态势感知平台的建设对于企业网络安全防御体系的重要程度越来越高,已经成为构建网络安全体系的核心,多年来持续受到客户的青睐。IDC预测,到2026年,40%的拥有大量分支机构的大型企业组织将迁移到自动化安全运营中心(SOC)上,以加快其事件的修复、事件管理和响应速度。
为什么态势感知平台会持续的获得市场的关注?从IDC对最终客户调研结果看,通常态势感知平台可以帮助他们解决如下关键痛点:
IT环境中的数字化资产繁多,难以识别和管理;
面对海量日志,难以挖掘关键的攻击事件;
面对网络攻击,无法实战化的快速应对;
行业监管部门无法了解下辖机构的IT安全状况;
分支机构众多,IT安全管理混乱;
缺乏易于展示全局IT安全状况的安全监控能力等。
经过多年的发展,态势感知平台技术持续演进。国内主流态势感知平台提供商在技术上较两年前也发生了很大的提升,不再是过去比拼大屏展示效果的时代,而更趋向于实用化、实战化,有效的帮助客户应对网络攻击,平台的综合能力日趋成熟。
从IDC调研来看,与过去两年相比,当前态势感知平台的核心能力提升包括但不限于:
态势感知平台整体能力更趋向于实用化、实战化
资产发现更精准
威胁检测与响应效率更高效
底层存储架构革新
数据采集支持的探针接入种类丰富
易用性持续提升
公有云部署环境下态势感知平台云原生安全能力在持续加强
另外,态势感知平台的应用正在向行业化、场景化发展。例如:工控安全态势感知、车联网安全态势感知、数据安全态势感知;同时面向不同的行业,也会基于行业特殊要求提供定制化的行业态势感知平台版本。
通过调研,在2023年《IDC MarketScape: 中国态势感知解决方案市场研究,2023》调研中,IDC有如下建议供技术买家参考:
做好运营、度量安全
当态势感知平台建设完成后,如何体现其价值是非常重要的。不仅要发现问题,更要展现出来,让安全的价值呈现出来。这就需要与技术提供商做好充分的配合,并通过持续的运营呈现企业网络安全的状况与发展趋势,成为获得企业高管安全投资的重要依据。
关注事件分析而非日志分析
日志分析所呈现的只是攻击环节的一个或多个片段,而事件分析则可以基于攻击链呈现出完整的攻击过程及所带来的危害。当前的态势感知平台的遥测数据源很广泛,这便于其对网络攻击事件做出更精准的判断。同时,基于ATT&CK框架可以更好的了解攻击者的技战术,帮助客户有效的了解并处置安全事件。日志分析侧重过程,而事件分析关注结果。
SOAR助推自动化能力提升
SOAR能力已经成为态势感知平台的标配,进一步提升的对安全事件闭环处置的效率。当然,使用者需要了解其原理、结合自身业务特点定制符合自身的剧本是非常必要的。
低代码使得快速定制成为可能
平台类产品的定制开发需求不可避免。过去,对于技术提供商而言平台类产品,提供定制开发周期是比较长的,但是随着低代码技术的普遍应用,定制开发的效率在快速提升,这不仅有利于技术提供商,也可以将整个项目的交付周期缩短,让平台快速上线。
做好生态融合管理
大型客户环境中通常包括大量的不同品牌的安全产品,通过态势感知平台的纳管是从技术层面完成的,但客户要把不同的技术提供商作为保障自身安全防御能力的生态来管理,这样有助于提升综合安全效能,从容面对网络攻击。
积极尝试新技术、关注新能力
部分态势感知技术提供商开始尝试增加BAS、合规性管理等能力,最终客户可以从自身视角验证其价值,更多的尝试新技术、新功能,不仅有助于提升自身网络安全体系的检测有效性,更能促进技术提供者相关技术的成熟度。