揭开安全态势管理的神秘面纱

随着本月晚些时候在旧金山举行的RSA 2025 大会临近，安全态势管理 (SPM) 正逐渐成为网络安全战略工具包中最新的“必备”工具。随着Avalor、DeepSurface、Dassana和Wiz等近期的收购，业界显然对SPM寄予厚望。但它是否真的达到了人们的预期？

由创始人Bill Sieglein 领导的 CISO 执行网络 (CISO Executive Network) 最近召集了近 100 名成员，举办了一系列圆桌会议，探讨 SPM 的前景。早期反馈表明，尽管各方兴趣浓厚，但市场信心参差不齐。对于AI-SPM、应用-SPM、云-SPM、数据-SPM、身份-SPM和SaaS-SPM等子类别，与会者表示怀疑，认为它们能否获得发展动力或带来真正的价值。简而言之，SPM市场仍处于萌芽阶段，实际需求可能低于供应商的预期。

什么是安全态势管理？

安全监控会产生海量数据，但仅靠原始数据无法做出有效决策。企业真正需要的是通过将安全信号与业务风险和关键性关联起来，获得优先且可操作的洞察。

安全工具之间的传统集成通常基于特定供应商或标准，但最常见的是通过SIEM（安全信息和事件管理）系统进行路由。SIEM收集并规范化事件，然后由SOAR（安全编排、自动化和响应）平台采取行动。然而，并非所有相关数据都会被采集，即使采集到，上下文差异和数据保真度问题也会影响其可靠性。

安全态势管理 (SPM)（也称为持续威胁暴露管理 (CTEM)）正是为此而生。SPM是一种主动的程序化方法，旨在通过持续评估、优先处理和解决漏洞和错误配置来增强网络韧性。需要注意的是，SPM并非一款产品，而是一个框架。尽管供应商的营销宣传可能夸大其词，但没有任何一种解决方案能够提供开箱即用的完整SPM程序。

SPM 的核心组件

有效的安全态势管理策略通常包括：

• 持续监控：持续扫描和评估以检测漏洞和错误配置。
• 可见性和控制：洞察配置和关键基础设施组件，以便更好地做出决策。
• 优先级：将威胁与业务影响关联起来，以关注最高风险的问题。
• 自动修复：以最少的人工干预解决漏洞和错误配置。
• 合规报告：生成仪表板和报告以证明遵守监管标准。

SPM格局的碎片化

当前的 SPM 供应商生态系统高度碎片化。大多数工具只关注攻击面的一小部分，这增加了复杂性，而未能解决更广泛的可见性挑战。以下是一些新兴的子类别：

• AI 安全态势管理 (AI-SPM)：保护 AI 模型、管道、数据和服务，以便将 AI 安全地集成到云环境中。
• 应用程序安全态势管理 (ASPM)：提供整个软件开发周期的统一视图，以识别和确定应用程序级漏洞的优先级。
• 云安全态势管理 (CSPM)：专注于检测云基础设施中的风险和错误配置。
• 数据安全态势管理 (DSPM)：强调敏感云数据的发现、分类和治理。
• 身份安全态势管理 (ISPM)：加强身份系统以降低基于凭证的攻击风险。
• SaaS 安全态势管理 (SSPM)：提供对 SaaS 配置和使用情况的可见性，以执行策略和合规性。

只是一个神话？

如果我们站在魔鬼的立场上看，许多组织已经使用了能够洞察其攻击面关键组件的工具——例如IAM、EDR、DLP。那么，问题就变成了：我们真的需要另一个孤立的解决方案来应对数据洪流吗？

或者企业应该像Gartner倡导的那样，探索网络安全网状架构？网状架构使工具能够更智能地互操作，无需紧密集成即可跨域交换上下文并扩展影响力——本质上形成了一种松散耦合但高度互联的结构。

也许是时候进行“基本”安全态势管理了

在市场成熟、SPM 赢家脱颖而出之前，CISO 执行网络成员建议从基础开始——他们半开玩笑地称之为“基本安全态势管理 (BSPM)”。在预防违规方面，这些基础步骤仍然发挥着重要作用：

• 自动化资产清单和生命周期管理。
• 定义并执行政策、程序和访问控制。
• 定期对员工进行安全意识培训。
• 优先考虑检测和防御常见对手策略（例如身份和端点安全）的工具。
• 保持遵守相关行业标准和法规。

最后的想法

虽然SPM的热度不减，但其长期可行性取决于它能否在不增加复杂性的情况下提供可衡量的成果。目前，回归本源或许是改善组织安全态势的最有效方法——无需再添什么炫酷的新缩写。