Gartner：2025年安全运营成熟度曲线

Gartner发布的《2025年安全运营成熟度曲线》是一份全面分析当前和未来安全运营技术与服务发展趋势的研究报告。该报告旨在帮助安全和风险管理领导者制定并实施有效的安全运营策略，以应对日益复杂和不断扩大的威胁环境。报告指出，组织正在投资新的网络安全能力以加强防御，同时对现有工具和服务提出更高的性能和价值要求。网络安全领导者必须优先发展能够快速检测和缓解威胁的自适应安全计划，这些计划还应具备精确的响应能力，以保护日益复杂和分布广泛的基础设施。无论是新解决方案还是现有解决方案，都在通过人工智能技术进行增强，以提供更高的性能和吞吐量。

报告强调，采取主动的安全运营方法对于具有高度复杂环境的组织，尤其是那些选择实施云优先策略的组织，仍然是一个关键的战略变革。今年的成熟度曲线突出了几种传统安全运营技术的成熟，以及一些旨在重新定义安全运营格局的新技术的出现。演变的范式将主动性和可扩展性作为其核心优势之一。今年成熟度曲线中的显著主题包括：支持威胁暴露管理计划的技术在多个关键领域取得进展，包括扩展资产可见性、增强优先级划分能力以及加速风险降低计划创新方法；威胁检测、调查和响应提供商正在推广基于AI的事件分类自动化，提供更高的检测精度和更有效的事件响应流程；暴露评估平台和威胁情报产品和服务等技术已经发展，现在提供统一平台，整合了以前分散的产品和服务，简化了采用过程并为组织带来更大价值；最终用户正在加速部署定制和商业现成的AI解决方案，主要重点是优化资源以增强安全运营中心。

随着企业基础设施的扩展，安全运营领导者越来越寻求增强资产可见性和创新策略，以提高组织对旨在绕过现有安全控制的快速演变威胁的韧性。尽管这种转变影响安全计划的多个方面，但今年组织正在将重点从传统的漏洞管理转向更全面的暴露管理方法。当有效实施时，暴露管理作为改进所有安全运营活动的宝贵基础数据源，同时促进向自适应安全框架的转变，使网络安全决策由风险驱动而非理论模型。今年的成熟度曲线突出了与威胁暴露管理紧密相关的技术市场的显著成就，关键进展领域包括但不限于：网络资产攻击面管理和外部攻击面管理旨在提供企业内部和外部数字资产的更大可见性，CAASM具有将来自各种安全和IT工具的资产统一到单一访问点的额外优势，简化资产管理，EASM采用外部视角持续发现和清点面向互联网的资产，从而建立和评估外部暴露的风险，这些解决方案希望共同解决内部和外部的资产可见性问题，然而，这两个市场在今年的成熟度曲线中被认为是“高原期前过时”，它们承诺的功能现在正被纳入其他相邻市场，如暴露评估平台和对抗性暴露验证。

传统上，企业依赖渗透测试来满足合规要求，然而，它们越来越寻求像渗透测试即服务这样的服务，以实现持续的安全测试，受益于快速调度，促进实时通信并无缝集成到DevOps工作流中，或者，自动化渗透测试、红队和漏洞攻击模拟工具已经演变为AEV工具，这些工具提供易于部署、自动化和真实场景以进行可靠评估，无论选择哪种部署模型，安全运营领导者必须在正式的进攻性安全计划中管理这些工具和服务的使用，为了最大效果，进攻性安全计划目标必须与更广泛的TEM目标紧密对齐以持续成熟。暴露评估平台从几种技术的融合中涌现，漏洞评估工具已经纳入攻击面管理能力，而ASM工具现在正在聚合来自更广泛来源的数据，此外，攻击模拟工具正在扩展其功能以包括ASM特性，它们旨在通过枚举和优先处理跨多个资产类别和攻击面的暴露（如漏洞和错误配置）来增强可见性，虽然EAP可以与漏洞评估解决方案结合使用，但它们也可以取代组织可能拥有的众多漏洞扫描器，限制技术扩张，今天，许多EAP解决方案已经包括CAASM、EASM和自动化安全控制评估功能的一些变体。ASCA解决方案旨在增强跨不同攻击面的企业安全控制的可见性和治理，这些解决方案通常优化以考虑当今多变的威胁环境，使企业能够实施有效的缓解措施作为全面修复的短期或补偿替代方案。

在当今快速演变的网络威胁环境中，组织面临双重挑战：防御日益复杂的攻击，同时管理与全面安全措施相关的运营成本。威胁检测和响应机制现在形成一套全面的工具来识别和缓解复杂威胁，如勒索软件和基于身份的攻击，关键组件包括端点检测和响应、网络检测和响应、扩展检测和响应、数字取证和事件响应、网络安全事件响应管理、威胁情报和数字风险保护服务。这些解决方案提供主动威胁检测，促进自动化事件响应，并提供跨网络和端点的全面可见性，从而加强组织的整体安全状况。管理网络安全的财务方面至关重要，因为数据管理、安全工具和服务可能成本高昂，像托管检测和响应、共同管理安全监控服务和遥测管道等解决方案提供成本效益高和可扩展的技术，这些安全服务减少了对广泛内部专业知识的需求并降低了数据管理成本，因此，组织可以在优化安全预算和运营效率的同时保持强大的保护。

XDR解决方案提供交钥匙保护监控技术的承诺，允许组织在建立TDIR能力时加速价值实现时间，许多XDR提供商现在包括点数据收集和执行技术，如EDR、NDR、安全编排和自动化响应、TI和安全信息和事件管理系统，此外，它们提供开箱即用的威胁检测逻辑以增强安全运营，然而，已经实施XDR的较大团队承认在灵活性和可定制性方面存在一些限制，因此，对SIEM解决方案重新产生兴趣以解决这些差距，同样，开放网络安全模式框架日益普及可能削弱XDR的价值主张，通过提供管理安全数据的标准化框架，OCSF使整个安全运营中心受益，从数据工程师到SOC调查员。TI长期是一个成熟市场；然而，最近在采用和创新方面的发展显著增加了其感知价值，组织已经扩展了对TI的要求和用例，导致更多利益相关者从威胁知情决策中受益，数字风险保护服务被认为是“高原期前过时”，因为它们的核心能力已成为TI市场中的标准特性，这种整合为买家提供了一个统一的控制台来消费、调查和报告广泛威胁。

网络安全事件响应管理技术在今年成熟度曲线中 newly introduced，它们的主要目标是帮助组织管理日益增长的安全事件数量和复杂性，这些解决方案还旨在减少响应时间并增强跨团队的沟通和协作，较大的组织往往从这些技术中实现更大利益，主要由于其基础设施的规模和相应的事件工作量，相比之下，较小的企业可能在采用中遇到障碍，因为成功操作这些技术通常需要更高水平的组织成熟度，尚未准备好实施CIRM工具的企业应专注于通过利用本地工具（如ITSM、SIEM、SOAR或XDR）中的现有票务功能来构建和成熟其事件响应流程。安全运营技术利用多种AI技术，并继续扩展现有技术的新用例，如预测建模，AI SOC代理捕获了利用生成AI基础模型的新一波技术，承诺变革性结果，此外，网络安全AI助手看到采用增加，因为企业安全计划试点新用例以评估其结果的有效性。

网络安全AI助手去年进入成熟度曲线，这类技术旨在通过自动化常规任务来改变安全运营，允许安全专业人员专注于需要高级专业知识的活动，AI助手自动化资源密集型任务，合成威胁情报并生成修复建议，使团队能够专注于战略计划，这些工具的主要重点是协助人类操作员完成操作任务，根据2025年Gartner网络安全AI创新在风险管理和使用调查，42%的网络安全领导者报告其组织正在试点或当前使用AI助手进行威胁检测和响应，而另外46%计划明年启用。AI SOC代理最近进入市场，主要目标是缓解网络安全资源限制和劳动力挑战，这些代理自动化完成常规任务，如安全事件分类，使团队能够更有效地扩展，因此，安全专业人员可以将其重点重新定向到需要人类专业知识的关键活动，包括事件响应、威胁狩猎和高级分析，建议是利用这些技术来增强操作员，使他们能够重新专注于其他需要批判性思维的任务。网络安全中的预测建模提供向主动网络安全策略的转变，这些策略利用预测建模和数据科学，这种方法旨在主动预测和检测威胁，在它们能够影响组织之前，帮助防止与数据泄露相关的成本，同时保持强大的安全状况，该技术的主要重点是提供即将发生威胁的早期预警信号，使组织能够主动动员资源并在任何影响发生之前进行干预。

评估今年成熟度曲线的一些关键建议包括：组织必须从传统漏洞管理过渡到持续威胁暴露管理，SecOps领导者应利用面向暴露管理的技术、数据和流程作为CTEM成熟的战略途径，优先考虑EAP解决方案作为协调暴露数据的中央技术，然而，对供应商营销声明保持谨慎，因为能力在供应商之间可能显著不同，确保所选解决方案与组织的特定要求紧密对齐以最大化效果；对AI能力进行严格测试，即使它们集成到已建立的技术中，由于这些新特性可能未经过彻底验证，在依赖供应商声明之前独立评估其有效性至关重要；评估具有TDIR能力的技术和服务的灵活性和模块性，以确保它们能够支持安全计划在成熟过程中不断变化的需求，确保这些提供商还包括威胁情报和DRPS服务，以策划更好的威胁检测并实现更快、更准确的事件响应；对新兴技术和新AI用例的同类最佳方法进行基准测试，评估专门工具的价值与来自较大提供商的整合产品的优势，特别是在技术已达到成熟的领域。

创新触发阶段看到两个新条目——AI SOC代理和CIRM，网络安全供应商继续创新，安全运营领导者可以预期看到更多专注于增强和协助安全运营团队的解决方案，旨在改进资源和性能优化，挑战在于评估在帮助满足组织目标的背景下什么是真正必要的——而不是仅仅被营销最好的供应商所吸引。同时，与暴露管理相关的技术的采用，如对抗性暴露验证和自动化安全控制和评估，已经增加，将这些创新进一步沿着曲线移动，这强调了增强安全控制的可见性、测试和治理的日益增长的需求，以便更好地优先处理暴露发现并加强整体组织韧性。今年期望膨胀期峰值的几种技术支持CTEM计划——暴露评估平台、网络物理系统安全和渗透测试即服务，虽然这些产品承诺提升暴露评估和验证能力，但它们本身不足，有效结果还需要明确规定的流程和熟练人员，在面临快速扩张的攻击面时实施CTEM的复杂性可能对新或更高级技能集提出更高需求，然而，许多组织缺乏有效应对这些挑战所需的专业知识。

今年幻觉破灭期低谷的关键主题是特性整合，几种孤立产品被标记为过时——特别是CAASM和DRPS，这并不是说这些产品不需要——它们的核心功能仍然由较大的平台提供商提供，允许客户整合购买并加速价值实现时间。虽然此部分三分之一的成熟度曲线条目现在被认为是过时的，但剩余产品的大多数是专注于TDIR的解决方案，包括DFIR、ITDR和XDR，尽管每种解决方案具有中等至高收益评级，组织继续遇到障碍，阻碍完全实现其承诺的优势，常见挑战包括集成和定制困难，依赖有效的跨团队协作以及操作产品和服务的复杂性，这些技术的成功实施取决于明确的要求、流程、跨团队的战略协调以及与安全计划目标的紧密对齐。今年的发展强调了网络安全行业的快速演变，因为许多曾经被认为是“核心”的产品现在难以获得预期的吸引力，并越来越多地作为特性集成到更广泛的解决方案中。

启蒙斜坡中的产品和服务正在经历采用增加，由改进的消费者对其功能的理解和基于最终用户反馈的持续供应商增强驱动，这些因素有助于在常规使用中提高满意度。今年，几个成熟度曲线条目在提供的能力、市场成熟度和客户采用方面显示出显著改进：共同管理安全监控服务、托管检测和响应服务、网络检测和响应、威胁情报产品和服务、进攻性安全计划、安全编排和自动化响应、外部攻击面管理。评估这些能力以解决安全计划中的成熟度差距，无论目标是改进威胁检测还是操作化威胁情报。端点检测和响应与安全信息和事件管理系统仍然是今年唯一达到生产力高原的市场，这些解决方案被许多安全运营团队广泛信任以支持和实现其核心目标，网络安全行业的快节奏性质使技术难以断言其主导地位到像EDR和SIEM那样成为主流。

虽然EDR仍然是现代安全运营的基石，但它也受到今年成熟度曲线中观察到的平台化更广泛趋势的影响，因此，EDR可能越来越多地集成到全面的TDIR解决方案中，如XDR，这种转变允许客户有机会作为整合技术购买的一部分获得EDR能力。同时，SOC调查员可以预期通过集成AI能力（如AI SOC代理到SIEM平台）提高生产力，这将作为一种创新的SIEM附加组件，帮助组织简化复杂自动化，通过自动化安全事件分类和事件响应工作来对抗警报疲劳。组织在投资安全运营服务和能力之前评估业务风险能够更好地确定适当的解决方案并有效分配资源，这种方法使组织能够最大化风险降低并有效响应可能对生产力、品牌声誉或两者产生负面影响的事件。与安全运营对齐的技术和服务很少提供即时利益，此类能力应被视为可消耗的，换句话说，这些解决方案必须集成到明确规定的流程中以实现其全部效果，安全风险应根据组织优先级进行管理，但坚定地锚定在解决特定组织的威胁环境上。

当开发安全运营的技术和能力路线图时，优先考虑已识别问题的修复，以确保与组织独特和动态的攻击面对齐，同时，所有这些都需要与现代IT架构对齐。增加复杂性既不是高优先级也不是高收益，长期计划在诸如CSMA采用和威胁暴露管理等领域提供优化流程和使用现有技术的机会，而不是仅仅依赖全新工具的实施，优先级矩阵帮助识别具有最大潜力为组织风险状况提供有效、可衡量改进的战略计划。报告中还详细介绍了多种关键技术和趋势，如网络安全网格架构、自动化安全控制评估、对抗性暴露验证、AI SOC代理、网络物理系统安全、暴露评估平台、遥测管道、网络安全AI助手、渗透测试即服务、威胁暴露管理、数字取证和事件响应、身份威胁检测和响应、预测建模 for 网络安全、数字风险保护服务、XDR、进攻性安全计划、共同管理安全监控服务、MDR服务、SOAR、NDR、外部攻击面管理、威胁情报产品和服务、SIEM和EDR等，每种技术都包括定义、重要性、业务影响、驱动因素、障碍、用户建议和示例供应商。

Gartner的《2025年安全运营成熟度曲线》提供了对安全运营技术和服务的全面视角，强调了从被动防御向主动、自适应和风险驱动方法的转变，AI和自动化的整合、暴露管理的演进以及平台化趋势是塑造未来安全运营的关键因素。组织应仔细评估其独特需求、成熟度水平和资源，以优先考虑投资，并专注于将技术集成到明确规定的流程中，以最大化其安全运营计划的有效性和效率。

下列文件

Gartner：2025年安全运营成熟度曲线（中文）.pdf

边缘安全访问及SASE技术应用指南（2025版）.pdf

2025年十大关键监管挑战报告.pdf

来源：Gartner