日前,Gartner 发布了最新的安全运营成熟度曲线报告(Gartner Hype Cycle for Security Operations, 2024),报告将与安全运营相关的 23 项热点技术按照新技术通往成熟必经的过程进行划分,为技术萌芽期、期望膨胀期、泡沫破裂低谷期、稳步爬升复苏期、生产成熟期五个阶段。
此次报告出现了像对抗性暴露面验证,暴露面评估平台这些新的技术热点,也有过去被认为大热的技术比如 SOAR,在达到成熟大面积应用之前就已过时。
Gartner Hype Cycle for Security Operations, 2024:
面对不断变化的威胁态势,企业率先采用新兴技术可能获得巨大收益,另一方面也可能承担更大的风险,因此识别技术投入的优先级变得尤为重要。
Gartner 根据对企业产生的价值以及技术的目标市场覆盖度,对这些技术进行了应用优先级评估,从而帮助企业安全或信息负责人制定安全战略路线,在恰当时间做出更明智的投资决策。
Gartner Hype Cycle for Security Operations, 2024:
优先级矩阵
新出的这份报告,有几点关键洞察值得关注:
TEM、CPS 安全、CAASM 进入期望膨胀期(Peak of Inflated Expectations),需谨慎
Gartner 认为全球企业对于攻击面的关注达到了顶峰,企业利用威胁暴露面管理(TEM)、网络资产攻击面管理(CAASM)、网络物理系统安全(CPS),以及渗透测试即服务(Penetration Testing as a Service)等不同的技术,来提升对于不断扩大的攻击面的可见性,或者验证网络的弹性。
但是,对于这些正处在期望膨胀期的安全技术,Gartner 的建议是企业内部需要提前考虑清楚自身的需求,再开始寻找供应商,或向安全厂商提具体的需求,不然最后很可能受到对当前技术过高的期待影响,而产生一些不切实际的期待。
MDR、NDR、TI 及 CO-MMS 市场价值显著,稳步爬升
对于托管检测和响应服务(MDR)、网络检测和响应(NDR)、威胁情报(Threat Intelligence)以及共管监控服务(Co-Managed Monitoring Services)这几项技术,早期的采用者已经克服了此前的各种障碍,2024年开始为企业带来显著的价值和收益,焕发了新的生机。
例如,像威胁情报技术对企业属于高收益,目标用户市场渗透率已达到20%-50%,当前已进入成熟主流阶段。对于处在该阶段的安全技术,Gartner建议重点进行评估及应用,弥补企业自身在威胁检测以及情报应用上成熟度的不足。
XDR、SOAR 等进入泡沫破裂低谷期(Trough of Disillusionment),需重新评估
当大家对新技术的兴奋劲头散去,这些新技术由于性能问题、没有及时产生财务回报或者是目标市场的接受与应用率比预期要慢,那么 Gartner 认为这项技术就进入了泡沫破裂低谷期。
2024 年,安全负责人需要对这几项技术进行重新评估,例如数字取证与事件响应(Digital Forensics and Incident Response),应用过这些技术的大多数企业都出现过被过度承诺结果的情况。
再比如外部攻击面管理(External Attack Surface Management),身份威胁检测和响应(Identity Threat Detection and Response),在实际应用的过程中,甲方企业对这些技术进行消费和运营业务输出时,准备不足。
对于安全编排自动化响应(SOAR)以扩展检测和响应 (XDR),面临的问题主要是采用的这些技术跟不上持续变化的需求。
Gartner 建议,企业既需要重新评估这些技术,也需要提升对预算分配与规划的合理性。
EDR、SIEM 进入生产成熟期(Plateau of Productivity)
报告指出,终端检测与响应(EDR)、安全信息与事件管理(SIEM)两项技术目前均已达到成熟阶段,其中 EDR 对于企业而言收益高,且目标用户市场渗透率达到了 50%;而SIEM目前的目标用户市场渗透率达到 20%-50%。
Gartner 认为处于这个阶段的技术已得到广泛应用,而且技术价值和优势也得到了充分证明,建议安全风险部门负责人充分利用该阶段技术降低风险,并将其功能整合应用到更大范围的安全运用生态体系中。
尽管这份报告可以看作是全球安全运营技术的风向标,但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”,并不完全同频。
例如国内终端安全管理平台更多以杀软、桌管包装成 EDR,真正的 EDR 技术在国内尚处于起步阶段,只有少数厂商聚焦在高精准度的 EDR 能力上;国内安全服务市场,更多以 MSS 安全托管服务为主,MDR 发展相对较为早期,企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。