采用生成式人工智能等颠覆性技术需要增加安全投资,而中国企业仍然面临预算限制。首席信息官及其安全和风险管理主管可以使用此技术成熟度曲线来识别和采用合适的安全实践。
需要知道什么
2024 年,在中国运营的企业将继续面临预算限制。预算平均增长2.8%,超过一半 (55%) 的企业IT 预算保持不变或减少。
与此同时,企业正在投资生成式人工智能 (GenAI)等数字创新。这些数字投资带来了新的攻击面,可能需要一套新的保护措施。因此,企业需要优化方法来实施安全措施,以平衡新技术的采用和预算限制。
目前在中国观察到的趋势中,有利于组织优化安全投资的趋势包括威胁暴露管理、身份优先安全、网络弹性、网络安全平台整合和以业务为中心的安全投资。这些与此炒作周期中的威胁暴露管理、攻击面管理、零信任网络访问 (ZTNA)、安全服务边缘 (SSE) 和安全访问服务边缘 (SASE) 创新相关。
由于使用非本地供应商的安全工具在合规方面面临更多挑战,本地安全供应商占据了中国安全市场的主导地位。因此了解中国各种本土安全技术的市场发展情况至关重要。
CIO 及其安全和风险管理 (SRM) 领导者可以使用此技术成熟度曲线来选择适合中国的安全技术,以通过优化预算分配来提高效率。
炒作周期
本技术成熟度曲线涵盖了中国的安全技术创新,今年还有两项新创新:
-
网络安全人工智能助手:GenAI 的炒作将在 2024 年继续。与 2023 年同期的 AI 咨询数量相比,Gartner 客户在 2024 年前六个月对 AI 的咨询数量保持不变。网络安全人工智能助手的采用由需求方和供应商方共同推动。SRM 领导者正在采用网络安全人工智能助手来提高效率和解决技能短缺问题,而供应商正在大力营销它以促进业务增长,迅速将这一创新推向期望期望膨胀期。
-
安全信息与事件管理(SIEM):SIEM 取代态势感知,是因为企业已经意识到在中国安全市场,态势感知平台与 SIEM 并无本质区别,态势感知平台的能力与SIEM 的能力一致。
Gartner 调查数据显示,数据安全是中国企业最热门的调查主题。虽然数据分类正处于技术萌芽期,但大多数数据安全技术(如数据安全平台 (DSP)、数据风险评估和数据安全治理)正在处于创新出发稳步爬升阶段。CIO 及其 SRM 负责人应仔细评估这些新兴的数据安全技术。
由于监管框架不断发展,中国的隐私问题正处于期望膨胀期,尤其是中国寻求在开发和采用人工智能技术方面发挥领导作用,并最终确定将于 2024 年 3 月生效的跨境数据传输规则。隐私增强计算 (PEC) 对于保护使用中的数据和隐私非常重要。机密计算在创新触发阶段缓慢上升,而安全多方计算则正在下降到泡沫破裂低谷期。
中国企业继续寻求网络安全平台整合,以降低复杂性,并在预算有限的情况下提高效率。SASE、SSE 和 DSP 都是安全平台产品。由于对网络和安全整合的需求不断增加,SASE 正在从稳步爬升复苏阶段。由于采用率低于预期,SSE 正在从高峰回落。由于对保护数据、分析和 AI 管道的需求不断增加,DSP 正在向高峰迈进。
ZTNA、数据分类和 SIEM 正处于启蒙阶段。这些创新的推动力来自中国日益普及的零信任策略、数据安全计划和安全运营中心 (SOC)。
图 1:2024 年中国安全技术成熟度曲线
优先级矩阵
优先级矩阵说明了安全技术和服务在中国的影响力水平,以及我们预计这些创新需要多少年才能实现主流采用。这些技术是 SRM 领导者经常询问的,并且被认为对中国的组织有益。它们涵盖了广泛的安全主题,包括应用安全、云安全、数据安全、网络风险、身份和访问管理以及安全运营。
此炒作周期中的大多数创新(包括网络安全人工智能助手)将在 5 到 10 年内成熟。一些创新(例如安全多方计算、威胁暴露管理和软件组成分析)提供了颠覆性优势,而其他创新则带来了较高收益和中等收益。了解每项创新的优势对于组织在制定中长期安全战略时非常重要。
两到五年内将成熟的创新需要更多关注,因为这些技术可以在短期内带来好处。网络安全平台整合的需求继续推动 SASE 和 SSE 的成熟,而对零信任的追求正在增加 ZTNA 的采用。中国的隐私、数据分类和物联网身份验证具有较高的影响力评级。
SIEM是本技术成熟度曲线中唯一有望在两年内成熟的技术,这是由于各类 SIEM 产品的功能日趋相似和标准化,以及用户对 SIEM 的理解和使用日趋成熟。
表1 :2024 年中国安全优先事项矩阵
影响力 | 距离主流采用的时间 | |||
不到 2 年 | 2 - 5年 | 5 - 10 年 | 超过 10 年 | |
颠覆 | SASE SSE | 数据风险评估 数据安全治理 安全多方计算 软件组成分析 威胁暴露管理 | ||
较高 | 数据分类 物联网认证 中国的隐私 | 入侵和攻击模拟 机密计算 数据安全平台 | ||
中等 | SIEM | ZTNA | 攻击面管理 网络安全人工智能助手 | |
较低 |
来源:Gartner(2024 年 8 月)
脱离炒作周期
-
云安全资源池已从本轮技术成熟度曲线中剔除,因为在中国,云安全资源池主要用于保护私有云,且大部分为政府项目,企业采用率非常有限。
-
云工作负载保护平台 (CWPP) 已经成熟,并已达到生产成熟期。Gartner 还发现 CWPP 是云原生应用程序保护平台 (CNAPP) 的组件。
-
中国的CPS安全已从本轮技术成熟度曲线中剔除,因为它是通过特定技术实现的,例如中国的物联网安全或 OT 安全。
-
攻防演练不再出现在技术成熟度曲线上,因为中国的组织通过全国性的攻防演习已经非常熟悉它,并自发采用了这种做法。
萌芽期技术
1、数据风险评估
影响力评级:颠覆
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:数据风险评估 (DRA) 是一个多方面且持续的过程。它审查部署的安全产品中数据安全治理政策的实际实施情况,以平衡业务需求和数据风险。数据风险是根据发现的任何政策漏洞或不一致之处来识别的,这些漏洞或不一致之处可能是由不当访问、数据驻留、合规性、隐私和安全威胁造成的。
为什么重要
中国不断扩大数字业务计划,对数据安全治理 (DSG) 的监管也越来越严格,这使得数据安全风险评估 (DRA) 成为评估如何降低业务风险的必要部分。数据安全风险评估 (DRA) 分析了数据安全、隐私和身份管理产品所采用的控制措施导致的 DSG 政策的漏洞和不一致之处。数据安全风险评估 (DRA) 对于 DSG 的成功实施和遵守法律及行业特定法规至关重要。
商业冲击
DRA 为安全和风险管理 (SRM) 领导者提供见解,帮助他们根据组织的风险偏好对数据风险进行优先排序。它通过识别实施的数据安全政策中的偏差并评估财务和业务影响,帮助领导者设计明智的风险处理策略。进行 DRA 有助于满足中国在隐私、数据处理和其他行业特定法规(例如金融、电信、政府和汽车)方面的法律要求。
驱动因素
-
中国国家数字经济和人工智能发展计划和监管要求促使公共和私人组织将 DRA 的影响评估扩展到国家安全和公共利益(例如医疗保健、交通和公用事业)。当组织的业务交易活动涉及重要数据、大量个人信息和跨境数据传输时,就会发生这种情况。
-
DRA 通过解决直接影响业务风险的数据风险,同时识别和评估业务用户的数据访问需求来增强业务成果。
-
金融 DRA (FinDRA) 流程使业务职能部门能够就数据安全预算做出明智的决策。这是通过评估对业务的财务影响并确定与预算限制及其对业务成果的影响相一致的最佳数据风险缓解水平来实现的。
-
任何旨在降低业务相关数据风险的决策都需要 DRA 确定每种风险可能如何演变。它还需要一个数据分类流程,可以识别结构化和非结构化格式的数据,并利用安全性、隐私性和业务元数据。
-
需要创建数据图并使用数据安全态势管理 (DSPM)产品进行 DRA 分析,以便评估对数据沿袭和可观察性的影响。识别风险非常重要,因为数据在其生命周期中会以不同的格式、组合、数据驻留和影子数据在混合 IT 架构中演变。
-
DRA 可以将数据风险与每个用户或机器帐户的数据访问权限关联起来。DRA 可以使用 DSG 策略作为基准,识别数据特权访问中的差距或不一致之处,并将结果记录到风险登记册中。
障碍
-
不同监管机构的合规要求各不相同,这让 DRA 实践变得复杂。其中包括全方位数据安全风险、数据出站风险、隐私和技术漏洞。这些风险因素让 DRA 的实施变得复杂,也让手动 DRA 流程难以完成。
-
终端和应用程序的多样性和地理分布在识别和分析用户和机器账户对数据存储库的访问时带来了挑战。
-
完成 DRA 流程需要多位专家的参与,并对已部署的安全控制的有效性进行评估,而这通常很难获得。
-
数据处理活动随着业务流程的变化而发展。时间点的DRA不足以及时且持续地识别数据安全风险。
-
只有当企业领导者支持数据安全控制的必要性时,DRA 才会成功。然而,中国大多数组织都面临着企业参与不足以及没有通过 DSG 成功吸引利益相关者的困境。
2、数据安全平台
影响力评级:较高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:数据安全平台 (DSP) 将结构化数据孤岛中的数据发现、策略定义和策略实施结合在一起。策略实施功能包括格式保留加密 (FPE)、标记化和动态数据屏蔽。这些功能可以通过连接器、代理、代理服务器和 API 提供。
为什么重要
传统上,数据安全是由各自为政的不同产品提供的。这导致运营效率低下,无法支持数据风险评估、数据商业化以及涉及数据的创新和协作等。DSP 通过连接以前分散的数据安全控制和功能,实现了本地和基于云的数据存储的数据安全策略的集中部署。
商业冲击
DSP 显著提高了数据及其广泛用途的可见性和控制力,例如,在数据处理和共享/交换行为方面,而不仅仅是与隐私相关的合规目标。因此,它使组织能够真正保护其数据。可见性和控制力的提高使个人、组织和政府之间的数据流动更加安全,并促进了中国国家数字经济和人工智能发展计划的实施。
驱动因素
-
数据安全治理 (DSG) 是遵守中国《数据安全法》的重要组成部分。组织需要一个集成的数据安全平台来支持 DSG 的实施,并全面了解数据的驻留、流通和使用情况。他们必须能够更轻松地在不同产品之间实施一致的安全策略,并简化数据风险和合规性评估流程。
-
企业迫切需要加强数据安全、快速实施新的用例和访问数据以实现高级分析和生成人工智能 (GenAI)。
-
组织数据越来越多地分布在不同的服务和信任边界上,通常位于传统的本地数据中心之外。数据可能会在各种类型的私有、混合和公共云服务中进行处理和存储——基于基础设施、基于平台和 SaaS 。这种情况要求组织更有效地管理其数据安全。
-
DSP 支持对数据产品应用一致的数据安全策略和控制。数据产品是成熟客户的首要考虑因素。这代表着一种范式转变,其目标是通过让各种内部和外部消费者更轻松地共享和使用数据,来支持更高效地利用安全数据(具有适当防护措施的数据)。
障碍
-
当中国企业发现其传统、孤立的数据安全控制不再足够或无法很好地同步时,他们就会意识到 DSP。然而,用集成平台取代单一功能产品需要强有力的商业理由、多年的过渡计划以及投入的努力和成本。
-
并非所有供应商都提供相同深度的 DSP 功能,而是将传统产品强行塞入 DSP 的新产品中,这使得组织难以比较供应商产品。
-
大多数 DSP 可以与同一供应商原有领域的安全产品很好地协调。如果买方现有的产品组合主要由来自其他供应商的异构产品组成,那么整合以前分散的技术可能会很困难。
-
主流DSP专注于结构化数据。在 GenAI 时代,许多企业希望平等保护结构化和非结构化数据,并发现领先的 DSP 供应商对数据发现、非结构化数据的目录和分类以及文件级加密的支持有限甚至没有。这可能会阻碍用户采用 DSP。
3、数据安全治理
影响力评级:颠覆
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:数据安全治理 (DSG) 可以评估和确定由数据安全、隐私和合规性问题引起的业务风险的优先级。这使组织能够制定支持业务成果的数据安全策略,并在业务需求与相关业务风险之间取得平衡。
为什么重要
随着数据在中国本地和多云架构中激增,DSG 能够评估、确定优先级并缓解由安全、隐私和其他合规性问题引起的业务风险。DSG 通过定义可应用于整个 IT 架构的数据安全策略来平衡业务优先级和风险缓解,以便根据优先的业务风险在内部和外部处理和共享组织的专有数据集。
商业冲击
DSG 提供平衡的策略来管理数据访问和使用,以支持业务目标,同时实施适当的数据安全和隐私控制以降低风险。它通过数据安全指导委员会 (DSSC) 促进安全、数据和分析 (D&A)、合规和业务领导者之间的协作。这将有助于打破沟通障碍,有助于实现业务成果并遵守中国的监管要求。
驱动因素
-
2023 年2月发布的《数字中国建设整体布局规划》中要求中国企业在受保护的基线上共享和交易有价值的数据资产,从而创造商业数据价值。必须将 DSG 作为一个持续的过程来管理、评估和确定与数据使用相关的业务风险的优先级,并制定有针对性的数据安全政策来降低这些风险。
-
可持续地执行数据安全控制需要安全、数据管理、法律、合规和业务职能等多个利益相关者之间的协作。需要应用一套治理原则、流程和实践来简化联合工作,同时建立明确的责任界限。
-
在一系列数据集中实施一致的数据安全策略和控制是一项挑战,因为需要考虑多个内部和外部要求(在隐私、机密性、完整性、可用性、业务目的和生命周期风险方面)。DSG 有助于制定数据安全策略,指导和协调实施流程,以最大限度地减少数据安全控制漏洞和不一致问题,尤其是在组织深入研究新兴技术(包括生成式 AI 服务)时。
-
没有任何单一产品能够全面降低与数据相关的业务风险,这凸显了集中制定和协调数据安全策略的必要性。
-
至关重要的是,通过 DSG 进行充分的隐私影响评估、数据风险评估和出站数据传输安全评估,以减轻数据驻留和主权风险。
障碍
-
业务利益相关者在数据管理方面的责任分散。安全、D&A 以及合规负责人都有自己的议程,并专注于 DSG 实施。除非他们就通用的 DSG 运营模式达成一致并与 DSG 共同制定数据安全政策,否则他们将无法平衡业务成果和风险缓解。
-
跨本地和多云服务的数据存储和处理的动态变化使得适应和提供一致有效的数据安全策略变得困难。
-
数据安全产品通常对非结构化或结构化数据进行操作,并将控制应用于特定平台,这使得在异构安全产品之间部署一致的数据安全策略变得具有挑战性。
-
中国实施DSG的目标偏向于满足当地的监管要求,而忽视了降低业务风险和实现业务成果。
4、入侵和攻击模拟
影响力评级:较高
市场渗透率:目标受众的 1% 至 5%
成熟度:成长期
定义:入侵和攻击模拟 (BAS) 技术使企业能够通过自动持续测试威胁载体(例如横向移动和数据泄露)来更好地了解其安全态势的薄弱环节。BAS 可以补充但不能完全取代红队或渗透测试。BAS 通过测试其检测从 SaaS 平台、软件代理和虚拟机 (VM) 运行的一系列模拟攻击的能力来验证组织的安全态势。
为什么重要
BAS 技术的关键优势在于它能够提供自动化、一致的企业威胁载体评估。频繁、自动化的 BAS 评估还使组织能够发现由于配置错误而导致的安全态势漏洞,并重新评估未来安全投资的优先级。BAS还帮助中国组织确定优先事项,以建立实战能力并为强制性安全验证做好准备。
商业冲击
BAS 使组织能够验证攻击面评估和安全态势管理工具所表明的可能暴露于特定威胁的影响。组织可以持续执行这些评估,以更频繁地了解其更大比例的资产。他们可以评估其安全控制的有效性,并发现通向其最关键资产的攻击路径,从而让他们能够确定补救的优先级。
驱动因素
-
中国面临的网络威胁日益增多,包括高级持续性威胁 (APT)、勒索软件攻击和数据泄露。BAS 通过模拟真实攻击场景、测试防御措施和识别需要解决的弱点,帮助组织保持领先地位。
-
中国企业必须遵守网络安全合规和监管框架,例如《网络安全法》和行业特定法规。BAS 通过持续测试和验证安全控制措施并将红队活动重新聚焦于更高级的场景,协助满足这些要求。
-
BAS工具可以通过管理API或读取警报日志与防御性安全控制技术集成,实现安全配置管理并提高防御漏洞的可见性。
-
拥有网络安全验证程序的组织主要使用 BAS 技术来确保多个地点的安全态势一致且得到改善。
-
IT 和业务利益相关者通常会赞助部署 BAS 技术,因为他们认为这是一种更安全的方式来评估组织当前安全控制、其配置和事件响应流程的能力。BAS 还通过支持“验证”步骤的更深层次自动化来支持持续威胁暴露管理 (CTEM) 程序。
-
BAS 提供可量化、可视化的安全概览,展示每项安全控制对安全态势的贡献。这有助于指导和优化安全投资。
-
中国企业经常与供应商和第三方提供商合作,从而带来额外的安全风险。BAS 使企业能够通过模拟攻击并评估其保护敏感数据和系统的能力来评估这些外部实体的安全态势。
障碍
-
BAS 需要投入时间进行有效配置、定制以与组织的安全堆栈集成以及持续维护。目前,只有中国成熟的组织才拥有专门的能力和资源。
-
中国的许多用户缺乏对BAS如何使其组织受益的知识和理解。他们很难解释除了网络安全验证(例如渗透测试)之外 BAS 的必要性。
-
BAS 的采用需要广泛的内部支持,不仅来自安全团队,还来自其他基础设施团队,例如网络或应用程序。BAS工具发现的问题通常很复杂 — 例如,与安全架构有关或需要跨工具安全策略调整。
-
在预算限制下,BAS 技术面临着来自其他安全测试和验证技术的日益激烈的竞争。这些技术包括漏洞管理、攻击面管理和自动渗透测试。
5、机密计算
影响力评级:较高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:机密计算是一种安全机制,它在基于硬件的可信执行环境 (TEE)(也称为安全区)中执行代码。安全区将代码和数据与主机系统(以及主机系统的所有者)隔离开来并保护它们,还可以提供代码完整性和认证。
为什么重要
-
中国国家数字经济和人工智能发展计划鼓励企业在受保护的基线上创造商业数据价值。
-
机密计算将芯片级 TEE 与传统密钥管理和加密协议相结合。它使计算设施(基础设施提供商无法访问)无需共享数据或知识产权 (IP),从而支持不同团队之间的合作至关重要的项目。
商业冲击
机密计算可缓解受到严格监管的企业和组织对数据安全的担忧,这些企业和组织担心未经授权的第三方会访问公共云中的数据。它促进了高级数据分析、商业智能 (BI) 和基于竞争对手、数据处理者和数据分析师之间的数据机密性和隐私控制的 AI 模型训练,而这很难通过传统的加密方法实现。
驱动因素
-
严格的数据安全、个人信息保护和跨境数据传输法规推动了机密计算的应用来保护正在使用的数据,特别是在中国境内外的公共云中。
-
中国企业越来越多地寻求与第三方交换和处理数据,以进行分析、BI 和 AI 模型训练,从而最大限度地发挥数据的价值。这推动了机密计算的采用,为数据交换和处理活动提供安全的计算环境(例如洁净室)。
-
在中国,无论是终端用户还是 PEC 供应商,都越来越青睐软件和硬件相结合的解决方案,例如隐私增强计算 (PEC) 集成平台。这种组合被认为是克服性能问题的有效解决方案,同时通过采用机密计算来保证所承诺的安全级别。
-
竞争方面的担忧加剧了机密计算的驱动力——不仅仅是个人数据,还有知识产权。这包括对机密性的需求以及对处理方法(包括算法功能)和数据进行保护以防止第三方访问。从这个角度来看,在仅提供基础设施时,CSP 证明自己没有或不需要访问此类敏感工作负载符合其竞争利益。
-
中国的“十四五”规划增加了芯片、生物技术和人工智能等前沿技术领域的创新举措。这促使更多本土芯片制造商推出基于 x86 或 TrustZone 平台支持 TEE 的 CPU 和图形处理单元 (GPU) 芯片。这为受到严格监管的组织提供了更多 TEE 硬件选择(例如HYGON 、华为鲲鹏、P hytium和兆芯)以及英特尔、Arm 和 AMD 等国际供应商。
障碍
-
机密计算会带来潜在的性能影响和额外成本。例如,为了确保现有软件堆栈可以在机密计算环境中运行,必须使用特殊的开发工具、库或 API。基于基础设施即服务 (IaaS) 的机密计算实例的运行成本会更高,无论是基于英特尔软件保护扩展 (SGX) 还是可信域扩展 (TDX)、Arm TrustZone、机密计算架构 (CCA) 还是其他方法。
-
不同技术框架的异质性以及缺乏训练有素的人员和对最佳实施方法的理解可能会阻碍采用或削弱部署。
-
机密计算并非即插即用,应保留用于机器学习等高风险用例。根据供应商和技术的不同,它可能需要付出高水平的努力,但与传输层安全性 (TLS)、多因素身份验证 ( MFA ) 和客户控制的密钥管理服务等更为简单的控制相比,安全性只会得到微小的改善。
6、威胁暴露管理
影响力评级:颠覆
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:威胁暴露管理包括一系列流程和技术,使企业能够持续一致地评估可见性,并验证企业数字资产的可访问性和可利用性。威胁暴露管理由有效的持续威胁暴露管理 (CTEM) 程序管理。
为什么重要
中国企业面临的攻击面多种多样。威胁暴露管理有助于克服识别、优先排序和验证威胁暴露的挑战。它帮助中国企业遵守要求企业保护敏感数据和关键基础设施的网络安全法规。它还扩展了传统的漏洞管理 (VM),以解决无法修补的安全问题。
商业冲击
威胁暴露管理是一种管理现代企业风险降低并确定其优先级的做法,它要求对用于业务活动的所有系统、应用程序和订阅进行评估,从而拓宽对当今数字环境的风险理解。CTEM 计划考虑了业务重要性、攻击可能性、漏洞可见性和攻击路径存在的验证,以使企业能够调动响应来应对最相关的风险。
驱动因素
-
中国制定了严格的网络安全法律法规,例如《网络安全法》和《关键信息基础设施保护网络安全要求》,这些法规提高了对管理和降低风险的重视程度。
-
使用开源软件和第三方基础设施会增加威胁暴露的可能性。中国企业目前正在进行重大的数字化转型计划,这将改变其 IT 架构的构成并带来新的重大风险。
-
大量的调查结果显示,由于缺乏范围和对优先级和风险的理解,组织在处理其风险暴露方面需要做太多工作,而对于首先应该采取什么行动却几乎没有指导。
-
对于组织而言,需要一种程序化且可重复的方法来回答“我们暴露在多大程度上?”这个问题。这必须旨在随着环境在快速变化和扩展的 IT 环境中发生变化,重新确定治疗的优先顺序。
-
最常见的情况是,组织一直在孤立地开展诸如渗透测试、威胁情报管理和漏洞扫描等暴露活动。这些孤立的观点几乎无法让人们了解组织面临的实际风险的完整情况。
障碍
-
中国的许多组织仍然专注于基于风险的漏洞管理计划,而不是采用更加封装的持续威胁暴露管理方法。
-
与传统 VM 相比,CTEM 程序的范围有所扩大,引入了许多以前通常未考虑或预算不到的复杂性。
-
目前,还没有有效的平台来整合分散在各种工具中的数据(例如攻击面、漏洞和暴露验证),并生成组织安全暴露的整体视图。
-
攻击可能表现出复杂的表现方式,需要一定的技能才能理解;诸如暴露验证之类的市场领域使得使用诸如违规和攻击模拟之类的技术/服务来测试开箱即用的场景变得更加简单。但要有效使用这些功能并开发定制的模拟,需要掌握新技能并了解使用暴露验证工具。
7、网络安全人工智能助手
影响力评级:中等
市场渗透率:不到目标受众的 1%
成熟度:新兴
定义:网络安全人工智能助手利用大型语言模型来帮助发现网络安全工具中现有的知识,并生成与安全团队中的目标角色相关的内容。网络安全人工智能助手大多作为现有产品的配套功能提供,但也可以采用专用前端的形式,也可以集成软件代理来采取行动。
为什么重要
网络安全技术提供商纷纷在生成式人工智能 ( GenAI)浪潮中发力,推出了集成到现有产品中的人工智能助手。这些网络安全人工智能助手提供知识发现和内容创建功能(通常以摘要或生成代码/脚本的形式)。他们承诺提高生产力,这对网络安全高管很有吸引力。这些助手可能会发展成为更自主的代理,可以使用高级指导工作,而无需频繁提示。
商业冲击
组织将开始使用网络安全人工智能助手作为更先进的交互式帮助和查询引擎。它们非常适合调查任务,例如事件响应、暴露或风险管理或代码审查。组织将从网络安全 AI 助手中受益,因为它可以提高效率并缩短响应时间。它还缓解了中国组织网络安全专业人员的短缺。各种用例都适用(应用程序安全、安全操作),但采用速度会有所不同。
驱动因素
-
各组织持续面临技能短缺的问题,并寻求机会实现资源密集型网络安全任务的自动化。
-
网络安全人工智能助手可以通过综合和分析威胁情报来使组织受益;针对应用程序安全、云错误配置和配置更改生成补救建议以适应威胁;生成脚本和代码生成;并实施安全代码代理。
-
网络安全人工智能助手的应用用例还包括识别和绘制日志系统中的关键安全事件、进行风险和合规性识别和分析、以及自动执行事件响应的第一步。
-
网络安全人工智能助手的更多用例包括调整安全配置和创建通用的最佳实践指导。
-
安全运营中心团队无法跟上他们必须不断审查的大量安全警报,并且缺少数据中的关键威胁指标。
-
生成式网络安全 AI 通过更好地汇总、分析和优先处理输入,增强了现有的持续威胁暴露管理程序。它还可以生成现实场景以供验证。
-
供应商正在投资GenAI安全工具,并通过采用这些工具来提高效率和安全态势。
障碍
-
网络安全行业已经饱受误报困扰。一次糟糕的“幻觉”或不准确的响应将导致组织对采用该技术持谨慎态度,或限制其使用范围。
-
为GenAI应用程序实施负责任的 AI、隐私、信任、安全和保障的最佳实践和工具尚未完全存在。
-
由于GenAI仍在发展,建立广泛采用所需的信任需要时间。对于技能增强用例来说尤其如此,因为您需要增强的技能才能确保建议是好的。
-
这些助手的成本将在很大程度上影响采用速度。目前,只有少数提供商公布了其定价,而许多提供商都免费提供早期预览版。
-
本地供应商的自训练模型的性能低于预期,特别是在与网络安全人工智能助手交互时的自然语言处理方面。
-
中国在数据安全、隐私和GenAI方面的规定限制了一些未在中国运营的全球领先的GenAI服务的访问。
-
大多数本地供应商产品缺乏与其他供应商安全工具的互操作性,例如从其他供应商的工具中发现知识,这需要额外的投资来替换现有的工具。
膨胀期技术
8、攻击面管理
影响力评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:成长期
定义:攻击面管理 (ASM) 包括部署用于持续发现、清点和情境化组织资产的技术和服务。这些资产可以是物理资产和数字资产、内部资产和外部资产,也可以是自有资产或订阅资产的一部分。但是,发现、清点和情境化是一个评估过程,而不是管理过程,因此“攻击面评估”通常比 ASM 更准确。
为什么重要
中国的数字环境正在迅速扩张,企业严重依赖技术和互联系统。这种扩张导致数字资产的数量和复杂性空前增加。中国的企业经常面临有针对性的网络威胁,例如供应链攻击和社交媒体网络钓鱼。有效的 ASM 可主动识别和解决攻击者的潜在切入点,从而帮助降低这些风险。
商业冲击
ASM 汇总了来自其他产品或服务的资产可见性,提供了数字资产、面向互联网的系统和任何潜在数字风险的综合视图。它提高了资产可见性,使组织能够避免盲点和不受管理的技术(例如“影子 IT”)。它还通过发现和确定暴露风险的优先级以及帮助减少对互联网和公共领域的可利用暴露来支持持续威胁暴露管理 (CTEM) 计划。
驱动因素
-
中国企业的资产数据通常比较分散,资产类型也比较多样,需要更加全面的资产可视性,以更好地了解企业潜在的攻击面和现有的安全控制漏洞。
-
中国的企业必须满足日益增长的风险验证和红队计划开发需求。同时,他们还希望了解从攻击者的角度来看其他企业面临的风险。全面了解企业的潜在攻击面和现有的安全漏洞是基础。
-
不断变化的商业环境和面向公众的数字资产的扩张将用例扩展到组织资产之外。场景包括数字足迹、品牌保护、账户接管、数据泄露检测和高价值目标(例如VIP/高管)监控。这些需求加速了 ASM 产品在中国市场的增长。
-
通过实现全面的可视性,ASM 为组织制定资产信息利用策略提供了可能性,为众多网络安全计划奠定了坚实的基础。
-
漏洞评估 (VA)、网络资产攻击面管理 (CAASM)、外部攻击面管理 (EASM) 和数字风险保护服务 (DRPS) 市场在中国正在整合。这种整合使用户能够在一个解决方案中获得一套集成的功能,并支持用户构建风险管理程序的愿望。
障碍
-
ASM 技术可能与现有的资产清单和漏洞管理工具重叠。用户很难区分具有重叠功能的各种工具,并会因“又一个”工具而承受额外负担。
-
ASM 解决方案在中国的资产可视性和动态管理能力尚处于起步阶段。大多数 ASM 产品在中国与第三方数据源的集成有限,并且需要大量人力来清理和统一不同的数据。
-
许多ASM 解决方案专注于组织自身的 IT 环境,但缺乏对云和数字供应商的可视性。
-
ASM 的最终目标是减少风险。仅使用 ASM 产品很难实现这一目标。通常需要安全专业人员的参与。
-
目前,中国大多数ASM解决方案都未能将数据作为关键的攻击面,这使得 ASM 对潜在买家没有吸引力,因为数据安全是中国企业关注的重点。
9、中国的隐私
影响力评级:较高
市场渗透率:目标受众的20%至50%
成熟度:成长期
定义:中国的隐私权受《个人信息保护法》(PIPL)以及相关行业、跨行业和跨境数据传输法规的监管。尽管与欧盟《通用数据保护条例》(GDPR)等隐私法存在相似之处,但要求有所不同,执法工作由多个监管机构指导。
为什么重要
《个人信息保护法》极大地改变了中国的法律和监管格局。此前的执法主要基于《网络安全法》和个人信息安全标准的规定。《个人信息保护法》为中国公民提供了更为广泛的个人数据保护框架,并可能实施严厉的经济制裁:最高可处以上一年度收入的 5% 或 5000 万元人民币的罚款,以较高者为准。
商业冲击
-
监管风险和违规处罚是真实存在的。企业领导者必须在市场增长战略中考虑到隐私问题,尤其是在为公众提供服务的行业,包括金融服务或在中国运营的跨国企业。
-
监管框架与其他地区的法律原则类似。然而,隐私策略中必须仔细分析和解决复杂的数据本地化、同意和跨境数据传输 (CBDT) 要求。
驱动因素
-
监管框架不断发展,尤其是在中国寻求在开发和采用人工智能技术方面发挥领导作用的情况下。《个人信息保护法》和类似的数据安全法律为保护个人(个人信息保护法)和信息(数据安全法)奠定了基础。
-
持续发展的另一个标志是跨境数据传输规则的最终确定,该规则于2024 年 3 月生效。这些规则正式确定了阈值,超过该阈值的个人数据必须存储在中国本地,并且只有满足特定要求后才能导出。
-
监管机构已表现出对违规行为实施处罚的意愿。滴滴公司全球被罚款 12 亿美元。自 2019 年以来,在工业和信息化部的审查中,已有7,000多个应用程序因非法收集个人信息和强制请求权限而被从应用商店下架。
障碍
-
《个人信息保护法》表明一系列处理活动严重依赖于获得个人同意,并且组织承担举证责任。
-
CBDT法规对跨境数据传输进行了严格控制。这给管理数据进出该国的策略带来了巨大负担。此外,这些法规适用于消费者和员工的个人数据。
-
监管环境包括网络安全框架,例如等保2.0。因此,需要由当地批准的实体进行评估和认证。因此,当地合作伙伴关系对于帮助组织了解所有适用要求、实施正确措施和跟上快速发展的环境中的变化至关重要。
-
可能需要大量额外投资。可能的新技术投资包括 IT 基础设施、应用程序架构和数据管理解决方案。还需要新的角色、控制和政策。
10、软件成分分析
影响力评级:颠覆
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:软件成分分析 (SCA) 产品是专门的应用程序安全工具,可检测已知存在安全漏洞的开源软件 (OSS) 和第三方组件,并识别潜在的不利许可和供应链风险。它是确保组织的软件供应链包含安全且可信赖的组件的策略中必不可少的要素,因此,该策略有助于安全的应用程序开发和组装。
为什么重要
在数字化时代,开源软件组件在中国软件开发中的盛行凸显了 SCA 的重要性。SCA 通过识别漏洞、确保适当的许可和增强软件供应链中的信任来支持OSS的使用。这是提高软件质量、降低开发风险和维护客户信任的一项重要活动。
商业冲击
-
SCA 是应用程序安全测试的基础元素,对于识别开源包和工件中的已知漏洞和供应链风险至关重要。
-
通过尽早解决组件完整性问题,SCA 减少了重复安全评估的需要,从而加快了开发过程。
-
许可证评估——曾经是 SCA 的主要用例——仍然是法律和采购团体的重要功能。
驱动因素
-
在中国,SCA 的采用已获得广泛关注,这主要是由于 OSS 的使用率不断提高以及供应链安全需求的增加。对潜在恶意代码和支持不佳的软件包的担忧促使人们将重点放在 SCA 上,以减轻供应链风险并增强软件安全性。
-
OSS 和商业软件包中高影响漏洞的普遍存在已成为一个反复出现的问题。这些漏洞源于底层组件的广泛使用。这凸显了需要强大的 SCA 实践来识别和解决漏洞,确保软件系统的安全。
-
遵守许可义务和供应链安全(如软件供应链安全要求)对于中国的企业至关重要。SCA 协助确保软件组件的正确许可和管理,帮助企业保持合规性。
-
中国对 DevOps 实践的采用正在增长,但快速发展可能会导致人们忽视安全方面的问题。中国市场上的 SCA 工具现在能够集成到 DevOps 管道中,通过在开发早期扫描代码来帮助平衡敏捷性和安全性。
-
在修复问题时,提高开发人员工作效率的能力的新要求促使组织重新审视其 SCA 工具。更有效的SCA 工具现在提供有关首选更新版本的指导 — 平衡稳定性、缺陷修复和对现有代码功能的潜在不利影响。
障碍
-
目前,中国很多企业并没有充分利用SCA的功能,将其融入到现有的软件开发流程中。这不仅会减慢软件交付速度,甚至可能导致企业在将潜在的安全风险带入生产环境之前就绕过或忽略SCA工具。
-
工具可以报告大量问题,从而给开发人员带来麻烦。确认受影响代码的使用情况或其可利用性的能力已成为一项必需功能,但并非普遍可用。
-
中国的组织机构缺乏对持续监控新发现的 OSS 漏洞的重要性以及在应用程序后期开发中使用 SCA 工具的好处的认识。
-
SCA 的使用涉及多个部门,例如安全、开发、业务、法律和采购部门。每个部门都有不同的优先事项,这增加了为组织选择最合适解决方案的复杂性。
低谷期技术
11、安全服务边缘SSE
影响力评级:颠覆
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:安全服务边缘 (SSE) 可确保对 Web、SaaS 应用程序和私有应用程序的访问安全。功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括由基于网络和基于 API 的集成实施的高级威胁防御和可接受的使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于端点代理的组件。
为什么重要
SSE提高了组织灵活性,以确保Web 和云服务以及远程工作的使用安全。SSE产品是中国安全功能(至少是安全 Web 网关 [SWG] 和零信任网络访问 [ZTNA])与附加 SaaS 安全性的融合,以降低复杂性并改善用户体验。它们在本地或云端交付。
商业冲击
数字化和混合工作继续推动公有云服务的采用。SSE允许组织使用中心方法在访问 Web、云服务和私有应用程序时实施安全策略,从而支持随时随地工作的员工。同时,SSE 降低了运行多个产品的管理复杂性,并在一个平台上提供了对最终用户操作的更大可见性。
驱动因素
-
在中国采用 SaaS 和基础设施即服务的组织需要确保分布式组织的数字资产的远程访问安全。
-
SSE 管理员可以增强对用户流量的可见性,以及对用户和应用程序之间的流量进行单一配置和监控。
-
混合工作需要基于身份和上下文的安全性,无论用户位置或设备如何。
-
中国的安全法规(例如《出境数据传输条例》)要求改进数据访问和传输的集中可视性和控制,以降低不合规风险。
-
组织希望通过整合的安全工具和供应商来降低复杂性和集成成本。
-
组织需要并行检查敏感数据和恶意软件,从而比单独进行检查获得更好的性能和更一致的配置。
-
自适应访问可以考虑更多的输入信号,并且无论应用程序的位置或类型如何都能更一致地执行。
-
与软件定义广域网 (SD- WAN)产品中可能具有最少安全功能的供应商相比,组织在构建安全访问服务边缘 (SASE) 架构时会寻求更深层次的安全功能,例如数据安全以及用户和实体行为分析 (UEBA)。
障碍
-
供应商可能在某些功能上很强,而在其他功能上则很弱。供应商可能还缺乏其自身SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。
-
中国企业的安全工具较少,公有云采用率较低,尤其是SaaS,对安全供应商和工具融合的紧迫性较低。
-
中国的大多数供应商没有提供足够敏感的数据识别和保护来管理业务风险。
-
中国客户更喜欢内部部署,这仍然与本地网络基础设施和连接相关。
-
管理不善或实施不善的内部设备(SSE 网关)会引入额外的攻击面,例如未修补的漏洞。
-
大多数本地供应商都完全专注于中国市场,对全球推广的支持有限,这并不适合跨国组织。
-
现有供应商的转换成本或合同到期时间阻碍了近期的整合。
12、物联网认证
影响力评级:较高
市场渗透率:目标受众的 5% 至 20%
成熟度:成长期
定义:物联网 (IoT) 认证是一种机制,用于建立对与其他实体(例如在 IoT 环境中运行的设备、应用程序、云服务或网关)交互的事物(通常是设备)身份的信任。IoT 中的身份验证考虑了 IoT 设备的潜在资源限制、它们在其中运行的网络的带宽限制以及各种 IoT 实体之间交互的机械化性质。
为什么重要
从汽车到智能家居和智能建筑,再到智能家电市场、工业物联网 (IIoT) 和运营技术 (OT),物联网市场正在蓬勃发展。然而,这些联网设备可以连接网络和物理世界,并带来全新的威胁载体。完善的物联网安全需要物联网设备中的强身份识别和强物联网身份验证,目的是减轻和最小化风险和/或其他问题和漏洞。
商业冲击
物联网认证可以减轻以下网络风险:
-
联网设备(例如智能汽车)可能会导致产品或服务中断
-
导致安全关键生产区域运营受到影响甚至发生灾难性事件的工业设备
驱动因素
-
中国信息通信研究院预测,到 2025 年,中国物联网连接数将达到 80 亿(见中国信息通信研究院《物联网白皮书 [2020]》)。出于安全考虑,物联网连接的增加将推动对物联网身份验证方法的关注和投入。
-
中国地方法规和标准推动组织对物联网身份和身份验证的投资,例如可信计算的多级保护方案 (MLPS) 2.0 基本要求,以及物联网的扩展要求。
-
公共部门(例如中国的医疗保健部门)正在开展工作,以定义用于物联网认证以及识别设备的安全凭证存储和轮换方法。
-
证书仍然是识别和认证设备的主要方式。中国的公钥基础设施 (PKI) 供应商(例如北京证书颁发机构和 TrustAsia)投资并专注于这一领域,利用其 PKI 功能来解决物联网身份验证用例。
-
有助于提供一致方法的全球标准包括 RFC 8628、OAuth 2.0 设备授权授予扩展和互联网工程任务组 (IETF) 内的 ACE 工作组。这还规定了如何针对受限设备优化基于 OAuth 2.0 的身份验证和授权交换,以便在受限应用协议 (CoAP)、消息队列监测传输 (MQTT) 和其他消息传递协议上使用。
障碍
-
物联网安全形势复杂,包括由于市场分散而确定合适的人员、流程和技术,以及由于设备类型和操作环境不一致而导致的产品化困难。
-
由于某些物联网设备的资源或功能受限、计算能力低和安全存储容量有限,因此某些身份验证方法并不理想。
-
通过物联网平台对身份验证方法的支持尚不成熟或不完整。工业物联网等用例领域的协议彼此之间无法互操作,而且很多时候无法与 TCP/IP 等标准兼容,这给身份验证方法带来了持续的挑战。此外,大多数工业物联网系统都是独立的,并使用本机专有方法进行身份验证。
13、安全多方计算
影响力评级:颠覆
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:安全多方计算 (SMPC) 是一种分布式计算和加密方法,可让实体(例如应用程序、个人、组织或设备)处理数据,同时将数据和加密密钥保持在受保护状态。具体而言,SMPC 允许多个实体共享见解,同时将可识别数据或其他敏感数据保密。
为什么重要
安全和风险管理 (SRM) 领导者在处理 (个人) 数据时,努力在数据共享/交换和隐私之间取得平衡。传统上,数据保护侧重于保护静态和传输中的数据。然而,基于 SMPC 的方法通过保护多方之间加密的数据计算共享,引入了使用中的数据保护。它支持在不受信任的计算环境中在分析和商业智能中以保密的方式处理数据。
商业冲击
SMPC 支持在加密状态下进行数据分析,并允许多个实体使用受保护的数据共享见解——尽管使用专门的软件。它支持业务的安全实现,从而使组织能够发现和交换信息,同时解决安全和隐私问题。这可以应用于许多数据分析和基于 AI 的用例,例如信用风险检测、联合营销和客户分析、联合医学研究等。
驱动因素
-
中国的《个人信息保护法》和《数据安全法》于2021年生效。因此,严格的数据安全和个人信息保护法规推动了SMPC的采用,以保护使用中的数据,特别是在与不受信任的第三方交换敏感数据时。
-
中国的国家数字经济和人工智能发展计划推动公共和私营组织促进内部和外部数据共享,并深化公共数据资源开发和数据驱动用例。例如,最近启动了各种政府支持的数据交换计划,旨在规范企业间数据资产交易,以获得更好的商业和社会效益。
-
传统的静态数据加密实施无法在数据使用和数据共享场景中提供对数据盗窃和泄露的强大保护。
-
大数据分析、人工智能或机器学习 (ML) 模型训练等新用例带来了进一步的隐私和网络安全问题,需要对使用中的数据进行保护。
-
金融、医疗和公共部门中 SMPC 成功概念验证 (POC) 的增多将带来更多实际实施。金融领域的 POC 包括联合风险控制和联合营销,医疗领域的 POC 包括跨机构医学研究。最后,公共部门包括跨机构数据共享、开放政府数据和受监管的数据交易。
-
更多开源SMPC项目(例如CrypTen、OpenCheetah、PySyft 、Rosetta、SecretFlow等)和可用的行业标准为新加入者提供了较低的进入门槛,也为长远实现孤岛数据源之间的跨平台集成奠定了基础。
障碍
-
SMPC 算法对延迟非常敏感。在某些情况下,性能可能无法满足客户的要求或期望。
-
大多数 SMPC 实施项目都是针对单个客户高度定制的,从业务流程到数据和系统。这阻碍了 SMPC 的采用,导致工作量和成本增加。
-
与同态加密类似,SMPC 需要专门的、重新编码的工具来进行数据分析。对这项技术的专业性缺乏了解阻碍了最终用户的采用。
-
SMPC 产品可能有限制,并且排除某些数据类型,例如浮点数。它们在递归机器学习方面也可能存在问题。
-
与现有技术(即基于硬件生成和存储的密钥的加密)相比,最终客户可能会遇到潜在的审计问题,例如当他们的认证机构不熟悉 SMPC 时。
14、SASE
影响力评级:颠覆
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:安全访问服务边缘 (SASE) 提供融合网络和安全功能,包括 SD-WAN、安全互联网访问、安全 SaaS 访问、防火墙和零信任网络访问。它支持分支机构、远程工作人员和本地安全访问用例。SASE 主要以服务形式提供,可根据设备/实体的身份、实时上下文以及安全和合规性策略实现零信任访问。在中国,提供私有和云交付模式。
为什么重要
SASE 是现代数字业务转型的关键推动因素,包括采用“随时随地工作”、边缘计算和混合应用程序。SASE 还显著简化了关键网络和安全服务的交付和运营,主要通过云交付模式。在中国,基于云和私有部署的 SASE 解决方案增加了企业的运营复杂性,但通过减少安全访问所需的供应商数量(仅需一家或两家明确合作的供应商),仍可增加价值。
商业冲击
SASE 支持:
-
数字化业务用例(如分支机构转型和混合劳动力支持)具有更高的易用性,同时通过供应商整合和融合平台方法降低了成本和复杂性,从而实现了一致的安全交付
-
基础设施和运营及安全团队以一致和集成的方式提供丰富的网络和网络安全服务,以支持数字业务转型、边缘计算和随时随地工作的需求
驱动因素
-
数字业务转型(包括移动劳动力采用基于云的服务)、边缘计算和业务连续性计划需要 SASE 灵活、随时随地、安全且基于身份的逻辑边界模型。
-
在管理复杂性的同时,需要转向零信任安全架构,这是推动采用 SASE 的重要因素。
-
在中国,越来越多的竞争性 SASE 解决方案以双供应商 SASE和/或托管 SASE 产品的形式提供,而大型供应商则正在致力于单一供应商 SASE 解决方案。
-
在中国,买家更倾向于提供架构选择的供应商。也就是说,买家更喜欢将设备本地策略实施与云端策略实施相结合。
-
对于 IT 而言,SASE 可以减少新用户、地点、应用程序和设备的部署时间。
-
对于信息安全,SASE 支持通过单一方式在所有类型的访问(互联网、网络应用程序和私人应用程序)中一致地设置策略实施,从而减少攻击面并缩短补救时间。
-
在全球范围内,安全供应商正在整合,地缘政治问题正在影响企业。因此,中国企业希望用融合平台产品(如 SASE/安全服务边缘 (SSE))取代传统的网络和安全单点产品。他们还倾向于选择对中国有长期承诺的供应商。
障碍
-
孤岛、投资和技能差距:SASE 实施需要跨安全和网络团队的协调和有凝聚力的方法——这对于更新/续订周期、孤岛和员工专业知识来说是一个挑战。
-
本地部署的要求:中国的一些企业对云有抵触情绪,希望保持控制权。这种方法需要更长的时间,并且更倾向于本地私有 SASE 部署。
-
中国的监管许可:推出 SASE 等云安全服务需要获得当地监管许可。许多全球供应商尚未通过当地合作伙伴或其他方式获得此类资格。
-
跨境通信:中国对跨境数据通信有特殊规定,例如国家防火墙。许多全球 SASE 提供商尚未满足这一特殊要求,导致跨境性能不佳。
-
SASE 成熟度:许多中国 SASE 提供商并不拥有全套核心 SASE 产品组合,或者其 SASE 解决方案缺乏统一的集成和管理能力,从而降低了采用的好处。
复苏期技术
15、数据分类
影响力评级:较高
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:数据分类是组织信息资产以实现有效数据安全和管理的过程。结果通常是包含可用于做出进一步决策的元数据的数据目录。这可以包括将标签或标记应用于数据对象以促进其使用和管理,方法是在数据生命周期内应用控制措施,或使用数据结构激活元数据。
为什么重要
数据分类有助于出于治理和安全目的而进行数据保护。这些目的可能包括价值、访问权限、隐私管理、存储、道德和质量以及数据保留。中国的数据安全监管要求使数据分类成为安全、数据治理和合规计划的重要一步。数据分类有助于组织区分数据的敏感性并提高数据安全控制的有效性。
商业冲击
数据分类可以增强对数据集的分析,在存储库中构建数据,并允许立即控制数据资产的使用。数据防泄露(DLP) 和数据访问治理等安全控制从数据分类中受益匪浅。数据分类使组织能够以经济高效的方式履行监管合规义务,使数据更易于查找和验证,同时避免过度保护和过度保留。
驱动因素
-
当前的法律和地缘政治形势加剧了人们对数据驻留和主权的担忧,尤其是对于中国境内的重要数据和个人信息。然而,当前消防数据安全治理 (DSG) 实践的低效性增强了人们从数据分类开始简化和自动化数据安全管理和治理流程的愿望。
-
成熟的数据分类方法,包括按类型、所有者、法规、敏感度和保留要求进行分类,使组织能够将其安全、隐私和分析工作集中在重要数据集及其分类上。
-
基于规则的自动数据分类工具的出现,以预定义的行业特定类别(例如金融、电信、医疗保健和政府)为特色,降低了启动数据分类程序所需的业务和安全知识量。
-
机器学习 ( ML)/AI 增强型数据分类工具带来了以前仅靠手动方法或基于规则的自动化无法达到的精度、适应性和效率。
-
生成式人工智能 (GenAI) 模型的结果在很大程度上取决于用于训练的数据的质量。数据分类将数据组织成特定类别,从而更轻松地整理高质量数据集,从而产生性能更佳的 GenAI 模型。
障碍
-
传统的数据分类举措常常因为培训不足和对用户驱动分类的依赖而失败。
-
中国企业在数据分类工作中主要强调以安全为中心的思维模式。这意味着他们不会通过商业语言和背景向用户解释其目的,从而导致参与度和承诺度较低。
-
尽管许多供应商都提供自动数据分类工具,可以更准确地对数据进行分类,同时最大限度地减少用户的工作量,但结果的准确性仍有相当大的改进余地。这尤其适用于 ML/AI 算法,因为这些算法的模型需要持续训练。
-
从合规性角度来看,不在严格监管的行业中运营且没有行业监管机构发布的分类标准的组织可能难以衡量和证明数据分类结果的有效性。
16、ZTNA
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:零信任网络访问 (ZTNA) 使用基于身份和上下文的策略,为员工和第三方使用的设备创建自适应、最不合逻辑的基于权限的组织资源访问。ZTNA 通过隐藏基础设施和资源并通过信任代理使用持续自适应访问控制来授予命名实体集合的访问权限,从而限制网络中的横向移动,从而减少攻击面。
为什么重要
ZTNA 是一项关键技术,它通过信任代理实现基于最小逻辑特权访问的自适应用户到资源分段。它允许组织隐藏私有资源,避免被发现。在中国,它通过混淆组织的基础设施并创建个性化的“虚拟边界”来减少攻击面,这些“虚拟边界”不仅涵盖用户、设备和资源,还包括数据。
商业冲击
ZTNA 在逻辑上将源用户/设备与目标资源分开,以减轻全面网络访问风险,从而减少组织的攻击面。这通过静态、基于网络的 VPN 路由改善了用户体验 (UX),并通过自适应访问控制通过动态、细粒度的用户到资源分段实现了远程访问灵活性。在中国,ZTNA 取代了 VPN 以改善安全态势,在日益严格的安全法规下为远程工作提供了数据安全。
驱动因素
-
组织内部采用零信任策略要求用安全远程访问取代传统的基于网络的 VPN,以便对内部部署和托管在基础设施即服务 (IaaS) 中的资源进行更精确、更自适应的访问和会话控制。
-
IaaS 的采用和混合基础设施的兴起需要更灵活、更安全的远程连接,以便直接访问资源,而不是路由到多个目的地的静态连接。
-
组织需要将第三方(例如供应商、厂商和承包商)直接连接到资源,而无需使用全隧道 VPN 连接到其网络或将资源直接暴露给非军事区的互联网。
-
中国的数据安全法规促使各组织寻求能够让用户更安全地访问数据的解决方案,尤其是在混合工作环境下。
-
一些受到严格监管的场景,例如连接到中国的监管系统,需要隔离的网络访问,而用户不希望有单独的终端。
障碍
-
并非所有产品都支持访问所有资源。一些供应商将 VPN 作为 ZTNA 进行营销,但缺乏对更成熟的零信任控制的支持。这限制了组织长期采用持续自适应访问控制的能力。
-
在中国,基于云的信任代理并不受欢迎。仅在本地部署的 ZTNA 限制了其优势,例如高可用性和快速扩展容量。
-
组织必须为用户映射资源访问权限,但许多组织缺乏这方面的了解,最终制定的访问规则并不比被替换的 VPN 更好。这些规则提供的访问权限范围很广,或者过于细化,这给长期管理解决方案增加了大量开销。
-
没有全面的零信任策略来实施 ZTNA。ZTNA是一种实现零信任态势的技术,必须与其他技术相结合才能有效。
-
大多数供应商缺乏数据安全能力,而数据安全是中国企业最关心的问题。这降低了客户采用 ZTNA 的兴趣。
17、安全信息与事件管理SIEM
影响力评级:中等
市场渗透率:目标受众的20%至50%
成熟度:早期主流
定义:安全信息和事件管理 (SIEM) 是一种可配置的安全记录系统,可汇总和分析来自本地和云环境的安全事件数据。SIEM 可协助采取响应措施,以缓解对组织造成危害的问题,并满足合规性和报告要求。
为什么重要
聚合和标准化安全数据以集中和可视化组织的安全状况是有效安全计划的核心要素。SIEM 可以支持安全运营中心 (SOC) 识别、确定优先级并调查安全事件。广泛的可见性是 SOC 在日常安全运营中做出决策的基础。
商业冲击
SIEM 解决方案可以通过以下方式影响业务:
-
允许 SOC 在生命周期早期识别和响应关键安全事件,以降低风险
-
针对安全问题和事件建立整体态势感知
-
提供高效、可信的记录系统,可用于运营安全和合规性报告
-
将安全信息统一到单个控制台中,而无需登录不同的工具来查看组织的整体安全状况
驱动因素
-
2023 年,中国出台了国家标准《信息安全技术 网络安全态势感知通用技术要求》。该标准在通过标准化产品功能简化市场方面发挥着关键作用,实际上提高了 SIEM 市场的成熟度。
-
SIEM 提供了一个中心位置来监控和调查安全警报,并支持使警报可操作所需的上下文信息。
-
SIEM 可以通过最适合特定监控目标的分析方法,将原始警报数据转化为可操作的情报。
-
用户需要一个具有自动化功能的整合安全运营平台来扩展检测工作流程并纳入响应活动。目前,中国市场上的 SIEM 大多集成了安全编排、自动化和响应功能。
-
组织拥有大量安全数据,例如日志和警报,这些数据对于安全监控非常有用。SIEM 平台提供了一个集中的位置来存储和检查这些数据。
-
中国现代SOC需要实时或近实时地识别和处理信息,以便及时发现威胁并做出应对。
障碍
-
中国市场上的不同供应商对其 SIEM 产品有不同的命名惯例和营销语言。这通常会导致最终用户组织在做出购买决策时感到困惑。
-
SIEM 威胁检测性能不仅取决于 SIEM 及其配置,还取决于检测技术堆栈和选择发送到SIEM 的所有支持遥测数据。组织有时会低估或未正确规划与周围工具和监测数据集成的工作量。
-
要使 SIEM 发挥良好作用,需要配备足够的人员和技能。由于资源短缺,管理不善的 SIEM 仍然困扰着中国许多组织。
-
扩展检测和响应 (XDR) 等安全技术以及托管检测和响应 (MDR) 等安全运营服务也可以帮助买家满足监控、检测和响应需求。这些功能相互重叠,使得买家难以做出购买决策,从而限制了采用。