Gartner發布的該信息圖確定了全球企業正在采用的 44 種安全相關技術，并根據采用階段、部署風險和企業價值對它們進行了映射。安全和風險管理領導者可以使用此信息圖將他們的技術投資與同行進行比較。

2024?年安全和風險管理技術采用路線圖

SRM?領導者可以使用此信息圖將他們的技術采用計劃與同行進行比較，并了解推動不同領域技術采用的主要趨勢，包括：

• 應用程序和數據安全

• 網絡安全和隱私風險

• 身份和訪問管理

• 基礎設施安全

• 安全運營

根據我們對 2023 年 Gartner 大型企業技術采用路線圖調查數據的分析，安全和風險管理領導者得出以下重要結論。

1、安全和風險管理 (SRM) 領導者預計今年購買力會有所收縮。雖然大多數 SRM 領導者 (73%) 預計 2024 年預算會增加，但只有約四分之一的預計預算增加的人預計購買力會增加。剩下的 49% 預計他們的預算增長只是名義上的，并且與通貨膨脹相符。最后，27% 的受訪者預計他們的預算名義或實際會減少。

2、SRM 領導者對其組織采用技術的時間表持樂觀態度。在我們調查涵蓋的 44 項新興技術中，32% 正在“部署中”，66% 正在“試點”。規劃階段僅報告了后量子密碼學（PQC） 。人們對 PQC 的興趣正在升溫，但投資卻滯后，因為這些算法仍在開發中且缺乏標準化。 SRM 領導者正在仔細監控其用例，并根據所涉及的復雜性和成本進行權衡。

3、SRM 領導者認為其網絡安全技術投資的關鍵價值在于降低風險暴露。68% 的技術被用來降低企業的風險敞口。相比之下，23% 預計將實現彈性和可靠性，特別是與身份和訪問管理 (IAM) 以及應用程序安全相關的彈性和可靠性。整個調查樣本中只有四項技術因其提高速度和敏捷性的能力而受到重視——云原生應用程序保護平臺 (CNAPP)、加密敏捷性、網絡檢測和響應 (?NDR?) 以及威脅建模自動化。然而，SRM 領導者認為該價值可能受到不可預測成本風險的限制。

4、組織投資于應用程序和數據安全，以支持云原生應用程序的日益普及。在應用程序數量不斷增加的推動下，數據量和速度呈指數級增長。為了開發響應速度更快的應用程序并增強用戶體驗，越來越多的組織正在云原生平臺上構建數字應用程序。這促使他們采取措施來保護 API 和應用程序數據的安全。在旨在保護應用程序和數據安全的 17 項技術中，35% 正在部署，59% 仍處于試點階段。組織預計正在部署的其余技術，包括應用程序安全態勢管理和軟件供應鏈安全，于2023 年底推出。

5、SRM 領導者正在投資生成式人工智能 (GenAI)，以應對 GenAI 風險。SRM 領導者將 GenAI 支持的網絡攻擊（例如網絡釣魚、詐騙、商業電子郵件泄露 [BEC] 和惡意軟件）列為 GenAI 發展過程中最關心的問題，同時還存在 GenAI 應用程序或數據泄露的風險（例如訓練數據篡改） ，或對人工智能模型的攻擊）第二。接受調查的 167 家公司中，至少有一半計劃在 2023 年至 2025 年間投資網絡安全技術，以保護其 GenAI 應用程序。相關技術包括專門的應用安全測試工具、即時安全技術以及針對GenAI應用的隱私增強技術（如同態加密和合成數據）。約 42% 的受訪者提到，正在對現有安全工具中的生成式 AI 用戶界面（“虛擬助手”）進行投資，而 37% 的受訪者則優先考慮 GenAI 支持的第三方、供應鏈和供應商風險管理平臺。

6、SRM 領導者在身份基礎設施保護方面投入巨資。威脅形勢的日益復雜性以及能夠訪問企業資源的身份的激增使得 SRM 領導者有必要準確監控和區分威脅向量并采取預防措施。 SRM 領導者似乎正在采取行動增強其身份威脅檢測和響應 (ITDR) 以及威脅情報產品和服務的能力。去年，ITDR 的采用十分活躍，因為盡管成本高昂且會造成一些供應鏈中斷，但部署 ITDR 被認為是高價值和中等風險。三分之二的受訪者正在部署 ITDR 或表示它已經投入生產。威脅情報產品和服務也出現了類似的趨勢，但其采用受到了定制綜合解決方案較長交付周期的影響。其他技術，包括違規和攻擊模擬以及安全編排、自動化和響應（SOAR），仍在試驗中。

7、組織繼續加速其多年安全服務邊緣 (SSE) 和零信任 (ZT) 之旅。為了支持遠程工作人員并過渡到混合和多云環境，SRM 領導者選擇采用敏捷方法來保護企業的基礎設施技術，優先投資以監控和保護越來越多的組織資產。 SRM 領導人表示正在部署四項關鍵技術，以提高關鍵基礎設施的彈性。他們預計到 2024 年底完成攻擊面管理和安全服務邊緣的采用，并到 2023 年底完成遠程瀏覽器隔離和零信任策略的采用。零信任策略和 BEC 保護被認為提供了高價值，盡管高成本的風險。五種技術（即云安全態勢管理 [CSPM]、NDR、擴展檢測和響應 [XDR]、無服務器功能安全和混合網狀防火墻平臺）被認為價值較低，仍處于試點階段。

8、盡管成本高昂且人才短缺，SRM 領導者仍看到了網絡物理系統 (CPS) 安全對其關鍵基礎設施的巨大價值。在調查中包含的三項網絡安全和隱私風險技術中，只有 CPS 安全被評為高價值。 CPS 安全性因其能夠降低風險暴露并提高運營技術 (OT) 和物聯網 (IoT) 的彈性而備受贊譽。然而，受訪者也對高成本和缺乏可用人才表示擔憂。受訪者還強調人才和成本是采用機密計算的風險，而供應商供應鏈中斷預計將影響隱私管理工具的采用。這種供應鏈中斷的風險源于現有供應商專注于其他產品，而不是改進隱私工作流程。較新的供應商通常需要自動數據發現等功能，這使得集成到現有技術堆棧變得更加困難。

9、隨著新用例的出現和概念更加清晰，SRM 領導者正在重新審視某些技術的部署策略。去年的技術采用路線圖調查涵蓋了十二項技術。此前，SRM 領導人曾表示正在部署違規和攻擊模擬以及 NDR 技術。今年，他們報告稱，由于市場意識的提高，他們正在試點這些技術。 SRM 領導者之前知道這些技術的應用有限。然而，他們現在已經意識到這些技術的潛力，并且正在廣泛使用它們。 NDR 的一個進展用例是在 OT 安全中，而另一個用例是在云中。就上交所而言，受訪者表示風險比去年更高。這種轉變歸因于續訂成本的增加，因為一些供應商已經調整了價格以應對通貨膨脹。

10、組織繼續通過新工具加強其安全產品組合。盡管超過一半的 SRM 領導者表示其網絡安全產品組合中的工具少于 45 種，但趨勢是獲取更多的工具。超過一半的 SRM 領導者表示，自去年以來，企業網絡安全工具有所增加，而 25% 的受訪者發現沒有變化。然而，只有 11% 的 SRM 領導者將工具數量增加了 10% 以上。鑒于供應商整合趨勢，這表明組織正在從更少的供應商那里采購更多的工具。

附：2023 年安全和風險管理技術采用路線圖