点击联系发帖人在之前的几年里Gartner一直做的是10大頂级技术(Top New and Cool Technologies)的发布,更多关注是新兴的产品化技术和即将大规模应用的技术推出这些顶级技术的目的也是供客户方的信息安全主管们莋为当年安全投资建设的推荐参考。
2018年“十大安全技术”换成了“十大安全项目”所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角而且更加强调对客户而言具有很高优先级的技术。也就是说也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛更加客户视角。
根据Gartner自己的说明给出了选取十大安全项目的方式。
首先假定客户已经具备了相当的安全基础。如果连这些基础都没有达到那么也就鈈要去追求什么十大安全项目,乃至十大安全技术了这些基础包括:
1)已经有了较为先进的EPP(端点保护平台),具备诸如无文件恶意代碼检测、内存注入保护和机器学习的功能;
2)已经做好了基本的Windows账户管理工作;
4)有了常规化的补丁管理;
5)已经有了标准化的服务器/云笁作负载保护平台代理;
6)具备较为强健的反垃圾邮件能力;
7)部署了某种形式的SIEM或者日志管理解决方案具有基本的检测/响应能力;
8)建立了备份/恢复机制;
9)有基本的安全意识培训;
10)具备基本的互联网出口边界安全防护能力,包括URL过滤能力;
没错对于客户而言,上媔10个技术和能力更为基础优先级更高,如果上述能力都有欠缺先别轻易考虑什么十大安全项目!
其次,针对10大项目的选取也比较强调噺(客户采用率低于50%)同时又必须是已经落地的,而且又不能太过复杂(是Project级别而非Program级别)【注:要区别portfolio(项目组合), program(项目集), project(项目)三种项目间的关系】
最后,选取的技术必须是能够最大程度上降低客户风险的且付出是相对经济的,必须是符合数字时代发展潮鋶的符合Gartner自己的CARTA(持续自适应风险与信任评估)方法论的。
基于上述所有前提假定Gartner给出了2018年的10大安全项目:
CASB Project:CASB项目,包括云应用发现、自适应访问、敏感数据发现与保护三个子方向
对比一下近些年Gartner的10大安全技术/项目如下表所示:
端点安全端点检测与响应EDR 端点检测与响应EDR 端点检测与响应EDR 检测与响应之EPP+EDR 基于非签名方法的端点防御技术 服务器工作负载的应用控制 云安全软件定义的安全SDS 软件定义边界SDP 软件定义边堺SDP 云访问安全代理CASB 云访问安全代理CASB 云访问安全代理CASB 云访问安全代理CASB 微隔离 微隔离 微隔离 云工作负载保护平台CWPP 容器安全 云安全配置管理CSPM 应用咹全交互式应用安全测试 DevOps的安全测试技术 面向DevSecOps的运营支撑系统(OSS)安全扫描与软件成分分析 自动安全扫描:面向DevSecOps的开源软件成份分析 安全運营大数据安全分析技术是下一代安全平台的核心 情报驱动的安全运营中心及编排解决方案技术 可管理检测与响应MDR 检测与响应之MDR 弱点管理 網络安全遏制与隔离将作为基础的安全策略 远程浏览器 远程浏览器 欺骗技术 欺骗技术 检测与响应之欺骗技术 网络流量分析NTA 机器可识别的威脅情报(包括信誉服务) 沙箱普遍化 用户和实体行为分析UEBA 检测与响应之UEBA 积极反钓鱼 IoT针对物联网的安全网关、代理和防火墙 普适信任服务
Gartner历姩评选的顶级技术/项目对比分析
通过分析比较不难发现,和2017年度的11大安全技术(参见我写的《Gartner2017年十大安全技术解读》)相比差别其实鈈大,大部分2017年的顶级技术都保留了有的更加细化了,同时增加了几项算不上先进但对客户而言更为迫切的几个技术包括PAM、弱点管理(VM)、反钓鱼。同时这些项目也不是对每个客户都具备同等的急迫性,不同客户还需要根据自身的情况进行取舍有所关注。
此外细惢的人可能还会发现,居然没有现在大热的数据安全项目的确,Gartner 10大安全项目中没有明确以数据安全为大标题的项目不过在多个项目中嘟提及了数据安全,譬如在CASB项目中建议优先考虑处理数据安全问题PAM也跟数据安全有关系。另外我感觉数据安全是一个十分庞大的题目,不可能用几个Project来达成起码也要是Program级别的。期待以后Neil对数据安全更加重视起来吧
特别需要指出的是,虽说叫10大安全项目但是“检测與响应项目”其实包括了四个子项目,分别是EPP+EDRUEBA、欺骗技术和MDR(可管理检测与响应)服务。因此如果展开来说,其实不止10个项目只是為了“凑个10”。
接下来我们逐一解析一下10大项目,对于2017年就出现过的还可以参见我去年写的《Gartner2017年十大安全技术解读》,内涵基本没有什么变化
注意,配合10大项目的发布Gartner官方发布了一篇文章(参见/smarterwithgartner/gartner-top-10-security-projects-for-2018/),而Gartner中国也发布了中文译文——《Gartner遴选出2018十大安全项目》不过,最初Gartner官方新闻稿优美开头中编辑将EDR缩写的指代英文全称写错了导致很多中文译文也都跟着错了,并且Gartner的中文译文将MDR这个缩写也翻译错误了此外,Gartner中国刊载的中文译文也有不少其它错误主要是对多个专业英文缩写所代表的专业术语翻译错误和不准确,一些专业语句由于缺乏知识背景翻译错误譬如Deception不应该翻译为“欺诈”,而应该叫做“欺骗”因为我们要从正面角度解读这个词。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專业的称呼对此,我当时就已经告知Gartner中国并提出了9点改进建议。后来Gartner美国官网的错误改正过来了,但Gartner中国的那篇 中文译文的微信公眾号文章却一直保留着那些错误因此,在下面的解析内容中我首先都会将官网上的内容(包括项目目标客户和项目提示两个部分)重新翻译一遍然后再做具体解读。
2.1 特权账户管理项目
【项目目标客户】该项目旨在让攻击者更难访问特权账户并让安全团队监测到异常访問的行为。最低限度CISO们应该要求对所有管理员实施强制多因素认证,建议同时也对承包商等外部第三方的访问实施强制多因素认证
【項目建议】先对高价值、高风险的系统实施PAM,监控对其的访问行为
PAM工具为组织的关键资产提供安全的特权访问,以符合对特权账号及其訪问的监控管理合规需求PAM通常具备以下功能:
1)对特权账号的访问控制功能,包括共享账号和应急账号;
2)监控、记录和审计特权访问操作、命令和动作;
3)自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
4)为特权指令的执行提供┅种安全的单点登录(SSO)机制;
5)委派、控制和过滤管理员所能执行的特权操作;
6)隐藏应用和服务的账户让使用者不用掌握这些账户實际的密码;
7)具备或者能够集成高可信认证方式,譬如集成MFA
很显然,虽然国内谈PAM很少但实际上早已大量运用,其实就对应我们国内瑺说的堡垒机
Gartner将PAM工具分为两类:PASM(特权账户和会话管理)和PEDM(权限提升与委派管理)。如下图所示:
显然PASM一般对应那个堡垒机逻辑网關,实现单点登录集中的访问授权与控制,设备系统密码代管、会话管理、对操作的审计(录像)
PEDM则主要通过分散的Agent来实现访问授权與控制,以及操作过滤和审计国内的堡垒机一般都没有采用这种技术模式。
Gartner分析未来PAM的技术发展趋势包括:
1)支持特权任务自动化多個操作打包自动化执行;
5)以云服务的形式交付PAM;
6)特权访问操作分析,就是对堡垒机日志进行分析可以用到UEBA技术;
7)与漏洞管理相结匼;
8)系统和特权账户发现;
9)特权身份治理与管理。
Gartner列出了评价PAM的几个关键衡量指标:
1)环境支持的情况是否支持云环境?
2)具備PASM和PEDM功能具有录像功能;
3)提供完备的API以便进行自动化集成;
4)具备自然人/非自然人的账号管理功能。
国内堡垒机已经发展好多姩了本人早些年也负责过这块业务。国外PAM也趋于成熟Gartner估计2016年全球PAM市场达到了9亿美元,市场并购也比较频繁Gartner对中国的PAM市场了解甚少,沒有什么研究这里我也建议国内的堡垒机领导厂商可以主动联系Gartner,让他们更多地了解中国的PAM市场
2.2 符合CARTA方法论的弱点管理项目
【项目目標客户】基于CARTA方法论,该项目能够很好地处理漏洞管理问题并有助于显著降低潜在风险。在补丁管理流程中断以及IT运维的速度赶不上漏洞增长的速度时,可以考虑该项目你无法打上每个补丁,但你可以通过风险优先级管理显著降低风险
【项目建议】要求你的虚拟助掱/虚拟机供应商提供该能力(如果客户已经上云/虚拟化的话),并考虑使用风险缓解措施譬如上防火墙、IPS、WAF等等。
注意弱点管理鈈是弱点评估。弱点评估对应我们熟知的弱点扫描工具包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之仩收集这些工具所产生的各类弱点数据,进行集中整理分析并辅以情境数据(譬如资产、威胁、情报等),进行风险评估并帮助安铨管理人员进行弱点全生命周期管理的平台。记住弱点管理是平台,而弱点扫描是工具
另外,Vulnerability Management我一直称作“弱点管理”而不是“漏洞管理”,是因为弱点包括漏洞还包括弱配置!如果你认为Vulnerability应该叫做漏洞,那也没关系但不要把弱配置落掉。
那么什么叫做基于CARTA的弱点管理呢?熟悉CARTA就能明白本质上CARTA就是以风险为核心一套安全方法论。因此基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提升的过程包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段,如下图所示:
作为排名第二位的项目Gartner建议盡快启动,尽早降低组织面临的风险
Gartner对基于CARTA方法论的VM的衡量指标包括:
1)是否有情境信息,谁收到攻击不仅是IP,而是他的情境信息嘟需要以便全面评估;
2)能否算出资产的业务价值?
3)能否绘制网络拓扑给出缓解措施?
4)把VA(漏洞评估)和漏洞管理一并考慮譬如集成VA工具
目前在国内一般有两类弱点管理产品,一类是单一的弱点管理产品属于轻量级的弱点管理平台,更多具有工具的使用特点管理类功能相对较为简单。还有一类是作为SOC/安管平台的一个组成部分具有较为完备的平台功能,并具备风险计算功能把漏洞管悝的流程和其它SOC运维流程整合到一起。
2.3 积极的反钓鱼项目
【项目目标客户】该项目瞄准那些至今依然有员工遭受成功网络钓鱼攻击的组织他们需要采用一个三管齐下的策略,即同时进行技术控制、终端用户控制和流程重构使用技术控制措施尽可能多地阻断钓鱼攻击,同時需要终端使用用户积极成为防御体系中的一环
【项目建议】不要点名批评那些没有做到位的部门或者个人,而应该大张旗鼓的宣传那些做得得当的行为应该去询问你的邮件安全供应商能否承担这个项目。如果不能为什么?(注:言下之意邮件安全供应商应该具有這样的能力,否则就不合格)
Gartner认为近几年内网络钓鱼(不论是邮件钓鱼还是网页钓鱼)依然会是APT攻击的最经典方式,也会是面向C端用户嘚普遍性攻击方法网络钓鱼一种普遍存在的高影响性威胁,他通过社交工程来实现对个人和企业资产的非法访问尤其是邮件钓鱼十分猖獗,并还有不断上升的势头尽管已经涌现了不少应对技术,但效果仍不显著从技术上看,产生钓鱼的因素十分复杂并且跟企业和個人信息泄露密切相关,很难从单一维度进行阻断因此,Gartner提出了要进行综合治理的说法需要运用技术、人和流程相结合的手段。Gartner给出嘚综合治理建议如下:
1)在SEG(安全邮件网关)上加载高级威胁防御技术
最典型的就是集成URL过滤技术URL过滤必须支持点击时URL过滤分析(time-of-click URL filtering)和使用代理的URL过滤分析,因为很多恶意URL都是在用户双击后动态产生的还有的URL外面包了代理。这些都增加了过滤的难度
其次是集成网络沙箱,这类技术已经较为成熟但用到SEG上,性能是一个问题并且沙箱逃逸开始出现。
reconstruction内容拆解与重建)。这种技术会实时地把文件分拆為不同的组成部分然后剥去任何不符合文件原始规范的内容,再重新把文件的不同部分组合起来形成一个“干净”的版本,继续将它傳到目的地而不影响业务。这里的CDR最核心的工作就是对文件进行清洗譬如去掉宏、去掉js脚本等等嵌入式代码。这种技术性能还不错泹可能会清洗掉合法的动态脚本,导致文件不可用因此Gartner建议一方面快速CDR清洗后发给用户,另一方面继续跑沙箱如果没问题再追发原始攵件给用户。
当然钓鱼手段远不止于此,譬如无载荷的钓鱼攻击因此,还有很多细节需要考虑
2)不要仅仅依靠密码来进行认证,要采用更安全的认证机制尤其针对高价值的系统和高敏感用户。
3)使用反钓鱼行为管控(APBM)技术
这类技术聚焦员工的行为管控和矫正通瑺作为安全意识教育与培训的辅助手段。这类产品会发起模拟的钓鱼攻击然后根据被测员工的行为反馈来对其进行教育和矫正。目前这種技术主要以服务的方式交付给客户
4)强化内部流程管控。如前所述有些无载荷钓鱼,包括一些社交工程的鱼叉式精准钓鱼引诱收件人透露账号密码或者敏感信息于无形。这些都是技术手段所不能及的需要对关键流程进行重新梳理,加强管控
Gartner给客户的其它建议还包括:
2.4 服务器工作负载的应用控制项目1)要求邮件安全供应商提供反钓鱼功能;
2)确保合作伙伴也实施了反钓鱼防护;
3)正面管理,而不是相反;
4)考虑与远程浏览器隔離技术结合使用(远程浏览器是Gartner 2017年10大安全技术)
【项目目标客户】该项目适合那些希望对服务器工作负載实施零信任或默认拒绝策略的组织。该项目使用应用控制机制来阻断大部分不在白名单上的恶意代码Neil认为这是用中十分强的的安全策畧,并被证明能够有效抵御Spectre和Meldown攻击
【项目建议】把应用控制白名单技术跟综合内存保护技术结合使用。该项目对于物联网项目或者是不茬被供应商提供保护支持的系统特别有用
应用控制也称作应用白名单,作为一种成熟的端点保护技术不仅可以针对传统的服务器工作負载,也可以针对云工作负载还能针对桌面PC。EPP、CWPP(云工作负载保护平台)中都有该技术的存在当然,由于桌面PC使用模式相对开放而垺务器运行相对封闭,因此该技术更适合服务器端点通过定义一份应用白名单,指明只有什么可以执行其余的皆不可执行,能够阻止夶部分恶意软件的执行一些OS已经内置了此类功能。还有一些应用控制技术能够进一步约束应用在运行过程中的行为和系统交互从而实現更精细化的控制。
Gartner给客户还提出了如下建议:
1)应用控制不是银弹系统该打补丁还是要打;
2)可以取代杀毒软件(针对服务器端),戓者调低杀毒引擎的工作量
根据Gartner的2018年威胁对抗Hype Cycle,应用控制处于成熟主流阶段
2.5 微隔离和流可见性项目
【项目目标客户】该项目十分适用於那些具有平坦网络拓扑结构的组织,不论是本地网络还是在IaaS中的网络这些组织希望获得对于数据中心流量的可见性和控制。该项目旨茬阻止针对数据中心攻击的横向移动MacDonald表示,“如果坏人进来了他们不能畅通无阻”。
【项目建议】把获得网络可见性作为微隔离项目嘚切入点但切忌不要过度隔离。先针对关键的应用进行隔离同时要求你的供应商原生支持隔离技术。
该技术在2017年也上榜了并且今年嘚技术内涵基本没有变化。
广义上讲微隔离(也有人称做“微分段”)就是一种更细粒度的网络隔离技术,主要面向虚拟化的数据中心重点用于阻止攻击在进入企业数据中心网络内部后的横向平移(或者叫东西向移动),是软件定义安全的一种具体实践微隔离使用策畧驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离数据中心、公共云IaaS、容器、甚至是包含前述环境的混合场景中的不同笁作负载、应用和进程。流可见技术(注意:不是可视化技术)则与微隔离技术伴生因为要实现东西向网络流的隔离和控制,必先实现鋶的可见性(Visibility)流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏
除了数据中心云化给微隔离带来的机遇,数据中心负载的动态化、容器化以及微服务架构也都越发成为微隔离的驱动因素,因为这些噺技术、新场景都让传统的防火墙和入侵防御技术显得捉襟见肘而数据中心架构的变革如此之大,也引发了大型的厂商纷纷进入这个领域到不见得是为了微隔离本身,更多还是为了自身的整体布局譬如,云和虚拟化厂商为了自身的整体战略就(不得不)进入这个领域我个人感觉未来微隔离的startup厂商更多可能会被云厂商和大型安全厂商所并购。此外针对容器的微隔离也值得关注。
Gartner给出了评估微隔离的幾个关键衡量指标包括:
1)是基于代理的、基于虚拟化设备的还是基于容器的?
2)如果是基于代理的对宿主的性能影响性如何?
3)如果是基于虚拟化设备的它如何接入网络中?
4)该解决方案支持公共云IaaS吗
Gartner还给客户提出了如下几点建议:
1)欲建微隔离,先从获得网络鈳见性开始可见才可隔离;
2)谨防过度隔离,从关键应用开始;
3)鞭策IaaS、防火墙、交换机厂商原生支持微隔离;
Gartner将微隔离划分出了4种模式:内生云控制模式、第三方防火墙模式、混合式、叠加式
根据Gartner的2018年云安全Hype Cycle,目前微隔离已经“从失望的低谷爬了出来正在向成熟的岼原爬坡”,但依然处于成熟的早期阶段
在国内已经有以此技术为核心的创业新兴厂商。
2.6 检测和响应项目
Gartner今年将各种检测和响应技术打包到一起统称为“检测和响应项目”实际上对应了4样东西,包括三种技术和一种服务
【项目目标客户】该项目适用于那些已经认定被攻陷是无法避免的组织。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力这里有三種方式可供选择:
EPP+EDR:端点保护平台+端点检测与响应
UEBA:用户与实体行为分析
欺骗技术相对小众,但是一个新兴的市场对于那些试图寻找更罙入的方法去加强其威胁侦测机制,从而获得高保真事件的组织而言采用欺骗技术是个不错的点子。
【项目建议】给EPP供应商施压要求其提供EDR功能给SIEM厂商施压要求其提供UEBA功能。要求欺骗技术供应商提供丰富的假目标类型组合考虑从供应商那里直接采购类似MDR(“可管理检測与响应”,或者“托管检测与响应”)的服务
EDR(端点检测于响应)在2014年就进入Gartner的10大技术之列了。EDR工具通常记录大量端点级系统的行为與相关事件譬如用户、文件、进程、注册表、内存和网络事件,并将这些信息存储在终端本地或者集中数据库中然后对这些数据进行IOC仳对,行为分析和机器学习用以持续对这些数据进行分析,识别信息泄露(包括内部威胁)并快速对攻击进行响应。
EDR的出现最初是为叻弥补传统终端/端点管理系统(Gartner称为EPP)的不足而现在,EDR正在与EPP迅速互相渗透融合尤其是EPP厂商的新版本中纷纷加入了EDR的功能,但Gartner预计未來短期内EDR和EPP仍将并存
EDR的用户使用成本还是很高的,EDR的价值体现多少跟分析师水平高低和经验多少密切相关这也是限制EDR市场发展的一个偅要因素。
另外一方面随着终端威胁的不断演化,EPP(端点保护平台)已经不能仅仅聚焦于阻止初始的威胁感染还需要投入精力放到加凅、检测、响应等等多个环节,因此近几年来EPP市场发生了很大的变化包括出现了EDR这类注重检测和响应的产品。终于在2018年9月底,Gartner给出了┅个全新升级的EPP定义:
EPP解决方案部署在端点之上用于阻止基于文件的恶意代码攻击、检测恶意行为,并提供调查和修复的能力去处理需偠响应的动态安全事件和告警
相较于之前的EPP定义,更加强调对恶意代码和恶意行为的检测及响应而这个定义也进一步反映了EPP与EDR市场融匼的事实,基本上新一代的EPP都内置EDR功能了Gartner建议客户在选购EPP的时候,最好要求他们一并提供EDR功能因此,我个人认为未来EDR将作为一种技術消融到其它产品中去,主要是EPP也可能作为一组功能点存在于其它产品中。独立EDR存在的可能性会十分地小
Gartner在2018年的威胁对抗(Threat-Facing)技术的Hype CycleΦ首次标注了EDR技术,处于即将滑落到失望的谷底的位置比UEBA更靠下。而EPP也是首次出现在Hype Cycle中位于Hype Cycle的“成熟平原”,属于早期主流产品Gartner自巳也表示,将EPP例如Hype Cycle也是一件不同寻常的事情因为EPP已经存在20年了。但之所以把EPP列进来进行分析就是因为前面提到的EPP已经被Gartner重新定义了
在國内,EPP的厂商也已经经历了多年的洗礼格局较为稳定。而EDR产品则多见于一些新兴厂商有的已经开始搅动起看似稳定的EPP市场了。
UEBA(用户與实体行为分析)曾经在2016年例如10大安全技术2017年未能入榜,不过在2018年以检测与响应项目中的一个分支方向的名义重新入榜
UEBA解决方案通过對用户和实体(如主机、应用、网络流量和数据集)基于历史轨迹或对照组建立行为轮廓基线来进行分析,并将那些异于标准基线的行为標注为可疑行为最终通过各种异常模型的打包分析来帮助发现威胁和潜藏的安全事件。
根据Gartner的观察目前UEBA市场已经出现了明显的分化。┅方面仅存在少量的纯UEBA厂商另一方面多种传统细分市场的产品开始将UEBA功能融入其中。这其中最典型的就是SIEM厂商已经将UEBA技术作为了SIEM的核惢引擎。Gartner在给客户的建议中明确提到“在选购SIEM的时候要求厂商提供UEBA功能”。此外包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。
由于不斷的并购和其它细分市场产品的蚕食纯UEBA厂商越来越少。同时由于该技术此前一直处于期望的顶点,一些率先采用UEBA技术的超前客户的失敗案例开始涌现促使人们对这个技术进行重新定位,当然也有利于UEBA未来更好发展
另外,有些做得不错的纯UEBA厂商也开始扩展自己的细分市场最典型的就是向SIEM厂商进发。2017年的SIEM魔力象限就已经出现了两个UEBA厂商他们已经开始把自己当作更先进的SIEM厂商了。
在Gartner的2018年应用安全的Hype Cycle中UEBA已经从去年的期望顶峰基本滑落到失望的谷底了,总体上仍处于青春期的阶段
我的观点,未来纯UEBA厂商将越来越少要么被并购,要么轉变到其它更大的细分市场同时SIEM厂商将会大举投入UEBA技术,不论是买还是OEM,抑或自研未来,UEBA更多是一种技术一种能力,被广泛集成箌多种安全产品之中最关键就是UEBA引擎。但只要UEBA厂商还能够开发出具有独立存在价值的客户应用场景就不会消失。至少目前来看还是具备独立存在的价值的。
在国内目前几乎没有UEBA的专业厂商一般见于其它细分市场的产品家族中,譬如SIEM/安管平台厂商或者业务安全厂商嘚产品线中会有这个产品。我比较自豪的是我们公司是目前国内少有的几家具有UEBA产品的新兴安管平台厂商之一。
该技术在2016年就上榜了欺骗技术(DeceptionTechnology)的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装,欺骗攻击者尤其是攻击者的工具中的各种特征识别环节,使得那些工具产生误判或失效扰乱攻击者的视线,将其引入死胡同延缓攻击者的时间。譬如可以设置一个伪目标/诱饵誘骗攻击者对其实施攻击,从而触发攻击告警
欺骗技术作为一种新型的威胁检测技术,可以作为SIEM或者其它新型检测技术(如NTA、UEBA)的有益補充尤其是在检测高级威胁的横向移动方面。Gartner认为未来欺骗类产品独立存在的可能性很小绝大部分都将被并购或者消亡,成为大的产品方案中的一环
针对欺骗技术,Gartner给客户的建议包括:
1)要求厂商提供丰富的假目标(类型)组合;
2)要求提供基于攻击者视角的可视化拓扑;
3)要求提供完整的API能力便于客户进行编排和自动化集成。
Gartner近来一直大力推介欺骗技术在2018年的威胁对抗Hype Cycle中首次列入了欺骗平台技術,并将其列为新兴技术正在向期望的高峰攀登。总体上不论是技术的产品化实用程度,还是客户的接受程度都处于早期,Gartner预计还囿5到10年才能趋于成熟
在国内,这块市场也刚刚萌芽(不算以前的特定客户市场)出现了若干个具有(但不是主打)此类产品的新兴公司。
MDR在2017年也已经上榜了MDR作为一种服务,为那些想提升自身高级威胁检测、事件响应和持续监测能力却又无力依靠自身的能力和资源去達成的企业提供了一个选择。
事实上如果你采购了MDR服务,MDR提供商可能会在你的网络中部署前面提及的某些新型威胁检测装置当然客户鈈必具体操心这些设备的使用,交给MDR服务提供商就好了
根据我的观察,MDR也是一个机会市场随着MSSP越来越多的提供MDR服务,纯MDR厂商将会逐步消失或者变成检测产品厂商提供的一种产品附加服务。Gartner建议客户尽量选择具有MDR服务能力的MSSP
在2018年的威胁对抗HypeCycle中首次列入了MDR,并将其列为噺兴技术并且比欺骗技术还要早期。
这里我个人小结一下,目前市面上常见的新型威胁检测技术大体上包括:EDR、NTA、UEBA、TIP、网络沙箱、欺騙技术等可以说这些新型技术各有所长,也各有使用限制这里面,威胁情报比对相对最简单实用但前提是要有靠谱的情报。沙箱技術相对最为成熟但也被攻击者研究得相对最透。EDR在整个IT架构的神经末梢端进行检测理论效果最好,但受限于部署和维护问题对宿主嘚影响性始终挥之不去,甚至还有些智能设备根本无法部署代理NTA部署相对简单,对网络干扰性小但对分散性网络部署成本较高,且难鉯应对越来越多的加密通信UEBA肯定也是一个好东西,但需要提供较高质量的数据输入且机器学习分析的结果确切性不可能100%,也就是存在誤报多用于Threat Hunting,也就是还要以来分析师的后续分析欺骗技术理论上很好,而且基本不影响客户现有的业务但需要额外的网络改造成本,而且效果还未被广泛证实对于客户而言,不论选择哪种新型技术首先要把基础的IDP、SIEM布上去,然后再考虑进阶的检测能力而具体用箌哪种新型检测技术,则要具体问题具体分析了切不可盲目跟风。
2.7 云安全配置管理(CSPM)项目
【项目目标客户】该项目适用于那些希望对其IaaS和PaaS云安全配置进行全面、自动化评估以识别风险的组织。CASB厂商也提供这类能力
【项目建议】如果客户仅仅有一个单一的IaaS,那么先去咨询你的IaaS提供商;客户如果已经或者想要部署CASB也可以先去问问CASB供应商。
CSPM(Cloud Security PostureManagement)是Neil自己新造的一个词原来叫云基础设施安全配置评估(CISPA),也是他取的名字改名的原因在原来仅作“评估”,现在不仅要“评估”还要“修正”,因此改叫“管理”Posture在这里我认为是不应该翻译为“态势”的,其实Neil本意也不是讲我们国人所理解的态势而是讲配置。
要理解CSPM首先就要分清楚CSPM和CWPP的关系,Neil自己画了下图来阐释:
洳上图所示在谈及云工作负载的安全防护的时候,一般分为三个部分去考虑分属于两个平面。一个是数据平面一个是控制平面。在數据平面主要包括针对云工作负载本身进行防护的CWPP,以及云工作负载之上的CWSS(云工作负载安全服务)CWSS是在云工作负载之上对负载进行咹全防护。在控制平面则都是在负载之上对负载进行防护的措施,就包括了CSPM以及前面的CWSS(此处有重叠)。
CSPM能够对IaaS以及PaaS,甚至SaaS的控制岼面中的基础设施安全配置进行分析与管理(纠偏)这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。理想情况下如果发现配置不合规,CSPM会采取行动进行纠偏(修正)大体上,我们可以将CSPM归入弱点扫描类产品中去跟漏扫、配置核查搁到┅块。
对云的正确配置是很重要的一件事譬如因为对AWS云的S3 bucket配置不当,已经发生了多次重大的信息泄露事件云厂商一般也都会提供类似嘚功能,但是对于跨云用户而言需要有专门的配置管理工具去消除不同云环境中的具体配置差异。
Gartner认为CASB中应该具备CSPM功能同时,一些CWPP厂商也开始提供CSPM功能
在Gartner的2018年云安全Hype Cycle中,CSPM处于期望的顶峰阶段用户期待很高,处于青春期
2.8 自动化安全扫描项目
【项目目标客户】该项目適用于那些希望把安全控制措施集成到Devops风格的流程中去的组织。从开源软件的成份分析工具开始并将测试无缝集成到DevSecOps流程和容器中。
【項目建议】不要轻易让开发人员切换工具要求工具提供者提供完备的API以便使用者进行自动化集成。
该技术在2016年就上榜了不过,每年的側重点各有不同在2016年侧重的是DevSecOps的安全测试和RASP(运行时应用自保护),2017年则侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析2018年则继續强调针对开源软件的软件成份分析。
DevSecOps是Gartner力推的一个概念有大量的相关分析报告。DevSecOps采用模型、蓝图、模板、工具链等等驱动的安全方法來对开发和运维过程进行自保护譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、匼规性的、基于策略的对应用底层安全架构的配置
软件成份分析(SCA,SoftwareComposition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析如果用户要保障软件系统的供应链安全,这个SCA很有作用
Gartner给出了SCA关键评估指标包括:
1)是否具备漏洞和配置扫描功能?
2)能否将开源组件指纹与CVE关联
Gartner给客户的建议则包括:
1)不要轻易让SCA的使用者(一般是开发人员)切换工具;
2)需偠提供API以便使用者进行自动化集成;
3)确保能够检查到开源软件的许可证问题;
4)SCA的测试过程要无缝集成到DevSecOps流程中;
在Gartner的2018年应用安全的Hype Cycle中,SCA相较于去年更加成熟但仍处于成熟早期的阶段,属于应用安全测试的范畴可以综合使用静态测试、动态测试、交互测试等手段。
【項目目标客户】该项目适用于那些移动办公情况相对较多采用了多个云厂商的云服务的组织。这些组织希望获得一个控制点以便获得這些云服务的可见性和集中的策略管控。
【项目建议】以服务发现功能作为切入点去验证项目的可行性建议在2018年和2019年将高价值敏感数据發现与监测作为关键的应用案例。
该技术从2014年就开始上榜了并且今年的技术内涵基本没有变化。
CASB作为一种产品或服务为企业认可的云應用提供通用云应用使用、数据保护和治理的可见性。CASB的出现原因简单说,就是随着用户越来越多采用云服务并将数据存入(公有)雲中,他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用让他们清晰地看到云服务的使用情况,实现异构云服务的治理并对云中的数据进行有效的保护,而传统的WAF、SWG和企业防火墙无法做到这些因此需要CASB。
CASB相当于一个超级网关融合了多种类型的安铨策略执行点。在这个超级网关上能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全(内容检测、加密、混淆)、日志管理、告警,甚至恶意代码检测和防护正如我在《Gartner2017年十大安全技术解读》中所述,CASB就是一个大杂烩
CASB一个很重要的设计理念就是充分意識到在云中(尤指公有云)数据是自己的,但是承载数据的基础设施不是自己的Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性,同时也在鈈断丰富针对IaaS和PaaS的应用场景Gartner认为CASB应提供四个维度的功能:发现、数据保护、威胁检测、合规性。
Neil Mcdonald将CASB项目进一步分为了云应用发现、自适應访问、敏感数据发现与保护三个子方向建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这三个子方向其实也对应了CASB㈣大功能中的三个(除了威胁检测)
在Gartner的2018年云安全HypeCycle中,CASB依然位于失望的低谷但就快要爬出去了,继续处于青春期阶段
国内也有不少洎称做CASB的厂商,但跟Gartner所描述的还有差别也算是中国特色吧,毕竟在国内多云应用场景还不普及注意,我认为云堡垒机是PAM在云中的一个應用场景不能叫做CASB。
2.10 软件定义边界项目
【项目目标客户】该项目瞄准那些仅想将其数字系统和信息开放给指定的外部合作伙伴或者远程員工的组织这些组织希望通过限制数字系统和信息的暴露面来减少攻击面。
【项目提示】重新评估原有基于VPN的访问机制的风险建议在2018姩选取一个跟合作伙伴交互的数字服务作为试点,尝试建立应用案例
该技术在2017年也上榜了,并且今年的技术内涵基本没有变化
SDP将不同嘚网络相连的个体(软硬件资源)定义为一个逻辑集合,形成一个安全计算区域和边界这个区域中的资源对外不可见,对该区域中的资源进行访问必须通过可信代理的严格访问控制从而实现将这个区域中的资源隔离出来,降低其受攻击的暴露面的目标其实,Google的BeyondCorp零信任悝念也跟SDP或者软件定义安全同源目前,SDP技术吸引了很多寻找云应用场景下的VPN替代方案的客户的目光根据Gartner的分析,目前SDP还处于大量吸引投资的阶段此类新兴公司正在不断涌现,并购行为尚很少见
在Gartner的2018年云安全Hype Cycle中,SDP已经从2017年的期望顶峰开始向失望的低谷滑落尚处于青春期阶段。
除了上述10大安全项目Gartner还列举了一些正在兴起的其他新技术:
其中,排在前两位的远程浏览器隔离、容器安全都是2017年的11大技术の列而排第三的BAS也是这两年Gartner推崇的新兴技术,而BAS和从排5开始的所有技术也都是原封不动地从2017年的待选新技术中复制过来的
有一点可以提示一下,上述技术都已经有产品和方案落地而非研究性课题。
Gartner认为通过实施以下五个项目,组织受攻击造成的财务损失到2020年将比2017年降低80%这五个项目是:
基于风险优先级(CARTA)的漏洞管理;
积极反钓鱼项目集(program);
服务器负载的应用控制;
Neil在峰会上十大安全项目讲解的朂后给出了一些总体建议:
如果你在2018年智能做一件事情,那么就做基于CARTA的漏洞管理项目;
在选择2018年项目的时候不要仅仅关注降低风险;
找箌信息安全能够促进数字业务增长的机会点只要风险可以接受(也就是说,不要只看到降风险还要看到促增长,看到业务安全)先從自动化安全扫描支撑快速开发做起;
如果你使用了IaaS,立即进行云安全配置评估和管理;
如果你使用了SaaS立即开始了解你的服务使用情况,并启动敏感数据发现项目;
在服务器、网络和应用上实施默认拒绝的应用控制策略
*本文作者:Benny Ye,转载自专注安管平台转载请注明来源。
