7月23日,Gartner发布《Hype Cycle for Security Operations, 2021》(2021安全运营技术成熟度曲线),人们逐渐把目光转移到安全运营技术上。
相比较于2020年,数字化转型增强了公司与IT技术的联系,伴随疫情的持续影响,使用移动设备和云服务远程工作的频率逐渐增加。这一变化使企业需要面临更多的网络威胁。
安全运营技术成熟度
此次Gartner发布的《2021安全运营技术成熟度曲线》,对约20项最新较热门的安全运营技术,从关注度、现阶段所处层次、到达生产力成熟所需年限等方面做出系统行性的描述。
以下分别选取处于创新萌芽期、过热期、幻灭低谷期、复苏期、生产力成熟期等较为大众关注的几个技术进行进一步分析与探讨。围绕大众期望值、技术所处的发展阶段、技术成熟所需年限、技术优劣势等方面和大家进行系统性阐述。
渗透测试即服务(PTaaS):
渗透测试即服务 (PTaaS) 能够提供连续性和及时性的应用程序和基础设施渗透测试服务,这些服务的使用以往上依赖于专业的渗透测试人员。对于近年来新兴的渗透测试即服务的安全运营成熟度,Gartner在今年新发布的《安全运营技术成熟度曲线》中,研究人员分析PTaaS现阶段正处在萌芽期,企业和用户对其的关注度还处在较低的状态。
但是随着网络安全威胁数量增加,企业数字化程度提高,人们对PTaaS的关注度也会逐年上升,经过5-10年的技术积累和科技攻关,PTaaS安全运营会逐步的发展到一个比较成熟的阶段。
渗透测试(PT)作为网络安全计划的基础,PTaaS模型更是提供了可支持更快的调度和执行的平台,可及时的与测试人员实现实时通信。无论企业的规模、成熟度如何,PTaaS都可提供快速访问渗透测试,提升组织的安全态势,优化成本并提高输出质量,并对修复的漏洞进行重新的验证。
当然,现阶段PTaaS的应用仍存在各种各样的问题,市场上大多数PTaaS供应商只关注面向互联网的数字资产,如Web应用和移动应用,此举只能满足部分客户的要求。安全测试市场各方存在激烈的竞争,漏洞和攻击模拟 (BAS)、自主渗透测试和红队,也都在市场上厮杀,因此PTaaS市场压力还是比较巨大的。
数字风险保护服务(DRPS)
近几年,大众关注的数字风险保护服务(DRPS)经过一段时间的技术积累,突破了创新萌芽期来到了过热期,关注度也正在逐渐攀升到最高峰。人们对其发展抱有极大期望,希望能够利用DRPS对技术和服务相互结合,构造保护关键数字资产和数据安全的堡垒。
社交媒体的兴起,数据信息交换频繁,导致犯罪分子对数字资产的影响逐渐加大,攻击的复杂性也逐渐提高,对全球组织的业务运营产生了极大的危害,因此用户对资产安全的保护提出了更高的要求。
根据上图Gartner发布的《安全技术运营曲线》分析,2-5年后,随着研发资金的投入,以及运用模式的成熟,DRPS的发展会走向完善,成功的应用到市场实践后,能够帮助用户深层次的识别关键资产的潜在的威胁。
当然,DRPS商用不仅仅由自身成熟度能决定。市场的迅速增长,越来越多的与其他市场竞品重合,TI,端点保护平台(EPP)、托管安全服务供应商(MSSP)、托管检测和响应 (MDR) 提供商以及外部攻击面管理 (EASM) 等,都会给DRPS的大规模应用造成不可预知的障碍。
破坏和攻击模拟 (BAS)
BAS技术通过部署利用了软件代理、虚拟机、云平台和其他手段来运行模拟,测试威胁载体,模仿可能由网络犯罪分子部署的攻击。如外部和内部人员、横向移动和数据渗出等,能够更好的使企业能够持续不断地模拟针对企业资产的多种攻击载体,更好的保护企业的网络安全,现阶段,大型企业多采用审计、漏洞管理、应用安全测试和渗透测试等方法检验自身网络安全。相比较以往方式,BAS能够更好的保证用户的网络安全。
除此之外,验证基础设施的网络安全、配置设置和检测/预防技术是否按预期运行。当作为红队或渗透测试演习的补充时,BAS也可用于验证安全操作中心的工作人员是否能检测到特定的攻击。
根据上图图Gartner发布的安全运营曲线发现,BAS技术发展正处于过热期,技术成熟度不够完善,但人们的关注度却达到了历史峰值。但是BAS仍然面临部署和维护方面的困难,BAS供应商需要来自安全运营中心、应用程序和网络运营等团队内部合作的大力支持,同时还需要通过标准框架扩大诊断和基本补救指导等问题。即使处于这样的情况下,Gartner也乐观的预测,在2-5年内,BAS技术会突破技术瓶颈,完成技术成熟的市场化应用。
管理检测和响应(MDR)服务
管理检测和响应(MDR)服务能够利用主机、网络以及越来越多的云技术组合,结合先进的分析、威胁情报和人力专长,提供全天候的威胁监测、检测和响应。
根据下图Gartner《安全运营曲线》,人们对MDR的关注度和期望值正在逐渐降低,技术的发展也已经过了过热期,转向低谷幻灭期。这一时期MDR面临巨大的压力,前期的技术积累需要迎来一个技术突破达到真正的市场认可。
Gartner基于MDR在以下几个方面的优势,结合实际的市场行为分析,认为2-5年内,MDR会发展到生产力成熟期。
1.由于越来越多的外部攻击,尚未加强威胁检测和响应能力的组织面临网络威胁,MDR服务使这种组织能够直接从服务提供商那里购买网络保护等功能,从而降低了人员、流程和技术的正确组合的复杂性;
2.为了响应客户需求,MDR 提供商为其产品添加了基础安全操作功能,例如漏洞管理、日志管理和风险管理;
但是MDR服务的大规模市场化的应用,面临着许多需要客服的困难,供应商的数量持续增长,使得买家更难确定满足其需求的最佳供应商;拥有XDR解决方案的技术供应商,将管理型端点检测和响应(EDR)作为MDR的一种形式,将其MDR服务定位为管理型XDR,这样做可能会增加买家的疑惑;管理型安全服务提供商(MSSPs)在其产品组合中增加了MDR产品,这一做法使买方的决策过程更加复杂。
威胁情报服务(TI)
威胁情报(TI)服务能够通过记录战术、技术、程序以及识别威胁和威胁者的细节,提供有关网络威胁状况的知识;与此同时提供工具,协助TI应用于安全产品上,也能够提醒用户了解自身面临的威胁;TI根据在对手及其工艺的技术和战略分析后,提供关于谁、什么、为什么、如何以及在较小程度上什么时间等信息。
另外,TI 服务有助于组织了解其网络威胁形势,从而推动对重要威胁提供更好的保护、提高检测和响应效率,通过使用 API、市场、门户和人员扩充来利用 TI 服务,从而简化在环境中实施智能的任务。
下图的Gartner《安全运营技术曲线》对威胁情服务(TI)技术发展进行了一个分析。新技术的发展必然经历技术萌芽期、技术高速发展期、技术瓶颈期、技术突破期、技术成熟期。现阶段的TI技术几年的技术发展,来到的技术的瓶颈点。在曲线中我们可以发现,伴随着技术发展瓶颈,媒体和大众的关注度和期望值也逐渐滑落到“低谷”。
TI同样也面临消费者不能充分理解其价值,存在自身误报、预算成本高等负面影响,Gartner在结合各种因素,预测2-5年内,TI技术将发展到生产力成熟期。
云访问安全代理(CASB)
下图的Gartner安全运营技术曲线显示,云访问安全代理(CASB)已经度过了技术瓶颈,处在生产力恢复期到成熟期临界点,在经过了一段时间的发展,CASB引起的社会的关注度也在逐渐的增多,在经过了人们对其期望值的“大起大落”后,逐渐稳定下来,Gartner预测2年内,CASB会突破临界点,达到生产力成熟期。
云访问安全代理(CASB)通过将SaaS、IaaS和PaaS的多种类型的安全策略执行整合到一个地方,为可见性、合规性、数据安全和威胁保护提供关键的云治理控制。例如,授权、UEBA、自适应访问控制、DLP、设备分析、对象加密、标记化、日志、警报和恶意软件清除等。结合这些优势,CASB能够向远程工作方式转变和对业务至关重要的云服务提供支持。
缺乏对DLP的关注可能会导致对CASB的使用感到沮丧,很难建立全面的政策并管理误报率。此外,SaaS租约的组织所有权不明确,导致CASB实施未能充分保证SaaS的安全。最后,一些供应商的CASB功能重叠,导致重复和混乱。这些现阶段不可避免的缺陷,是CASB的发展存在一定的阻碍。
优先级矩阵
对于各项技术的优先级分为变革型、高、中等、低四个层次。下表优先级矩阵直观的描述了各种技术发展的优先级。
变革性:将开创新的行业内和行业间业务方式,并将导致行业动态的重大转变
高:将实现新的横向或纵向流程执行方式,并将帮助企业大幅提升收入或实现成本节约。
中等:能够逐步改进已有流程,并将帮助企业提升收入或实现成本节约
低:能够小幅改进流程(例如改善用户体验),但是这种改进将很难转化为收入增长或成本节约