Gartner《2021安全运营技术成熟度曲线》解析
2021-10-20
来源:互联网安全内参
7月23日,Gartner发布《Hype Cycle for Security Operations, 2021》(2021安全运营技术成熟度曲线),对主流的安全运营技术进行了解读,预测创新技术的发展阶段,为组织的安全和风险管理负责人提供参考,并帮助其更有效的制定组织的网络安全发展策略。相较于2020年,数字化转型加速了企业与IT信息技术的关联。由于疫情,远程工作、移动设备的使用和云服务显著增加,促使企业运作方式的重大变革,但也同时给企业带来了更多的安全威胁和风险,因此安全运营技术已经成为了企业关注的重点方向。
成熟度曲线&优先级矩阵
技术成熟度曲线(The Hype Cycle),又称技术循环曲线,指的是企业用来评估新科技的可见度,利用时间轴与市面上的可见度,决定是否采用新科技的一种工具。1995年开始,Gartner依其专业分析预测与推论各种新科技的成熟演变速度及要达到成熟所需的时间,具体可分为:技术萌芽期、期望膨胀期、泡沫破裂谷底期、稳步爬升复苏期、生产成熟期5个阶段。在2021年报告中,萌芽阶段包括自主渗透测试和红队服务、外部攻击面管理(EASM)、网络资产攻击面管理(CASSM)、渗透测试即服务(PTaaS)、扩展检测和响应(XDR)技术;膨胀阶段包括数字风险保护服务(DRPS)、漏洞优先排序(VPT)、文件分析技术(FA)、托管检测和响应 (MDR) 服务、威胁情报(TI)服务、网络威胁检测及响应(NDR)、 运营系统(OT)安全技术;破裂阶段包括集成化的风险管理(IRM)、安全编排自动化响应(SOAR)、欺骗平台(DP)、入侵与攻击模拟(BAS)技术;复苏期包括端点检测与响应技术(EDR)、基于硬件的安全技术、安全信息和事件管理(SIEM)、云访问安全代理(CASB)技术;成熟期包括漏洞评估技术(VA)技术。
图1 2021年安全运营成熟度技术曲线
(注:横轴为“时间”,表示一项技术随时间发展经历各个阶段,纵轴是“预期”。)
表1:2021年安全行动的优先权矩阵
(注:在优先级矩阵中,纵轴为技术的潜在效益;横轴是按照距成熟采用期年数划分计划的,该年数与技术成熟度曲线上所用的评估相同。)
本文着眼于安全运营技术成熟度曲线的前两个阶段,从20多个技术点中,节选了归属萌芽期的外部攻击面管理(EASM)、网络资产攻击面管理(CASSM)技术和扩展检测和响应(XDR)技术与归属膨胀期的入侵与攻击模拟(BAS)漏洞优先排序技术(VPT)5个新兴技术点进行了解析。
1
外部攻击面管理(EASM)
定义
外部攻击面管理(EASM)是指为发现面向互联网的企业资产和系统及相关漏洞而部署的流程、技术和管理服务。示例包括服务器、凭证、公共云服务的错误配置和第三方合作伙伴的软件代码漏洞,这些漏洞可能会被对手利用。
关注原因
虽然EASM通过产品叠加提供数字风险保护服务(DRPS)、威胁情报、第三方风险评估和漏洞评估等能力,但供应商提供的能力方向各有不同,需要重点关注市场需求,并在全球范围内进行扩张。
五个重要能力
监测:持续扫描各种环境(如云服务和面向外部的企业内部基础设施)和分布式生态系统(如物联网基础设施);
资产发现:发现和清点企业未知的面向外部的资产和系统;
分析:评估和分析资产属性,确定资产是否存在风险、脆弱性或异常行为;
优先排序:对风险和漏洞进行优先排序,并根据优先排序分析提供预警和优先级分析;
修复:提供优先缓解措施的实施计划,以及修复缓解工作流程,并集成像工单系统、事件响应工具、安全编排自动化响应(SOAR)等解决方案。
EASM帮助识别未知资产,并提供系统、云服务和应用程序等对攻击者/在公共领域内攻击者可用和可见的信息。
业务影响
EASM支持企业识别来已知和未知的面向互联网的资产和系统的风险。安全领导可以使用EASM的功能来了解和管理来自其数字业务的风险,因为它提供了宝贵的背景信息和可操作的信息。
资产的识别及清点:识别未知的数字资产(如网站、IP、域名、SSL证书和云服务),并实时维护资产列表。这种可见性也可以扩展到企业的子公司或第三方。
漏洞修复及暴露面管控:将错误配置、开放端口和未修复漏洞根据紧急程度、严重性来进行风险等级分析以确定修复优先次序。
驱动因素
数字化业务举措:如转向云基础设施和平台服务以及SaaS,远程工作,采用物联网(IoT)技术,以及IT和运营系统(OT)融合,是目前出现新安全要求的一些关键领域;
在这些情况下,EASM工具正在被广泛应用;
这些工具帮助安全专业人员了解并减少对互联网和公共领域的不必要的暴露风险,以优先考虑需要补救的关键暴露面。
阻碍因素
安全和风险管理的领导者应该意识到,随着EASM受益于扩大的可见性,在中短期并购中存在着切实的风险,这可能会影响到初创公司对该领域的投资;
为了充分受益于EASM解决方案的能力,安全和风险管理(SRM)领导者将被要求能够在多个领域(如IT资产管理、云管理、漏洞管理等)利用它们,而不仅仅是安全,并具有一定程度的成熟度和资源,如专用或专业人员。
建议
审查工具供应商的EASM能力,如DRPS或漏洞评估;
审查供应商的能力,如覆盖范围(识别)、准确性(归属)和支持修复的自动化水平;
根据公认的用例优先级选择EASM服务提供商,但也要为可能延伸到DRPS用例的长期要求进行规划;
评估安全组织在技能、资源和成熟度方面的准备程度,确保拥有适当的资源以充分受益于EASM能力。
2
网络资产攻击面管理(CASSM)
定义
网络资产攻击面管理(CAASM)是一项新兴技术,专注于帮助安全团队解决持续的资产可见性和漏洞挑战。使企业能够通过与现有工具的API集成,识别内外部资产,查询综合数据,确定漏洞的范围与安全控制的差距,并进行修复。
关注原因
CAASM超越了专注于资产子集(如端点、服务器、设备或应用程序)产品的有限范围。通过将资源整合到资源库,使用户可以查询到EASM和端点检测与响应(EDR)工具的覆盖范围的差距。CAASM通过使用应用程序编程接口(API)集成提供被动的数据收集,取代手动和低效的过程来收集和分析资产信息。
业务影响
CAASM使安全团队能够通过整体环境的安全控制、安全态势和资产风险的修复和处置来改善基本的安全状况。部署CAASM的企业可以减少对自身系统和手动收集过程的依赖,并通过手动或自动化流程修复漏洞。此外,这些可以直观地看到安全工具的覆盖情况,并纠正修复陈旧或缺失数据的原始记录系统。
驱动因素
提高资产可见性,了解攻击面和现有的安全控制的差距;
通过更准确和全面的资产和安全控制报告,快速的审计合规性报告;
整合现有产品资产信息,减少手动流程和本地应用程序的依赖;
授权企业架构师、漏洞管理团队和IT管理员等团队访问综合资产视图,从查看和查询综合资产清单中受益;
降低收集数据的阻力,获取数据安全可视性(从影子IT、已安装的第三方系统等)。
阻碍因素
对 “另一个”工具的抵制,拥有提供资产可视性产品的企业面临挑战,难以证明增加CAASM的成本和理由;
产品按资产数量进行授权,对于管理着数百万资产的大型机构来说,成本过高;
单个实例的可扩展性可能会受到限制,无论是数据收集还是工具的可用性,都有过多的数据点;
缺乏CAASM集成的工具(例如,缺乏API),拥有现有工具的团队会阻碍能力集成。
发现错误时不允许对原始记录系统进行纠正,与原始系统相冲突的调节过程会出现混乱。
建议
利用 POC或在购买产品前试用免费版本。产品易于部署,从而降低了购买 CAASM 产品然后需要将其淘汰或更换为其他供应商的风险。
确定需要CAASM解决的主要用例,如实现更全面的资产可视性、自动修复安全漏洞、更新记录或减轻合规报告的负担;
盘点可与CAASM产品集成的可用API,并确保有可用的账户进行集成;
拓展使用范围,从核心安全团队扩展至多用户(包括合规团队、威胁捕猎、漏洞管理团队和系统管理员);
询问现有的安全供应商,了解他们目前提供的资产可见性,以及他们是否有在未来提供 CAASM 功能的路线图。
3
扩展检测和响应(XDR)
定义
XDR是一种针对供应商的威胁检测和事件响应工具,它将多种安全产品统一到安全操作系统中。主要功能包括安全分析、关联告警、事件响应和响应自动化。
关注原因
XDR在功能上与SIEM以及SOAR相似。然而,XDR的区别在于其集成和自动化程度、易用性以及对威胁检测和事件响应的关注。XDR解决方案供应商还必须直接提供多种安全控制,如EDR、云访问安全代理(CASB)、防火墙、身份识别与访问管理(IAM)、入侵检测系统(IDS)等。
业务影响
XDR产品可以降低管理安全事件的总成本,提高事件响应团队的生产力,并降低组织的整体网络安全风险态势。
驱动因素
中型企业正在努力解决由不同安全组件产生的警报。虽然现有的SIEM和SOAR工具可以提供类似的功能,但这些工具的成本、复杂性和持续维护对中型企业来说都太高。集成和维护最佳安全工具组合所需的人员和技能太高。XDR工具主要由拥有基础设施保护产品组合的安全解决方案供应商销售,如EDR、CASB、安全Web网关(SWG)、安全电子邮件网关(SEG)和网络威胁检测及响应(NDR)。更高级的XDR工具通过与身份、数据保护和应用访问的整合,将重点放在了堆栈上,以保护和应用访问。
阻碍因素
只有一小部分供应商能够真正提供XDR产品。致力于XDR方法可能导致对单一供应商的过度依赖。能够提供XDR产品的大型供应商在解决新威胁方面的执行速度往往比最佳初创公司慢得多。所有的XDR工具都需要与其他供应商的安全产品进行一些整合,但大多数XDR产品的整合度仍然很低。安全产品的功效仍然是一个重要的因素,组合中的一些解决方案可能不如同类竞争产品有效。此外,还存在对XDR供应商提供的威胁情报和检测内容的单一来源的潜在依赖性。XDR工具可降低但不能消除对操作员技能和7*24小时全天监控的需求。XDR和SIEM产品之间的一个主要区别是:XDR不能满足事件响应以外用例的(如合规性或运营)长期日志存储需求。
建议
与利益相关者合作,评估XDR战略合理性;
决策标准基于人员配置和生产力水平、IT的联合水平、风险容忍度和安全预算,以及对单一供应商绑定的容忍度,以及现有XDR组件工具的存在。
制定符合XDR战略的内部架构和采购政策;
根据长期XDR架构战略来规划未来的安全采购和技术迭代;
寻求提供 API 的安全产品厂商,以便与 XDR 进行信息共享和自动化。
4
入侵与攻击模拟(BAS)
定义
入侵和攻击模拟(BAS)技术使企业能够持续不断地模拟针对企业资产的多种攻击载体。BAS可以测试威胁载体,如外部和内部人员、横向移动和数据外传泄漏。BAS的部署利用了软件代理、虚拟机、云平台和其他手段来运行模拟。虽然有相似之处,但它不能完全取代红队服务或渗透测试。
关注原因
BAS市场正在增长,有两个主要的用例:安全控制验证和安全态势评估。BAS技术的主要优势包括提供连续和一致的安全控制测试的能力,以及在确定补救行动的优先次序以改善防御方面提供的帮助。
业务影响
BAS允许企业自动运行持续的安全评估,对企业资产的更大比例和更频繁地进行评估。BAS不断增加新的威胁模拟,扩大其功能的范围和深度。
驱动因素
BAS最常见的使用情况是自动测试和评估公司的安全状况。拥有成熟安全计划的大型企业主要使用这些技术来确保一致的防御,并测试其现有安全控制的配置差距和/或缺少的安全可视性。
周度或者日度测试用于通知IT和业务利益相关者关于安全态势中的现有差距,或验证安全基础设施、配置设置和检测/预防技术是否按预期运行。当作为红队或渗透测试演习的补充时,BAS也可用于验证安全操作中心的工作人员是否能检测到特定的攻击。
阻碍因素
为了发展成为一个市场,BAS供应商不仅需要来自安全运营中心、应用程序和网络运营等团队的内部支持,验证洞察力的质量,而且还需要通过标准框架扩大诊断和基本修复指导。
BAS供应商必须克服部署和维护方面的挑战,并继续在相邻市场上实现差异化。大型企业已经拥有太多的检测方法从审计、漏洞管理、应用安全测试到渗透测试等。BAS不能只是简单地增加数量,而是要为现有的安全评估提供指导方向并丰富现有的安全评估。
建议
评估BAS技术,准确、安全模拟组织面临威胁的真实攻击能力;
对公司的用例进行优先排序,据用例评估BAS供应商的能力,确定可改善安全风险评估、威胁监控和漏洞管理实践的BAS技术;
评估供应商可提供的攻击场景的数量,模拟的更新频率,以反映真实攻击;
与审计员合作,确定BAS技术是否可用来验证现有安全控制的有效性;
确保BAS产品提供的结果是优先、可操作的、并可直接应用于响应计划。
5
漏洞优先排序技术(VPT)
定义
漏洞优先排序技术(VPT)通过集中精力识别对组织构成最大风险的漏洞并进行优先排序,简化了漏洞分析和修复/缓解过程。该方法考虑了漏洞的可利用性、资产或业务的关键性、漏洞的严重性和现有的补偿控制措施。
关注原因
VPT支持基于风险的漏洞管理方法(RBVM)。这类产品和服务利用来自漏洞评估(VA)工具、配置管理数据库(CMDB)的遥测数据—尽管拥有CMDB并不是使用VPT的要求—以及应用安全测试(AST)。VPT 通过利用分析和各种威胁和漏洞情报来源增加了一层情报。
业务影响
VPT解决方案可以被认为是一种自动化的形式,它带来了高级分析技术和漏洞情报,以减少执行人工RBVM的人力资源需求。全球安全事件和漏洞数量的持续上升促使许多组织采用VPT解决方案来实施高效的漏洞管理计划。事件的增加也导致VA供应商更倾向于RBVM方法。
驱动因素
VPT市场继续快速增长。VPT能识别组织更多的实际风险,并帮助优先修复漏洞。无论是通过修复(如打补丁)还是补偿控制(如入侵防御系统[IPS]和网络应用程序防火墙[WAF])。
此外,该解决方案还可以节省全职员工(FTE)的运营成本,减少组织的攻击面,防止漏洞被利用。
RBVM是一个迭代的过程,由技术(如VA和VPT)支撑,并触发其他流程,如IT运营执行补丁管理。此外,执行手动RBVM具有挑战性,它需要智能和自动化以成功实施流程。因为需要考虑利用和业务关键性以反映组织的真实情况,企业无法通过预先定义的通用漏洞评分系统分数的传统方法来进行漏洞排序。在VPT的情况下,这些解决方案在当前威胁环境的背景下对漏洞进行分析。例如,由于漏洞的公开可利用性,低危漏洞随时可而转化为高危漏洞,而CVSS的分数仍保持不变。
阻碍因素
VPT解决方案通常由漏洞管理成熟度较高的组织利用,在基本的漏洞管理流程到位之前不应使用。如果漏洞管理(VM)程序中的流程被破坏,VPT将无法发挥作用。
VM是信息安全操作的基础部分。然而,根据严重程度评分来确定漏洞的优先级,会导致基于单一指标的响应。这种指标驱动的输出很少基于风险,因为没有考虑威胁活动和资产环境等因素。
VM 的运用势不可挡,因为有大量漏洞出现在报告中,增加了其他业务部门的和安全团队的矛盾冲突。
建议
实施基于风险的方法,将资产价值关联起来,利用VPT解决方案计算出风险等级。在确定补救活动的优先次序时,这可以减少被破坏的风险。
用独立的VPT解决方案增强VA工具,以更好地确定优先次序,或使用现有的VPT功能,协助有效的方法来减少实际风险。这可以实现供应商的整合,并在新的培训和工具部署上投入更少的精力。
识别具有修补功能和SOAR集成的供应商。这使安全团队控制了工作流程。评估这种方法是否合适。如果是的话,利用修复工作流程自动化,避免使用两个不同的工具。
利用内部安全控制的背景,部署VPT解决方案,使现有的安全投资最大化。但这种能力在整个市场上还不成熟。
选择VPT解决方案,从多个来源汇总漏洞数据,以呈现面向行动的指标。