日前，Gartner 發(fā)布了最新的安全運(yùn)營成熟度曲線報告（Gartner Hype Cycle for Security Operations, 2024），報告將與安全運(yùn)營相關(guān)的 23 項熱點(diǎn)技術(shù)按照新技術(shù)通往成熟必經(jīng)的過程進(jìn)行劃分，為技術(shù)萌芽期、期望膨脹期、泡沫破裂低谷期、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期五個階段。

此次報告出現(xiàn)了像對抗性暴露面驗證，暴露面評估平臺這些新的技術(shù)熱點(diǎn)，也有過去被認(rèn)為大熱的技術(shù)比如 SOAR，在達(dá)到成熟大面積應(yīng)用之前就已過時。

Gartner Hype Cycle for Security Operations, 2024：

面對不斷變化的威脅態(tài)勢，企業(yè)率先采用新興技術(shù)可能獲得巨大收益，另一方面也可能承擔(dān)更大的風(fēng)險，因此識別技術(shù)投入的優(yōu)先級變得尤為重要。

Gartner 根據(jù)對企業(yè)產(chǎn)生的價值以及技術(shù)的目標(biāo)市場覆蓋度，對這些技術(shù)進(jìn)行了應(yīng)用優(yōu)先級評估，從而幫助企業(yè)安全或信息負(fù)責(zé)人制定安全戰(zhàn)略路線，在恰當(dāng)時間做出更明智的投資決策。

Gartner Hype Cycle for Security Operations, 2024：

優(yōu)先級矩陣

新出的這份報告，有幾點(diǎn)關(guān)鍵洞察值得關(guān)注：

TEM、CPS 安全、CAASM 進(jìn)入期望膨脹期（Peak of Inflated Expectations），需謹(jǐn)慎

Gartner 認(rèn)為全球企業(yè)對于攻擊面的關(guān)注達(dá)到了頂峰，企業(yè)利用威脅暴露面管理（TEM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、網(wǎng)絡(luò)物理系統(tǒng)安全（CPS），以及滲透測試即服務(wù)（Penetration Testing as a Service）等不同的技術(shù)，來提升對于不斷擴(kuò)大的攻擊面的可見性，或者驗證網(wǎng)絡(luò)的彈性。

但是，對于這些正處在期望膨脹期的安全技術(shù)，Gartner 的建議是企業(yè)內(nèi)部需要提前考慮清楚自身的需求，再開始尋找供應(yīng)商，或向安全廠商提具體的需求，不然最后很可能受到對當(dāng)前技術(shù)過高的期待影響，而產(chǎn)生一些不切實際的期待。

MDR、NDR、TI 及 CO-MMS 市場價值顯著，穩(wěn)步爬升

對于托管檢測和響應(yīng)服務(wù)（MDR）、網(wǎng)絡(luò)檢測和響應(yīng)（NDR）、威脅情報（Threat Intelligence）以及共管監(jiān)控服務(wù)（Co-Managed Monitoring Services）這幾項技術(shù)，早期的采用者已經(jīng)克服了此前的各種障礙，2024年開始為企業(yè)帶來顯著的價值和收益，煥發(fā)了新的生機(jī)。

例如，像威脅情報技術(shù)對企業(yè)屬于高收益，目標(biāo)用戶市場滲透率已達(dá)到20%-50%，當(dāng)前已進(jìn)入成熟主流階段。對于處在該階段的安全技術(shù)，Gartner建議重點(diǎn)進(jìn)行評估及應(yīng)用，彌補(bǔ)企業(yè)自身在威脅檢測以及情報應(yīng)用上成熟度的不足。

XDR、SOAR 等進(jìn)入泡沫破裂低谷期（Trough of Disillusionment），需重新評估

當(dāng)大家對新技術(shù)的興奮勁頭散去，這些新技術(shù)由于性能問題、沒有及時產(chǎn)生財務(wù)回報或者是目標(biāo)市場的接受與應(yīng)用率比預(yù)期要慢，那么 Gartner 認(rèn)為這項技術(shù)就進(jìn)入了泡沫破裂低谷期。

2024 年，安全負(fù)責(zé)人需要對這幾項技術(shù)進(jìn)行重新評估，例如數(shù)字取證與事件響應(yīng)（Digital Forensics and Incident Response)，應(yīng)用過這些技術(shù)的大多數(shù)企業(yè)都出現(xiàn)過被過度承諾結(jié)果的情況。

再比如外部攻擊面管理（External Attack Surface Management)，身份威脅檢測和響應(yīng)（Identity Threat Detection and Response），在實際應(yīng)用的過程中，甲方企業(yè)對這些技術(shù)進(jìn)行消費(fèi)和運(yùn)營業(yè)務(wù)輸出時，準(zhǔn)備不足。

對于安全編排自動化響應(yīng)（SOAR）以擴(kuò)展檢測和響應(yīng) (XDR)，面臨的問題主要是采用的這些技術(shù)跟不上持續(xù)變化的需求。

Gartner 建議，企業(yè)既需要重新評估這些技術(shù)，也需要提升對預(yù)算分配與規(guī)劃的合理性。

EDR、SIEM 進(jìn)入生產(chǎn)成熟期（Plateau of Productivity）

報告指出，終端檢測與響應(yīng)（EDR）、安全信息與事件管理（SIEM)兩項技術(shù)目前均已達(dá)到成熟階段，其中 EDR 對于企業(yè)而言收益高，且目標(biāo)用戶市場滲透率達(dá)到了 50%；而SIEM目前的目標(biāo)用戶市場滲透率達(dá)到 20%-50%。

Gartner 認(rèn)為處于這個階段的技術(shù)已得到廣泛應(yīng)用，而且技術(shù)價值和優(yōu)勢也得到了充分證明，建議安全風(fēng)險部門負(fù)責(zé)人充分利用該階段技術(shù)降低風(fēng)險，并將其功能整合應(yīng)用到更大范圍的安全運(yùn)用生態(tài)體系中。

盡管這份報告可以看作是全球安全運(yùn)營技術(shù)的風(fēng)向標(biāo)，但國內(nèi)外在技術(shù)成熟度和實踐上無疑仍存在一定“時間差”和“實踐差”，并不完全同頻。

例如國內(nèi)終端安全管理平臺更多以殺軟、桌管包裝成 EDR，真正的 EDR 技術(shù)在國內(nèi)尚處于起步階段，只有少數(shù)廠商聚焦在高精準(zhǔn)度的 EDR 能力上；國內(nèi)安全服務(wù)市場，更多以 MSS 安全托管服務(wù)為主，MDR 發(fā)展相對較為早期，企業(yè)需要更加務(wù)實地看待當(dāng)前網(wǎng)絡(luò)安全運(yùn)營中不同技術(shù)市場的發(fā)展。