Gartner安全运营成熟度曲线:XDR、SOAR 泡沫破裂;EDR、SIEM 进入生产成熟期

安全
Gartner 根据对企业产生的价值以及技术的目标市场覆盖度,对这些技术进行了应用优先级评估。

日前,Gartner 发布了最新的安全运营成熟度曲线报告(Gartner Hype Cycle for Security Operations, 2024),报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分,为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。

此次报告出现了像对抗性暴露面验证,暴露面评估平台这些新的技术热点,也有过去被认为大热的技术比如 SOAR,在达到成熟大面积应用之前就已过时。

Gartner Hype Cycle for Security Operations, 2024:

面对不断变化的威胁态势,企业率先采用新兴技术可能获得巨大收益,另一方面也可能承担更大的风险,因此识别技术投入的优先级变得尤为重要。

Gartner 根据对企业产生的价值以及技术的目标市场覆盖度,对这些技术进行了应用优先级评估,从而帮助企业安全或信息负责人制定安全战略路线,在恰当时间做出更明智的投资决策。

Gartner Hype Cycle for Security Operations, 2024:

优先级矩阵

新出的这份报告,有几点关键洞察值得关注:

TEM、CPS 安全、CAASM 进入期望膨胀期(Peak of Inflated Expectations),需谨慎

Gartner 认为全球企业对于攻击面的关注达到了顶峰,企业利用威胁暴露面管理(TEM)、网络资产攻击面管理(CAASM)、网络物理系统安全(CPS),以及渗透测试即服务(Penetration Testing as a Service)等不同的技术,来提升对于不断扩大的攻击面的可见性,或者验证网络的弹性。

但是,对于这些正处在期望膨胀期的安全技术,Gartner 的建议是企业内部需要提前考虑清楚自身的需求,再开始寻找供应商,或向安全厂商提具体的需求,不然最后很可能受到对当前技术过高的期待影响,而产生一些不切实际的期待。

MDR、NDR、TI 及 CO-MMS 市场价值显著,稳步爬升

对于托管检测和响应服务(MDR)、网络检测和响应(NDR)、威胁情报(Threat Intelligence)以及共管监控服务(Co-Managed Monitoring Services)这几项技术,早期的采用者已经克服了此前的各种障碍,2024年开始为企业带来显著的价值和收益,焕发了新的生机。

例如,像威胁情报技术对企业属于高收益,目标用户市场渗透率已达到20%-50%,当前已进入成熟主流阶段。对于处在该阶段的安全技术,Gartner建议重点进行评估及应用,弥补企业自身在威胁检测以及情报应用上成熟度的不足。

XDR、SOAR 等进入泡沫破裂低谷期(Trough of Disillusionment),需重新评估

当大家对新技术的兴奋劲头散去,这些新技术由于性能问题、没有及时产生财务回报或者是目标市场的接受与应用率比预期要慢,那么 Gartner 认为这项技术就进入了泡沫破裂低谷期。

2024 年,安全负责人需要对这几项技术进行重新评估,例如数字取证与事件响应(Digital Forensics and Incident Response),应用过这些技术的大多数企业都出现过被过度承诺结果的情况。

再比如外部攻击面管理(External Attack Surface Management),身份威胁检测和响应(Identity Threat Detection and Response),在实际应用的过程中,甲方企业对这些技术进行消费和运营业务输出时,准备不足。

对于安全编排自动化响应(SOAR)以扩展检测和响应 (XDR),面临的问题主要是采用的这些技术跟不上持续变化的需求。

Gartner 建议,企业既需要重新评估这些技术,也需要提升对预算分配与规划的合理性。

EDR、SIEM 进入生产成熟期(Plateau of Productivity)

报告指出,终端检测与响应(EDR)、安全信息与事件管理(SIEM)两项技术目前均已达到成熟阶段,其中 EDR 对于企业而言收益高,且目标用户市场渗透率达到了 50%;而SIEM目前的目标用户市场渗透率达到 20%-50%。

Gartner 认为处于这个阶段的技术已得到广泛应用,而且技术价值和优势也得到了充分证明,建议安全风险部门负责人充分利用该阶段技术降低风险,并将其功能整合应用到更大范围的安全运用生态体系中。

尽管这份报告可以看作是全球安全运营技术的风向标,但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”,并不完全同频。

例如国内终端安全管理平台更多以杀软、桌管包装成 EDR,真正的 EDR 技术在国内尚处于起步阶段,只有少数厂商聚焦在高精准度的 EDR 能力上;国内安全服务市场,更多以 MSS 安全托管服务为主,MDR 发展相对较为早期,企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-07-27 06:56:22

XDR安全运营Gartner

2019-08-15 07:33:09

2021-04-13 07:02:15

VRAR虚拟现实技术

2015-10-26 17:20:12

2018-07-24 12:11:27

2020-09-01 08:03:43

端点安全网络攻击网络安全

2011-08-17 17:15:48

Gartner云计算

2022-08-29 16:30:30

iPaaSLCAP

2020-09-07 11:31:55

技术成熟度曲Gartner技术

2022-11-28 18:54:59

安全技术成熟度

2022-11-18 10:31:56

中国安全技术数字化转型

2019-09-30 08:12:40

Gartner区块链成熟度曲线

2015-10-26 19:29:45

Gartner技术成熟魔力象限

2018-07-19 11:45:08

HTML5混合开发Gartner

2021-10-07 21:03:48

Gartner人工智能

2022-09-16 16:46:53

人工智能机器学习元宇宙

2019-09-19 11:03:34

人工智能AIGartner

2016-08-18 15:01:31

Gartner新兴技术

2024-09-30 12:01:43

Gartner复合型AI国产AI芯⽚

2016-10-12 14:31:04

点赞
收藏

51CTO技术栈公众号