資通訊安全產業供應鏈
隨著雲端運算、萬物聯網與5G的快速發展,未來資訊科技(Information Technology, IT)、通訊科技(Communication Technology, CT)、營運科技(Operational Technology, OT)結合人工智慧(Artificial Intelligence, AI)分析機制,應用在各種場域(製造、金融、醫療、零售、交通、能源等)的資通安全產品暨服務,為資通安全產業開創出值得期待的未來與龐大商機。但網路的無所不在同樣也讓資通安全風險急速擴大,亦驅使全球企業高度重視萬物聯網、雲端安全與企業基礎資訊架構的資安防護。
從個人電腦到萬物聯網,近20年來 IT 產品全面滲透我們的生活,資訊安全的風險增多,價值也水漲船高。2023年全球資安市場規模為1,845.1億美元,預估到2028年將達到3,135.9億美元。而2022年到2026年的年均複合成長率(Compound Annual Growth Rate, CAGR)更高達為11.19%;再加上近年來駭客的攻擊手法隨著科技進步,不斷推陳出新,為了應對衝擊層面愈來愈大的資安事件,也替資安產業開創出值得期待的未來與龐大商機。
而觀測我國資安產業的動態,可以發現2023年臺灣資安廠商約為341家,以系統整合與經銷代理廠商占比最多,其次為網路安全業者、威脅檢測與顧問服務。而盤點臺灣資安產業生態體系,從資安軟體原廠到經銷商、代理商至提供企業資安整合服務的系統整合商、資安顧問諮詢業者、資安服務專業供應商、電信業者等已形成完整的資安服務供應體系,目前的資安軟體技術依然以國外大廠的產品居市場的領導地位。反觀臺灣資安產業仍以硬體為主,包括防火牆、指紋辨識晶片、「可信任平臺安全模組(Trusted Platform Module, TPM)」及新興的「物聯網(Internet of Things, IoT)安全」安全閘道器等。軟體產品與服務主力為資料與雲端資料庫、郵件安全等,多以辨識與保護為主,威脅偵測、應變回應處理以及追蹤修復工具較少。
另一方面,2023年臺灣資安產業產值為483.7億元新臺幣,預估到2027年將達到665.7億新臺幣。而2023年到2027年的CAGR為8.31%。臺灣資安產業以中小企業為主,近6成廠商總營收少於1億元,以資安業務來看,只有23%的資安業者營收破億。國內66%的資安廠商具有自主資安產品與專業服務,1/3為專業經銷代理。
資通安全產業鏈可以區分為資安產品與資安服務兩個部分。而在這兩個構面下,產品又有四個次產業,分別是提供「端點安全」、「網路與基礎設施安全」、「應用安全」、「營運安全」等產品的相關業者;服務則有三個次產業,包括提供「資安防護能力分析與鑑識」、「資安營運管理」、「資安顧問」等服務的相關業者。
一、產品:
資通安全產業鏈在產品的面向,在「端點安全」關聯業務供應商,包括「端點安全防護」【端點防護/防毒、端點偵測與回應(Endpoint Detection and Response, EDR)、主機防護等】、「身分認證與存取管理」【身分認證、身分即服務、特權帳號管理等】、「行動安全」【行動裝置安全、行動應用安全、自攜設備安全控管等】;在「網路與基礎設施安全」關聯業務供應商,包括「網路基礎設施」【防火牆(Firewall)、整合威脅管理(Unified Threat Management, UTM)、網路入侵檢測與防禦(IDS/IPS)、虛擬私人網路(Virtual Private Network, VPN)等】、「網路安全防護」【分散式阻斷服務防禦(Distributed Denial-of-Service Protection, DDoS Protection)、網路存取控制(NAC)、進階持續性威脅(APT)等】、「物聯網安全」【裝置與感測器安全、工業控制安全、車聯網安全等】;在「應用安全」關聯業務供應商,包括「資料安全」【加密技術、資料遺失防護(Data Loss Prevention, DLP)、資料庫安全等】、「網頁內容安全」【電子郵件安全、網頁內容過濾防竄改、網頁應用防火牆等】、「雲端安全」【雲端應用防火牆、雲端內容安全等】;在「營運安全」關聯業務供應商,包括「安全營運與事件回應」【資安事件管理(Security Information and Event Management, SIEM)、資安營運中心(Security Operation Center, SOC)、資安協作、自動化及回應(Security Orchestration, Automation and Response,SOAR)等】與「資安治理」【公司治理、風險管理與合規、數位風險管理等】。
在端點安全的國際大廠有Check Point、Cisco、CrowdStrike、Microsoft、Palo Alto Networks、Symantec(註:Broadcom於2019年11月購併Symantec企業安全部門,Symentec正式更名為NortonLifeLock Inc;2020年1月Broadcom再將網路安全服務部門拆售給Accenture;Symantec企業安全部門已整併到Accenture資安服務部門下)、趨勢科技(Trend Micro)等。在網路與基礎設施安全的國際大廠有Cisco、Palo Alto Networks等,國內廠商則有合勤科技(ZYXEL)等。在應用安全的國際大廠有Cisco、Mimecast、Proofpoint、趨勢科技(Trend Micro)等,國內廠商則有網擎資訊(Openfind Information Technology)等。在營運安全的國際大廠有IBM、Micro Focus、Splunk Enterprise Security等,國內廠商則有中華資安國際、安碁、果核數位、數聯資安、關貿網路等。
二、服務:
資通安全產業鏈在服務的面向,在「資安防護能力分析與鑑識」關聯服務供應商,包括「威脅情資蒐集與分析」、「漏洞及弱點掃描分析」、「滲透測試服務」、「社交工程測試」、「進階威脅保護檢測(Advanced Threat Protection, ATP)」等類型。在「資安營運管理」關聯服務供應商,包括「資安營運中心監控服務」、「沙箱檢測」、「日誌事件管理」、「雲端存取安全中介服務(Cloud Access Security Broker, CASB)」、「雲端資安狀況管理(Cloud Security Posture Management, CSPM)」等類型。在「資安顧問」關聯服務供應商,包括「資安架構規劃與建置」、「風險評估與可視化」、「資安教育與訓練」等類型。
在資安防護能力分析與鑑識服務的國際大廠有McAfee、Microsoft、IBM、Juniper Networks、FireEye等。在資安營運管理服務的國際大廠有Netskope與 Imperva等。在資安顧問服務的國際大廠有Deloitte、KPMG等,國內廠商則有中華資安國際、安碁等。
反觀臺灣資安產業仍以硬體為主,包括防火牆及新興的「物聯網安全」安全閘道器等。軟體產品與服務主力為資料與雲端資料庫、郵件安全等,多以辨識與保護為主。
近年國內端點資安監控服務(EDR/(Managed Detection and Response, MDR)的代表廠商有奧義智慧,端點資安防護的代表廠商有杜浦數位安全。國內滲透測試的代表廠商有安華聯網、數聯資安、果核數位與可立可資安等,其中果核數位與可立可資安加入AI威脅分析聯防技術,加強其蒐集情資的能力;中華資安與戴夫寇爾則是提供紅隊演練服務的代表廠商。如梭、可立可資安為已布局「入侵與攻擊模擬(Breach and Attack Simulation, BAS)」的業者,未來將以AI進行BAS平臺開發。物聯網安全的工控系統安全代表廠商有睿控網安(TXOne Networks)。
疫後新常態(New Normal),宅經濟浪潮的遠距辦公、線上教學等網路應用更為普及,企業在雲地混合的部署亦為主流,資安議題影響之範圍快速擴大,資安產業面臨的挑戰更為多元複雜,產業技術競爭力需進一步提升。以下就「產業資安化」與「資安產業化」兩個面向,解析資通安全產業的精進的做法。
1.透過「產業資安化」來協助製造與服務業轉型
臺灣資安產業過往最大的問題,主要在於產業競爭力上,但無論是從「產業資安(應用需求端)化」及「資安產業(軟體供給端)化」等兩個不同的面向來看,都需要強化。
觀測全球資安產業發展趨勢,目前已進入第五代的資安防禦階段,主要聚焦在解決IoT漏洞的資安破口【第一代為「防毒軟體(Antivirus)」;第二代為「防火牆(Firewall)」;第三代為「入侵防禦系統(Intrusion Prevention System)」;第四代為「惡意程式行為分析(Malware Behavior Analytic)」;第五代為「自動化滲透測試(Vulnerabilities & Exploits)」;第六代為「零信任安全(Zero Trust Security)」】。
但相關統計資料顯示,臺灣企業應用需求端,約99%已布署防護軟體,約99%已布署網路入侵設備,約60%已布署「網頁應用程式防火牆(Web Application Firewall, WAF)」,但亦表示臺灣「產業資安化」的所在位置,並未及國際發展目前第五代的階段。
再加上就連眾多的臺灣科技大廠頻頻被駭,除了主觀上必須讓所有企業包括主力產業(GDP貢獻度最高的產業)如製造與服務業,能未雨綢繆的落實資安觀念外,更要有隨時遭受攻擊的警覺。而聰明的企業是預期被駭客攻擊並制定因應計畫,被動的企業是被駭客攻擊後才訂定相應的安全計畫。讓臺灣產業的應用端做好資安這件事,已成為透過「產業資安化」來協助製造與服務業轉型的當務之急。
2.藉由「資安產業化」來引領資服軟體產業轉型
分析全球資安市場結構,可以發現資安產品約占46%,服務約占43%,硬體約占11%。但與全球相較,國內資安產業的硬體產值卻偏高許多(本研究之我國資安產值計算排除硬體裝置/設備如物聯網安全);而軟體產品與服務主力則為資料與雲端資料庫、郵件安全等,多以辨識與保護為主,威脅偵測、應變回應處理以及追蹤修復工具較少。如此的產業結構亟需翻轉調整,這當然亦是希冀在策略上能透過「資安產業化」來協助資服暨軟體產業轉型。
我國資安產業的發展必須先篩選獨特價值,而發展臺灣資安新創就是一種從價值判斷到策略選擇的主軸。在其中一個重要的觀察指標,除了設定為未來若無形成具代表性、成功的資安新創,就表示資安產業沒有起來之外;如何對焦到臺灣整個產業環境、未來發展趨勢、產業結構調整、產業競爭力、人才供需,或是協助法制調適等指標,才能加速並深化「資安產業化」的發展。
當前美中競局下,供應鏈安全已成為臺灣資安產業發展的優勢;但資安業者規模不大,國際行銷資源薄弱;如何利用歐美對供應鏈安全「信任」的要求,AIoT資安產品需求則是重要契機;而國際資安新創解決痛點差異化的成功商模與募資能力則是我國資安新創「衡外情、量己力」之外,制定「大市場、小題目」的策略思維。乘著AIoT資安產品服務需求的態勢,資安新創結合ICT產業大廠之全球生產布局優勢,成為開啟國際信任供應鏈金鑰的隱形冠軍。