Gartner2020年十大安全項目詳解

時間 2021-01-02

標籤 html web windows 後端瀏覽器安全服務器微信網絡架構欄目系統安全简体版

原文原文鏈接

【前言】本文不是譯文，是結合筆者自身體會的解讀！不能表明Gartner的本意。若有不一樣觀點，歡迎交流研討。本文最初發佈於我的微信「專一安管平臺」上，發表於此時進行了修訂，並增長了大量受限於微信而沒法保留的網頁連接。html

1 概述

受疫情的影響，2020年中例行的Gartner安全與風險管理峯會被迫取消。終於，在2020年9月14~17日，2020年Gartner安全風險與管理峯會以線上會議的形式補上了。web

會上，正式發佈了2020年度的十大安全項目，發佈人仍是Brian Reed。windows

2020年的十大安全項目分別是：後端

1) 遠程員工安全防禦，尤指零信任網絡訪問（ZTNA）技術；瀏覽器

2) 基於風險的弱點管理，重點是基於風險來對弱點分級；安全

3) 基於平臺方式的檢測與響應，特指擴展檢測與響應（XDR）技術；服務器

4) 雲安全配置管理；微信

5) 簡化雲訪問控制，特指雲訪問安全代|理（CASB）技術；網絡

6) 基於DMARC協議的郵件安全防禦；架構

7) 無口令認證；

8) 數據分類與保護；

9) 員工勝任力評估；

10) 安全風險評估自動化。

與2019年度的10大安全項目相比，變化比較大，根據Reed的說法，有8個新項目。

不過，在筆者看來，其實有三個2019年的熱門項目保留了下來，包括 CSPM、CASB，以及弱點管理。其中CSPM項目名稱保持不變，2019年的CASB變成了今年的「簡化雲訪問控制」，實際上是一回事。而2019年的「符合CARTA的弱點管理」變成了今年的「基於風險的弱點管理」，實際上是進一步確指了用風險管理的理念來管理漏洞和補丁。在2019年十大安全項目詳解中，筆者已經指出「符合CARTA的弱點管理」等價於「基於風險的弱點管理」。

須要特別指出的是，因爲新冠疫情的出現，不只這次Gartner安全與風險管理被迫延期並改成線上舉辦，也對2020年的十大安全項目評選產生了重大影響。疫情侵襲之下，遠程辦公成爲熱點，如何保障員工遠程辦公的安全天然成爲焦點。

此外，從技術的大類來看，好幾個領域依然是熱門，包括郵件安全、檢測與響應、數據安全。

郵件安全領域，2019年提出的項目是商業郵件失陷防禦，2020年變成了基於DMARC協議的郵件安全防禦，其主要目標依然是防範釣魚郵件。

檢測與響應領域，2019年主要是推薦EDR，2020年則改成推薦XDR。

數據安全領域，2019年推薦的是暗數據發現，2020年換成了數據分類與防禦，實際上是數據安全生命週期的延續。

下表是筆者梳理的近幾年10大技術/項目的分類對比。爲了便於橫向對比，儘量地對各個技術領域進行了分拆。

須要進一步指出地是，在2020年的十大項目中特別增長了風險管理領域的項目，包括安全風險評估自動化以及員工勝任力評估。風險管理領域一直十分重要，只是在近些年愈來愈強調對抗，強調threat檢測的背景下不那麼顯眼了。

此外，在2020年5月初，Gartner先期發佈過針對中型企業的5大安全項目建議，包括：XDR、基於DMARC的郵件安全、無口令認證、遠程員工安全，以及安全風險評估自動化。而這其中列舉的5個項目所有入選了年度10大安全項目。

2 入選標準

除了像往年同樣的基本標準和原則，對於2020年的十大安全項目遴選，Gartner重點作了如下考量：

1）疫情影響下的安全支出變化狀況；

2）觀察2018~2023年間最終用戶在不一樣安全細分領域支出的計劃狀況；

3）重點關注那些佔比和增速大的區域市場狀況；

Reed在峯會的十大安全項目發佈會上表示：「咱們可能會花費太多寶貴的時間來過分分析本身在安全性方面所作的選擇，試圖實現某種根本不存在的完美保護戰略。咱們必須超越基本的保護決策，經過創新的方法進行檢測和響應，並最終從安全事件中恢復，從而提高組織的彈性。」

最後，謹記：年度十大安全項目不是年度最酷安全項目，也不是將來十大技術趨勢，而是在當年對最終用戶而言，從那些若是不作會對業務影響性最大，若是作了會將業務風險降到最低的項目候選清單中選取的可以快速見效，花費相對可控的項目。

3 如何定義項目成功與否？

Gartner表示，衡量項目是否成功不在於項目自己，而在因而否支撐好了業務的風險決策。原話說的很好，這裏直接摘錄以下：

Remember your organization decides whether to take on the risk; our job in security is to provide all known data points to support a business decision.

4 上馬這些項目的前提條件

一如既往地，Gartner特別強調，客戶在考慮上馬10大項目以前，必定要考慮到先期的基礎安全建設，這些項目都須要建構在基礎安全能力達標的狀況下。這些基礎安全能力包括（但不限於）：

1) 在系統防禦方面，包括採用最新的EPP和統一端點管理（Unified Endpoint Management，簡稱UEM）系統，以及服務器安全防禦。其中，這裏提到的UEM是Gartner定義的區分於EPP的另外一個細分市場，強調對包括異構的PC、移動端和物聯網終端的統一管理。該市場不屬於信息安全市場，而歸屬於IT運維管理市場。2018年Gartner首次推出了UEM的MQ（魔力象限）。

2) 在用戶控制方面，包括從windows用戶列表中移除掉管理員權限，部署具備自動化預配置/解除配置的IAM。

3) 在基礎設施安全方面，包括日誌監控、備份/恢復能力、補丁和基本的弱點管理，以及各類邊界安全控制。

4) 在信息處理方面，包括郵件安全控制、安全意識培訓、敏感數據處理相關的控制和指引、風險評估等。

5 十大項目解析

如下逐一分析這十個項目，對於歷年分析過的也一併再次分析。Gartner特別強調，這十個項目並無優先順序，採納者須要根據自身風險的實際狀況按需選取。

5.1 遠程員工安全防禦項目

5.1.1 項目描述

員工遠程辦公已經成爲2020年的新常態。能夠利用零信任戰略在使能業務的同時改善遠程員工接入網絡的安全性。

5.1.2 項目難度

容易到中等。必須兼顧鏈接性、生產力和可度量性。

5.1.3 項目關鍵

安全訪問能力必須支持雲；IP地址和位置信息已經不足以用於斷定網絡訪問的信任度。

5.1.4 項目建議

儘管採用零信任網絡訪問（ZTNA）的主要動機是取代***，但還要注意到ZTNA還能提供針對非受管設備安全訪問應用的解決方案。

5.1.5 技術成熟度

根據Gartner2020年的網絡安全Hype Cycle，ZTNA目前處於青春期階段，位於失望的谷底。

5.1.6 技術描述

很顯然，突如其來的疫情使得員工遠程辦公迅速擴張，如何保障員工安全地，而且儘量體驗友好地訪問企業網絡和應用成爲了十分急迫的議題。企業和組織的管理者必須制定一個全面的遠程辦公策略，而且和業務部門進行良好的溝通。

如何制定策略？首先就要作好需求收集與分析。Gartner提議重點關注4個問題：

1）用戶都有誰，他們的工做職責分別是什麼？——據此確認不一樣用戶的訪問權限和服務優先級；

2）用戶都使用何種設備，設備歸屬於誰？——據此選擇針對不一樣設備的安全防禦技術組合；

3）用戶都要訪問哪些應用和數據，這些應用和數據位於雲中仍是本地？——據此選擇合適的網絡訪問技術；

4）用戶位於哪一個地區？——根據用戶所在國家（地區）採起相適應的數據安全、隱私保護和法規聽從性等策略。

事實上，針對遠程網絡訪問，有多種技術手段可供選擇，包括***、ZTNA、CASB、VDI、遠程瀏覽器隔離、反向代|理、CDN，等等。它們之間不是簡單的替代關係，而是各有用途及適合的使用場景。Gartner在該項目中優先推薦採用零信任理念和零信任網絡訪問（ZTNA）技術，從而間接使得該項目變成了一個ZTNA項目。Gartner針對本項目推介的樣本廠商都是ZTNA廠商，而且主要是基於雲的ZTNA廠商。

Gartner對零信任的定義參考了《NIST SP800-207零信任架構》中的定義，並提出了「零信任網絡」的概念。Gartner認爲，零信任是一種安全範式，它根據情境信息（主要是身份信息）持續評估顯式的風險及信任級別，替代原有的隱式信任機制，以適應組織安全形勢的風險優化。同時，Gartner認爲零信任網絡由創建在資產管理和訪問管理基礎上的三個支柱構成，這三個支柱分別是ZTNA、網絡訪問控制（NAC）和基於身份的隔離（即以前所稱的微隔離）。

Gartner將零信任網絡訪問（ZTNA）定義爲一類產品和服務。這些產品和服務建立了基於身份和情境的邏輯訪問邊界，涵蓋用戶、一個應用或一組應用程序。這些應用程序（在得到受權以前）被隱藏起來從而沒法被發現，只能嚴格經過信任代|理來創建鏈接和實現訪問。代|理在容許主體訪問以前先驗證其身份、情境和策略聽從狀況（即先驗證再訪問），並最小化該主體在網絡中向其餘位置橫向移動的可能性。

在Gartner看來，ZTNA將來將成爲SASE戰略的一部分，與CASB等安全技術一道被SD-WAN封裝到邊緣計算的安全能力集合中。在Sec-UN上的《無SD-WAN不SASE》一文有一幅形象的圖展現了SASE的部署架構，以下所示：

5.2 基於風險的弱點管理項目

5.2.1 項目描述

弱點管理是安全運營的基本組成部分。補丁歷來都不能等同對待，應該經過基於風險優先級的管理方式，找到優先須要處理的弱點並進行補丁管理，從而顯著下降風險。

5.2.2 項目難度

容易。要利用情境數據和threat情報對弱點信息進行豐富化。

5.2.3 項目關鍵

要意識到永不可能100%打補丁；和IT運維聯合行動（創造共贏）；利用現有的掃描數據和流程；用TVM工具（如今改稱VPT）來加強弱點評估以更好肯定優先級。

5.2.4 項目建議

採用一個通用的弱點管理框架；聚焦在可被利用的弱點上。

5.2.5 技術成熟度

Gartner沒有將基於風險的弱點管理列爲一種獨立的技術或者市場，而是看做一個迭代管理過程，將其依附於現有的弱點評估（VA）市場和弱點優先級劃分技術（VPT）。然而，筆者認爲Gartner搞得太複雜了，基於風險的弱點管理應該與VPT合併。根據2020年的安全運營Hype Cycle，VA已經處於成熟期，屬於主流市場；而VPT位於曲線的頂峯，屬於熱門技術，處於青春期階段。

5.2.6 技術解析

必須注意，弱點管理不是弱點評估。弱點評估對應咱們熟知的弱點掃描工具，包括系統漏掃、web漏掃、配置覈查、代碼掃描等。而弱點管理是在弱點評估工具之上，收集這些工具所產生的各種弱點數據，進行集中整理分析，並輔以情境數據（譬如資產、threat、情報等），進行風險評估，按照風險優先級處置弱點（打補丁、緩解、轉移、接受，等），從而幫助安全管理人員進行弱點全生命週期管理的平臺。記住，弱點管理是平臺，而弱點掃描是工具。

Gartner表示，基於風險的弱點管理是一個不斷迭代提高的過程，包括弱點評估、弱點處置優先級排序、弱點補償控制三個階段，以下圖所示：

上圖針對每一個階段列舉了能夠用到的技術。譬如動態應用安全測試（DAST）、雲安全配置評估（CSPA）、破壞與攻|擊模擬（BAS）、弱點優先級劃分技術（VPT，取代以前的TVM）、應用弱點關聯（AVC）、安全編排自動化與響應（SOAR）。

而基於風險的弱點管理的核心是弱點處置優先級肯定。能夠採用多種方式去肯定這個優先級，但最關鍵的一點是：聚焦在可被利用的漏洞上。

下圖是Gartner引述IBM X-Force的一個統計圖。

能夠看到，歷史上可被利用的漏洞佔爆出的漏洞的比重仍是很低的。

下面這個老圖也頗有說服力。這個圖代表用戶首先須要關注的是那些實際存在於你的網絡環境中的可被利用的漏洞。

現實已經代表，漏洞太多了，層出不窮，若是每一個重要的（譬如依據CVSS）漏洞都要去處理，是不現實的，應該首先聚焦在可被利用的漏洞上。進一步講，你如何知道一個漏洞是否已經可被利用？這時候就須要漏洞情報，不是關於漏洞自身的狀況，而是關於漏洞利用（EXP）和漏洞證實（POC）的情報。

在基於風險的弱點管理方法論中，補償階段也很重要。最關鍵的是要意識打補丁（Patch）僅僅是N分之一個選擇項，你還有大量手段能夠用。事實上，大量的業務系統留給你足的夠時間直接打補丁的機會並不大。

這裏，筆者對於如何在補丁管理這個事情上取得與IT運維的共贏也有一些建議：安全運營在弱點管理的時候要給到IT運維足夠的信息和建議去指導他/她打補丁，而不只僅是一個告警/工單或者甩過去一個補丁包。這時候Gartner的那句話再次迴響：Remember your organization decides whether to take on the risk; our job in security is to provide all known data points to support a business decision. 謹記，要讓漏洞管理閉環，須要安全運營與IT運營共同協做，須要業務部門的參與。做爲安全運營，要把本身的工做作好，作到有價值。

5.3 平臺方式的檢測與響應（XDR）項目

5.3.1 項目描述

擴展檢測與響應（XDR）功能正在涌現，以提高檢測的準確性、threat遏制能力並改善事件管理。

5.3.2 項目難度

中等。XDR給到你們的是一個重要的承諾，但也會帶來被特定供應商鎖定的風險。不一樣供應商的XDR功能差別很大。

5.3.3 項目關鍵

範化數據的集中存儲和集中式事件響應，而且可以改變做爲修復過程組成部分的單個安全產品的狀態。也就是說，項目關鍵在於數據範化、集中數據存儲、集中事件響應，以及安全設備協同聯動。

5.3.4 項目建議

基於自身技能水平/勝任力以及員工水平來評估是採用XDR仍是尋求MSSP。XDR最初是從EDR發展而來，並進一步結合了NDR、SIEM、SOAR，以及其它安全檢測與響應技術，這些技術通通都是高度依賴安全專家的，所以，用戶要考慮清楚究竟是要XDR產品，仍是先找安全服務商用相似MDR的方式來實現檢測與響應。

5.3.5 技術成熟度

根據Gartner2020年的安全運營Hype Cycle，XDR目前處於初現階段，位於炒做的初期，位於安全運營Hype Cycle的最左側。

5.3.6 技術解析

XDR的全稱是擴展檢測與響應。XDR這個詞出如今廠商側已經有一段時間了，但歸入Gartner的體系是今年初的事兒。Gartner將XDR從某些廠商的產品品牌變成了一個細分技術和市場術語。剛剛進入Gartner的術語表就登上了10大安全項目，可見XDR的威力。

藉助XDR，將本來各類檢測系統的孤立告警進行了整合，經過在各類檢測系統之上的數據集成與綜合關聯分析，呈現給用戶更加精準和有價值的告警，以及更清晰的可見性（Visibility）。此外，XDR還具有與單一的安全工具之間的API對接與基礎的編排能力，從而可以快速地實施告警響應與threat緩解。

XDR異軍突起，成爲了Gartner在安全運營的檢測與響應子領域首推的技術和項目，所以有必要進一步對其進行探究。筆者做爲一直專一於SIEM/SOC領域的從業者也關注XDR近兩年，下面進一步闡述我的對XDR的理解。

5.3.6.1 XDR的產生

如今廣泛認爲XDR最先源於端點檢測與響應（EDR）。EDR的概念自提出以來，獲得了迅速發展，一方面逐漸向端點保護平臺EPP融合，另外一方面也在試圖擴展自身的價值。如何擴展？首先是加強端點檢測的能力，深化諸如行爲分析、異常檢測等的機器學習能力，並加入threat獵捕的能力；其次是加強響應的能力，實現更靈活的設備聯動，甚至嵌入部分響應流程。但這還不夠，由於從檢測的角度來看，僅僅依靠端點自身的遙測數據還不夠，爲了更精準的發現問題，還須要獲取其它遙測數據。所以，部分EDR廠商開始將目光投向端點以外的檢測，加入對郵件安全的檢測、網絡檢測、以及雲工做負載的檢測信息，試圖順着攻|擊者的視角補全檢測的短板。再日後乾脆將這些不一樣來源的遙測數據放到一個統一的平臺上進行集中的分析與響應，逐步衍生出了XDR的概念。此時XDR的保護目標已經再也不侷限於端點上的用戶，以及他們使用的應用和數據，而是擴展到了更普遍的空間，從數據中心，到雲，再到邊緣，均可以應用XDR。當EDR演進成了XDR，就已經再也不是一個端點安全類產品了。

顯然，這是一個從EDR開始，從一點到多點，自底向上的橫向擴展，縱向延伸的過程。

與此同時，一些SIEM廠商也發現了這個機會，試圖在其SIEM中內置EDR功能來獲取對於端點安全的遙測數據，以更好地去讓SIEM實現threat檢測的能力。這是一個自頂向下延伸的過程。

基於共同的目標（threat檢測與響應），來自不一樣方向的技術路線碰撞到了一塊兒，因而XDR誕生了。

5.3.6.2 XDR定義

從前面的XDR產生過程能夠發現，XDR其實就是整合了多種檢測能力的，具備集中化存儲和分析這些遙測數據，並集中實施響應的綜合性檢測與響應平臺。

目前，Gartner給XDR的定義是：XDR是一種基於SaaS的，綁定到特定供應商的安全threat檢測和事件響應工具，能夠將（該供應商的）多個安全產品原生地集成到一個統一的安全運行系統中，以統一全部受權的安全組件。爲了方便你們研讀，提供英文原文以下：XDR is a SaaS-based, vendor-specific, security threat detection and incident response tool that natively integrates multiple security products into a cohesive security operations system that unifies all licensed security components.

Gartner給出了當前XDR的4個基本特徵：1）整合多款自家的現成產品；2）集中的對數據進行處理、存儲和分析；3）可以在響應的時候協同聯動多種安全產品；4）採用基於SaaS的交付模式。

上圖展現了Gartner的XDR概念架構。從上向下看【筆者注：反的，有點彆扭】，首先是獲取多種安全產品（EDR是基礎）的數據，而後是對數據進行範化，送入大數據湖，再進行關聯分析，實現綜合threat檢測，最後激活響應。在響應的時候，能夠運用自動化的方式，經過API接口實施，而且能夠內嵌響應工做流程。

做爲參考，筆者摘錄對XDR很有研究的諮詢公司ESG對XDR的定義以下：XDR是一個跨混合IT架構的多個安全產品的集成套件，旨在協同地進行threat防範、檢測與響應。它將各類控制點、安全遙測點、分析和運營統一到一個企業級系統之中。

上圖是ESG的XDR架構示意圖。ESG更直接表示能夠把XDR看做是EDR+SIEM+SOAR的集合。

筆者認爲，XDR=EDR+簡化SIEM+簡化SOAR。XDR的目標就是全面的threat檢測與響應，或者叫統一threat檢測與響應（UDR）、NGDR。

1） EDR是XDR的必備組件。當前的threat檢測必然要從端點上收集遙測數據，由於這裏可以發現的攻|擊痕跡最多。看看ATT&CK就知道，大量的TTP都是基於端點的。缺乏端點數據，攻|擊鏈很難刻畫出來。

2）簡化的SIEM是XDR的平臺支撐。XDR不是一個簡單的單點系統，而是一個平臺型系統。SIEM的大數據核心框架爲XDR的後端平臺提供技術支撐，包括海量多源異構數據的採集、處理、存儲、分析、調查、呈現，等等。藉助SIEM平臺框架，XDR應實現對EDR以及其它自家安全設備的集成。簡化之處在於僅提供對廠商自有產品的數據採集、範化和分析，而沒必要考慮接入第三方廠商數據的問題。

3）簡化的SOAR爲XDR的響應能力提供支撐。SOAR的能力裁剪後跟SIEM整合到一塊兒。

5.3.6.3 XDR與SIEM/SOAR的關係

經過上面的分析，你們都會產生一個疑問：XDR跟SIEM/SOAR是什麼關係？注意，這裏咱們將SIEM/SOAR打包到一塊兒來跟XDR進行對比，是爲了不闡釋SIEM和SOAR的關係，此刻這個問題先放一邊。

先看看Gartner是怎麼說的。

Gartner表示，儘管XDR與SIEM/SOAR在功能上存在類似性（譬如都有異構數據採集、範化、關聯，並且一般都會採用大數據分析技術，還可能都有劇本編排與自動化響應技術），但在目標定位和技術路線上存在差別。在目標定位上，XDR僅關注threat檢測與響應，而SIEM除了關注threat檢測與響應，還要覆蓋日誌存儲及合規審計等其它場景。在技術路線上，XDR強調對單一廠商的安全產品集成，而且在出廠前就將這些產品打包在一塊兒，提供了更易於部署和使用的操做過程。相比之下，SIEM/SOAR必須具有跨廠商產品集成能力。正是由於在設計上的這些簡化，XDR規避了SIEM/SOAR當前存在的幾個大坑（筆者注：譬如架構開放性和擴展性問題、產品集成問題、部署和實施複雜性問題、知識管理問題），使得XDR的部署和實施複雜度相較於SIEM/SOAR要簡化很多。

此外，若是是針對雲計算環境，雲中的端點安全和工做負載安全能力，以及平臺架構做爲成爲了衡量雲安全檢測與響應的關鍵。此時，XDR廠商比大部分SIEM/SOAR廠商更佔優點，由於先進的XDR一般都基於雲原生架構來實現。而且，XDR廠商在雲端EDR及CWPP方面更具優點。

簡言之，就是在相同條件下，以threat檢測爲目標，XDR出效果比SIEM/SOAR更快。

固然，Gartner認爲XDR也存在一些問題。因爲XDR集成的都是自家的產品，雖然簡化了很多，但卻容易將用戶鎖定在單一廠商之下。XDR廠商的「全家桶」模式難以確保除EDR以外的檢測能力都是同類最佳，且若是各類單點產品都基於同一個廠商，將來的維護、升級都存在風險。

此外，筆者認爲，XDR還存在如下問題：

首先，XDR還有很多技術短板須要補齊。在多源安全數據採集分析，尤爲是關聯分析方面，XDR廠商廣泛落後於SIEM廠商。在響應方面，SOAR的編排自動化技術也是XDR須要補足的。

其次，也是最關鍵的，XDR是做爲一個集成化的產品和解決方案提供給客戶的，用於解決其一攬子的threat檢測與響應的問題。而新一代的SIEM/SOAR則愈來愈強調給用戶賦能，是以能力建設的形式輸出給用戶的。對於大型用戶而言，網絡中一定存在不一樣廠商的安全防禦設施，也一定須要一個統一的SOC。所以，XDR沒法取代SIEM/SOAR。但對於中型客戶而言，XDR可能會在SOC中佔據更主要的位置。還有一部分客戶，Gartner建議他們既不要考慮XDR，也不要考慮SIEM/SOAR，而是優先考慮MSS。XDR雖然比SIEM/SOAR簡化了很多，但仍是須要運營的。

必須指出，Gartner對於XDR還在不斷釐清的過程當中，該技術（所表明的細分市場）並不穩定，也許在一段時間後會消失。由於XDR與SIEM/SOAR存在必定的重疊性，而且更可能是由於SIEM/SOAR技術的發展過程當中存在的問題而引申出來的一個「過渡性」解決方案，也許隨着SIEM/SOAR的成熟而消失，抑或找到一個屬於本身的縫隙市場。

5.3.7 從檢測技術的劃分看XDR的發展趨勢

5.3.7.1 檢測技術劃分

如前所述，XDR能夠看做是多種檢測與響應技術的集成，做爲一個統一的、全面的檢測與響應平臺。對XDR而言，不是要研究新的檢測與響應技術，而更可能是考慮如何將不一樣的檢測與響應技術整合到一塊兒。所以，爲了瞭解XDR將來的發展趨勢，必須先了解當下都有哪些檢測與響應技術。

當Gartner研究和討論檢測與響應類技術的時候，涉及的技術面和細分市場是至關普遍的，須要多個不一樣的Gartner安全分析師團隊之間的合做，而一年一度的Hype Cycle（炒做曲線）則是各個分析師協做的一個成果體現。目前，檢測和響應相關的技術大都收錄在「安全運營」炒做曲線中。「安全運營」這兩個炒做曲線分類是2020年新提出來的，以前叫「面向threat」，始於2017年，在2016年及之前叫「基礎設施保護」。下圖是2020年的「安全運營」技術炒做曲線，裏面基本涵蓋了Gartner涉及的全部檢測與響應類技術。

上圖雖然列舉了大量檢測與響應技術，卻並無對他們進行分類。而對檢測與響應技術進行分類是一個重要但十分困難的事情，Gartner本身也作過多種嘗試，目前尚無定論。

Gartner在2013年爲了討論高級threat檢測（ATD）的時候提出了一個劃分新型檢測技術的方法論，雖在2016年後逐漸淡出Gartner報告的視野，但卻依然有必定價值。以下圖所示，Gartner當時從分析對象和分析時間兩個維度劃分了五種新型檢測技術：

針對這幅圖，筆者結合本身的認識，對當下主流的幾種新型檢測技術進行了標註以下：

能夠看到，NTA是當下主流的基於網絡的新型檢測技術，NFT（網絡取證工具）做爲基於網絡的響應技術比較少被說起。從2020年開始，Gartner正式將NTA更名爲NDR（網絡檢測與響應）。注意，上圖只對D進行了劃分，沒有說起R。所以，NDR不只包括NTA，NFT，還要包括響應能力。對應NDR，如今還有一個初現的提法，叫NGIDS，或者NG IDPS，所謂下一代入|侵檢測，但這些提法缺少對R的體現。從基於端點的視角來看，style4和style5兩種技術如今已經再也不加以區分，統稱爲EDR，或者做爲下一代EPP的關鍵能力之一了。上圖中位於中間的基於負載的檢測技術，基本就是指代沙箱技術了。而該技術事實上還能夠分解到基於端點的沙箱和基於網絡的沙箱兩個維度中去，成爲更普遍意義上的NDR和EDR的功能點之一。

上圖對於闡釋當下最熱門的兩種新型檢測與響應技術——NDR和EDR——及其市場演進是有價值的，但卻遠遠沒法表達完整意義上的檢測與響應技術，更況且檢測與響應技術自己也僅僅檢測與響應體系建設的一環而已。2018年，Gartner在一份名爲《如何開展threat檢測與響應實踐》的報告中給出了一個基本的檢測與響應體系的參考模型，以下圖：

上圖比較全面地表達了檢測與響應體系所應涵蓋的技術（能力）、流程和團隊三個方面的內容，給出了10個技術能力和4個關鍵流程，並沿用至今。這10個技術能力從目標對象和時間前後兩個維度進行了劃分，與前面的新型threat檢測二維劃分方式基本一致。不一樣之處在於目標對象粒度更細，最關鍵地是加入了針對日誌的檢測與響應，並把SIEM和CLM（集中日誌管理）做爲最基本的檢測與響應的平臺，位置要高於後面4個。

此外，在這個10大技術能力矩陣圖中，響應能力從技術視角來看被稱做了「可見性」，所謂可見性就是在threat獵捕和安全響應（包括調查、取證）的時候可以提供相關的技術支撐。

檢測與響應能力從流程視角對應了4個方面，它們從技術上能夠由SOAR來提供支撐。

事實上，即使是上面的10+4檢測與響應參考架構圖都沒能將檢測與響應技術描繪全，譬如基於用戶/實體進行檢測的UEBA技術，以及欺騙技術。Gartner本身也表示上圖僅僅是針對基本的檢測與響應能力進行闡釋。

額外須要說起的包括UEBA、欺騙平臺、BAS。

在2020年的炒做曲線中，UEBA已經去掉了，Gartner表示它已經成爲了其它技術的組成部分，主要是融入了SIEM，而XDR、EDR和NDR也都會用到。

Gartner將欺騙技術單獨做爲一個技術分支，與面向日誌的檢測與響應技術、面向網絡的檢測與響應技術和麪向端點的檢測與響應技術並稱爲四大檢測與響應技術路線。對於SIEM而言，欺騙平臺的告警能夠成爲一個高置信度的數據源。

BAS（破壞與攻|擊模擬）也是一種檢測與響應技術，能夠爲SIEM提供重要的基於驗證的檢測與響應能力補充。

5.3.7.2 XDR發展趨勢分析

筆者認爲，將來XDR理論上能夠集成上面全部檢測與響應技術，但那個時候XDR是否是還叫XDR就不得而知了。

目前市場上已經出現了將EDR、欺騙技術、NDR集成到一塊兒的XDR解決方案。還有的廠商把SIEM/LM所具有的對第三方日誌採集、存儲與分析能力做爲其XDR解決方案的一部分。幾乎全部的XDR廠商都宣稱本身具備UEBA能力，並都集成了threat情報。

進一步分析當前的XDR廠商，能夠發現你們的作法可謂五花八門。最經典的XDR來自有實力的EDR廠商，這些EDR廠商同時具有其它檢測類產品，於是一般也都是綜合性廠商。他們的XDR基本上就是以EDR爲核心的產品全家桶。還有一類更大型的綜合性廠商野心更大。他們將其各類產品打包到一塊兒，上面再戴個帽子，造成了一個更雄心勃勃的戰略和XDR解決方案，仔細一看，其實就是把XDR變成了SIEM/SOAR和SOC平臺。還有一類廠商則劍走偏鋒，把XDR作成了一個檢測與響應中間件（中臺？也許吧），對下能夠接入自家或者別家的遙測數據，對上則能夠匯入別家的SIEM/SOAR。最後，還有SIEM廠商也加入了XDR戰場，他們基於其SIEM/SOAR領域的積累，向下集成包括EDR、NDR在內的多種檢測技術，推出本身的XDR。

整體而言，當前的XDR技術並不複雜，核心是產品和能力集成與打包。目前你們在XDR市場競爭的焦點主要不在技術上，而在商業模式、市場推廣上。

顯然，XDR還處於萌芽狀態，將來發展的可能性還不少，變數也不小。

5.4 雲安全配置管理（CSPM）項目

5.4.1 項目描述

如今對雲服務的攻|擊基本都利用了客戶對雲疏於管理、配置不當等錯誤。所以，雲用戶急需對（尤爲是跨多雲環境下的）IaaS和PaaS雲安全配置的正確性與合規性進行全面、自動化地識別、評估和修復。

5.4.2 項目難度

中等，必須同步進行流程和文化的變革。

5.4.3 項目關鍵

支持多雲環境，具有敏感數據發現和風險暴露面評估，支持全部的IaaS和PaaS服務，不只能評估更要能修復。

5.4.4 項目建議

與雲運營團隊密切協做；先從單一的原生雲平臺開始入手，一般他們自帶CSPM能力，而後再考慮混合雲/多雲平臺；宜同時評估CSPM和CASB工具。

5.4.5 技術成熟度

在Gartner的2020年雲安全Hype Cycle中，CSPM剛從失望低谷走出來，用戶期待逐漸理性，處於早期主流階段。

5.4.6 技術解析

CSPM（Cloud Security Posture Management）在國內首先遇到的問題是如何翻譯的問題。國內有的人將CSPM中的Posture翻譯爲「態勢」，將CSPM稱做雲安全態勢管理。筆者認爲不妥，由於如此一來就跟咱們國內最近幾年提的安全態勢感知混淆了。仔細研究CSPM，能夠發現，這裏的Posture並非講咱們國人通常所理解的「態勢」，而是指「保護雲中數字資產的各類策略、流程和控制的總體安全強度的相對度量」（這句話出自Gartner的CSPM發明人Neil McDonald的報告《Innovation Insight for Cloud Security Posture Management》）。簡單地說，CSPM中的P是指雲安全配置的強度，這裏的配置涵蓋雲安全策略、控制項、安全操做流程規範。所以，筆者從Gartner提出CSPM伊始就呼籲國內同行將CSPM翻譯爲「雲安全配置管理」。一方面這個翻譯更貼近CSPM的本質，另外一方面也很好地與國內講的態勢感知區分開來。

回到CSPM技術自己，Gartner在2019年纔給出了一個CSPM的概念組成，以下圖所示。

Gartner認爲CSPM是一個持續的過程，採用生命週期方法論給出了CSPM的概念組成，橫跨開發和運行兩個階段，依照CARTA理念進行基於風險的動態配置管理。Gartner表示，幾乎全部針對雲的成功攻|擊都是因爲客戶誤配置、管理失誤和認爲錯誤形成的，而CSPM直接針對這個問題給出解決方案。

根據Gartner的定義，CSPM可以經過預防，檢測，響應和預測構成的自適應安全架構來持續管理超越依據通用框架、合規要求及企業安全策略所能承受的雲安全風險【筆者注：簡單理解就是管控多餘的風險。只要開展業務，任何配置都不能作到無風險，CSPM不是消滅配置風險，而是管控超出預期的配置風險】。CSPM核心能力是提供主被動發現和評估雲服務配置（譬如網絡和存儲配置）和安全設置（譬如帳號特權和加密設置）的風險及可信度。若是設置不合規或者配置超越了風險承受水平，CSPM可以自動進行配置調整和補救。

有時候，咱們能夠將CSPM的評估功能（也被稱做CSPA）納入弱點掃描類產品中去，跟漏掃、配置覈查擱到一塊。

此外，CSPM除了能對雲生產環境中的負載進行配置覈查與修復，還能對開發環境中的負載進行配置覈查與修復，從而實現DevOps全週期的防禦。

CSPM跟多個細分市場都有交集。雲提供商如今大都在雲原生安全能力中涵蓋了CSPM功能。領先的CASB廠商也已經具有了較強的CSPM功能。同時，一些CWPP廠商也開始提供CSPM功能。此外，當前的雲管理平臺（CMP）一般都自帶CSPM功能。

5.5 簡化雲訪問控制項目

5.5.1 項目描述

企業渴望經過一箇中心控制點對跨多雲的服務實施統一的策略管理和安全治理，以便得到這些雲服務的可見性，並對組織中使用這些雲服務的用戶和行爲進行集中管控。雖然項目名稱中隻字未提，但經過內容咱們仍是能夠知道Gartner的這個項目其實仍是雲訪問安全代|理（CASB）。

5.5.2 項目難度

中等。取決於所採用的雲應用及服務的狀況。

5.5.3 項目關鍵

經過正/反向代|理仍是API來實現可見性？支持threat防禦或者TIP嗎？敏感數據監控與防禦、合規報告、（雲應用/服務）使用狀況監控相當重要。

5.5.4 項目建議

若是你看不見須要被保護的對象，也就沒法實施保護。所以，CASB首先要進行雲應用發現，識別影子IT。接下來，能夠考慮部署正向/反向代|理和API來實施控制。對CASB而言，發現並保護雲中的敏感數據相當重要，而且最好採起跟本地一致的敏感數據防禦策略。

5.5.5 技術成熟度

在Gartner的2020年雲安全Hype Cycle中，CASB正在向成熟期邁進，處於早期主流階段。

5.5.6 技術解析

該技術從2014年就開始上榜了，Gartner對其獨有情鍾，但CASB在國內一直沒啥動靜，可能跟國內面向企業級的SaaS還不夠豐富有關。

Gartner認爲，CASB做爲一種產品或服務，爲SaaS和IaaS中的可見性、數據安全、threat防禦與合規評估提供了關鍵的雲治理控制。CASB將多種類型的安全策略整合到一個地方，這些安全策略包括認證、SSO、受權、設備建模、數據安全、日誌、告警和惡意代碼查殺。CASB產品基本都是基於雲的，本地部署的不多見。

筆者理解，CASB的出現緣由，簡單說，就是隨着用戶愈來愈多采用雲服務，並將數據存入（公有）雲中，他們須要一種產品來幫助他們採用一致的策略安全地接入不一樣的雲應用，讓他們清晰地看到雲服務的使用狀況，實現異構雲服務的治理，並對雲中的數據進行有效的保護，而傳統的WAF、SWG和企業防火牆沒法作到這些，所以須要CASB。

Gartner認爲CASB應具有的主要功能包括：雲應用發現與風險評級、自適應訪問控制（AAC）、CSPM、DLP、加密和令牌化、企業應用/服務集成、UEBA、日誌管理，等。

5.6 基於DMARC協議的郵件安全防禦項目

5.6.1 項目描述

DMARC被設計用來防範直接的域名仿冒。在郵件系統中實現DMARC有助於減小商業郵件失陷（BEC）的部分可能因素。Gartner表示，從2020年到2023年，BEC攻|擊的損失每一年都會翻番，2023年將超過50億美圓。而FBI的互聯網犯罪投訴（IC3）則更是發出警告稱2018~2019年間BEC形成的損失達到了260億美圓！Gartner建議用戶部署這個免費的技術，以緩解仿冒型釣魚郵件的攻|擊。筆者認爲，釣魚郵件詐騙之於歐美恰如釣魚電話/短信詐騙之於中國，都是洪水猛獸，洶涌澎湃。

5.6.2 項目難度

簡單。在主動拒絕惡意消息以前先花些時間學習和監測來自已知域名的郵件。

5.6.3 項目關鍵

研究並整合品牌管理及社交媒體監控的方法；將DMARC集成到總體電子郵件安全方法中。

5.6.4 項目建議

先從監測開始，而後再真正開始阻斷。DMARC不能消除對於全面郵件安全策略的需求，這僅僅是一個值得去作的一個點，要真正作好郵件安全，須要作的事情還有不少。

5.6.5 技術成熟度

根據Gartner的定義，（電子）郵件安全是指爲郵件提供攻|擊防禦和訪問保護的預測、預防、檢測與響應的框架。該市場包括了多種技術、產品、流程和服務，大致的構成以下圖所示，主要包括安全郵件網關（SEG）、集成郵件安全解決方案（EISS）、雲郵件安全補充（CESS），等。

其中最主要的是SEG產品，目前已是成熟產品，2019年的銷量增加超過了20%，在各門類安全軟件中位居第三，達到19.1億美圓。

Gartner沒有對DMARC技術進行技術成熟度分析，也沒有單列出相關的細分市場。事實上，DMARC做爲2012年誕生的技術，做爲防範郵件仿冒和社工類攻|擊的一種手段已經很成熟了。

5.6.6 技術解析

從2018年開始，Gartner每一年都會將郵件安全（尤指反釣魚郵件）的項目列入十大安全項目之中，可見郵件安全的重要性。Verizon的2020年DBIR報告顯示，致使數據泄露的首要threat行爲樣式就是釣魚（參見DBIR報告圖13）。

在2018年的項目建議中Gartner給出比較全面的項目建設建議，包括談到要構建一個從技術控制、用戶控制和流程重構三管齊下的全面郵件安全策略，其實就是要採起人、技術和流程相結合的機制來作。當時Gartner給出了很多頗有價值的技術建議。在2019年的項目建議中，則進一步將建議聚焦到應對商業郵件失陷（BEC）問題上，並給出了一系列相關的建議。在2020年，則更進一步建議具體採用DMARC協議來緩解BEC風險。

DMARC是Domain-Based Message Authentication, Reporting and Conformance（基於域名的消息認證報告與一致性協議）的簡稱。DMARC是一項2012年就誕生的電子郵件安全協議，你們能夠自行百度、知乎，查看詳情。這裏引用網易企業郵箱中的幫助信息簡要介紹一下：DMARC是一種基於現有的SPF和DKIM協議的可擴展電子郵件認證協議，其核心思想是郵件的發送方經過特定方式（DNS）公開代表本身會用到的發件服務器（SPF）、並對發出的郵件內容進行簽名(DKIM)，而郵件的接收方則檢查收到的郵件是否來自發送方受權過的服務器並覈對簽名是否有效。對於未經過前述檢查的郵件，接收方則按照發送方指定的策略進行處理，如直接投入垃圾箱或拒收。

DMARC協議是較能有效解決信頭（From）僞造而誕生的一種郵件來源驗證手段，爲郵件發件人地址提供強大保護，並在郵件收發雙方之間創建起一個數據反饋機制。企業客戶使用了DMARC以後，均可以很方便地告訴郵件接收方如何認證「我」的郵件，如何處理仿冒「我」的郵件，如何把仿冒郵件的數據反饋給「我」。對於順利經過DMARC驗證的郵件，會最終投遞到收件人的郵箱中；如果仿冒的郵件則會按照「我」的設置來處理，且仿冒信息將會反饋給「我」。下圖來自DMARC組織的官方介紹：

最後，須要強調的是，DMARC僅僅是郵件安全的一種技術手段，而且主要是防範釣魚類攻|擊。應該說落實該技術的投資回報率很高，但完整的郵件安全遠不止於此，其它特點技術還包括網絡沙箱、內容拆解與重建（CDR）、URL重寫與點擊時分析、遠程瀏覽器隔離、各類異常檢測技術、反釣魚行爲訓練APBC（原來叫APBM）、安全編排自動化與響應（SOAR），等。這裏說起的部分技術在筆者的《2018年Gartner十大安全項目詳解》中有所介紹。

5.7 無口令認證項目

5.7.1 項目描述

儘管完全消除口令還很遙遠，但下降對口令的依賴已經十分可行。企業和組織應增強信任建設和提高用戶體驗。Reed在會上表示，有統計發現70％的用戶在工做和我的世界之間重複使用密碼。他說，有不少選擇能夠使用第二個因素代替密碼，例如已知的資產，包括手機，平板電腦，鑰匙扣或智能手錶，還有使用零因素或多因素身份驗證的其餘示例。

5.7.2 項目難度

難。須要教育用戶和持續的的安全意識培訓以免流程上的混淆。

5.7.3 項目關鍵

基於信任機制和用戶體驗需求慎重選取合適的無口令認證方案；要實現無口令的註冊、認證和帳號恢復。

5.7.4 項目建議

採用試點、分階段實施的方法，不斷監測用戶反饋，逐步落實。

5.7.5 技術成熟度

Gartner預計，到2023年，有30％的組織將至少採用一種形式的無口令身份驗證。無口令認證涉及不少技術，其中一些先進技術在Gartner的IAM Hype Cycle中被說起，譬如FIDO認證協議、移動多因素認證，而且都位於炒做高潮期。

5.7.6 技術解析

首先，筆者這裏將password翻譯爲口令，而不是密碼！兩者不是一回事兒。用戶對各類系統的口令管理一直是個使人頭痛的問題，你們一般都不樂意按期修改口令。對企業和組織而言，在網絡環境中實現無口令認證機制無疑會在提高企業安全的同時極大地提高用戶體驗。

要實現無口令認證，有多種技術選項，以下圖所示，包括單因素認證、多因素認證和無因素認證，要根據不用的場景來取捨。

Gartner提醒你們，受限於企業現有系統的複雜性，要實現通用簡潔的無口令認證機制並不是易事，IAM項目團隊須要一套跨多種場景的整合策略。首先，當前的無口令認證技術差別巨大，有的是在用戶交互層消除了口令，但底層本質仍是基於口令認證的；還有的則是在底層上就消除了口令。Gartner推薦部署了Windows系統的企業和組織優先評估微軟的Hello解決方案，以及手機即令牌（phone-as-a-token）的多因素認證解決方案。其次，尋找一個適用於不用應用場景的、兼容現有網絡和系統架構的整合性無口令認證解決方案。在沒法實現徹底無口令認證（如某些登陸過程）的時候，能夠退而採用「輕口令」方式。

5.8 數據分類與保護項目

5.8.1 項目描述

不用的用戶對待數據各不相同。確保你有一個定義明確的、有技術支撐的數據分類與保護策略。該項目名稱雖然叫數據分類與保護，但實際上重點聚焦於數據分類，它是數據保護的基礎。

5.8.2 項目難度

中等到難。須要用戶理解數據分類模式。可否實現自動化很重要。

5.8.3 項目關鍵

定義明確的數據分類模式；業務邏輯在分類和保護級別上消除了歧義；統籌考慮本地和雲端數據使用。

5.8.4 項目建議

在肯定技術路線以前先從策略和定義開始。與現有數據保護工具集成，利用平臺/API。

5.8.5 技術成熟度

根據Gartner2020年的數據安全Hype Cycle，數據分類目前處於青春期階段，位於炒做的頂峯。

5.8.6 技術解析

Gartner認爲，數據分類是一個使用事先商定好的分類規則、方法或者本體論對信息資產進行組織的過程。它可爲涵蓋價值，安全，訪問，使用，隱私，存儲，道德，質量和留存等諸多要素在內的數據和分析治理策略提供有效和高效的數據優先級劃分。數據分類一般會致使開發大型的元數據存儲庫以用於作出進一步的決策，或者將「標籤」應用於數據對象以促進數據在其生命週期中的使用和管理。

從數據生命週期的角度來看，數據分類十分重要，起到了承上啓下的做用，以下圖所示：

從數據安全的角度來看，數據分類也很重要，是數據分析與價值評估的重要前提。

此外，隨着對數據隱私與保護問題的日益重視，數據分類的價值愈發凸顯。

整體上，數據分類是一個很困難的過程。首先就是肯定分類方法論和分類標準。而後，做爲一個簡化，Gartner建議在識別、標記和存儲組織全部數據的時候先不要考慮數據的價值、用途和風險。接下來再利用信息經濟學的方法來評估數據價值，剔除低價值數據，優化數據管理成本。

此外，數據分類應該是一個持續、自適應和反覆迭代的永續過程，是一個持續改進的過程，能夠劃分爲計劃、創建（又進一步細化爲診斷、制定、實施）、監控三個階段，這當中運用自動化技術和手段相當重要。

這裏對數據分類模式和自動化進一步展開闡述。

數據分類模式是分類工做的基礎，不少數據分類項目首先就失敗在複雜的分類模式上了。Gartner建議要構建一個易於理解的數據分類模式，不要過度追求大而全，而首先考慮可理解性。分類模式設計堪稱一門藝術，很難有固定的標準，但Gartner建議將不少原本打算用分類模式來闡述的屬性放置到數據標籤甚至是不一樣的操做規程中去體現，筆者認爲這是一個不錯的主意。

自動化是提高數據分類效率的重要幫手，不然即使有好的分類模式，面對海量數據也難以落地實施。不過，面對不一樣的數據、數據所處的狀態（靜態、動態），要採用不一樣的自動化工具，而不存在一個統一的工具。還有，徹底自動化也不靠譜，仍是須要人（包括用戶）的參與。

5.9 員工勝任力評估項目

5.9.1 項目描述

數字業務計劃要求咱們要有合適的人擔任合適角色，而且有合適的數量，擁有合適的技能和勝任力。

此前，咱們一直都在談安全人才的匱乏，聚焦在人的數量上。但Gartner卻把重點放到安全業者的勝任力上，並超越了崗位角色、職責、技能問題，討論的是如何提高人員素質，聚焦在人的質量上。

這個項目要求領導者梳理安全團隊技能和勝任力狀況，肯定4到6項對組織成功相當重要的額4到6項勝任力，並將這幾個勝任力用於新人的招聘和現有人員的培養。

5.9.2 項目難度

中等。須要對文化、能力進行誠實的評估，並加以教育和培訓。

5.9.3 項目關鍵

要區分開角色、技能和勝任力的差別；優先採用基於勝任力的崗位描述，不存在「完美」的員工；專一於提高4至6項勝任力。

5.9.4 項目建議

你能夠找到廠商來支撐你，但這個項目必須是你本身的安全團隊驅動的。

5.9.5 技術成熟度

員工勝任力評估整體上屬於軟性的過程性的項目，若是說跟技術相關的話，就是在評估過程當中能夠藉助一些技術手段來提升評估的效率和有效性。若是查看Gartner針對該項目推介的廠商清單，能夠發現基本都對應了基於計算機的安全意識培訓廠商。這些廠商有的能夠提供培訓平臺（基於本地的，或者基於雲的），有的則擅長製做各種培訓課件，有的課件還兼具實戰性。但整體上來講，這些廠商都沒法向用戶出具關鍵的勝任力清單，也沒法給用戶提供一套現成的崗位職責說明書模板，這些都是用戶本身的事兒。

根據Gartner在2019年所做的統計，基於計算機的安全意識培訓市場在2018年的規模約爲4.51億美圓，預計2019年將達到6.2億美圓。同時，Gartner預計，至少到2023年，該市場將以42％的複合年增加率（CAGR）增加。

Gartner未在成熟度曲線中描述基於計算機的安全意識培訓相關技術。筆者認爲，該市場涉及的技術並不複雜，主要是業務模式和內容、形式的開發。稍微複雜一點的網絡釣魚測試與反釣魚訓練技術其實也能夠納入郵件安全技術之中。

5.9.6 項目解析

要實施該項目，核心就亮點：1）理解什麼是勝任力，它與技能和角色的關係是什麼？2）構建自身安全團隊的勝任力模型。

根據Gartner的定義，所謂勝任力是指我的在給定角色中產生卓越績效的可觀測、可度量和可預測的特徵，譬如業務敏銳度、數字靈巧性，等。

相較而言，技能是指在執行工做或者任務的過程當中觀測到的動手能力，譬如在應用安全中使用PKI加密和數字簽名，配置網絡和安全策略，等。

角色是一組相關的功能和職責所對應的某個特定工做崗位，譬如安全分析師，安全運營經理，等。

從管理學的角度來看，勝任力的提出者麥克利蘭認爲它是指能將某一工做中有卓越成就者與普通者區分開來的我的的深層次特徵，它能夠是動機、特質、自我形象、態度或價值觀、某領域知識、認知或行爲技能等任何能夠被可靠測量或計數的而且能顯著區分優秀與通常績效的個體特徵。顯然Gartner參考了這個權威定義。

人們一般用冰山模型來描述勝任力的不一樣特質，並特別強調要重視冰山之下的那些鑑別性特徵，如下圖所示：

可見，技能只是勝任力的淺層表現，要作好勝任力評估，關鍵是要提取出與本組織情景條件相適合的深層特徵。

Gartner認爲，爲了實現數字化業務轉型，必須爲員工創建數字化勝任力模型，並應用於安全與風險管理領域。Gartner給出了一份包括12項勝任力的數字化勝任力模型，並闡述了他們如何映射到安全與風險領域，其中6個主要的勝任力以下圖所示，分別是：適應性、業務敏銳度、數字靈巧性、產出驅動、協做/協同

建好了勝任力模型和重點勝任力清單，接下來就要創建安全團隊的角色清單、技能清單，並將他們互相關聯起來。這裏，Gartner特別提到了能夠參考《NIST SP800-181網絡教育國家倡議（NICE）網絡勞動力框架》來構建本身的技能清單，該標準列舉了374項技能，176種能力，52個角色。

5.10安全風險評估自動化項目

5.10.1 項目描述

Gartner發現只有58%的安全領導可以對全部重大新項目進行持續的風險評估。自動化風險評估可以使IT交付更高效。

與2019年在安全與風險管理領域提出的安全評級服務（SRS）不一樣，2020年的自動化安全風險評估很泛泛，能夠涉及多個子領域和技術方向。某種意義上而言，SRS就是一種自動化風險評估技術，BAS、漏掃也算是一種自動化風險評估技術。從Gartner針對該項目推介的廠商清單來分析，筆者認爲Gartner主要是針對集成風險管理（IRM）子領域來討論其中的風險評估自動化問題。IRM大體對應業界通常所指的治理風險與合規（GRC），只是前幾年Gartner將GRC這個概念進行了完全的拆分。

5.10.2 項目難度

中等到難。謹記是業務部門決定承擔多少風險，安所有門在於提供控制措施的指導（這與第三章摘錄的Gartner對於項目成功關鍵因素的表述一模一樣）。

5.10.3 項目關鍵

要設法緩解控制措施測試與監測過程當中的安全資源瓶頸問題；經過專業的溝通來提高對於風險評估評級的信心。

5.10.4 項目建議

充分利用對風險評估相當重要的安全數據源，並將從這些數據源提取相關數據及後續分析的工做流程自動化。

5.10.5 技術成熟度

根據Gartner 2020年的風險管理Hype Cycle，IRM目前處於青春期階段，正在向失望低谷滑落。

5.10.6 技術解析

安全風險評估（Security Risk Assessment）是Gartner十分看重的一項工做，寫過大量的報告和指南。安全風險評估這個概念已經有了二十年的歷史了，十分古老，意義不言自明，是安全領域的一個理論基石，但更可能是停留在理念、標準、規範層面，不管是ISO27005，仍是NIST SP800-30都有專門的論述。很早之前，人們（譬如筆者）就在試圖將這個工做形式化，藉助系統來自動運行，至今仍然在爲之努力，目前主要是體如今GRC類產品和平臺之中。近些年來，因爲人們更多將目光投射到面向對抗的安全領域，對於安全風險評估有所淡忘。事實上，Gartner一直在關注這個領域，而且是做爲安全的五大分支之一在持續跟蹤研究。

回到安全風評估技術自己，它屬於風險管理框架的組成要素之一，以下是Gartner的風險管理框架：

若是咱們看NIST SP800-30，或者ISO27000系列，對於風險管理和風險評估的闡釋也都差很少，這裏再也不贅述。

Gartner建議，爲了下降風險評估工做的操做複雜度，提高這項工做的成效（量化效果），必須引入自動化技術。

Gartner表示，安全風險評估自動化的目標是將定義明確且可重複的風險評估過程的各個要素整合起來，以識別、度量和處置IT風險。自動化風險評估的一個重要價值就在於採用一致和一向的標準（譬如NIST CSF框架、ISO27001，或者風險計算模型和公式）來估算風險，使得風險度量的結果可比較，改進狀況真正可度量。

Gartner表示，向安全風險評估項目注入某種程度的自動化的目的是確保隨着時間的推移，對評估結果保持一致性和信心。

進一步分析安全風險評估自動化的技術手段。最典型的一類自動化分析手段就是利用日誌分析技術，採集關鍵數據源的文本信息，基於預約義的風險模型進行計算和分析。但實際上，風險評估時僅僅採集與分析控制措施運行後產生的痕跡信息是遠遠不夠的，還須要對控制措施及其過程進行測試驗證，包括採用BAS、配置覈查、漏洞掃描、資產測繪，也包括採用諸如SOAR、RPA技術手段將多個重複的測試過程串起來，還包括採起諸如ISACA推介的連續控制措施監測（CCM）方法論。