Gartner发布2024年安全运营成熟度曲线：改变安全运营策略、能力和效果的23项技术发展趋势

安全运营技术和服务通过识别威胁、漏洞和暴露来保护 IT/OT 系统、云工作负载、应用程序和其他数字资产免受攻击。此技术成熟度曲线可帮助安全和风险管理领导者制定战略并提供安全运营能力和功能。

需要知道的

混合和远程工作实践不断发展，安全运营中心 (SOC) 团队支持这些转型。生成式人工智能 (GenAI) 正在撼动网络安全行业，安全运营需要走在前列，利用 GenAI 来改善结果，但也要面对潜在的新攻击。为了跟上不断变化的形势，安全和风险管理 (SRM) 领导者必须制定以业务风险为中心的安全运营策略，而不仅仅是采用新方法来更好地完成相同的工作。

炒作周期

随着威胁形势变得更加动荡和复杂，解决管理组织风险的复杂性仍然是今年炒作周期的主导主题。尽管波动性和复杂性有所增加，但攻击者仍成功瞄准并利用了长期以来被视为有问题且需要采取行动的漏洞和安全漏洞。然而， SRM领导者仍然面临着获取组织攻击面可见性以及对这些发现进行优先排序的挑战。

SRM领导者继续加强其威胁检测和响应工作。今年的炒作周期重点关注身份威胁检测和响应 ( ITDR )、扩展检测和响应 (XDR) 和共同管理监控服务。SRM领导者被要求采取行动，使用 ITDR 产品和服务来强化数字身份和身份基础设施。已经实施这些技术的企业应考虑将 ITDR 成果整合到 SOC 中，以改进威胁检测。

相当一部分组织在组织威胁检测、调查和响应 (TDIR) 功能时面临挑战。安全信息和事件管理 (SIEM)是一项成熟的技术，最近的市场动荡带来了不确定性。较小的组织旨在使用预配置技术来加速价值实现，使用一组预定义的分析、预构建的自动化和一些开箱即用的响应功能。XDR 提供商承诺实现这一目标，并正在添加 AI 助手，让任何人都能更轻松地从工具中获取信息。

企业寻求能够帮助他们处理更高定制性的合作伙伴。共同管理监控服务提供商在技术和服务增强方面提供了更大的灵活性，使客户能够直接为运营绩效和成果做出贡献。托管检测和响应(MDR) 提供商为无法或不愿意在内部支持此功能的组织添加了托管事件响应。

持续威胁暴露管理

今年的技术成熟度曲线上出现了许多新情况，反映了不断发展的漏洞和暴露管理方法，更加符合持续威胁暴露管理 (CTEM)框架：

• 威胁暴露管理

• 暴露评估平台

• 对抗性暴露验证

CTEM 是一个帮助组织在管理和实施风险管理的五个推荐阶段（范围界定、发现、优先排序、验证和动员）时提高其成熟度的计划。

威胁暴露管理去年进入了技术成熟度曲线。其概况代表了更广泛的领域，涵盖了 CTEM 方法等流程中的创新。暴露评估平台和对抗性暴露验证解决方案是可用于执行威胁暴露管理计划的技术平台的示例。组织应采用适当的治理和可重复性，以使其威胁暴露管理计划具有连续性。

风险暴露评估平台旨在将漏洞评估和漏洞优先级排序技术整合到一个平台中。这为最终用户提供了更大的便利性，并可能更有效地发现其相关的攻击面，优化风险暴露优先级排序，并提供更大的动员灵活性。

对抗性暴露验证技术提供攻击性安全技术，模拟威胁行为者的策略、技术和程序，以验证可利用暴露的存在并测试安全控制的有效性。在此配置文件中，Gartner 整合了入侵攻击模拟和自主渗透测试和红队测试。

评估技术成熟度曲线

评估今年技术成熟度曲线的一些关键建议：

• 考虑 CSMA 等转型举措的目标和初始步骤，以预测安全运营功能的长期发展。

• 根据当前的漏洞管理计划成熟度，启动战术或更深层次的威胁暴露管理举措。

• 应用严格的安全运营要求管理来对抗未经证实的功能周围的营销噪音。

• 测试提供商技术和服务交付以确保性能结果。

• 评估人工智能网络安全助手的运营效率提高和技能增强。

技术萌芽期

虽然网络安全网格架构 (CSMA) 和 CTEM 等转型计划对某些人来说即将到来，但我们建议在早期进行渐进式转变，利用技术和服务整合以及自动化机会，减少价值实现时间和管理开销。

人们越来越重视实现更高的威胁检测性能和更快的事件响应。为此，通常需要更多数据来扩大可见性，从而实现跨技术和业务领域的检测。然而，人员配备和预算限制是阻碍组织实现这些目标的主要障碍。Gartner建议考虑可以降低数据管理成本的技术，例如监测管道概况中提到的技术，以及通过利用网络安全人工智能助手来提高运营效率。

期望膨胀期

企业的目标是了解不断扩大的攻击面（CPS 安全、威胁暴露管理、网络资产攻击面管理）并测试技术领域的弹性（渗透测试即服务）。在进入市场之前完善其需求有助于避免供应商营销团队宣传的不切实际的期望。市场能力不断扩大和缩小与需求保持一致，以避免虚假炒作。

泡沫破裂低谷期

SRM领导者正在重新评估他们从处于低谷的技术中获得的价值，通常必须加强其预算的合理性。例如：

• 企业被过度承诺结果（数字取证和事件响应）

• 企业尚未准备好使用和运营服务输出（数字风险保护服务、外部攻击面管理、ITDR）

• 企业所采用的技术未能跟上不断变化的需求（SOAR 、XDR）。

SRM领导者必须寻求保证，确保他们的服务和产品能够实现预期的价值。

稳步爬升复苏期

今年的多项创新在提供的功能、市场成熟度和客户采用方面均显示出显著的提升：

• 共同管理监控服务

• 托管检测和响应服务

• 网络检测与响应

• 威胁情报产品和服务

评估这些技术和服务以弥补成熟度方面的差距，无论是改进威胁检测还是实施威胁情报。

生产成熟期

终端检测和响应(EDR) 和 SIEM 已达到市场成熟度，被广泛采用，其优势也得到了充分展示。SRM领导者应将这些技术视为降低风险的技术，并将其功能纳入更广泛的安全运营生态系统。

图 1：2024 年安全运营成熟度曲线

优先级矩阵

在投资任何安全运营服务和功能之前，组织如果能评估整个企业的风险，就能够更轻松地确定要购买什么以及要花多少钱。这将使组织能够获得最佳的风险降低效果，并有效应对可能损害生产力或品牌（或两者兼而有之）的问题。

与安全运营相符的技术和服务很少能带来立竿见影的效益。此类功能应被视为可消耗品。换句话说，它们需要一个适应的过程才能发挥作用。安全风险应根据组织的优先事项进行管理，但应牢牢扎根于解决特定组织的威胁形势。

在考虑安全运营的技术和能力路线图时，重点关注已发现问题的优先级，以确保安全运营计划与组织的特定和动态攻击面保持一致。同时，所有这些都需要与现代 IT 架构保持一致。

增加复杂性既不具有高优先级，也无高益处。CSMA 采用和风险管理等领域的长期计划是模拟流程和使用当前技术的方法，而不是使用全新的工具。优先级矩阵有助于权衡那些更有可能对业务风险状况产生有效和可衡量的积极影响的战略项目。

表1 ：2024 年安全运营优先级矩阵

影响力	距离主流采用的时间
	不到 2 年	2 -    5年	5 -    10 年	超过 10 年
颠覆		安全服务边缘	威胁暴露管理	网络安全网格架构
较高	终端检测和响应	CPS 安全 暴露评估平台 身份威胁检测与响应 MDR 服务 渗透测试即服务 威胁情报产品和服务 XDR	对抗性暴露验证
中等	外部攻击面管理 SIEM	共同管理的安全监控服务 数字取证和事件响应 数字风险保护服务 NDR Telemetry Pipelines	自动化安全控制评估 网络安全人工智能助手
较低			CAASM

来源：Gartner（2024 年 7 月）

脱离炒作周期

• 漏洞评估——纳入暴露评估平台

• 漏洞优先级排序技术——纳入暴露评估平台

• 入侵攻击模拟——纳入对抗暴露验证

• 自主渗透测试和红队测试——纳入对抗暴露验证

• 托管 SIEM 服务——纳入共同管理的安全监控服务

• OT 安全——纳入 CPS 安全

技术萌芽期

1、自动化安全控制评估

影响力评级：中等

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：自动安全控制评估 (ASCA) 是一种安全技术，它不断分析、确定优先级并优化安全控制，以减少组织的威胁暴露。ASCA 可识别安全控制中的配置偏差、策略和控制缺陷、检测逻辑漏洞、不良默认值和其他错误配置。然后，它使用已识别的弱点来推荐和确定补救措施的优先级，以提高针对组织特定威胁的安全性。

为什么重要

安全控制配置错误是与安全漏洞相关的一个持续性问题。异构安全基础设施的复杂性以及通用技术安全配置的重要性日益增加，导致了安全策略和配置网络的复杂化。安全技能的差距和快速变化的攻击技术加剧了在没有自动化的情况下维持安全控制最佳配置的问题。

商业冲击

ASCA 通过优化安全控制和减少威胁暴露，降低了组织业务中断和财务损失的风险。实施 ASCA 技术的组织可提高员工效率、最大限度地减少人为错误的影响并提高组织在面临变动时的恢复能力。

驱动因素

• 随着威胁载体的不断涌现、安全工具的激增以及管理人员的高流动率，管理安全控制配置的复杂性不断增加，导致攻击面更加暴露。

• 特定的组织用例和目标要求保存复杂的异构基础设施和安全架构，从而增加安全控制管理的复杂性。

• 面对快速变化的攻击技术，手动配置审查、偶尔的渗透测试或孤立的、以工具为中心的安全控制管理都是不够的。

• 根据组织特定的威胁形势不断评估和优化安全控制配置是一种有效的风险缓解策略，最终可减少组织遭受的威胁。

障碍

• ASCA 技术无需主动验证假设，即可自动评估安全控制配置，而只需让最终用户验证有关有效解决过程的结果即可。

• 由于缺乏对利基安全供应商和通用技术中嵌入式安全控制的支持，ASCA 对于拥有专门安全解决方案的大型复杂组织来说价值较低。

• 与内置的自我评估功能（例如生成式人工智能）以及旨在在各个孤岛中实现类似目标的工具重叠；例如，用于网络防火墙或云配置评估的工具。

• 补救措施进展缓慢，再加上持续的评估，可能会导致建议堆积如山，而没有考虑业务背景的适当分类流程。

• 所需预算增加，用于投资于人员、流程和技术，以应对 ASCA 工具发现的加速配置问题列表。

2、网络安全网格架构

影响力评级：颠覆

市场渗透率：不到目标受众的 1%

成熟度：孵化

定义：网络安全网格架构 (CSMA) 是一种新兴方法，用于构建可组合的分布式安全控制，目的是共享数据和安全见解。它支持安全、集中的安全运营和监督，强调可组合的独立安全监控、预测分析和主动执行、集中情报和治理以及通用身份结构。

为什么重要

CSMA 旨在解决管理安全工具、情报和身份解决方案日益复杂的问题。组织必须开始向更加灵活的安全架构发展，以防止快速出现和演变的攻击类型的影响，并减少安全工具类别和攻击类型的激增和变化造成的开销。投资可组合、可互操作和可扩展的安全工具集对于降低成本和提高一致性至关重要。

商业冲击

CSMA为大多数组织采用的纵深防御安全架构目前面临的问题提供了一种潜在的解决方案。这些架构通常由多个连接性较差的单点解决方案组成。CSMA解决了许多挑战，包括集中式暴露和安全态势管理、威胁意识、协调的检测方法和用例、统一的威胁报告和主动响应，以及提高跨工具协作的效率。

驱动因素

• 企业越来越需要从更广泛的角度来了解威胁或暴露于威胁的影响和可能性；这种详细程度对于做出更好的有利于企业的安全决策至关重要。

• IT 安全组织在试图领先于新的、更复杂的攻击以及在不断扩展的基础设施中部署最新的安全工具时可能会不堪重负。团队无法实施主动和动态的安全执行和响应决策所需的分析能力。此外，这些决策很少能足够快地满足业务需求。

• 组织正在寻找诸如 CSMA 之类的方法来更好地集成和解释孤立安全技术的输出，这些技术在对其他工具缺乏了解的情况下运行。有效的安全和身份管理需要分层和集成的方法。

• 组织因其当前的安全工作台缺乏集成和一致的可见性而感到沮丧。安全和风险管理领导者需要一种架构，它不仅能对当前的安全问题（组织中可见的问题）做出反应，还能为复杂的安全问题提供协调和整体的方法。

• 创建一个协作的安全工具生态系统将解决不一致性问题，并有助于澄清和尽量减少与业务预期一致的风险。

障碍

• 随着供应商继续在其产品中支持 CSMA 架构原则，供应商锁定可能会成为一个问题。如果采用专有方法，它可能会阻碍而不是促进跨工具集成；然后可能会出现覆盖范围的差距，而这种不灵活性将推高成本。

• 选择创建自己的 CSMA 结构的组织可能需要投入大量工程工作来集成不同的产品。此外，如果安全行业在完成大量自定义集成工作后转向一套互操作性标准，他们可能会受到影响。

• 在采用的早期阶段，CSMA 会随着消费者 IT 的进步和安全技术的整合而不断发展。规划管理这一变化所需的相关灵活性非常困难。

• 组织了解并承认工作量中的技能差距和挑战，但没有明确的解决方案来解决这些问题。

3、网络安全人工智能助手

影响力评级：中等

市场渗透率：不到目标受众的 1%

成熟度：新兴

定义：网络安全人工智能助手利用大型语言模型来帮助发现网络安全工具中现有的知识，并生成与安全团队中的目标角色相关的内容。网络安全人工智能助手大多作为现有产品的配套功能提供，但也可以采用专用前端的形式，并可以集成软件代理来采取行动。

为什么重要

网络安全技术提供商已经拥抱了生成式人工智能 ( GenAI) 浪潮，推出了集成到其现有产品中的人工智能助手。这些网络安全人工智能助手提供知识发现和内容创建（通常是摘要或生成的代码/脚本）。他们提高生产力的承诺吸引了网络安全高管。这些助手可能会发展成为多模式（不仅仅是文本），并成为更自主的代理，可以使用高级指导工作而无需频繁提示。

商业冲击

组织将开始使用网络安全人工智能助手作为更先进的交互式帮助和查询引擎。它们非常适合调查任务，例如事件响应、暴露或风险管理或代码审查。它们有望提高安全成熟度较低的组织以及拥有既定流程和大型团队的组织的效率并缩短响应时间。各种用例都将适用（应用程序安全、安全运营、基础设施安全），但采用速度会有所不同。

驱动因素

• 利用 GenAI 的网络安全人工智能助手的主要用例包括创建通用的最佳实践指导、综合和分析威胁情报、自动执行事件响应的第一步以及为应用程序安全生成补救建议。

• 各组织持续面临技能短缺的问题，并寻求机会实现资源密集型网络安全任务的自动化。

• 网络安全人工智能助手还可以帮助实施更安全的代码，修复云错误配置，生成脚本和代码，并识别日志系统中的关键安全事件。

• 网络安全人工智能助手的其他用例包括调整安全配置，以及进行风险和合规性识别和分析。

• 网络风险分析师需要加快网络风险评估，并通过提高自动化程度和预先填充风险数据来提高灵活性和适应性。

• 更广泛地说，Gen AI 可能通过更好地汇总、分析和优先处理输入来增强现有的持续威胁暴露管理程序。它还可以生成现实场景以供验证。

障碍

• 网络安全行业已经饱受误报困扰。一次糟糕的“幻觉”或 GenAI的不准确反应都会导致组织对采用持谨慎态度或限制其使用范围。

• 为 GenAI 应用程序实施负责任的 AI、隐私、信任、安全和保障的最佳实践和工具尚未完全存在。

• 组织仍然需要使用 GenAI 来增强其核心技能。目前，采用 GenAI 可能会在成功减少工作量之前增加工作量。

• 由于 GenAI仍在发展，建立广泛采用所需的信任需要时间。对于技能增强用例来说尤其如此，因为您需要增强的技能才能确保建议是好的。

• 这些助手的定价不确定性将成为影响采用速度的重要因素。目前，只有少数供应商公布了其定价，而许多供应商则免费提供早期预览版。

4、对抗性暴露验证

影响力评级：较高

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：对抗性暴露验证是提供各种攻击场景可行性的一致、连续和自动化证据的过程和支持技术。对抗性暴露验证技术结合了多种模拟或真实攻击技术，以证明暴露的存在以及可利用性，尽管存在现有的防御控制和流程。产品主要以 SaaS 形式部署，带有代理和/或虚拟机。

为什么重要

自动化渗透测试工具和入侵与攻击模拟 (BAS) 供应商已在很大程度上融合在一起，成为对抗性暴露验证提供商。它们通过将攻击模拟与高度定制和真实的场景相结合，提供易于部署的产品、良好的自动化和不断增长的灵活性。这可以实现更频繁和更可靠的评估，从而提高效率和更可衡量的结果。它还将红队的用例扩展到更广泛的暴露管理计划。

商业冲击

对抗性暴露验证从攻击者的角度确认特定威胁的潜在暴露。它通过部署的安全控制来评估攻击的有效性，并可以突出显示通向组织最关键资产的脆弱路径。这有助于安全团队优先考虑战略举措并评估其所获得技术的价值。它补充了暴露评估并提供了一种持续执行攻击场景的方法。

驱动因素

对抗性暴露验证与寻求灵活性和自动化的安全运营团队相关，因为它支持多种用例。

• 过滤相关的补救措施：对抗性暴露验证推动紧迫性，组织应该通过过滤理论风险（例如，高优先级问题列表）通过仅突出显示已证明有效的攻击来解决这一问题。

• 红队增强：以人为主导的红队计划很难启动，因为它们需要一套特定的专业知识、流程和工具，而开发或采购这些工具的成本可能很高。自动化的进步和越来越多的提供商有助于启动红队计划，从小处着手并尽早展示其优势。

• 减少攻击面：已建立网络安全验证程序的组织主要使用 BAS 技术来确保随着时间的推移和跨多个地点的安全态势保持一致且不断改进。

• 超越合规性要求：它们不断验证组织的安全态势。组织重视更多自动化评估，以便为强制性合规性渗透测试做好准备，或增强和/或重新聚焦以人为主导的红队活动，以应对更高级的场景。它们比评估工具更深入，因为它们通过模拟或运行实际攻击来积极验证暴露。

• 安全控制验证：在紫色团队场景中，这些工具可以集成安全控制技术或配置方式的缺陷，或者更重要的是，突出这些缺陷。它通过安全工具的管理 API 或通过读取警报日志来实现这一点，从而实现安全配置管理并提高防御漏洞的可见性。

• 支持持续威胁暴露管理 (CTEM) 计划：对抗性暴露验证可实现“验证”步骤的更深层次自动化。在红队工具包中添加自动化功能也有助于启动此类计划。

障碍

• 只有成熟度较高的组织才能成功实施风险管理计划，因为它需要广泛的内部支持，不仅来自安全团队，还来自其他基础设施团队，例如网络或应用程序。

• 许多供应商的目标用例仍然太过狭窄，例如仅限于红队。虽然这是一个有效的用例，但 CTEM 活动已扩展到更多用户组织。

• 虽然许多供应商在同一技术组合中提供攻击模拟和自动渗透测试，但他们很少将这两项功能整合到一个工具中。用户通常需要单独购买。

• 部署、维护和操作对抗性暴露验证工具所需的技能非常广泛，包括技术能力、威胁行为者和技术理解，以及基础设施和应用程序架构洞察。

• 审计师、评估师和第三方风险团队很少接受结果，特别是在受到严格监管的行业的组织中。

5、暴露评估平台

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：风险评估平台 (EAP) 持续识别并优先处理各种资产类别的风险，例如漏洞和配置错误。它们原生提供或集成发现功能，例如枚举漏洞和配置问题等风险的评估工具，以提高可见性。

为什么重要

EAP 通过提供更好、更综合的高风险暴露视图来支持持续威胁暴露管理 (CTEM) 计划，从而使组织能够采取关键措施来防止违规行为。EAP 通过整合已发现的暴露并根据暴露严重性、资产关键性、业务影响、被利用的可能性和安全控制环境对其进行优先排序，从而实现优先级排序和补救措施。

商业冲击

安全事件和漏洞的增加促使人们采用 EAP 来支持有效的CTEM计划。EAP 将风险评估的结果整合到一个中心位置以提高运营效率，包括风险评分、趋势、统计数据和其他可视化，例如资产的可见性/可访问性（例如通过攻击路径）、资产识别/所有权和补救跟踪。EAP 提供多种视图，显示趋势并支持工作流程以跟踪漏洞和其他风险的生命周期。

驱动因素

推动 EAP 被采用的好处和优势包括：

• 组织机构会收到大量仅根据通用漏洞评分系统 (CVSS) 评分确定优先级的漏洞发现。EAP 将这些发现与威胁情报联系起来，从而提高可操作性。

• EAP 可识别组织面临的最重大风险，并帮助确定处理建议的优先顺序（无论是通过补救措施（例如修补）还是补偿控制），以避免潜在的损害。

• EAP 解决方案提供单一的综合视图，使组织有机会减少与平凡或优先级不高的发现相关的开销。这对于希望通过将人才集中在更具增值的活动上来留住人才的组织尤其有益。

• EAP 向 SOC 报告有助于加强运营工作，例如威胁检测、调查和响应。上下文资产丰富和各种视图（例如攻击路径）都有助于加速调查。

障碍

• EAP 解决方案旨在支持CTEM程序。如果CTEM 程序中存在损坏、未定义或不成熟的流程，EAP 的价值将受到限制。

• 如果组织将 EAP 活动限制在合规性驱动的授权范围内，即以 CVSS 严重程度作为衡量暴露严重程度的决定性特征，那么他们将无法充分发挥 EAP 的价值。

• 攻击路径映射可以是风险评估平台的输出，但也可以借助其他技术来实现，例如漏洞和攻击模拟或自动安全控制评估。组织可能已经通过其中一种工具拥有此功能。

6、Telemetry Pipelines

影响力评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：Telemetry Pipelines（暂译遥测管道）是一种解决方案，它提供统一而全面的机制来管理从源到目的地的机器数据（遥测）的收集、提取、丰富、转换和路由。这些解决方案可以以自我管理、SaaS 管理或混合方式使用。遥测管道可以是独立产品，也可以是供应商更广泛的监控解决方案组合的一部分。

为什么重要

当应用程序和服务分布在广阔的区域并涉及多个服务提供商时，它们的上下文也是如此。遥测管道（有时称为可观察性管道）使组织能够更有效地从源（工作负载、监控代理和平台）收集、转换、丰富和路由健康、性能和安全遥测数据到目的地（分析和调查工具、事件管理解决方案和长期存储）。

商业冲击

遥测管道通过以下方式提高效率：

• 在分析之前确保遥测数据具有足够的质量。

• 根据用途存储遥测数据来管理分析成本。

• 减少在源头收集遥测数据的代理数量。

• 通过在输入分析工具之前规范分类法、粒度和基数来简化警报生成。

• 通过压缩和重复数据删除优化带宽利用率。

• 整合 IT 和安全运营工具链的部分内容。

驱动因素

• 遥测量不断增加 —现代工作负载会产生大量遥测数据，这些数据可能以多种形式出现，并且可能来自多个位置。遥测管道提供了一种统一这些数据的机制。

• 成本 —移动和存储数据可能非常昂贵。许多遥测洞察平台根据采集量收费。对遥测应用治理并仅移动、采集和存储所需的数据有助于管理成本。

• 大容量长期存储 —基于云的对象存储已成为一种无处不在、安全且价格合理的大容量数据存储方式。一些日志监控产品已构建了对对象存储的无缝支持，同时保持了快速报告访问。这减少了每个单独的分析解决方案维护“冷”或“冻结”层的需求。

• OpenTelemetry Collector 实现 —开源 OpenTelemetry Collector 软件本身依赖于遥测管道模式，并支持开箱即用的转换、丰富和路由到多个目的地。

障碍

• 附加工具会增加管理认知负担——遥测管道产品有其自己的学习曲线，特别是在配置它们以在传输过程中转换和丰富数据时。

• 潜在的兼容性——鉴于可用的遥测源和分析后端的多样性，选择满足当前和未来需求的遥测管道产品可能会带来挑战。

• 投资回报率 (ROI) 问题 -尽管当使用遥测管道来减少基于卷的分析工具的摄取时，投资回报率 (ROI) 非常明显，但其他好处的回报却不那么明显。

期望膨胀期

7、CPS 安全

影响力评级：较高

市场渗透率：超过50%的目标受众

成熟度：早期主流

定义：网络物理系统 (CPS) 安全是确保 CPS 在日益增长的威胁面前保持安全、可靠和弹性的总体学科。CPS 是协调传感、计算、控制、网络和分析以与物理世界（包括人类）交互的工程系统。它们是在物理资产相互连接或连接到企业 IT 系统以及部署自动化和机器人技术资产时创建的。

为什么重要

CPS包括工业控制系统 (ICS)、运营技术 (OT) 、物联网 (IoT) 和工业 IoT 伞。它们涵盖从支持关键基础设施（如能源、供水系统、通信、智能城市和电网）的设备到自动驾驶汽车和智能制造的一切。它们将物理过程与数字技术连接起来，并支撑所有关键基础设施。CPS 越来越多地成为攻击者的目标，他们试图窃取数据、索要赎金、破坏生产或制造地缘政治动荡。

商业冲击

与创建、存储、处理或转换数据的 IT 系统不同，CPS连接网络和物理世界。它们通常部署在生产或任务关键型环境中。因此，CPS 安全工作需要关注人员安全和运营弹性，而不仅仅是传统的以数据为中心的安全工作。这些工作需要考虑所有网络安全最佳实践、物理定律和行业特定的工程决策。

驱动因素

• 成功攻击 CPS 的后果不仅仅是网络安全数据丢失，还包括运营中断、环境影响、财产和设备损坏和毁坏，甚至个人和公共安全风险。

• 过去几年，导致制造业和关键基础设施生产环境失去可见性或失去控制的攻击显著增加。由于这些领域通常是创造价值或提供基本公共服务的地方，因此 CPS 将继续成为攻击目标。

• 政府和企业纷纷采取举措，CPS 安全问题成为人们关注的焦点。这些举措涉及多个领域，例如智慧城市、公用事业、医疗保健、食品、农业、公共安全和交通。

• 延伸至物理世界的风险需要采取超出“常规”网络安全的措施。此类风险包括物理边界突破、USB 插入、控制器局域网 (CAN) 总线注入、GPS 干扰、黑客攻击、欺骗、篡改、命令入侵和物理资产中的恶意软件植入。

• 通用 OT 安全市场已发展为特定的 CPS 安全类别。这些包括保护平台、网络风险量化平台、单向数据流解决方案、安全远程访问解决方案、内容解除和重建解决方案、安全服务、以网络为中心的解决方案（例如隐形、微分段）、机载诊断解决方案、嵌入式系统安全和供应链安全解决方案。

• 由于 CPS 在关键基础设施领域的普遍性以及关键基础设施与国家安全之间的紧密关系，世界各国政府纷纷转向安全法规和指令来强制实施最低安全控制。

障碍

• CPS 通常由业务部门部署，而无需与安全团队协商。

• 大多数组织仍然主要关注以IT 安全为中心的风险管理。

• 运行 IT、OT 和 IoT 等系统的孤立团队之间缺乏协作，阻碍了需要跨职能协作的 CPS 安全工作。

• CPS 供应商正在其设备中集成 4G/5G 调制解调器以实现带外通信，而客户对此并不知情。

• 许多组织没有足够覆盖 CPS 范围的结构化安全程序或技能，尤其是高价值/关键任务资产。

• 由于指导安全设计和使用的 CPS 产品标准仍在不断发展，许多制造商更看重“上市速度”而不是“上市安全”。

• 许多设备缺乏存储和计算能力来支持安全机制。

• 建筑物、城市、家庭和车辆中无处不在的 CPS 设备考验着传统安全方法的可扩展性，因为传统方法可能无法解决设备、区域或整个价值链中的风险。

8、CAASM

影响力评级：较低

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：网络资产攻击面管理 (CAASM) 专注于帮助安全团队克服资产可见性和暴露挑战。它使组织能够获得对其资产（内部和外部）的近乎完整的视图，主要通过与现有工具的 API 集成、查询整合数据、确定暴露范围和安全控制中的漏洞以及缓解问题。

为什么重要

CAASM 汇总了来自其他产品的资产可见性，这些产品收集了资产子集，例如终端、服务器和设备。通过整合内部和外部网络资产，用户可以查询以查找安全工具（例如漏洞评估和终端检测和响应工具）的覆盖范围差距和错误配置。CAASM通过 API 集成提供大部分被动数据收集，取代了收集和协调资产信息的耗时的手动流程。

商业冲击

CAASM 使安全团队能够通过查找所有数字资产的安全控制态势漏洞和资产风险来改善基本的安全卫生状况。部署 CAASM 的组织减少了对自有系统和手动收集流程的依赖，从而提高了员工效率，并通过手动或自动化工作流程缓解漏洞来减少攻击面。组织可以可视化安全工具覆盖范围，支持攻击面管理 (ASM) 流程并纠正可能存在陈旧或丢失数据的记录系统。

驱动因素

• 通过现有工具收集组织拥有的任何资产的更全面可见性，以加深对组织潜在攻击面和现有安全控制漏洞的了解。

• 通过更准确、最新、更全面的资产和安全控制报告更快地进行审计合规性报告。

• 将收集资产和风险信息的现有产品整合到单一规范化视图中，以减少手动流程的运营开销以及对自主开发应用程序或电子表格的依赖。

• 访问组织内多个个人和团队的综合资产视图，并与其他记录系统集成以获取当前状态可见性。

• 降低对数据收集的抵制，提高对潜在盲点（如“影子 IT”组织、已安装的第三方系统和IT部门缺乏治理和控制的业务线应用程序）的安全可视性。安全团队需要了解这些地方，而 IT 部门可能不需要。

• 通过定期更新 CMDB 协调流程遗漏的资产和属性，帮助 IT 团队提高其现有配置管理数据库 ( CMDB)的准确性。

障碍

• 抵制“又一种”工具——与 CAASM 供应商和提供一些资产清单和报告的邻近工具（例如漏洞优先级排序技术和持续控制监控）的重叠越来越多。

• 并非所有供应商都有能力识别和集成每个所需的系统以获取可见性和漏洞信息，也不会将跨环境的安全事件提取或规范化到通用数据模型中。

• 供应商对优先问题的响应行动可能仅限于开具票据或调用脚本。

• 极大的环境受到某些供应商的许可和可扩展性的限制。

• 可以与 CAASM 产品集成的工具要么在组织内不存在，要么缺少 API，要么可能被拥有它们的团队阻止集成。

• 与源系统冲突的协调过程可能无法在 CAASM 供应商工具中轻松解决。

9、渗透测试即服务

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：成长

定义：渗透测试即服务 (PTaaS) 提供技术主导、时间点和持续的应用程序和基础设施测试，符合渗透测试 (pentesting) 标准，而传统上，渗透测试主要依赖使用商业/专有工具的人工渗透测试人员。该服务通过 SaaS 平台提供，利用自动化和人工渗透测试人员（众包或供应商内部团队）的混合方法，以提高结果的效率和有效性。

为什么重要

渗透测试是安全程序的基础，并受各种合规性标准（例如支付卡行业 [ PCI ]）的约束。PTaaS 通过一个平台提供持续的安全测试，该平台可以更快地安排和执行渗透测试，并与测试人员进行实时通信并查看测试结果。它提供 API 访问，以便与现有的 DevOps 和票务解决方案集成，实现工作流自动化。它还提供了记录和跟踪渗透测试结果的能力，以向领导/审计员展示一段时间内的进展。

商业冲击

PTaaS 是对漏洞扫描和应用程序安全测试的补充，并提供成本优化和渗透测试输出质量改进以及漏洞状态验证。PTaaS使组织能够通过持续评估提升其安全态势，并且与传统渗透测试阶段相比，可以通过访问通过平台提供的实时发现，在软件开发生命周期的早期阶段集成验证，从而能够更快地处理暴露问题。

驱动因素

• 由于公有云的使用加速和面向公众的数字资产的扩展，组织正在转向 PTaaS 来应对攻击面的增加。PTaaS 允许开发人员与渗透测试人员交谈并接受他们的指导，而不是完全依赖扫描仪，例如动态应用程序安全测试/静态应用程序安全测试 (DAST/SAST) 扫描仪。

• 内部安全专业知识有限的组织除了改善其安全态势之外，还必须满足其合规性和风险管理目标，因此寻求渗透测试服务来满足这些举措。

• 为了满足快速的生产期限，具有安全意识的组织必须将更敏捷的渗透测试方式集成到其DevSecOps实践的持续集成/持续交付 (CI/CD) 管道中。

• Gartner 客户表示希望更频繁地进行测试；然而，在现代基础设施（例如基础设施即服务 [ IaaS ]、SaaS 和第三方订阅）中，手动渗透测试成本过高。

• 大多数组织都有渗透测试预算，并且经常寻求更好的方式来使用他们的年度预算。高度自动化、技术主导的渗透测试有可能以相同的价格提供更高质量的交付成果，或者至少以相同的价格提供更频繁的交付成果。

障碍

• 在市场上选择合适的 PTaaS 供应商可能很困难，因为他们的能力各不相同。供应商使用一个或多个自动化和人工测试人员（由内部或社区主导，通常是经过审查的自由职业者）为客户组织执行渗透测试。

• 市场上的大多数 PTaaS 供应商专注于面向互联网的数字资产，如网络和移动应用程序，这些资产可能只能部分满足客户要求。

• PTaaS 供应商可能无法支持需要广泛领域专业知识的非常复杂的环境。

• PTaaS 的深度和可扩展性不如工作说明书 (SOW) 主导的参与那么灵活。因此，如果有一些特定要求，和/或正在寻求广泛的测试，PTaaS 无法满足需求。

10、威胁暴露管理

影响力评级：颠覆

市场渗透率：目标受众的 5% 至 20%

成熟度：成长

定义：威胁暴露管理包括一系列流程和技术，使企业能够持续一致地评估可见性并验证企业数字资产的可访问性和可利用性。威胁暴露管理必须由有效的持续威胁暴露管理 (CTEM) 程序进行管理。

为什么重要

解决风险暴露所需的努力和发现问题的多样性导致了优先级冲突。安全团队很难确定风险降低行动的优先级，从而在他们认为自己控制力较弱的地方留下了空白，例如 SaaS 和社交媒体。威胁暴露管理减少了组织在识别、确定优先级和验证威胁暴露方面面临的挑战，因为攻击面多种多样。它还扩展了传统的漏洞管理 (VM)。

商业冲击

威胁暴露管理是一项专业技能，它管理和优先考虑现代企业的风险降低，并要求对用于业务活动的所有系统、应用程序和订阅进行评估，从而拓宽对当今数字环境的风险理解。CTEM 计划考虑了业务重要性、攻击可能性、漏洞可见性和攻击路径存在的验证，使企业能够调动对最相关风险的响应。

驱动因素

• 根据大量的调查结果，缺乏对优先级和风险的范围和理解，导致组织在处理其风险暴露方面有太多工作要做，而对于首先应该采取什么行动却几乎没有指导。

• 对于组织而言，需要一种程序化且可重复的方法来回答“我们的暴露程度如何？”这个问题。威胁暴露管理旨在随着环境在快速变化和扩展的 IT 环境中发生变化，重新确定治疗的优先顺序。

• 组织通常会孤立暴露活动，例如渗透测试、威胁情报管理和漏洞扫描。这些孤立的观点几乎无法让组织了解其所面临的网络风险的全貌。

• 随着现代组织扩展其关键的第三方基础设施、订阅和开源应用程序，通过漏洞和配置错误问题暴露于威胁的可能性大大增加。使用 CTEM 程序可减轻企业了解系统每个新部分带来的个别风险的负担。

• 用于识别威胁暴露的供应商产品正在不断发展和整合，以涵盖更广泛的可见性范围，这意味着最终用户无需购买新的订阅即可访问有关潜在威胁的新信息。

障碍

• 与传统 VM 相比，CTEM 程序的范围有所扩大，引入了许多以前通常未考虑或预算不到的复杂性。

• 虽然评估攻击面的概念已广为人知，但该领域的持续安全工具整合（例如带有漏洞评估的外部攻击面管理）已开始简化日常运营流程。然而，CAASM等其他技术的正式集成程度仍然很低。

• 大多数组织实际上不存在管理端到端意识的流程（从可能的攻击媒介的可见性到对违规行为的响应），这些组织通常只是出于合规性原因扫描和测试其网络。

• 攻击可能表现出复杂的表现方式，因此需要一定的技能才能理解。诸如暴露验证之类的市场领域使得使用诸如违规和攻击模拟工具之类的技术/服务来测试现成的场景变得更加简单。但要有效使用这些功能并开发定制的模拟，则需要新的技能和理解。

11、安全服务边缘

影响力评级：颠覆

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：安全服务边缘 (SSE) 可确保对 Web、SaaS 应用程序和私有应用程序的访问安全。功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括由基于网络和基于 API 的集成实施的高级威胁防御和可接受的使用控制。SSE 主要作为基于云的服务提供，可能包括本地或基于终端代理的组件。

为什么重要

• SSE产品融合了安全功能，以提高组织灵活性，确保Web 和云服务以及远程工作的使用安全。

• SSE 产品至少结合了安全 Web 网关 (SWG)、云访问安全代理 (CASB) 和零信任网络访问 (ZTNA)，并且主要通过云端交付。

• 当组织追求安全访问服务边缘 (SASE) 架构时，SSE 与软件定义的 WAN ( SD-WAN ) 配对，以简化网络和安全运营。

商业冲击

组织继续采用SaaS 应用程序来满足业务关键型和其他用途。混合工作也继续得到广泛实践。SSE允许组织使用以云为中心的方法在访问 Web、云服务和私有应用程序时实施安全策略，从而支持随时随地工作的员工。同时，SSE 降低了运行多个产品的管理复杂性，并在一个平台上提供了对最终用户操作的更大可见性。

驱动因素

• 组织需要保护分布式且需要安全远程访问的用户、应用程序和企业数据。SSE为混合员工和设备提供了灵活且主要基于云的安全性，而不受本地网络基础设施和连接的约束，而云和 SaaS 正在增强或取代本地应用程序。

• 传统 SWG 和 VPN 解决方案的硬件和虚拟实例限制了支持大量分布式劳动力的能力，并且需要采用基于云的方法来并行实现资源密集型的安全流程以提高性能。

• 对于许多企业来说，大量关键业务流程和数据现在以SaaS 的形式交付。因此，需要对位于、进入和离开这些 SaaS 平台的数据执行数据防泄露(DLP)。

• 当用户未连接到企业拥有的网络并且需要保留此流量的配置和监控时，管理员将无法查看用户流量。

• 组织希望降低复杂性和实施安全访问策略的点供应商数量，包括更少的终端代理，并应用 DLP、高级威胁防御和远程浏览器隔离等控制，以从单一提供商处获得更多用例。

• 无法决定其网络边缘提供商（例如SD-WAN ）或不想从现有提供商迁移的组织需要灵活地选择集成独立于 SD-WAN 的安全服务以满足其 SASE 要求。

障碍

• 随着市场通过功能融合继续保持高增长轨迹，供应商可能在某些功能上表现强势，而在其他功能上表现较弱。供应商正在迅速扩展到单一供应商 SASE 产品，并且可能缺乏其自身SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。

• 并非所有供应商都提供足够的 DLP 功能来管理业务风险。

• 由于以云为中心，SSE 通常不能满足内部控制支持的所有需求，例如内部防火墙。

• 组织担心其业务所依赖的服务的正常运行时间、可用性和响应能力。一些供应商的 SLA 较弱，而且并非所有供应商都在所有地区本地提供所有功能，这导致性能或可用性问题。有些供应商可能会限制客户可用的接入点 (POP)。

• 从 VPN 迁移到 SSE 中的 ZTNA 功能会增加成本。

泡沫破裂低谷期

12、数字取证和事件响应

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：数字取证和事件响应 (DFIR) 保留服务可帮助组织评估和管理安全事件的影响。DF 服务可协助取证响应、协助收集取证信息并就避免违规的主动最佳实践提供建议。IR 服务可协助违规调查、分类和影响分类。这些功能以专业服务的形式提供，由同一提供商的技术服务提供支持。

为什么重要

DFIR 服务是一项战略投资，旨在加强组织的IR能力，包括主动和被动能力。高级攻击（例如勒索软件）需要调查、谈判、取证和响应方面的专业技能。对于大多数组织而言，在有限的使用中雇佣高度专业的专家是没有意义的。DFIR 提供商可以通过合同服务帮助增强响应能力。

商业冲击

DFIR 服务对于组织的战略IR计划越来越重要。违规后响应处理不当可能会导致长期影响和损失。监管罚款、法律费用、诉讼、品牌贬值和客户流失都可能受到违规处理方式的影响。拥有强大的 DFIR 能力将提升组织的响应能力，从而允许按比例响应以避免实际影响。

驱动因素

• 针对组织的网络攻击风险的增加反映了投资 DFIR 提供商来应对、补救和恢复业务基础设施的必要性。

• DFIR 在北美、欧洲、中东和非洲以及亚太地区的受欢迎程度大幅提升。这不仅凸显了 DFIR 的战略重要性，还凸显了组织品牌和声誉的价值。

• 企业希望通过高度详细和准确的调查对事件做出快速反应，以便能够最大限度地减少违规行为的影响——减少停机时间并满足任何监管或保险驱动的需求。

• DFIR 提供商提供所需的专业知识，帮助组织快速从安全事件中恢复。他们提供有关安全控制重新配置的指导以及有关违规行为真正影响的详细信息，而无需直接吸引、补偿和留住专业人员的开销。

• 某些客户需要保管链方面的帮助。这是一个证明用于起诉网络罪犯的证据合法且未被欺诈性编辑的过程。大多数 DFIR 供应商可以根据要求提供此帮助，而有些甚至提供诉讼支持。

• 网络保险公司通常要求客户与 DFIR 提供商合作，以降低保险公司的风险，从而降低成本。如果客户使用其首选的 DFIR 提供商，保险公司可能会提供较低的保费。

障碍

• DFIR 供应商提供响应和取证功能的方法各不相同，这可能会让客户感到困惑。供应商应结合使用人力和技术方法，并确定哪种方法最适合买家的需求。

• 了解 DFIR 在响应事件时的角色和职责对于计划的成功至关重要。组织必须了解哪些行为构成呼叫，哪些行为不构成呼叫。

• 买方必须了解与 DFIR 供应商在留职、零工时留职或付费留职合同方面的约定，这些合同通常是针对买方的组织而制定的。

• DFIR合同无法解决响应所需的内部跨团队协作问题。有关事件的业务决策和响应的内部协调可能是一个障碍。

13、数字风险保护服务DRPS

影响力评级：中等

市场渗透率：超过50%的目标受众

成熟度：早期主流

定义：数字风险保护服务 (DRPS) 是一套技术主导型服务，可实现品牌保护、第三方风险评估和发现外部威胁，并对已识别的风险提供技术响应。它们提供对表层网络、社交媒体、暗网和深层网络来源的可视性，以识别对关键资产的潜在威胁，并提供有关威胁行为者的背景信息，以及他们进行恶意活动的策略、技术和程序。

为什么重要

随着威胁行为者的传播方式也相应商品化（在明网、深网和暗网中），现代攻击（从商品漏洞到精心策划的复杂欺诈计划）变得普遍而有效。DRPS 利用这些方式来发现和减轻可能直接影响业务运营或声誉的风险。这些服务通常需要专业技能才能运行，并且通常作为外包功能使用。

商业冲击

DRPS 主动识别来自社交媒体相关工件的外部风险，提供公开和暗网发现，甚至支持第三方风险计划以确定纠正措施，以保护贵组织的声誉和品牌。DRPS 旨在将公共互联网上与贵组织相关的所有恶意活动关联起来，将这些发现与威胁和业务背景相结合，并执行技术响应以在可能的情况下消除某些威胁（删除）。

驱动因素

• DRPS 的驱动力在于其支持一系列用例和用户角色的能力。示例用例包括数字足迹（例如，映射内部/外部资产和识别影子 IT）；品牌保护（例如，冒充、网络钓鱼和错误信息）；帐户接管（例如，凭证盗窃、相似域名和钓鱼网站）；数据泄漏检测（例如，检测知识产权、个人身份信息、信用卡数据、凭证）；以及高价值目标监控（例如，VIP/高管监控）。

• 风险管理的复杂性是组织能够从 DRPS 中获益的关键原因。这些复杂性包括不断扩大的攻击面、更加混合的劳动力、对电子商务的更高依赖、合规性、云资产、数字业务转型、不稳定的威胁形势，以及从受监控的风险和安全活动（例如与勒索软件相关的预勒索）中获得的信息量。

• DRPS 需求的另一个驱动因素是，这些产品对于最初无法从威胁情报 (TI) 中获益的中小型企业来说更为方便，因为缺乏安全方面的专业技能和资源，包括执行后续行动所需的时间。这是因为许多DRPS提供商提供的情报技术性较低且更易于获取，并且提供托管服务类型的产品。

障碍

• DRPS市场一直在增长，供应商数量已超过 75 家，这使得供应商很难脱颖而出。此外，供应商的能力各不相同，可能在提供全面解决方案方面能力有限。一些供应商拥有最佳方法，他们主要关注单一 DRPS 用例（例如 VIP/高管监控），而许多供应商已扩展到支持多个用例。此外，DRPS 供应商支持的删除类型和范围以及相关调查也各不相同。

• DRPS 现在是几乎所有大型 TI 供应商的主要功能，并且与其他互补市场重叠，例如托管安全服务提供商/托管检测和响应 (MDR) 提供商。这些市场竞争日益激烈，买家希望花更少的钱；因此，将服务整合到现有的采购工具中对许多组织来说似乎是可行的。

14、外部攻击面管理

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：外部攻击面管理 (EASM) 是指为发现面向互联网的企业资产和系统以及相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被攻击者利用的第三方合作伙伴软件代码漏洞。

为什么重要

数字化转型加速了企业外部攻击面的扩大。云采用、远程/混合工作以及 IT/OT/物联网 (IoT) 融合是一些增加外部威胁暴露的关键变化。EASM 有助于识别面向互联网的资产，同时对发现的漏洞和相关威胁进行优先排序。它旨在提供与公共领域中暴露给威胁行为者的数字资产相关的风险信息。

商业冲击

EASM为安全和风险管理领导者提供宝贵的风险背景和可操作信息。EASM 通过四个主要功能提供可视性：

• 面向外部的资产和系统的资产发现/清单

• 监控面向互联网的企业风险（云服务、互联网协议地址、域、证书和物联网设备）

• 对发现的风险和漏洞进行评估和优先排序

• 通过与票务系统和安全编排、自动化和响应工具的预构建集成，实现间接补救、缓解和事件响应

驱动因素

• 有兴趣从攻击者的视角了解组织面临哪些威胁。

• 云采用、应用程序开发、混合工作和 IT/OT/IoT 融合等数字业务计划带来了新的企业风险。

• 需要量化并购、供应链基础设施整合等活动产生的第三方风险。

• EASM被采用为不同安全平台的一部分，例如威胁情报 (TI)、网络安全验证和漏洞评估 (VA) ，支持更精确的范围界定和可操作性。

障碍

• 感知价值低，EASM 仅用于单一用例而不是多个领域。

• 由于大规模整合而快速发展的市场对于投资最终被收购的初创企业的买家来说是一个挑战。

• 漏洞管理（VM）功能已经不堪重负，团队担心还会增加工作量。

15、身份威胁检测与响应

影响力评级：较高

市场渗透率：超过50%的目标受众

成熟度：成长

定义：身份威胁检测与响应 (ITDR) 是一门学科，其中包括保护身份和访问管理 (IAM) 基础设施本身免受攻击的工具和最佳实践。各种 ITDR 工具可以检测威胁、确认管理员状态、响应不同类型的攻击或根据需要恢复正常运行。

为什么重要

身份是安全运营的基础（身份优先安全），并且必须以安全思维来运营IAM基础设施。随着身份变得越来越重要，威胁行为者越来越多地将目标对准身份基础设施本身。身份仍然是威胁行为者的主要目标，凭证滥用是一种常见的攻击媒介。组织必须更加注重保护其IAM基础设施。ITDR为 IAM 和网络安全部署增加了额外的安全层。

商业冲击

保护 IAM基础设施对于安全运营至关重要。如果帐户被盗用、权限设置不正确或 IAM 基础设施本身被盗用，攻击者就可以控制系统并破坏业务运营。保护 IAM 基础设施必须是重中之重。在攻击者开始直接攻击身份工具之前，“一切照旧”的流程似乎已经足够了，但现在已不再足够。这可能需要一个或多个支持 ITDR 的工具，其中可能包括组织产品组合中已有的工具。

驱动因素

更老练的攻击者正在积极攻击 IAM 基础设施本身。例如：

• 管理员凭证滥用现已成为针对 IAM 基础设施攻击的主要载体。

• 攻击者可以使用管理权限来访问组织的全局管理员帐户或受信任的安全断言标记语言 (SAML) 令牌-签名证书来伪造 SAML 令牌以进行横向移动。

• 现代攻击表明，传统的身份卫生措施是不够的。没有完美的预防。多因素身份验证和授权管理流程可以被规避，支持/启用工具通常缺乏检测和响应机制。

• ITDR 是一门总体学科，也是保护 IAM 基础设施本身的一套功能。除了访问管理 (AM)、身份治理和管理、特权访问管理、安全信息和事件管理以及安全运营中心或外包托管检测服务之外，ITDR 也是必需的。

• IAM 和基础设施安全控制之间存在重大检测差距。IAM 传统上用作预防控制，而基础设施安全被广泛使用，但在检测特定于身份的威胁时深度有限。与通用配置管理、检测和响应工具相比， ITDR需要更具体的功能，并且运行延迟更低。

障碍

• ITDR 需要 IAM 和安全团队之间的协调。这种协调可能很难建立。

• 缺乏对 IAM 管理员卫生、检测和响应最佳实践的认识。需要的不仅仅是传统的 Active Directory 威胁检测和响应。

• IAM 团队经常花费过多精力保护其他团体的数字资产，而没有足够精力保护自己的 IAM 基础设施。他们倾向于在孤岛中操作身份工具，这使得他们无法共享风险信号并优先考虑整体卫生活动。

• 需要多种功能才能全面保护 IAM 基础设施。这些功能包括密切监控根 IAM 管理员帐户的配置更改、检测 IAM工具何时受到攻击、实现快速调查和有效补救以及快速恢复到已知良好状态的能力。供应商正在投资改进自动化。

• 尽管有许多不同的工具具有ITDR功能，但它们不同的架构将它们各自限制在特定的用例中。

16、XDR

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：扩展检测和响应 (XDR) 提供统一的安全事件检测和响应功能。XDR 集成了来自多个来源的威胁情报、安全事件和监测数据，以及安全分析，以提供安全告警的情境化和关联性。XDR 必须包含本机传感器。XDR 可以在本地交付或作为 SaaS 产品交付，通常由安全团队规模较小的组织部署。

为什么重要

XDR 通过使用系统化而非集成化方法来构建检测堆栈，提供了一种不太复杂的威胁检测和响应方法。XDR 供应商大多通过使用本机 API 来管理通常与构建检测堆栈相关的复杂依赖关系。供应商提供预构建的剧本，以支持堆栈中的协作以及常见威胁检测的一致性。

商业冲击

XDR 相对容易用于检测常见威胁，减少了对内部技能的需求，并可以减少运营更复杂解决方案（如安全信息和事件管理 (SIEM)）所需的人员。XDR 还可以通过单一集中调查和响应系统帮助减少与安全操作任务相关的时间和复杂性。

驱动因素

• XDR对成熟度需求适中的组织具有吸引力，因为检测逻辑大多由供应商提供，通常需要较少的定制和维护。

• XDR 对于那些希望提高整个安全堆栈可见性的组织以及那些希望降低更复杂的事件响应 (IR) 解决方案的管理要求的组织具有吸引力。

• 难以关联和响应来自不同安全控制的警报的中型组织欣赏集中式 XDR 接口带来的生产力提升。

• 拥有维护和操作可扩展检测堆栈所需技能的员工很难招募和再培训。

• 购买XDR 形式的系统检测堆栈可以简化产品选择和采购。

障碍

• XDR 缺乏可扩展性，这给希望构建自定义和可扩展的检测和监控用例的客户带来了障碍。

• 通过添加或替换安全控制来扩展 XDR 检测堆栈的功能可能会受到供应商的限制。

• 单独的XDR产品并不总是能满足除事件响应之外的用例的所有长期日志存储需求，例如合规性、应用程序监控和性能监控。

• 对于高级安全操作中心 ( SOC) 功能（例如创建可靠的记录系统或威胁搜寻）而言， XDR 可能是一个糟糕的选择。

17、SOAR

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：Gartner 将安全编排、自动化和响应 (SOAR) 定义为将事件响应、编排和自动化以及威胁情报 (TI) 管理功能整合到一个解决方案中的解决方案。SOAR 工具可用于许多安全运营任务，例如记录和实施流程、支持安全事件管理、向人类安全分析师和操作员提供基于机器的协助以及更好地实施 TI 的使用。

为什么重要

SOAR 工具是可扩展的开发平台，适用于希望制定自己的自动化剧本以扩展安全运营中各种用例的组织。SOAR 的当前购买者往往是更成熟的组织，他们有资源投资自己的开发团队来支持 SOAR 的开发要求。对于其他组织来说，在现有技术（例如安全信息和事件管理 (SIEM)、扩展检测和响应、IT 服务管理或类似平台）上使用自动化已经比购买专用的 SOAR 技术更为普遍。

商业冲击

SOAR 解决方案可以帮助客户：

• 通过编码活动来减少处理事件中的错误。

• 通过提高处理各种任务和活动的效率来扩展安全运营。

• 通过消除人工重复任务，提高安全运营中心 ( SOC)团队的士气并减少分析师的流失。

驱动因素

• SOAR 可以改善经常折磨SOC 的重复性任务的流程和执行速度，尤其是那些耗时且几乎不需要人力专业知识的任务。这让团队可以将更多时间花在关键任务和活动上。

• SOAR 可以通过添加更多背景信息和丰富数据来提高告警的保真度和可操作性。这有助于减少由于 SOC 团队需要处理大量告警而产生的噪音。

• 安全运营越来越需要安全编排和自动化 (SOA) 功能。SOAR 解决方案在平台中提供灵活的 SOA。然而，SOA 也越来越多地作为其他安全技术（如电子邮件安全解决方案）中的固定、内置功能提供，以帮助改进分析和分类并自动响应威胁。

障碍

• 与其他编码开发实践类似，SOAR 需要开发和持续的运营周期来维护。因此，并非所有活动都值得投资于 SOAR 开发和维护。

• 由于收购以及自动化功能融入其他大型平台，市场上 SOAR 平台的供应商选择减少。

• 证明自动化和SOAR购买费用的合理性对客户来说仍然是一个难题。自动化的价值最好用现有运营领域的收益来描述。

稳步爬升复苏期

18、共同管理的安全监控服务

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：共同管理的安全监控提供远程交付的服务。这些服务可以管理单个或客户拥有的威胁检测、调查和响应 (TDIR) 技术生态系统。共同管理的安全监控采用灵活的模式交付，可以与客户的安全监控和响应团队合作提供非工作时间支持。或者，它可以提供全天候维护、监控和调查。

为什么重要

各种规模的组织都在对支持TDIR的技术进行战略投资，例如安全信息和事件管理 (SIEM)、终端检测和响应 (EDR) 以及扩展检测和响应 (XDR)。灵活性、定制化和运营交付是决定使用共同管理监控的核心。缺乏可用的部署和维护技能意味着买家需要服务。组织面临的挑战不仅在于投资技术，还在于支持这些技术部署的持续复杂性、人员配备和成本。

商业冲击

组织购买了支持 TDIR 的产品（例如 SIEM），但通常难以有效运营它们。检测和响应对于任何安全策略的成功都至关重要。中期安全和中期成熟买家认识到持续监控的需求，并正在采用更易于访问的工具，例如 EDR 和 XDR。共同管理的安全监控在检测内容的创建/调整、平台维护和轻量级调查等领域提供了安全运营中心 (SOC) 功能的成熟度。

驱动因素

• 买家需要能够在其支持 TDIR 的技术中不断构建和更新检测内容和报告。这需要对威胁形势和其他数据处理技能的专业知识，而这些技能很难获得和保留。

• 具体而言，TDIR 技术的复杂性和配置要求意味着许多买家不具备构建、配置和维护的内部专业知识。

• 与托管检测和响应 (MDR) 等交钥匙服务相比，共同管理安全监控为买家提供了更大的灵活性和定制化，可配置专用的检测和响应功能。随着组织的安全成熟度提高和内部技能的增长，共同管理安全监控通常成为 MDR 的首选后续途径。共同管理安全监控提供资源，以经济高效的方式对支持 TDIR 的技术发现的大量警报和威胁进行分类。它还在正常工作时间之外提供资源。

• 买家可能已经有服务提供商或系统集成商，该合作伙伴已代表买家实施了支持 TDIR 的技术，共同管理的监控服务提供了额外的订阅驱动支持。

• 许多买家已经采用或计划采用 SaaS 安全监控产品，以配合其他基础设施投资，从传统的本地技术或其他 SaaS 提供商迁移。这些迁移的相关安全监控要求可能很复杂，可能需要经验丰富的托管提供商的支持。

障碍

• 将长期安全监控目标与共同管理服务相结合并非易事。虽然共同管理可以轻松获得 SOC 技能，但安全人员内部发展的长期规划需要深思熟虑，并制定明确的里程碑路线图。

• 共同管理服务需要内部团队对安全监控用例进行大量投入。如果不了解服务提供商的业务风险驱动目标是什么，此类服务的初始报价可能会急剧上升。

• 拥有自己的支持 TDIR 的解决方案可能是一种选择，但部署和投入运营可能需要大量时间。共同管理服务很少能提供与部署和价值实现相关的快速周转。

• 采用已部署的解决方案的复杂性会增加成本。规划更换供应商或要求供应商采用现有技术的复杂性对于避免浪费时间和预算至关重要。

19、MDR 服务

影响力评级：较高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：托管检测和响应 (MDR) 服务为客户提供远程交付的安全运营中心 (SOC) 功能。这些功能使组织能够快速检测、分析、调查并通过威胁破坏和遏制积极响应。MDR 提供商使用通常涵盖终端、网络、日志和云的技术堆栈提供交钥匙体验。这些遥测数据由擅长威胁搜寻和事件管理的专家在提供商的平台上进行分析。

为什么重要

网络威胁形势瞬息万变，针对组织的攻击复杂性不断升级。大多数组织缺乏资源、预算或意愿来构建和运行自己的 24/7 SOC 功能，而 SOC 功能是帮助他们保护和防御日益影响运营并造成更多损害的攻击所必需的。MDR服务使组织能够完善其威胁检测和响应覆盖范围。

商业冲击

未投资威胁检测和响应能力的组织面临更大的网络事件风险。寻找、获取和保留必要的专业知识和工具的挑战使得建立足够的内部能力变得毫无吸引力。MDR服务结合了人员、流程和技术，将安全问题转化为以业务为中心的风险、影响和结果，降低复杂性，并通过交钥匙采用提高安全成熟度。

驱动因素

• MDR 服务使组织能够专注于结果驱动的响应，因为它们提供专业知识，以交钥匙形式解释和交付一系列要求。最终，这会带来相关且可操作的业务成果。

• 随着组织 IT 基础设施和数字足迹的扩大，转向更广泛的提供商和技术，组织面临着压力，需要保持对越来越广泛的攻击面的可见性。MDR 提供商提供高保真威胁检测，并覆盖广泛的数据源、技术和 SaaS 平台。

• MDR 提供商允许远程提供缓解响应措施，使买家能够更快地响应和缓解问题，同时减少对业务的影响，尽管授予供应商的自主权级别因信任级别而异。随着 MDR 服务提供商门户的访问权限得到改善，客户可以验证某些情况下的响应，并可能执行该响应。

• 随着组织越来越关注各种网络风险问题，MDR 提供商正在扩展其功能以包括风险暴露管理。结合传统的检测和响应功能，可帮助客户在本地、云和 SaaS 环境中获得所需的可视性。

• 买家越来越需要快速采用成熟的功能，而这些功能原本需要很长时间才能构建或购买，而且运营成本过高。MDR 为那些不想构建和维护内部功能或需要快速获得功能的人提供了交钥匙解决方案。

障碍

• 供应商提供 MDR 服务的方法千差万别，这常常会导致买家质疑如何从战略上与供应商合作。

• 提供检测和响应解决方案的技术供应商提供名称相似但通常更轻松的覆盖服务，例如托管终端检测和响应 (MEDR)、托管安全信息和事件管理 (MSIEM) 和托管扩展检测和响应 (MXDR)。这最终增加了买家的困惑。

• MDR 服务提供商的绩效问题和失败的合作通常是由于期望不一致造成的。买家应该清楚地概述他们需要服务提供什么，而不是专注于他们想要监控的技术或数据。

• 不指定员工作为服务联系人可能会带来挑战。如果内部联系人和外部合作伙伴之间的运营责任划分不明确，通常会导致对服务的不满。

20、NDR

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：网络检测和响应 (NDR) 产品通过对网络流量应用行为分析来检测异常。它们持续分析内部网络和内部与外部网络之间的网络流量或元数据。NDR 产品直接或通过与网络安全工具集成来提供自动响应。NDR 以硬件和软件传感器的形式提供，其中一些具有基础设施即服务 (IaaS) 支持。管理和编排控制台可以是软件或 SaaS。

为什么重要

NDR提供网络上设备、这些设备的网络活动、典型活动基线和异常活动检测的完整视图，所有这些都无需基于签名的控制。NDR分析异常行为，支持检测横向移动和数据泄露。自动响应功能以本机方式或通过集成提供，事件响应工作流自动化日益成为关注领域。

商业冲击

NDR 产品提供对网络活动的可视性，以发现异常。许多NDR 产品的核心机器学习 (ML) 算法可检测其他检测技术遗漏的事件。自动响应功能可减轻事件响应人员的部分工作量。NDR 产品通过提供有用的上下文和深入分析功能，帮助事件响应人员进行威胁狩猎。

驱动因素

• 调查入侵后活动：NDR 通过基于偏离基线的情况检测事件来补充传统的预防控制措施。这使安全团队无需依赖手动控制即可调查入侵行为。

• 低风险、高回报：部署 NDR 产品是一个低风险项目，因为传感器部署在带外。它们不会给网络流量注入故障点或“减速带”。将 NDR 产品作为概念验证 (POC) 实施的企业通常报告高度满意，因为这些工具提供了急需的网络流量可见性，甚至使小型团队也能发现异常。

• 监控混合和云流量： NDR 的一项关键功能是能够监控 IaaS 流量和 Microsoft 365。扩展其云业务的组织使用 NDR 来避免在监控所有系统（无论是混合系统还是单一 IaaS）之间的交互的能力方面产生差距。

障碍

• NDR 在发现问题方面不如 EDR 有效。与检测效果更佳的产品相比，安全运营计划成熟度较低的企业可能难以证明这笔费用的合理性。

• 由于存在误报风险，NDR 产品的响应功能很少部署或专注于特定用例，例如勒索软件。

• NDR 产品需要根据其部署环境进行调整。这需要持续的人力资源投入才能实现最大效益。

• NDR日益与安全信息和事件管理 (SIEM) 和扩展检测和响应 (XDR )等整合平台争夺预算。

21、威胁情报产品和服务

影响力评级：较高

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：威胁情报 (TI) 服务通过记录策略、技术和程序，以及分析攻击活动、威胁和威胁行为者，为组织提供有关网络威胁形势的相关背景和见解。TI 产品提供工具来帮助组织汇总、收集、整理和实施自己的 TI，并可能将其与外部实体共享。

为什么重要

安全主管有义务了解组织的威胁形势。他们必须确保其安全解决方案更新了最新的威胁内容，并向其团队提供背景信息，因为这有助于了解总体风险。TI 为组织提供了保持其威胁形势可见性的方法，并建立了及时、准确且可操作的洞察，这些洞察可在威胁出现在组织之前、期间和之后应用。

商业冲击

• TI产品和服务适用于每个行业的安全功能和控制，因为每个组织都有独特的风险，使其容易受到网络威胁。

• TI 向企业通报可能导致业务中断、意外金钱损失、声誉损害或对人类健康和安全造成影响的当前和未来潜在威胁。

• TI 解决方案可以采用机器或人类可读的格式来使用，以增强安全技术并加深对对手意图、能力和动机的理解。

驱动因素

• 大型安全供应商正在通过内部开发或收购的方式投资 TI 产品和服务。这些供应商正在提供越来越多的威胁情报平台 (TIP) 功能，以聚合 TI 并在单一平台产品中进行管理，从而加速 TI 在市场上的采用和利用。

• TI 服务提供商继续扩展其核心用例和功能，以包括数字风险保护服务 (DRPS)，为组织提供单一供应商方式来提供高度策划的外部威胁和风险信息。Gartner 继续看到人们对 DRPS 功能和特性的兴趣，推动 TI 解决方案提供商将此功能添加到其产品组合中。

• 通过将数字风险与恶意威胁联系起来，组织正在更加努力地了解其外部风险。这些供应商通常得到 TI 的通知，现在开始提供外部攻击面管理 (EASM)，以加强情报整理并提高可操作性。

• 随着组织努力应对日益增长的数据量，组织对数据整理的需求也日益增加。客户将继续要求深入了解威胁形势，以便将 TI 综合成切实可行的见解。

障碍

• 许多组织没有正式的 TI 计划或专门的分析师来使用 TI 解决方案（如 TIP）或解释定制 TI 报告中的价值。相反，他们专注于战术指标（如 IP 地址、域和哈希值），而分配给人性化或高级 TI 解决方案的资源太少。

• 组织努力衡量和证明 TI 解决方案的价值。缺乏 TI 绩效报告将增加削减 TI 预算或阻碍项目成熟的可能性。

• 许多组织缺乏明确定义的优先情报需求 (PIR)，这可能导致对 TI 解决方案的投资过度或利用不足。

• 饱和且看似无差别的 TI 市场会让买家感到困惑和疲劳，尤其是在没有明确定义的 PIR（这有助于供应商选择过程）的情况下。

生产成熟期

22、终端检测和响应

影响力评级：较高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：终端检测和响应 (EDR) 工具可监控终端的异常行为和恶意活动，以检测绕过预防措施的攻击。EDR 使用高级分析、机器学习和威胁情报来监控系统、流程和用户行为。它可以自动清理、检测可疑事件并简化事件响应。在纵深防御策略中，EDR 使用 AI、威胁源和自动化来防止损害并简化针对新兴攻击的操作。

为什么重要

现代安全和风险管理领导者需要 EDR 来在防病毒、防火墙和入侵防御技术被规避时提供广泛的事后意识。

EDR 的高级分析、威胁情报和自动化使团队能够：

• 检测勒索软件等威胁。

• 发现隐藏的对手。

• 利用 EDR 实现丰富的数据驱动的风险管理。

EDR 对于防御不断演变的攻击、减少损害和优化安全运营至关重要。

商业冲击

• 降低入侵风险：主动检测威胁和高级攻击者可最大限度地减少损害和数据丢失。

• 更快的事件响应：自动化和威胁情报加快响应时间，节省企业停机时间和金钱。

• 增强监管合规性：EDR 有助于满足网络保险公司和数据隐私法规的合规性要求。

驱动因素

• 不断演变的威胁：传统的预防方法（如签名和启发式方法）难以抵御零日漏洞、勒索软件和高级持续性威胁等复杂攻击。EDR 的高级分析和威胁情报可实现主动检测和快速响应。

• 远程工作激增：远程工作的激增需要基于云的安全解决方案。EDR 为地理上分散的设备提供集中管理和可视性。

• 基于身份的攻击：终端检测和响应与身份威胁检测和响应的结合对于识别和应对普遍存在的凭证和身份盗窃攻击至关重要。

• 快速事件响应：EDR 可自动执行遏制和补救措施，最大限度地减少主动攻击期间的损害和停机时间。实时威胁洞察使安全团队能够及时阻止事件发生。

• 可组合安全：EDR 与防火墙、安全信息和事件管理等其他安全工具集成，形成整体安全结构。这种可组合方法可以全面查看攻击面并促进协调防御策略。

障碍

• 安全技能差距：有效利用 EDR 需要专业知识。安全团队可能需要投资培训或聘请具有威胁搜寻技能的人员，以充分利用 EDR 解决方案的高级功能。

• 云工作负载集成：云原生工作负载和容器化环境的动态特性可能会给传统 EDR 代理带来集成挑战。确保与这些环境的无缝集成需要 EDR 供应商和安全团队的持续努力。

• 多平台支持：EDR 解决方案很难在混合和多平台环境中跨多种平台（包括虚拟化环境、Linux、macOS、移动操作系统等）提供一致的保护功能。在这些多样化的平台上实现一致的保护和功能对等仍然是一项持续的挑战。

23、SIEM

影响力评级：中等

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：安全信息和事件管理 (SIEM) 是一种可配置的安全记录系统，可汇总和分析来自本地和云环境的安全事件数据。SIEM 可协助采取响应措施，以缓解对组织造成危害的问题，并满足合规性和报告要求。

为什么重要

聚合和规范来自各种环境的数据以集中可见性是有效安全程序的核心要素。SIEM 支持组织识别、优先处理和调查感兴趣的安全事件、执行响应操作以及报告当前和历史安全事件的能力。

商业冲击

SIEM 解决方案可以通过以下方式影响业务：

• 允许组织在其生命周期早期识别和应对关键安全事件以降低风险。

• 创建对安全问题和事件的整体态势感知，提供高效、可信的记录系统，可用于运营安全和合规性报告。

• 协调不同的技术投资并减少管理安全问题和事件的运营人员开销。

驱动因素

• 根据多个来源的报告，集中监控威胁是 SIEM 的主要驱动力。SIEM 提供了一个集中位置来监控和调查安全警报，以及支持使警报可行所需的上下文信息。

• SIEM 可以通过最适合特定监控目标的分析方法，将原始警报数据转化为可操作的情报。

• 需要扩展检测工作流程以包括具有安全编排、自动化和响应等功能的响应活动。

• 云中的 SaaS SIEM（基于云/原生）解决方案将平台和基础设施维护转移给供应商，并允许更可预测的线性增长预算。

• 随着越来越多的资产转移到以云为中心的环境，例如 Microsoft Azure、Amazon Web Services (AWS)、Google Cloud Platform ( G CP) 、Oracle 等，SIEM 必须了解底层环境才能发挥良好作用。

障碍

• 要让 SIEM 能够很好地检测攻击，需要专心致志和充足的人员配备。管理不善的 SIEM 继续困扰着许多组织。

• SIEM 预算和资源有限，但要监控的威胁类型却无穷无尽。因此，决定使用现有 SIEM 资源监控哪些内容是特许工程的最佳做法。

• SIEM 威胁检测性能不仅取决于 SIEM 及其配置，还取决于检测堆栈和发送到SIEM 的所有选定的支持遥测数据。

• 大规模 SIEM 架构可能需要补充技术，这会增加解决方案的复杂性和成本。这可能会增加买家的困惑，或使证明完整 SIEM 的合理性更加困难。