日前，Gartner 發(fā)布了最新的安全運(yùn)營(yíng)成熟度曲線報(bào)告（Gartner Hype Cycle for Security Operations, 2024），報(bào)告將與安全運(yùn)營(yíng)相關(guān)的 23 項(xiàng)熱點(diǎn)技術(shù)按照新技術(shù)通往成熟必經(jīng)的過(guò)程進(jìn)行劃分，為技術(shù)萌芽期、期望膨脹期、泡沫破裂低谷期、穩(wěn)步爬升復(fù)蘇期、生產(chǎn)成熟期五個(gè)階段。

此次報(bào)告出現(xiàn)了像對(duì)抗性暴露面驗(yàn)證，暴露面評(píng)估平臺(tái)這些新的技術(shù)熱點(diǎn)，也有過(guò)去被認(rèn)為大熱的技術(shù)比如 SOAR，在達(dá)到成熟大面積應(yīng)用之前就已過(guò)時(shí)。

Gartner Hype Cycle for Security Operations, 2024：

面對(duì)不斷變化的威脅態(tài)勢(shì)，企業(yè)率先采用新興技術(shù)可能獲得巨大收益，另一方面也可能承擔(dān)更大的風(fēng)險(xiǎn)，因此識(shí)別技術(shù)投入的優(yōu)先級(jí)變得尤為重要。

Gartner 根據(jù)對(duì)企業(yè)產(chǎn)生的價(jià)值以及技術(shù)的目標(biāo)市場(chǎng)覆蓋度，對(duì)這些技術(shù)進(jìn)行了應(yīng)用優(yōu)先級(jí)評(píng)估，從而幫助企業(yè)安全或信息負(fù)責(zé)人制定安全戰(zhàn)略路線，在恰當(dāng)時(shí)間做出更明智的投資決策。

Gartner Hype Cycle for Security Operations, 2024：

優(yōu)先級(jí)矩陣

新出的這份報(bào)告，有幾點(diǎn)關(guān)鍵洞察值得關(guān)注：

TEM、CPS 安全、CAASM 進(jìn)入期望膨脹期（Peak of Inflated Expectations），需謹(jǐn)慎

Gartner 認(rèn)為全球企業(yè)對(duì)于攻擊面的關(guān)注達(dá)到了頂峰，企業(yè)利用威脅暴露面管理（TEM）、網(wǎng)絡(luò)資產(chǎn)攻擊面管理（CAASM）、網(wǎng)絡(luò)物理系統(tǒng)安全（CPS），以及滲透測(cè)試即服務(wù)（Penetration Testing as a Service）等不同的技術(shù)，來(lái)提升對(duì)于不斷擴(kuò)大的攻擊面的可見(jiàn)性，或者驗(yàn)證網(wǎng)絡(luò)的彈性。

但是，對(duì)于這些正處在期望膨脹期的安全技術(shù)，Gartner 的建議是企業(yè)內(nèi)部需要提前考慮清楚自身的需求，再開(kāi)始尋找供應(yīng)商，或向安全廠商提具體的需求，不然最后很可能受到對(duì)當(dāng)前技術(shù)過(guò)高的期待影響，而產(chǎn)生一些不切實(shí)際的期待。

MDR、NDR、TI 及 CO-MMS 市場(chǎng)價(jià)值顯著，穩(wěn)步爬升

對(duì)于托管檢測(cè)和響應(yīng)服務(wù)（MDR）、網(wǎng)絡(luò)檢測(cè)和響應(yīng)（NDR）、威脅情報(bào)（Threat Intelligence）以及共管監(jiān)控服務(wù)（Co-Managed Monitoring Services）這幾項(xiàng)技術(shù)，早期的采用者已經(jīng)克服了此前的各種障礙，2024年開(kāi)始為企業(yè)帶來(lái)顯著的價(jià)值和收益，煥發(fā)了新的生機(jī)。

例如，像威脅情報(bào)技術(shù)對(duì)企業(yè)屬于高收益，目標(biāo)用戶市場(chǎng)滲透率已達(dá)到20%-50%，當(dāng)前已進(jìn)入成熟主流階段。對(duì)于處在該階段的安全技術(shù)，Gartner建議重點(diǎn)進(jìn)行評(píng)估及應(yīng)用，彌補(bǔ)企業(yè)自身在威脅檢測(cè)以及情報(bào)應(yīng)用上成熟度的不足。

XDR、SOAR 等進(jìn)入泡沫破裂低谷期（Trough of Disillusionment），需重新評(píng)估

當(dāng)大家對(duì)新技術(shù)的興奮勁頭散去，這些新技術(shù)由于性能問(wèn)題、沒(méi)有及時(shí)產(chǎn)生財(cái)務(wù)回報(bào)或者是目標(biāo)市場(chǎng)的接受與應(yīng)用率比預(yù)期要慢，那么 Gartner 認(rèn)為這項(xiàng)技術(shù)就進(jìn)入了泡沫破裂低谷期。

2024 年，安全負(fù)責(zé)人需要對(duì)這幾項(xiàng)技術(shù)進(jìn)行重新評(píng)估，例如數(shù)字取證與事件響應(yīng)（Digital Forensics and Incident Response)，應(yīng)用過(guò)這些技術(shù)的大多數(shù)企業(yè)都出現(xiàn)過(guò)被過(guò)度承諾結(jié)果的情況。

再比如外部攻擊面管理（External Attack Surface Management)，身份威脅檢測(cè)和響應(yīng)（Identity Threat Detection and Response），在實(shí)際應(yīng)用的過(guò)程中，甲方企業(yè)對(duì)這些技術(shù)進(jìn)行消費(fèi)和運(yùn)營(yíng)業(yè)務(wù)輸出時(shí)，準(zhǔn)備不足。

對(duì)于安全編排自動(dòng)化響應(yīng)（SOAR）以擴(kuò)展檢測(cè)和響應(yīng) (XDR)，面臨的問(wèn)題主要是采用的這些技術(shù)跟不上持續(xù)變化的需求。

Gartner 建議，企業(yè)既需要重新評(píng)估這些技術(shù)，也需要提升對(duì)預(yù)算分配與規(guī)劃的合理性。

EDR、SIEM 進(jìn)入生產(chǎn)成熟期（Plateau of Productivity）

報(bào)告指出，終端檢測(cè)與響應(yīng)（EDR）、安全信息與事件管理（SIEM)兩項(xiàng)技術(shù)目前均已達(dá)到成熟階段，其中 EDR 對(duì)于企業(yè)而言收益高，且目標(biāo)用戶市場(chǎng)滲透率達(dá)到了 50%；而SIEM目前的目標(biāo)用戶市場(chǎng)滲透率達(dá)到 20%-50%。

Gartner 認(rèn)為處于這個(gè)階段的技術(shù)已得到廣泛應(yīng)用，而且技術(shù)價(jià)值和優(yōu)勢(shì)也得到了充分證明，建議安全風(fēng)險(xiǎn)部門(mén)負(fù)責(zé)人充分利用該階段技術(shù)降低風(fēng)險(xiǎn)，并將其功能整合應(yīng)用到更大范圍的安全運(yùn)用生態(tài)體系中。

盡管這份報(bào)告可以看作是全球安全運(yùn)營(yíng)技術(shù)的風(fēng)向標(biāo)，但國(guó)內(nèi)外在技術(shù)成熟度和實(shí)踐上無(wú)疑仍存在一定“時(shí)間差”和“實(shí)踐差”，并不完全同頻。

例如國(guó)內(nèi)終端安全管理平臺(tái)更多以殺軟、桌管包裝成 EDR，真正的 EDR 技術(shù)在國(guó)內(nèi)尚處于起步階段，只有少數(shù)廠商聚焦在高精準(zhǔn)度的 EDR 能力上；國(guó)內(nèi)安全服務(wù)市場(chǎng)，更多以 MSS 安全托管服務(wù)為主，MDR 發(fā)展相對(duì)較為早期，企業(yè)需要更加務(wù)實(shí)地看待當(dāng)前網(wǎng)絡(luò)安全運(yùn)營(yíng)中不同技術(shù)市場(chǎng)的發(fā)展。