Gartner发布2023 年终端安全技术成熟度曲线_gartner 终端安全

企业需要先进的解决方案来保护终端免受攻击和破坏。虽然EDR已成为标准，但XDR已成为下一个进化步骤。UES、DaaS、ASCA、EASM、BAS、EM、ITDR、EAI和AMTD是提供新的XDR视图和方法的尖端技术。

需要知道什么

该技术成熟度曲线展示了终端安全领域最相关的创新，以帮助安全领导者规划新兴技术的采用和实施。终端安全创新侧重于更快、自动化的检测和预防以及威胁修复，支持集成的扩展检测和响应 (XDR)，以关联来自终端、网络、Web、电子邮件和身份等解决方案的数据点和监控数据。提供轻量级、安全远程访问的方法仍然存在需求，推动桌面即服务 (DaaS) 以及终端和浏览器隔离，以增强控制和安全态势。我们看到持续采用零信任网络访问 (ZTNA)，越来越多地作为安全服务边缘 (SSE) 或更广泛的安全访问服务边缘 (SASE) 的一部分。这使得应用程序可以通过任何网络从任何设备访问，同时对用户体验的影响最小。

炒作周期

终端安全技术成熟度曲线跟踪帮助安全管理人员保护其公司的发展。技术发展时会出现两种趋势：

• 新的终端技术包括终端访问隔离、终端无关的工作区安全性以及终端保护工具集集成和升级。

• 由于大多数购买者都会整合供应商，因此新的净安全投资可能会集中在新技术和供应商上。

部署内部人员进行威胁狩猎的运营负担需要更大的信号关联性和反应自动化，以应对复杂的、有针对性的攻击。该技术成熟度曲线显示 XDR 再次传播。

集成终端保护平台（EPP）和MTD安全资产的统一终端安全（UES）在这个技术成熟度曲线中不断上升。虽然使用量有限，但配置设备以实现控制一致性和快速补救活动的终端操作解决方案预计将会增长。

随着 EPP 的成熟，终端检测和响应 (EDR) 的采用仍在继续。今年，商业电子邮件泄露 (BEC) 安全将检测受损帐户以防止网络钓鱼。基于网络的安全 Web 网关 (SWG) 还可以防止终端攻击，尤其是基于云的攻击。上交所正在吸收SWG的能力。

技术支持远程和混合工作，新技能成熟并传播。

自带 PC (BYOPC)、统一终端管理 (UEM) 和 DaaS 在解决访问和终端隔离问题方面已经成熟，但它们很僵化，鼓励企业应用程序集成 (EAI) 等技术登上高峰。SSE 使 ZTNA 能够让任何设备通过任何网络访问任何应用程序。仅 ZTNA 就会使终端遭受在线攻击并失去对 SaaS 程序的控制。ZTNA、SASE 和新的零信任理念实施（例如自动移动目标防御 ( AMTD)）正在以不同的速度得到接受。

边缘安全服务备受推崇。买家需要全平台的安全工具。UES 产品涵盖手机、平板电脑和个人电脑。攻击面管理(ASM) 和违规模拟提供独特的对手参与和理解。XDR 使用多个域和数据来更快地识别威胁。Gartner 的 2023 年 2 月安全供应商整合报告显示，随着技术的进步，安全和风险经理更倾向于供应商整合。

图 1：2023 年终端安全技术成熟度曲线

 

优先级矩阵

转型技术

Gartner 发现 SASE 可以保护任何应用程序、网络和终端。安全管理人员应使用 SASE 将 SWG、云访问安全代理 (CASB) 和 ZTNA 等网络安全点解决方案与 SD-WAN 转换相结合，并与其他终端安全相结合，以保护终端（无论其位置如何）。

关键技术

随着 XDR 的发展，Gartner 预计会有商业和技术应用案例。这些应用程序模拟虚假攻击以快速识别危险。终端检测和响应、UEM 和 DaaS 解决方案对于 BYOPC 安全、UES 和 XDR 至关重要。终端恶意软件防护需要改进。随着生成式人工智能的进步，企业将优先考虑 BEC。攻击面评估 (ASA) 和违规攻击模拟 (BAS) 是完整终端策略的一部分。攻击面管理 (ASM) 使用 XDR 监控技术对攻击面进行分类，无需使用 ASA 或 BAS，也无需创建新的欺骗性技术用例。这些技术和暴露面管理 (EM) 让防御者能够将检测和攻击行为交叉关联，并通过行为模式改进向机器学习和深度学习算法传授新方法。

表1 ：2023 年终端安全优先级矩阵

资料来源：Gartner（2023 年 8 月）

脱离炒作周期

安全的企业数据传输：虚拟专用网络 (VPN) 架构已经成熟，成为一种易于理解且可靠的远程访问问题解决方案。ZTNA 理念和 SASE 工具的重要性与日俱增，这意味着基于 VPN 的安全业务数据传输正在退出技术成熟度曲线。通过部署这些解决方案作为当前 VPN 基础设施的补充或替代，可以为各种远程员工提供上下文动态访问限制。

处于上升期的技术

1、企业浏览器

效益评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟期：成长期

定义：

企业浏览器和扩展通过托管 Web 浏览器或插件扩展提供安全服务，以实现策略实施、可见性和生产力。此类别中的许多产品提供与 SWG、CASB、ZTNA、RBI、VDI 和 VPN 产品类似的轻量级功能和优势。企业浏览器是对现有安全解决方案的补充，并且已经在为非托管设备提供访问和状态评估安全性方面取得了早期成功。

为什么重要

企业浏览器代表了一种提供安全服务并从操作系统分层的现有安全代理接收实时情报的新方式。如今，许多此类产品能够提供其他安全产品的一些重要功能和优势；然而，权衡仍然存在。随着该类别变得更加成熟以及更多合作伙伴进入生态系统，这一差距预计会随着时间的推移而缩小。

商业冲击

现有的安全产品将继续为企业提供日益复杂的保护、访问控制和报告分析级别。然而，其中许多产品将通过战略合作伙伴关系、集成或浏览器扩展来扩展功能以支持浏览器。企业浏览器不太可能取代整个企业现有的安全控制，而是扩展这些工具的范围以增加用例覆盖范围。

驱动因素

• 企业浏览器正在采用新的远程工作模式，以巩固依赖非标准化设备的承包商、供应商和分支机构的安全远程访问。

• 现有的安全解决方案通常难以支持非托管设备。企业浏览器通过提供可接受级别的安全远程访问来维持最熟悉的最终用户体验，从而在这一领域获得了早期市场关注。

• 中小型组织也有望成为该技术的早期采用者。环境和要求较简单的组织可能会看到早期机会，用企业浏览器取代现有的或添加新的安全控制，这是一种更便宜、集中管理的选项，可以立即提高其成熟度水平。

• 许多安全供应商已经通过扩展提供与浏览器的集成，而其他供应商则寻求与浏览器制造商的战略合作伙伴关系和集成。企业浏览器代表了一种向组织提供安全服务的新方式，它扩展了传统网络安全解决方案的优势。

• 企业浏览器供应商正在加强与安全控制的集成，例如数据丢失防护（DLP）、配置管理、日志记录以及与安全信息和事件管理（SIEM）/扩展检测和响应（XDR）平台的集成、身份保护、网络钓鱼防护、安全服务边缘 (SSE) 功能，以及跨下载和扩展的恶意活动监控。

障碍

• 免费浏览器无处不在，以至于组织必须有特定的用例来证明购买单独浏览器的合理性。随着企业开始认识到浏览器的可扩展且灵活的企业安全和管理潜力，这些理由将变得更容易识别。然而，大多数公司不太可能将预算专门用于企业浏览器，而无法抵消其他方面的支出。

• 拥有成熟网络安全和基础设施运营的大型组织可能会发现使用企业浏览器降低现有环境的复杂性是不切实际的，尽管可能存在特定的用例来证明相对较小的购买是合理的（例如为通过合并和收购获得的新组织提供第一天的访问权限）。采购、承包商访问管理或脆弱的关键基础设施之上的分层安全控制）。

2、自动移动目标防御（AMTD）

效益评级：高

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：

自动移动目标防御 (AMTD) 是一组技术，它将欺骗技术与对终端、其配置或通过内存变形、软件定义网络、容器化、加密或对运行时元素的其他修改进行不可预测的自动更改相结合，使其变得更加困难以便攻击者识别和利用漏洞。

为什么重要

• AMTD从“检测和响应”转向“主动欺骗和不可预测的变化”，使攻击者更难利用目标 IT 环境中的漏洞。

• 终端上的 AMTD 会自动干扰攻击者，无需广泛的威胁建模、威胁检测逻辑或威胁情报。

• AMTD可以防止攻击者对网络和服务进行模式分析。

• 安全运营人员工作过度，并花费大量时间调查误报。

商业冲击

业务影响包括：

• 高度关注安全的组织继续面临高级攻击，必须超越失败的检测和响应。

• AMTD帮助普通企业应对新兴的人工智能威胁。当组织没有预算、人员或时间来使用人工智能时，AMTD是一个替代选择。

• AMTD承诺通过降低检测和响应技术的误报率、缩小影响广度以及增强对高级攻击的检测来减少安全运营人员需求。

驱动因素

• AMTD技术和学术研究的出现，创造了实施主动防御策略的新方法，以实现主动预防而非被动预防的现代化。

• 在过度强调检测和响应策略而无法防止违规的背景下，AMTD技术的出现能够在防御方面提供新的价值。

• 在家工作系统是企业数据泄露和凭证重用被破坏的一个日益增长的来源。

障碍

• 买家错误地认为移动目标防御技术本质上具有破坏性、过于简单，或者误解了混淆防御终端系统威胁的好处。

• 由于担心隐私和管理，在家工作终端对行为记录存在个人抵制。

• 鉴于对现有安全控制（例如 NGAV、EPP、EDR）的大量投资被设计为反应性的，组织在考虑采用 AMTD 时面临沉没成本谬误。AMTD引入主动控制措施以及早识别威胁，但可能不会取代现有投资。

• 遗留技术可能不在AMTD的范围内，包括较旧的终端，从而降低了AMTD对组织的价值。

• AMTD供应商刚刚开发该技术，并面临着大规模实施的可扩展性挑战，特别是对于以网络为中心的AMTD而言。

• 定时。客户在许多安全计划中都处于“整合与扩展”模式。

3、自动化安全控制评估（ASCA）

效益评级：中等

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：

ASCA流程和技术专注于分析和修复安全控制中的错误配置（例如，终端保护、网络防火墙、身份、电子邮件安全以及安全信息和事件管理），从而改善企业安全状况。ASCA 可以是一个独立的工具，也可以是其他安全产品的功能，例如防火墙、身份威胁检测和响应、网络安全策略管理和云基础设施授权管理。

为什么重要

自动安全控制评估 ( ASCA) 技术可减少组织因安全配置漂移、默认设置不佳、为降低误报率而进行的过度调整以及管理人员高流动率而导致的攻击面。ASCA 通过验证安全控制的正确、一致的配置来改善安全状况，而不是简单地验证控制的存在。

商业冲击

实施 ASCA 流程和技术的组织可以提高员工效率，最大限度地减少人为错误的影响，并提高面对组织流失时的弹性。ASCA 减少了安全控制配置差距，这些差距使组织不必要地遭受本来可以预防的攻击。

驱动因素

• 随着环境复杂性的增加、威胁媒介的出现、新安全工具的激增以及管理人员的高流动性，安全控制中的错误配置数量持续增加，导致攻击面更加暴露。

• 特定的组织用例和目标需要保留复杂的异构基础设施和安全架构，而不是通过供应商整合来追求简化。

• 企业安全控制配置的优化不能仅仅依赖于手动定期配置审查；孤立的、以工具为中心的方法；或偶尔的渗透测试。

• 根据最高风险暴露持续评估和修复安全控制配置是一种有效的风险缓解策略，最终可以减少攻击面。

障碍

• 由于缺乏对利基供应商和安全控制评估的支持，ASCA 工具对于拥有专门单点解决方案的大型、复杂组织来说价值较低。

• 与希望在各个孤岛中实现类似目标的现有工具和供应商重叠，例如网络防火墙或云配置评估工具。

• 如果没有适当的自动化和考虑业务背景的分类流程，修复速度缓慢，再加上持续的评估，可能会导致结果堆积起来。

• 缺乏成熟的流程来优化端到端的安全控制配置。

• 增加预算以投资于人员、技术以及可能的托管服务，以响应 ASCA 工具发现的加速配置问题列表。

4、终端访问隔离

效益评级：中等

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：

终端访问隔离（以前称为 VDI/DaaS 终端安全）有助于使用将会话数据与设备隔离的本地应用程序安全地访问应用程序、VDI/DaaS 环境和数据。该技术部署为代理、基于浏览器的应用程序或扩展程序，可将访问范围扩展到无法使用传统 VPN 或虚拟化客户端软件的外部 PC。本地控制包括会话劫持保护、键盘记录和屏幕捕获预防以及本地用户验证。

为什么重要

终端访问隔离是客户端软件，可以在与工作场所应用程序和数据交互时提供客户端设备的特定于用例的隔离。该技术可以作为专用的安全访问代理、基于浏览器的应用程序或扩展程序来提供，以隔离正在访问的系统与本地漏洞。终端访问隔离工具与传统访问客户端不同，它在姿势和分析中添加了主动预防和检测功能。

商业冲击

传统的远程访问工具（例如经典 VPN）可以分析设备，但无法主动消除本地威胁。随着组织重新考虑允许通过任何浏览器从任何设备访问 SaaS 应用程序，该技术可以提供更安全的方式来访问这些应用程序。该技术使组织能够简化标准 IT“堆栈”及其对最终用户进行远程访问的部署。这一点尤其重要，因为混合工作仍然是大多数组织的日常现实。

驱动因素

• 用物理硬件换取承包商和合作伙伴的虚拟桌面基础设施 (VDI) 和桌面即服务 (DaaS) 会话并不能解决本地计算机的潜在安全问题，而本地计算机是凭证和 IP 盗窃的可行载体。

• 对企业浏览器解决方案进行了大量投资——终端访问隔离的体现之一。

• 目前的趋势是，通过对从非托管 PC 访问生产力应用程序和公司数据的任何用户实施一致的浏览器配置和控制来增加安全层。

• 更好地保护这些会话的方法依赖于基于代理或专用网络的工具。这些会影响性能，并且用户可能无权或没有能力安装或配置它们。

• 需要进行详细的会话监控，包括监控设备摄像头前的用户或使用摄像头数据来验证用户是否需要这些工具的能力。

障碍

• 尽管其对用户的吸引力和复杂性较低，但与添加终端访问隔离技术相比，延长基于 VPN 的传统访问的寿命是一种低成本选择。

• 可能需要混合使用终端访问隔离方法来满足所有用例，例如针对员工的基于浏览器的应用程序和针对承包商的安全访问客户端。

• 一些以浏览器为中心的工具可能会面临来自宣传类似功能的安全服务边缘 (SSE) 供应商的竞争，或者来自正在构建或合并类似功能的浏览器供应商的竞争。

• 劳动和隐私法规使得某些工具的最引人注目的功能无法维持——例如家庭摄像头监控。

• 除了底层基础设施的成本之外，组织可能还会因为添加 VDI 和 DaaS 特定安全工具的成本而望而却步。趋势是整合安全工具的环境加剧了这种情况。

5、暴露面管理

效益评级：变革性

市场渗透率：目标受众的 1% 至 5%

成熟度：新兴

定义：

暴露面管理 (EM) 包含一组流程和技术，使企业能够持续、一致地评估可见性，并验证企业数字资产的可访问性和脆弱性。EM 由有效的持续威胁暴露面管理 (CTEM) 计划进行管理。

为什么重要

EM 减少了组织在清查、优先排序和验证威胁暴露方面所面临的挑战，这些挑战是由于攻击面迅速扩大而导致的，而传统的漏洞管理已经不够了。所需的工作量和潜在问题的多样性导致优先事项相互冲突和“仪表板疲劳”。SRM 领导者很难优先考虑降低风险的行动，在他们认为自己控制力较差的地方留下了空白，例如 SaaS 平台和社交媒体。

商业冲击

风险管理负责管理现代企业的风险降低并确定其优先级，并要求对所使用的所有系统、应用程序和订阅进行评估。

• 被利用的可能性（组织攻击面的可见性）。

• 清点并确定优先级（漏洞、基于威胁情报、数字资产）。

• 验证任何攻击的潜在成功率，以及安全控制是否可以帮助检测或阻止攻击。

• CTEM 是一个程序，而不是特定工具的结果。

驱动因素

• 最常见的是，组织会隔离渗透测试、威胁情报管理和漏洞扫描等暴露活动。这些孤立的观点很少或根本不了解有关组织所面临的有效风险的完整情况。

• 随着环境的复杂性、使用的应用程序数量的增加以及云服务使用的增加，测试中发现的漏洞和问题的数量不断增加。

• 由于缺乏对优先级和风险的范围和理解，加上大量的调查结果，组织在暴露风险方面有太多的事情要做，而对于首先采取什么行动却缺乏指导。

• 一种程序化且可重复的方法来回答“我们的暴露程度如何？”这个问题。对于组织来说是必要的。这样做的目的必须是，在快速变化的 IT 环境中，随着环境的变化，可以重新调整优先级。

• 组织必须重新确定其优先级，并将这些优先级分为三个不同的问题：“从攻击者的角度来看，我的组织是什么样子？”、“我的组织设置了哪些配置，使其容易受到攻击？”；“我们的防御控制将如何应对以及响应过程将如何执行？”

障碍

• 与传统 VM 相比，CTEM 项目范围的扩大带来了许多以前未曾考虑或预算过的新复杂性。

• 评估攻击面的概念是众所周知的，该领域持续的安全工具整合（例如带有 VA 的 EASM）开始简化日常操作流程，但其他技术（例如 CAASM 和 CSPM 技术）的正式集成正在逐步推进。仍然很低。

• 大多数组织实际上不存在管理端到端意识（从可能的攻击媒介的可见性到对违规的响应）的流程，这些组织通常只是出于合规性原因扫描和测试其网络。

• 攻击可能表现出来的复杂方式需要一定的技能来理解，BAS 等新市场使测试开箱即用的场景变得更加简单。但为了更有效地使用这些技术/服务并开发定制模拟，需要新的技能和理解。

6、统一终端安全

效益评级：高

市场渗透率：目标受众的 5% 至 20%

成熟度：新兴

定义：

统一终端安全（UES）是一种集成终端运营和终端安全工作流程和工具的战略架构，有助于创建完整的风险识别、分析和修复周期。UES 源自统一终端管理 (UEM) 工具和终端保护 (EPP)（包括终端检测 (EDR) 和移动威胁防御 (MTD) 工具）的选定功能的集成。

为什么重要

终端保护工具可以在设备漏洞得到修复之前阻止攻击，但许多工具无法解决潜在的错误配置、缺少补丁或更新的问题。

UES 架构是统一终端管理和 EPP 工具和工作流程的衬里，结合了实时的上下文威胁情报，以优先考虑托管终端的补丁和补救措施。EPP 保护易受攻击的系统并通知 UEM，后者通过定期维护修复根本问题。

商业冲击

将EPP 威胁情报集成到终端运营流程中可以改进：

• UEM 进行基于风险的修补和配置优先级。

• 通过终端保护和统一终端管理工具的集成，实现终端配置和补丁合规性的一致性。

• 通过集成 UEM 和 EPP 工具来持续审查终端配置，进行主动、准确的风险计算。

驱动因素

2022 年 Gartner 安全供应商整合 XDR 和 SASE 趋势调查发现，75% 的组织正在积极推行安全供应商整合策略，这种集成有助于创建：

• 何时以及是否应该采取自动风险补救措施（以补丁或更新的形式）等规范。

• 与基于网络的控制和限制相比，跟踪用户的自动化、具有风险意识的终端状态保护对于离线访问 SaaS 应用程序的工作人员来说通常没有意义。

• 可防御的补丁指标以风险而非完整性为中心，以主动减少终端攻击面。

障碍

• 需要手动集成工具的多供应商环境。这些集成增加了维护和支持的复杂性。

• 从单个供应商选择一套整合的工具将增加对该供应商的依赖，并且如果定价或其他参与细节发生变化，可能会延长寻找替代品的过程。

• Gartner 估计，这项技术需要两到三年的时间才能达到技术成熟度曲线的顶峰，因为许多组织的运营和安全域的所有权是分开的，这使得统一规划变得困难。

7、外部攻击面管理

效益评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：

外部攻击面管理 (EASM) 是指为发现面向互联网的企业资产和系统以及相关风险而部署的流程、技术和托管服务。示例包括暴露的服务器、公有云服务配置错误以及可能被对手利用的第三方合作伙伴软件代码漏洞。

为什么重要

数字化转型举措加速了企业外部攻击面的扩大。云采用、远程/混合工作以及 IT/OT/物联网融合是一些关键变化，增加了外部威胁的暴露程度。EASM 有助于识别面向互联网的资产，同时还可以优先考虑发现的漏洞和相关威胁。它旨在提供与公共领域的数字资产相关的风险信息，并暴露给威胁行为者。

商业冲击

EASM为SRM 领导者提供有价值的风险背景和可操作的信息。EASM 通过五项主要功能提供可见性：

• 面向外部的资产和系统的资产发现/清单。

• 监控面向互联网的企业暴露（云服务、IP、域、证书和物联网设备）。

• 进行分析以评估发现的风险和漏洞并确定其优先级。

• 通过与票务系统和SOAR工具的预构建集成进行间接修复、缓解和事件响应。

驱动因素

• 有兴趣从攻击者的角度了解组织面临的情况。

• 云采用、应用程序开发、混合工作和 IT/OT/IoT 融合等数字业务计划带来了新的企业风险。

• 需要量化并购 (M&A) 和供应链基础设施整合等活动中产生的第三方风险。

• EASM在不同的安全平台上得到采用，将 EASM 功能作为更广泛的解决方案集的一部分提供，以支持更好的可操作性。

障碍

• 低价值认知，EASM 用于单一用途案例而不是多个领域。

• 与 EASM 作为各种平台（例如DRPS和VA）的功能的可用性的混淆。

• 漏洞管理 (VM) 能力和团队已经不堪重负，担心增加工作负载。

8、身份威胁检测和响应

效益评级：高

市场渗透率：目标受众的 5% 至 20%

成熟期：成长期

定义：

身份威胁检测和响应 (ITDR) 是一门学科，其中包括保护身份基础设施本身免受攻击的工具和最佳实践。ITDR 可以阻止和检测威胁、确认管理员状态、响应各种类型的攻击并根据需要恢复正常运行。

为什么重要

身份是安全运营的基础（身份优先安全）。只有授权的最终用户、设备和服务才能访问您的系统。随着身份变得越来越重要，威胁行为者越来越多地针对身份基础设施本身。组织必须更加注重保护其 IAM 基础设施。ITDR 为身份和访问管理 (IAM) 以及网络安全部署添加了额外的安全层。

商业冲击

保护您的身份基础设施对于安全运营来说至关重要。如果您的帐户遭到破坏、权限设置不正确或者您的身份基础设施本身受到破坏，攻击者就可以控制您的系统。保护您的身份基础设施必须是重中之重。在攻击者开始直接针对身份工具之前，“一切照旧”流程看似足够，但现在已不再足够。

驱动因素

更老练的攻击者正在积极瞄准 IAM 基础设施本身。例如：

• 管理员凭证滥用现在是针对身份基础设施的攻击的主要途径。

• 攻击者可以使用管理权限来访问组织的全局管理员帐户或受信任的安全断言标记语言 (SAML) 令牌签名证书，以伪造 SAML 令牌进行横向移动。

• 现代攻击表明，传统的身份卫生是不够的。没有完美的预防措施。多因素身份验证和权利管理流程可以被规避，并且这些工具通常缺乏出现问题时的检测和响应机制。

• 除了 IGA、PAM、安全信息和事件管理 (SIEM) 解决方案以及内部安全运营中心 (SOC) 或外包托管检测解决方案之外，还需要 ITDR。IAM 和基础设施安全控制之间存在重大检测差距。IAM 传统上用作预防性控制，而基础设施安全性应用广泛，但在检测特定身份威胁时深度有限。ITDR 机制比通用配置管理、检测和响应系统更具体，并且运行延迟更低。

障碍

• ITDR 需要 IAM 和安全团队之间的协调，而一些组织发现很难建立这种协调。

• 缺乏对 IAM 管理员卫生、检测和响应最佳实践的认识意味着许多组织无法充分保护其身份基础设施。我们需要的不仅仅是传统的 AD TDR。

• IAM 团队经常花费太多精力来保护其他团队的数字资产，而没有足够地保护自己的 IAM 基础设施。

• 全面保护身份基础设施需要多种功能，包括更密切地监控根 IAM 管理员帐户的配置更改、检测身份工具何时受到损害、实现快速调查和高效补救以及快速恢复到已知良好状态的能力。

• ITDR 的“R”部分仍处于起步阶段。自动响应仍然是相对基础的。

• 尽管有许多不同的 ITDR 功能，但特定供应商仅提供其中的一些功能。

处于巅峰期的技术

9、自带电脑（BYOPC）安全

效益评级：高

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：

自带电脑 (BYOPC) 程序允许个人选择/购买的客户端设备访问企业应用程序和公司数据。这些举措通常支持 Apple macOS 和 Microsoft Windows 设备，但不太常见的是 ChromeOS 和 Linux。如果不通过在逐个用例的基础上实施的定义的 BYOPC 安全策略来解决，硬件和操作系统中缺乏安全控制或标准化可能会带来重大风险。

为什么重要

自带 (BYO) 程序已从主要的移动设备扩展到包括macOS 和 Windows PC，但这些设备的安全性将涉及安全性与功能性之间的权衡。这些程序不应适用于所有用户，而应根据具体情况进行应用。

在用户拥有/非托管设备访问公司应用程序和数据的环境中保持强大的安全态势需要专门的 BYOPC 安全计划。

商业冲击

实施 BYOPC 计划的组织需要最大限度地减少因业务目的使用用户拥有的设备而产生的安全风险。结构化 BYOPC 计划有助于实现员工支持，同时保护公司数据和应用程序。

驱动因素

• 混合工作扩大了用户访问公司应用程序和数据的设备数量，个人电脑在使用的 BYO 设备中所占的比例越来越大。

• 通过更多设备增加对更多用户的访问可以提高业务连续性，并以名义成本为用户提供更大的灵活性，但需要新的自适应安全控制。

• 随着不良行为者越来越多地使用所获取的用户凭据，需要更加严格地对用户和设备进行身份验证。这些攻击正在增加，个人设备需要更高的安全性。

• 在 BYOPC 上建立适当级别的控制的能力——无论是通过使用应用程序控制、数据隔离、条件访问还是三者的组合——允许灵活的选项来适应多种用例。

障碍

• 更严格的隐私法规，加上在用户个人电脑上配置和建立本地控制的潜在风险，需要比标准设备管理更细致的解决方案。

• 为了消除数据丢失并将公司系统与本地恶意软件隔离，VDI 和 DaaS 通常用于 BYOPC，但对于 IT 来说成本高昂，对于用户来说也很复杂。

• BYO 并不适合每个用户。无法监控个人设备并将 BYO 系统修复到可接受的水平限制了 BYO 可以覆盖的用例。

• 无论安全控制如何，共享使用个人硬件常见的设备可能会违反公平和可接受的使用政策或其他合规性要求。

• 正确的数据分类所需的复杂性和时间是组织大规模采用 BYOPC 需要克服的障碍。

• 当设备因安全或技术事件而无法使用时，BYO 计划会将许多 IT 问题转移为 HR 问题。

10、漏洞和攻击模拟

效益评级：高

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：

漏洞和攻击模拟 (BAS) 技术使企业能够通过自动执行横向移动和数据泄露等威胁向量的连续测试来更好地了解其安全态势的弱点。BAS 补充但不能完全取代红队或渗透测试。BAS 通过测试其检测从 SaaS 平台、软件代理和虚拟机运行的模拟攻击组合的能力来验证组织的安全状况。

为什么重要

BAS 技术的主要优势是提供对企业威胁向量的自动化且一致的评估。许多 BAS 产品进行了创新，纳入了外部攻击面功能，以维护最新的评估列表，并覆盖更多的攻击杀伤链。频繁的自动化 BAS 评估还使组织能够检测由于配置错误而导致的安全状况差距，或重新评估即将进行的安全投资的优先级。

商业冲击

BAS 允许组织验证攻击面评估和安全态势管理工具表明的特定威胁的潜在暴露的影响。组织可以持续执行这些评估，以更频繁地了解其更大比例的资产。他们可以评估其安全控制的有效性并发现导致其最关键资产的攻击路径，从而使他们能够确定修复的优先级。

驱动因素

BAS 与多重暴露验证用例相关，包括但不限于：

• 威胁暴露确认：建立网络安全验证计划的组织主要使用 BAS 技术来确保随着时间的推移和跨多个地点的一致且改进的安全态势。

• 安全控制验证：BAS 工具可以通过管理 API 或读取警报日志与安全控制技术集成，从而实现安全配置管理并提高防御漏洞的可见性。

• 合规性优化：BAS 提供“更安全”和更自动化的评估，组织重视这些评估，以准备强制渗透测试，或将红队活动重新集中在更高级的场景上。

IT 和业务利益相关者经常赞助 BAS 技术的部署，因为他们认为这是一种更安全的方法来评估组织当前安全控制、其配置和事件响应流程的能力。BAS 还通过实现“验证”步骤的更深入自动化来支持持续威胁暴露面管理 (CTEM) 计划。

障碍

• 只有成熟度较高的组织才能成功实施暴露面管理计划，或者尝试超越最低合规性要求。

• BAS 供应商需要广泛的内部赞助，不仅来自安全团队，还来自其他基础设施团队，例如网络或应用程序。BAS 工具发现的问题会创建复杂的修复途径。

• BAS工具需要通过标准框架扩展到诊断和基本修复指南之外。

• 部署、维护和操作 BAS 工具所需的技能非常广泛，包括技术能力；对威胁行为者和技术的理解以及基础设施和应用程序架构的见解。

• BAS技术面临着更多相邻工具添加攻击模拟的竞争加剧，并且需要扩展和覆盖更多环境，例如云基础设施和SaaS 。

11、安全服务边缘（SSE）

效益评级：变革性

市场渗透率：目标受众的 5% 至 20%

成熟期：成长期

定义：

安全服务边缘 (SSE) 可保护对 Web、云服务和私有应用程序的访问。功能包括自适应访问控制、数据安全、可见性和控制。其他功能包括高级威胁防御以及通过基于网络和 API 的集成实施的可接受的使用控制。SSE 主要作为基于云的服务提供，可能包括本地或基于代理的组件。

为什么重要

SSE提高了组织灵活性，以确保网络和云服务以及远程工作的使用安全。SSE 产品是安全功能（至少是安全 Web 网关 [SWG]、云访问安全代理 [CASB] 和零信任网络访问 [ZTNA]）的融合，以降低复杂性并改善用户体验。它们是从云端交付的。当组织追求安全访问服务边缘 (SASE) 架构时，SSE 与软件定义的 WAN ( SD-WAN )配合使用，以简化网络和安全运营。

商业冲击

混合工作正在继续推动公共云服务的采用，尤其是 SaaS 应用程序。混合工作和公共云服务的采用仍然是大多数 Gartner 客户的业务推动者。SSE 允许组织使用以云为中心的方法在访问网络、云服务和私有应用程序时实施安全策略，从而支持随时随地的工作人员。同时，SSE 降低了运行多个产品的管理复杂性。

驱动因素

• 组织需要保护分布式、分散式且需要安全远程访问的用户、应用程序和企业数据。

• 对于许多企业来说，大量关键数据现在托管在 SaaS 中。因此，需要对位于、前往和离开这些 SaaS 平台的数据执行数据丢失防护 (DLP)。

• SSE为用户和设备提供灵活且主要基于云的安全性，而无需依赖于本地网络基础设施和连接。无论用户位于何处或连接如何，都会向他们提供相同的安全结果。

• 管理员可以增强对用户流量的可见性以及该流量的单一配置和监控位置。

• SSE 允许组织在边缘实施基于身份和上下文的态势。

• 通过整合供应商，组织可以降低复杂性、成本和用于执行安全策略的供应商数量。使用单个 SSE 平台而不是多个点产品，它们既可以降低复杂性，又可以缩小安全覆盖范围的差距。

• 敏感数据检查和恶意软件检查可以在所有访问渠道上并行完成。SSE 允许并行执行这两项检查，从而比单独执行这两项检查具有更好的性能和更一致的配置。

• 无论应用程序位置或类型如何，自适应访问都可以考虑更多输入信号并更一致地执行。

• 与在 SD-WAN 产品中可能拥有最少安全功能集的供应商相比，组织在构建 SASE 架构时寻求更深入的安全功能。

• 离散 SD-WAN 和 SSE 供应商之间存在紧密集成，无需采用单一供应商方法即可实现互操作性。

障碍

• 由于市场是通过能力的融合而形成的，供应商可能在某些能力上较强而在其他能力上较弱。供应商还可能缺乏 SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。

• 并非所有供应商都提供足够敏感的数据识别和保护来管理业务风险。

• 一些供应商不太关注 SaaS 安全性和集成。然而，企业越来越需要这种可见性和保护。

• 由于以云为中心，SSE 通常无法满足内部防火墙等本地控制支持的所有需求。

• 组织关心其业务所依赖的服务的正常运行时间或可用性。一些供应商的 SLA 薄弱，加剧了这一问题。

• 并非所有供应商都在所有地区本地提供所有功能，从而导致性能或可用性问题。

• 现有供应商的转换成本或合同到期时间阻碍了近期的整合。

• 从 VPN 迁移会增加成本。

12、XDR

效益评级：高

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：

扩展检测和响应 (XDR) 提供统一的安全事件检测和自动响应功能。XDR 将来自多个来源的威胁情报和监控数据与安全分析相集成，以提供安全警报的情境化和关联性。XDR 必须包含本机传感器。XDR 可以在本地交付或作为 SaaS 产品交付，通常由安全团队规模较小的组织部署。

为什么重要

XDR 通过使用系统而非集成的方法来构建检测堆栈，为威胁检测和响应提供了一种不太复杂的方法。XDR 供应商可以包含各种安全控制，通常由供应商通过 API 进行本地集成。供应商提供了预构建的剧本，可实现堆栈中的协作以及常见威胁检测的一致性。

商业冲击

XDR 检测常见威胁的简单性减少了对内部技能组合的需求，并可以减少操作更复杂的解决方案（例如安全信息和事件管理 (SIEM)）所需的人员数量。XDR 还可以通过单个集中式调查和响应系统帮助减少与安全运营任务相关的时间和复杂性。

驱动因素

• XDR平台吸引了具有适度成熟度需求的组织，因为检测逻辑（主要由供应商提供）通常需要较少的定制和维护。

• XDR 对寻求提高整个安全堆栈可见性的组织以及希望降低更复杂的事件响应 (IR) 解决方案的管理要求的组织有吸引力。

• 难以关联和响应不同安全控制生成的警报的中型组织非常欣赏集中式 XDR 界面所带来的生产力提升。

• 具有维护和操作可扩展检测堆栈所需技能的员工很难招募和再培训。

• 购买XDR 形式的系统检测堆栈可以简化产品选择和采购。

障碍

• 如果出现有效性或效率问题，单一供应商系统性 XDR 解决方案可能需要数年时间才能更换。

• XDR 缺乏自定义检测和其他用例的可扩展性，可能导致某些客户需要 XDR 和经典 SIEM 解决方案来满足多种需求。

• 通过添加或替换安全控制来扩展 XDR 检测堆栈的功能可能会受到供应商的限制。

• 单独的XDR产品并不总能满足除事件响应之外的用例（例如合规性、应用程序监控和性能监控）的长期日志存储的所有需求。对于访问数据等取证健全的记录系统来说，XDR 也可能不是一个糟糕的选择。

处于下滑期的技术

13、商业电子邮件泄露保护

效益评级：高

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：

商业电子邮件泄露 (BEC) 保护可检测并过滤恶意电子邮件，这些电子邮件会冒充银行或信用卡公司等受信任实体来误导资金或数据。BEC 攻击不包含 URL 或附件，并且通常具有良好的发件人信誉，这使得使用传统的反网络钓鱼工具检测它们变得更加困难。检测 BEC 攻击需要机器学习根据通信历史记录对电子邮件内容进行深入检查。

为什么重要

• BEC 不包含恶意链接或附件。从合法服务器发送的 BEC 电子邮件很难检测。攻击是通过 LinkedIn、Crunchbase 或 Wallmine 等公开信息进行社交工程的。

• BEC 攻击通常使用欺诈性发票和外部链接来获取凭据以用于未来的攻击。

• BEC 攻击在过去 2 年激增，近 40% 的勒索软件攻击也是通过电子邮件发起的。

商业冲击

BEC 攻击给所有行业带来重大风险，并导致不同类型的损害，包括：

• 声誉/信任受损。

• 资金损失。

• 机密或私人信息丢失。

• 访问系统。

驱动因素

BEC 保护技术的采用正在增加，因为：

• 用于检测恶意附件或链接的传统技术对于 BEC 攻击无效。

• 敏感数据仍然存在于电子邮件中，就像Uber的情况一样。

• BEC 攻击造成的损失可能非常巨大。根据FBI 2022 年 IC3 年度报告，2022 年约有 22,000 起 BEC 攻击投诉，造成的总损失约为 27 亿美元。

• 所有临时金融交易——包括更改工资单详细信息的请求——都面临风险。

• 受损的电子邮件帐户使攻击者能够利用电子邮件对话来转移资金。这些帐户接管 (ATO) 攻击实际上与合法电子邮件没有区别。

• BEC 攻击经常被忽视。通常，只有当目标接收者收到付款通知但他们没有收到资金时，才会发现欺诈行为。

障碍

• 许多组织可能会选择探索成本较低且效率较低的 BEC 保护替代方案（例如用户教育），但只能最低程度地降低BEC风险并延迟其采用。

• 即使最有效的解决方案也达不到 100% 的效果。随着攻击者的技术不断发展以利用 ChatGPT 等生成式 AI 平台，专注于 BEC 的解决方案可能会忽视所使用的最新实践。

• 基于 API 的解决方案本身不足以防范所有与电子邮件相关的攻击。

• 需要解决和缓解的一个关键问题是帐户接管攻击几乎不可能被检测到，特别是当攻击者拥有凭据访问权限时。这会增加攻击者了解组织行为和隐藏其踪迹的能力的风险。

• BEC 功能未来可能会被纳入全面的电子邮件安全解决方案中。因此，领导者需要确定现在投资 BEC 保护工具是否明智。

14、面向一线员工的设备终端安全

效益评级：中等

市场渗透率：目标受众的 5% 至 20%

成熟度：早期主流

定义：

组织应采用一线工作人员特定的终端安全技术来保护专用设备及其用户。设备必须物理锁定到永久站点，进行轮班跟踪和检查，或者在连接性较低的位置为大量用户进行设置，具体取决于行业和使用案例。

为什么重要

在恶劣的现场条件下，硬件可用性和生物识别等身份验证技术至关重要。一线工作人员需要耐用、受监控、锁定、安全的设备和强大的 UEM 系统来保持更新和修补。使用个人设备可能会导致数据分离和性能问题，因此适当的控制至关重要。

商业冲击

用户在一线用例中访问企业系统和数据。前线情况需要更多的安全保障。场外的前线设备很容易受到操纵和攻击。为了保护客户、工人和承包商的关键系统和数据，必须对它们进行加固。所有安全风险都需要多种解决方案。有些解决方案是为传统移动管理而不是一线人员创建的，并且需要定制开发才能满足安全标准。

驱动因素

• 越来越多的企业向一线员工提供访问权限，这使组织和员工都面临额外的基于云的安全问题。

• 由于存在数据泄露或其他类型的恶意攻击的可能性，安全团队被迫重新考虑其一线终端安全背后的策略和架构。

• 随着 BYOD 变得越来越普遍，企业需要新的移动应用程序管理 (MAM) 和移动威胁防御 (MTD) 解决方案，从而催生了应用程序级容器解决方案。

障碍

• 多层安全需要专门的硬件和云功能，从而给企业带来意想不到的费用。

• 一线员工可能需要额外的物理安全解决方案，包括摄像头、签入/签出协议、用户和设备身份管理、使用后需要数据清除的轮班设备以及地理/位置类型保护。

15、内容解除与重建CDR

效益评级：高

市场渗透率：目标受众的 5% 至 20%

成熟期：成长期

定义：

内容解除和重建 (CDR)，有时称为“内容清理”，是将文件解析为其组成部分并删除任何不符合文件格式的原始规范/ISO 标准的数据的过程。此外，它在重新生成清理版本之前将宏、链接和嵌入对象与内容隔离。

为什么重要

CDR 可防止漏洞利用和被更改为武器的材料，而无需耗时的动态分析或标准内容检查方法（如签名）来查找有害内容。这在文件跨越组织边界移动的情况下尤其有用，例如使用电子邮件、网络下载或文件内容共享网站时。

商业冲击

CDR 是一种安全技术，有助于保护企业免受恶意内容的侵害。CDR 的工作原理是扫描文件和电子邮件中的已知恶意内容。CDR可以解除它或删除恶意代码。它可以：

• 满足安全传送文件的要求，而不包含活动的恶意内容，而不是依靠终端防病毒来检测和阻止恶意软件。

• 降低数据泄露的风险。CDR通过阻止恶意软件的运行和恶意文件的传播来帮助防止数据泄露。

驱动因素

• 各种类型的企业每分钟都在跨境整理文档，包括上传电子邮件附件、下载网络下载、上传申请表和简历等内容，以及共享或接收来自不受信任来源的文档。

• 这有助于提高采用率，因为除了内容协作平台之外，某些安全电子邮件和安全服务边缘 (SSE) 平台已经提供了此类功能。这些功能可能是内部创建、重新包装或通过第三方许可以额外费用购买的。

• 现有的解决方案，例如沙箱中的动态分析，甚至一些防病毒解决方案，都是出了名的缓慢。CDR 解决方案减少了处理时间，因此用户可以立即查看经过清理的附件。

障碍

• CDR 删除了活动代码，可能会减少文档的功能。有些系统会隔离损坏的原始文件，并对删除的内容进行更详细的控制，但这会降低 CDR 的实用性。

• 由于 CDR 不依赖于检测，因此在不对内容进行额外的回顾性分析的情况下证明其有效性可能具有挑战性。

• 大多数 CDR 无法识别恶意行为者或恶意意图。此类信息对于威胁情报功能至关重要。

• CDR 解决方案的投资优先级较低，限制了更广泛的采用。CDR 仅对特定文件类型有用。

16、SASE

效益评级：变革性

市场渗透率：目标受众的 5% 至 20%

成熟期：成长期

定义：

安全访问服务边缘 (SASE) 提供融合网络和安全功能，包括 SD-WAN、SWG、CASB、防火墙和零信任网络访问 (ZTNA)。SASE 支持分支机构、远程工作人员和本地安全访问用例。SASE 主要作为服务提供，并根据设备或实体的身份，结合实时上下文以及安全性和合规性策略，实现零信任访问。

为什么重要

SASE 是现代数字业务转型的关键推动者，包括随时随地工作以及边缘计算和云交付应用程序的采用。它提高了可见性、敏捷性、性能、弹性和安全性。SASE 还主要通过云交付模型极大地简化了关键网络和安全服务的交付和运营。SASE 减少了安全访问一两个明确合作的供应商所需的供应商数量。

商业冲击

SASE 能够：

• 数字业务用例（例如分支机构转型和混合劳动力支持）提高了易用性，同时通过供应商整合和专用电路卸载降低了成本和复杂性。

• 基础设施、运营和安全团队以一致和集成的方式提供丰富的网络和网络安全服务，以支持数字业务转型、边缘计算和随时随地工作的需求。

驱动因素

• 数字业务转型，包括移动员工采用基于云的服务、边缘计算和业务连续性计划，其中必须包括灵活、随时随地、安全、基于身份的 SASE 逻辑边界模型。

• 需要通过零信任安全架构灵活支持数字业务转型工作，同时管理复杂性，这是采用 SASE 的一个重要因素，SASE 主要作为基于云的服务提供。

• 对于 IT 而言，SASE 可以减少新用户、位置、应用程序和设备的部署时间。

• 对于信息安全，SASE 支持通过单一方式在所有类型的访问（互联网、Web 应用程序和私有应用程序）中一致地设置策略实施，从而减少攻击面并缩短补救时间。

• 企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署。

障碍

• 组织孤岛、现有投资和技能差距：完整的 SASE 实施需要跨安全和网络团队采取协调一致的方法，考虑到更新/更新周期、孤岛和现有员工专业知识，这具有挑战性。

• 本地部署的组织偏见和监管要求：一些客户厌恶云并希望保持控制。

• 全球覆盖范围：SASE 取决于云交付，供应商的云足迹可能会妨碍在某些地区（例如中国、非洲、南美和中东）的部署。

• SASE 成熟度：SASE 功能差异很大。敏感数据可见性和控制通常是一个高优先级的功能，但许多 SASE 供应商很难解决。虽然您首选的单一供应商可能缺乏您所需的功能，但两家供应商的合作伙伴关系可能是一种可行的方法。

处于启蒙爬坡期的技术

17、桌面即服务（DaaS）

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：早期主流

定义：

桌面即服务 (DaaS) 是由公共云或服务提供商提供虚拟桌面。DaaS 是由寻求通过使用远程显示协议访问的虚拟机提供桌面或应用程序体验的 IT 领导者购买的。DaaS 供应商将完全托管的控制平面服务纳入其产品中，从而促进用户连接并提供管理界面。DaaS 可以作为服务进行预配置，也可以作为 DaaS 平台进行交付。

为什么重要

借助 DaaS，终端上不会驻留任何数据，从而提供可以提高远程工作人员的安全性、弹性和应用程序响应能力的解决方案。DaaS 提供可扩展的服务，无需添加基础设施，允许客户每小时、每天、每月适当调整和使用其环境；然而，并非所有 DaaS 解决方案都提供如此精细的计费选项。

商业冲击

借助 DaaS，IT 领导者可以提高桌面和应用程序的安全性。与传统 VDI 相比，DaaS 的其他优势包括：

• 灵活的采购选项，允许可扩展的部署。

• 简化向新地理区域推出服务的过程。

• 适用于更广泛的行业和用例。

• IT 运营团队部署和操作虚拟桌面和应用程序所需的技能较少。

• 工作负载更快速地扩展或收缩。

驱动因素

到 2026 年，DaaS 将继续成熟，并见证越来越多的采用。由于以下因素，该技术已经度过了幻灭的低谷，进入了启蒙的斜坡：

• DaaS 可实现业务连续性和远程工作，且终端上不驻留任何数据。

• 该技术可以安全地将服务扩展到外部承包商和第三方。

• 终端计算模型允许设备独立并自带 PC (BYOPC) 终端。

• 按需桌面支持可扩展云资源的财务模型和运营支出 (opex) 模型。

• DaaS 可以短期购买，支持季节性工人或短期合同等用例。

• DaaS 支持在合并、收购和剥离期间快速访问系统。

• 工程、游戏开发、视频编辑和地理信息系统 (GIS) 等丰富的图形用例受益于支持 GPU 的工作站级虚拟桌面和应用程序。

• DaaS 可在数小时内交付给用户。另一方面，物理设备的供应可能需要数周时间，并会产生运输费用，并且并不总是能保证检索。

• 该技术消除了复杂和静态 VDI 实施的需要。

障碍

• 通常，只有当考虑到安全性和用户成本影响时，业务案例才会变得积极。

• 当财务模式从资本支出转变为运营支出时，组织就会陷入困境。

• GPU 用例可能非常昂贵，并且通常需要高级协议，这增加了复杂性。

• DaaS 中的多媒体流、网络会议和视频通话性能并不等同于物理终端。

• DaaS 中可能会出现性能问题，因为应用程序架构引入了网络相关问题（即延迟和发夹现象）。

• 一些 DaaS 解决方案需要自组装，虽然比 VDI 简单，但对于某些客户来说仍然过于复杂。

• DaaS 提供商可能无法完全满足全方位的桌面管理要求。

• 阻止在“列出的提供商”上安装Microsoft 365 应用程序的 Microsoft 产品条款。

18、ZTNA

效益评级：中等

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：

Gartner 将零信任网络访问 (ZTNA) 定义为创建基于身份和上下文的逻辑访问边界的产品和服务，该边界包含企业用户和内部托管的应用程序或应用程序集。这些应用程序是隐藏的，不被发现，并且通过信任代理将访问限制为一组命名实体，从而限制了网络中的横向移动。

为什么重要

ZTNA是一项关键技术，用于通过信任代理实现动态用户到应用程序分段，以实施安全策略，允许组织隐藏私有应用程序和服务，并为应用程序实施最低权限访问模型。它通过创建仅包含用户、设备和应用程序的个性化“虚拟边界”来减少攻击面。

商业冲击

ZTNA 在逻辑上将源用户/设备与目标应用程序分开，以减轻完整的网络访问并减少组织内的攻击面。这改善了用户体验 (UX)和远程访问灵活性，同时通过简化的策略管理实现动态、精细的用户到应用程序分段。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易于采用性。

驱动因素

• 组织内零信任计划的兴起导致需要在本地和云应用程序中进行更精确的访问和会话控制。

• 人们越来越需要现代化和简化传统的 VPN 部署，这些部署针对连接到数据中心环境的静态用户位置而不是位于企业外部的应用程序、服务和数据进行了优化。

• 当混合工作需求超过硬件容量时，需要基于云的 ZTNA 服务来增强本地远程访问方法，以卸载基于硬件的解决方案。

• 一些组织需要在实施精细控制之前获得观察应用程序访问模式的能力。

• 一些组织需要将供应商、销售商和承包商等第三方安全地连接到应用程序，而无需通过 VPN 暴露其整个网络，或者需要将应用程序连接到互联网进行访问。

• 进行并购的组织需要能够将应用程序访问扩展到被收购的公司，而无需部署终端或互连其公司网络。

障碍

• 成本：ZTNA 通常按每个用户/每年按指定用户进行许可，价格大约是传统 VPN 的两倍或三倍。

• 有限支持：并非所有产品都支持所有应用程序。例如，一些基于客户端的 ZTNA 解决方案不支持 UDP 应用程序，无客户端 ZTNA 解决方案通常仅支持 Web、远程桌面协议 ( RDP) 和安全外壳 (SSH ) 协议。一些供应商将 VPN 即服务 (VPNaaS) 称为 ZTNA，但缺乏对某些零信任状态功能的支持。

• 采用仅限于 VPN 替代：基于云的信任代理可能无法在本地扩展策略执行点，与通用 ZTNA 产品相比，使用案例受到限制。

• 访问策略的粒度：组织必须映射用户的应用程序访问权限，但许多组织缺乏这种理解，最终导致访问规则要么太细粒度，要么不够细粒度。

19、移动威胁防御（MTD）

效益评级：中等

市场渗透率：目标受众的 20% 至 50%

成熟期：成长期

定义：

移动威胁防御 (MTD) 可保护组织免受针对 iOS 和 Android 移动设备的威胁。它为设备、其网络连接及其应用程序提供预防、检测和修复。为了预防和检测恶意软件等企业威胁，MTD 产品使用多种技术，包括基于行为分析的检测。产品来自各种供应商，包括终端保护平台 (EPP) 供应商和独立 MTD 提供商。

为什么重要

MTD 通过识别易受攻击的设备、恶意应用程序和网络来改善移动安全状况。它还提供了对移动设备行为的可见性，可以指示恶意活动，这些行为可以与其他可观察数据和威胁情报相关联，以提高企业范围内的检测和响应能力。除其他威胁外，MTD 还可以对抗移动网络钓鱼。金融服务和其他高安全性和受监管的行业是该技术的主要采用者。

商业冲击

• MTD 可以与现有的 UEM 部署集成以简化修复，也可以作为独立工具进行部署。

• MTD 可以为受监管的行业、需要使用各种且分散的移动操作系统版本集的企业以及选择不管理其提供企业访问的移动设备的组织提供安全保证。

驱动因素

• 许多企业部署 MTD 来应对高级和有针对性的攻击。在实践中，MTD 提供更传统的安全卫生，例如应用程序审查和设备漏洞管理。

• 防范移动网络钓鱼是采用的主要驱动力。针对移动设备的网络钓鱼攻击可以绕过传统的企业措施，例如通过 SMS 和 WhatsApp 等即时消息应用程序实现电子邮件安全。

• 新兴用例将 MTD 视为零信任架构和扩展检测和响应 (XDR) 系统的组成部分。这是对使用 MTD 进行移动网络钓鱼防护的补充。

• 对于非托管的 iOS 和 Android 设备，MTD 提供适合 BYOD 和在家工作场景的安全保证。当用户在设备上启动工作应用程序时，仅当 MTD 在设备上运行时，该应用程序才允许访问。特别是，Microsoft 的 MAM-WE 实施此选项已广受欢迎，可在非托管设备上启用 Outlook 和其他 Microsoft 应用程序。

• 终端安全供应商正在扩展其 EPP 产品，以包括对 iOS 和 Android 的支持。

障碍

• MTD 的采用速度比移动安全宣传所声称的要慢。由于缺乏导致重大企业违规的移动安全问题的证据，MTD 并未成为企业的优先事项。

• 受监管的行业和安全要求较高的企业采用MTD解决方案。在主流组织中，MTD 产品的采用很大程度上仅限于那些想要改善整体安全状况或为自带设备 (BYOD) 设备提供设备状态信息的组织，而不是那些旨在应对恶意移动威胁的组织。

• 移动操作系统（尤其是 iOS 和 iPadOS）限制了安全工具在这些平台上可以采取的可见性和补救操作。

20、数据清理

效益评级：中等

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：

数据清理是故意、永久和不可逆地删除或销毁存储在存储设备上的数据以使其无法恢复的严格过程。经过清理的设备没有可用的残留数据，即使借助先进的取证工具，数据也永远无法恢复。

为什么重要

只需要一台数据承载设备在强大的 ITAD 数据安全流程中出现漏洞，就能找到您在互联网上出售的数据。鉴于人们对数据隐私和安全、泄露以及监管合规性的日益关注，稳健、一致和普遍的数据清理必须成为所有 IT 组织的核心 C 级要求。此外，存储介质容量的不断扩大以及边缘计算和物联网 (IoT) 设备数量的不断增加，使得持续强大的数据清理过程变得更加迫切。

商业冲击

虽然数据清理不一定会增加收入或节省成本，但它将最大限度地降低严重的 IT 资产处置 (ITAD)相关数据泄露可能导致的重大金钱和品牌损失的风险。效益评级为中等，因为数据清理已成为越来越被接受的过程，可以最大限度地减少数据安全的重大业务风险。

驱动因素

• 数据安全合规：无论卸载的IT 硬件的目标最终状态如何，数据清理或物理硬盘驱动器销毁/粉碎都是确保符合内部和外部隐私和安全要求的关键活动。这些流程通常由经验丰富的 ITAD 供应商最有效、最可靠地执行。鉴于不够健全的数据清理流程会给您的品牌带来重大风险，因此需要进行数据清理符合通用行业标准的认证。

• 可持续性和循环经济：对可持续性，特别是循环经济的快速关注，正在推动数据承载设备从物理破坏转向消毒/擦除。反过来，这可以将IT 资产的使用寿命延长 50% 至 100%，从而减少多达一半的温室气体排放总量。

• 数据清理标准和加密：公司正在利用国际标准，例如美国的 NIST 800-88 或英国的ADISA ，并要求ITAD 服务提供商获得 NAID 的 AAA 认证（而不仅仅是 NAID 会员资格） 。为了最大限度地减少监管链安全风险（例如运往 ITAD 供应商设施的运输过程中的损失），许多 ITAD 经理（尤其是金融和医疗保健行业的经理）要求在现场执行某种形式的数据清理。一些不需要现场数据清理的公司将在所有数据承载设备上强制执行数据加密，以最大限度地减少监管链安全风险。

• 全面、普遍的数据清理：全面的数据清理正在应用于所有具有存储组件的设备（例如企业存储和服务器、PC、移动设备，以及越来越多的边缘计算和一些物联网设备）。缺乏强大的数据清理能力通常是由于将资产生命周期阶段作为孤立事件处理，业务边界（例如财务、安全、采购和 IT）之间几乎没有协调。

• 远程数据清理：对于移动设备，远程数据擦除功能通常通过移动设备管理器来实现。尽管这不应被视为故障安全机制，但其可靠性对于大多数丢失或被盗的移动设备来说应该足够了。

障碍

• 自满：“一切照旧”综合症：“我们一直都是这样做的，从来没有遇到过问题。” 数据安全要求（例如，通用数据保护条例 [GDPR]、健康保险流通与责任法案 [HIPAA] 和加州消费者隐私法案 [CCPA]）的快速增长要求对数据安全和清理进行彻底（年度）审查流程。

• 成本：与许多低成本的“相信我”替代方案（例如，承诺其流程强大的“朋友”）相比，强大的数据清理成本高昂。请记住：这关系到您的品牌在市场上的诚信度。

• 缺乏高管意识和关注：首席级高管经常自信地表示，他们拥有世界一流的数据清理流程，但几年来没有对这些流程进行彻底的审查/审计。大型组织很可能拥有健全、严格的数据清理流程，但在某些偏远地区，这些流程可能不会得到一致执行。

21、终端检测和响应（EDR）

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：

终端检测和响应 (EDR) 分析系统、流程和用户活动以检测安全威胁。它为绕过预防控制的威胁提供补救指导，并支持终端威胁调查。EDR 功能通常包含在终端保护平台中，并作为连接到基于云的集中安全分析和管理软件的软件代理提供。

为什么重要

EDR 是大多数企业终端的重要防御组件。它需要安装代理来协助发现和报告可疑和恶意行为、攻击传播的可视化以及补救指导。EDR 可以阻止已知的恶意软件和勒索软件系列，还可以帮助发现和修复更多隐秘和未知的威胁。

商业冲击

• 所有连接到企业网络或处理数据的设备和服务器都需要 EDR 保护。

• 新威胁和隐蔽攻击需要及早识别和快速反应。

• 网络保险公司和监管机构需要 EDR，一些 EDR 解决方案提供低成本的勒索软件保险。

驱动因素

• 威胁的性质已经改变。实现 100% 预防已不再现实，旧的终端保护平台 (EPP) 工具应更新为也包含EDR 功能。

• 隐形恶意软件和勒索软件活动、国家资助的对手和供应链攻击使用先进技术来保持不被发现并绕过旧的安全控制。

• 远程工作加速了云管理解决方案的采用，目前该解决方案占已安装基础和大多数新部署的 80%。

• 检测与用户和机器身份相关的漏洞和凭证滥用是一项新兴的必备功能。

• 随着事件的发生，快速实时响应对于遏制威胁并阻止其蔓延至关重要。

• 越来越需要增强现有的漏洞管理程序并提供减少攻击面的方法，以确保系统不会配置错误并且不存在未修补的漏洞。

• 从 EDR 代理收集的日志和事件构成了回顾性威胁检测和威胁狩猎的基础。

• 复杂的攻击需要新一代的 EDR工具，这些工具与其他安全工具整体协作，形成可组合的安全生态系统，以最大限度地提供保护并最大限度地减少暴露。

障碍

• 许多企业缺乏并低估了成功安装和使用 EDR 工具的知识和资源。采用 EDR 需要对响应者进行培训，包括模拟攻击的“范围”培训。

• 传统的终端安全技术和代理无法与云托管工作负载的“敏捷”部署管道配合使用。这将敏捷部署的工作负载与容器或无服务器计算分开。

• 非 Microsoft-Windows 系统可能缺乏同等功能。这些系统的终端安全解决方案缺乏 EDR 检测和响应功能。

• 在混合和远程工作模式中，较旧的本地技术难以采用和维护。

22、远程浏览器隔离

效益评级：低

市场渗透率：目标受众的 20% 至 50%

成熟度：早期主流

定义：

远程浏览器隔离 (RBI) 将不受信任的内容（通常来自互联网）的呈现与用户及其设备分开，或将敏感应用程序和数据与不受信任的设备分开。当用于防御不受信任的内容时，RBI 可以显着降低泄露的可能性，因为大量攻击已转移到用户和终端。当用于保护敏感数据和应用程序免受非托管设备的影响时，RBI 有助于降低与 BYOD 相关的风险。

为什么重要

浏览器隔离将终端与其正在访问的 Web 服务之间的会话保持隔离，从而降低恶意软件和数据丢失的风险。当终端访问 Web 内容时，RBI 会阻止 Web 传播的恶意软件直接传递到终端。RBI 也可以反向发挥作用。在通过云访问安全代理 (CASB) 进行 SaaS 访问或通过零信任网络访问 ( ZTNA )进行内部应用程序访问等使用案例中，它可以保护敏感数据和应用程序免受不受管理和可能受感染的设备的攻击。

商业冲击

如今，大多数攻击都是通过公共互联网进行的，要么通过网页浏览提供的漏洞利用，要么通过电子邮件链接诱骗用户访问恶意网站。将浏览器从最终用户的桌面连接到在单独位置运行的另一个浏览器可以提高现有安全工具的效率。RBI 保护还可以扩展到保护从非托管设备访问的私有和 SaaS 应用程序，从而减少数据泄露的威胁。

驱动因素

• 许多组织希望通过使用隔离作为安全服务边缘 (SSE) 内的正向代理、反向代理和私有应用程序的策略操作来建立自适应零信任状态。

• 通常需要对托管和非托管设备应用恶意软件防护和数据保护。

• 与依靠缓慢的静态阻止列表来阻止有针对性的攻击相比，隔离网站是提高安全性的更有效方法。

• 允许隔离访问未分类的网站，而不是阻止它们，可以减少用户摩擦。

• 可以隔离外部解析的基于电子邮件的 URL，以防止针对员工的网络钓鱼攻击。

障碍

• 最终用户经常提到，当为所有站点部署 RBI 时，体验很差，导致一些组织将 RBI 限制为仅针对某些类别的站点。

• 市场上几乎没有独立的 RBI 供应商，这限制了选择，因为大多数 RBI 选项现在都作为安全访问服务边缘 (SASE) 和 SSE 平台的功能包含在内。

• 本地化基于云的多租户 RBI 的浏览体验需要将 IP 地址分配与 VPN 出口点或本地存在点进行区域性组合。

• RBI 是额外的防御层，需要额外的成本，因为它很少完全取代其他安全控制。

• 大多数 RBI 产品都是基于软件和云交付的，这限制了寻求本地、基于硬件的隔离选项的组织的选择。

• RBI 无法防止允许下载到终端的受感染内容。需要文件防病毒和沙箱、PDF 转换、远程查看器以及内容解除和重建 (CDR) 等机制。

进入高原期的技术

23、统一终端管理（UEM）工具

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：

统一终端管理 (UEM) 工具为运行 Windows、Android、Chrome OS、Linux、macOS、iPadOS 和 iOS 的终端设备提供基于代理和无代理的管理。UEM 工具使用来自身份、应用程序、连接和设备的监控数据来应用数据保护、设备配置和使用策略。它们还与身份、安全和远程访问工具集成以支持零信任。

为什么重要

UEM 通过整合不同的工具并简化跨设备和操作系统的流程来简化终端管理。UEM 已扩展到管理之外，提供与身份、安全和远程访问 VPN 工具的更深入集成，以支持零信任安全模型。领先的 UEM 工具还利用智能来驱动自动化、降低 IT 开销并通过丰富的数据收集和见解改善数字员工体验 (DEX) 。

商业冲击

UEM 工具可以简化和改进终端管理。具体影响包括：

• 与位置无关的终端管理和修补。

• 通过简化设备管理和支持流程，降低总体拥有成本 (TCO)。

• 通过在所有平台上一致地应用配置和数据安全，更好的安全卫生。

• 跨公司管理的终端和自带设备 (BYOD) 终端进行以用户为中心的管理。

驱动因素

• 支持混合工作人员需要超越单一平台的工具，或者需要设备位于特定网络上才能运行。

• IT 部门希望简化终端部署、管理和修补，以便为远程员工配置新设备，并通过一致的控制和配置管理来降低安全风险。

• 越来越重视改进 DEX，需要更好地了解终端性能、可靠性和一致性。先进的UEM 工具通过更广泛地使用分析和自动化来实现这一点。

• 将不同的终端支持团队、工具、流程和成功定义整合到集中的终端管理框架中，支持提高效率并过渡到具有更高业务价值的工作。

• 网络攻击的增加需要更快的补丁部署以及改进的配置管理控制和合规性。

障碍

• 传统组织模型中，移动和 PC 管理、远程访问和安全性的职责分布在多个 IT 团队中。

• 没有足够的技能或资源来采用新工具或实践。

• 严重依赖过去过时且无效的高接触实践，例如整体成像。

• 少数没有终端管理工具的组织面临成本问题。

• 拥有许多Active Directory 组策略对象 (G PO )且对每个组策略对象的作用知之甚少的组织将难以合理化并迁移到配置服务提供商 (CSP) 配置文件。

• 具有多个 Active Directory 林或域和/或自治子公司或业务单位的高度复杂环境可能会难以应对 UEM工具的集中式特性。

• 具有大量技术债务的脆弱环境，包括依赖于不受支持的浏览器、运行时环境或插件的遗留操作系统或应用程序。

24、下一代防病毒软件

效益评级：中等

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：

下一代防病毒 (NGAV) 解决方案支持预防性安全控制，例如减少攻击面、静态文件分析和行为分析，以应对执行前和执行后攻击阶段的已知和新的安全威胁。NGAV 是终端保护平台 (EPP) 的常见组件。它们与终端检测和响应 (EDR) 功能协同工作，提供一整套终端预防、检测和响应功能。

为什么重要

随着时间的推移，企业终端攻击变得越来越复杂。就勒索软件而言，威胁已从基本的自动化策略发展到高度精心策划的人为驱动操作，后者的目标是勒索 1% 至 2% 的业务收入。终端检测和响应 (EDR) 功能正在集成到NGAV中，作为防御更复杂威胁的一种手段。

商业冲击

所有企业都应该完全安装 NGAV，因为它现在被认为是基本的安全卫生，并且99 % 的业务终端都使用它来加强保护和预防堆栈。EDR 的检测和响应功能的重要性不断增加，因为企业发现不可能提前针对所有潜在的未来攻击策略制定安全措施。然而，采用 EDR 需要更多的许可证费用、管理员的更多工作以及员工的更多培训。

驱动因素

• NGAV 现在与更隐秘的攻击者和复杂的威胁作斗争。组织优先考虑防止异常、长期、有针对性和无文件的攻击。使用机器学习和基于云的哈希查找的静态文件分析可以取代或补充基于签名的恶意软件识别。资源消耗和维护必须容易。防止代理篡改至关重要。

• 易于部署和管理的云原生解决方案以及识别未知风险的基于行为的检测和分析可以推动 NGAV 的发展。

• 操作系统安全通过保护凭证、限制内核攻击和隔离重要的安全服务来淡化 NGAV。虚拟化浏览器和程序减少了操作系统的危害。

• 防火墙管理、设备控制、基于威胁和风险的漏洞管理以及补丁正在集成到 NGAV 平台中，以提高安全性和吸引力。一些工具集限制应用程序并加密存储。

• NGAV 是 EPP 解决方案中的筹码，并不断发展以进一步集成其他安全规则，这意味着 NGAV 作为一个单独的类别可能被 EDR 纳入。

障碍

• 由于 NGAV 可实现实时监控和其他高级功能，因此对于整体安全运营至关重要。

• NGAV 通常是更广泛的安全基础设施组合（例如防火墙、电子邮件安全、安全服务边缘和其他核心产品）中的锚定产品，供寻求更多开箱即用集成的买家使用。

• 专门的 NGAV 供应商正在评估如何适应更广泛的安全运营并消除盲点和信息孤岛，从而使事件响应和警报管理更加高效。

• 随着核心操作系统变得更加安全，攻击者可能会针对应用程序漏洞和 BIOS 或固件进行攻击，从而使 NGAV 对这些威胁视而不见。

• EDR 对于检测和响应可绕过仅禁止的 NGAV 系统的隐秘攻击至关重要。这些方法无法识别使用可信工具的隐秘方法。

附录

技术成熟度曲线阶段、效益评级和成熟度水平

表2 ：技术成熟度曲线阶段

资料来源：Gartner（2023 年 8 月）

表3 ：效益评级

资料来源：Gartner（2023 年 8 月）

表4 ：成熟度级别

资料来源：Gartner（2023 年 8 月）