风险暴露管理的日益重要性:我们从Gartner®Hype Cycle™对安全运营的关键见解, 2024

最后更新于2024年9月16日星期一15:30:29 GMT

Gartner安全运营技术成熟度曲线(Hype Cycle, 《十大赌博官方正规网址》于7月下旬出版, 这是对威胁形势和安全技术多样性的动态本质的有趣观察 & 风险管理(SRM)专业人员用来保护他们的组织.

理解炒作周期

Gartner Hype Cycles提供了技术和应用的成熟度和采用情况的图形表示, 以及它们如何潜在地与解决实际业务问题和开发新机会相关. 每年发布的炒作周期超过90个. 炒作周期提供了相对市场渗透率的快照, 某一细分市场内创新的成熟度和效益, 比如技术领域或商业市场. 这种技术成熟度循环可以帮助安全和风险管理领导者制定战略并交付安全运营能力和功能.

我们认为今年SecOps的炒作周期的关键主题是什么

2024年的炒作周期出现了一些显著的补充和整合, 特别是在快速发展的威胁暴露管理(TEM)市场, 随着现有漏洞评估和管理方法的成熟，以支持持续威胁暴露管理(CTEM)框架. 在报告中Gartner将CTEM定义为 这是一个帮助组织在管理和实施风险暴露管理的五个推荐阶段时提高其成熟度的程序:范围界定, 发现, 优先级, 验证和动员.’”

三个新的概况反映了这种演变:

• 威胁暴露管理——这是为了帮助组织回答这个问题, “我们的暴露程度有多高?“它扩展了传统的漏洞管理方法，专注于在更广泛的潜在攻击面上降低风险, 包括云, SaaS应用程序和第三方供应链.
  
  今天,目前，许多组织都采用一种孤立的方法来跨许多不同领域(外部)进行公开管理, 漏洞扫描, 渗透测试——并且正在努力跟上环境变化的步伐.
  
  Gartner将威胁暴露管理的潜在好处评为“变革性”，并指出组织应该这样做 采用适当的治理和可重复性，使他们的威胁暴露管理程序持续进行.’
  
• 暴露评估平台(eap)——这是一个新的类别，从Gartner获得了“高”的效益评级. Gartner在报告中指出，eap持续识别和优先处理风险, 例如漏洞和错误配置, 横跨广泛的资产类别. 它们本身提供或集成了发现功能, 例如列举漏洞和配置问题等暴露的评估工具, 提高能见度.’
  
  高德纳将两者都去掉了 易损性评估 和 漏洞优先级技术(VPT) 从今年的炒作周期，声明他们已经 被纳入暴露评估平台.’
  
  我们认为，eap的一个潜在好处是可以更好地了解高风险暴露, 哪些可以让组织防止安全事故和破坏. 它们还可以通过提供资产和暴露的集中可见性来提高操作效率, 支持整个组织的风险评分报告和趋势分析.
  
  在这份最新的报告中，Rapid7被命名为EAP的样本供应商.
  
• 对抗性暴露验证——与暴露管理相关的第三个新类别涵盖了CTEM项目的验证支柱. 如报告所述, “对抗性暴露验证技术提供了模拟威胁行为者战术的攻击性安全技术, 技术, 以及验证存在可利用暴露和测试安全控制有效性的程序. 在这个配置文件中, Gartner整合了漏洞攻击模拟、自主渗透测试和红队. “
  高德纳公司建议，安全和风险负责人应该这样做 “将现有的攻击模拟和渗透测试场景集成到对抗性暴露验证路线图中, 作为从漏洞管理到CTEM程序转变的一部分.’

还有这些新的分类, 我们也看到了一些支持CTEM计划的现有技术的发展——特别是网络资产攻击面管理(CAASM)。, 外部攻击面管理(EASM)和数字风险保护服务(DRPS).

在今年的炒作周期中，EASM和DRPS都处于“幻灭低谷”.  Gartner指出, SRM领导者正在重新评估他们从低谷期的技术中获得的价值, 经常需要加强预算的合理性. 例如:[…]企业没有准备好消费和运营服务输出(数字风险保护服务), 外部攻击面管理, ITDR).

CAASM已经从“创新触发器”转变为“膨胀预期的顶峰”, 反映了企业不断增长的需求，以获得更好的攻击面可见性. 通过将资产和公开信息整合到一个整体视图中，CAASM帮助提供对资产更全面的可见性. Rapid7最近收购的Noetic Cyber也是CAASM的样本供应商.

Rapid7对曝光管理的愿景

Rapid7最近宣布了可用性 接触命令 和地面司令部，这是在新平台上推出的前两个解决方案 指挥平台. 通过将EASM和CAASM集成到一个解决方案中，表面命令提供了内部和外部环境的360度可见性, 使安全团队能够在其扩展环境中查看高风险资产并确定其优先级.

建立在水面司令部提供的无与伦比的能见度上, 暴露命令扩展了传统的漏洞管理程序，提供了漏洞的洞察力和上下文, 云和应用程序安全工具, 建立一个, 用于跨组织公开管理的统一平台.

这种集中的暴露管理点允许安全主管根据业务的总体风险来确定优先级, 了解跨云和内部部署环境的复杂攻击路径, 并列出团队需要关注的最重要领域，同时提升对降低环境总体风险评分有最大影响的缓解活动.

我们相信，这些新功能与Gartner的暴露评估平台概念和威胁暴露管理程序的总体需求是一致的. 了解更多关于Rapid7的攻击面和暴露管理方法, 你可以了解更多 在这里.

Gartner，安全运营的炒作周期，2024年7月.
GARTNER是GARTNER, Inc .的注册商标和服务标志. 及/或其在美国的附属公司.S. HYPE CYCLE是Gartner, Inc .的注册商标. 及/或其附属公司，并经许可在此使用. 版权所有.
Gartner不认可任何供应商, 在其研究出版物中描述的产品或服务, 也不建议技术用户只选择那些获得最高评级或其他称号的供应商. Gartner研究出版物由Gartner研究组织的意见组成，不应被解释为事实陈述. Gartner不提供任何保证, 明示或暗示, 关于这项研究, 包括任何适销性或适合某一特定目的的保证.