Gartner发布《2022中国网络安全技术成熟度曲线》DSP、ASM、SCA等技术正逢其时

安全419关注到，近日，国际权威IT咨询机构Gartner发布了《2022中国网络安全技术成熟度曲线》(Hype Cycle for Security in China,2022)报告。

技术成熟度曲线（Hype Cycle）是为企业提供的评估各领域技术成熟度及市场发展趋势的一种工具，也是帮助行业客观判断技术潜力和商业价值的重要依据。Gartner依其专业分析预测与推论各种新科技的成熟演变速度及要达到成熟所需的时间，划分为以下 5 个关键阶段：

● 技术萌芽期(Innovation Trigger)：潜在的技术突破即将开始，通常不存在可用的产品，商业可行性未得到验证。

● 期望膨胀期(Peak of Inflated Expectations)：早期宣传产生了许多成功案例，通常也伴随着多次失败。

● 泡沫破裂谷底期(Trough of Disillusionment)：人们的兴趣逐渐减弱，只有幸存的提供商不断改进产品。

● 稳步爬升复苏期(Slope of Enlightenment)：有关该技术如何使企业受益的更多实例开始具体化，并获得更广泛的认识。

● 生产成熟期(Plateau of Productivity)：主流采用开始激增，该技术的广泛市场适用性和相关性得到显著回报。

处于技术萌芽期的新兴技术往往被视为推动行业创新发展的新方向和新趋势，新兴技术本质上具有颠覆性，还没有众所周知或已被验证的竞争优势，可能需要2-10年成为主流被采用，透过该阶段，可以观察潜在市场、技术走向以及主流应用的演变途径。

传统的数据安全是由不同的产品来提供的，这导致运营效率低下，无法支持数据风险评估以及数据的内部创新和协作。DSP涵盖了各种场景下的数据安全保护需求，以数据发现和数据分类分级为基础，混合了多种技术来实现数据安全防护，例如：数据访问控制，数据脱敏，文件加密等，成熟的DSP也可能包含了数据活动监控和数据风险评估的功能。

DSP提高了数据的可见性及其广泛的使用，并改进了数据的管控方式，帮助企业做出更明智的决策，为企业和社会带来更好的数据价值发挥和安全保障结果。目前，DSP对大多数用户来说仍是新生事物，只有当企业发现其传统控制不能够或无法很好地同步数据流程时，才会意识到这一点。然而，用统一平台替代单一功能产品需要强有力的业务理由、多年过渡计划以及投入的精力和成本。

从驱动因素来看，网安法、数安法都明确要求采用数据安全治理(DSG)，企业需要一个统一的平台来全面了解数据的存储、流转和使用情况。此外，企业必须能够更轻松地跨不同的产品实施一致的安全策略，并优化数据风险和法规遵从性评估流程。

● DSP代表厂商：昂楷科技、安恒信息、安华金和、观安、山石网科、IBM、绿盟科技、天融信、明朝万达

随着数字化转型的大力推进和对数据安全监管的日益加强，DRA已成为企业评估如何降低业务风险的必要部分。DRA是一个用于审查数据安全和隐私控制是否得到有效实施的过程，它通过识别已部署的数据安全政策中的偏差，和评估对业务的影响，帮助企业领导层根据组织的风险偏好确定数据风险的优先级，设计更合理的风险处理策略。

DRA关注全方位的数据安全风险，包括数据传输、个人隐私、数据生命周期管理、技术漏洞等，这些风险向量使DRA的实施较为复杂。此外，完成DRA流程还需要专业知识。数据处理活动随着业务流程的变化而发展，因此，业务团队支持可能会影响每个项目或服务的业务成果的数据安全控制需求，是DRA的成功实施的保障。

从驱动因素来看，我国法律和监管要求促使各企业将DRA的影响评估扩展到国家安全和公共利益，当组织的数据处理活动涉及重要数据、大量个人信息和跨境传输时，DRA成为必要路径。企业必须将数据风险管理的重点放在降业务风险上，以优化业务成果，这将确保识别和评估业务用户的数据访问需求。

BAS通过自动化模拟外部和内部、横向移动和数据泄露等威胁向量，使企业更好地了解其安全薄弱点，其是对红队或渗透测试的补充，但并不能完全取代两者。BAS帮助企业从攻击者的角度发现对其重要资产的攻击路径，该技术提供了对组织威胁向量的自动化和一致性评估，以建立真实的作战能力，并为攻击和防御团队合作做好准备。在常态化攻防演练的背景下，BAS可以有效检验组织的安全态势和安全能力。

目前，大多数BAS技术都使用代理来运行测试，这使得企业希望根据环境和拓扑变化轻松实现和升级，因此，BAS解决方案必须克服部署和维护方面的挑战。如今，企业已经有太多来自监管机构、审计、漏洞管理、应用程序安全测试和渗透测试等方面的诊断服务，BAS工具不能简单地增加质量，而是为现有的安全评估提供方向性指导和丰富维度。此外，向业务团队解释清楚BAS和渗透测试之间的细微差别也是一个挑战。

● BAS代表厂商：360、墨云科技、华云安、悬镜安全

过去，企业大都集中在通过加密保护静止的或传输中的数据，但一个相对容易被忽视的领域是使用中数据（Data-in-use）的加密。随着企业业务上云，旨在保护使用中数据机密性和完整性的机密计算应运而生，其原理是使用基于硬件的技术将数据、特定功能或整个应用程序与操作系统、虚拟机管理程序、虚拟机管理器以及其他特权进程隔离开来。在后台，机密计算环境将数据加密保存在内存、CPU外部的其他位置，称为“可信执行环境(TEE)”。

2020年，我国将数据定义为新型生产要素，通过数据交换和处理激活数据价值。机密计算将安全性提升到了一个新的水平，并且逐步支持了越来越多的数据驱动型应用场景。机密计算的关键是可验证性，即参与计算的各方可以远程地验证数据是如何被处理的、输入由哪一方提供、结果由哪一方可以访问等。这就使得潜在的各方在互不信任的情况下根据既定的规则实现数据的安全共享成为可能。

● 机密计算代表厂商：阿里云、蚂蚁集团、百度、华为云、冲量在线、腾讯云

伴随企业网复杂程度的大大提升，识别网络资产，了解资产的脆弱性和潜在的攻击方式尤为重要。ASM使企业从内部管理和外部攻击者的角度，解决资产和漏洞可视化的难题，并基于优先级计算指导防御人员进行主动防御。ASM帮助安全和风险管理(SRM)团队识别潜在的攻击路径，并指导开展安全控制措施的改进和调整，提高整体安全防御水平。

ASM的主要能力包含：网络资产攻击面管理(CAASM)、外部攻击面管理(EASM)和数字风险保护服务(DRPS)。它们中的每一项技术点都对安全团队提出了具体目标，以便从内部和外部IT资产到第三方资产、“影子IT”系统和数字风险获得更好的可见性、治理和控制。

ASM主要提供可见性，为了更完整地预防安全风险，需要与安全信息和事件管理(SIEM)、扩展检测与响应(XDR)、资产和漏洞管理、BAS和攻击路径管理(APM)等其他安全技术、工具协作，因此从长远来看，ASM可能不是一个独立的市场，相反，它可能会与其他市场合并发展。

● ASM代表厂商：华顺信安、零零信安、华云安

云服务日益普及，孤立的安全工具逐渐呈现出交付速度慢、缺乏可拓展性，以及在监控和管理方面效率降低的现状，企业亟须一个更灵活和敏捷的平台式安全产品来满足安全需求并对云资产进行更好的保护。云安全资源池是基于软件的安全集合，集统一管理与监控、安全编排与自动化、合规管理服务于一体。它与来自供应商生态系统的各种安全工具集成，并可以整合到第三方安全工具中。此外，它还提供安全资源的按需和灵活使用。

作为一种安全平台解决方案，云安全资源能够为企业带来一系列优势，包括基于整体视角建设企业安全解决方案；通过组织自己的生态系统或多使用来自同一供应商的安全工具，降低集成风险；通过采用统一的管理监控、安全编排自动化服务，提高效率，并降低安全人员负担；提高合规性。

另一方面，云安全资源池目前缺乏标准，大多数来自供应商的生态系统，它可以与其他安全工具集成。这些因素可能会限制对第三方安全工具的支持和整合，客户可能会对供应商的锁定表示强烈担忧。

● 云安全资源池代表厂商：安博通、亚信安全、安恒信息、新华三、山石网科、绿盟科技、奇安信、瑞数信息、深信服科技、天融信

网络物理系统(CPS)是一种工程系统，其通过将工业传感器、智能硬件、工业控制系统、计算设施及信息终端连接成一个智能网络，实现物理世界与人类、服务之间的互联互通。随着我国新型智慧城市高水平、高质量建设进程的推进，CPS在整个智慧城市体系建设中愈发重要，CPS Security 则已成为构建智慧城市安全体系的核心要素。

CPS是一个具有控制属性的网络，但它又有别于现有的控制系统。它包含了基于嵌入式系统、网络通信和控制的人工智能、泛在计算、环境感知（AmI）等功能，是集通信与控制和集成计算于一体的下一代智能系统，通过人机交互接口实现和物理世界的交互的一个紧凑的物理实体，其本身具有脆弱性。在安全情况下，可实现安全、实时、可靠、弹性和适应性强的性能，其网络和应用程序为城市的关键基础设施收集数据。

智慧城市CPS安全作为国家安全十四五规划的重要组成部分，在“数字经济”和“新基础设施”举措的推动下，支撑着智慧城市的交通、能源、医疗和政府事务等关键基础设施。安全事件范围从交通瘫痪、电力系统停滞、医疗系统故障，到侵犯隐私、人身安全，关系到国计民生。

● CPS安全代表厂商：360、安恒信息、新华三、华为、绿盟科技、奇安信、天融信、启明星辰

SCA是一种对软件的组成部分进行识别、分析和追踪的技术，可以生成完整的 SBOM，分析开发人员所使用的各种源码、模块、框架和库，以识别和清点开源软件(OSS)的组件及其构成和依赖关系，并精准识别系统中存在的已知安全漏洞或者潜在的许可证授权问题，把这些安全风险排除在软件的发布上线之前，也适用于软件运行中的诊断分析。

如今，开源是帮助企业将其服务数字化并利用其技术在当今竞争激烈的市场中更好地竞争的关键因素之一。开源组件正在成为几乎所有垂直领域软件的主要构建块，但大量使用开源组件同时也导致给软件供应链带来难以预知的安全隐患。为了更好地通过开源软件提升生产力，需要采用 SCA 技术保证软件供应链的安全性。SCA允许企业在整个软件供应链中对开源软件的使用进行安全风险管理，保护最终用户免受安全漏洞的影响，在保证企业能够利用开源软件带来的优势的同时，也能保持安全性和合规性。

● SCA代表厂商：思客云、默安科技、墨云科技、奇安信、鸿渐科技、开源网安、悬镜安全