Gartner安全運營成熟度曲線:XDR、SOAR 泡沫破裂;EDR、SIEM 進入生產成熟期
日前,Gartner 發布了最新的安全運營成熟度曲線報告(Gartner Hype Cycle for Security Operations, 2024),報告將與安全運營相關的 23 項熱點技術按照新技術通往成熟必經的過程進行劃分,為技術萌芽期、期望膨脹期、泡沫破裂低谷期、穩步爬升復蘇期、生產成熟期五個階段。
此次報告出現了像對抗性暴露面驗證,暴露面評估平臺這些新的技術熱點,也有過去被認為大熱的技術比如 SOAR,在達到成熟大面積應用之前就已過時。
Gartner Hype Cycle for Security Operations, 2024:
面對不斷變化的威脅態勢,企業率先采用新興技術可能獲得巨大收益,另一方面也可能承擔更大的風險,因此識別技術投入的優先級變得尤為重要。
Gartner 根據對企業產生的價值以及技術的目標市場覆蓋度,對這些技術進行了應用優先級評估,從而幫助企業安全或信息負責人制定安全戰略路線,在恰當時間做出更明智的投資決策。
Gartner Hype Cycle for Security Operations, 2024:
優先級矩陣
新出的這份報告,有幾點關鍵洞察值得關注:
TEM、CPS 安全、CAASM 進入期望膨脹期(Peak of Inflated Expectations),需謹慎
Gartner 認為全球企業對于攻擊面的關注達到了頂峰,企業利用威脅暴露面管理(TEM)、網絡資產攻擊面管理(CAASM)、網絡物理系統安全(CPS),以及滲透測試即服務(Penetration Testing as a Service)等不同的技術,來提升對于不斷擴大的攻擊面的可見性,或者驗證網絡的彈性。
但是,對于這些正處在期望膨脹期的安全技術,Gartner 的建議是企業內部需要提前考慮清楚自身的需求,再開始尋找供應商,或向安全廠商提具體的需求,不然最后很可能受到對當前技術過高的期待影響,而產生一些不切實際的期待。
MDR、NDR、TI 及 CO-MMS 市場價值顯著,穩步爬升
對于托管檢測和響應服務(MDR)、網絡檢測和響應(NDR)、威脅情報(Threat Intelligence)以及共管監控服務(Co-Managed Monitoring Services)這幾項技術,早期的采用者已經克服了此前的各種障礙,2024年開始為企業帶來顯著的價值和收益,煥發了新的生機。
例如,像威脅情報技術對企業屬于高收益,目標用戶市場滲透率已達到20%-50%,當前已進入成熟主流階段。對于處在該階段的安全技術,Gartner建議重點進行評估及應用,彌補企業自身在威脅檢測以及情報應用上成熟度的不足。
XDR、SOAR 等進入泡沫破裂低谷期(Trough of Disillusionment),需重新評估
當大家對新技術的興奮勁頭散去,這些新技術由于性能問題、沒有及時產生財務回報或者是目標市場的接受與應用率比預期要慢,那么 Gartner 認為這項技術就進入了泡沫破裂低谷期。
2024 年,安全負責人需要對這幾項技術進行重新評估,例如數字取證與事件響應(Digital Forensics and Incident Response),應用過這些技術的大多數企業都出現過被過度承諾結果的情況。
再比如外部攻擊面管理(External Attack Surface Management),身份威脅檢測和響應(Identity Threat Detection and Response),在實際應用的過程中,甲方企業對這些技術進行消費和運營業務輸出時,準備不足。
對于安全編排自動化響應(SOAR)以擴展檢測和響應 (XDR),面臨的問題主要是采用的這些技術跟不上持續變化的需求。
Gartner 建議,企業既需要重新評估這些技術,也需要提升對預算分配與規劃的合理性。
EDR、SIEM 進入生產成熟期(Plateau of Productivity)
報告指出,終端檢測與響應(EDR)、安全信息與事件管理(SIEM)兩項技術目前均已達到成熟階段,其中 EDR 對于企業而言收益高,且目標用戶市場滲透率達到了 50%;而SIEM目前的目標用戶市場滲透率達到 20%-50%。
Gartner 認為處于這個階段的技術已得到廣泛應用,而且技術價值和優勢也得到了充分證明,建議安全風險部門負責人充分利用該階段技術降低風險,并將其功能整合應用到更大范圍的安全運用生態體系中。
盡管這份報告可以看作是全球安全運營技術的風向標,但國內外在技術成熟度和實踐上無疑仍存在一定“時間差”和“實踐差”,并不完全同頻。
例如國內終端安全管理平臺更多以殺軟、桌管包裝成 EDR,真正的 EDR 技術在國內尚處于起步階段,只有少數廠商聚焦在高精準度的 EDR 能力上;國內安全服務市場,更多以 MSS 安全托管服務為主,MDR 發展相對較為早期,企業需要更加務實地看待當前網絡安全運營中不同技術市場的發展。
