安全和风险管理领导者的任务是管理多个安全供应商和复杂的基础设施堆栈。本研究提供了有关安全平台优势和风险的见解,并提供了为组织选择合适平台的建议。
主要发现
-
自适应和行为安全防御需要跨安全基础设施组件进行更多的协调,而目前孤立的异构供应商架构尚不具备这种能力。
-
复杂的基础设施安全堆栈增加了不堪重负的安全人员的管理负担,导致配置不理想或告警无法解决。
-
安全域具有通用或核心功能,这些功能通常分布在各种技术产品中,适合整合。
-
安全技术供应商正在构建基础平台、产品和集成合作伙伴关系,以取代特定安全领域的孤立、异构安全基础设施。然而,虽然这些基于平台的解决方案发展迅速,但它们很少是无缝或完整的。
建议
寻求快速实现安全计划现代化和成熟的安全和风险管理 (SRM) 领导者在评估安全平台时应考虑以下几点:
-
确定战略安全平台的安全域边界。通过对用例驱动的需求进行分类,并将其与生态系统驱动的域解决方案相结合,最大限度地减少功能重叠,以集成而非完整性为重点。
-
制定计划并预算通过平台应用商店市场和基于标准的 API 集成部署合作伙伴供应商工具来增强平台功能。
-
在选择战略安全平台时,重点关注减少日常运营的行政管理负担以及简化调查和报告。
-
寻求具有嵌入式自动安全控制评估的安全平台,以降低管理错误的风险并确定维护活动的优先级。
介绍
什么是战略安全平台?
传统的安全方法主要涉及组装来自多个不同供应商的组件,并通过安全运营中心 (SOC) 中的日志整合将它们松散地集成在一起。主流组织发现,在资源有限和人员配备受限的情况下,构建和维护这种安全架构越来越困难。因此,截至2022 年,超过 75% 的安全领导者正在积极推行安全供应商整合战略。
顺应这一趋势,大型安全厂商开始提供战略性安全平台,这些平台基于通用的云原生服务架构,提供一套模块化的安全产品能力,满足安全领域用例的大多数基本需求(见图1)。
图 1:安全平台
描述
安全平台是一套模块化的安全产品功能,基于通用的云原生服务架构构建,可以满足安全域用例的大多数主要要求。这些平台可以解决特定域内安全任务的整个生命周期,包括配置、集成、保护、检测和补救,以及威胁情报和态势感知。
我们在其他软件市场也看到了类似的动态,例如在 CRM、办公套件和服务管理领域,拥有越来越多模块化组件和集成精选合作伙伴的 SaaS 提供商占据了市场主导地位。基础设施即服务 ( IaaS ) 市场也出现了类似的趋势。精通云的企业正专注于单一的云平台服务战略提供商,以避免延续限制采用公有云优势的使用和方法。安全市场落后于形势,但未能免受这一趋势的影响。
乐观地讲,安全平台将提供模块化组件,这些组件紧密集成在通用网络安全网格架构中。虽然安全平台不一定能解决网络安全网格的所有方面,但其与集成合作伙伴将解决一个或多个常见安全领域挑战的很大一部分。
该平台的目标是改善风险状况,同时降低运营成本和风险。例如,可以通过现代化安全运营来应对快速变化的威胁并全面拥抱云时代来实现这一目标。
好处和用途
安全平台通过协调公共领域的工具,帮助那些苦苦挣扎于多供应商架构的主流组织快速完善安全部署、维护和运营。
安全平台优势包括:
- 降低以下管理开销:
o 事件响应
o 维护和配置
o 训练
o 产品集成
- 通过以下方式改善安全态势:
o 相关告警
o 自动解决
o 常见事件响应仪表板
o 配置和剧本指南
-
统一供应商支持,缓解边界支持问题
-
简化采购、供应商和许可证管理
安全平台所需的常见服务包括:
-
管理控制台在整个组件管理中具有一致的用户界面设计。
-
用于日志和数据存储的云交付数据湖。
-
用于与其他安全平台和非安全工具(如票务、统一端点管理、威胁情报和通信工具)集成的出站 API。
-
双向 API 允许平台本身与其他安全工具、平台和自动化集成。
-
常见的管理工具,例如工作流、审计、基于角色的管理、报告、仪表板、培训和多租户管理。
-
越来越多地提供生成式人工智能(GenAI)界面的使用,以允许更多自然语言交互,从而确保更好的内容创建、事件分析和报告。
-
应用商店或集成合作伙伴库,以快速启用已预集成的解决方案。
-
告警管理和关联以及事件响应调查工作区。
-
策略管理和策略审计功能。
-
自动化和编排引擎可以改进流程。
-
自动化安全控制评估,确定降低风险活动的优先顺序。
战略平台通常不旨在取代所有安全组件。它们旨在主要解决特定安全领域的安全需求。应该明确的是,在短期内,大多数组织将拥有多个战略平台,并且仍应期待一些专门的安全解决方案能够插入其一个或多个平台。
安全域用例
常见的安全平台领域(或用例)包括以下内容(参见图 1 ):
-
工作空间安全:保护现代数字化工作场所,包括一线和知识工作者常用的数据、设备、身份和打包应用程序。
-
工作负载安全:保护现代工作负载和云基础设施,包括企业定制的应用程序、数据、身份、源代码和应用程序的交易完整性。
-
物联网安全:保护物理网络和不脱离网络的物联网(IoT)设备。
-
安全运营:顶级安全和事件管理和编排以及风险暴露管理等新兴功能。
用于保护身份和访问管理、数据治理、合规性和应用程序安全的其他平台也是可行的,但目前具有代表性的解决方案和供应商较少。
目标安全组织
大多数企业客户都将受益于平台方法。然而,对于短期至中期内成熟度较低的安全组织而言,这种方法最具吸引力,这些组织希望在短期至中期内使其安全堆栈成熟并现代化。
安全控制评估
安全平台应降低管理复杂性;然而,平台管理将比组件更复杂。平台供应商越来越多地添加嵌入式自动化安全控制评估,以帮助确定维护任务的优先级并降低配置错误的整体风险。
平台可扩展性:增加防御、纵深和高级功能
平台应具备足够的功能,满足 80% 买家的用例需求。但是,它还必须能够支持与其他工具的集成,通过利用标准(或在没有标准时使用专有 API)来增强或扩展平台的功能,或为特定行业或用例提供专门的功能。事实上,平台市场是由标准、现有和新兴安全产品中的开放 API 和云原生架构推动的,从而实现更紧密的双向集成。
买家将越来越多地根据附加安全供应商产品与现有战略安全平台集成的透明度来评估这些产品。安全电子邮件网关市场就是一个很好的例子,通过 API直接集成到Microsoft 或 Google平台几乎完全取代了作为单独网关的新部署。另一个例子是安全服务边缘 (SSE),大多数客户都采取融合思维,而不是购买单独的Web 网关 (SWG)、云访问安全代理 (CASB)、远程访问(零信任网络访问 [ZTNA])、云数据丢失防护 ( DLP )、远程浏览器隔离 (RBI) 和数字体验监控 (DEM),这些只是其中的一些解决方案。
风险
-
节省的费用可能来自于更低的运营开销和更好的安全结果,而不是许可成本。
-
越来越依赖单一供应商会造成锁定并降低续约时的谈判筹码。
-
平台需要将实时数据存储在专有数据存储中。
-
依赖单一供应商的威胁情报和防御技术会降低纵深防御能力。
-
平台可能成为单点故障。虽然任何一点解决方案都可能导致单个系统瘫痪,但平台故障可能同时导致多个系统瘫痪,例如端点和电子邮件系统。
-
平台可能缺乏与独立工具相同水平的特定技术能力,因此仍然需要一些最佳的选择。
-
平台可能需要使用组件产品,但不能完全满足该产品的企业用例,从而造成重复。
-
与安全团队目标相冲突但被认为更具成本效益的安全平台可能会造成组织摩擦。
-
平台会有优先的集成合作伙伴,但不一定支持基于标准的集成或自动化机会,从而阻止其他供应商与它们集成。
-
平台供应商不保证对合作伙伴的持续支持,商业事件(例如竞争对手的收购)可能会从根本上改变平台供应商与其现有合作伙伴之间的关系。
-
随着平台成为主流,它们可能成为对手的目标。
采用率
Gartner 估计,不到 15%的大型企业客户已经实施了至少一个安全平台解决方案。
替代方案
安全平台方法的替代方案包括:
-
由 SOC 功能统一的异构产品和供应商采购策略。
-
一种基于服务的方法,其中托管安全服务提供商 (MSSP) 或托管检测和响应 (MDR) 提供商提供统一的"结果",但以"服务"的形式交付。
建议
-
确定"锚定"产品(例如您的端点、网络安全和/或云安全产品供应商)作为评估的起点。
-
在选择战略安全平台时,优先考虑必备能力,并接受较低优先级的能力作为"足够好"或在短期内通过第三方能力增强。
-
论证迁移到战略安全平台的业务案例,权衡预计收益与长期总拥有成本 (TCO) 估算、迁移成本和整合风险。
-
仔细审查平台供应商的标准支持、开放 API 以及与其他工具和安全控制评估的集成选项。
代表性供应商
推行平台化方式的代表性安全软件供应商包括AWS、思科、Coro 、CrowdStrike、谷歌、微软、Netskope、Palo Alto 、SentinelOne、趋势科技、ZScaler和Todyl,他们都在积极构建安全平台。