7月23日，Gartner發布《Hype Cycle for Security Operations, 2021》（2021安全運營技術成熟度曲線），對主流的安全運營技術進行了解讀，預測創新技術的發展階段，為組織的安全和風險管理負責人提供參考，并幫助其更有效的制定組織的網絡安全發展策略。相較于2020年，數字化轉型加速了企業與IT信息技術的關聯。由于疫情，遠程工作、移動設備的使用和云服務顯著增加，促使企業運作方式的重大變革，但也同時給企業帶來了更多的安全威脅和風險，因此安全運營技術已經成為了企業關注的重點方向。

　　成熟度曲線&優先級矩陣

　　技術成熟度曲線（The Hype Cycle），又稱技術循環曲線，指的是企業用來評估新科技的可見度，利用時間軸與市面上的可見度，決定是否采用新科技的一種工具。1995年開始，Gartner依其專業分析預測與推論各種新科技的成熟演變速度及要達到成熟所需的時間，具體可分為：技術萌芽期、期望膨脹期、泡沫破裂谷底期、穩步爬升復蘇期、生產成熟期5個階段。在2021年報告中，萌芽階段包括自主滲透測試和紅隊服務、外部攻擊面管理（EASM）、網絡資產攻擊面管理（CASSM）、滲透測試即服務（PTaaS）、擴展檢測和響應（XDR）技術；膨脹階段包括數字風險保護服務（DRPS）、漏洞優先排序（VPT）、文件分析技術（FA）、托管檢測和響應 （MDR） 服務、威脅情報（TI）服務、網絡威脅檢測及響應（NDR）、 運營系統（OT）安全技術；破裂階段包括集成化的風險管理（IRM）、安全編排自動化響應（SOAR）、欺騙平臺（DP）、入侵與攻擊模擬（BAS）技術；復蘇期包括端點檢測與響應技術（EDR）、基于硬件的安全技術、安全信息和事件管理（SIEM）、云訪問安全代理（CASB）技術；成熟期包括漏洞評估技術（VA）技術。

　　圖1  2021年安全運營成熟度技術曲線

　　（注：橫軸為“時間”，表示一項技術隨時間發展經歷各個階段，縱軸是“預期”。）

　　表1：2021年安全行動的優先權矩陣

　?。ㄗⅲ涸趦炏燃壘仃囍?，縱軸為技術的潛在效益；橫軸是按照距成熟采用期年數劃分計劃的，該年數與技術成熟度曲線上所用的評估相同。）

　　本文著眼于安全運營技術成熟度曲線的前兩個階段，從20多個技術點中，節選了歸屬萌芽期的外部攻擊面管理（EASM）、網絡資產攻擊面管理（CASSM）技術和擴展檢測和響應（XDR）技術與歸屬膨脹期的入侵與攻擊模擬（BAS）漏洞優先排序技術（VPT）5個新興技術點進行了解析。

　　1

　　外部攻擊面管理（EASM）

　　定義

　　外部攻擊面管理（EASM）是指為發現面向互聯網的企業資產和系統及相關漏洞而部署的流程、技術和管理服務。示例包括服務器、憑證、公共云服務的錯誤配置和第三方合作伙伴的軟件代碼漏洞，這些漏洞可能會被對手利用。

　　關注原因

　　雖然EASM通過產品疊加提供數字風險保護服務（DRPS）、威脅情報、第三方風險評估和漏洞評估等能力，但供應商提供的能力方向各有不同，需要重點關注市場需求，并在全球范圍內進行擴張。

　　五個重要能力

　　監測：持續掃描各種環境（如云服務和面向外部的企業內部基礎設施）和分布式生態系統（如物聯網基礎設施）；

　　資產發現：發現和清點企業未知的面向外部的資產和系統；

　　分析：評估和分析資產屬性，確定資產是否存在風險、脆弱性或異常行為；

　　優先排序：對風險和漏洞進行優先排序，并根據優先排序分析提供預警和優先級分析；

　　修復：提供優先緩解措施的實施計劃，以及修復緩解工作流程，并集成像工單系統、事件響應工具、安全編排自動化響應（SOAR）等解決方案。

　　EASM幫助識別未知資產，并提供系統、云服務和應用程序等對攻擊者/在公共領域內攻擊者可用和可見的信息。

　　業務影響

　　EASM支持企業識別來已知和未知的面向互聯網的資產和系統的風險。安全領導可以使用EASM的功能來了解和管理來自其數字業務的風險，因為它提供了寶貴的背景信息和可操作的信息。

　　資產的識別及清點：識別未知的數字資產（如網站、IP、域名、SSL證書和云服務），并實時維護資產列表。這種可見性也可以擴展到企業的子公司或第三方。

　　漏洞修復及暴露面管控：將錯誤配置、開放端口和未修復漏洞根據緊急程度、嚴重性來進行風險等級分析以確定修復優先次序。

　　驅動因素

　　數字化業務舉措：如轉向云基礎設施和平臺服務以及SaaS，遠程工作，采用物聯網（IoT）技術，以及IT和運營系統（OT）融合，是目前出現新安全要求的一些關鍵領域；

　　在這些情況下，EASM工具正在被廣泛應用；

　　這些工具幫助安全專業人員了解并減少對互聯網和公共領域的不必要的暴露風險，以優先考慮需要補救的關鍵暴露面。

　　阻礙因素

　　安全和風險管理的領導者應該意識到，隨著EASM受益于擴大的可見性，在中短期并購中存在著切實的風險，這可能會影響到初創公司對該領域的投資；

　　為了充分受益于EASM解決方案的能力，安全和風險管理（SRM）領導者將被要求能夠在多個領域（如IT資產管理、云管理、漏洞管理等）利用它們，而不僅僅是安全，并具有一定程度的成熟度和資源，如專用或專業人員。

　　建議

　　審查工具供應商的EASM能力，如DRPS或漏洞評估；

　　審查供應商的能力，如覆蓋范圍（識別）、準確性（歸屬）和支持修復的自動化水平；

　　根據公認的用例優先級選擇EASM服務提供商，但也要為可能延伸到DRPS用例的長期要求進行規劃；

　　評估安全組織在技能、資源和成熟度方面的準備程度，確保擁有適當的資源以充分受益于EASM能力。

　　2

　　網絡資產攻擊面管理（CASSM）

　　定義

　　網絡資產攻擊面管理（CAASM）是一項新興技術，專注于幫助安全團隊解決持續的資產可見性和漏洞挑戰。使企業能夠通過與現有工具的API集成，識別內外部資產，查詢綜合數據，確定漏洞的范圍與安全控制的差距，并進行修復。

　　關注原因

　　CAASM超越了專注于資產子集（如端點、服務器、設備或應用程序）產品的有限范圍。通過將資源整合到資源庫，使用戶可以查詢到EASM和端點檢測與響應（EDR）工具的覆蓋范圍的差距。CAASM通過使用應用程序編程接口（API）集成提供被動的數據收集，取代手動和低效的過程來收集和分析資產信息。

　　業務影響

　　CAASM使安全團隊能夠通過整體環境的安全控制、安全態勢和資產風險的修復和處置來改善基本的安全狀況。部署CAASM的企業可以減少對自身系統和手動收集過程的依賴，并通過手動或自動化流程修復漏洞。此外，這些可以直觀地看到安全工具的覆蓋情況，并糾正修復陳舊或缺失數據的原始記錄系統。

　　驅動因素

　　提高資產可見性，了解攻擊面和現有的安全控制的差距；

　　通過更準確和全面的資產和安全控制報告，快速的審計合規性報告；

　　整合現有產品資產信息，減少手動流程和本地應用程序的依賴；

　　授權企業架構師、漏洞管理團隊和IT管理員等團隊訪問綜合資產視圖，從查看和查詢綜合資產清單中受益；

　　降低收集數據的阻力，獲取數據安全可視性（從影子IT、已安裝的第三方系統等）。

　　阻礙因素

　　對 “另一個”工具的抵制，擁有提供資產可視性產品的企業面臨挑戰，難以證明增加CAASM的成本和理由；

　　產品按資產數量進行授權，對于管理著數百萬資產的大型機構來說，成本過高；

　　單個實例的可擴展性可能會受到限制，無論是數據收集還是工具的可用性，都有過多的數據點；

　　缺乏CAASM集成的工具（例如，缺乏API），擁有現有工具的團隊會阻礙能力集成。

　　發現錯誤時不允許對原始記錄系統進行糾正，與原始系統相沖突的調節過程會出現混亂。

　　建議

　　利用 POC或在購買產品前試用免費版本。產品易于部署，從而降低了購買 CAASM 產品然后需要將其淘汰或更換為其他供應商的風險。

　　確定需要CAASM解決的主要用例，如實現更全面的資產可視性、自動修復安全漏洞、更新記錄或減輕合規報告的負擔；

　　盤點可與CAASM產品集成的可用API，并確保有可用的賬戶進行集成；

　　拓展使用范圍，從核心安全團隊擴展至多用戶（包括合規團隊、威脅捕獵、漏洞管理團隊和系統管理員）；

　　詢問現有的安全供應商，了解他們目前提供的資產可見性，以及他們是否有在未來提供 CAASM 功能的路線圖。

　　3

　　擴展檢測和響應（XDR）

　　定義

　　XDR是一種針對供應商的威脅檢測和事件響應工具，它將多種安全產品統一到安全操作系統中。主要功能包括安全分析、關聯告警、事件響應和響應自動化。

　　關注原因

　　XDR在功能上與SIEM以及SOAR相似。然而，XDR的區別在于其集成和自動化程度、易用性以及對威脅檢測和事件響應的關注。XDR解決方案供應商還必須直接提供多種安全控制，如EDR、云訪問安全代理（CASB）、防火墻、身份識別與訪問管理（IAM）、入侵檢測系統（IDS）等。

　　業務影響

　　XDR產品可以降低管理安全事件的總成本，提高事件響應團隊的生產力，并降低組織的整體網絡安全風險態勢。

　　驅動因素

　　中型企業正在努力解決由不同安全組件產生的警報。雖然現有的SIEM和SOAR工具可以提供類似的功能，但這些工具的成本、復雜性和持續維護對中型企業來說都太高。集成和維護最佳安全工具組合所需的人員和技能太高。XDR工具主要由擁有基礎設施保護產品組合的安全解決方案供應商銷售，如EDR、CASB、安全Web網關（SWG）、安全電子郵件網關（SEG）和網絡威脅檢測及響應（NDR）。更高級的XDR工具通過與身份、數據保護和應用訪問的整合，將重點放在了堆棧上，以保護和應用訪問。

　　阻礙因素

　　只有一小部分供應商能夠真正提供XDR產品。致力于XDR方法可能導致對單一供應商的過度依賴。能夠提供XDR產品的大型供應商在解決新威脅方面的執行速度往往比最佳初創公司慢得多。所有的XDR工具都需要與其他供應商的安全產品進行一些整合，但大多數XDR產品的整合度仍然很低。安全產品的功效仍然是一個重要的因素，組合中的一些解決方案可能不如同類競爭產品有效。此外，還存在對XDR供應商提供的威脅情報和檢測內容的單一來源的潛在依賴性。XDR工具可降低但不能消除對操作員技能和7*24小時全天監控的需求。XDR和SIEM產品之間的一個主要區別是：XDR不能滿足事件響應以外用例的（如合規性或運營）長期日志存儲需求。

　　建議

　　與利益相關者合作，評估XDR戰略合理性；

　　決策標準基于人員配置和生產力水平、IT的聯合水平、風險容忍度和安全預算，以及對單一供應商綁定的容忍度，以及現有XDR組件工具的存在。

　　制定符合XDR戰略的內部架構和采購政策；

　　根據長期XDR架構戰略來規劃未來的安全采購和技術迭代；

　　尋求提供 API 的安全產品廠商，以便與 XDR 進行信息共享和自動化。

　　4

　　入侵與攻擊模擬（BAS）

　　定義

　　入侵和攻擊模擬（BAS）技術使企業能夠持續不斷地模擬針對企業資產的多種攻擊載體。BAS可以測試威脅載體，如外部和內部人員、橫向移動和數據外傳泄漏。BAS的部署利用了軟件代理、虛擬機、云平臺和其他手段來運行模擬。雖然有相似之處，但它不能完全取代紅隊服務或滲透測試。

　　關注原因

　　BAS市場正在增長，有兩個主要的用例：安全控制驗證和安全態勢評估。BAS技術的主要優勢包括提供連續和一致的安全控制測試的能力，以及在確定補救行動的優先次序以改善防御方面提供的幫助。

　　業務影響

　　BAS允許企業自動運行持續的安全評估，對企業資產的更大比例和更頻繁地進行評估。BAS不斷增加新的威脅模擬，擴大其功能的范圍和深度。

　　驅動因素

　　BAS最常見的使用情況是自動測試和評估公司的安全狀況。擁有成熟安全計劃的大型企業主要使用這些技術來確保一致的防御，并測試其現有安全控制的配置差距和/或缺少的安全可視性。

　　周度或者日度測試用于通知IT和業務利益相關者關于安全態勢中的現有差距，或驗證安全基礎設施、配置設置和檢測/預防技術是否按預期運行。當作為紅隊或滲透測試演習的補充時，BAS也可用于驗證安全操作中心的工作人員是否能檢測到特定的攻擊。

　　阻礙因素

　　為了發展成為一個市場，BAS供應商不僅需要來自安全運營中心、應用程序和網絡運營等團隊的內部支持，驗證洞察力的質量，而且還需要通過標準框架擴大診斷和基本修復指導。

　　BAS供應商必須克服部署和維護方面的挑戰，并繼續在相鄰市場上實現差異化。大型企業已經擁有太多的檢測方法從審計、漏洞管理、應用安全測試到滲透測試等。BAS不能只是簡單地增加數量，而是要為現有的安全評估提供指導方向并豐富現有的安全評估。

　　建議

　　評估BAS技術，準確、安全模擬組織面臨威脅的真實攻擊能力；

　　對公司的用例進行優先排序，據用例評估BAS供應商的能力，確定可改善安全風險評估、威脅監控和漏洞管理實踐的BAS技術；

　　評估供應商可提供的攻擊場景的數量，模擬的更新頻率，以反映真實攻擊；

　　與審計員合作，確定BAS技術是否可用來驗證現有安全控制的有效性；

　　確保BAS產品提供的結果是優先、可操作的、并可直接應用于響應計劃。

　　5

　　漏洞優先排序技術（VPT）

　　定義

　　漏洞優先排序技術（VPT）通過集中精力識別對組織構成最大風險的漏洞并進行優先排序，簡化了漏洞分析和修復/緩解過程。該方法考慮了漏洞的可利用性、資產或業務的關鍵性、漏洞的嚴重性和現有的補償控制措施。

　　關注原因

　　VPT支持基于風險的漏洞管理方法（RBVM）。這類產品和服務利用來自漏洞評估（VA）工具、配置管理數據庫（CMDB）的遙測數據—盡管擁有CMDB并不是使用VPT的要求—以及應用安全測試（AST）。VPT 通過利用分析和各種威脅和漏洞情報來源增加了一層情報。

　　業務影響

　　VPT解決方案可以被認為是一種自動化的形式，它帶來了高級分析技術和漏洞情報，以減少執行人工RBVM的人力資源需求。全球安全事件和漏洞數量的持續上升促使許多組織采用VPT解決方案來實施高效的漏洞管理計劃。事件的增加也導致VA供應商更傾向于RBVM方法。

　　驅動因素

　　VPT市場繼續快速增長。VPT能識別組織更多的實際風險，并幫助優先修復漏洞。無論是通過修復（如打補丁）還是補償控制（如入侵防御系統[IPS]和網絡應用程序防火墻[WAF]）。

　　此外，該解決方案還可以節省全職員工（FTE）的運營成本，減少組織的攻擊面，防止漏洞被利用。

　　RBVM是一個迭代的過程，由技術（如VA和VPT）支撐，并觸發其他流程，如IT運營執行補丁管理。此外，執行手動RBVM具有挑戰性，它需要智能和自動化以成功實施流程。因為需要考慮利用和業務關鍵性以反映組織的真實情況，企業無法通過預先定義的通用漏洞評分系統分數的傳統方法來進行漏洞排序。在VPT的情況下，這些解決方案在當前威脅環境的背景下對漏洞進行分析。例如，由于漏洞的公開可利用性，低危漏洞隨時可而轉化為高危漏洞，而CVSS的分數仍保持不變。

　　阻礙因素

　　VPT解決方案通常由漏洞管理成熟度較高的組織利用，在基本的漏洞管理流程到位之前不應使用。如果漏洞管理（VM）程序中的流程被破壞，VPT將無法發揮作用。

　　VM是信息安全操作的基礎部分。然而，根據嚴重程度評分來確定漏洞的優先級，會導致基于單一指標的響應。這種指標驅動的輸出很少基于風險，因為沒有考慮威脅活動和資產環境等因素。

　　VM 的運用勢不可擋，因為有大量漏洞出現在報告中，增加了其他業務部門的和安全團隊的矛盾沖突。

　　建議

　　實施基于風險的方法，將資產價值關聯起來，利用VPT解決方案計算出風險等級。在確定補救活動的優先次序時，這可以減少被破壞的風險。

　　用獨立的VPT解決方案增強VA工具，以更好地確定優先次序，或使用現有的VPT功能，協助有效的方法來減少實際風險。這可以實現供應商的整合，并在新的培訓和工具部署上投入更少的精力。

　　識別具有修補功能和SOAR集成的供應商。這使安全團隊控制了工作流程。評估這種方法是否合適。如果是的話，利用修復工作流程自動化，避免使用兩個不同的工具。

　　利用內部安全控制的背景，部署VPT解決方案，使現有的安全投資最大化。但這種能力在整個市場上還不成熟。

　　選擇VPT解決方案，從多個來源匯總漏洞數據，以呈現面向行動的指標。