Gartner安全运营成熟度曲线：XDR、SOAR 泡沫破裂；EDR、SIEM 进入生产成熟期

日前，全运曲线期Gartner 发布了最新的营成安全运营成熟度曲线报告（Gartner Hype Cycle for Security Operations, 2024），报告将与安全运营相关的熟度生产 23 项热点技术按照新技术通往成熟必经的过程进行划分，为技术萌芽期、沫破期望膨胀期、进入泡沫破裂低谷期、成熟稳步爬升复苏期、全运曲线期生产成熟期五个阶段。营成

此次报告出现了像对抗性暴露面验证，熟度生产暴露面评估平台这些新的沫破技术热点，也有过去被认为大热的进入技术比如 SOAR，在达到成熟大面积应用之前就已过时。成熟

Gartner Hype Cycle for Security Operations,全运曲线期 2024：

面对不断变化的威胁态势，企业率先采用新兴技术可能获得巨大收益，营成另一方面也可能承担更大的熟度生产风险，因此识别技术投入的优先级变得尤为重要。

Gartner 根据对企业产生的价值以及技术的目标市场覆盖度，对这些技术进行了应用优先级评估，从而帮助企业安全或信息负责人制定安全战略路线，在恰当时间做出更明智的投资决策。

Gartner Hype Cycle for Security Operations, 2024：

优先级矩阵

新出的这份报告，有几点关键洞察值得关注：

TEM、免费源码下载CPS 安全、CAASM 进入期望膨胀期（Peak of Inflated Expectations），需谨慎

Gartner 认为全球企业对于攻击面的关注达到了顶峰，企业利用威胁暴露面管理（TEM）、网络资产攻击面管理（CAASM）、网络物理系统安全（CPS），以及渗透测试即服务（Penetration Testing as a Service）等不同的技术，来提升对于不断扩大的攻击面的可见性，或者验证网络的弹性。

但是，对于这些正处在期望膨胀期的安全技术，Gartner 的建议是企业内部需要提前考虑清楚自身的需求，再开始寻找供应商，或向安全厂商提具体的需求，不然最后很可能受到对当前技术过高的期待影响，而产生一些不切实际的期待。

MDR、NDR、TI 及 CO-MMS 市场价值显著，稳步爬升

对于托管检测和响应服务（MDR）、b2b信息网网络检测和响应（NDR）、威胁情报（Threat Intelligence）以及共管监控服务（Co-Managed Monitoring Services）这几项技术，早期的采用者已经克服了此前的各种障碍，2024年开始为企业带来显著的价值和收益，焕发了新的生机。

例如，像威胁情报技术对企业属于高收益，目标用户市场渗透率已达到20%-50%，当前已进入成熟主流阶段。对于处在该阶段的安全技术，Gartner建议重点进行评估及应用，弥补企业自身在威胁检测以及情报应用上成熟度的不足。

XDR、SOAR 等进入泡沫破裂低谷期（Trough of Disillusionment），需重新评估

当大家对新技术的兴奋劲头散去，这些新技术由于性能问题、没有及时产生财务回报或者是目标市场的接受与应用率比预期要慢，那么 Gartner 认为这项技术就进入了泡沫破裂低谷期。

2024 年，安全负责人需要对这几项技术进行重新评估，例如数字取证与事件响应（Digital Forensics and Incident Response)，应用过这些技术的大多数企业都出现过被过度承诺结果的情况。源码库

再比如外部攻击面管理（External Attack Surface Management)，身份威胁检测和响应（Identity Threat Detection and Response），在实际应用的过程中，甲方企业对这些技术进行消费和运营业务输出时，准备不足。

对于安全编排自动化响应（SOAR）以扩展检测和响应 (XDR)，面临的问题主要是采用的这些技术跟不上持续变化的需求。

Gartner 建议，企业既需要重新评估这些技术，也需要提升对预算分配与规划的合理性。

EDR、SIEM 进入生产成熟期（Plateau of Productivity）

报告指出，终端检测与响应（EDR）、安全信息与事件管理（SIEM)两项技术目前均已达到成熟阶段，其中 EDR 对于企业而言收益高，且目标用户市场渗透率达到了 50%；而SIEM目前的目标用户市场渗透率达到 20%-50%。

Gartner 认为处于这个阶段的技术已得到广泛应用，而且技术价值和优势也得到了充分证明，建议安全风险部门负责人充分利用该阶段技术降低风险，并将其功能整合应用到更大范围的安全运用生态体系中。

尽管这份报告可以看作是全球安全运营技术的风向标，但国内外在技术成熟度和实践上无疑仍存在一定“时间差”和“实践差”，并不完全同频。

例如国内终端安全管理平台更多以杀软、桌管包装成 EDR，真正的 EDR 技术在国内尚处于起步阶段，只有少数厂商聚焦在高精准度的 EDR 能力上；国内安全服务市场，更多以 MSS 安全托管服务为主，MDR 发展相对较为早期，企业需要更加务实地看待当前网络安全运营中不同技术市场的发展。

(责任编辑：系统运维)