Gartner发布安全运营工具选择指南_安全运营soc成熟度模型-CSDN博客

在安全运营成熟过程中选择正确的工具

客户经常不知道何时完善其安全运营中心以及如何从众多可用选项中选择新技术解决方案。本研究可帮助安全运营领导者确定其下一次安全运营技术或服务的购买优先级、确定其购买理由并论证其购买理由。

主要发现

在构建现代安全运营中心 (SOC) 时，选择最佳技术的方法可能会变得成本过高。
根据资源限制对 SOC 绩效做出让步是标准做法。使用计划增长成熟度图可让让步的理由自由了解和讨论。
不当的工具选择策略可能会因缺乏运营资源而导致工具膨胀和 SOC 性能下降。
安全运营的被动或通常无计划的增长往往导致技术选择只解决症状而不是根本原因。

建议

希望完善 SOC 能力的安全运营领导者应该：

创建 SOC 成熟度图，概述当前的性能和能力状态，并指出里程碑成就的最高当前水平。
根据当前已实现的最高里程碑来确定技术选择的优先顺序。过早获得过于先进的技术往往无法获得预期的性能提升。
根据哪些结果、功能手段和消费方法能够最有效地推进自己的成熟度图，制定技术选择标准。
分析安全运营性能不佳的症状，以发现缺少哪些能力可能是问题的根本原因。

概述

增长是不可避免的。这是每项现代安全运营实践的必然结果。即使推迟增长，不断变化的威胁形势也会迫使这样做，尤其是在发生重大安全事件时。大多数组织面临的挑战不是他们是否应该发展其安全运营实践；而是何时发展、在哪里发展以及哪些技术收购最能满足其增长目标。

问题进一步加剧，现代安全运营实践中可用的技术和服务解决方案数量庞大，评估解决方案是否符合增长目标的复杂性也随之而来。2024 年安全运营技术成熟度曲线列出了23 个截然不同的重点领域，其中包含数百个供应商选项。“全部购买”的技术采购策略根本行不通，即使对于预算看似无限的客户也是如此。更不用说，在如此广泛的选择领域，传统的产品评估和选择策略的成本过高。

本研究讨论了在完善现代安全运营实践时选择工具的六大技巧。安全运营领导者可以利用我们的建议来消除产品炒作，并根据其实现目标的能力来选择技术，而不仅仅是评估技术特性。

关于如何为安全运营选择最佳新工具的六个技巧是：

1. 根据可衡量的目标规划安全运营成熟度里程碑。

2. 选择能够有效帮助迈向下一个安全运营成熟度里程碑的技术。

3. 选择能够解决安全运营问题的技术，而不仅仅是解决症状。

4. 确定哪些技术能力最能有效地满足成熟度目标。

5. 询问获取新功能的最佳途径：购买、添加功能许可证、订阅、云整合或签订合同。

6. 以结果为基础比较不同的技术和解决方案。

分析

创建 SOC 成熟度图

本研究背景下的成熟度是指对技术或服务的任何投资，这些投资要么有助于安全运营实践扩展其功能，要么提高其已有功能的性能。这个非常基本的概念是制定自己的成熟度路线图的基础。最终，所做的任何技术选择都应该通过直接提高安全运营的功能或性能来证明其合理性。

建议 1：根据可衡量的目标规划安全运营成熟度里程碑

向各个外部利益相关者传达增长的必要性以及何时增长的紧迫性，需要一种非常简化的解释方法，将概念转化为各种受众。

为组织发展安全运营实践的历程构建一张地图，是向广大受众传达各种增长需求的有用工具。

图 1 显示了安全运营成熟度图的示例。里程碑名称是任意的，因为它们代表了您成长历程中的重要步骤。一些客户会创建与行业框架或同行行业基线相关的里程碑。

图 1：安全运营成熟度

最有效地传达安全运营增长的紧迫性的方法是通过衡量其针对组织变化和不断演变的威胁的表现。

成熟度图的重要部分是能力和性能这两个主要轴。这两个轴用于解释在成长历程中前进所需的目标方面所需的任何技术收购。在性能和能力之间找到适当的平衡意味着处于组织的正确成熟度里程碑。不平衡意味着增长计划是有序的。

例如，假设威胁形势发生了变化。要检测新威胁，现在需要基于网络流量检查的专门监测。组织可能没有这样的能力，或者这种能力仅在非常有限的容量中可用，或者在可以帮助检测威胁的地方不可用。在这个例子中，如果能力接近于零，那么增长可能完全基于缺乏对抗主动威胁的能力。

让我们继续这个例子：一个新的威胁出现在地平线上。假设已经有一些有用的能力，但是预计捕获率将低于 40%，对于符合条件的事件，需要两到三天才能解决。这是安全运营绩效的体现。

成熟度图进展也与支出合理性的基础相关，这取决于相关技术收购如何最好地推动成熟度图向前发展，或随着外部因素的发展，成熟度位置不会向后滑动。即使新技术收购是合理的，也并不总是意味着会分配新的资源。了解未获资助的能力将如何影响绩效是确保利益相关者能够做出明智的预算分配决策的有效方法。

根据实现的最高里程碑确定技术选择的优先顺序

并非每个安全组织都需要最新最好的工具来实现内部目标。使用成熟度里程碑作为目标可以更清晰地选择最能帮助实现目标的正确工具。

建议 2：选择能够有效帮助迈向下一个安全运营成熟度里程碑的技术

以下是成熟度图上每个里程碑中常见的解决方案示例。虽然没有适用于所有组织类型的绝对建议，但这些示例可以为与成熟度相关的解决方案提供快速参考。每个里程碑都建立在前一个里程碑的基础上，例如，达到里程碑 3 还需要里程碑 1 和 2 中的技术，依此类推。

除了在每个增长里程碑上发现的常见解决方案之外，还提供了为什么需要这些解决方案、它们在哪些方面可以为运营带来益处以及它们对增长和绩效等目标有何影响的示例理由。

常见的成熟度阶段和相关的安全解决方案

成熟里程碑 1：安全运营形成

制定安全运营实践首先要了解自己的数字资产以及实际影响织的威胁。此示例成熟度里程碑侧重于采用提供更高可见性的关键技术以及针对最常见攻击的一些保护措施。

安全运营工具的监测不仅可以提供基本保护，还可以提供有关实际安全运营的数据，这些数据有助于确定哪些未来增长领域可以改善当前状态。早期的安全运营团队会发现这些工具提供的数据很有价值；但是，由于原始数据或更详细的监测尚未汇总以供调查和分析，因此可能难以调查或快速解决问题。

表 1 概述了与 SecOps 形成里程碑有关的核心成熟度目标和解决方案。

表1 ：里程碑 1：安全运营形成

解决方案	成熟度目标	原因
终端检测和响应 (EDR)	核心能力	提供有限的威胁情报 (TI)、检测和响应功能组合
漏洞评估（VA）；漏洞管理（VM）；漏洞优先级排序技术（VPT）	核心能力	提供对资产、漏洞和一般风险的必要可见性

来源：Gartner

成熟里程碑 2：基本运营

构建安全运营实践的下一步是扩展 EDR 的基本保护，并使用多种监测技术（而不仅仅是终端监测技术）来检测更广泛的威胁。随着更多检测能力的增加，处理警报管理和解决的运营工作也随之增加，这需要一些有限的能力来处理工作流和扩展技术。

在此阶段，客户可能还希望添加针对特定运营环境的检测。在此示例中，里程碑通过添加安全服务边缘 (SSE) 解决方案将扩展检测和响应 (XDR) 的检测和响应能力增强到云环境中。

高度融合的解决方案通过在单一解决方案平台内提供不同领域的各种功能，可以很好地服务于这一早期阶段。安全运营绩效很重要，但通常，指标和关键绩效指标在此阶段尚未固化。

表 2 概述了与基本运营里程碑相关的核心成熟度目标和解决方案。

表2 ：里程碑 2：基本运营

解决方案	成熟度目标	原因
XDR	能力扩展	通过使用混合监测来扩展检测能力，并且通常提供工作流和运营扩展能力。
SSE	功能扩展	一些特定的环境，例如 SaaS，需要本机工具来提供特定环境攻击所需的保护和监测。

来源：Gartner

成熟里程碑 3：功能性安全运营实践

在这个成熟阶段，检测和响应方面的性能成为设计因素。这推动了对一致运营绩效的需求，通常是通过增加战略服务提供商合同来实现的。客户还寻求通过使用更广泛的监测来构建更多与业务相关的威胁检测，这些监测可以包括有关用户、数据、客户端、应用程序或其他感兴趣对象的数据。

现阶段，人们对暴露和暴露管理的兴趣日益浓厚，推动客户加强安全测试以及威胁情报知识。

表 3 概述了与功能 SecOps 实践里程碑相关的核心成熟度目标和解决方案。

表3 ：里程碑 3：功能性安全运营实践

解决方案	成熟度目标	原因
托管检测和响应或共同管理服务	运营绩效改善	通过合同服务帮助客户扩展和拓展其 SOC 的运营能力
安全信息和事件管理 (SIEM)	能力扩展	通过更具扩展性的平台方法进行监测采集和分析，扩展威胁检测、调查和响应 (TDIR) 功能
威胁情报产品或服务	能力扩展	将威胁情报知识从内置机器数据扩展到与组织更相关的威胁
渗透测试服务/PTaaS	曝光性能改进	利用第三方测试服务确保发现并解决暴露问题
网络检测与响应	能力扩展	利用网络监测补充数据和背景信息

来源：Gartner

成熟里程碑 4：扩展和拓展功能

追求卓越而非仅仅表现出色的愿望促使客户进一步延长其成熟度。在这个示例阶段，客户经常参与详细调查，需要更多扩展和扩展的能力来处理这些调查。

案例管理功能有助于加快事件响应工作流程。此类工具有助于巩固流程、减少错误并促进跨团队协作。

此阶段的客户通过使用针对特定兴趣领域的能力设计，将其能力扩展到其他环境或专业重点领域。灾难恢复规划 (DRP)和身份威胁检测与响应 (ITDR)等技术可以帮助将能力增长集中在专业环境中。

此阶段通常需要更持续地关注威胁和暴露情况，以帮助设定变化的速度。攻击面管理 (ASM) 和外部 ASM (EASM) 等技术可以让 SOC 团队掌握最新的暴露信息，从而占据优势。

表 4 概述了与扩展和扩大能力里程碑有关的核心成熟度目标和解决方案。

表4 ：里程碑 4：扩展和拓展的功能

解决方案	成熟度目标	原因
事件管理	响应运营绩效	事件管理功能可帮助团队协作并始终如一地处理复杂且通常敏感的调查工作流程。
对抗性暴露验证	能力扩展	通过内部化扩展测试功能，可以通过组建蓝队、紫队或红队来增强风险管理。
DRP、ITDR	能力扩展	将 TDIR 功能扩展到特定的应用程序、对象或攻击区域通常需要独特的解决方案来扩展核心系统缺乏能力的功能。
ASM/EASM	能力扩展	更加持续地关注与当前攻击相关的资产和风险暴露，有助于确保正确部署防御措施。

来源：Gartner

成熟里程碑5：可预测的运营

渴望达到最高成熟度的客户不仅希望在安全运营方面表现出色，而且还希望超越黑客和业内同行。

在这个示例里程碑中，响应服务现在经常涉及法律团队，并且取证工具成为必要的功能。

需要如此多的工具来支持高成熟度的安全运营实践，以至于维护和优化这些工具非常困难，而且很难证明它们的成本价值。改进的安全控制验证和测试可以解决这些挑战。

高度成熟的运营需要高技能的人力资源才能有效运作。这推动了对更多超大规模解决方案的需求，例如自动化或网络安全AI 助手。

最后，对安全事件进行更多遥测的需求不断增加，这增加了对攻击的更多有利位置以及更多总体数据消费和分析的需求。

表 5 概述了与可预测运营里程碑相关的核心成熟度目标和解决方案。

表5 ：里程碑 5：可预测的运营

解决方案	成熟度目标	原因
数字取证和事件响应	能力扩展	扩展取证能力来处理违规等事件或活动。
自动化安全控制评估	运营绩效	确保现有的安全控制已按预期配置和优化。
网络安全人工智能助手	运营绩效	通过克服与洞察大量数据、行动过程或工具命令执行相关的低效领域来扩展运营。
监测管道	成本表现	在更大规模的监测提取中，客户通常需要补充其 SIEM，以更好地控制数据利用率和成本。

来源：Gartner

建议 3：选择能够解决安全运营问题的技术，而不仅仅是解决症状

拥有自己的安全成熟度图的好处之一是，它可以更积极主动地发展，而不仅仅是对症状做出反应。Gartner 客户在谈到进行安全运营投资时经常会问的一个问题是“我们如何才能更积极主动？”答案是选择能够解决根本问题的技术收购，而不仅仅是花费资源来改善症状。

图 2显示了每个安全运营实践应具备的四个主要实践领域。

图 2：识别缺失能力的根本原因

下一步发展的方向在于了解安全运营的某些领域如何从对支持领域的投资中受益。通常，整体安全运营绩效的最大收益来自于修复根本原因和识别依赖关系。

例如，SOC 目前可能在监控和检测方面感觉超负荷。告警量很大，告警质量很低，解决所有告警所需的资源时间比目前拥有的更多。这些迹象表明安全运营团队超负荷。有人可能会建议在威胁检测工具领域收购一项新技术可能会解决问题。然而，性能问题的根本原因很可能是缺乏了解暴露评估和针对实际威胁的验证的数据。技术收购可以更清楚地了解当前威胁如何影响实际暴露，从而通过改进检测工程来提高告警质量。

在寻求完善安全运营实践时，选择能够以最小投资实现最大性能提升的技术，最好通过了解各种症状如何受到 SOC 中其他实践领域的影响来做到。为提高相邻领域的能力而进行的小额技术投资可能会在另一个领域带来巨大收益。

制定技术选择标准以推进成熟度图

选择最适合需求的技术首先要定义一份必要的功能列表。供应商通常会快速展示他们的最新创新和功能集。尽管这些创新可能很有趣，但它们可能对目标没有多大价值。

建议 4：确定哪些技术能力最能有效地满足成熟度目标

发现缺失的功能是许多问题的根本原因是值得的；但是，接下来可能会发现有很多不同的方法可以为组织添加该功能。它可能是已经拥有的产品的具有成本效益的功能，或效果有限的相邻技术，也可能是另一个最能满足需求的更大的平台解决方案。由于功能和能力冲突而导致的技术市场重叠是一项挑战。

本技巧要求尝试在尽可能多的子部分中定义所需的功能。当在不同的市场中发现具有重叠特性和功能的各种技术，但仍然希望对其进行评估时，这将有所帮助。技术实现结果所采用的手段或方法可以成为构建评估清单的有用视角。

确定监测：从哪里来，有多少？

检测攻击需要从位于相关攻击路径上的一个或多个报告设备获取一定数量和细节的监测数据。目标是根据成熟度目标确定最重要的监测数据。

任何监测对象都可以通过多种方式获取：直接从系统、通过日志文件或独立部署的软件代理或路径中的某个逻辑网关获取。实现成熟度目标的关键是监测的质量和可用性。

只有保真度更高的监测数据才能发挥作用，而且必须部署软件才能获得它。或者，日志中较低详细度的数据足以满足目标。考虑监测数据面向任何攻击的观点 (POV) 也很重要。

花些时间收集监测的此类功能要求有助于构建供应商选择问题，了解每个供应商解决问题的方法。了解他们对目标的看法、他们使用的数据类型以及执行任务所需的数据量是区分解决方案的有效方法。

确定最合适的分析方法

从技术创新的角度来看，这对于网络安全来说无疑是一个激动人心的时刻。

网络安全正蓬勃发展，人工智能和自动化等创新技术以及一系列看似非常诱人的先进功能应运而生。然而，应用最新技术并不总是实现目标的最佳方法，而且可能会导致成本超支和效果不佳。

评估哪种事件分析方法最适合实现特定增长目标。例如：

诸如网络钓鱼之类的问题需要全球大量的数据，并且通常是解决方案供应商方面进行的高级分析的功能。
根据行为检测威胁等问题也需要分析。不过，分析的重点是的本地数据源。

确定执行任务所需的最合适的分析方法可以帮助您选择具有兼容方法的供应商，并有助于避免只专注于炒作最新和最好的方法的供应商，即使该方法对问题几乎没有应用。

识别依赖关系

安全运营中很少有解决方案真正独立存在。大多数解决方案都依赖于其他解决方案才能发挥良好作用。依赖关系可能包括需要相邻的监测源、与工作流或其他威胁检测、调查和响应系统集成，或其他基础设施要求，如IT 服务管理 (ITSM)和基础设施和运营 ( I&O)。对其他非安全系统的依赖也需要考虑。

了解哪些关键系统和工作流程与所需的增长解决方案相一致，有助于产生有关集成和技术联盟的供应商选择问题，从而使依赖关系成为差异化处理领域。

建议五：探究获取新能力的最佳途径

仅仅因为安全运营实践缺少必要的功能，并不一定需要购买新的专用解决方案。通过探究使用新功能的最佳途径，可能会找到实现预期结果的更好价值或方法。

除了购买专用的新解决方案之外，获取新功能的常见方法包括：

服务合作伙伴关系：安全服务提供商可能会提供使用功能的途径，尤其是在涉及工作流、规模和性能的领域。在扩展技术（例如自动化和GenAI 的使用）方面，服务提供商是早期创新者，并且拥有可帮助扩展功能以满足特定增长需求的解决方案。许多高级功能都需要更大的团队才能获得预期的结果。使用服务合作伙伴关系可以使这些高级功能可用，而无需通常需要更大的内部团队来实施和操作高级功能。
已拥有的功能许可证：SOC 中的许多常见平台解决方案（例如 SIEM、ITSM 系统、EDR 等）除了其核心功能外，还具有广泛的扩展功能。在寻求新的增长功能时，最好先询问现有的平台供应商可以添加哪些扩展功能许可证来满足需求。
订阅：订阅模式中可以购买各种安全运营功能。威胁情报、风险评估服务、检测内容创建等。通过订阅使用所需功能可以帮助加快价值实现时间，还可以通过利用订阅来降低资本成本。
整合云策略：与云或服务提供商沟通，了解他们是否提供扩展功能。云提供商拥有一套丰富的安全工具，可以扩展威胁情报、风险管理、监控和响应等多个领域的功能。

瞄准 SOC 性能问题根源中缺失的功能

首先从期望结果入手是制定产品选择标准的好方法。问问当前的运营和技术状态究竟缺少什么，阻碍了结果的实现。接下来，开始问技术问题，比如为什么，什么有助于解决根本问题。

建议 6：以结果为基础比较不同的技术和解决方案

比较和评估同一市场类别中的直接竞争对手的解决方案是一种相当古老且公认的供应商选择方法。根据魔力象限等研究确定适合市场参与者，然后在其他文档（如 Gartner 的关键功能或解决方案比较）中确定这些解决方案的主要功能。然后根据这些要求评估供应商，找到最佳供应商。

这种首选的供应商评估方法面临的挑战是，许多间接竞争对手开始提供具有一定程度重叠功能的解决方案，但其特性、能力或结果方法可能非常不同。

Gartner 建议使用一种将替代或新兴解决方案纳入评估过程的评估方法。以下三种策略可用于比较功能上有些重叠的不同解决方案。

定义“必须具备”的功能

大多数组织，特别是非常大的组织，可能具有某些对于任何新解决方案都是强制性要求的功能，例如：