随着RSA 2025大会临近，安全态势管理（Security Posture Management，简称 SPM）无疑成为网络安全领域的“新晋顶流”。一连串收购动作——Avalor、DeepSurface、Dassana 到 Wiz——让业界对SPM的关注推至高点。但在光鲜的行业包装背后，这个概念是否真的能带来实质性效果，而非徒增复杂性？，还是只是又一个复杂且分散的“安全拼图”？

01

SPM：2025年RSA大会的“主角”之一

由Bill Sieglein创立的CISO执行网络，近期组织了近百位企业安全负责人围绕SPM展开闭门交流。大家普遍认为，虽然厂商和资本对SPM热情高涨，但实际应用信心仍较为分化。

目前，SPM衍生出多个子类：AI-SPM、应用-SPM（ASPM）、云-SPM（CSPM）、数据-SPM（DSPM）、身份-SPM（ISPM）与SaaS-SPM（SSPM）。但不少与会者坦言，这些新术语听起来炫酷，实际落地却可能“雷声大雨点小”。

总结来看，SPM尚处于起步阶段，市场需求远不如厂商预期乐观。

02

SPM到底是什么？不是产品，而是一种方法论/框架

在数字化运营中，安全工具每天都在产出海量数据。但原始数据如果缺乏关联分析，就无法转化为有价值的判断依据。企业真正需要的，基于风险与关键性的关联分析，形成具备优先级和可操作性的情报。

传统安全系统间的整合多通过SIEM（安全信息与事件管理）实现，再借助SOAR（安全编排自动化响应）进行处置。然而，在实践中，数据覆盖不全、上下文缺失以及数据质量不佳等问题依然制约着它们的价值发挥，最终整体决策效率并不理想。

SPM正是在此基础上应运而生。也被称为“持续威胁暴露管理”（CTEM），SPM强调通过持续评估、优先级分析、自动修复等方式构建企业的“安全韧性”。更关键的是：SPM是一种框架方法论，而非某款产品。不要被厂商宣传混淆——目前市场上还没有哪款工具可以一站式提供完整的SPM能力。

03

一套“合格”的SPM框架需要哪些能力？

SPM强调安全管理的持续性和业务联动性，核心能力包括：

• 持续监测：定期扫描漏洞与配置错误，快速识别风险点

• 可视与可控：掌握关键资产与配置状态，支撑决策。

• 风险优先级排序：以业务影响为基准，识别最具威胁的安全隐患

• 自动化修复：最大限度减少人工介入，实现漏洞自动闭环

• 合规与审计：通过报表与仪表盘呈现合规情况，满足监管要求

04

工具百花齐放，SPM工具各自为战

现实中，当前SPM相关工具多半专注于某一领域，缺乏全局视角，反而可能加剧系统割裂。以下是几类典型细分：

• AI-SPM：专注于AI模型、算法和数据安全，保护AI应用在云环境中安全运行

• 应用-SPM（ASPM）：贯穿整个开发周期，识别并治理应用层漏洞

• 云-SPM（CSPM）：检测云基础架构中的错误配置与风险隐患

• 数据-SPM（DSPM）：聚焦敏感数据的发现、分类与合规管理

• 身份-SPM（ISPM）：加固身份系统，降低凭证攻击风险

• SaaS-SPM（SSPM）：实现对SaaS平台配置与使用的透明化和合规管理

05

SPM是否只是“换个说法”的旧瓶新酒？

尽管这些细分看似专业细致，但许多企业已通过IAM、EDR、DLP等工具建立了一定的“安全视野”。问题是：我们是否真的需要另一个“新平台”来整合这些已存在的数据与能力？

Gartner提出的“网络安全网格架构”（Cybersecurity Mesh Architecture）或许提供了更理性的方向：与其堆叠更多工具，不如让现有系统之间实现“松耦合”的智能联动。这种结构强调共享上下文、互通有无，是一种更具弹性和协同能力的安全网络。

06

真正有效的SPM：不如从“基础版”做起

在市场尚未成熟、真正的“领头羊”尚未浮现之前，CISO执行网络的专家建议企业不妨先从“基础安全态势管理（BSPM）”入手，踏实打好安全基础。他们提出以下五个关键实践：

1.自动化资产清点和生命周期管理

2.制定并执行安全策略、操作流程与访问控制机制

3.定期开展员工安全意识培训

4.优先部署能防御主流攻击方式的工具（如身份与终端防护）

5.严格遵循行业法规与合规要求

总结：别被“新名词”迷了眼，安全的本质从未改变

尽管SPM在行业中声量渐高，但它是否真能在不增加负担的前提下带来切实成效，仍需时间验证。在这之前，稳扎稳打、回归本质的做法可能更适合多数企业。不必迷信新概念、新缩写，真正有效的安全体系，往往始于最基础的能力建设。