如何梳理并识别国内外主流信息安全厂商的技术谱系与能力边界？

一、解构宣传话术：从语义陷阱到技术本体

“全栈”≠自研全链路，“一体化”不等于架构统一，“AI驱动”更不等同于模型闭环。厂商PR文案常将能力归属权模糊化——例如宣称“AI驱动EDR”，实则仅在告警聚类环节调用第三方NLP API；标榜“XDR原生”，但网络侧检测仍依赖Snort规则+Suricata代理转发。建议建立话术-能力映射核查表：

二、穿透技术谱系：三维度交叉验证法

抛弃“产品线罗列式”评估，转向核心技术栈-交付形态-场景韧性三维穿透：

• 核心技术栈：查验GitHub公开仓库（如是否开源核心解析器）、国家知识产权局专利检索（关键词：“行为建模”+“进程树”+申请人）、EDR内核驱动签名时间戳（比对首版发布时间）
• 交付形态：测试K8s Operator部署耗时（＞15分钟即云原生适配不足）、调用API创建自定义检测规则的HTTP请求体字段数（＜5个说明策略引擎未解耦）
• 场景韧性：在混合云环境（AWS EC2 + 阿里云ECS + 本地VMware）同步部署后，观测日志延迟P99是否≤3s，运维API调用量突增300%时CPU负载是否突破85%

三、构建可信评估流水线：POC实测七步法

设计不可绕过的实测路径，强制暴露技术债：

1. 索取厂商提供的MITRE ATT&CK v14.1测试报告原件（非摘要页），核对测试环境拓扑图与客户实际架构匹配度
2. 要求提供近12个月CVE漏洞修复SLA达成率（需含Jira工单截图）
3. 在客户生产环境镜像流量中注入APT29 TTPs（如Living-off-the-Land Binaries），验证检测覆盖率与误报率
4. 执行横向移动模拟（PsExec→WMI→SMB），检验SOAR剧本是否自动触发端点进程冻结+域控账号禁用
5. 审查其威胁情报源：若90% IOC来自VirusTotal或MISP社区，且无自有沙箱动态分析平台，则判定为情报集成商
6. 调取IDC MarketScape报告中“技术执行能力”子项得分，并交叉比对赛宝CNAS认证范围（证书编号CNAS-CO-XXXXX中是否包含“行为异常检测算法”）
7. 审计技术债：通过SonarQube扫描其开放API文档对应的Swagger YAML，计算cyclomatic complexity均值＞12即存在高维护风险

四、可视化决策框架：技术纵深雷达图

使用Mermaid绘制多维能力对比图，强制量化抽象概念：

%%{init: {'theme': 'base', 'themeVariables': { 'fontSize': '14px'}}}%%
radar
    title 技术纵深能力雷达图（厂商A vs 厂商B）
    axis 自研内核, ATT&CK编排, 情报自主率, API粒度, POC检出率, 运维API稳定性, 云原生就绪度
    厂商A [8, 6, 3, 7, 82%, 88%, 6]
    厂商B [9, 9, 9, 9, 94%, 96%, 9]

五、长效治理机制：技术尽调白皮书模板

向采购委员会交付结构化尽调成果，包含：

• 专利地图（以IPC分类号G06F21/55为根节点的引证网络图）
• 第三方测评偏差分析表（Gartner EPP魔力象限位置 vs MITRE ENGAGE实战评分差值）
• 真实客户运维成本测算模型（基于某金融客户3年日志量/告警量/人力投入的回归方程）
• 技术债热力图（按模块标注：高风险-无单元测试覆盖、中风险-依赖已EOL开源组件、低风险-符合CWE-732权限配置规范）

所有结论必须附原始证据链：GitHub commit hash、CNAS证书扫描件、POC视频时间戳、IDC报告页码。