國際資安市場發展趨勢
全球資安市場概況
根據國際調研機構Gartner調查,2023年全球資安與風險管理產品和服務支出預計將超過1,950億美元,增長11.8%。雲端安全預計將成為未來兩年增長最強勁的類別。隨著企業愈來愈重視環境、社會和治理(ESG)、第三方風險、資安及隱私風險,Gartner預測綜合風險管理(IRM)市場到2024年底將實現兩位數增長,直到更競爭激烈產生便宜的解決方案為止,其中資安服務、基礎設施防護、網路安全設備、身份訪問管理是資安支出較多的類別。
圖1 2020~2026全球資安與風險管理產品和服務支出(資料來源:Gartner;工研院產科國際所)
Gartner調查指出,影響全球資安支出增長的三大因素,分別是遠程和混合辦公模式增加、從虛擬專用網路(VPN)走向零信任網路存取(ZTNA)以及向雲端交付模式的轉變。企業將愈來愈需要能夠實現安全遠端和混合辦公環境的技術,為了創建安全的居家辦公環境,企業正在探索能夠快速獲得投資回報的資安解決方案,因此,網站應用程式防火牆(WAF)、存取管理(AM)、端點防護平台(EPP)、安全網頁閘道(SWG)等技術至少在2023年底前仍存在需求;另外,由於遠距工作者對零信任防護的需求日益增加並且企業正減少使用虛擬專用網路進行安全存取,因此,零信任網路存取(ZTNA)已成為增長最快的網路安全細分市場,預計該市場在2023年將增長31%。
由於企業在多雲環境下面臨更大的資安風險,網路的複雜性也持續倍增,這將推動雲端安全的發展;其中,雲端存取資安代理(CASB)和雲端工作負載防護平台(CWPP)所組成的市場將在2023年達到67億美元,增長26.8%。未來幾年,企業對於端點偵測與回應(EDR)、資安威脅偵測應變服務(MDR)等需求也將增加。
國際資安新創發展趨勢
從2017~2022年國際資安大會RSA Conference創新沙盒競賽進行分析,可發現前十大的資安新創領域主要集中在雲端安全、資料安全、軟體供應鏈安全及身分安全等四大領域。雲端安全是最熱門的領域,內容包括:容器安全、API防護、雲端安全平台、SaaS應用安全、雲原生威脅管理、雲原生數位調查取證、雲原生資產管理等;其次是資料安全,研發方向包括:密碼應用、隱私計算與合規、資料治理等;軟體供應鏈安全方面,包括:風險管理、程式碼安全、應用安全等;最後則是身份安全,投入方向包括:零信任、身分即服務(IDaaS)等。每一年主題的變化受到資安技術應用、網路威脅事件、創新技術的影響,加上資安產業整體的變化及政治經濟等潛在因素,使每一年的主題和路線都有所不同。
台灣資安新創發展動態
在國內資安政策及計畫推動下,近年台灣資安新創確實比以往快速增加,也受到國際市場與創投的青睞。尤其是台灣資安新創廠商,在弱點掃描、滲透測試、紅隊演練等資安服務及端點防護等,擁有較高的技術研發能力。
台灣資安新創接連成立,如戴夫寇爾於2012年成立、奧義智慧、杜浦數位皆於2017年成立,趨勢科技近年積極孵化資安新創,2019年攜手四零四科技成立工控資安領域之睿控網安(TXOne Networks),2022年成立車用資安新公司VicOne,2023年1月成立5G資安訊勢科技(CTOne)鎖定無線通訊科技。另外,來毅數位於2022美國投資高峰會(Select USA)獲得資安類冠軍,並獲得馬里蘭州Soft Landing平台計畫,今年底更將在馬里蘭州成立美國分公司。以下盤點台灣重點資安新創之布局與發展概況。
戴夫寇爾(DEVCORE)
由白帽駭客團隊組成的資安新創戴夫寇爾(DEVCORE)於2012年成立。2021年因發現微軟Exchange漏洞而聲名大噪,該公司主張藉由主動式攻擊服務,協助企業提升資安意識、強化資安防禦能力。主動式資安服務主要分為滲透測試(Penetration Test)及紅隊演練(Red Team Assessment)。去年6月,Devcore與奧義智慧宣布建立策略合作,共同推出「AD攻擊路徑模擬評估服務」(AD Attack Path Assessment),結合雙方資安攻防戰紅、藍隊之經驗,挖掘並驗證潛藏駭客入侵及攻擊途徑。雙方共同推出攻擊路徑模擬評估服務,不僅是台灣頂尖紅藍隊公司的首度策略合作,更盼以不同角度的安全思維出發,完整企業各方面之資安需求。此外,DEVCORE重視人才培養,在輔仁大學與台灣科技大學設立資安獎學金,期盼能夠鼓勵更多學子投入資安領域,建立完善的資安生態系。
來毅數位科技(LYDSEC)
來毅數位科技於2012年成立,推出「Keypasco多因素(Multi-Factor)身份認證解決方案」,為一套純軟體的雲端身分安全認證服務,可利用個人設備、地理位置、PKI Sign、近場認證(Proximity),以獨特專利的雙通道認證架構,藉由不同於VPN連線的第二條通道驗證登入資訊,讓駭客無法成功執行中間人攻擊及釣魚攻擊,該方案正式通過2022年國家資通安全研究院零信任網路身分鑑別功能符合性驗證,同時也成功導入中央政府機關,成為實際運行的零信任多因素身分認證系統。該公司去年宣布將在日本成立分公司、設置辦公室,正式進軍日本市場,並與日本專業IT服務公司「Blue Green Group」共同合作,協助日本企業在數位轉型的過程建立關鍵資安基礎。此外,來毅數位科技去年參加美國商務部6月26~29日舉辦「選擇美國投資高峰會」(SelectUSA Investment Summit),在SelectUSA Tech全球新創最後100強競爭中成為年度冠軍,這是繼2021年博歐科技後,再度蟬聯網路安全領域冠軍的台灣資安新創企業。
奧義智慧(CyCraft)
去年4月底奧義智慧(CyCraft)公布,與具深厚技術背景的菱鏡(Trapa)進行策略合作,打造台灣車用資安研究團隊,加深奧義智慧於泛物聯網軟、硬體資安威脅偵測與防護的研究量能。同時,期以串聯台灣新創動能、網羅資安領域相關技術及研究人才,建構更穩健的車聯網資安生態系。奧義智慧指出,未來將持續深化於電動車資安領域的研究,並串聯鴻海MIH聯盟,攜手打造安全、可信任的車聯網平台。奧義智慧早在2017年投入車聯網資安研究,並於2018年發表《從網路安全到汽車攻擊》研究報告。奧義智慧以四年研究累積為基礎,與菱鏡合作,持續針對已知、未知的車用資安破口進行深入分析及研究。此外,奧義智慧去年進軍歐洲市場,與立陶宛及捷克兩間IT資安服務公司(Emplos、TAKTIK)合作,以AI驅動全自動安全防禦解決方案,協助當地深化資安部署。
杜浦數位(Team T5)
杜浦數位安全(TeamT5)成立於2017年,在台灣主要發展包括情資販售、提供資安鑑識工具和服務、EDR產品和防範勒索軟體攻擊,及逐漸成熟的電腦健檢服務等。去年獲得日本三大企業(JAFCO集富集團、ITOCHU伊藤忠商事、日本資安提供商MACNICA)共同投資,共募資金額超過600萬美元(約新臺幣1.85億元)。TeamT5在去年7月成立日本子公司,擴大深耕日本市場,該公司經營日本市場策略,是以採取販售資安情資及提供資安鑑識工具(Threat Sonar)給日本的資安代管服務業者(MSSP),及已建立CSIRT(電腦資安事件應變小組)團隊之日本大型企業。TeamT5與日本MSSP業者合作,目標在兩年內站穩日本市場並建立相關團隊,待日本子公司營收超過台灣總公司後,才會進行B輪募資規劃。
睿控網安(TXOne Networks)
睿控網安(TXOne Networks)於2021年8月完成A輪募資,去年8月再次獲得7,000萬美元(約為新台幣21億元)B輪募資,去年底再獲兩家知名大廠加碼投資,B+輪募資總額達8,080萬美元。募得資金將協助各垂直領域的產業抵禦OT領域複雜多變的資安威脅與網路攻擊。此外,TXOne Networks作為SEMI台灣半導體資安委員會成員,協助推廣SEMI E187 半導體產線設備資安標準規範,針對機台設備之電腦作業系統、網路安全、端點保護、資訊安全監控等層面設立標準,目標消除外部供應鏈攻擊、內部威脅以及其他潛在網路安全脆弱點。目前睿控網安有日本東京、美國達拉斯及荷蘭恩荷芬三處等海外據點,預期未來業務需求將會持續增加。
結論
在國內資安政策及計畫推動下,台灣資安新創在弱點掃描、滲透測試、紅隊演練等資安服務類別有大幅成長,不過尚缺乏大型場域淬鍊解決方案之經驗。
盤點台灣資安產業廠商,主要技術掌握在辨識及保護階段,包括資通安全治理及風險評估、資產管理、端點裝置防護、網路安全防護、資料加密與應用服務防護等。不過,在偵測、回應與復原階段之資安廠商為數較少,特別是使用者行為分析、威脅情資運用、數位鑑識及證據保存等技術,尚待建立相關技術能量。
近年來台灣資安新創受到高度關注,各領域產業盼與資安新創合作,由於市場需求仍未完全滿足,尚有許多可關注開發之資安新興議題,包括加密貨幣與區塊鏈安全、供應鏈安全、託管檢測和響應、零信任安全等,投資者將會持續關注相關新創之發展。
