本維持在20%以上。2016年營收19.28億元,增長25.7%;歸屬母公司股東淨利潤3.28億元,增長34.4%。
2007~2015年營業收入複合增長率達到26.4%,淨利潤CAGR達到25.8%。
2012年,公司營業收入出現大幅增長,同比增長率達到70.69%,其主要原因在於報告期內公司業務增長及與網禦星雲實現重組,同時,重組及業務增長也使得公司營業總成本快速增長,同比增長率達到74.17%,總體而言,2012年淨利潤增長率並不顯著。
隨著業務的增長及併入網禦星雲2013年全年總收入,公司2013年淨利潤增長率實現突破,達到66.19%。隨著公司並購更多企業,主營業務日趨多元化,近年營業利潤及淨利潤增長率均保持較高水準。
2013年淨利高增長另一原因是2012增值稅推遲到2013年返還,2013年退稅7887萬元,同比增長216%。
邏輯假設
1.2017年6月1日網路安全法實施,以及工控安全指南實行刺激下游安全產品和服務需求;
2.黨政機關軍隊依舊依賴傳統的“看得見摸得著”的網路安全產品,今年召開十九大政府對網路資訊安全重視度遠超往年。
3.各種工業控制系統接入互聯網後工控安全需求增加,要從傳統IT互聯網角度去維護工控安全,所以啟明星辰這樣的傳統安全廠商具有工控優勢。
4.收購賽博興安並表提升業績,美國的安全廠商賽門鐵克就是靠收購並表逐步壯大。
盈利預測和估值
2017年1月28日收購賽博興安交易完成,賽博興安2016-2018年承諾扣非歸母淨利潤分別不低於3874.00萬元、5036.20萬元、6547.06萬元,承諾期合計承諾淨利潤數為15457.26萬元。2017年業績增長主要來自賽博興安驅動。
2016~2018營業收入分別為19.28億元、28.1億元、36億元,同比分別增長25.7%、45.7%、28.1%。淨利潤分別為3.28億元、5.02億元、6.81億元,分別增長34.36%、53%、26.2%。
2017年3月12日市值195億元,對應2017~2018年PE分別為38倍、28.6倍。
從歷史PE(TTM)看,啟明星辰市盈率大部分時間處於56~75倍之間,截止3月10日市盈率只有59倍,估值處於歷史水準偏下。
投資建議
我們推薦人工智慧網路安全龍頭啟明星辰,推薦關注人工智慧網路安全性群組合:綠盟科技、美亞柏科、北信源、衛士通。
風險提示
網路安全法、工控安全指南實行不達預期。新技術替代現有網路安全產品。(完)
股市有風險,投資需謹慎。本文僅供受眾參考,不代表任何投資建議,任何參考本文所作的投資決策皆為受眾自行獨立作出,造成的經濟、財務或其他風險均由受眾自擔。
開創網路防護新時代。我們網路安全使用人工智慧技術是有兩大原因:一是隨著網路攻擊增多,危害程度上升,網路安全專業人才嚴重不足。二是“零日攻擊”等新型攻擊形式增多。
2016年,“網路安全”、“人工智慧”和“機器學習”這三個詞彙都很突出。但是,這些都不是新詞。早在2012至2014年間,這三種技術在媒體文章中的出現頻率就已經開始增長了,而且三者的增長率基本相同。隨著各個領域開始應用更多技術,商界和大眾也逐漸瞭解這些技術,這三個詞開始出現在越來越多的文章中。2016年末,它們的出現率更是急劇增長。
另外,我們再看“網路安全”與“人工智慧”共同出現在文章中的頻率增加了,表明媒體更加頻繁地將兩者聯繫在一起討論。2016年,網路安全與機器學習共同出現的頻率也有所增加,但跟前者相比,增幅略小。
防護邊界泛網路化
傳統網路安全方法的核心是對網路劃分邊界,但現在往往是通過內網大資料系統直接遙控終端,網路安全要利用人工智慧技術應對網路泛化的資料安全。
以往內網外網等等都有個邊界,現在網路泛化是趨勢。汽車可能在各種場合接入各種wifi。比如說特斯拉,它除了接入wifi,在國內還能接入聯通的3G/4G網路。這本身可能就有多個網路的介面,泛化的確是目前網路安全要面對的一個新的挑戰,尤其是在萬物互聯的大背景下。越來越多的智慧設備連接入網,客觀上擴大了潛在的攻擊點。這是人工智慧時代網路安全最大的矛盾,大資料、人工智慧相關技術的運用可能成為被攻擊點。同時,這些新技術也能作為新的網路安全防禦手段。
在整個網路安全的領域來說,人工智慧相關技術的應用還是處於比較初級的階段。就大範圍的應用來說,機器學習已經是很多領域常用的方法,但它在網路安全這塊,比如判定網路攻擊的種類時,準確率還可以進一步提升。
UEBA用於網路安全
美國運營商巨頭Verizon公司聯合數十家企業機構發表了“2016資料洩密調查報告”。該報告指出,內部人員(員工、合作夥伴)和許可權濫用導致的資料洩密事件依然是主流。
所以,當內部人員變得不那麼可靠的時候,一種有效的內部威脅防禦技術正是解決之道。UEBA技術應運而生。
使用者和實體行為分析(UEBA)能夠實現廣泛的安全分析,就像是安全資訊和事件管理(SIEM)能夠實現廣泛的安全監控一樣。UEBA提供了圍繞用戶行為的、以用戶為中心的分析,但是也圍繞其他例如端點、網路和應用。跨不同實體分析的相關性似的分析結果更加準確,讓威脅檢測更加有效。
UEBA解決方案收集網路多個節點產生的資訊。最好的解決方案會從網路設備、系統、應用、資料庫和使用者處收集資料。利用這些資料,UEBA可以創建一條基線以確定各種不同情況下的正常狀態是什麼。一旦基準線建立,UEBA解決方案會跟進聚合資料,尋找被認為是非正常的模式。這一確定過程僅評估新事件在上下文環境中是否不正常,以及不正常的程度有多深,並排序事件的重要性及可能的業務影響。
UEBA提供視覺化錄屏、使用者行為資料化和基於大資料的智慧行為分析。UEBA説明使用者防範資訊洩露、避免商業欺詐、增強服務品質、提高工作效率。這其中涉及到使用者行為資料的收集、存儲和分析,用到人工智慧的相關技術。
UEBA技術將成為,事實上已經成為某個新興市場的特徵。舊派和新派安全產品都在向著這個市場移動。未來舊派SIEM廠商會在未來版本中簡單將UEBA引擎植入進去,使它們並行工作;同時SIEM把資料送到UEBA,UEBA的告警和附帶數據被回饋給SIEM。
EDR用於網路安全
另外一種新的防禦思想叫做EDR(End-pointDetectionResponse)和NDR(NetworkDetectionResponse)。傳統安全防護是在網路邊界上放個防火牆,把攻擊攔在防火牆外面。現在網路的防線越來越長,漏洞越來越多,要想繼續把攻擊阻擋在防火牆之外幾乎是不可能的。
DR(DetectionResponse)的思想考慮在攻擊發生時能不能及早地發現、檢測以及進行對應處理,因為在攻擊發生的一開始,並不一定會造成非常嚴重的破壞,如果我們可以及時地阻斷攻擊,我們也能進行有效的管控。
DR主要分為EDR和NDR。EDR是在終端進行檢測與回應,比如像殺毒軟體,過去只是簡單地殺病毒,現在實際上把功能擴大了,他能收集應用程式在使用者電腦中運行時的一些行為,在回應的過程中能對不合理的行為進行阻斷。NDR是在網路邊界上進行檢測與回應,比如現在常說的下一代防火牆在功能上已經不僅僅是包過濾,還要求可以檢測使用者通過網路訪問到底幹了什麼,在網路上進行檢測和回應。
那麼EDR和NDR也是結合雲的一種防禦機制,用來應對目前防禦戰線越來越長的現狀,由此可見,人們的防禦思想也在不斷革新。
人工智慧網路安全成為創投並購重點
2017前2月已有5家AI網路安全企業被收購
2017年才過去兩個月,就有三家AI網路安全創業企業被科技巨頭重金收購。
在打擊網路犯罪領域,人工智慧技術正變得越來越重要。2017年前2個月已經有3家關注AI的網路安全創業企業已被收購。
這三家網路安全創業企業都針對機器學習技術,即一組用來訓練機器從資料中學習並預測趨勢和結果的演算法。包括利用機器學習演算法來進行自然語言處理、預測分析、圖像識別等種種功能。
CBInsights的資料庫顯示2017年前兩個月中被大型科技公司收購的3家AI網路安全創企。
另外,埃森哲於2月8日收購了AI網路安全公司Endgame的聯邦服務部門。LRRPartners於1月9日收購了BluVector。BluVector是從國防承包商諾斯羅普·格魯曼公司分離出的子公司,其使用機器學習演算法來即時檢測企業網路中的安全威脅。
防止未知威脅的Invincea被Sophos收購
Invincea提供高級惡意軟體威脅檢測、網路漏洞預防和預漏洞法醫情報。公司的旗艦產品“XbyInvincea”是一個機器學習的終端解決方案,旨在防止新的、未知的威脅類型。Invincea擁有不少使用沙箱環境檢測威脅的專利,沙箱環境可以讓軟體發展人員在為測試代碼發佈之前先將其孤立等等。
Sophos以1億美元現金收購了Invincea,同時還有2000萬美元的盈利能力支付計畫,績效目標由Sophos設置。公司的研發部門InvinceaLabs不再此收購之列。
UEBA技術的被惠普收購
Niara提供的使用者和實體行為分析(UEBA)技術,該技術使用監督和非監督機器學習技術來分析用戶行為,發現可能導致安全問題的異常現象。
Niara的行為分析軟體可以自動檢測組織機構內的攻擊和風險行為。其UserandEntityBehavioralAnalytics(UEBA)軟體依賴機器學習和大資料分析,增強安全性以防止那些可能滲透傳統防火牆和其他週邊系統的威脅。
收購後,Niara將在HPEAruba下運營,並整合Aruba的ClearPass網路安全產品組合用於有線和無線網路基礎設施。Aruba部門一直是HPE計畫構建實現物聯網服務平臺的一部分。而收購和整合Niara將會特別加強HPE針對物聯網的網路安全產品組合。當Niara發現安全事件後,客戶可以利用ClearPass隔離或者斷開使用者或者設備與易受攻擊網路的連接。
關鍵IP用戶行為分析的Harvest.ai日被亞馬遜收購
Harvest.ai使用機器學習和AI圍繞公司的關鍵IP分析使用者行為,從而在客戶重要資料被竊取之前識別並阻止針對性攻擊。Harvest.ai的旗艦產品是一個正在等待專利審核通過的AI產品,名叫MACIEAnalytics,可以即時監測智慧財產權的訪問情況。
根據媒體報導,亞馬遜可能從2016年初就開始了針對Harvest.ai的收購流程,只不過收購細節現在才公開。有傳言表示,亞馬遜以2000萬美元收購了該公司,讓公司背後的唯一風投TrinityVentures大賺了一筆。
值得關注的人工智慧與網路安全公司
國外已經有公司將機器學習或者人工智慧融入安全技術,我們從CBInsights找出13家值得關注的公司,具體情況如下表所示。
政策驅動網路安全下游需求
《網路安全發》和《工控安全指南》實施,從政策層面將刺激下游客戶對網路安全產品和服務的需求。
《網路安全法》實施將有法可依擴大市場空間
2016年11月7日十二屆全國人大常委會第二十四次會議正式的通過了《中華人民共和國網路安全法》。網路安全法將於2017年6月1日起施行。法律進一步界定關鍵資訊基礎設施範圍;對攻擊、破壞我國關鍵資訊基礎設施的境外組織和個人規定相應的懲治措施;增加懲治網路詐騙等新型網路違法犯罪活動的規定等。
目前我國面臨著三大網路安全突出問題:國家網路主權和國家安全戰略需求;企業資料、智慧財產權遭竊取難以維權;公民個人資訊和隱私遭洩露、詐騙損失慘重。而我國網路安全法律法規處於空白狀態,在網路安全問題日益凸顯的當前,往往面臨無法可依的窘境。2017年6月1日,《網路安全法》正式實施後,網路安全工作將進入有法可依、有法必依的階段。
這將催生一個不斷擴大的網路安全市場空間,產業投入和建設也將步入持續穩定的發展軌道。
《工控安全指南》指明方向
2010年10月發生在伊朗核電站的"震網"(Stuxnet)病毒,為工業生產控制系統安全敲響了警鐘。現在,國內外生產企業都把工業控制系統安全防護建設提上了日程。
工信部於2016年10月發佈了《工業控制系統資訊安全防護指南》(簡稱《指南》),指導工業企業開展工控資訊安全防護工作。《指南》從安全軟體選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠端存取安全、安全監測和應急預案演練、資產安全、資料安全、供應鏈管理、落實責任11個方面對工控資訊安全建設內容進行了規定。
工控資訊安全是新增長點
工業控制系統(IndustrialControlSystems,ICS),是由各種自動化控制元件和即時資料採集、監測的程序控制組件共同構成。其元件包括資料獲取與監控系統(SCADA)、分散式控制系統(DCS)、可程式設計邏輯控制器(PLC)、遠端終端機(RTU)、智慧電子設備(IED),以及確保各元件通信的介面技術。
三大潛在風險
工業控制系統潛在的風險
1.由於考慮到工控軟體與作業系統補丁相容性的問題,系統開車後一般不會對Windows平臺打補丁,導致系統帶著風險運行。2.殺毒軟體安裝及升級更新問題:用於生產控制系統的Windows作業系統基於工控軟體與殺毒軟體的相容性的考慮,通常不安裝殺毒軟體,給病毒與惡意程式碼傳染與擴散留下了空間。3.使用U盤、光碟導致的病毒傳播問題:由於在工控系統中的管理終端一般沒有技術措施對U盤和光碟使用進行有效的管理,導致外設的無序使用而引發的安全事件時有發生。4.設備維修時筆記型電腦的隨便接入問題:工業控制系統的管理維護,沒有到達一定安全基線的筆記型電腦接入工業控制系統,會對工業控制系統的安全造成很大的威脅。5.工業控制系統控制終端、伺服器、網路設備故障沒有及時發現而回應延遲的問題:對工業控制系統中IT基礎設施的運行狀態進行監控,是工業工控系統穩定運行的基礎。
兩化融合"給工控系統帶來的風險
工業控制系統最早和企業管理系統是隔離的,但近年來為了實現即時的資料獲取與生產控制,滿足"兩化融合"的需求和管理的方便,通過邏輯隔離的方式,使工業控制系統和企業管理系統可以直接進行通信,而企業管理系統一般直接連接Internet,在這種情況下,工業控制系統接入的範圍不僅擴展到了企業網,而且面臨著來自Internet的威脅。
同時,企業為了實現管理與控制的一體化,提高企業資訊化合綜合自動化水準,實現生產和管理的高效率、高效益,引入了生產執行系統MES,對工業控制系統和執行資訊系統進行了集成,管理資訊網路與生產控制網路之間實現了資料交換。導致生產控制系統不再是一個獨立運行的系統,而要與管理系統甚至互聯網進行互通、互聯。
工控系統採用通用軟硬體帶來的風險
工業控制系統向工業乙太網結構發展,開放性越來越強。基於TCP/IP乙太網通訊的OPC技術在該領域得到廣泛應用。在工業控制系統中,由於工業系統集成和使用的便利性,大量使用了工業乙太環網和OPC通信協定進行了工業控制系統的集成;同時,也大量的使用了PC伺服器和終端產品,作業系統和資料庫也大量的使用了通用的系統,很容易遭到來自企業管理網或互聯網的病毒、木馬、駭客的攻擊。
工控安全性漏洞數回升
截至2016年底,根據中國國家資訊安全性漏洞共用平臺[CNVD]所發佈的2016年新增工業控制系統漏洞資訊,並經過匡恩網路的統計分析,2016年新增公開工控漏洞數量達141個,而2015年只有108個。
伺服器系統和工控資料危害集中區
2000年以來新增漏洞危害性分析,緩衝區溢位、資訊洩露、輸入驗證、跨站腳本等類型的工控漏洞數量居多,對工控系統的危害主要集中在伺服器的系統和資料中。
從已公開的工控系統漏洞類型來看,緩衝區溢位類型的漏洞高居榜首,漏洞數量達到165個,其次分別為資訊洩露、輸入驗證、跨站腳本、許可權問題類型的漏洞,數量分別達到66、63、58、52個。由於以上五種漏洞類型都能夠造成工控系統服務中斷、系統停機、資訊洩露,甚至是物理性破壞,因此常常被駭客、病毒及惡意程式所利用,危害性十分巨大。利用緩衝區溢位攻擊,可以導致程式運行失敗、系統宕機、重新開機等後果,甚至可以利用它執行非授權指令,對工業現場的智慧設備下發非法指令(例如修改運行參數、關閉閥門開關等),以達到其攻擊目的。
啟明星辰綠盟科技引領工控安全
中國工控安全廠商,根據其歷史背景可以分為三種類型:自動化背景廠商、傳統IT安全廠商、專業工控安全廠商。
隨著工業4.0實施,物聯網的普及之後,工控不再是相對獨立的網路,而是完全融入互聯網的一部分。工控安全也不再是相對獨立的一部分,而是和傳統網路安全融為一體,要從傳統互聯網的角度維護工控安全,而非工控系統。
所以我們認為,未來的工控安全領域,傳統IT廠商啟明星辰、綠盟科技等具有顯著優勢。
網路資訊安全龍頭啟明星辰
啟明星辰1996年成立,是國內最具實力、擁有完全自主智慧財產權的綜合性資訊網路安全企業。啟明星辰是國家認定的企業級技術中心、國家規劃佈局內重點軟體企業,擁有最高級別的涉及國家秘密的電腦資訊系統集成資質。
公司主要產品大類為安全產品(安全閘道、安全監測、平臺工具、資料安全)、安全服務、硬體及其他。2014年入侵偵測系統市場佔有率達到28%,全國第一。
2015年年報中安全閘道、檢測貢獻收入較高。
政府軍隊等客戶的選擇證明公司實力雄厚
公司的客戶遍佈政府、軍隊、金融、電信等國家安全級別非常高的領域,這些重要領域的客戶選擇公司的產品,證明了公司在網路安全的實力。
例如政府領域的全國人民代表大會、最高人民檢察院、中央辦公廳、國務院辦公廳、中共中央組織部、中共中央宣傳部、中央政府門戶網站、國家發展和改革委員會、國家保密技術研究所、財政部、科學技術部、公安部、人事部、交通部、工業和資訊化部等。
軍工領域有人民解放軍總參某部、人民解放軍總裝某部、人民解放軍總後某部、人民解放軍總政某部、人民解放軍海軍某部、人民解放軍空軍某部。
外延收購擴大網路安全服務領域
2011年至今,啟明星辰先後完成了對網禦星雲、賽貝卡、合眾數據、安方高科、賽博興安、書生電子等企業的部分或全部股權收購,使得公司在網路安全及資料處理等方面的技術得到突破,市場影響力及市場份額不斷提高。
通過外延收購的標的公司與原有啟明星辰產品和客戶形成互補和加強,例如偏重軍隊、電信的網禦星雲;資料加密的書生電子;電磁安全的安方高科等。
安全產品是主力,資料安全是亮點
2015年安全產品和服務占營業收入86%,隨著網路安全需求的普及和多樣化發展,公司業務收入構成日趨多元化。除安全閘道和安全檢測構成公司收入的主要來源外,其餘各業務收入占比逐漸均衡。
其中,安全監測、平臺工具、硬體及其他業務多年保持相對穩定的收入占比;安全服務收入占比逐漸降低;隨著互聯網使用者需求及網路安全隱患的增加,安全閘道業務自2010年以來取得了快速增長;安全監管業務自2012年起不再構成公司業務收入來源。
相反地,隨著大資料概念的興起和發展,資料安全成為公司新興業務,尤其是在公司收購合眾資料和書生電子後,這一業務取得了快速增長。
受益於並表和內生增長
2007年以來,公司經營良好,營業收入和淨利潤都有較大增長,同比增長率基本維持在20%以上。2016年營收19.28億元,增長25.7%;歸屬母公司股東淨利潤3.28億元,增長34.4%。
2007~2015年營業收入複合增長率達到26.4%,淨利潤CAGR達到25.8%。
2012年,公司營業收入出現大幅增長,同比增長率達到70.69%,其主要原因在於報告期內公司業務增長及與網禦星雲實現重組,同時,重組及業務增長也使得公司營業總成本快速增長,同比增長率達到74.17%,總體而言,2012年淨利潤增長率並不顯著。
隨著業務的增長及併入網禦星雲2013年全年總收入,公司2013年淨利潤增長率實現突破,達到66.19%。隨著公司並購更多企業,主營業務日趨多元化,近年營業利潤及淨利潤增長率均保持較高水準。
2013年淨利高增長另一原因是2012增值稅推遲到2013年返還,2013年退稅7887萬元,同比增長216%。
邏輯假設
1.2017年6月1日網路安全法實施,以及工控安全指南實行刺激下游安全產品和服務需求;
2.黨政機關軍隊依舊依賴傳統的“看得見摸得著”的網路安全產品,今年召開十九大政府對網路資訊安全重視度遠超往年。
3.各種工業控制系統接入互聯網後工控安全需求增加,要從傳統IT互聯網角度去維護工控安全,所以啟明星辰這樣的傳統安全廠商具有工控優勢。
4.收購賽博興安並表提升業績,美國的安全廠商賽門鐵克就是靠收購並表逐步壯大。
盈利預測和估值
2017年1月28日收購賽博興安交易完成,賽博興安2016-2018年承諾扣非歸母淨利潤分別不低於3874.00萬元、5036.20萬元、6547.06萬元,承諾期合計承諾淨利潤數為15457.26萬元。2017年業績增長主要來自賽博興安驅動。
2016~2018營業收入分別為19.28億元、28.1億元、36億元,同比分別增長25.7%、45.7%、28.1%。淨利潤分別為3.28億元、5.02億元、6.81億元,分別增長34.36%、53%、26.2%。
2017年3月12日市值195億元,對應2017~2018年PE分別為38倍、28.6倍。
從歷史PE(TTM)看,啟明星辰市盈率大部分時間處於56~75倍之間,截止3月10日市盈率只有59倍,估值處於歷史水準偏下。
投資建議
我們推薦人工智慧網路安全龍頭啟明星辰,推薦關注人工智慧網路安全性群組合:綠盟科技、美亞柏科、北信源、衛士通。
風險提示
網路安全法、工控安全指南實行不達預期。新技術替代現有網路安全產品。(完)
股市有風險,投資需謹慎。本文僅供受眾參考,不代表任何投資建議,任何參考本文所作的投資決策皆為受眾自行獨立作出,造成的經濟、財務或其他風險均由受眾自擔。