Gartner推荐全球4家专注于通过自动化和人工智能支持SOC的优秀供应商

本文链接：https://blog.csdn.net/galaxylove/article/details/143778451

组织努力获得可见性、对风险的认识以及检测和应对威胁的能力。这些优秀的供应商专注于通过使用自动化、人工智能和持续评估来支持 SOC 的创新方法。

主要发现

不幸的是，安全技术和服务供应商很少激励客户做得更好并改善他们的网络安全运营或安全配置管理，而是宁愿维持现状。
数字环境比物理环境规模更广、变化率更高，而且通常不受 IT 控制，这增加了安全运营的压力。
对于大多数组织而言，自动化网络安全运营活动或在网络安全中启用人工智能仍不切实际。因此，大多数组织得不到足够的保护，无法抵御当前的攻击。
有效的云安全依赖于实时可见性和持续评估，以管理快节奏开发周期中的风险。

建议

负责现代化安全运营的安全和风险管理领导者应该：

选择激励客户提高安全性的安全服务提供商，而不是选择对您完善安全功能的投资漠不关心的供应商（基于价格）。
试验新方法来改进威胁检测，包括威胁狩猎、事件调查和响应。与传统的集中式日志管理方法相比，分散式方法通常实施速度更快、效率更高、成本效益更高。
利用自动化提供商和人工智能，通过使用无代码解决方案在尽可能多的安全运营活动中实现自动化——这对于大多数企业和组织来说将更容易实现。
使用自动化来帮助扩展您的内部测试能力，并腾出时间让人工测试人员专注于自动化风险过高且需要组织和系统特定专业知识的领域。
采用提供持续暴露评估功能的云安全工具，使技术能够进行可扩展的模拟并分析云基础设施中的重大变化。

分析

本研究并非任何特定技术领域的详尽供应商清单，而是旨在突出有趣、新颖和创新的供应商、产品和服务。Gartner 对本研究不作任何明示或暗示的担保，包括任何适销性或特定用途适用性的担保。

需要知道什么

安全和风险管理领导者正在努力防范越来越多的攻击者，以及越来越多的环境和资产。人工智能在我们的环境中的加入增加了需要保护的攻击面。基础安全功能仍然是安全的支柱，但为了适应，安全团队必须尝试新的安全技术和服务。

安全和风险管理领导者需要：

当组织开展数字化转型计划、实现云优先、添加人工智能并适应强调组织弹性的外部力量时，对新出现的威胁有了清晰的认识。
了解新环境中的暴露情况以及解决方案如何被攻击者滥用。
能够全天候检测威胁并做出响应，并在威胁对组织造成危害之前将其消除。

对于大多数组织而言，其攻击面已显著扩大，但其实践和现有流程却未能跟上。安全运营团队需要增强其流程和实践，以充分利用其工具和人员。在 2024 年 Gartner 安全运营调查中发现，采用持续威胁暴露管理 (CTEM) 原则的组织比未采用 CTEM 原则的组织更善于检测和应对安全事件。独立的外部攻击面管理工具在安全运营工具购买中通常提供最低的满意度。

当需要技术和服务时，领导安全运营职能的人员应使用两种方法：

1. 在安全运营功能中实施并嵌入可持续自动化和人工智能。

2. 采用非常规方法应对当前挑战的安全解决方案和服务。

安全运营团队需要愿意接受不太成熟的供应商和服务提供商，同时承认这种方法既有风险也有回报。

如果供应商倒闭或被收购，您需要制定备用计划，并愿意投入更多资源来最大限度地维护与供应商的关系。最终，这可以让客户推动产品朝着对双方都有利的方向发展。

Arcanna.ai

美国新泽西州 ( arcanna.ai )

为什么很酷： Arcanna.ai 提供了一个平台，可帮助安全运营人员做出复杂的威胁分析决策，并减少准确、一致地完成调查所需的时间。它的解决方案（称为决策智能）将人类手动处理安全事件的专业知识与图网络技术的学习和验证能力相结合。与市场上同等的自动化解决方案（例如安全编排、自动化和响应 (SOAR) 或具有网络安全 AI 助手的相邻检测解决方案）相反，Arcanna.ai 使用“人在环路”流程，咨询并使用人类反应来验证其发现，直到它获得自主采取行动的信心和知识。该产品的目标是模仿安全运营中心（SOC ）中现有人类运营的行为，它并非旨在直接取代或消除人类，而是始终如一地准确地复制高置信度动作，并增强或自动化可能因疲劳或其他错误而失败的重复性任务。该平台向用户呈现已知背景，了解他们如何使用这些背景，并通过反馈和团队共识获得信心，以确定可以自行做出决策的场景。通过使用现有的分析师操作，并了解人类完成这些操作所需的时间，Arcanna.ai 还可以在一定程度上准确地比较其成本与劳动力节省，从而让安全运营团队了解投资的价值。

挑战：AI 或 GenAI 支持的每项功能都应持怀疑态度。您需要设置要求来验证此类工具的输出，尤其是在当前市场热炒的情况下。当工具基于人工反馈时，总是有可能将不正确或恶意的指令输入平台，从而导致错误的决策，从而破坏信任。然而，值得注意的是，Arcanna.ai 具有“共识”保障措施，试图缓解此类问题。Arcanna.ai从用户自己的 SOC 团队中的人工活动中学习，但许多组织没有足够的人员或专业知识来为此类解决方案提供其每天运营 SOC 所需的学习数据。这样的产品需要一套成熟的安全运营知识和来自一致团队的定期安全事件分类。这是托管服务（例如共同管理的安全监控或共享/增强的外部资源）可能无法提供的。如果缺少这一点，或者在某些用例中缺乏这一点，产品中的统计护栏可能会阻止其呈现可行的结果。

谁应该关注：参与大量威胁检测和响应活动的成熟安全团队将主要受益于此类解决方案，尤其是那些 SOC 员工流动率高的组织，Arcanna.ai 可以建立一个一致且持续的知识来源，用于安全告警。Arcanna.ai还应该能够帮助那些难以雇用额外 SOC 员工或填补非工作时间职位的组织。然而，组织应该在尝试支持自主的非工作时间运营之前，专注于将系统调整到一致有效的水平。

Dropzone AI

美国华盛顿州西雅图( dropzone.ai )

为什么很酷： Dropzone AI使用专利的LLM 架构通过自动化和推理为一级 (T1)安全分析师提供帮助，Dropzone 将其称为“多智能体递归推理系统”。该平台预先训练了常见告警类型的调查方法，并通过 API 与 50 多种产品互连，以便多智能体系统提取和分析每个环境的性质。可以扫描安全信息和事件管理 (SIEM)索引，以便该技术可以了解哪些数据可用以及它们位于何处。它开发了环境的上下文模型，结合了业务和基础设施上下文。该解决方案为每个告警生成一份报告，包括严重性结论、执行摘要以及有关告警和相关活动的关键见解。该解决方案结合了对 AI 行为的调整，允许人工输入提供反馈并添加有关告警或环境的更多上下文。

威胁猎手可以使用 Dropzone AI，以问题的形式输入他们的假设，然后让产品查询数据源、制定查询并通过记录进行推理，以生成清晰的英文答案。Dropzone AI 通过提供证据证明及其得出结论的方法来保持透明度。它使用具有 SOC 2 认证的单租户架构，并且仅将私人数据用于客户自己的调查，而不是用于训练后端 Dropzone AI 模型。Dropzone AI 提供基于容量的定价模型。

挑战：随着越来越多的安全供应商重新定位以提供类似的功能，网络安全助手市场将变得非常拥挤。市场上的大型参与者，如提供安全运营解决方案的云服务提供商，将拥有市场份额优势，大规模提供他们的人工智能助手，这可能会淹没像 Dropzone AI 这样的小参与者。集成的数量必须增加，以匹配客户端环境中的各种供应商排列，而创建查询的自然语言处理已经成为 SIEM 和扩展检测和响应平台的标准功能。

谁应该关注：托管安全服务可以从卸载 T1 任务和加快通知时间中受益，以避免违反 SLA。处理 T1 分析师倦怠、试图减少新告警的平均确认时间或希望腾出分析师时间进行其他项目的安全领导者也应该调查像 Dropzone AI 这样的 AI 网络安全助手的可行性。

Nagomi Security

美国纽约（nagomisecurity.com ）

为什么很酷：Nagomi Security 通过持续的评估和优化过程帮助提高您在技术安全控制方面的现有投资的有效性和价值。通过确定组织特定的威胁和漏洞暴露、攻击活动、业务环境和可用的防御能力之间的关系，Nagomi帮助调整组织的安全控制，使其适应其独特的威胁形势。这使得这种技术方法很“酷”，因为它不仅仅是进行合规性审计或推荐通用的安全最佳实践。它有助于发现、优先处理和消除技术安全控制及其安全配置中的漏洞。该供应商还通过自动将现有配置映射到 MITRE ATT&CK 等网络安全框架，帮助识别控制重叠和安全架构逻辑漏洞。

挑战：对 Nagomi 补救措施的反应速度缓慢，再加上持续和自动化的评估，可能会导致建议堆积如山，给已经被大量告警、发现和潜在事件压垮的安全团队带来额外的压力。

依赖不太流行的专业点工具的组织不太可能从 Nagomi 的功能中受益，而集成重点是市场领先的产品。Nagomi Security 是一家新兴的自动安全控制评估 ( ASCA ) 技术提供商，该技术是一个相对较新的类别，很少与组织的专用预算相符。

谁应该关注：

安全和风险管理领导者关注员工效率以及技术安全控制的有效性和价值。这包括安全运营经理、基础设施安全经理和数字工作场所安全领导者。
负责日常运营和安全基础设施技术改进的技术安全人员。这包括安全架构师、安全工程师和安全分析师。
作为正在进行的 CTEM 计划的一部分，各个成熟度范围内的组织和安全团队都希望减少受到威胁的几率，并且这些组织和安全团队还参与了安全工具管理。

Stream Security

以色列特拉维夫 ( stream.security )

为什么很酷：Stream Security 开发了一款产品，该产品支持以云为先的安全运营方法。它通过收集和分析云安全态势管理数据、流式事件和用户输入并将它们存储在图形数据库中，创建云环境的表示。这可以实现云环境的全面动态数字表示，以应用安全模拟技术。通过利用图形机器学习技术来映射资产和活动之间的联系，并从这些关系中推断出最佳行动方案，Stream Security 可以运行模拟来分析基础设施内变化的影响。该产品检测环境中的配置变化，使用这些事件触发模拟过程，以验证环境的安全态势是否发生了重大变化。对于使用基础设施即代码 (IaC)（如Terraform ）的云环境，可以分析预提交更改的影响。通过集成（例如安全自动化或票务系统）支持补救措施，并促进所有者识别。

这种持续的暴露评估立场使安全运营能够预测潜在的漏洞和攻击，而不是在事件发生时才做出反应。Stream Security 是这种转变的先驱之一，他们将这些方法应用于日益复杂且快速发展的云原生多云环境中。模拟方法还开辟了通过 IaC 更改验证补救或缓解控制的途径，确保安全措施在部署之前有效。

挑战：成功采用 Stream Security 需要成熟的安全运营专家，他们具备为其云资产实施风险评估活动的技能和资源。这一要求可能是一个障碍，因为并非所有组织都具备必要的专业知识、与利益相关者的协作（包括 DevOps、CloudOps 和工程）以及向更积极主动的方法转变的前瞻性思维。模拟方法并不新颖。一系列替代方法（如统计模型、图形分析、基于 GenAI 的模拟和其他新兴技术）可以支持类似的结果。像 Stream Security 这样的初创公司很快就会面临来自更成熟的云安全提供商的日益激烈的竞争。还依赖于漏洞扫描器集成和应用程序安全功能，并非所有客户都已具备这些功能。

谁应该关注：