Gartner 2025年安全运营技术成熟度曲线速读:暴露管理、AI赋能、平台整合与技术更迭
原文链接: https://mp.weixin.qq.com/s?__biz=MzkzMTY0MDgzNg==&mid=2247484717&idx=1&sn=4febe959e3347d11eb8124926da91fa3
Gartner 2025年安全运营技术成熟度曲线速读:暴露管理、AI赋能、平台整合与技术更迭
原创 玄月调查小组 玄月调查小组 2025-07-14 00:46
Gartner近日发布了《2025年安全运营技术成熟度曲线》(Hype Cycle for Security Operations, 2025),介绍了2025年安全运营领域的技术演进方向、新兴趋势以及市场整合的动态。
笔者将在本文快速解读这份报告,
分析2025年值得关注的新兴技术趋势,以及哪些技术因市场整合而逐渐被淘汰。
2025年的新趋势:暴露管理、AI赋能与平台整合
2025年的安全运营(SecOps)领域呈现出三大核心趋势:威胁暴露管理、AI的深度赋能,以及安全技术平台的整合。
从漏洞管理到威胁暴露管理的转变
一个显著的战略转变是,企业正从传统的漏洞管理转向更全面的
持续威胁暴露管理
(Continuous Threat Exposure Management, CTEM)。传统方法通常侧重于修补已知的通用漏洞评分系统(CVSS)漏洞,而CTEM则提供了一个更广阔的视角,评估和验证企业数字资产的可访问性和可利用性。
这一转变由多种技术驱动:
– • 暴露评估平台(EAP)
:Gartner建议使用EAP 解决方案作为编排暴露数据的核心技术。它们整合了传统漏洞评估和攻击面管理(ASM)的功能,通过枚举和优先处理跨多个资产类别和攻击面的漏洞与错误配置来增强可见性,从而提高运营效率。
-
• 对抗性暴露验证(AEV)
:由自动化渗透测试和泄露攻击模拟(BAS)工具演变而来,AEV从攻击者的角度,通过执行攻击场景来证实潜在攻击技术的可行性,帮助安全团队优先处理已被证明有效的攻击路径。 -
• 自动化安全控制评估(ASCA)
:此类解决方案旨在增强对企业安全控制措施在不同攻击面的可见性和治理,通过持续分析、确定优先级并优化技术安全控制措施,以降低组织面临的威胁风险。ASCA 可以识别安全控制措施中的配置偏差、策略和控制缺陷、检测逻辑漏洞、不良默认值以及其他配置错误。然后,它会根据已发现的漏洞,推荐并确定补救措施的优先级,从而提高组织抵御特定威胁的安全性。
AI在安全运营中的深度赋能
AI正被集成到现有和新兴的安全解决方案中,以提高性能和效率。AI在安全运营中心(SOC)的应用,旨在将安全专业人员从重复性任务中解放出来,专注于需要高级专业知识的战略性活动。
主要的的AI安全运营应用包括:
– • 网络安全AI助手(Cybersecurity AI Assistants)
:这项去年入榜的技术今年获得了更广泛的关注和应用。大多数网络安全供应商在现有安全产品嵌入AI助手,通过提供知识发现和内容创建(通常以摘要或生成代码/脚本的形式)。
-
• AI SOC智能体(AI SOC Agents)
:作为今年新入榜的技术,最近已投放市场,AI SOC智能体目标是通过自动化日常任务(如安全事件分类)来缓解网络安全资源紧张和人才的挑战。它利用生成式AI等技术,自动化处理如告警分类、初步调查、误报处理等日常但耗时的任务。安全专业人员可以将精力集中在需要人类专业知识的关键活动上。 -
• AI驱动的威胁检测、调查和响应(TDIR)
:TDIR提供商正在推广由AI驱动的事件分类自动化功能,以提高检测的准确性和事件响应的效率。
安全平台整合与功能融合
为了简化采购、加速价值实现,市场正朝着功能整合的方向发展。许多曾经独立的单点解决方案正被集成到更广泛的平台产品中。
– • 威胁情报(TI)与数字风险保护服务(DRPS)
:DRPS的核心功能已成为成熟的威胁情报(TI)市场的标准特性,为用户提供了统一的控制台来处理广泛的威胁。
- • XDR与SIEM的演进
:扩展检测与响应(XDR)解决方案提供了“交钥匙”式的监控技术,但其灵活性和可定制性的限制导致了对安全信息和事件管理(SIEM)解决方案的新一轮兴趣。同时,开放网络安全模式框架(OCSF)的普及可能会通过提供标准化的安全数据管理框架来削弱XDR的价值主张。
被淘汰的技术:功能尚在,市场已逝
在今年的炒作周期中,有几类技术被标记为“在达到稳定期前就已过时”(obsolete before plateau)。这不意味着其功能不再重要,恰恰相反,是因为其核心能力已变得如此基础,而是这些功能已被更全面、更综合的平台所吸收。
– • 网络资产攻击面管理(CAASM)和外部攻击面管理(EASM)
:这两项技术旨在解决内外数字资产的可见性问题。然而,它们的功能正被整合到其他邻近市场中,如暴露评估平台(EAP)和对抗性暴露验证(AEV)。CAASM和EASM作为独立市场的存在感正在减弱。EAP不仅整合了内外资产视图,还提供了漏洞评估、攻击路径分析和优先级排序等更高级的功能,形成了一个统一的管理中心。
- • 数字风险保护服务(DRPS)
:如前所述,DRPS的功能,如品牌保护、第三方风险评估和外部威胁发现,已成为威胁情报(TI)平台的组成部分。威胁情报平台现在提供统一的控制台,将传统的威胁情报(如IOCs, TTPs)与DRPS的风险洞察相结合,为用户提供了一个关于外部威胁和风险的完整视图,无需在多个工具间切换。这种整合为购买者提供了更统一、更强大的解决方案。
(2022年Gartner的一份ASM报告:CAASM、EASM、RRPS的场景存在重叠)
小结
2025年安全运营优先级矩阵
Gartner提醒了与安全运营相符的技术和服务很少能带来立竿见影的效果。此类功能应被视为可消耗品。换句话说,这些解决方案必须集成到明确定义的流程中才能充分发挥其效用。安全风险的管理应与组织的优先事项相符,但要牢牢扎根于应对特定组织的威胁形势
。
在制定安全运营的技术和能力路线图时,应优先修复已发现的问题,以确保与组织独特且动态的攻击面保持一致。同时,所有这些都需要与现代IT架构保持一致
。
因此Gartner给出了
2025年安全运营优先级矩阵矩阵
,帮助识别最有可能有效、可衡量地改善组织风险状况的战略举措。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
暴露评估平台(EAP) 身份威胁检测与响应(ITDR) MDR服务 威胁情报产品与服务(TI) |
|
|
|
|
|
数字取证与事件响应(DFIR) NDR 进攻性安全计划 渗透测试即服务(PTaaS) 网络安全预测建模 遥测管道 XDR |
AI SOC 智能体 自动化安全控制评估(ASCA) 网络安全AI助手 网络安全事件响应管理(CIRM) |
|
|
|
|
|
|
|
笔者小结
虽然不同地区、不同行业安全成熟度,IT基础设施存在区别,但是2025年的安全运营领域正在经历一场深刻的变革。企业从传统的、被动的安全模式转向主动、风险驱动的框架。随着Deepseek的兴起,AI不再是遥远的概念,而是提升效率、增强能力的实用工具;单点解决方案的时代正逐渐过去,平台化和整合成为主流。以下是Gartner给安全和风险管理领导者的关键建议:
1. 1. 拥抱暴露管理
:将安全计划从传统的漏洞管理过渡到持续威胁暴露管理(CTEM)。优先考虑将暴露评估平台(EAP)作为协调暴露数据的核心技术,以获得对企业风险的全面视图。
-
2. 审慎采用AI
:对集成到现有技术中的AI功能进行严格测试,不要完全依赖供应商的营销宣传。 从试点项目开始,如事件分类或误报减少,以评估AI SOC代理和AI助手的实际效果。 -
3. 评估整合平台
:在评估TDIR相关技术和服务时,要注重其灵活性和模块化,以确保它们能够支持安全计划的成熟和演变。优先考虑将威胁情报和DRPS等服务整合到统一平台中的供应商。 -
4. 关注成熟技术
:对于已进入“启蒙斜坡”和“生产力高原”的技术,如端点检测与响应(EDR)、网络检测与响应(NDR)和安全信息与事件管理(SIEM),应评估其如何与新兴技术协同工作,以弥补安全计划中的成熟度差距。
既然看到这里了,如果觉得不错,随手点个赞、在看、转发三连吧,如果想第一时间收到推送,也可以给我个星标⭐~谢谢你看我的文章,我们,下次再见。
