有两个难题是目前网络安全所面临的。

鉴于在端点侧使用容器、微服务架构、serverless等APP，过去的端点安全产品不能有效地检测到威胁；在流量侧越来越多地出现加密流量，无法有效地检测到这些流量；对于无文件攻击、供应链攻击和社工手段攻击，过去的单一/单点检测方法的防御能力大大降低。安全性运行低效∶目前以事件报警和人工分析的方式效率低下，与上述风险叠加，导致威胁发现时间大大延长。

对端点侧防御进行重新研究，以实现端点对新场景的感知能力，并具有更广泛的场景适应性和更细粒度的检测能力；多种检测手段相结合，并通过关联分析、事件归并、上下文理解等方法来实现对威胁的有效发现；重视威胁情报的作用，借助威胁情报商提供的情报输出，实现威胁预警、威胁发现、反应处置、调查取证；注重权限账号管理；面对数量巨大的检测告警和不低的误报率，结合SOAR和MDR实现自动分析和统一管理，从而达到全局高效自动化发现、响应和处置，是非常有效的解决办法。

在国内威胁情报领域，头部厂商的优势将进一步扩大，除了继续为SIEM提供支持之外，威胁情报信息如SOAR、MDR的输出IOC、TTP、攻击面识别等将逐渐落地；具有威胁捕捉能力的安全编排自动化和响应(SOAR)将逐渐成熟；安全探测响应的托管服务将在国内市场获得初步认可。

整体来看，安全运营市场在2021年将会出现大量的解决办法，并且在一系列新的情况下，市场表现良好。资料审核、脱敏、加密、访问控制等单点能力建设，主要是满足合规要求。但对于真正需要数据安全的行业来说，更倾向于自动检测数据安全事件的能力，而目前这方面的产业能力还非常薄弱。包括关联分析和UEBA技术在内的人工智能技术在数据安全检测中的广泛应用。鉴于数据安全的基础太薄弱，2021年仍将以数据审计、脱敏、加密、访问控制等单点能力建设为主。出类拔萃的厂商将逐渐布局人工智能技术在数据安全方面的APP。