由于攻击者使用人工智能来增强网络钓鱼和终端攻击,企业需要高级安全措施来阻止入侵行为。此技术成熟度曲线可帮助安全和风险管理领导者识别可增强终端和工作空间保护的技术。
网络安全创新层出不穷,但区分真正的进步与短暂的趋势却很困难。二维码钓鱼(“quiishing”)利用了用户对简单技术的信任,而生成式人工智能(GenAI)可实现高级网络攻击和威胁检测。需要高级安全措施来打击使用新技术并利用消费者过度信任电子通信等行为的网络犯罪分子。
安全领导者必须优先考虑全面性。基于威胁的漏洞管理和扩展检测与响应 (XDR) 是持续改进安全性的基础。以下技术通过提供更多攻击面视角来增强 XDR:
统一终端安全 (UES)
桌面即服务(DaaS)
自动化安全控制评估 (ASCA)
外部攻击面管理 (EASM)
入侵和攻击模拟 (BAS)
统一终端管理工具
身份威胁检测与响应 (ITDR)
企业人工智能(EAI)
自动恶意软件威胁检测(AMTD)
解决真正危险而非炒作的解决方案可以确保长期安全。
新兴技术与创新
提供更深刻的洞察、分析和指导:AI 和 GenAI 为威胁狩猎和用户行为研究提供更深入的攻击者策略洞察。
安全态势的整合和创新优先级:虽然平台范围的安全和攻击面管理(ASM) 很有帮助,但客户更喜欢较少的供应商。
正在成为主流的技术和方法
XDR 跨安全学科功能:扩展检测和响应集成了来自多个安全学科来源的数据,以提供对潜在威胁的全面视角。它因此结合了数据,提供了对可能威胁和威胁组合的整体视图。
UES 增强 XDR:UES 通过结合终端保护和移动威胁防御来增强 XDR。
正在成为关键生产力和驱动力的主流技术
实施安全访问服务边缘(SASE):减少终端漏洞,同时允许通过零信任网络访问(ZTNA) 从任何设备进行安全的应用程序访问。
隔离和自动化:增强终端访问隔离和与终端无关的工作区安全性,以保护数据和设备。
超越BYOPC安全/ VDI /DaaS:BYOPC安全、VDI 和 DaaS 是成熟的访问控制解决方案,但它们的刚性需要EAI来实现灵活性。
提高生产力的主流技术
成熟的终端检测和响应 ( EDR)、下一代AV:下一代 AV 和 EDR 现已成为标准。尽管下一代 AV 已不再是炒作周期中的必备功能,但 EDR 已完全成为主流,预计几年后将不再是炒作周期中的必备功能。
图 1:2024 年终端和工作空间安全成熟度曲线
安全解决方案正在适应用户行为,旨在提供无缝体验。游戏化和情境感知培训等创新正在提高用户参与度和效率。
关键驱动因素
人为因素仍然是网络安全的一个关键漏洞。社会工程学策略利用用户的信任和情感来绕过技术防御。
安全解决方案必须以用户为中心,在强大的保护和积极的用户体验之间取得平衡,以避免妨碍生产力和造成挫败感。
用户教育和意识计划对于使员工能够识别威胁并采取安全行动至关重要。
支持驱动因素
远程和混合工作模式的增长扩大了威胁形势,敏感数据可以从各种设备和位置访问。
针对人类弱点的网络钓鱼和社会工程攻击有所增加。
网络安全形势瞬息万变,需要创新解决方案。以下是安全领导者应优先考虑的变革性技术,以获得竞争优势:
SASE:这个统一平台将网络安全工具(安全网关、云访问安全代理、零信任网络访问)与软件定义的广域网(SD-WAN)相结合,实现全面的应用程序、网络和终端保护,不受位置限制。
GenAI:虽然 AI 在威胁狩猎方面具有优势,但 GenAI 可能被恶意使用,因此需要采取主动的安全措施。
高级网络钓鱼检测和预防:网络钓鱼仍然是最主要的攻击媒介。投资于强大的解决方案,以领先于不断发展的网络钓鱼策略。
增强采用力度,打造更强大的安全态势
拥抱 SASE:整合点解决方案,简化安全管理并增强终端保护。
监控 GenAI 开发:随时了解 GenAI 的潜在风险并投资可以减轻这些风险的安全解决方案。
优先考虑网络钓鱼防御:实施持续的用户意识培训以及先进的检测工具来打击网络钓鱼企图。
通过积极采用这些变革性技术,安全领导者可以在不断变化的威胁形势中获得竞争优势。
表1 :2024 年终端安全优先级矩阵
影响力 |
距离主流采用需要的时间 |
|||
不到 2 年 |
2 - 5 年 |
5 - 10 年 |
超过 10 年 |
|
颠覆 |
生成式人工智能 SASE SSE |
威胁暴露管理 |
||
较高 |
桌面即服务 终端检测和响应 统一终端管理工具 |
人工智能治理 BYOPC 安全 内容解除与重建 身份威胁检测与响应 统一终端安全 XDR |
自动移动目标防御 商业电子邮件入侵防护 网络存储 |
|
中等 |
数据清理 移动威胁防御 ZTNA |
为一线工作人员提供设备终端安全 终端访问隔离 |
自动化安全控制评估 企业浏览器 |
|
较低 |
远程浏览器隔离 |
来源:Gartner(2024 年 8 月)
外部攻击面管理 (EASM) 和入侵与攻击模拟 (BAS) 架构已发展成为一种易于理解且可靠的解决方案。防病毒以及下一代保护工具的重要性日益增加,这意味着下一代防病毒软件正在退出炒作周期。退出炒作周期的其他创新包括风险管理和 UEM 工具。
影响力评级:较高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:自动移动目标防御 (AMTD) 是一种先发制人的防御策略,它采用一系列技术和方法对环境进行不可预测的自动更改,使攻击者更难识别和利用漏洞。
为什么重要
终端上的 AMTD 无需广泛的威胁建模、威胁检测逻辑或事先的威胁情报即可自动阻止攻击者。
AMTD从“检测和响应”的方式转变为“先发制人的防御和不可预测的变化”,使得攻击者更难以利用目标 IT 环境中的漏洞。
AMTD 可以阻止攻击者对网络和服务进行模式分析。
AMTD 有助于减轻安全运营人员的负担,他们过度劳累并花费大量时间调查误报。
业务影响
高度重视安全的组织继续面临高级攻击,并且必须超越日益失败的检测和响应。
AMTD 帮助普通公司应对新兴的人工智能威胁。当企业没有预算、人员或时间使用人工智能时,AMTD 是一个替代方案。
AMTD通过降低检测和响应技术的误报率、减少影响广度和增强对高级攻击的预防来减少安全运营人员的需求。
驱动因素
在过分强调检测和响应策略而无法防止入侵行为的背景下,AMTD 技术的出现能够在防御方面提供新的价值。
AMTD 技术和学术研究应运而生,创造了实施主动防御策略的新方法,以实现主动预防而非被动检测的现代化。
混合工作模式已成为企业数据泄露和凭证重用泄露的一个日益严重的根源。
障碍
买家错误地认为AMTD技术本质上具有破坏性、过于简单或还不完全成熟,无法防御终端系统上的威胁。
混合工作模式终端(尤其是个人拥有的设备)因担心隐私和管理问题而遭受用户对行为记录的抵制。
考虑到对现有被动式安全控制措施(如下一代防病毒 (NGAV)、终端保护平台 (EPP) 和终端检测与响应 (EDR))的大量投资,组织在考虑采用 AMTD 时面临沉没成本谬误。AMTD引入了主动控制措施,以便尽早识别威胁,但可能无法取代现有投资。
传统技术可能不属于 AMTD 的范围,包括较旧的终端,从而降低了 AMTD 对组织的价值。
AMTD 供应商目前正在开发这项技术,并且在更大规模实施中面临可扩展性的挑战,尤其是以网络为中心的 AMTD。
时机。在许多安全计划中,客户处于“整合与扩展”模式。
影响力评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:成长阶段
定义:终端访问隔离 (EAI) 由客户端应用程序组成,可在非托管设备和组织数据之间提供隔离层。该技术可以部署为远程访问代理、托管浏览器或安全浏览器扩展。它可在无法可靠安装客户端管理或安全软件的地方扩展访问权限。
为什么重要
EAI通过提供轻量且易于部署的客户端软件来改善远程访问,从而始终将内部应用程序、数据和环境与用于访问的非托管本地设备隔离开来。EAI工具依靠客户端代理、应用程序或扩展来证明对资源的持续身份验证和监控访问。EAI 工具可能不包含网络入口或虚拟桌面基础架构 (VDI) 或桌面即服务( DaaS) 功能。
业务影响
传统远程访问工具(如传统 VPN)可以对设备进行配置,但无法主动消除本地威胁。随着组织重新考虑允许通过任何浏览器从任何设备访问SaaS和 Web 应用程序,这项技术可以提供一种更安全的方式来访问这些应用程序。EAI技术让组织能够基于提供主动安全性的工具提供安全访问。与灵活性较差的传统安全访问技术(如 VPN)相比,EAI为用户提供了更好的体验和设备占用空间。这一点尤其重要,因为混合工作仍然是大多数组织的日常现实。
驱动因素
组织正在使用轻量级、客户端工具来访问 SaaS 应用程序,以取代昂贵且复杂的虚拟化和基于硬件(PC)的计划。
企业浏览器解决方案方面投入巨大——这是 EAI 的一个体现。
有一种趋势是,通过对从非托管 PC 访问生产力应用程序和公司数据的任何用户强制实施一致的浏览器配置和控制来增加一层安全性。
传统的远程访问安全保护方法依赖于基于代理或私有网络的工具。这些方法会影响性能,并且用户可能没有权限或没有能力安装或配置它们。
需要进行详细的会话监控,包括监控设备摄像头前的用户或使用摄像头数据验证需要远程访问的用户身份的能力。
障碍
Gartner 客户尚未对该领域的供应商和解决方案表现出认可;买家的认可度较低。
传统访问选项(如传统 VPN)提供的可视性和可变控制较少,仍然是成本较低的选项。
可能需要混合使用 EAI 方法来满足所有用例,例如针对员工的基于浏览器的应用程序和针对承包商的安全访问客户端。
企业浏览器供应商一直是安全服务边缘(SSE)供应商的收购目标。
谷歌已宣布在其 Chrome 浏览器中原生集成多款新的企业和安全重点工具;其较低的每用户定价可能会在更简单的用例中对 EAI 供应商构成挑战。
劳动和隐私法规使得某些工具最突出的功能变得站不住脚——例如家庭中的摄像头监控。
按用例或业务部门针对特定任务采用 EAI 工具将产生冗余并需要合并,这可能涉及功能权衡。
现有的访问和隔离技术(如 VPN VDI)在单位许可成本方面难以匹敌,尤其是在永久许可模式下使用时。这种沉没成本谬论没有考虑到运营开销或传统具有挑战性的用户体验带来的生产力损失。
影响力评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:自动安全控制评估 (ASCA) 是一种安全技术,它不断分析、确定优先级并优化安全控制,以减少组织的威胁暴露。ASCA 可识别安全控制中的配置偏差、策略和控制缺陷、检测逻辑漏洞、不良默认值和其他错误配置。然后,它使用已识别的弱点来推荐和确定补救措施的优先级,以提高针对组织特定威胁的安全性。
为什么重要
安全控制配置错误是与安全漏洞相关的一个持续性问题。异构安全基础设施的复杂性以及通用技术安全配置的重要性日益增加,导致了安全策略和配置网络的复杂化。安全技能的差距和快速变化的攻击技术加剧了在没有自动化的情况下维持安全控制最佳配置的问题。
业务影响
ASCA 通过优化安全控制和减少威胁暴露,降低了组织业务中断和财务损失的风险。实施 ASCA 技术的组织可提高员工效率、最大限度地减少人为错误的影响并提高组织在面临变动时的恢复能力。
驱动因素
随着威胁载体的不断涌现、安全工具的激增以及管理人员的高流动率,管理安全控制配置的复杂性不断增加,导致攻击面更加暴露。
特定的组织用例和目标要求保存复杂的异构基础设施和安全架构,从而增加安全控制管理的复杂性。
面对快速变化的攻击技术,手动配置审查、偶尔的渗透测试或孤立的、以工具为中心的安全控制管理都是不够的。
根据组织特定的威胁形势不断评估和优化安全控制配置是一种有效的风险缓解策略,最终可减少组织遭受的威胁。
障碍
ASCA 技术无需主动验证假设,即可自动评估安全控制配置,而只需让最终用户验证有关有效解决过程的结果即可。
由于缺乏对利基安全供应商和通用技术中嵌入式安全控制的支持,ASCA 对于拥有专门安全解决方案的大型复杂组织来说价值较低。
与内置的自我评估功能(例如生成式人工智能)以及旨在在各个孤岛中实现类似目标的工具重叠;例如,用于网络防火墙或云配置评估的工具。
补救措施进展缓慢,再加上持续的评估,可能会导致建议堆积如山,而没有考虑业务背景的适当分类流程。
所需预算增加,用于投资于人员、流程和技术,以应对 ASCA 工具发现的加速配置问题列表。
影响力评级:较高
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:统一终端安全 (UES) 是一种架构策略,它集成了终端管理和安全团队、工作流和工具。集成可以加快响应和补救时间,同时解决安全问题的根本原因。UES 依赖于两种关键终端技术的功能——统一终端管理 (UEM) 和终端保护平台 (EPP)。它与终端工具中日益共存的移动威胁防御 (MTD) 功能集成。
为什么重要
终端保护使组织能够快速响应和控制攻击。识别终端设备上的根本问题依赖于通常存在于安全之外的工具和技能。将 IT 运营和终端安全团队中的人员、流程和工具联系起来,可以创建一个共同的信息源、终端可见性、风险和合规性。工作流程跨越团队,将响应(如虚拟补丁)与修补其余资产的广泛补救措施联系起来。
业务影响
终端风险的一致可见性以及所有终端的集中风险缓解和补救。
更有效地使用工具 — UES 组成功能越来越多地位于终端安全和终端管理工具中。
将全盘加密、主机防火墙管理和USB 设备控制等控制迁移到 UEM 工具,从而减少终端安全投资。
改进的风险视图,包括可利用的风险、潜在的暴露和现有的缓解措施。
驱动因素
安全供应商正在越来越多地投资于相邻类别,例如终端和补丁管理,将核心 UES 功能统一到单一工具中。
Gartner 预计 UEM 和 EPP 工具之间的功能交叉融合趋势(包括后者的 MTD 功能)将会持续下去。
可防御的合规性和补丁指标以基于上下文的风险(而不是完整性)为中心,以主动减少终端攻击面。
加强监管和合规性要求——重点关注精细控制和自适应终端策略。
零信任投资专注于根据终端的操作和安全数据的组合来提高设备和用户访问策略的粒度。
障碍
由于技术和组织问题,缺乏大规模、成功的推广来激发新的兴趣,因此大多数组织尚未推行 UES。
需要努力统一多供应商客户端环境中的工具,并验证统一后是否具有一致的功能。
为了利用跨产品功能而对单一供应商进行集中投资会增加供应商锁定风险。
Gartner 的客户经常发现,阻碍实现目标的因素是组织和文化问题(而不是限制或破坏 UES 战略的技术、惰性或政治因素)。
尽管各个工具之间可能存在功能冗余,但 IT运营和安全通常需要特定的工具。
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:成长期
定义:企业浏览器通过托管 Web 浏览器或扩展程序提供安全服务,以实现策略实施、可视性和生产力。此类别中的许多产品都提供与 SWG、CASB、ZTNA、PAM、DLP、RBI、VDI 和 VPN 产品类似的轻量级功能和优势。企业浏览器是对现有安全解决方案的补充,并且已在为非托管设备提供安全访问和状态评估方面取得了早期成功。
为什么重要
现代混合工作模式使人们能够灵活地在任何地点使用任何设备开展工作。这加剧了人们对非托管设备访问公司应用程序所带来的安全性和可见性缺口的担忧。企业浏览器是轻量级安全服务(如安全远程访问、网络安全、数据安全和身份保护)的交付工具,可减少对公司终端监控和维护的依赖。
业务影响
企业浏览器或扩展程序可增强组织的 Web 浏览流量可见性,实现安全的应用程序访问,并提供常见安全功能的轻量级替代方案。随着时间的推移,企业浏览器将成为为广泛用例提供安全服务的平台。随着功能的多样性和复杂性不断增长,随着组织越来越熟悉该技术,采用率也会随之提高。
驱动因素
企业浏览器代表了向组织提供通用工作区安全服务的新方式,它扩展了传统网络安全解决方案的边界。
许多安全供应商已经通过扩展提供与浏览器的集成,而其他安全供应商则寻求收购、战略合作伙伴关系和直接投资。
企业浏览器继续采用现代混合工作模式,以整合依赖非标准化设备的承包商、供应商和低带宽分支机构的安全远程访问。
现有的安全解决方案通常难以支持非托管设备。企业浏览器在这一领域已在市场上占据一席之地,因为它可以提供可接受的安全远程访问级别,以保持终端用户体验。
企业浏览器供应商正在加强与安全控制的集成,例如特权访问管理 (PAM)、配置管理、日志记录和与安全信息和事件管理 (SIEM) 的集成、扩展检测和响应 (XDR) 平台、数据丢失防护 (DLP)、身份保护、网络钓鱼保护、安全服务边缘 (SSE) 功能以及跨下载和扩展的恶意活动监控。
环境和要求较简单的组织可能会看到早期机会,使用企业浏览器取代现有的或添加新的安全控制,作为一种更便宜、集中管理的选项,有助于降低传统方法的复杂性。
障碍
网络安全和基础设施运营成熟的大型组织可能会发现,由于功能上的差距,使用企业浏览器来降低现有环境的复杂性是不切实际的。
免费浏览器随处可见,以至于组织必须有特定的使用案例才能证明购买单独浏览器的合理性。大多数公司不太可能在没有能力弥补其他支出的情况下将预算用于企业浏览器。
遗留基础设施和应用程序需要保留传统的 VPN 和 VDI(即无法通过 Web 浏览器访问的应用程序)。
企业浏览器有可能成为更大项目的功能并陷入发展瓶颈,例如Palo Alto收购 Talon Cyber Security,或 Check Point在 EPP 中嵌入功能。
超级应用程序(例如,添加更多企业功能的协作工具,包括安全的网络浏览器)的出现可能会取代通用企业浏览器的一些企业用例。
影响力评级:较高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:网络存储通过预防、早期检测和攻击阻止等方式积极保护存储系统和数据免受网络攻击。它还支持数据分析、取证攻击分析和特定于存储的恢复功能。网络存储可以是具有全面功能的专用解决方案、具有集成解决方案的平台原生服务产品,也可以是一组独立产品,为存储供应商提供网络保护功能。
为什么重要
勒索软件攻击越来越频繁,破坏性越来越强,因此主动防御和恢复的网络安全工具必不可少。虽然安全解决方案存在于网络边界,并且越来越多地存在于备份解决方案中,但存储系统往往无法防范恶意活动,例如数据下载、泄露、操纵、删除、破坏或加密。网络存储解决方案可以针对针对数据存储系统及其数据的网络攻击提供强大的主动防御和恢复功能。
业务影响
网络攻击会严重影响数据,导致数据丢失、业务受损和昂贵的数据恢复。这些问题会扰乱业务运营并暴露敏感信息,从而导致潜在的法律和经济处罚。勒索软件会加密数据,将其作为人质并要求付款。这些攻击可能导致经济损失、声誉受损和监管后果。网络存储有助于预防和检测,保护存储系统,同时最大限度地减少攻击窗口和对备份的依赖。
驱动因素
昂贵且破坏性的网络存储威胁的盛行,加上不断增加的监管和保险费用,迫使存储专业人员采用新的方法进行主动防御。
本地、边缘和公共云位置的非结构化数据容量呈指数级增长,增加了对更好地防范勒索软件等网络威胁的需求。
大型文件存储库最容易受到勒索软件和数据勒索的攻击。黑客利用提升的凭据来访问标准网络访问协议,例如服务器消息块 (SMB) 和网络文件系统 (NFS)。
防范勒索软件攻击并从中恢复需要采取多方面的策略,其中包括多种市场解决方案,例如终端保护、不可变企业备份以及数据存储基础设施检测分析和恢复,作为网络存储解决方案的一部分。
加密静态数据并不能解决数据勒索的威胁,因为数据在存储访问点仍未加密。防止数据勒索需要采取多种主动措施来保护数据存储并应对勒索企图。
Gartner预测,到2028年,所有存储产品都将融入以主动防御为中心的网络存储功能,较2023年的10%大幅增长。
障碍
大多数创新的、先进的网络存储解决方案都是由规模较小、较新的公司提供的,这对必须与初创公司合作的成熟企业构成了挑战。
企业很难驾驭网络存储供应商格局,因为他们不了解特定的解决方案如何满足其端到端网络弹性要求。
一些网络存储供应商将其功能集成在有限范围的企业存储产品中,并不提供独立的、与供应商无关的解决方案。
许多企业发现,由于流程的复杂性以及对当前系统的投资深度,仅仅为了支持网络存储服务而更换数据存储供应商是不切实际的。
备份供应商主导着勒索软件防护市场,导致最终用户专注于勒索软件攻击的恢复解决方案,而忽视了主动防御的重要性。
影响力评级:较高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:人工智能治理是制定政策、分配决策权以及确保组织对应用和使用人工智能技术的风险和决策负责的过程。人工智能治理是自适应数据和分析治理的一部分,旨在解决人工智能的预测和生成能力。
为什么重要
人工智能在企业中发挥着巨大的价值,在没有治理的情况下扩展人工智能是无效且危险的。有效的人工智能治理对于平衡人工智能的商业价值和适当的监督至关重要。生成式人工智能模型和应用带来了新的人工智能治理挑战,例如知识产权和版权保护。人工智能引起了世界各地立法者的关注,他们通过明确人工智能治理优先事项来强制采取行动。
业务影响
人工智能治理作为组织治理结构的一部分,制定了负责任的人工智能,并在以下方面提供了通用的运营模式:
通过可解释性、偏见缓解、模型治理、操作化和协作规范与能力,信任与透明度支持 AI 的采用。在 AI 法规的背景下,治理决策的透明度变得日益重要。
多样性确保每个 AI 项目都有正确的技术和角色。
道德、公平和安全来保护企业及其声誉。
驱动因素
AI 治理正处于技术成熟度曲线的顶峰区域。企业从业者正在采取积极措施建立 AI 治理。各行各业的组织都在制定 AI 开发和运营的标准,为模型管理和监控、数据标记和解释、可解释性、公平性、偏见缓解、安全性和法律提供指导方针和最佳实践。
全球各地的法规都直接针对人工智能,并间接影响人工智能实践,使人工智能治理目标更加具体。欧盟《人工智能法案》的目标是“加强治理和有效执行有关人工智能系统基本权利和安全要求的现行法律”。美国《关于人工智能安全、可靠和可信赖开发和使用的行政命令》要求至少在信息技术基础设施、数据、劳动力、领导力和风险管理等领域进行治理。算法影响评估是一种强制性风险评估工具,旨在支持加拿大财政委员会。新加坡的《人工智能治理框架模型》指导组织制定适当的治理结构和机制。
对于习惯于确定性结果的受众来说,人工智能的概率性和不透明性是新事物。人工智能治理可以通过审查对数据源的信任和人工智能决策的可解释性来最大限度地减少对人工智能结果的误解。它提供了具体的测试和验证指南,区分了“生命攸关的人工智能”。人工智能解决方案的信任和透明度对于人工智能的采用至关重要。
人工智能治理组织正在建立人工智能问责制,这很有挑战性,因为用例在数据、解决方案和结果要求方面各不相同。例如,问责制可能包括在出现意外和意外后果的情况下的角色、行动和程序。人工智能治理还确保考虑每个用例的道德规范。
障碍
人工智能治理通常与主流治理举措脱节,这阻碍了其发展。最好的方法是扩展现有的治理机制,以利用可识别的政策和方法,例如数据治理。人工智能治理受益于与安全、法律和客户体验职能部门的对话。
许多治理举措都假设指挥和控制。相反,自适应治理支持 AI 团队的自由和创造力,同时也保护组织免受声誉和监管风险。如果这是一项治理决策,那么在 AI 团队中很少或没有治理来促进自由和创造力是一种可接受的方法。
AI 价值保证和模型风险管理是 AI 领域的新事物。虽然存在一些方法(例如在金融行业),但其他人对这些方法知之甚少,每个治理组织都在发明自己的方法。
支持人工智能治理的技术是分散的,并且通常是为单一行业设计的。
影响力评级:转型
市场渗透率:目标受众的 5% 至 20%
成熟度:成长期
定义:威胁暴露管理包括一系列流程和技术,使企业能够持续一致地评估可见性并验证企业数字资产的可访问性和可利用性。威胁暴露管理必须由有效的持续威胁暴露管理 (CTEM) 程序进行管理。
为什么重要
解决风险暴露所需的努力和发现问题的多样性导致了优先级冲突。安全团队很难确定风险降低行动的优先级,从而在他们认为自己控制力较弱的地方留下了空白,例如 SaaS 和社交媒体。威胁暴露管理减少了组织在识别、确定优先级和验证威胁暴露方面面临的挑战,因为攻击面多种多样。它还扩展了传统的漏洞管理 (VM)。
业务影响
威胁暴露管理是一项专业技能,它管理和优先考虑现代企业的风险降低,并要求对用于业务活动的所有系统、应用程序和订阅进行评估,从而拓宽对当今数字环境的风险理解。CTEM 计划考虑了业务重要性、攻击可能性、漏洞可见性和攻击路径存在的验证,使企业能够调动对最相关风险的响应。
驱动因素
根据大量的调查结果,缺乏对优先级和风险的范围和理解,导致组织在处理其风险暴露方面有太多工作要做,而对于首先应该采取什么行动却几乎没有指导。
对于组织而言,需要一种程序化且可重复的方法来回答“我们的暴露程度如何?”这个问题。威胁暴露管理旨在随着环境在快速变化和扩展的 IT 环境中发生变化,重新确定治疗的优先顺序。
组织通常会孤立暴露活动,例如渗透测试、威胁情报管理和漏洞扫描。这些孤立的观点几乎无法让组织了解其所面临的网络风险的全貌。
随着现代组织扩展其关键的第三方基础设施、订阅和开源应用程序,通过漏洞和配置错误问题暴露于威胁的可能性大大增加。使用 CTEM 程序可减轻企业了解系统每个新部分带来的个别风险的负担。
用于识别威胁暴露的供应商产品正在不断发展和整合,以涵盖更广泛的可见性范围,这意味着最终用户无需购买新的订阅即可访问有关潜在威胁的新信息。
障碍
与传统 VM 相比,CTEM 程序的范围有所扩大,引入了许多以前通常未考虑或预算不到的复杂性。
虽然评估攻击面的概念已广为人知,但该领域的持续安全工具整合(例如带有漏洞评估的外部攻击面管理)已开始简化日常运营流程。然而,CAASM等其他技术的正式集成程度仍然很低。
大多数组织实际上不存在管理端到端意识的流程(从可能的攻击媒介的可见性到对违规行为的响应),这些组织通常只是出于合规性原因扫描和测试其网络。
攻击可能表现出复杂的表现方式,因此需要一定的技能才能理解。诸如暴露验证之类的市场领域使得使用诸如违规和攻击模拟工具之类的技术/服务来测试现成的场景变得更加简单。但要有效使用这些功能并开发定制的模拟,则需要新的技能和理解。
影响力评级:较高
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:自带电脑 (BYOPC) 计划允许个人选择/购买的客户端设备访问企业应用程序和公司数据。这些计划通常支持macOS 和Windows 设备,以及较少见的 ChromeOS 和 Linux。如果不根据具体用例实施明确的 BYOPC 安全策略,硬件和操作系统缺乏安全控制或标准化可能会带来重大风险。
为什么重要
自带 (BYO) 计划已从主要移动设备扩展到包括 macOS 和 Windows PC,但如果没有本地代理,保护传统操作系统上的数据和应用程序的能力将受到限制。如果在用户拥有和不受管理的设备访问公司应用程序和公司数据的环境中无法保持强大的安全态势,则可能导致数据丢失,甚至更糟的是,暴露于恶意软件。
业务影响
实施 BYOPC 计划的组织需要尽量降低因将用户自有设备用于商业目的而产生的安全风险。组织还应注意,Gartner 的研究表明,无论政策如何,用户都在使用个人设备。结构化的 BYOPC 计划有助于实现员工支持,同时保护公司数据和应用程序。
驱动因素
远程和混合工作场景的增加以及 SaaS 和云应用程序的使用扩大了用户访问公司应用程序和数据的设备数量,其中个人电脑在使用的 BYO 设备中所占的比例越来越大。
通过更多设备为更多用户提供访问权限可提高业务连续性,并以象征性的成本为用户提供更多灵活性,但需要新的自适应安全控制。
随着不法分子越来越多地利用收集的用户凭证,有必要提高对用户和设备的身份验证的严格程度。这些攻击正在增多,个人设备需要更多的安全措施来防止它们得逞。
在 BYOPC 上建立适当控制级别的能力(无论是通过使用应用程序控制、数据隔离、有条件访问还是三者结合)都允许灵活的选项来适应多种用例。
障碍
更严格的隐私法规,加上在用户个人电脑上配置和建立本地控制的潜在风险,需要比标准设备管理更细致入微的解决方案。
虚拟桌面基础设施 (VDI) 和桌面即服务 (DaaS) 用于将环境与本地设备隔离,通常用于 BYOPC,但对于 IT 来说成本高昂,对于用户来说很复杂。
BYO 并不适合每个用户。代理、监控和修复 BYO 系统对于大多数组织来说都是难以实现的目标,这限制了 BYO 可以覆盖的用例。
无论安全控制如何,设备共享使用(个人硬件常见情况)都可能违反公平和可接受的使用政策或其他合规要求。
正确的数据分类所需的复杂性和时间是组织需要克服的障碍,以便大规模采用 BYOPC 。
当设备由于安全或技术事故而不可用时,BYO 计划会将许多 IT 问题转移到人力资源问题。
影响力评级:颠覆
市场渗透率:目标受众的20%至50%
成熟度:成长期
定义:生成式人工智能 (GenAI) 技术可以通过从大量原始源内容库中学习来生成内容、策略、设计和方法的新派生版本。生成式人工智能对业务有着深远的影响,包括内容发现、创作、真实性和法规;人类工作的自动化;以及客户和员工体验。
为什么重要
GenAI 探索正在不断扩大:
最终用户组织积极尝试 GenAI。大多数行业的早期采用者都已在 GenAI 方面取得了初步成功。
主要技术供应商优先提供支持 GenAI 的应用程序和工具。
众多解决方案纷纷涌现,为 GenAI 的基础模型、硬件和数据进行创新。
受到 GenAI 热潮的影响,各国政府正在出台人工智能法规并投资国家人工智能战略。
业务影响
业务重点正从对基础模型的兴奋转向推动投资回报的用例。大多数 GenAI 实施目前都是低风险和内部的。随着生产力工具和 AI 治理实践的快速发展,组织将在行业垂直领域和科学发现中为更关键的用例部署 GenAI。从长远来看,支持 GenAI 的对话界面将促进技术商业化,使 AI 和其他技术民主化。
驱动因素
GenAI 的行业应用正在不断增长。GenAI 已在娱乐、营销、设计、音乐、建筑和内容生成等领域开展创意工作。
首次全企业部署发现了最佳实施实践,并推动了顶级 GenAI 企业用例的发展:高级聊天机器人、编码协助和内部服务台。根据 2023 年 Gartner 企业 AI 调查,18% 高度参与 AI 的领导者报告称,他们的组织在 GenAI 采用方面处于领先地位。
GenAI 是各大技术供应商竞争最激烈的领域。他们在基础模型产品、企业就绪性、定价、基础设施、安全性和赔偿方面展开竞争。
新版本、新尺寸和新功能的新基础模型正在迅速上市,使 GenAI 可用于更多用例。提高模型稳健性的工具(例如矢量数据库、图形技术、LLM 测试、安全保护和开源资源)使 GenAI更加可用。
Gemini 或 GPT4-Video 等多模态模型的进步意义重大,这些模型经过训练可以同时接收图像和文本;例如,它们允许用户提出有关图像的问题并通过文本获得答案。模型可以结合概念、属性和风格来创建原创图像、视频和艺术,或将音频翻译成不同的声音和语言。值得注意的是,文本到图像/视频的生成已经取得了进展,能够根据文本描述创建高度详细和逼真的视觉效果。
企业正在学习通过快速工程和微调将自己的数据与 GenAI 结合使用。适用于 AI 的数据和相关元数据已成为 GenAI 战略的核心。
合成数据可帮助企业增强稀缺数据、减轻偏见、实现超分辨率或保护数据隐私。
GenAI 颠覆了软件工程。开发自动化技术有望使 5% 到 10% 的程序员工作实现自动化。组织现在愿意使用 GenAI 来解决遗留系统的现代化问题。
障碍
GenAI 引发了新的伦理和社会问题。政府法规可能会阻碍 GenAI 研究。待定法规不断增多。
幻觉、偏见、黑盒特性以及对完整 AI 生命周期的缺乏经验,目前阻碍了 GenAI 在关键用例中的使用。
GenAI 的责任、许可和定价在各个提供商之间并不一致,可能会让客户措手不及。
重现结果并找到所生成信息的参考资料具有挑战性,但一些验证解决方案正在出现。
安全专业人员对于认证和保护 GenAI 解决方案还很陌生;安全最佳实践的形成需要时间。
GenAI 被用于邪恶目的。全面准确地检测生成的内容(例如深度伪造和虚假信息)仍将具有挑战性或不可能。
大多数企业都负担不起用于训练 GenAI 模型的计算资源。人们对 GenAI 高能耗的可持续性担忧日益加剧。
影响力评级:颠覆
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:安全服务边缘 (SSE) 可确保对 Web、SaaS 应用程序和私有应用程序的访问安全。功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括由基于网络和基于 API 的集成实施的高级威胁防御和可接受的使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于终端代理的组件。
为什么重要
SSE产品融合了安全功能,以提高组织灵活性,确保Web 和云服务以及远程工作的使用安全。
SSE 产品至少结合了安全 Web 网关 (SWG)、云访问安全代理 (CASB) 和零信任网络访问 (ZTNA),并且主要通过云端交付。
当组织追求安全访问服务边缘 (SASE) 架构时,SSE 与软件定义的 WAN ( SD-WAN ) 配对,以简化网络和安全运营。
业务影响
组织继续采用SaaS 应用程序来满足业务关键型和其他用途。混合工作也继续得到广泛实践。SSE允许组织使用以云为中心的方法在访问 Web、云服务和私有应用程序时实施安全策略,从而支持随时随地工作的员工。同时,SSE 降低了运行多个产品的管理复杂性,并在一个平台上提供了对最终用户操作的更大可见性。
驱动因素
组织需要保护分布式且需要安全远程访问的用户、应用程序和企业数据。SSE为混合员工和设备提供了灵活且主要基于云的安全性,而不受本地网络基础设施和连接的约束,而云和 SaaS 正在增强或取代本地应用程序。
传统 SWG 和 VPN 解决方案的硬件和虚拟实例限制了支持大量分布式劳动力的能力,并且需要采用基于云的方法来并行实现资源密集型的安全流程以提高性能。
对于许多企业来说,大量关键业务流程和数据现在以SaaS 的形式交付。因此,需要对位于、进入和离开这些 SaaS 平台的数据执行数据丢失防护 (DLP)。
当用户未连接到企业拥有的网络并且需要保留此流量的配置和监控时,管理员将无法查看用户流量。
组织希望降低复杂性和实施安全访问策略的点供应商数量,包括更少的终端代理,并应用 DLP、高级威胁防御和远程浏览器隔离等控制,以从单一提供商处获得更多用例。
无法决定其网络边缘提供商(例如SD-WAN )或不想从现有提供商迁移的组织需要灵活地选择集成独立于 SD-WAN 的安全服务以满足其 SASE 要求。
障碍
随着市场通过功能融合继续保持高增长轨迹,供应商可能在某些功能上表现强势,而在其他功能上表现较弱。供应商正在迅速扩展到单一供应商 SASE 产品,并且可能缺乏其自身SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。
并非所有供应商都提供足够的 DLP 功能来管理业务风险。
由于以云为中心,SSE 通常不能满足内部控制支持的所有需求,例如内部防火墙。
组织担心其业务所依赖的服务的正常运行时间、可用性和响应能力。一些供应商的 SLA 较弱,而且并非所有供应商都在所有地区本地提供所有功能,这导致性能或可用性问题。有些供应商可能会限制客户可用的接入点 (POP)。
从 VPN 迁移到 SSE 中的 ZTNA 功能会增加成本。
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:商业电子邮件入侵 (BEC) 保护可检测和过滤恶意/冒充电子邮件,例如帐户接管 (ATO)、CEO 欺诈、发票诈骗和供应商欺骗。BEC 攻击很难用传统的反钓鱼工具检测到,因为它们不包含恶意软件并且发件人信誉良好。BEC 保护使用 ML 和行为分析等先进技术,结合通信历史和用户行为对电子邮件内容进行深入检查。
为什么重要
BEC 诈骗利用人为错误和业务流程中的漏洞,占社会工程攻击的 50% 以上。
与传统的网络钓鱼电子邮件不同,BEC 攻击会冒充可信实体来诱骗受害者进行金融诈骗。
BEC电子邮件使用从公共来源(LinkedIn、Crunchbase)收集的信息来显得合法。
最近的 BEC 策略利用被入侵的电子邮件账户来提高效率,并使用伪装的外部链接来获取未来攻击的凭证。
业务影响
BEC 保护可提高现有电子邮件安全解决方案的检测效率,因为它不依赖于基于签名/信誉的检测逻辑。当集成到更广泛的电子邮件安全解决方案中时,它有助于整合供应商并更好地检测威胁。BEC保护可减少由于事件信息关联缺失或不完整而导致的 BEC 威胁整体覆盖范围的差距。
驱动因素
传统技术(例如用于检测恶意附件或链接的网络钓鱼保护和反恶意软件解决方案)对 BEC 攻击的效果较差,因为 BEC 电子邮件通常不包含任何链接或附件。
传统的电子邮件安全防御措施不足以抵御 ATO 攻击。这些攻击可让攻击者不受限制地访问电子邮件档案中很少被清除的敏感数据,还可能导致依赖电子邮件作为恢复机制的其他帐户受到威胁。
被入侵的电子邮件账户使攻击者能够利用电子邮件对话来转移资金。这些 ATO 攻击与合法电子邮件几乎难以区分。
BEC 攻击造成的损失可能非常严重。
不成熟的业务流程和实践面临风险,因为它们涉及通过电子邮件进行的资金或敏感数据传输,例如临时金融交易(包括更改工资详细信息的请求)。
BEC 攻击经常无法被发现,需要采取主动的方法来防止最初的攻击。
BEC 攻击不断演变,包括新的策略,例如业务流程入侵,攻击者操纵内部控制以促进欺诈交易。这需要有针对性的保护,根据不断发展的威胁制定保护机制。
障碍
许多组织考虑用户教育等成本较低的替代方案,但这些方案提供的保护极少,并会导致实施 BEC 保护的延迟。
即使是最好的 BEC 解决方案也并非万无一失,因为攻击者的技术在不断发展,包括利用 ChatGPT 等先进的 AI 工具来制作更具欺骗性的电子邮件。
仅依赖API 方法的 BEC 保护不足以实现全面的电子邮件安全。
ATO 攻击可以破坏基本的 BEC 保护措施,从而降低该工具的有效性。但是,一些高级 BEC 解决方案可以通过分析电子邮件线程和通信模式来发现异常,从而识别可疑活动。
虽然专用的 BEC 工具可以在不久的将来提供专门的保护,但BEC 功能最终可能会集成到更广泛的电子邮件安全解决方案中。
BEC 防护依赖于人工智能、机器学习 (ML) 和基于行为的检测,这些检测可能会产生误报/漏报。这可能需要手动检查标记的电子邮件以确认警报。
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:针对一线工作人员的终端安全技术包括旨在保护一线工作人员使用的非传统设备的工具和实践。这些解决方案满足了专用设备(例如扫描仪、可穿戴设备)的独特安全需求,这些设备在不同环境中运行,通常具有共享使用模式和有限的网络连接。
为什么重要
对于恶劣现场条件下的一线工作人员(例如医务人员和执法人员),硬件可用性和生物识别等身份验证技术至关重要。一线工作人员需要耐用、受监控、锁定、安全的设备,以及强大的统一终端管理 (UEM) 系统来保持设备更新和修补。然而,使用个人设备可能会导致数据安全问题和性能问题,因此适当的控制至关重要。
业务影响
一线用户使用企业系统和数据。一线场景需要额外的安全保护。场外一线设备易于操控和攻击。坚固耐用且安全的系统可保护消费者、工人和承包商的敏感数据。所有安全风险都需要各种修复;有些解决方案适用于传统的移动管理,而不是一线员工,需要定制开发以确保安全。
驱动因素
越来越多的企业允许其一线员工访问数据和应用程序,这使组织和员工面临额外的基于云的安全问题。
由于存在数据泄露或其他类型攻击的可能性,安全团队被迫重新考虑其前线终端安全背后的策略和架构。
随着BYOD变得越来越普遍,企业需要新的移动应用程序管理(MAM)和移动威胁防御(MTD)解决方案,从而导致应用程序级容器解决方案的出现。
障碍
多层安全保护需要专门的硬件和云功能,从而给企业带来更高的成本支出。
一线员工可能需要额外的物理安全解决方案,包括摄像头、签到/签出协议、用户和设备身份管理、使用后需要数据清除的轮班设备以及地理/位置类型保护。
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成长期
定义:身份威胁检测与响应 (ITDR) 是一门学科,其中包括保护身份和访问管理 (IAM) 基础设施本身免受攻击的工具和最佳实践。各种 ITDR 工具可以检测威胁、确认管理员状态、响应不同类型的攻击或根据需要恢复正常运行。
为什么重要
身份是安全运营的基础(身份优先安全),并且必须以安全思维来运营IAM基础设施。随着身份变得越来越重要,威胁行为者越来越多地将目标对准身份基础设施本身。身份仍然是威胁行为者的主要目标,凭证滥用是一种常见的攻击媒介。组织必须更加注重保护其IAM基础设施。ITDR为 IAM 和网络安全部署增加了额外的安全层。
业务影响
保护 IAM基础设施对于安全运营至关重要。如果您的帐户被盗用、权限设置不正确或 IAM 基础设施本身被盗用,攻击者就可以控制您的系统并破坏业务运营。保护 IAM 基础设施必须是重中之重。在攻击者开始直接攻击身份工具之前,“一切照旧”的流程似乎已经足够了,但现在已不再足够。这可能需要一个或多个支持 ITDR 的工具,其中可能包括组织产品组合中已有的工具。
驱动因素
更老练的攻击者正在积极攻击 IAM 基础设施本身。例如:
管理员凭证滥用现已成为针对 IAM 基础设施攻击的主要载体。
攻击者可以使用管理权限来访问组织的全局管理员帐户或受信任的安全断言标记语言 (SAML) 令牌-签名证书来伪造 SAML 令牌以进行横向移动。
现代攻击表明,传统的身份卫生措施是不够的。没有完美的预防。多因素身份验证和授权管理流程可以被规避,支持/启用工具通常缺乏检测和响应机制。
ITDR 是一门总体学科,也是保护 IAM 基础设施本身的一套功能。除了访问管理 (AM)、身份治理和管理、特权访问管理、安全信息和事件管理以及安全运营中心或外包托管检测服务之外,ITDR 也是必需的。
IAM 和基础设施安全控制之间存在重大检测差距。IAM 传统上用作预防控制,而基础设施安全被广泛使用,但在检测特定于身份的威胁时深度有限。与通用配置管理、检测和响应工具相比, ITDR需要更具体的功能,并且运行延迟更低。
障碍
ITDR 需要 IAM 和安全团队之间的协调。这种协调可能很难建立。
缺乏对 IAM 管理员卫生、检测和响应最佳实践的认识。需要的不仅仅是传统的 Active Directory 威胁检测和响应。
IAM 团队经常花费过多精力保护其他团体的数字资产,而没有足够精力保护自己的 IAM 基础设施。他们倾向于在孤岛中操作身份工具,这使得他们无法共享风险信号并优先考虑整体卫生活动。
需要多种功能才能全面保护 IAM 基础设施。这些功能包括密切监控根 IAM 管理员帐户的配置更改、检测 IAM工具何时受到攻击、实现快速调查和有效补救以及快速恢复到已知良好状态的能力。供应商正在投资改进自动化。
尽管有许多不同的工具具有ITDR功能,但它们不同的架构将它们各自限制在特定的用例中。
影响力评级:较高
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:扩展检测和响应 (XDR) 提供统一的安全事件检测和响应功能。XDR 集成了来自多个来源的威胁情报、安全事件和监测数据,以及安全分析,以提供安全警报的情境化和关联性。XDR 必须包含本机传感器。XDR 可以在本地交付或作为 SaaS 产品交付,通常由安全团队规模较小的组织部署。
为什么重要
XDR 通过使用系统化而非集成化方法来构建检测堆栈,提供了一种不太复杂的威胁检测和响应方法。XDR 供应商大多通过使用本机 API 来管理通常与构建检测堆栈相关的复杂依赖关系。供应商提供预构建的剧本,以支持堆栈中的协作以及常见威胁检测的一致性。
业务影响
XDR 相对容易用于检测常见威胁,减少了对内部技能的需求,并可以减少运营更复杂解决方案(如安全信息和事件管理 (SIEM))所需的人员。XDR 还可以通过单一集中调查和响应系统帮助减少与安全运营任务相关的时间和复杂性。
驱动因素
XDR对成熟度需求适中的组织具有吸引力,因为检测逻辑大多由供应商提供,通常需要较少的定制和维护。
XDR 对于那些希望提高整个安全堆栈可见性的组织以及那些希望降低更复杂的事件响应 (IR) 解决方案的管理要求的组织具有吸引力。
难以关联和响应来自不同安全控制的告警的中型组织欣赏集中式 XDR 接口带来的生产力提升。
拥有维护和运营可扩展检测堆栈所需技能的员工很难招募和再培训。
购买XDR 形式的系统检测堆栈可以简化产品选择和采购。
障碍
XDR 缺乏可扩展性,这给希望构建自定义和可扩展的检测和监控用例的客户带来了障碍。
通过添加或替换安全控制来扩展 XDR 检测堆栈的功能可能会受到供应商的限制。
单独的XDR产品并不总是能满足除事件响应之外的用例的所有长期日志存储需求,例如合规性、应用程序监控和性能监控。
对于高级安全运营中心 ( SOC) 功能(例如创建可靠的记录系统或威胁狩猎)而言, XDR 可能是一个糟糕的选择。
影响力评级:较高
市场渗透率:目标受众的 5% 至 20%
成熟度:成长期
定义:内容解除和重建 (CDR)(或内容清理)是一种网络安全技术,它可以解构文件、删除偏离标准规范的潜在恶意组件(如宏、脚本和活动内容),并重建干净的版本以实现安全交付。
为什么重要
CDR 通过删除任何形式的恶意组件来防范不断演变的网络威胁。与传统的基于签名的安全性不同,CDR 主动缓解与电子邮件、网络下载和云平台之间的文件共享相关的风险,通过在威胁造成危害之前将其消除来确保更高级别的保护。这种主动方法可以缓解已知和未知的威胁,包括零日攻击。
业务影响
主动威胁预防:CDR 在威胁运行之前阻止其运行,从而最大限度地减少终端防病毒的使用。
增强的零日保护:通过删除可疑组件,CDR 可以防范零日威胁。
减少数据丢失和泄露:CDR 可以有效地阻止威胁,尽管威胁检测和响应的有效性可能会受到系统与安全供应商的集成程度的影响。
驱动因素
基于文件的威胁不断升级:由于未修补的设备、配置漂移、影子 IT 以及网络犯罪分子不断演变的策略(包括恶意软件、勒索软件和零日漏洞)造成的攻击面不断扩大,传统的外围防御变得越来越不足。
员工协作和文件共享的增加:远程工作的兴起和云协作平台使用的增加,需要对跨组织边界的共享文档采取强有力的安全措施。CDR 可防止通过文件共享无意中引入的恶意内容。
安全重点的转变:安全形势越来越重视主动威胁预防,而不是被动检测和响应。CDR 在威胁实施前解除威胁的能力与这一关键趋势相一致。
遗留安全限制:沙盒等传统方法可能速度慢且资源密集。CDR 提供更快的处理时间,最大限度地减少对用户生产力的干扰。
与安全框架集成:CDR 与现有安全堆栈(例如安全电子邮件网关和云安全服务边缘平台)无缝集成,提供整体安全方法。
障碍
平衡安全性和功能性:CDR 可以改变文件行为,因此需要谨慎配置以避免影响合法功能。过度严格的设置可能会导致文件无法使用。
威胁情报有限:虽然 CDR 可以有效化解威胁,但如果没有供应商的额外集成,它通常无法识别恶意行为者或攻击背后的意图。这限制了它对更广泛的威胁情报收集的贡献。
集成和专业知识:将 CDR 与现有安全基础设施集成可能很复杂,需要专业知识。此外,确保各种文件类型的最佳配置需要持续的管理。
成本与感知价值:安全领导者可能会优先考虑投资回报率更容易量化的领域。展示 CDR 的长期价值主张,特别是在预防复杂攻击方面,对于更广泛地采用 CDR至关重要。
影响力评级:颠覆
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:安全访问服务边缘 (SASE) 提供融合网络和安全功能,包括软件定义的 WAN、安全互联网访问、安全 SaaS 访问、防火墙和零信任网络访问功能。SASE 支持分支机构、远程工作人员和本地安全访问用例。SASE 主要以服务形式提供,并根据设备或实体的身份以及实时上下文和安全与合规性策略实现零信任访问。
为什么重要
SASE 是现代数字业务转型的关键推动因素,包括随时随地工作以及采用边缘计算和云交付应用程序。它提高了可见性、敏捷性、性能和安全性。SASE还主要通过云交付模型大大简化了关键网络和安全服务的交付和运营。SASE将安全访问所需的供应商数量减少到一两个明确合作的供应商。
业务影响
SASE 支持:
数字业务用例(例如分支机构转型和混合劳动力支持)提高了易用性,同时通过供应商整合和专用电路卸载降低了成本和复杂性。
基础设施和运营及安全团队以一致和集成的方式提供网络和网络安全服务,以支持数字业务转型、边缘计算和随时随地工作的需求。
驱动因素
通过移动劳动力采用基于云的服务实现数字化劳动力转型,边缘计算必须支持 SASE 的灵活、随时随地、安全、基于身份的逻辑边界模型。
在管理复杂性的同时,需要转向零信任安全架构,这是采用 SASE 的一个重要因素。
越来越多的具有竞争力的单一供应商 SASE 产品可供使用,同时还有来自通信服务提供商和其他供应商的十多种托管 SASE 产品。
对于 IT 而言,SASE 可以减少新用户、地点、应用程序和设备的部署时间。
对于信息安全,SASE 支持通过单一方式在所有类型的访问(互联网、网络应用程序和私人应用程序)中一致地设置策略实施,从而减少了攻击面并缩短了补救时间。
企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署,这也推动了 SASE 的采用。
障碍
组织孤岛、现有投资 — SASE实施需要跨安全、网络和数字工作场所团队的协调方法,考虑到更新和续订周期、孤岛和现有员工的专业知识,这具有挑战性。
本地部署要求 — 有些客户不喜欢基于云的检测方法,希望保持控制权。其他客户可能拥有固定的办公室员工队伍。
SASE覆盖要求 — SASE 依赖于云交付,而供应商的云足迹可能会阻碍在某些地区(如中国、非洲、南美和中东)的部署。相比之下,一些买家只有区域要求,不需要广泛的覆盖范围。
单一供应商SASE 成熟度 — 敏感数据可视性和控制通常是一项高优先级功能,但功能差异很大。虽然您首选的单一供应商可能缺乏您所需的功能,但双供应商合作伙伴关系可能是一种可行的方法。
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:桌面即服务 (DaaS) 是由公有云或服务提供商提供的虚拟桌面。IT 领导者购买 DaaS 是为了从使用远程显示协议访问的虚拟机提供桌面或应用程序体验。DaaS 供应商将完全托管的控制平面服务纳入其产品中,以方便用户连接并提供管理界面。DaaS 可以作为预配置的服务提供,也可以作为 DaaS 平台提供。
为什么重要
使用 DaaS,终端上不会驻留任何数据,从而为远程工作人员提供可提高安全性、弹性和应用程序响应能力的解决方案。DaaS 提供可扩展的服务而无需添加基础设施,允许客户按小时、按天和按月适当调整和使用 DaaS;但是,并非所有 DaaS 解决方案都提供如此精细的计费选项。
业务影响
借助 DaaS,IT 领导者可以提高桌面和应用程序的安全性。与传统虚拟桌面基础架构 (VDI) 相比,DaaS 的其他优势包括:
灵活的采购选项,允许可扩展部署。
简化向新地理区域推出服务的流程。
适用于更广泛的行业和用例。
IT运营团队部署和操作虚拟桌面和应用程序所需的技能较少。
工作量更加快速地扩张或收缩。
驱动因素
到 2027 年,DaaS 将继续成熟并见证更广泛的采用。由于以下因素,该技术已走出泡沫破裂低谷去,进入稳步爬升复苏期:
DaaS 支持业务连续性和远程工作,且终端上无需驻留任何数据。
该技术安全地将服务扩展到外部承包商和第三方。
终端计算模型允许设备独立并自带 PC (BYOPC) 终端。
按需桌面支持允许扩展云资源的财务模型和运营支出 (opex) 模型。
DaaS 可以短期购买,支持季节性或短期合同工等用例。
DaaS 支持在合并、收购和资产剥离期间快速访问系统。
丰富的图形用例,如工程、游戏开发、视频编辑和地理信息系统 (GIS),受益于支持图形处理单元 ( GPU ) 的工作站级虚拟桌面和应用程序。
DaaS 可以在数小时内交付给用户。而实体设备的供应则可能需要数周时间,而且会产生运输成本,并且不一定能保证取回。
该技术消除了复杂和静态的 VDI 实施的需要。
固定价格期权消除了基于消费的模型所固有的不可预测性,扩大了市场吸引力。
障碍
通常,只有考虑到安全和用户成本影响时,商业案例才会变得积极。
GPU 使用案例可能非常昂贵,并且通常需要高级协议,这会增加复杂性。
DaaS 中的多媒体流、网络会议和视频通话性能并不等同于物理终端的性能。
DaaS 中可能会出现性能问题,因为应用程序架构引入了与网络相关的问题(即延迟和发夹弯、云共享基础设施)。
一些 DaaS 解决方案需要自行组装,虽然比 VDI 简单,但对于某些客户来说仍然过于复杂。
DaaS 提供商可能无法完全满足全方位的桌面管理要求,可能需要补充工具才能实现全面管理和最佳用户体验。
大规模复杂部署通常需要采用基础设施即代码的方法,这可能需要大量劳动力。
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:零信任网络访问 (ZTNA) 使用基于身份和上下文的策略,为员工和第三方使用的设备创建自适应、最不合逻辑的基于权限的组织资源访问。ZTNA 通过隐藏基础设施和资源并通过信任代理使用持续自适应访问控制来授予命名实体集合的访问权限,从而限制网络中的横向移动,从而减少攻击面。
为什么重要
ZTNA是一项关键技术,它通过信任代理实现基于最小逻辑特权访问的自适应用户到资源分段。它允许组织隐藏私有资源,避免被发现。它通过混淆组织的基础设施并创建仅包含用户、设备和资源的个性化“虚拟边界”来减少攻击面。
业务影响
ZTNA 在逻辑上将源用户/设备与目标资源分开,以缓解完全网络访问并减少组织的攻击面。这改善了静态、基于网络的 VPN 路由的一些用户体验(UX)问题,并通过定义为零信任策略的自适应访问控制,通过动态、细粒度的用户到资源分段实现了远程访问灵活性。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易用性。
驱动因素
组织内部采用零信任策略要求用安全远程访问取代传统的基于网络的 VPN,以便对本地和基础设施即服务(IaaS) 中托管的资源进行更精确、更具适应性的访问和会话控制。
IaaS 的采用和混合基础设施的兴起需要更灵活的安全远程连接,以便直接访问资源,而不是路由到多个目的地的静态连接。
组织需要将第三方(例如供应商、厂商和承包商)直接连接到资源,而无需使用全隧道 VPN 连接到其网络或将资源直接暴露给非军事区 (DMZ) 中的互联网。
经历并购的组织需要能够将资源访问扩展到被收购的公司,而无需部署终端或互连其企业网络。
供应商大力营销,将 ZTNA 等同于为组织实现“零信任”,从而产生了客户期望,即他们可以按照按用户/按年订阅的许可模式购买“零信任”。
障碍
ZTNA 通常按每个用户/每年按指定用户授权,价格大约是传统 VPN 的两倍或三倍。
并非所有产品都支持对所有资源的访问,并且一些供应商将VPN 即服务(VPNaaS) 作为 ZTNA进行营销,但缺乏对更成熟的零信任控制的支持。这限制了组织长期采用持续自适应访问控制的能力。
基于云的信任代理可能无法在本地扩展策略执行点,与提供本地和异地执行点的 ZTNA 产品相比,使用案例受到限制。
组织必须为用户映射资源访问权限。然而,许多组织缺乏这方面的理解,最终得到的访问规则并不比被替换的 VPN 更好。这提供了广泛的访问权限或过于细粒度,这给长期管理解决方案增加了大量开销。
ZTNA 只是实现零信任态势的一种技术,必须与其他技术集成和部署才能发挥作用。
影响力评级:中等
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:数据清理是一种基于软件的规范化过程,即故意永久删除或销毁存储在存储设备上的数据,使其无法恢复。已清理的设备没有可用的残留数据,即使借助先进的取证工具,数据也永远无法恢复。
为什么重要
只要有一台数据承载设备在原本稳固的 IT 资产处置 (ITAD) 流程中漏网,您的数据就会被在线出售。鉴于人们对数据隐私、安全性、泄漏和合规性的担忧日益增加,稳固、一致和普遍的数据清理是所有 IT 组织的核心 C 级要求。此外,存储介质容量和边缘计算/物联网 (IoT) 设备数量的不断扩大,也加剧了对始终如一的稳固数据清理流程的迫切需求。
业务影响
强大的数据清理可以节省成本,帮助实现循环经济,并最大限度地降低因严重 ITAD 相关数据泄露而导致的重大经济和品牌损失的风险。收益评级为中等,因为数据清理已成为一种公认的流程,可以最大限度地降低数据安全的重大业务风险。
驱动因素
数据安全合规性:无论卸载硬件的目标最终状态如何,数据清理或硬盘销毁对于确保符合内部和外部隐私和安全要求都至关重要。这些流程通常由经验丰富的 ITAD 供应商最有效、最可靠地执行。考虑到不够强大的数据清理流程会给您的品牌带来重大风险,需要认证数据已按照通用行业标准进行清理。
可行的残值 (RV)、可持续性和循环经济:人们越来越重视可行的残值、可持续性,特别是循环经济,这正在推动数据承载设备从物理销毁转向消毒。消毒可以将IT 资产的经济和使用寿命延长 50% 至 100%,减少高达一半的温室气体 (GHG) 总排放量,并促进实现企业净零排放目标。
数据清理标准和加密:公司正在利用国际标准(例如NIST 800-88或ADISA )并要求ITAD 服务提供商提供NAID AAA 认证(而不仅仅是会员资格)。为了最大限度地降低监管链安全风险,许多 ITAD 经理(尤其是金融和医疗保健领域的经理)要求在现场执行某种形式的数据清理。那些不需要现场数据清理的人员通常会对所有承载数据的设备实施数据加密,以最大限度地降低这些风险。
全面、普遍的数据清理:全面数据清理正在应用于所有具有存储组件的设备(例如企业存储和服务器、PC、移动设备、边缘计算设备和一些物联网设备)。缺乏强大的数据清理能力通常是由于将资产生命周期阶段作为孤立事件处理,业务边界(例如财务、安全、采购和 IT)之间缺乏协调。
远程数据清理:对于移动设备,远程数据清除功能通常通过移动设备管理器实现。虽然这种机制并非万无一失,但其可靠性对于大多数丢失或被盗的移动设备来说应该足够了。
障碍
自满:公司陷入了“一切照旧”的综合症:“我们一直都是这样做的,从来没有遇到过问题。”数据安全要求(例如GDPR、HIPAA 和 CCPA )的快速增长要求对数据安全和清理过程进行彻底(年度)审查。
成本:与许多低成本的“相信我”替代方案(例如,承诺其流程强大的“朋友”)相比,强大的数据清理成本高昂。请记住:数据清理关乎您的品牌在市场上的诚信。
缺乏执行意识和重点:C 级高管经常自信地表示他们拥有世界一流的数据清理流程,但多年来他们却没有对这些流程进行过彻底的审查/审计。大型组织可能拥有强大、规范的数据清理流程,但在某些偏远地区,该流程可能没有得到一致或普遍的执行。
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:终端检测和响应 (EDR) 工具可监控终端的异常行为和恶意活动,以检测绕过预防措施的攻击。EDR 使用高级分析、机器学习和威胁情报来监控系统、流程和用户行为。它可以自动清理、检测可疑事件并简化事件响应。在纵深防御策略中,EDR 使用 AI、威胁源和自动化来防止损害并简化针对新兴攻击的操作。
为什么重要
现代安全和风险管理领导者需要 EDR 来在防病毒、防火墙和入侵防御技术被规避时提供广泛的事后意识。EDR 的高级分析、威胁情报和自动化使团队能够:
检测勒索软件等威胁。
发现隐藏的对手。
利用 EDR 实现丰富的数据驱动的风险管理。
EDR 对于防御不断演变的攻击、减少损害和优化安全运营至关重要。
业务影响
降低入侵风险:主动检测威胁和高级攻击者可最大限度地减少损害和数据丢失。
更快的事件响应:自动化和威胁情报加快响应时间,节省企业停机时间和金钱。
增强监管合规性:EDR 有助于满足网络保险公司和数据隐私法规的合规性要求。
驱动因素
不断演变的威胁:传统的预防方法(如签名和启发式方法)难以抵御零日漏洞、勒索软件和高级持续性威胁等复杂攻击。EDR 的高级分析和威胁情报可实现主动检测和快速响应。
远程工作激增:远程工作的激增需要基于云的安全解决方案。EDR 为地理上分散的设备提供集中管理和可视性。
基于身份的攻击:终端检测和响应与身份威胁检测和响应的结合对于识别和应对普遍存在的凭证和身份盗窃攻击至关重要。
快速事件响应:EDR 可自动执行遏制和补救措施,最大限度地减少主动攻击期间的损害和停机时间。实时威胁洞察使安全团队能够及时阻止事件发生。
可组合安全:EDR 与防火墙、安全信息和事件管理等其他安全工具集成,形成整体安全结构。这种可组合方法可以全面查看攻击面并促进协调防御策略。
障碍
安全技能差距:有效利用 EDR 需要专业知识。安全团队可能需要投资培训或聘请具有威胁搜寻技能的人员,以充分利用 EDR 解决方案的高级功能。
云工作负载集成:云原生工作负载和容器化环境的动态特性可能会给传统 EDR 代理带来集成挑战。确保与这些环境的无缝集成需要 EDR 供应商和安全团队的持续努力。
多平台支持:EDR 解决方案很难在混合和多平台环境中跨多种平台(包括虚拟化环境、Linux、macOS、移动操作系统等)提供一致的保护功能。在这些多样化的平台上实现一致的保护和功能对等仍然是一项持续的挑战。
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:移动威胁防御 (MTD) 可保护组织免受针对 iOS 和 Android 移动设备的威胁。它为设备、其网络连接及其应用程序提供预防、检测和补救措施。为了预防和检测恶意软件等企业威胁,MTD 产品使用各种技术,包括基于行为分析的检测。产品来自各种供应商,包括终端保护平台 (EPP) 供应商和独立的 MTD 提供商。
为什么重要
MTD 通过识别易受攻击的设备、恶意应用程序和网络来提高移动安全性。它还可以提供对移动设备行为的可视性,这些行为可能表明存在恶意活动,这些行为可以与其他可观察数据和威胁情报相关联,以提高整个企业的检测和响应能力。除其他威胁外,MTD 还可以对抗移动网络钓鱼。金融服务和其他高安全性和受监管的行业是这项技术的主要采用者。
业务影响
MTD 可以与现有的统一终端管理 (UEM) 部署的策略集成,以便在检测到恶意或不需要的应用程序时进行补救。
该技术可以与 EPP 集成以共享移动威胁情报,并将其与来自其他终端的数据相关联,以实现更丰富的检测。
该技术还可作为独立工具部署。
MTD 可以为受监管的行业、需要使用多样化和分散的移动操作系统版本的企业以及选择不管理其提供企业访问权限的移动设备的组织提供安全保障。
驱动因素
许多企业部署 MTD 来应对高级和有针对性的攻击。在实践中,MTD 提供更多传统的安全功能,例如应用审查和设备漏洞管理。
防范移动网络钓鱼是采用该技术的主要驱动力。移动设备上的网络钓鱼攻击可以绕过传统的企业措施,例如通过短信和WhatsApp等即时通讯应用程序进行的电子邮件安全保护。
最近的用例将 MTD 设想为零信任架构和扩展检测和响应系统的组成部分。
对于非托管 iOS 和 Android 设备,MTD 提供适合自带设备 (BYOD) 和在家办公场景的安全保障。当用户在设备上启动工作应用程序时,只有当 MTD 在设备上运行时,该应用程序才允许访问。特别是,微软对此选项的 MAM-WE 实现已广受欢迎,可以在非托管设备上启用 Outlook 和其他 Microsoft 应用程序。
终端安全供应商正在扩展其 EPP 产品以包括对 iOS 和 Android 的支持。
障碍
MTD 的采用速度低于最初对移动安全大肆宣传所预期的速度,也低于整体 EPP 的增长速度。缺乏导致重大企业违规的移动安全问题证据,因此MTD 并不是企业的优先事项。
受监管行业和对安全要求较高的企业采用 MTD 解决方案。在主流组织中,采用 MTD 产品的组织主要限于那些希望改善整体安全状况或为 BYOD 设备提供设备状态信息的组织,而不是那些旨在应对恶意移动威胁的组织。
移动操作系统(尤其是 iOS 和 iPadOS)限制了安全工具在这些平台上可以采取的可见性和补救措施。
影响力评级:较低
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:远程浏览器隔离 (RBI) 将不受信任的内容(通常来自互联网)的呈现与设备分离,或将敏感应用程序和数据与不受信任的设备分离。在为任何一种情况部署 RBI 时,它都会显著降低来自互联网的入侵、数据丢失和网络钓鱼攻击的可能性。它还可以降低与不受信任的设备相关的恶意软件和数据丢失风险。
为什么重要
远程浏览器隔离将终端与 Web 服务之间的会话分开,从而降低恶意软件和数据丢失的风险。RBI可防止通过 Web 传递的恶意软件直接传递到终端。RBI还可以反向工作。当用作安全服务边缘 (SSE) 平台的一部分时,它可以保护敏感的 SaaS 和私有应用程序数据和应用程序免受不受管理且可能受感染的设备的攻击。
业务影响
攻击通常通过公共互联网进行,通过网页浏览或通过电子邮件链接诱骗用户访问恶意网站。当不受信任的设备访问组织的资源时,攻击者还会针对组织的私有资源传播恶意软件或窃取需要额外保护的数据。将最终用户桌面上的浏览器连接到在不同位置运行的另一个浏览器可以提高现有安全工具的有效性。
驱动因素
许多组织希望通过在 SSE 中将隔离作为正向代理、反向代理和私有应用程序的策略操作来建立自适应零信任态势。
通常需要对托管和非托管设备应用恶意软件防护和数据保护。
与缓慢、静态的阻止列表相比,网站隔离是阻止有针对性的攻击的更有效的提高安全性的方法。
允许有合法业务需要的用户单独访问未分类的网站和有风险的网站,而不是阻止他们,这样可以减少用户摩擦。
可以隔离外部解析的基于电子邮件的 URL,以防止对员工的网络钓鱼攻击。
障碍
最终用户经常会提到,在所有站点部署 RBI 时体验不佳,这导致一些组织将 RBI 限制在某些类别的站点或寻求替代方案,例如在本地而不是远程隔离浏览器的安全浏览器。
市场上仅剩少数独立 RBI 供应商。这限制了选择,因为大多数 RBI 选项现在都包含在安全访问服务边缘 (SASE) 和 SSE 平台的功能中。
RBI 是一种额外的防御层,需要额外的成本;它很少能完全取代其他安全控制措施。
大多数 RBI 产品都是基于软件和云交付的,这限制了寻求内部部署、基于硬件的隔离选项的组织的选择。
RBI 无法防止允许下载到终端的受感染内容。需要使用文件防病毒和沙盒、转换为 PDF、远程查看器以及内容解除和重建 (CDR)等机制。
影响力评级:较高
市场渗透率:超过50%的目标受众
成熟度:成熟主流
定义:统一终端管理 (UEM) 工具提供基于代理和无代理的终端设备管理,这些设备运行 Windows、Android、ChromeOS、Linux、macOS、iPadOS 和 iOS。UEM 工具使用来自身份、应用、连接和设备的遥测数据来应用数据保护、设备配置和使用策略。它们还与身份、安全和远程访问工具集成以支持零信任。
为什么重要
UEM 通过整合不同的工具并简化跨设备和操作系统的流程来简化终端管理。UEM 已扩展到管理之外,提供与身份、安全和远程访问 VPN 工具的更深入集成,以支持零信任安全模型。领先的 UEM 工具还利用智能来推动自动化,通过丰富的数据收集和洞察来降低 IT 开销并改善数字员工体验 (DEX) 。
业务影响
UEM 工具可以简化和改善终端管理。具体影响包括:
与位置无关的终端管理和修补。
通过减少供应商、合同和工具的数量来简化设备管理和支持流程。
通过所有终端平台上一致的管理配置和数据安全,实现更好的安全卫生。
跨公司管理和自带设备终端进行以员工为中心的管理。
驱动因素
支持混合员工需要超越单一平台的工具或需要设备在特定网络上才能运行。
IT 希望简化和精简终端部署、管理和修补,以便为远程员工提供新设备,并通过一致的控制和配置管理降低安全风险。
日益重视改进 DEX 需要更深入地了解终端性能、可靠性和一致性。高级 UEM 工具更广泛地使用终端分析和自动化。
IT团队难以通过专业工具、人工和缺乏供应商集成来支持各种设备,这降低了覆盖范围、培训和灵活性。网络攻击的增多要求更快的补丁部署和更好的配置管理控制和合规性。
障碍
传统组织模型中,移动和 PC 管理、远程访问和安全的责任分布在多个 IT 团队中。
缺乏资金、技能、资源、时间或兴趣来采用新工具或新实践。
严重依赖过时且无效的高接触设备管理实践。
对于没有终端管理工具的少数组织来说,他们担心成本问题。
拥有许多Active Directory 组策略对象的组织面临着迁移到配置服务提供商配置文件的困难,因为他们对每个组策略对象的作用知之甚少。
具有多个 Active Directory 林或域的高度复杂的环境,和/或自主业务部门难以适应UEM工具的集中化特性。
存在大量技术债务的脆弱环境,包括依赖不受支持的浏览器、运行时环境或插件的旧操作系统或应用程序。