Gartner 2023年中国网络安全技术成熟度曲线 新增暴露面管理等四项创新

首页 / 业界 / 报告 /  正文
作者:安全419
来源:安全419
发布于:2023-10-25
继去年Gartner首次发布中国版的网络安全技术成熟度曲线报告后,近日,《2023中国网络安全技术成熟度曲线》(Hype Cycle for Security in China,2023)出炉,其指出预算限制、严格的监管和不断增加的数字化暴露正在给中国组织的安全投资带来挑战。
 
安全419针对《2022中国网络安全技术成熟度曲线》报告的分析中,数据安全平台DSP、数据风险评估DRA、入侵与攻击模拟BAS、攻击面管理ASM、软件成分分析SCA等创新技术正处于快速上升期,备受市场关注,赛道也格外拥挤。

Gartner 2022中国网络安全技术成熟度曲线
 
由于技术成熟度曲线(Hype Cycle)反映的是各领域技术的市场发展趋势,涵盖从萌芽上升到期望顶峰、回落至泡沫谷底、再稳步爬升最后达到生产成熟的完整炒作周期,一项新兴技术经市场验证成为主流被采用可能需要2-10年之久。
 
在今年的报告中,我们观察到,上述技术依然处于持续的爬升阶段,市场普及度和采用率均有所增加,依然是目前炙手可热和前景可观的安全投资方向。同时,今年的技术成熟度曲线涵盖了四项创新,分别为数据安全治理(Data Security Government)、暴露面管理(Exposure Management)、中国的隐私(Privacy in China)、安全服务边缘(Security Service Edge)。
 
Gartner 2023中国网络安全技术成熟度曲线
 
处于上升期的技术
 
与去年一样,创新触发点是技术成熟度曲线中最拥挤的部分。这里增加了数据安全治理DSG和暴露面管理EM。随着数字化转型进入深水区,数据安全是在中国运营的组织的首要安全任务,风险管理也变得越来越重要,它使组织能够提高可见性,并优先考虑随着数字资产的不断增加而降低风险。
 
●数据安全治理DSG
 
该技术意在评估由数据安全、隐私和合规性问题引起的业务风险并确定其优先级。这使组织能够建立支持业务成果并平衡业务需求和相关业务风险的数据安全策略。这些风险源自安全、数据驻留和隐私问题,因为数据是跨生态系统处理或与合作伙伴共享的。
 
随着数据在本地和多云架构中激增, DSG可以对由安全、隐私和其他合规性问题引起的业务风险进行评估、确定优先级并减轻其风险。DSG通过可应用于整个IT架构的数据安全策略在业务优先级和风险缓解之间建立平衡,以便在考虑到优先业务风险的情况下,可以在内部和外部处理和共享组织的专有数据集。
 
该技术的成熟度被评价为“新兴”,目前的市场渗透率为目标受众的1%至5%。驱动因素包括政策合规和市场内需两方面,我国的数字化发展规划要求国内组织在受保护的基线上通过共享和交易有价值的数据资产来创造商业数据价值,因此有必要使用DSG作为一个连续流程来管理、评估与数据使用相关的业务风险并确定其优先级,并创建可以减轻这些风险的有针对性的数据安全策略。长期以来,市场上缺乏单一产品能够充分降低业务和数据安全风险,这强调了集中创建和协调数据安全策略的必要性。
 
与此同时,业务利益相关者在管理数据方面的职责分散可能成为推动DSG大量部署的障碍之一,安全、数据和分析以及合规领导者都有自己的业务目标和议程,因此,就通用DSG运营模式达成一致并共同制定数据安全策略才能更好平衡业务成果和风险缓解。此外,目前在国内实施 DSG 的目标偏向于满足当地监管要求,而忽视了业务风险的缓解和业务成果的实现。
 
●暴露面管理
 
由于攻击面迅速扩大,传统的漏洞管理已经不够。暴露面管理(EM)包含一组流程和技术,使企业能够持续、一致地评估可见性,并验证企业数字资产的可访问性和脆弱性。
 
EM由有效的持续威胁暴露面管理(CTEM)计划进行管理,可以通过清点、优先级排序和验证威胁暴露来减少组织面临的挑战。EM还协助组织遵守要求公司保护敏感数据和关键基础设施的网络安全法规。
 
该技术的成熟度被评价为“新兴”,目前的市场渗透率为目标受众的1%至5%。在驱动因素上,一方面,针对中国组织的网络攻击频率和复杂性不断升级,凸显了管理暴露以降低风险的紧迫性,《网络安全法》、《关键信息基础设施网络安全保护要求》等法律都更加注重管理和减少暴露;另一方面,组织通过数字化转型创建的应用程序和云服务数量不断增加,导致攻击面扩大和环境日益复杂,但孤立的漏洞管理、渗透测试等并不能透彻了解组织所面临的有效风险的完整情况。同时人工智能、机器学习和自动化等创新技术正在被整合到EM解决方案中,提高其有效性并激发中国组织的兴趣。
 
就目前而言,许多组织都在努力区分基于风险的漏洞管理和暴露面管理,这使得他们仍然致力于修补漏洞,EM的普及尚存障碍,多数组织尚未建立起管理端到端意识(从可能的攻击媒介的可见性到对违规行为的响应)的流程,大家通常只是出于合规性原因扫描和测试其网络。
 
处于巅峰期的技术
 
安全和隐私法规是国内的另一个热门话题,随着《个人信息保护法》的出台,人们对保护个人信息的意识日益增强,隐私权的期望达到顶峰。与全球市场一样,中国的网络安全平台整合正在以多种方式发生,如SSE整合了多种边缘访问功能,但由于吸引的客户兴趣低于预期,正在从峰值下降。
 
●中国的隐私
 
自2017年以来,《网络安全法》开始制定有关个人数据处理的要求,描述IT系统(包括处理个人数据的系统)安全实践的等保 2.0 生效,《中国民法典》赋予个人隐私权,《个人信息保护法》生效,跨境数据传输(CBDT)法规制定,国家数据安全局成立……监管机构已表现出对违规行为实施处罚的意愿。
 
中国的隐私受到《个人信息保护法》以及相应行业、跨行业和跨境数据传输法规的监管。虽然与欧盟《通用数据保护条例》(GDPR) 等隐私法存在相似之处,但有不同的要求,且执行由多个监管机构指导。
 
《个人信息保护法》极大地改变了中国的法律和监管格局。此前的执法主要依据网络安全法和个人信息安全标准的规定,《个人信息保护法》为中国公民提供了一个更广泛的框架来保护他们的个人数据,并包括可能实施强有力的经济制裁:上一年年收入的5%或5000万元人民币,以较高者为准。
 
合规风险和潜在的违规处罚是真实存在的。企业领导者必须在其市场增长战略中考虑隐私问题,特别是在与国家安全相关的领域,例如金融服务或在中国扩张的跨国业务。虽然监管框架与其他地区的法律原则类似,但隐私策略中必须仔细分析和解决复杂的数据本地化、同意和跨境传输要求。
 
●安全服务边缘 (SSE) 
 
SSE可保护对Web、云服务和私有应用程序的访问。功能包括自适应访问控制、数据安全、可见性和控制,其他功能包括高级威胁防御以及通过基于网络和API的集成实施的可接受的使用控制。SSE主要作为基于云的服务提供,可能包括本地或基于代理的组件。
 
SSE提高了组织灵活性,以确保Web 、云服务和远程工作的使用安全。SSE 产品融合了中国的安全功能(至少是安全 Web网关SWG和零信任网络访问ZTNA)以及额外的SaaS安全性,以降低复杂性并改善用户体验。它们可以在本地或从云端交付。当SSE与软件定义WAN ( SD-WAN )配合使用时,就成为安全访问服务边缘(SASE)架构。
 
混合工作继续推动公共云服务的采用,特别是SaaS应用程序。混合工作和公共云服务的采用仍然是大多数 组织的业务推动者。SSE允许组织使用以云为中心的方法在访问网络、云服务和私有应用程序时实施安全策略,从而支持随时随地的工作人员。同时,SSE降低了运行多个产品的管理复杂性。
 
同时需要注意的是,由于市场是由能力融合形成的,供应商可能在某些能力上较强,而在其他能力上较弱,例如可视性和数据安全性。在我国,大多数供应商仍然缺乏SSE功能或与SD-WAN供应商之间的整体紧密集成。目前,国内客户更喜欢本地部署,这仍然与本地网络基础设施和连接相关,这也是SSE覆盖更多市场的障碍之一。
 
报告内容部分参考:Gartner、虎符生态中心