Gartner：2019年十大安全项目（简评版）

2019年2月11日，Gartner一改过去在年度安全与风险管理峰会上发表10大安全技术/项目的做风，早早发布了2019年的十大安全项目，并表示将在今年的安全与风险管理峰会上具体呈现。所以，此次算是Gartner提早发布预览版吧。

2019年的十大安全项目分别是：

1）Privileged Access Management，特权帐户管理（PAM）

2）CARTA-Inspired Vulnerability Management，符合CARTA方法论的弱点管理

3）Detection and Response，检测与响应

4）Cloud Security Posture Management，云安全配置管理（CSPM）

5）Cloud Access Security Broker，云访问安全代理（CASB）

6）Business Email Compromise，商业邮件失陷

7）Dark Data Discovery，暗数据发现

8）Security Incident Response，安全事件响应

9）Container Security，容器安全

10）Security Rating Services，安全评级服务

对比一下历年的10大技术/项目，能够发现，跟2018年相比，前5个项目基本上是沿袭下来了，第6个商业邮件失陷则是在去年的反钓鱼项目基础上作了修订，后4个则是新上榜的。全新上榜的包括暗数据发现、安全事件响应和安全评级服务，而容器安全则是隔年再次上榜。

	2014年	2016年	2017年	2018年	2019年
IAM	自适应访问控制			特权帐户管理PAM	特权帐户管理PAM
云安全	软件定义的安全SDS		软件定义边界SDP	软件定义边界SDP
	云访问安全代理CASB	云访问安全代理CASB	云访问安全代理CASB	云访问安全代理CASB	云访问安全代理CASB
		微隔离	微隔离	微隔离
			云工做负载保护平台CWPP
			容器安全		容器安全
				云安全配置管理CSPM	云安全配置管理CSPM
端点安全	端点检测与响应EDR	端点检测与响应EDR	端点检测与响应EDR	检测与响应之EPP+EDR	检测与响应之EPP+EDR
		基于非签名方法的端点防护技术
				服务器工做负载的应用控制
网络安全	遏制与隔离将做为基础的安全策略	远程浏览器	远程浏览器
		欺骗技术	欺骗技术	检测与响应之欺骗技术
			网络流量分析NTA
	机器可识别的威胁情报（包括信誉服务）
	沙箱广泛化
		用户和实体行为分析UEBA		检测与响应之UEBA
				积极反钓鱼	商业邮件失陷
应用安全	交互式应用安全测试	DevOps的安全测试技术	面向DevSecOps的开源软件（OSS）安全扫描与软件成分分析	自动安全扫描：面向DevSecOps的开源软件成份分析
数据安全					暗数据发现
IoT	针对物联网的安全网关、代理和防火墙	普适信任服务
安全运营	大数据安全分析技术是下一代安全平台的核心	情报驱动的安全运营中心及编排解决方案技术	可管理检测与响应MDR	检测与响应之MDR	检测与响应之SIEM+SOAR 检测与响应之MDR
				弱点管理	弱点管理
					安全事件响应
					安全评级服务

特别值得一提的是今年的10大安全项目中终于明确地增长了数据安全方面的项目——暗数据发现。在解读2018年10大安全项目的时候我就在分析老Neil为啥迟迟不考虑数据安全，今年终于有所体现了。

首先，一如既往地，Gartner特别强调，客户在考虑上述10大技术以前，必定要考虑到先期的基础安全建设，不少项目都须要建构在基础安全能力达标的状况下。这些基础安全能力包括（但不限于）：

1）在系统防御方面，包括采用最新的EPP和统一端点管理（Unified Endpoint Management，UEM是Gartner定义的区分于EPP的另外一个细分市场，强调对包括异构的PC、移动端和物联网终端的统一管理。该市场不属于信息安全市场，而归属于IT运维管理市场。2018年Gartner首次推出了UEM的MQ）和服务器安全防御。

2）在用户控制方面，包括从windows用户列表中移除管理员权限，用户帐号的生命周期管理和多因素认证。

3）在基础设施安全方面，包括日志监控、备份/恢复能力、补丁和基本的弱点管理，以及各类边界安全控制。

4）在信息处理方面，包括邮件安全控制、安全意识培训等。

如下简要分析一下新上榜和修订后上榜的5个项目。

商业邮件失陷

或许是去年提出来的“积极反钓鱼”项目名称太老套，不够醒目，抑或是这个名称容易掩盖在反钓鱼时对流程管控的关键依赖，今年Gartner提出了一个新的项目名称——Business Email Compromise。

BEC这个词其实提出来也有好几年了，不算是Gartner的原创。简单地说，BEC能够那些指代高级的、复杂的、高度定向的邮件钓鱼攻|击，就比如APT之于普通网络攻|击。BEC钓鱼一般不会在邮件中使用恶意附件、或者钓鱼URL，而纯靠社会工程学技术。譬如发件人每每冒用公司高层领导或其余你很难忽略的人，并且收件人也不是大面积的扫射，而是十分精准、小众。BEC钓鱼的特性使得不少传统的防护机制失效或者效果大减，而须要进行综合治理，结合多种技术手段，以及人和流程。在技术手段这块，Gartner特别指出ML（机器学习）技术的应用前景广阔。

暗数据发现

这是Gartner首次明确提出了数据安全领域的10大安全项目/技术。暗数据（Dark Data）是Gartner发明的词。它就像宇宙中的暗物质，大量充斥。暗数据产生后基本没有被利用/应用起来，但又不能说没有价值，可能还暗藏风险，最大问题是用户本身都不知道有哪些暗数据，再哪里，有多大风险。尤为是如今GDPR等法规加持之下，暗数据中可能包括的违规的信息。

其实，就比如在作网络安全的时候，要先了解本身网络中有哪些IP资产，尤为是有哪些本身都不知道的影子资产同样。在作数据安全的时候，要先进行数据发现，包括暗数据发现，这也是一个针对数据“摸清家底”的过程。这个步骤比数据分类，敏感数据识别更靠前。事实上，Gartner建议数据分类和敏感数据识别工具去集成暗数据发现能力。此外，Gartner在2018年的Hype Cycle中提出了一个达到炒做顶峰的技术——“File  Analysis”（文件分析），该技术就特别强调对不断膨胀的、散落在共享文件、邮件、内容协做平台、云端等等各处的非结构化暗数据的发现、梳理与理解。这里的发现包括了找到这些暗数据的全部者、位置、副本、大小、最后访问或修改时间、安全属性及其变化状况、文件类型及每种文件类型所特有的元数据。

安全事件响应

安全IR绝对能够称得上是一个十分十分老的词了。安全业界作这个IR已经几十年了。那么Gartner为啥要提出来呢？Neil没有详谈缘由。我分析，在检测与响应被提高到如此高度的今天，基本上全部业内人士都对响应表明了将来须要重点突破和提高的方向没有什么异议。Gartner在历年的十大技术/项目中都有响应相关的项目，但仔细看，咱们就会发现更多仍是一些分散的响应技术，譬如EDR，NDR等，而且都是跟检测技术合在一块儿讲。今年，Gartner则更进一步，从安全运营的角度提出了IR，应该仍是颇有深意的。同时，在“检测与响应”项目中，也首次说起了SIEM+SOAR。让咱们等到Gartner安全与风险管理峰会时，且看Neil如何解读IR吧。

容器安全

容器安全在2017年已经位列当年的11大安全技术了。为什么重回榜单？应该是由于容器技术愈来愈多的被应用的缘故，尤为是随着微服务架构和Develops开发模式的盛行，愈来愈多开发人员使用容器技术。容器安全愈发重要，不只是运行时容器安全保护技术，还应该关注开发时容器安全扫描技术，要把容器安全与DevSecOps整合起来。

安全评级服务

Security Rating Services也不是新鲜东西，几年前就已经出现。在2018年的Hype Cycle中，SRS处于炒做的顶峰。Gartner还在2018年专门发布了一份SRS的Innovation Insight报告。

Gartner认为，SRS为组织实体提供了一种持续的、独立的、量化的安全分析与评分机制。SRS经过非侵入式的手段从公开或者私有的渠道收集数据，对这些数据加以分析，并经过他们本身定义的一套打分方法对组织实体的安全形势进行评级。SRS能够用于内部安全、网络保险承包、并购，或者第三方/供应商网络安全风险的评估与监控。

Gartner认为在当今数字转型、数字生态的大背景下，该业务前景广阔。同时，该服务和解决方案还没有成熟，正在快速演变。

最后，让咱们期待2019年的Gartner安全与风险管理峰会的召开吧。

【参考】

Gartner：2018年十大安全项目详解

逐一解读Gartner评出的2017年11大信息安全技术

Gartner：2016年十大信息安全技术（含解读）

Gartner：2014年十大信息安全技术

欢迎关注个人微信公众号：专一安管平台