Gartner发布2023年安全运营技术成熟度曲线
安全运营技术和服务通过识别威胁和漏洞暴露来保护 IT/OT 系统、云工作负载、应用程序和其他数字资产免受攻击。安全和风险管理领导者可以利用这项研究来制定战略并提供安全运营能力和功能。
需要知道什么
混合和远程工作实践已经迅速成熟,安全运营中心 (SOC) 团队也不断发展以支持这些转型。由此导致的攻击面扩大促使组织在网络防御方法方面变得更加敏捷和响应迅速,通常会承担额外的项目来提高成熟度。为了跟上不断变化的形势,安全和风险管理 (SRM) 领导者必须制定以业务风险为中心的战略,而不是仅仅采用新方法来更好地完成同样的事情。
炒作周期
安全运营 (SecOps) 必须找到适应方法。为此,SRM 领导者应采用基于风险的运营方法,提高业务相关性。作为主要职能,SecOps 负责维护整个技术领域的可见性,以监控和响应潜在威胁活动,并通过仔细协调控制措施积极提供建议和降低风险。为了实现其目标,它配备了旨在提供技术网络的深度可见性、协助诊断结果以及在某些情况下控制实施的技术和服务。
然而,即使以前在数据科学和分析干预方面取得了进步,这些工具和服务也导致了数据泛滥、工具差异,并最终导致最终用户管理跨多个平台的分类和分析的复杂性。虽然其中许多功能都支持提高可见性,但它们也强调需要一种更统一的方法,该方法的重点是更好地确定优先级,以更快地获得基于风险的结果。
SRM 领导者必须将一些关键能力领域纳入其路线图中:
-
实施持续威胁暴露面管理 (CTEM) 概念。
-
应用与业务相关的方法来提高检测和响应的广度和相关性。
-
最大化自动化以减少响应时间。
-
利用生成式网络安全人工智能来提高运营效率和增强技能。
针对日益暴露的技术的攻击的复杂性和数量在今年的技术成熟度曲线中得到了体现,即发生了最重大变化的技术:MDR、暴露面管理、外部攻击面管理 (EASM)、网络资产攻击面管理 (CAASM)、身份威胁检测和响应 (ITDR) 和 XDR。这些象征着人们越来越需要根据威胁形势和组织风险了解更多信息、更好地确定优先顺序并更快地采取行动。
创新触发器中越来越多的技术意味着克服攻击面复杂性的需求。许多类别不断发展,即暴露面管理、EASM、CAASM、渗透测试即服务 (PTaaS)、自动化渗透测试和红队工具、自动化安全控制评估 (ASCA) 和 ITDR。这些工具和服务在一定程度上代表了不断发现、评估、优先排序、验证和减少数字资产暴露的需要。
市场最感兴趣的是漏洞攻击模拟 (BAS) 和数字风险保护服务 (DRPS) 等功能,这些功能旨在从资产内部和外部提供持续的风险评估和威胁识别。XDR 和数字取证和事件响应 (DFIR)也处于高峰期,这表明需要增强威胁检测和响应准备。
生成式网络安全人工智能也出现在技术成熟度曲线中,具有改进自动化工作流程、代理现有分析、生成安全配置和组装真实攻击数据的潜力。有明确的用例,但主要是今天的公告和实验性功能,其中一些已经针对威胁检测和响应、威胁情报,甚至是暴露面管理的能力进行了测试。希望实施这项技术的 SRM 领导者应该考虑他们的组织将如何使用或构建此类功能,并采用一种机制来监管其使用。
图 1:2023 年安全运营技术成熟度曲线
优先级矩阵
在投资任何安全运营服务和功能之前评估整个企业风险的组织将能够更轻松地确定购买什么以及花费多少。这将使他们能够最大程度地降低风险,并有效应对可能损害生产力、品牌或两者的问题。
与安全运营相关的技术和服务很少能带来立竿见影的好处。这种能力应该被视为消耗性的。换句话说,它们需要一个适应的过程才能发挥作用。安全风险应根据组织优先级进行管理,但要牢牢立足于解决特定组织的威胁形势。
在考虑安全运营的技术和功能路线图时,您需要重点关注已发现问题的优先级,以确保您的安全运营计划与特定的动态攻击面保持一致。同时,这一切都需要与现代 IT 架构保持一致。
增加复杂性既不是高优先级,也不是高效益。CSMA 采用和暴露面管理等领域的长期举措是对流程和当前技术的使用进行建模的方法,而不是使用全新的工具。安全运营专业人员必须权衡那些更有可能对业务风险状况产生有效且可衡量的积极影响的战略项目。
表1 :2023 年安全运营优先级矩阵
| 益处 |
主流采用的时间 |
|||
| 不到2年 |
2-5年 |
5 - 10 年 |
超过10年 |
|
| 变革性的 |
暴露面管理 生成式网络安全人工智能 |
网络安全网格架构 |
||
| 高的 |
终端检测和响应 OT安全 漏洞优先级技术 |
漏洞和攻击模拟 CPS 安全 身份威胁检测和响应 MDR 威胁情报产品和服务 漏洞评估 |
SOAR XDR |
|
| 缓和 |
SIEM |
数字取证和事件响应 数字风险保障服务 外部攻击面管理 托管 SIEM 服务 NDR |
自动渗透测试和红队技术 自动化安全控制评估 CAASM 渗透测试即服务 |
|
| 低的 |
||||
资料来源:Gartner(2023 年 7 月)
脱离炒作周期
今年,安全运营技术成熟度曲线见证了一项创新:云访问安全代理 (CASB) 的退役。它最终被整合到安全服务边缘 (SSE) 中,主要是因为它与安全 Web 网关 (SWG) 和零信任网络架构 (ZTNA) 集成,而这些都是 SSE 的一部分。
处于上升期的技术
1、网络安全网格架构
效益评级:变革性
市场渗透率:不到目标受众的 1%
成熟度:萌芽期
定义:
网络安全网格架构 (CSMA) 是一种新兴的方法,用于构建可组合的分布式安全控制,以提高整体安全有效性。它提供了一种实现安全、集中式安全运营和监督的方法,强调可组合、独立的安全监控、预测分析和主动执行、集中式情报和治理以及通用身份结构。
为什么重要
CSMA 旨在解决管理安全工具、情报和身份解决方案日益复杂的问题。组织必须开始朝着更加灵活的安全架构发展,以防止快速出现、发展和淘汰的安全工具类别和攻击类型的影响。计划投资可组合、兼容和可扩展的安全工具集对于降低成本和提高一致性至关重要。
商业冲击
CSMA 为当前大多数组织采用的深度防御安全架构所遇到的问题提供了潜在的解决方案。这些通常由互连不良的多点解决方案组成。CSMA 解决了许多挑战,包括:集中暴露和安全态势管理、威胁意识、协调的检测方法和用例、统一的威胁报告和主动响应以及跨工具协作效率的提高。
驱动因素
-
组织越来越需要更广泛的视角来了解威胁或暴露于威胁的影响和可能性,正是这一细节对于做出更好的亲业务安全决策至关重要。
-
当试图领先于新的、更复杂的攻击以及将最新的安全工具部署到不断扩展的基础设施时,IT 安全组织可能会不知所措。团队无法实现主动和动态的安全实施和响应决策所需的分析能力。
-
此外,这些决策的速度很少足以满足业务需求。
-
有效的安全和身份管理需要分层和协作的方法,但今天的解决方案是孤岛,在对其他工具的了解不足的情况下运行并留下空白。这些孤岛的操作和监控非常耗时。
-
组织了解并承认大量工作中的技能差距和挑战,但没有明确的解决方案来处理这些问题。
-
组织对其当前安全工作台中缺乏集成和一致的可见性感到沮丧。安全和风险管理领导者需要一种架构,该架构不仅能够对当前的安全问题(组织中可见的安全问题)做出反应,而且能够为复杂的安全问题提供协调和整体的方法。
-
创建安全工具的协作生态系统将解决不一致问题,并有助于理解和最大程度地减少与业务预期一致的风险。
障碍
-
随着 CSMA 的出现以及供应商在其产品中添加对架构原则的支持,供应商锁定可能会成为一个问题。如果采用专有方法,它可能会阻碍而不是促进跨工具集成,那么可能会出现覆盖范围的差距,并且这种不灵活性将推高成本。
-
那些选择创建自己的 CSMA 构造的组织可能需要大量的工程工作来集成不同的产品,并且如果安全行业在完成重要的定制集成工作后转向一套互操作性标准,则可能会受到影响。
-
目前,没有供应商提供所谓的 CSMA 解决方案。参考架构的功能和要求不断发展,以响应消费者 IT 的进步以及供应商收购和合作伙伴关系带来的安全技术整合。
2、自动化安全控制评估
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
ASCA流程和技术专注于分析和修复安全控制中的错误配置(例如,终端保护、网络防火墙、身份、电子邮件安全以及安全信息和事件管理),从而改善企业安全状况。ASCA 可以是一个独立的工具,也可以是其他安全产品的功能,例如防火墙、身份威胁检测和响应、网络安全策略管理和云基础设施授权管理。
为什么重要
自动安全控制评估 ( ASCA) 技术可减少组织因安全配置漂移、默认设置不佳、为降低误报率而进行的过度调整以及管理人员高流动率而导致的攻击面。ASCA 通过验证安全控制的正确、一致的配置来改善安全状况,而不是简单地验证控制的存在。
商业冲击
实施 ASCA 流程和技术的组织可以提高员工效率,最大限度地减少人为错误的影响,并提高面对组织流失时的弹性。ASCA 减少了安全控制配置差距,这些差距使组织不必要地遭受本来可以预防的攻击。
驱动因素
-
随着环境复杂性的增加、威胁媒介的出现、新安全工具的激增以及管理人员的高流动性,安全控制中的错误配置数量持续增加,导致攻击面更加暴露。
-
特定的组织用例和目标需要保留复杂的异构基础设施和安全架构,而不是通过供应商整合来追求简化。
-
企业安全控制配置的优化不能仅仅依赖于手动定期配置审查;孤立的、以工具为中心的方法;或偶尔的渗透测试。
-
根据最高风险暴露持续评估和修复安全控制配置是一种有效的风险缓解策略,最终可以减少攻击面。
障碍
-
由于缺乏对利基供应商和安全控制评估的支持,ASCA 工具对于拥有专门单点解决方案的大型、复杂组织来说价值较低。
-
与希望在各个孤岛中实现类似目标的现有工具和供应商重叠,例如网络防火墙或云配置评估工具。
-
如果没有适当的自动化和考虑业务背景的分类流程,修复速度缓慢,再加上持续的评估,可能会导致结果堆积起来。
-
缺乏成熟的流程来优化端到端的安全控制配置。
-
增加预算以投资于人员、技术以及可能的托管服务,以响应 ASCA 工具发现的加速配置问题列表。
3、生成网络安全人工智能
效益评级:变革性
市场渗透率:不到目标受众的 1%
成熟度:萌芽期
定义:
生成式网络安全人工智能是一种人工智能技术,通过从原始源数据的大型存储库中学习,生成安全相关和其他相关内容、策略、设计和方法的新派生版本。生成式网络安全人工智能可以作为公共或私有托管云服务提供,也可以嵌入安全管理界面。它还可以与软件代理集成以采取行动。
为什么重要
继第一个基于大语言模型 (LLM) 的应用程序之后,企业见证了许多利用可以读取多模式对象(例如传感数据和图像)的基础模型的应用程序。
网络安全技术提供商可以利用生成式网络安全人工智能来改进现有工作流程、成为现有分析的代理、生成安全配置或真实的攻击数据。很快,应用程序将包括自主代理,它们可以使用高级指导来工作,而不需要频繁提示。
商业冲击
现有供应商和新初创公司将添加生成式网络安全人工智能,扩展或替换功能。他们将开始通过资源密集型任务来实施它,例如事件响应、暴露或风险管理或代码分析。
组织将受益于生成式网络安全人工智能,因为它可以提高效率并缩短对网络安全风险和威胁的响应时间。由于安全和隐私问题,不同行业和地区的采用速度会有所不同。
驱动因素
-
ChatGPT 是有史以来最受炒作、采用最快的人工智能技术之一。它依赖于生成式人工智能基础模型,这些模型主要是在海量互联网数据集上进行训练的。
-
安全运营中心 (SOC) 团队无法跟上必须不断审查的大量安全警报,并且缺少数据中的关键威胁指标。
-
风险分析师需要加快风险评估,通过提高自动化程度和上下文中风险数据的预填充来提高敏捷性和适应性。
-
组织继续面临技能短缺的问题,并寻找机会自动化资源密集型网络安全任务。生成式人工智能应用的用例包括:综合和分析威胁情报;生成针对应用程序安全、云错误配置和配置更改的补救建议以适应威胁;生成脚本和代码生成;实施安全代码代理;识别日志系统中的关键安全事件并绘制图表;进行风险和合规性识别和分析;自动化事件响应的第一步;安全配置调整调整;创建一般最佳实践指南。
-
生成式网络安全人工智能通过更好地聚合、分析和优先考虑输入来增强现有的持续威胁暴露面管理(CTEM)计划,并生成用于验证的真实场景。
-
生成式人工智能产品包括微调模型、使用即时工程开发应用程序以及通过 API 与预打包工具和插件集成的能力。这些可能性为提供商添加生成式网络安全人工智能开辟了道路。
-
微软已经展示了其安全助手功能的预览版本,预计该功能将推动竞争对手嵌入类似的方法。
-
安全计划性能解决方案和活动可以解决他们日益增长的业务一致性需求。此外,他们还可以执行预算(重新)分配、效率和有效性指标及修正的情景规划。
障碍
-
网络安全行业已经受到误报的困扰。早期的“幻觉”和不准确反应的例子将导致组织对采用持谨慎态度或限制其使用范围。
-
用于实现负责任的人工智能、隐私、信任、安全和生成式人工智能应用程序安全的最佳实践和工具尚未完全存在。
-
隐私和知识产权问题可能会阻止业务和威胁相关数据的共享和使用,从而降低生成网络安全人工智能输出的准确性。
-
由于生成式人工智能仍在兴起,建立其更广泛采用所需的信任需要时间。对于技能增强用例尤其如此,因为您需要增强应该增强的技能,以确保建议是好的。
-
与生成式人工智能相关的法律法规的不确定性可能会减缓某些行业的采用速度,例如欧盟国家受 GDPR 合规性监管的行业。
4、暴露面管理
效益评级:变革性
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
暴露面管理 (EM) 包含一组流程和技术,使企业能够持续、一致地评估可见性,并验证企业数字资产的可访问性和脆弱性。EM 由有效的持续威胁暴露面管理 (CTEM) 计划进行管理。
为什么重要
EM 减少了组织在清查、优先排序和验证威胁暴露方面所面临的挑战,这些挑战是由于攻击面迅速扩大而导致的,而传统的漏洞管理已经不够了。所需的工作量和潜在问题的多样性导致优先事项相互冲突和“仪表板疲劳”。SRM 领导者很难优先考虑降低风险的行动,在他们认为自己控制力较差的地方留下了空白,例如 SaaS 平台和社交媒体。
商业冲击
风险管理负责管理现代企业的风险降低并确定其优先级,并要求对所使用的所有系统、应用程序和订阅进行评估。
-
被利用的可能性(组织攻击面的可见性)。
-
清点并确定优先级(漏洞、基于威胁情报、数字资产)。
-
验证任何攻击的潜在成功率,以及安全控制是否可以帮助检测或阻止攻击。
-
CTEM 是一个程序,而不是特定工具的结果。
驱动因素
-
最常见的是,组织会隔离渗透测试、威胁情报管理和漏洞扫描等暴露活动。这些孤立的观点很少或根本不了解有关组织所面临的有效风险的完整情况。
-
随着环境的复杂性、使用的应用程序数量的增加以及云服务使用的增加,测试中发现的漏洞和问题的数量不断增加。
-
由于缺乏对优先级和风险的范围和理解,加上大量的调查结果,组织在暴露风险方面有太多的事情要做,而对于首先采取什么行动却缺乏指导。
-
一种程序化且可重复的方法来回答“我们的暴露程度如何?”这个问题。对于组织来说是必要的。这样做的目的必须是,在快速变化的 IT 环境中,随着环境的变化,可以重新调整优先级。
-
组织必须重新确定其优先级,并将这些优先级分为三个不同的问题:“从攻击者的角度来看,我的组织是什么样子?”、“我的组织设置了哪些配置,使其容易受到攻击?”;“我们的防御控制将如何应对以及响应过程将如何执行?”
障碍
-
与传统 VM 相比,CTEM 项目范围的扩大带来了许多以前未曾考虑或预算过的新复杂性。
-
评估攻击面的概念是众所周知的,该领域持续的安全工具整合(例如带有 VA 的 EASM)开始简化日常操作流程,但其他技术(例如 CAASM 和 CSPM 技术)的正式集成仍然很低。
-
大多数组织实际上不存在管理端到端意识(从可能的攻击媒介的可见性到对违规的响应)的流程,这些组织通常只是出于合规性原因扫描和测试其网络。
-
攻击可能表现出来的复杂方式需要一定的技能来理解,BAS 等新市场使测试开箱即用的场景变得更加简单。但为了更有效地使用这些技术/服务并开发定制模拟,需要新的技能和理解。
5、自动渗透测试和红队技术
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
渗透测试(渗透测试)和红队活动的自动化传统上很难商品化。它仅限于许多用例,并且很大程度上基于运营该活动的团队的自定义工具。最近的进展有望实现全谱网络安全验证活动的更大自动化。
为什么重要
渗透测试和红队参与对于组织验证其暴露和攻击面的能力发挥着重要作用。许多组织仅在符合合规性要求时才进行测试,每年、每半年或临时进行一次测试。自动化程度的提高可以实现更频繁、更可靠的评估,减少相关的停留时间并提高效率和更可衡量的结果。它还增强了红队专注于更高级用例的能力。
商业冲击
-
频繁且一致的测试有助于发现和减少其他安全工具未发现的弱点、差距和操作缺陷,此外还可以减少停机时间和收入损失。
-
自动化渗透测试不会完全取代独立测试,但可以降低外部成本,避免支付昂贵的服务只是为了发现“容易实现的”成果。
-
持续验证将有助于调整威胁检测技术和测试响应程序,确保最大限度地做好违规准备。
驱动因素
-
有远见的组织希望超越合规性要求并持续验证其安全状况。
-
安全运营团队正在寻求运行攻击场景的更多自动化、改进对红队“隐秘性”的控制以及在执行网络安全验证活动时降低运营执行风险。
-
红队仍然是成熟组织的权限,这些组织准备从这些活动中受益,以验证和测试技术和运营防御。
-
以人为主导的红队计划很难启动,因为它们需要一套特定的专业知识、流程和工具,而这些专业知识、流程和工具的开发或采购成本可能很高。将自动化添加到红队的工具包中可以帮助启动这样的计划。
障碍
-
采用率较低,买家验证这些解决方案的功效和价值的反馈也有限。
-
审计师、评估员和第三方风险团队很少接受自动化渗透测试和红队工具的测试结果,尤其是在高度监管的行业中的组织。使用自动化测试解决方案的组织应确认测试结果是否能为适用各方所接受。
-
管理自动化渗透测试和红队解决方案,以及消耗输出和采取后续行动,需要人力和定义的技能集。确定范围、收集必要的信息(例如,IP 地址范围或排除的资产)、配置测试参数以及监控测试的执行直至完成很少能够实现自动化。
-
当前的工具无法满足买家可能需要的所有渗透测试,尤其是那些需要人员在现场的渗透测试,例如无线和物理入侵测试。
6、CPS 安全
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
网络物理系统 (CPS) 是协调传感、计算、控制、网络和分析以与物理世界(包括人类)交互的工程系统。它们是在实物资产相互连接或企业 IT 系统相互连接以及无人机和机器人部署时创建的。CPS 安全是确保 CPS 在面对日益增长的威胁时保持安全、可靠和有弹性的整体规则。
为什么重要
CPS 包括工业控制系统 (ICS)/监控和数据采集 (SCADA)、运营技术 (OT)、物联网 (IoT) 和工业物联网保护伞。这包括从公用事业、智能城市和电网到自动驾驶汽车和智能制造的一切。它们将物理流程与数字技术连接起来,并支撑所有关键基础设施。CPS 越来越多地成为攻击者窃取数据、索要赎金或破坏生产的目标。
商业冲击
与创建、存储、处理或转换数据的 IT 系统不同,CPS连接网络世界和物理世界。它们通常部署在生产或关键任务环境中,这意味着 CPS 安全工作需要关注人类安全和操作弹性,超越传统的以数据为中心的安全工作。这些努力需要考虑所有网络安全最佳实践,以及物理定律和特定行业的工程决策。
驱动因素
-
由于政府和公司在智慧城市、公用事业、医疗保健、食品、农业、公共安全和交通等领域的举措迅速增加,因此迫切需要关注 CPS 安全。
-
随着风险延伸到物理世界,对物理周界破坏、USB 插入、控制器局域网 (CAN) 总线注入、GPS 干扰、黑客攻击、欺骗、篡改、命令入侵或植入物理资产中的恶意软件的担忧也需要在网络安全之外得到解决。
-
过去几年,针对企业 IT 系统的攻击显着增加,影响运营以及制造和关键基础设施的生产环境。由于这些领域通常是创造价值或为社会提供基本服务的地方,因此 CPS 将继续成为目标。
-
对 CPS 的成功攻击的后果不仅仅是以网络安全为中心的数据丢失,还包括运营关闭、环境影响、财产和设备的损坏和毁坏,甚至个人和公共安全风险。
-
通用OT安全市场已演变为特定的CPS安全类别,例如保护平台、网络风险量化平台、单向数据流解决方案、安全远程访问解决方案、内容撤防和重建解决方案、安全服务、以网络为中心的解决方案(例如隐形、微分段)、车载诊断解决方案、嵌入式系统安全和供应链安全解决方案。
障碍
-
CPS 通常由业务部门在未与安全团队协商的情况下部署。
-
大多数组织仍然主要关注以IT 安全为中心的风险管理。
-
运行 IT、OT 和 IoT 等系统的孤立团队之间缺乏协作,阻碍了需要跨职能协作的 CPS 安全工作。
-
许多组织没有充分涵盖 CPS 范围的结构化安全计划或技能,特别是对于那些高价值/关键任务资产。
-
由于指导安全设计和使用的 CPS 产品标准仍在不断发展,许多制造商更看重“上市速度”而不是“上市安全” 。
-
许多设备缺乏存储和计算能力来促进安全机制。
-
CPS 设备在建筑物、城市、家庭和车辆中无处不在,这意味着传统的安全方法可能无法扩展以解决设备、区域或整个价值链中的风险。
7、网络资产攻击面管理CAASM
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
网络资产攻击面管理 (CAASM) 致力于帮助安全团队克服资产可见性和暴露挑战。它使组织能够主要通过与现有工具的 API 集成来查看所有资产(内部和外部)、查询整合数据、识别安全控制中的漏洞范围和差距,并修复问题。
为什么重要
CAASM 聚合来自收集资产子集(例如终端、服务器和设备)的其他产品的资产可见性。通过整合内部和外部网络资产,用户可以查询以查找安全工具(例如漏洞评估和终端检测和响应(EDR)工具)的覆盖差距和错误配置。CAASM 通过 API 集成提供大部分被动数据收集,取代了耗时的手动流程来收集和协调资产信息。
商业冲击
CAASM 使安全团队能够通过查找所有数字资产的安全控制差距、安全状况和资产暴露来改善基本的安全卫生。部署 CAASM 的组织减少了对本地系统和手动收集流程的依赖,并手动或通过自动化工作流程弥补差距。组织可视化安全工具覆盖范围,支持攻击面管理 (ASM) 流程,并纠正可能包含过时或丢失数据的记录系统。
驱动因素
-
全面了解通过现有工具收集的组织拥有的任何资产,以提高对组织潜在攻击面和现有安全控制差距的了解。
-
通过更准确、最新且全面的资产和安全控制报告,更快地生成审计合规性报告。
-
将收集资产和风险信息的现有产品整合到单个标准化视图中,以减少手动流程的运营开销以及对本土应用程序的依赖。
-
访问组织内多个个人和团队的综合资产视图,并与其他记录系统集成以获取当前状态可见性。
-
降低对“影子 IT”组织、已安装的第三方系统和IT部门缺乏治理和控制的业务线应用程序的数据收集的阻力,并提高对这些组织的安全可见性。安全团队需要这些地方的可见性,而 IT 部门可能不需要。
-
通过定期更新 CMDB 协调流程遗漏的资产和属性,帮助 IT 团队提高现有 CMDB 的准确性。
障碍
-
对“又一个”工具的抵制——与 CAASM 供应商和提供一些资产清单和报告的相邻工具之间的重叠越来越多。
-
并非所有供应商都有能力识别并集成每个所需的系统以获取可见性和漏洞信息。
-
供应商对优先问题的响应操作可能仅限于打开票证或调用脚本。
-
对于非常大的组织来说,按消耗的资产许可的产品成本过高。
-
对于非常大的环境,单个实例的可扩展性在数据收集和可用性方面可能会受到限制。
-
可以与 CAASM 产品集成的工具要么不存在(例如,由于缺乏 API),要么可能被拥有它们的团队阻止集成。
-
与源系统冲突的协调流程可能无法在 CAASM 供应商工具中轻松解决。
8、渗透测试即服务
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
渗透测试即服务 (PTaaS) 提供符合渗透测试(渗透测试)标准的技术主导、时间点和连续应用程序和基础设施测试,传统上严重依赖使用商业/专有工具的人类渗透测试人员。该服务通过 SaaS 平台提供,利用自动化和人工渗透测试人员(众包或供应商内部团队)的混合方法来提高结果的效率和有效性。
为什么重要
渗透测试是安全计划的基础,并受到各种合规标准(例如 PCI)的强制要求。PTaaS 提供的平台可以更快地安排和执行渗透测试,并与测试人员进行实时通信以及测试结果的可见性。它提供 API 访问,以便与现有的 DevOps 和票务解决方案集成,实现工作流程自动化。它还提供了记录和跟踪渗透测试结果的能力,以便向领导层/审计师展示随着时间的推移所取得的进展。
商业冲击
PTaaS 补充了漏洞扫描和应用程序安全测试,并提供渗透测试输出和漏洞状态验证的成本优化和质量改进。PTaaS 使组织能够通过持续评估来提升其安全态势。与传统的渗透测试阶段相比,它通过提供对通过平台提供的实时结果的访问,在软件开发生命周期的早期阶段集成了验证,从而能够更快地减少暴露。
驱动因素
-
由于公有云的加速使用和面向公众的数字资产的扩展,组织正在转向 PTaaS 来应对攻击面的增加。PTaaS 允许开发人员与渗透测试人员交谈并接受指导,而不是与扫描仪争论,例如动态应用程序安全测试/静态应用程序安全测试(DAST/SAST)扫描仪。
-
内部安全专业知识有限的组织除了改善安全状况外,还必须满足其合规性和风险管理目标,因此寻求渗透测试服务来满足这些计划。
-
为了满足快速的生产期限,具有安全意识的组织必须将更敏捷的渗透测试方法集成到其DevSecOps实践的持续集成/持续交付 (CI/CD) 管道中。
-
Gartner 客户表示愿意更频繁地进行测试;然而,在现代基础设施(例如,IaaS、SaaS 和第三方订阅)中,手动渗透测试的成本过高。
障碍
-
在市场上选择合适的 PTaaS 供应商将很困难,因为他们的能力各不相同。供应商使用自动化和人工测试人员中的一种或组合,这些测试人员是内部或社区主导的(通常是经过审查的自由职业者),为客户组织执行渗透测试。
-
市场上大多数 PTaaS 供应商专注于面向互联网的数字资产,例如 Web 和移动应用程序,这可能只能部分满足客户需求。
-
PTaaS 和错误赏金计划之间存在混淆,因为许多错误赏金供应商现在也提供PTaaS 。
-
由于合规性要求,受到严格监管的行业可能仍需要与第三方签订合同来执行传统的咨询类型的渗透测试;因此,PTaaS 可能不是一个可接受的替代方案。
9、外部攻击面管理
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
外部攻击面管理 (EASM) 是指为发现面向互联网的企业资产和系统以及相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被对手利用的第三方合作伙伴软件代码漏洞。
为什么重要
数字化转型举措加速了企业外部攻击面的扩大。云采用、远程/混合工作以及 IT/OT/物联网融合是一些关键变化,增加了外部威胁的暴露程度。EASM 有助于识别面向互联网的资产,同时还可以优先考虑发现的漏洞和相关威胁。它旨在提供与公共领域的数字资产相关的风险信息,并暴露给威胁行为者。
商业冲击
EASM为SRM 领导者提供有价值的风险背景和可操作的信息。EASM 通过五项主要功能提供可见性:
-
面向外部的资产和系统的资产发现/清单。
-
监控面向互联网的企业暴露(云服务、IP、域、证书和物联网设备)。
-
进行分析以评估发现的风险和漏洞并确定其优先级。
-
通过与票务系统和SOAR工具的预构建集成进行间接修复、缓解和事件响应。
驱动因素
-
有兴趣从攻击者的角度了解组织面临的情况。
-
云采用、应用程序开发、混合工作和 IT/OT/IoT 融合等数字业务举措带来了新的企业风险。
-
需要量化并购 (M&A) 和供应链基础设施整合等活动中产生的第三方风险。
-
EASM在不同的安全平台上得到采用,将 EASM 功能作为更广泛的解决方案集的一部分提供,以支持更好的可操作性。
障碍
-
低价值认知,EASM 用于单一用途案例而不是多个领域。
-
与 EASM 作为各种平台(例如DRPS和VA)的功能的可用性的混淆。
-
漏洞管理 (VM) 能力和团队已经不堪重负,担心增加工作负载。
10、身份威胁检测和响应
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
身份威胁检测和响应 (ITDR) 是一门学科,其中包括保护身份基础设施本身免受攻击的工具和最佳实践。ITDR 可以阻止和检测威胁、确认管理员状态、响应各种类型的攻击并根据需要恢复正常运行。
为什么重要
身份是安全运营的基础(身份优先安全)。只有授权的最终用户、设备和服务才能访问您的系统。随着身份变得越来越重要,威胁行为者越来越多地针对身份基础设施本身。组织必须更加注重保护其 IAM 基础设施。ITDR 为身份和访问管理 (IAM) 以及网络安全部署添加了额外的安全层。
商业冲击
保护您的身份基础设施对于安全运营来说至关重要。如果您的帐户遭到破坏、权限设置不正确或者您的身份基础设施本身受到破坏,攻击者就可以控制您的系统。保护您的身份基础设施必须是重中之重。在攻击者开始直接针对身份工具之前,“一切照旧”流程看似足够,但现在已不再足够。
驱动因素
更老练的攻击者正在积极瞄准 IAM 基础设施本身。例如:
-
管理员凭证滥用现在是针对身份基础设施的攻击的主要途径。
-
攻击者可以使用管理权限来访问组织的全局管理员帐户或受信任的安全断言标记语言 (SAML) 令牌签名证书,以伪造 SAML 令牌进行横向移动。
-
现代攻击表明,传统的身份卫生是不够的。没有完美的预防措施。多因素身份验证和权利管理流程可以被规避,并且这些工具通常缺乏出现问题时的检测和响应机制。
-
除了 IGA、PAM、安全信息和事件管理 (SIEM) 解决方案以及内部安全运营中心 (SOC) 或外包托管检测解决方案之外,还需要 ITDR。IAM 和基础设施安全控制之间存在重大检测差距。IAM 传统上用作预防性控制,而基础设施安全性应用广泛,但在检测特定身份威胁时深度有限。ITDR 机制比通用配置管理、检测和响应系统更具体,并且运行延迟更低。
障碍
-
ITDR 需要 IAM 和安全团队之间的协调,而一些组织发现很难建立这种协调。
-
缺乏对 IAM 管理员卫生、检测和响应最佳实践的认识意味着许多组织无法充分保护其身份基础设施。我们需要的不仅仅是传统的 AD TDR。
-
IAM 团队经常花费太多精力来保护其他团队的数字资产,而没有足够地保护自己的 IAM 基础设施。
-
全面保护身份基础设施需要多种功能,包括更密切地监控根 IAM 管理员帐户的配置更改、检测身份工具何时受到损害、实现快速调查和高效补救以及快速恢复到已知良好状态的能力。
-
ITDR 的“R”部分仍处于起步阶段。自动响应仍然是相对基础的。
-
尽管有许多不同的 ITDR 功能,但特定供应商仅提供其中的一些功能。
在巅峰期的技术
11、数字取证和事件响应
效益评级:中等
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:
数字取证和事件响应 (DFIR) 作为一项多方面的服务提供,使客户能够响应潜在的安全漏洞。DFIR 服务可以在评估安全事件时为事件响应 (IR) 提供泄露后协助,并提供在创建 IR 安全手册时进行结构规划和培训的服务。
为什么重要
DFIR 服务是一项战略投资,旨在增强组织主动和被动的事件响应能力。勒索软件等高级攻击需要调查、谈判、取证和响应方面的专业技能。对于大多数组织来说,在工资单上拥有高度专业化的专家但用途有限是没有意义的。DFIR 提供商可以通过合同服务帮助增强响应能力。
商业冲击
DFIR 服务对于组织的战略IR计划越来越重要。违规后响应处理不当可能会导致更大的影响和损失。监管罚款、律师费、诉讼、品牌贬值和客户流失都可能受到违规处理方式的影响。拥有强大的 DFIR 能力将提高组织的响应能力,允许按比例进行响应以避免真正的影响。
驱动因素
-
针对组织的网络攻击风险不断增加,反映出需要投资 DFIR 提供商来应对、修复和恢复业务基础设施。
-
DFIR 在北美、欧洲、中东和非洲和亚太地区的受欢迎程度大幅上升。这凸显了 DFIR 的战略重要性,也凸显了组织品牌和声誉的价值。
-
企业希望通过高度详细的调查和准确性来快速响应事件,以便能够最大限度地减少违规的影响 - 减少任何停机时间并满足任何监管或保险驱动的需求。
-
DFIR 提供商提供帮助组织快速从安全事件中恢复所需的专业知识。它们提供有关安全控制重新配置的指导以及有关违规真实影响的详细信息,而无需直接吸引、补偿和留住专业人员的开销。
-
某些客户需要监管链方面的帮助。这是一个证明用于起诉网络犯罪分子的证据是合法的并且没有经过欺诈性编辑的过程。大多数 DFIR 供应商可以根据要求提供帮助,有些供应商甚至提供诉讼支持。
-
网络保险公司通常要求客户与 DFIR 提供商合作,以降低风险,从而降低保险公司的成本。如果使用保险公司首选的 DFIR 提供商,保险公司可能会降低保费。
障碍
-
DFIR 供应商有不同的方法来提供响应和取证功能。供应商可以结合使用人力和技术方法,并确定哪种方法最适合买方的需求。
-
了解 DFIR 在响应事件时的角色和职责对于计划的成功至关重要。组织必须了解什么构成呼吁,什么不构成呼吁。
-
买方必须了解与 DFIR 供应商签订的保留合同、零时保留合同或付费保留合同的约定,这些合同通常是针对买方组织分配的。
-
DFIR 联系人无法解决响应所需的内部跨团队协作问题。有关事件的业务决策以及响应的内部协调可能会成为障碍。
12、漏洞和攻击模拟
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
漏洞和攻击模拟 (BAS) 技术使企业能够通过自动执行横向移动和数据泄露等威胁向量的连续测试来更好地了解其安全态势的弱点。BAS 补充但不能完全取代红队或渗透测试。BAS 通过测试其检测从 SaaS 平台、软件代理和虚拟机运行的模拟攻击组合的能力来验证组织的安全状况。
为什么重要
BAS 技术的主要优势是提供对企业威胁向量的自动化且一致的评估。许多 BAS 产品进行了创新,纳入了外部攻击面功能,以维护最新的评估列表,并覆盖更多的攻击杀伤链。频繁的自动化 BAS 评估还使组织能够检测由于配置错误而导致的安全状况差距,或重新评估即将进行的安全投资的优先级。
商业冲击
BAS 允许组织验证攻击面评估和安全态势管理工具表明的特定威胁的潜在暴露的影响。组织可以持续执行这些评估,以更频繁地了解其更大比例的资产。他们可以评估其安全控制的有效性并发现导致其最关键资产的攻击路径,从而使他们能够确定修复的优先级。
驱动因素
BAS 与多重暴露验证用例相关,包括但不限于:
-
威胁暴露确认:建立网络安全验证计划的组织主要使用 BAS 技术来确保随着时间的推移和跨多个地点的一致且改进的安全态势。
-
安全控制验证:BAS 工具可以通过管理 API 或读取警报日志与安全控制技术集成,从而实现安全配置管理并提高防御漏洞的可见性。
-
合规性优化:BAS 提供“更安全”和更自动化的评估,组织重视这些评估,以准备强制渗透测试,或将红队活动重新集中在更高级的场景上。
-
IT 和业务利益相关者经常赞助 BAS 技术的部署,因为他们认为这是一种更安全的方法来评估组织当前安全控制、其配置和事件响应流程的能力。BAS 还通过实现“验证”步骤的更深入自动化来支持持续威胁暴露面管理 (CTEM) 计划。
障碍
-
只有成熟度较高的组织才能成功实施暴露面管理计划,或者尝试超越最低合规性要求。
-
BAS 供应商需要广泛的内部赞助,不仅来自安全团队,还来自其他基础设施团队,例如网络或应用程序。BAS 工具发现的问题会创建复杂的修复途径。
-
BAS工具需要通过标准框架扩展到诊断和基本修复指南之外。
-
部署、维护和操作 BAS 工具所需的技能非常广泛,包括技术能力;对威胁行为者和技术的理解以及基础设施和应用程序架构的见解。
-
BAS技术面临着更多相邻工具添加攻击模拟的竞争加剧,并且需要扩展和覆盖更多环境,例如云基础设施和SaaS 。
13、XDR
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
扩展检测和响应 (XDR) 提供统一的安全事件检测和自动响应功能。XDR 将来自多个来源的威胁情报和遥测数据与安全分析相集成,以提供安全警报的情境化和关联性。XDR 必须包含本机传感器。XDR 可以在本地交付或作为 SaaS 产品交付,通常由安全团队规模较小的组织部署。
为什么重要
XDR 通过使用系统而非集成的方法来构建检测堆栈,为威胁检测和响应提供了一种不太复杂的方法。XDR 供应商可以包含各种安全控制,通常由供应商通过 API 进行本地集成。供应商提供了预构建的剧本,可实现堆栈中的协作以及常见威胁检测的一致性。
商业冲击
XDR 检测常见威胁的简单性减少了对内部技能组合的需求,并可以减少操作更复杂的解决方案(例如安全信息和事件管理 (SIEM))所需的人员数量。XDR 还可以通过单个集中式调查和响应系统帮助减少与安全运营任务相关的时间和复杂性。
驱动因素
-
XDR平台吸引了具有适度成熟度需求的组织,因为检测逻辑(主要由供应商提供)通常需要较少的定制和维护。
-
XDR 对寻求提高整个安全堆栈可见性的组织以及希望降低更复杂的事件响应 (IR) 解决方案的管理要求的组织有吸引力。
-
难以关联和响应不同安全控制生成的警报的中型组织非常欣赏集中式 XDR 界面所带来的生产力提升。
-
具有维护和操作可扩展检测堆栈所需技能的员工很难招募和再培训。
-
购买XDR 形式的系统检测堆栈可以简化产品选择和获取。
障碍
-
如果出现有效性或效率问题,单一供应商系统性 XDR 解决方案可能需要数年时间才能更换。
-
XDR 缺乏自定义检测和其他用例的可扩展性,可能导致某些客户需要 XDR 和经典 SIEM 解决方案来满足多种需求。
-
通过添加或替换安全控制来扩展 XDR 检测堆栈的功能可能会受到供应商的限制。
-
单独的XDR产品并不总能满足除事件响应之外的用例(例如合规性、应用程序监控和性能监控)的长期日志存储的所有需求。对于访问数据等取证健全的记录系统来说,XDR 也可能不是一个糟糕的选择。
处于下滑期的技术
14、数字风险保障服务
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
数字风险保护服务(DRPS)是一组以技术为主导的服务,可实现品牌保护、第三方风险评估和发现外部威胁,并对已识别的风险提供技术响应。这些解决方案提供对表面网络、社交媒体、暗网和深层网络来源的可见性,以识别对关键资产的潜在威胁,并提供有关威胁行为者、他们进行恶意活动的策略和流程的上下文信息。
为什么重要
随着威胁行为者传递方式相应商品化(明网、深网和暗网),从商品利用到精心策划和复杂的欺诈计划的现代攻击变得越来越普遍和有效。DRPS 利用这些方式来发现和减轻可能直接影响业务运营或声誉的风险。这些服务通常需要专门的技能来操作,并且通常作为外包功能使用。
商业冲击
DRPS 主动识别来自社交媒体相关工件的外部风险,提供暗网调查结果,甚至支持第三方风险计划以确定纠正措施,以保护组织的品牌。他们的服务旨在将公共互联网上与您的组织相关的所有恶意活动关联起来,通过威胁上下文丰富这些发现,并执行技术响应以在可能的情况下驱逐某些威胁(删除)。
驱动因素
-
DRPS 的驱动力在于其支持一系列用例和用户角色的能力。示例用例包括数字足迹(例如,映射内部/外部资产和识别影子 IT);品牌保护(例如冒充、人肉搜索和错误信息);帐户接管(例如,凭据盗窃、相似域和网络钓鱼站点);数据泄漏检测(例如,检测知识产权、个人身份信息 [PII]、信用卡数据、凭证);以及高价值目标监控(例如,VIP/高管监控)。
-
风险管理的复杂性是组织能够从 DRPS 中受益的关键原因。这些复杂性包括不断扩大的攻击面、更加混合的劳动力、对电子商务、监管合规性、云资产、数字业务转型的更高依赖,以及从受监控的风险和安全活动(例如与勒索软件相关的预勒索)中获取的信息量。
-
对 DRPS 的需求还受到中小企业 (SMB) 此类产品的可访问性的推动,这些企业最初无法从威胁情报 (TI) 中受益,因为缺乏安全方面的专业技能和资源,包括执行后续行动所需的时间。这是因为许多 DRPS 提供商提供的情报技术性较低且更易于访问,并且提供了托管服务类型的产品。
障碍
-
DRPS市场开始挤满了 50 多家供应商,这使得供应商很难在彼此之间脱颖而出。此外,供应商的能力各不相同,并且其提供全面解决方案的能力可能受到限制。一些供应商采用了同类最佳的方法,主要关注单一 DRPS 用例(例如,VIP/执行监控),而许多供应商已扩展到支持多个用例,包括外部攻击面管理 (EASM)——后者是原生的或通过收购的。
-
市场整合正在加速,并且与 TI、托管安全服务提供商 (MSSP)/托管检测和响应 (MDR) 提供商以及 EASM 等互补市场的重叠越来越多。这些市场的竞争正在加剧。
15、托管 SIEM 服务
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
托管安全信息和事件管理 (MSIEM) 服务提供对客户拥有的 SIEM 解决方案的远程管理和/或监控。服务可确保可用性和性能,并协助创建各种 SIEM 用例、数据采集和报告内容。
为什么重要
各种规模的组织都在对 SIEM 进行战略投资。灵活性、定制和服务要求是使用托管 SIEM 决策的核心。缺乏部署和维护技能意味着买家需要托管服务的帮助。组织面临的挑战不是技术投资,而是支持 SIEM 部署的持续复杂性、人员配备和成本。
商业冲击
组织进行 SIEM 采购,但往往很难有效地运营它们。检测和响应对于任何安全策略的成功都至关重要。随着越来越多的中安全和中成熟买家通过采用基于云的 IT 进入市场,SIEM 变得越来越容易获得。托管 SIEM 在被忽视的领域提供价值,例如检测内容/报告的创建和调整、维护以及安全问题的轻量级调查。
驱动因素
-
SIEM 部署和配置要求的复杂性意味着许多买家不具备构建、配置和维护 SIEM 的内部专业知识。
-
买家需要能够在 SIEM 中持续构建和更新检测内容和报告。这需要威胁形势的专业知识和其他数据操作技能,而这些技能很难获得和保留。
-
与托管检测和响应 (MDR) 管理的 SIEM 等交钥匙服务不同,它为买家在配置专用检测和响应功能方面提供了更大的灵活性和定制性。托管 SIEM 通常是 MDR 的后续途径,随着组织安全成熟度的提高和内部技能集的增长而被选择。
-
托管 SIEM 提供资源,以经济高效的方式对 SIEM 部署发现的大量警报和威胁进行分类。它还在正常工作时间之外提供资源。
-
买家可能已经拥有服务提供商或系统集成商,该合作伙伴已代表买家实施了用于威胁检测和事件响应的 SIEM。
-
许多买家已经采用或计划采用 SaaS SIEM 产品与其他基础设施投资相一致,从传统的本地部署或现有 SaaS SIEM 平台迁移。这些迁移的要求很复杂,可以从经验丰富的托管 SIEM 供应商的帮助中受益。
障碍
-
直接要求设定对于与受管理的 SIEM 提供商合作至关重要,因为大多数服务侧重于技术实施而不是范围界定。
-
托管 SIEM 活动的灵活性意味着多个元素是可定制的,包括技术选择和实施。虽然拥有清晰的愿景很重要,但了解什么对组织有价值却很麻烦。
-
托管 SIEM 提供商在有关要求的协商基础上运营,如果在与提供商合作之前措辞不正确,可能会增加成本。
-
托管 SIEM 服务增强了安全人员配备和内部运营能力,但仍需要内部人员来使用原始输出。
-
在内部团队和外部合作伙伴之间分担运营职责可能具有挑战性,因为职责划分很难有效定义,通常会导致对服务的不满。
16、漏洞优先级技术
效益评级:高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:
漏洞优先级技术 (VPT) 将一系列漏洞监控源简化到一个位置,使用情报源、分析和可视化,并有效地提供关于如何最好地执行关键修复/缓解活动的优先、务实的建议。该方法考虑了漏洞的可利用性、资产或业务关键性、漏洞的严重性以及适当的补偿控制。
为什么重要
VPT 支持基于风险的漏洞管理 (RB VM ) 方法。这些产品和服务通过利用来自各种来源的遥测数据来提供暴露的综合视图,包括漏洞评估 (VA) 工具、配置管理数据库 (CMDB) 、终端检测和响应 (EDR)、渗透测试结果和应用程序安全测试 (AST)。VPT 通过利用分析以及各种威胁和漏洞情报源来提高情报和效率。
商业冲击
VPT 是一种自动化形式,利用数据科学、高级分析和漏洞情报来改进 VA 和优先级,并快速识别最高风险的漏洞以进行修复。此外,VPT 还提供通过集中视图跟踪虚拟机生命周期的能力。安全事件和漏洞的增加促使许多组织采用 VPT 解决方案来实施有效的 VM 计划。这也导致 VA供应商更加倾向于 RBVM 方法。
驱动因素
-
组织充斥着仅根据通用漏洞评分系统 (CVSS) 分数确定优先级的漏洞发现。VPT 解决方案将这些发现与主动威胁信息结合起来,从而提高可操作性。例如,由于攻击者驱动的动态变化,今天的低风险漏洞明天可能会成为高影响的漏洞,而 CVSS 分数将保持相对静态。
-
根据 Gartner 研究和客户询问,过去 12 个月内,人们对VPT 市场的兴趣有所增加。VPT 识别组织面临的更务实的风险,并帮助确定漏洞处理行动的优先顺序——无论是通过补救(例如,修补)和/或补偿控制(例如,入侵防御系统 [IPS] 和 Web 应用程序防火墙 [WAF])——以避免潜在的妥协或违规的开始。
-
由于漏洞优先级的自动化,VPT可以节省运营全职员工 (FTE) 成本,从而有助于减少攻击面,并提高运营的连续性。这对于那些希望通过专注于更具附加值的活动来留住人才的组织来说尤其有利。
-
通过其他形式的漏洞优先级划分(例如攻击路径映射),可以满足采取更主动的安全措施的需求。攻击路径映射是了解攻击者是否以及如何针对您的组织,以及他们可能采取的进入路径-发现高价值资产的路径并了解漏洞风险的背景。
障碍
-
VPT 解决方案需要更成熟的漏洞管理程序才能有效。如果暴露面管理程序中存在损坏的流程,VPT的价值将受到限制。
-
专注于 CVSS 严重性作为漏洞严重程度定义特征的组织将无法从 VPT 方法中获得全部价值,因为指标驱动的输出很少基于风险,因为没有考虑威胁活动、资产背景和现有安全控制等因素。
-
VPT 和网络资产攻击面管理 (CAASM) 之间存在重叠功能,导致买家感到困惑。CAASM 专注于数据和可见性的聚合,而 VPT 专注于改进组织的 RBVM 操作流程。
-
攻击路径映射是漏洞优先级排序以及漏洞和攻击模拟 (BAS) 的输出,用于支持网络安全验证计划,但与测试安全控制不同。您的组织可能已经通过其他工具拥有此功能。
17、MDR服务
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:成熟主流
定义:
托管检测和响应 (MDR) 服务为客户提供远程交付的安全运营中心 (SOC) 功能。这些使组织能够快速检测、分析、调查并通过威胁破坏和遏制来积极响应。MDR 提供商使用通常涵盖终端、网络、日志和云的技术堆栈提供交钥匙体验。该遥测数据由擅长威胁狩猎和事件管理的专家在提供商的平台上进行分析。
为什么重要
网络威胁形势不断变化,针对组织的攻击的复杂性不断升级。大多数组织缺乏资源、预算或兴趣来构建和运行自己的 24/7 SOC 功能,而这些功能是帮助他们保护和防御日益对运营造成更大影响和损害的攻击所必需的。MDR 服务使组织能够完善其威胁检测和响应覆盖范围。
商业冲击
未投资于威胁检测和响应能力的组织面临着更大的网络事件影响风险。寻找、获取和保留必要的专业知识和工具的挑战使得建立足够的内部能力变得没有吸引力。MDR 服务将人员、流程和技术结合起来,将安全问题转化为以业务为中心的风险、影响和结果,降低复杂性,并通过统包采用提高安全成熟度。
驱动因素
-
MDR 服务使组织能够专注于业务风险驱动的结果,因为它们提供了以交钥匙格式解释和交付一组需求的专业知识。最终,这将带来相关且可操作的业务成果。
-
组织的 IT 基础设施和数字足迹的扩展,转向更广泛的提供商和技术,给组织带来了在更广泛的攻击面中保持可见性的压力。MDR 提供商提供高保真威胁检测并覆盖广泛的数据源、技术和 SaaS 平台。
-
MDR 提供商允许远程交付响应操作,使买家能够更快地响应和缓解问题,同时降低对其业务的影响。但是,授予供应商的自主权级别根据信任级别的不同而有所不同。通过改进对 MDR 服务提供商门户的访问,客户可以验证场景的响应,并可能执行它。
-
随着组织关注各种基于风险的问题,MDR 提供商正在扩展其能力,将风险管理和风险管理纳入其中。这些与传统的检测和响应能力相结合,正在帮助客户获得他们所需的可见性。
-
买家越来越需要快速采用成熟的功能,而这些功能需要花费很长时间才能构建或购买,并且运营成本高昂。MDR 为那些不想建立和维护内部能力或快速需要能力的人提供交钥匙解决方案。
障碍
-
提供 MDR 服务的方法多种多样,常常导致买家质疑如何从战略上与提供商合作。
-
提供检测和响应解决方案的技术供应商提供名称密切但通常更轻触的覆盖服务,例如托管终端检测和响应 (MEDR)、托管安全信息和事件管理 (MSIEM) 以及托管扩展检测和响应 (MXDR)。这最终会增加买家的困惑。
-
MDR 服务提供商的绩效问题和失败的合作通常是由于期望不一致造成的。买家应该清楚地概述他们需要服务提供什么,而不是专注于他们想要监控的技术或数据。
-
不指定员工作为服务的联系人可能会带来挑战。内部联系人和外部合作伙伴之间的运营职责划分如果没有有效定义,通常会导致对服务的不满。
18、SOAR
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
Gartner 将安全编排、自动化和响应 (SOAR) 定义为将事件响应、编排和自动化以及威胁情报 (TI) 管理功能结合在单个解决方案中的解决方案。SOAR 工具可用于许多安全运营任务,例如记录和实施流程、支持安全事件管理、向人类安全分析师和操作员应用基于机器的协助,以及更好地实施 TI 的使用。
为什么重要
SOAR 工具非常灵活,可应用于各种安全运营中心 (SOC) 和更广泛的 SecOps 用例。当前的买家往往是具有 SOC 功能的最终用户组织和安全服务提供商,他们希望优化其威胁监控、检测和事件响应活动的效率、一致性和有效性。SOAR 的威胁管理用例仍在不断涌现。
商业冲击
SOAR 解决方案可以帮助客户:
-
通过对活动进行编码来减少处理事件中的错误。
-
通过提高处理各种任务和活动的效率来扩展安全运营。
-
通过消除人类的重复性任务,提高 SOC 团队的士气并减少分析师的流动率。
驱动因素
-
SOAR 可以提高经常困扰SOC 的重复性任务的流程和执行速度,特别是那些耗时且几乎不需要人类专业知识的任务。这使团队可以将更多时间花在关键任务和活动上。
-
SOAR 可以通过添加更多上下文和数据丰富来提高警报保真度和可操作性。这有助于减少由于 SOC 团队需要处理大量警报而产生的噪音。
-
安全运营越来越需要安全编排和自动化 (SOA) 作为一种功能。SOAR 解决方案在平台中提供灵活的 SOA。然而,SOA 也作为其他安全技术(例如电子邮件安全解决方案)中的内置功能变得越来越可用,以帮助改进分析和分类,并自动响应威胁。
障碍
-
与其他编码开发实践类似,SOAR 需要开发和持续的运营周期来维护。因此,并非所有活动都值得对 SOAR 开发和维护进行投资。
-
SOAR 和自动化最适合应用于现有的实践和活动。希望使用 SOAR 在 SOC 中构建新活动的客户可能会发现实现价值的时间比预期长得多。
-
证明自动化费用和 SOAR 购买的合理性仍然是客户面临的一个障碍。自动化的价值可以通过现有运营领域的收益来最好地描述。
19、OT安全
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:成熟主流
定义:
OT包括通过直接监视和/或控制工业设备、资产、流程和事件来检测或引起变化的硬件和软件。OT 安全的重点是保护它们。随着威胁和安全解决方案的增加,曾经由以网络为中心的工具主导的 OT 安全通用类别现在正在演变为多个类别。
为什么重要
一旦与 IT 网络断开,OT 和 IT 系统连接性的增强就会带来新的安全风险。由于操作系统是价值创造的中心,因此 OT 安全与国家关键基础设施中的组织以及具有运营和以资产为中心的环境的任何其他工业垂直领域具有重大相关性。以网络为中心的安全,重点是分段和防火墙,传统上是锚定的 OT 安全方法,但新的类别已经出现。
商业冲击
无论是针对关键基础设施和知识产权的民族国家(制造业通常是网络间谍活动的目标),还是出于经济动机部署勒索软件的黑客,过去五年中对生产或关键任务环境中的系统的攻击数量都在增加。运营中断的影响范围从单纯的烦恼到数亿美元,以及可靠性、生命和安全影响。
驱动因素
-
数字化转型举措在资产密集型组织中成倍增加,进而产生了安全团队可能无法察觉的新风险。
-
由于威胁形势快速变化,以资产为中心的组织越来越将注意力集中在企业 IT 之外面临的安全风险上。他们意识到自己被网络物理系统 (CPS) 包围,而这些系统支撑着他们所有的生产、分销和价值创造工作。
-
IEC 62443、NIS2 和 NIST 800 系列等国际标准不断涌现,以提供指导。在某些垂直行业中,安全指令(例如NERC CIP或TSA指令)已经到位。鉴于关键基础设施与国家安全之间的密切关系,以及对针对性攻击的日益关注,政府主导的努力正在增加,现有国家立法的清单也在不断增加。
-
最初的重点领域之一是基于网络的安全,它是过去十年中大多数 OT 安全工作的基础。但是,已经出现了许多特定类别来应对快速变化的威胁形势并在安全运营中引入创新。因此,一个单一的 OT 安全市场正在不断发展。
-
CPS 的一些新兴类别包括保护平台、网络风险量化平台、安全远程访问解决方案、安全服务、以网络为中心的解决方案或机载诊断解决方案。
障碍
-
组织面临着文化、治理和安全控制方面的挑战,这些挑战阻碍了采取一刀切的安全方法。例如,生产资产通常 24/7 运行,不能随意停止。
-
制造商经常远程连接到生产资产以对其进行维护和更新。如果没有按照一致的政策安全地完成,就会产生额外的风险。他们还经常根据合同和保修来控制更新的部署,这可能会妨碍安全工作。
-
OT 安全技能的短缺仍然严重且日益严重。
-
系统和设备的使用年限(长达 20 年)意味着不再有可用的安全更新。
-
OT 安全正在演变为以 CPS 资产为中心的安全,由不仅支持 OT,还支持物联网、工业物联网或智能建筑资产的平台支持。这正在改变 OT 安全性,从关注分段和防火墙,转变为将资产置于安全中心,并围绕资产分层纵深防御方法。
处于启蒙爬坡期的技术
20、NDR
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
网络检测和响应 (NDR) 产品通过对网络流量应用行为分析来检测异常系统行为。他们不断分析内部(东西向)和“公共”(南北向)网络的原始网络数据包或流量元数据。NDR 可以作为硬件和软件传感器、软件或越来越多的 SaaS 管理控制台提供。组织依靠 NDR 来检测和遏制泄露后活动,例如勒索软件或内部人员的恶意活动。
为什么重要
NDR侧重于检测异常行为,不太重视检测已知威胁的基于签名的控制。NDR 可有效检测网络流量中的微弱信号和先前未知的行为,例如横向移动或数据泄露。NDR 解决方案扩展到混合网络,添加新的检测。本地提供或通过集成提供的自动响应功能仍然很重要,但事件响应工作流程自动化成为越来越受关注的领域。
商业冲击
NDR 解决方案可让您了解网络活动以发现异常情况。作为许多NDR 产品核心的机器学习算法有助于检测其他检测技术经常遗漏的流量异常情况。自动响应功能有助于减轻事件响应人员的部分工作量。NDR 产品还通过提供有用的上下文和深入分析功能来帮助事件响应人员进行威胁狩猎。
驱动因素
-
检测违规后活动:NDR 通过根据与基线的偏差检测活动来补充传统的预防控制措施。这使得安全团队能够调查因违规而导致的内部人员活动,而无需依赖于先前观察到的相同活动。
-
低风险 — 高回报:实施 NDR 产品是一个低风险项目,因为传感器位于带外,因此它们不代表网络流量的故障点或“减速带”。将 NDR 产品作为概念验证 (POC) 实施的企业通常会表示非常满意,因为这些工具提供了急需的网络流量可视性,甚至使小型团队也能发现异常情况。
-
监控云流量:越来越多的 NDR 供应商通过利用云提供商提供的可用 API 提供监控 IaaS 流量和 M365 的能力。扩大云业务的组织使用 NDR 来避免监控系统之间交互的能力出现差距。
障碍
-
安全运营计划成熟度较低的企业可能很难证明一项技术的费用是合理的,因为这项技术不能简单地通过计算其触发的警报数量来评估。
-
由于存在误报风险,NDR 产品的响应功能很少部署或仅限于特定用例,例如勒索软件。许多组织推迟实施,直到他们了解如何更好地使用 NDR 工具。
-
NDR 正在扩展以支持云中的更多检测,但尚未证明它们是适合该用例的正确工具。
-
任何基于行为的检测工具都不可避免地会出现误报。NDR 工具可能需要对配置进行微调,以减少误报数量,尤其是在部署的早期。这解释了为什么最初很少部署响应能力。
-
NDR与SIEM 和扩展检测与响应 (XDR )等整合平台的预算竞争日益激烈。
21、威胁情报产品和服务
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
威胁情报 (TI) 服务通过记录策略、技术和程序,为买家提供有关网络威胁形势的知识;并分析威胁和威胁行为者。TI 产品提供的工具可帮助组织聚合、收集、策划和运营自己的 TI,并可能与外部实体共享。
为什么重要
安全领导者有义务了解组织的威胁形势。他们必须确保他们的安全解决方案更新为最新的威胁内容,并向他们的团队提供上下文信息,因为这有助于了解总体风险。TI 为组织提供了保持威胁态势可见性的方法,建立及时、准确且可操作的见解,这些见解可以在组织出现威胁之前、期间和之后应用。
商业冲击
-
TI产品和服务适用于各个行业的安全功能和控制,因为每个组织都有独特的威胁环境。
-
TI 向企业通报对组织构成风险的当前和潜在的未来威胁。
-
TI 解决方案可以作为机器或人类可读的方式应用,以增强安全技术以及对对手意图和动机的理解。
驱动因素
-
安全平台供应商通过有机开发或收购投资 TI 产品和服务。这些供应商正在提供越来越多的威胁情报平台 (TIP) 功能,以聚合 TI 并在单一平台产品中对其进行管理,从而加速 TI 在市场上的采用和利用。
-
组织不断寻找能够解决多种用例的安全解决方案。这促使 TIP 供应商超越了他们一直宣传的安全编排、分析和报告 (SOAR) 功能,现在提供威胁检测和增强的分析平台功能。
-
TI 服务提供商现在正在扩展其核心用例和功能,以纳入数字风险保护服务 (DRPS),为组织提供单一供应商方式来提供精心策划的外部威胁和风险信息。Gartner 持续看到人们对 DRPS 功能和特性的兴趣,促使 TI 解决方案提供商将该功能添加到其产品组合中。
-
组织正在通过将数字暴露与恶意威胁结合起来,付出更多努力来了解其风险。这些供应商经常接到 TI 的通知,现在开始提供外部攻击面管理 (EASM),以加强管理并提高可操作性。
-
当组织应对不断增加的数据量时,管理是关键。客户在努力将 TI 综合为可行的见解时,将继续要求深入了解威胁形势。
障碍
-
许多组织没有正式的 TI 计划或专门的分析师来使用 TI 解决方案(例如 TIP)或解释定制 TI 报告的价值。他们更关注 IP 地址、域和哈希值等指标,并且为人类可读或高级 TI 解决方案分配的资源太少。
-
各组织都在努力衡量和证明 TI 解决方案的价值。缺乏 TI 绩效报告将增加 TI 预算削减或阻止项目成熟的可能性。
-
许多组织缺乏明确定义的优先情报要求 (PIR),这可能导致 TI 解决方案的过度投资或利用不足。
-
饱和且看似无差别的 TI 市场会导致买家感到困惑和疲劳,特别是考虑到没有明确定义的 PIR(这有助于供应商选择过程)。
22、EDR
效益评级:高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:
终端检测和响应 (EDR) 分析系统、流程和用户活动以检测安全威胁。它为绕过预防控制的威胁提供补救指导,并支持终端威胁调查。EDR 功能通常包含在终端保护平台中,并作为连接到基于云的集中安全分析和管理软件的软件代理提供。
为什么重要
EDR 是大多数企业终端的重要防御组件。它需要安装代理来协助发现和报告可疑和恶意行为、攻击传播的可视化以及补救指导。EDR 可以阻止已知的恶意软件和勒索软件系列,还可以帮助发现和修复更多隐秘和未知的威胁。
商业冲击
-
所有连接到企业网络或处理数据的设备和服务器都需要 EDR 保护。
-
新威胁和隐蔽攻击需要及早识别和快速反应。
-
网络保险公司和监管机构需要 EDR,一些 EDR 解决方案提供低成本的勒索软件保险。
驱动因素
-
威胁的性质已经改变。实现 100% 预防已不再现实,旧的终端保护平台 (EPP) 工具应更新为也包含EDR 功能。
-
隐形恶意软件和勒索软件活动、国家资助的对手和供应链攻击使用先进技术来保持不被发现并绕过旧的安全控制。
-
远程工作加速了云管理解决方案的采用,目前该解决方案占已安装基础和大多数新部署的 80%。
-
检测与用户和机器身份相关的漏洞和凭证滥用是一项新兴的必备功能。
-
随着事件的发生,快速实时响应对于遏制威胁并阻止其蔓延至关重要。
-
越来越需要增强现有的漏洞管理程序并提供减少攻击面的方法,以确保系统不会配置错误并且不存在未修补的漏洞。
-
从 EDR 代理收集的日志和事件构成了回顾性威胁检测和威胁狩猎的基础。
-
复杂的攻击需要新一代的 EDR工具,这些工具与其他安全工具整体协作,形成可组合的安全生态系统,以最大限度地提供保护并最大限度地减少暴露。
障碍
-
许多企业缺乏并低估了成功安装和使用 EDR 工具的知识和资源。采用 EDR 需要对响应者进行培训,包括模拟攻击的“范围”培训。
-
传统的终端安全技术和代理无法与云托管工作负载的“敏捷”部署管道配合使用。这将敏捷部署的工作负载与容器或无服务器计算分开。
-
非 Microsoft-Windows 系统可能缺乏同等功能。这些系统的终端安全解决方案缺乏 EDR 检测和响应功能。
-
在混合和远程工作模式中,较旧的本地技术难以采用和维护。
进入高原期的技术
23、SIEM
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:成熟主流
定义:
安全信息和事件管理 (SIEM) 是一个可配置的安全记录系统,可聚合和分析来自本地和云环境的安全事件数据。SIEM 协助采取响应行动,以减轻对组织造成损害的问题,并满足合规性和报告要求。
为什么重要
聚合和标准化来自不同环境的数据以集中可见性是有效安全计划的核心要素。SIEM 支持组织识别、确定优先级和调查感兴趣的安全事件、执行响应操作以及报告当前和历史安全事件的能力。
商业冲击
SIEM 解决方案可以通过以下方式影响业务:
-
允许组织在生命周期的早期识别并响应关键安全事件,以降低风险。
-
创建安全问题和事件的整体态势感知,提供高效且值得信赖的记录系统,可用于运营安全和合规性报告。
-
协调不同的技术投资并减少管理安全问题和事件的运营人员开销。
驱动因素
-
根据多个来源的报告,对威胁进行集中监控是 SIEM 的主要驱动力。SIEM 提供了一个监控和调查安全警报的中心位置,并支持使警报可操作所需的上下文信息。
-
SIEM 可以通过最适合给定监控目标的任何分析方法,将原始警报数据转化为可操作的情报。
-
需要扩展检测工作流程以包括具有安全编排、自动化和响应 (SOAR) 等功能的响应活动。
-
云中的 SaaS SIEM 解决方案将平台和基础设施维护转移给供应商,并允许更可预测的线性增长预算。
-
随着越来越多的资产转移到以云为中心的环境,例如 Microsoft Azure、Amazon Web Services (AWS)、Google Cloud Platform ( G CP) 、Oracle 等,SIEM 必须了解底层环境才能良好运行。
-
组织拥有大量流式和非流式数据,这对于安全监控非常有用,SIEM 平台提供了一个集中位置来存储和查询这些数据。
障碍
-
要让 SIEM 在检测攻击方面表现良好,需要奉献精神和足够的人员配备。管理不善的 SIEM 继续困扰着许多组织。
-
SIEM 预算和资源受到限制;然而,需要监控的威胁类型往往是无穷无尽的。因此,决定使用您拥有的 SIEM 资源最好地监控什么,充其量就是特许经营工程。
-
SIEM 威胁检测性能不仅取决于 SIEM 及其配置,还取决于检测堆栈以及选择发送到 SIEM 的所有支持遥测数据。
-
Gartner 正在跟踪许多非 SIEM 解决方案,这些解决方案为传统 SIEM 的有限功能提供价值。这可能会导致买家更加困惑,或者使完整 SIEM 的论证更具挑战性
24、漏洞评估
效益评级:高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:
漏洞评估 (VA) 工具可在本地、云和/或虚拟环境中运行,以帮助减少暴露。他们发现、识别并报告 IT、云、物联网和/或 OT 设备操作系统和软件的漏洞。他们还建立了互联资产和漏洞的基线;识别并报告资产的安全配置;支持合规报告和控制框架、风险评估和补救优先顺序以及补救活动。
为什么重要
VA 是漏洞管理 (VM) 流程的基本组成部分,支持基础设施强化、安全态势管理、主动预防威胁以及遵守法规和合规制度。VA 是发现和枚举数字资产及其相关安全弱点的基本流程,有助于降低 IT 风险。
商业冲击
基础设施、应用程序和其他资产中的安全漏洞可能被攻击者滥用以达到恶意目的。当与实施良好的 VM 程序结合使用时,VA 解决方案可有效降低与安全漏洞相关的风险,例如恶意软件感染和勒索软件。此外,许多监管机构和标准要求组织执行 VM 以满足合规性要求。
驱动因素
VA市场成熟;然而,在发现、优先级排序和修复/缓解(例如跟踪漏洞修复进度和工作流程自动化)领域,VA 工具和服务不断进步和创新,以满足买家不断变化的要求和需求,包括外部攻击面管理 (EASM) 等新功能。
尽管合规用例仍然是利用 VA 工具的强大驱动力,但许多组织正在实施这些解决方案,以帮助理解、确定优先级并降低威胁暴露的风险。
根据其成熟度级别,组织通常选择三种 VA 交付模型之一:
-
与内部员工一起购买、部署和操作产品。VA 应用程序和网络扫描仪都部署在本地或越来越多地作为 SaaS 提供。SaaS(云)交付的 VA 产品具有本地组件,但通过云进行管理。
-
购买并部署该工具,然后由第三方运营,例如托管安全服务提供商 (MSSP) 或托管检测和响应 (MDR) 服务提供商。
-
外包给提供托管虚拟机服务并使用其自己的专有技术或许可的商业工具的第三方。
障碍
-
尽管 VA 解决方案相对容易部署,但如果不需要大量代理部署,组织将需要他们可能不具备的资源和专业知识。因此,将虚拟机外包给安全服务提供商是许多人追求的可靠选择。
-
对于许多虚拟机程序来说,基于风险的漏洞优先级划分仍然不是常态,因为工具仍在不断发展这种功能。
-
VA 市场较为分散,其特点是少数大型纯供应商以及来自各个安全市场的初创公司和其他供应商提供 VA 作为其整体产品组合的一部分。
-
VA过去很简单,只需部署大型扫描仪即可覆盖整个环境,但现在因素不同了。组织可能拥有多种云工具、另一种用于容器的工具、传统的漏洞扫描程序、一种评估 OT 资产的解决方案以及一种用于终端检测和响应 (EDR) 的工具,这些工具有时可以为最终用户系统提供 VA功能。
附录
技术成熟度曲线阶段、效益评级和成熟度水平
表2 :技术成熟度曲线阶段
| 阶段 |
定义 |
| 创新触发点 |
突破、公开演示、产品发布或其他活动会引起媒体和行业的极大兴趣。 |
| 期望过高的顶峰 |
在这个过度热情和不切实际的预测阶段,技术领导者进行的一系列广为人知的活动带来了一些成功,但随着创新被推向极限,也带来了更多的失败。唯一赚钱的企业是会议组织者和内容出版商。 |
| 幻灭的低谷 |
由于创新没有达到其过度夸大的期望,它很快就变得过时了。除了一些警示故事外,媒体的兴趣逐渐减弱。 |
| 启蒙斜坡 |
越来越多样化的组织进行集中的实验和扎实的努力,使人们真正了解创新的适用性、风险和收益。商业现成的方法和工具简化了开发过程。 |
| 生产力高原 |
创新的现实好处得到了证明和接受。随着工具和方法进入第二代和第三代,它们变得越来越稳定。越来越多的组织对风险水平的降低感到满意;采用的快速增长阶段开始了。当该技术进入此阶段时,大约 20% 的目标受众已经采用或正在采用该技术。 |
| 主流采用的时间 |
创新达到生产力高原所需的时间。 |
资料来源:Gartner(2023 年 7 月)
表3 :效益评级
| 效益评级 |
定义 |
| 变革性的 |
实现跨行业开展业务的新方式,从而导致行业动态发生重大转变 |
| 高的 |
支持执行水平或垂直流程的新方法,从而显着增加企业的收入或节省成本 |
| 缓和 |
对已建立的流程进行渐进式改进,从而增加企业的收入或节省成本 |
| 低的 |
稍微改进难以转化为增加收入或节省成本的流程(例如,改进用户体验) |
资料来源:Gartner(2023 年 7 月)
表4 :成熟度级别
| 成熟度级别 |
地位 |
产品/供应商 |
| 胚胎 |
在实验室 |
没有任何 |
| 新兴 |
供应商的商业化 行业领导者的试点和部署 |
第一代 高价 大量定制 |
| 成长期 |
成熟的技术能力和流程理解 超越早期采用者的采用 |
第二代 减少定制 |
| 早期主流 |
成熟的技术 供应商、技术和采用迅速发展 |
第三代 更多开箱即用的方法 |
| 成熟主流 |
强大的技术 供应商或技术没有太大发展 |
几家占主导地位的供应商 |
| 遗产 |
不适合新开发 迁移成本限制了替代 |
维护收入重点 |
| 过时的 |
几乎没有使用过 |
仅限二手/转售市场 |
资料来源:Gartner(2023 年 7 月)