Gartner：2018年十大安全项目详解

Gartner 2018年十大安全项目详解

Last Modified By Bennyye @ 2018-11-20

 

1     概述

2018年6月份，一年一度的Gartner安全与风险管理峰会上，知名分析师Neil Mcdonald发布了2018年度的十大安全项目（Top 10 Security Projects）。

在以前的几年里，Gartner一直作的是10大顶级技术（Top New and Cool Technologies）的发布，更多关注是新兴的产品化技术和即将大规模应用的技术。推出这些顶级技术的目的也是供客户方的信息安全主管们做为当年安全投资建设的推荐参考。

而2018年“十大安全技术”换成了“十大安全项目”，所为什么故？我我的的理解：今年“十大安全项目”的叫法更加符合客户视角，并且更增强调对客户而言具备很高优先级的技术。也就是说，也许有些项目涉及的技术不必定是最新最酷的技术，但对客户而言是特别有助于下降安全风险的技术。如此一来，十大安全项目考察的技术点就要比十大安全技术更普遍，更加客户视角。

根据Gartner本身的说明，给出了选取十大安全项目的方式。

首先，假定客户已经具有了至关的安全基础。若是连这些基础都没有达到，那么也就不要去追求什么十大安全项目，乃至十大安全技术了。这些基础包括：

1） 已经有了较为先进的EPP（端点保护平台），具有诸如无文件恶意代码检测、内存注入保护和机器学习的功能；

2） 已经作好了基本的Windows帐户管理工做；

3） 已经有了IAM；

4） 有了常规化的补丁管理；

5） 已经有了标准化的服务器/云工做负载保护平台代理；

6） 具有较为强健的反垃圾邮件能力；

7） 部署了某种形式的SIEM或者日志管理解决方案，具备基本的检测/响应能力；

8） 创建了备份/恢复机制；

9） 有基本的安全意识培训；

10）           具有基本的互联网出口边界安全防御能力，包括URL过滤能力；

没错，对于客户而言，上面10个技术和能力更为基础，优先级更高，若是上述能力都有欠缺，先别轻易考虑什么十大安全项目！

其次，针对10大项目的选取也比较强调新（客户采用率低于50%），同时又必须是已经落地的，并且又不能太过复杂（是Project级别而非Program级别）【注：要区别portfolio（项目组合）, program（项目集）, project（项目）三种项目间的关系】。

最后，选取的技术必须是可以最大程度上下降客户风险的，且付出是相对经济的，必须是符合数字时代发展潮流的，符合Gartner本身的CARTA（持续自适应风险与信任评估）方法论的。

基于上述全部前提假定，Gartner给出了2018年的10大安全项目：

对比一下近些年Gartner的10大安全技术/项目以下表所示：

Gartner历年评选的顶级技术/项目对比分析

经过分析比较，不难发现，和2017年度的11大安全技术（参见我写的《Gartner2017年十大安全技术解读》）相比，差异其实不大，大部分2017年的顶级技术都保留了，有的更加细化了，同时增长了几项算不上先进但对客户而言更为迫切的几个技术，包括PAM、弱点管理（VM）、反钓鱼。同时，这些项目也不是对每一个客户都具有同等的急迫性，不一样客户还须要根据自身的状况进行取舍，有所关注。

此外，细心的人可能还会发现，竟然没有如今大热的数据安全项目？的确，Gartner 10大安全项目中没有明确以数据安全为大标题的项目，不过在多个项目中都说起了数据安全，譬如在CASB项目中建议优先考虑处理数据安全问题，PAM也跟数据安全有关系。另外，我感受数据安全是一个十分庞大的题目，不可能用几个Project来达成，起码也要是Program级别的。期待之后Neil对数据安全更加剧视起来吧。

特别须要指出的是，虽然说叫10大安全项目，可是“检测与响应项目”其实包括了四个子项目，分别是EPP+EDR，UEBA、欺骗技术和MDR（可管理检测与响应）服务。所以，若是展开来讲，其实不止10个项目，只是为了“凑个10”。

2     十大安全项目解析

接下来，咱们逐一解析一下10大项目，对于2017年就出现过的，还能够参见我去年写的《Gartner2017年十大安全技术解读》，内涵基本没有什么变化。

注意，配合10大项目的发布，Gartner官方发布了一篇文章（参见https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/），而Gartner中国也发布了中文译文——《Gartner遴选出2018十大安全项目》。不过，最初Gartner官方新闻稿中编辑将EDR缩写的指代英文全称写错了，致使不少中文译文也都跟着错了，而且Gartner的中文译文将MDR这个缩写也翻译错误了。此外，Gartner中国刊载的中文译文也有很多其它错误，主要是对多个专业英文缩写所表明的专业术语翻译错误和不许确，一些专业语句因为缺少知识背景翻译错误。譬如Deception不该该翻译为“欺诈”，而应该叫作“欺骗”，由于咱们要从正面角度解读这个词。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其专业的称呼。对此，我当时就已经告知Gartner中国，并提出了9点改进建议。后来，Gartner美国官网的错误改正过来了，但Gartner中国的那篇中文译文的微信公众号文章却一直保留着那些错误。所以，在下面的解析内容中我首先都会将官网上的内容（包括项目目标客户和项目提示两个部分）从新翻译一遍，而后再作具体解读。

 

2.1    特权帐户管理项目

【项目目标客户】该项目旨在让攻|击者更难访问特权帐户，并让安全团队监测到异常访问的行为。最低限度，CISO们应该要求对全部管理员实施强制多因素认证，建议同时也对承包商等外部第三方的访问实施强制多因素认证。

【项目建议】先对高价值、高风险的系统实施PAM，监控对其的访问行为。

PAM工具为组织的关键资产提供安全的特权访问，以符合对特权帐号及其访问的监控管理合规需求。PAM一般具有如下功能：

1） 对特权帐号的访问控制功能，包括共享帐号和应急帐号；

2） 监控、记录和审计特权访问操做、命令和动做；

3） 自动地对各类管理类、服务类和应用类帐户的密码及其它凭据进行随机化、管理和保管；

4） 为特权指令的执行提供一种安全的单点登陆（SSO）机制；

5） 委派、控制和过滤管理员所能执行的特权操做；

6） 隐藏应用和服务的帐户，让使用者不用掌握这些帐户实际的密码；

7） 具有或者可以集成高可信认证方式，譬如集成MFA。

很显然，虽然国内谈PAM不多，但实际上早已大量运用，其实就对应咱们国内常说的堡垒机。

Gartner将PAM工具分为两类：PASM（特权帐户和会话管理）和PEDM（权限提高与委派管理）。以下图所示：

显然，PASM通常对应那个堡垒机逻辑网关，实现单点登陆，集中的访问受权与控制，设备系统密码代管、会话管理、对操做的审计（录像）。

PEDM则主要经过分散的Agent来实现访问受权与控制，以及操做过滤和审计。国内的堡垒机通常都没有采用这种技术模式。

Gartner分析将来PAM的技术发展趋势包括：

1） 支持特权任务自动化，多个操做打包自动化执行；

2） 将PAM用于DevOps，让DevOps更安全更便捷；

3） 支持容器；

4） 支持IaaS/PaaS和虚拟化环境；

5） 以云服务的形式交付PAM；

6） 特权访问操做分析，就是对堡垒机日志进行分析，能够用到UEBA技术；

7） 与漏洞管理相结合；

8） 系统和特权帐户发现；

9） 特权身份治理与管理。

Gartner列出了评价PAM的几个关键衡量指标：

１）环境支持的状况，是否支持云环境？

２）具有PASM和PEDM功能，具备录像功能；

３）提供完备的API以便进行自动化集成；

４）具有天然人／非天然人的帐号管理功能。

在Gartner的2018年IAM技术Hype Cycle中，PAM处于早期主流阶段，正在向成熟的平原迈进。

国内堡垒机已经发展好多年了，本人早些年也负责过这块业务。国外PAM也趋于成熟，Gartner估计2016年全球PAM市场达到了9亿美圆，市场并购也比较频繁。Gartner对中国的PAM市场了解甚少，没有什么研究，这里我也建议国内的堡垒机领导厂商能够主动联系Gartner，让他们更多地了解中国的PAM市场。

2.2    符合CARTA方法论的弱点管理项目

【项目目标客户】基于CARTA方法论，该项目可以很好地处理漏洞管理问题，并有助于显著下降潜在风险。在补丁管理流程中断，以及IT运维的速度赶不上漏洞增加的速度时，能够考虑该项目。你没法打上每一个补丁，但你能够经过风险优先级管理显著下降风险。

【项目建议】要求你的虚拟助手／虚拟机供应商提供该能力（若是客户已经上云／虚拟化的话），并考虑使用风险缓解措施，譬如上防火墙、IPS、WAF等等。

注意，弱点管理不是弱点评估。弱点评估对应咱们熟知的弱点扫描工具，包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各种弱点数据，进行集中整理分析，并辅以情境数据（譬如资产、威胁、情报等），进行风险评估，并帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

另外，Vulnerability Management我一直称做“弱点管理”，而不是“漏洞管理”，是由于弱点包括漏洞，还包括弱配置！若是你认为Vulnerability应该叫作漏洞，那也不要紧，但不要把弱配置落掉。

那么，什么叫作基于CARTA的弱点管理呢？熟悉CARTA就能明白（能够参见个人文章《CARTA：Gartner的持续自适应风险与信任评估战略方法简介》），本质上CARTA就是以风险为核心一套安全方法论。所以，基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提高的过程，包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段，以下图所示：

做为排名第二位的项目，Gartner建议尽快启动，尽早下降组织面临的风险。

Gartner对基于CARTA方法论的VM的衡量指标包括：

１）是否有情境信息，谁收到攻|击？不只是IP，而是他的情境信息都须要，以便全面评估；

２）可否算出资产的业务价值？

３）可否绘制网络拓扑，给出缓解措施？

４）把VA（漏洞评估）和漏洞管理一并考虑，譬如集成VA工具

目前在国内通常有两类弱点管理产品，一类是单一的弱点管理产品，属于轻量级的弱点管理平台，更多具备工具的使用特色，管理类功能相对较为简单。还有一类是做为SOC/安管平台的一个组成部分，具备较为完备的平台功能，把漏洞管理的流程和其它SOC运维流程整合到一块儿。

2.3    积极的反钓鱼项目

【项目目标客户】该项目瞄准那些至今依然有员工遭受成功网络钓鱼攻|击的组织。他们须要采用一个三管齐下的策略，即同时进行技术控制、终端用户控制和流程重构。使用技术控制措施尽量多地阻断钓鱼攻|击，同时须要终端使用用户积极成为防护体系中的一环。

【项目建议】不要点名批评那些没有作到位的部门或者我的，而应该大张旗鼓的宣传那些作得得当的行为。应该去询问你的邮件安全供应商可否承担这个项目。若是不能，为何？（注：言下之意，邮件安全供应商应该具备这样的能力，不然就不合格）

Gartner认为近几年内，网络钓鱼（不管是邮件钓鱼仍是网页钓鱼）依然会是APT攻|击的最经典方式，也会是面向C端用户的广泛性攻|击方法。网络钓鱼一种广泛存在的高影响性威胁，他经过社交工程来实现对我的和企业资产的非法访问。尤为是邮件钓鱼十分猖獗，并还有不断上升的势头。尽管已经涌现了很多应对技术，但效果仍不显著。从技术上看，产生钓鱼的因素十分复杂，而且跟企业和我的信息泄露密切相关，很难从单一维度进行阻断。所以，Gartner提出了要进行综合治理的说法，须要运用技术、人和流程相结合的手段。Gartner给出的综合治理建议以下：

1） 在SEG（安全邮件网关）上加载高级威胁防护技术

最典型的就是集成URL过滤技术。URL过滤必须支持点击时URL过滤分析（time-of-click URL filtering）和使用代理的URL过滤分析，由于不少恶意URL都是在用户双击后动态产生的，还有的URL外面包了代理。这些都增长了过滤的难度。

其次是集成网络沙箱，这类技术已经较为成熟，但用到SEG上，性能是一个问题，而且沙箱逃逸开始出现。

更高级的是针对邮件中的附件文件进行CDR（content disarm and reconstruction，内容拆解与重建）。这种技术会实时地把文件分拆为不一样的组成部分，而后剥去任何不符合文件原始规范的内容，再从新把文件的不一样部分组合起来，造成一个“干净”的版本，继续将它传到目的地，而不影响业务。这里的CDR最核心的工做就是对文件进行清洗，譬如去掉宏、去掉js脚本等等嵌入式代码。这种技术性能还不错，但可能会清洗掉合法的动态脚本，致使文件不可用。所以Gartner建议一方面快速CDR清洗后发给用户，另外一方面继续跑沙箱，若是没问题再追发原始文件给用户。

固然，钓鱼手段远不止于此，譬如无载荷的钓鱼攻|击。所以，还有不少细节须要考虑。

2）   不要仅仅依靠密码来进行认证，要采用更安全的认证机制，尤为针对高价值的系统和高敏感用户。

3） 使用反钓鱼行为管控（APBM）技术

这类技术聚焦员工的行为管控和矫正，一般做为安全意识教育与培训的辅助手段。这类产品会发起模拟的钓鱼攻|击，而后根据被测员工的行为反馈来对其进行教育和矫正。目前这种技术主要以服务的方式交付给客户。

4）   强化内部流程管控。如前所述，有些无载荷钓鱼，包括一些社交工程的鱼叉式精准钓鱼，引诱收件人透露帐号密码或者敏感信息于无形。这些都是技术手段所不能及的，须要对关键流程进行从新梳理，增强管控。

Gartner给客户的其它建议还包括：

1） 要求邮件安全供应商提供反钓鱼功能；

2） 确保合做伙伴也实施了反钓鱼防御；

3） 正面管理，而不是相反；

4） 考虑与远程浏览器隔离技术结合使用（远程浏览器是Gartner 2017年10大安全技术）。

2.4    服务器工做负载的应用控制项目

【项目目标客户】该项目适合那些但愿对服务器工做负载实施零信任或默认拒绝策略的组织。该项目使用应用控制机制来阻断大部分不在白名单上的恶意代码。Neil认为这是用中十分强的的安全策略，并被证实可以有效抵御Spectre和Meldown攻|击。

【项目建议】把应用控制白名单技术跟综合内存保护技术结合使用。该项目对于物联网项目或者是不在被供应商提供保护支持的系统特别有用。

应用控制也称做应用白名单，做为一种成熟的端点保护技术，不只能够针对传统的服务器工做负载，也能够针对云工做负载，还能针对桌面PC。EPP、CWPP（云工做负载保护平台）中都有该技术的存在。固然，因为桌面PC使用模式相对开放，而服务器运行相对封闭，所以该技术更适合服务器端点。经过定义一份应用白名单，指明只有什么能够执行，其他的皆不可执行，可以阻止大部分恶意软件的执行。一些OS已经内置了此类功能。还有一些应用控制技术可以进一步约束应用在运行过程当中的行为和系统交互，从而实现更精细化的控制。

Gartner给客户还提出了以下建议：

1） 应用控制不是银弹，系统该打补丁仍是要打；

2） 能够取代杀毒软件（针对服务器端），或者调低杀毒引擎的工做量。

根据Gartner的2018年威胁对抗Hype Cycle，应用控制处于成熟主流阶段。

2.5    微隔离和流可见性项目

【项目目标客户】该项目十分适用于那些具备平坦网络拓扑结构的组织，不管是本地网络仍是在IaaS中的网络。这些组织但愿得到对于数据中心流量的可见性和控制。该项目旨在阻止针对数据中心攻|击的横向移动。MacDonald表示，“若是坏人进来了，他们不能畅通无阻”。

【项目建议】把得到网络可见性做为微隔离项目的切入点，但切忌不要过分隔离。先针对关键的应用进行隔离，同时要求你的供应商原生支持隔离技术。

该技术在2017年也上榜了，而且今年的技术内涵基本没有变化。

广义上讲，微隔离（也有人称作“微分段”）就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻|击在进入企业数据中心网络内部后的横向平移（或者叫东西向移动），是软件定义安全的一种具体实践。微隔离使用策略驱动的防火墙技术（一般是基于软件的）或者网络加密技术来隔离数据中心、公共云IaaS、容器、甚至是包含前述环境的混合场景中的不一样工做负载、应用和进程。流可见技术（注意：不是可视化技术）则与微隔离技术伴生，由于要实现东西向网络流的隔离和控制，必先实现流的可见性（Visibility）。流可见性技术使得安全运维与管理人员能够看到内部网络信息流动的状况，使得微隔离可以更好地设置策略并协助纠偏。

除了数据中心云化给微隔离带来的机遇，数据中心负载的动态化、容器化，以及微服务架构也都愈加成为微隔离的驱动因素，由于这些新技术、新场景都让传统的防火墙和攻|击防护技术显得捉襟见肘。而数据中心架构的变革如此之大，也引起了大型的厂商纷纷进入这个领域，到不见得是为了微隔离自己，更多仍是为了自身的总体布局。譬如，云和虚拟化厂商为了自身的总体战略就（不得不）进入这个领域。我我的感受将来微隔离的startup厂商更多可能会被云厂商和大型安全厂商所并购。此外，针对容器的微隔离也值得关注。

Gartner给出了评估微隔离的几个关键衡量指标，包括：

1） 是基于代理的、基于虚拟化设备的仍是基于容器的？

2） 若是是基于代理的，对宿主的性能影响性如何？

3） 若是是基于虚拟化设备的，它如何接入网络中？

4） 该解决方案支持公共云IaaS吗？

Gartner还给客户提出了以下几点建议：

1） 欲建微隔离，先从得到网络可见性开始，可见才可隔离；

2） 谨防过分隔离，从关键应用开始；

3） 鞭策IaaS、防火墙、交换机厂商原生支持微隔离；

Gartner将微隔离划分出了4种模式：内生云控制模式、第三方防火墙模式、混合式、叠加式。针对这四种模式的介绍能够参见我写的《Gartner2017年十大安全技术解读》。

根据Gartner的2018年云安全Hype Cycle，目前微隔离已经“从失望的低谷爬了出来，正在向成熟的平原爬坡”，但依然处于成熟的早期阶段。

在国内已经有以此技术为核心的创业新兴厂商。

2.6    检测和响应项目

Gartner今年将各类检测和响应技术打包到一块儿统称为“检测和响应项目”。实际上对应了4样东西，包括三种技术和一种服务。

【项目目标客户】该项目适用于那些已经认定被攻陷是没法避免的组织。他们但愿寻找某些基于端点、基于网络或者基于用户的方法去得到高级威胁检测、调查和响应的能力。这里有三种方式可供选择：

l  EPP+EDR：端点保护平台+端点检测与响应

l  UEBA：用户与实体行为分析

l  Decption：欺骗

欺骗技术相对小众，可是一个新兴的市场。对于那些试图寻找更深刻的方法去增强其威胁侦测机制，从而得到高保真事件的组织而言，采用欺骗技术是个不错的点子。

【项目建议】给EPP供应商施压要求其提供EDR功能，给SIEM厂商施压要求其提供UEBA功能。要求欺骗技术供应商提供丰富的假目标类型组合。考虑从供应商那里直接采购相似MDR（“可管理检测与响应”，或者“托管检测与响应”）的服务。

2.6.1 EPP+EDR

EDR（端点检测于响应）在2014年就进入Gartner的10大技术之列了。EDR工具一般记录大量端点级系统的行为与相关事件，譬如用户、文件、进程、注册表、内存和网络事件，并将这些信息存储在终端本地或者集中数据库中。而后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别信息泄露（包括内部威胁），并快速对攻|击进行响应。

EDR的出现最初是为了弥补传统终端/端点管理系统（Gartner称为EPP）的不足。而如今，EDR正在与EPP迅速互相融合，尤为是EPP厂商的新版本中纷纷加入了EDR的功能，但Gartner预计将来短时间内EDR和EPP仍将并存。

但正如我在《Gartner2017年十大安全技术解读》中所述，EDR的用户使用成本仍是很高的，EDR的价值体现多少跟分析师水平高低和经验多少密切相关。这也是限制EDR市场发展的一个重要因素。

另一方面，随着终端威胁的不断演化，EPP（端点保护平台）已经不能仅仅聚焦于阻止初始的威胁感染，还须要投入精力放到加固、检测、响应等等多个环节，所以近几年来EPP市场发生了很大的变化，包括出现了EDR这类注重检测和响应的产品。终于，在2018年9月底，Gartner给出了一个全新升级的EPP定义：

“EPP解决方案部署在端点之上，用于阻止基于文件的恶意代码攻|击、检测恶意行为，并提供调查和修复的能力去处理须要响应的动态安全事件和告警”。

相较于以前的EPP定义，更增强调对恶意代码和恶意行为的检测及响应。而这个定义也进一步反映了EPP与EDR市场融合的事实，基本上新一代的EPP都内置EDR功能了。Gartner建议客户在选购EPP的时候，最好要求他们一并提供EDR功能。所以，我我的认为，将来EDR将做为一种技术消融到其它产品中去，主要是EPP，也可能做为一组功能点存在于其它产品中。独立EDR存在的可能性会十分地小。

Gartner在2018年的威胁对抗（Threat-Facing）技术的Hype Cycle中首次标注了EDR技术，处于即将滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出如今Hype Cycle中，位于Hype Cycle的“成熟平原”，属于早期主流产品。Gartner本身也表示，将EPP例如Hype Cycle也是一件不一样寻常的事情，由于EPP已经存在20年了。但之因此把EPP列进来进行分析就是由于前面提到的EPP已经被Gartner从新定义了。

在国内，EPP的厂商也已经经历了多年的洗礼，格局较为稳定。而EDR产品则多见于一些新兴厂商，有的已经开始搅动起看似稳定的EPP市场了。

2.6.2 UEBA

UEBA（用户与实体行为分析）曾经在2016年例如10大安全技术，2017年未能入榜，不过在2018年以检测与响应项目中的一个分支方向的名义从新入榜。

UEBA解决方案经过对用户和实体（如主机、应用、网络流量和数据集）基于历史轨迹或对照组创建行为轮廓基线来进行分析，并将那些异于标准基线的行为标注为可疑行为，最终经过各类异常模型的打包分析来帮助发现威胁和潜藏的安全事件。

根据Gartner的观察，目前UEBA市场已经出现了明显的分化。一方面仅存在少许的纯UEBA厂商，另外一方面多种传统细分市场的产品开始将UEBA功能融入其中。这其中最典型的就是SIEM厂商，已经将UEBA技术做为了SIEM的核心引擎。Gartner在给客户的建议中明确提到“在选购SIEM的时候，要求厂商提供UEBA功能”。此外，包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。

因为不断的并购和其它细分市场产品的蚕食，纯UEBA厂商愈来愈少。同时，因为该技术此前一直处于指望的顶点，一些率先采用UEBA技术的超前客户的失败案例开始涌现，促令人们对这个技术进行从新定位，固然也有利于UEBA将来更好发展。

另外，有些作得不错的纯UEBA厂商也开始扩展本身的细分市场。最典型的就是向SIEM厂商进发。2017年的SIEM魔力象限就已经出现了两个UEBA厂商，他们已经开始把本身看成更先进的SIEM厂商了。

在Gartner的2018年应用安全的Hype Cycle中，UEBA已经从去年的指望顶峰基本滑落到失望的谷底了，整体上仍处于青春期的阶段。

个人观点，将来纯UEBA厂商将愈来愈少，要么被并购，要么转变到其它更大的细分市场。同时SIEM厂商将会大举投入UEBA技术，不管是买，仍是OEM，抑或自研。将来，UEBA更可能是一种技术，一种能力，被普遍集成到多种安全产品之中，最关键就是UEBA引擎。但只要UEBA厂商还可以开发出具备独立存在价值的客户应用场景，就不会消失。至少目前来看，仍是具有独立存在的价值的。

在国内目前几乎没有UEBA的专业厂商，通常见于其它细分市场的产品家族中，譬如SIEM/安管平台厂商，或者业务安全厂商的产品线中会有这个产品。我比较自豪的是，咱们公司是目前国内少有的几家具备UEBA产品的新兴安管平台厂商之一。

2.6.3 欺骗

该技术在2016年就上榜了。欺骗技术(Deception Technology)的本质就是有针对性地对攻|击者进行我方网络、主机、应用、终端和数据的假装，欺骗攻|击者，尤为是攻|击者的工具中的各类特征识别环节，使得那些工具产生误判或失效，扰乱者的视线，将其引入死胡同，延缓攻|击者的时间。譬如能够设置一个伪目标/诱饵，诱骗攻|击者对其实施攻|击，从而触发攻|击告警。

欺骗技术做为一种新型的威胁检测技术，能够做为SIEM或者其它新型检测技术（如NTA、UEBA）的有益补充，尤为是在检测高级威胁的横向移动方面。Gartner认为将来欺骗类产品独立存在的可能性很小，绝大部分都将被并购或者消亡，成为大的产品方案中的一环。

针对欺骗技术，Gartner给客户的建议包括：

1） 要求厂商提供丰富的假目标（类型）组合；

2） 要求提供基于攻|击者视角的可视化拓扑；

3） 要求提供完整的API能力，便于客户进行编排和自动化集成。

Gartner近来一直大力推介欺骗技术。在2018年的威胁对抗Hype Cycle中首次列入了欺骗平台技术，并将其列为新兴技术，正在向指望的高峰攀登。整体上，不管是技术的产品化实用程度，仍是客户的接受程度，都处于早期，Gartner预计还有5到10年才能趋于成熟。

在国内，这块市场也刚刚萌芽（不算之前的特定客户市场）。出现了若干个具备（但不是主打）此类产品的新兴公司。

2.6.4 MDR服务

MDR在2017年也已经上榜了。MDR做为一种服务，为那些想提高自身高级威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个选择。

事实上，若是你采购了MDR服务，MDR提供商可能会在你的网络中部署前面说起的某些新型威胁检测装置，固然客户没必要具体操心这些设备的使用，交给MDR服务提供商就行了。有关MDR更多介绍能够参见个人《Gartner2017年十大安全技术解读》。

根据个人观察，MDR也是一个机会市场，随着MSSP愈来愈多的提供MDR服务，纯MDR厂商将会逐步消失，或者变成检测产品厂商提供的一种产品附加服务。Gartner建议客户尽可能选择具备MDR服务能力的MSSP。

在2018年的威胁对抗Hype Cycle中首次列入了MDR，并将其列为新兴技术，而且比欺骗技术还要早期。

2.6.5 小结

这里，我我的小结一下，目前市面上常见的新型威胁检测技术大致上包括：EDR、NTA、UEBA、TIP、网络沙箱、欺骗技术等。能够说这些新型技术各有所长，也各有使用限制。这里面，威胁情报比对相对最简单实用，但前提是要有靠谱的情报。沙箱技术相对最为成熟，但也被攻|击者研究得相对最透。EDR在整个IT架构的神经末梢端进行检测，理论效果最好，但受限于部署和维护问题，对宿主的影响性始终挥之不去，甚至还有些智能设备根本没法部署代理。NTA部署相对简单，对网络干扰性小，但对分散性网络部署成本较高，且难以应对愈来愈多的加密通讯。UEBA确定也是一个好东西，但须要提供较高质量的数据输入，且机器学习分析的结果确切性不可能100%，也就是存在误报，多用于Threat Hunting，也就是还要以来分析师的后续分析。欺骗技术理论上很好，并且基本不影响客户现有的业务，但须要额外的网络改形成本，并且效果还未被普遍证明。对于客户而言，不论选择哪一种新型技术，首先要把基础的IDP、SIEM布上去，而后再考虑进阶的检测能力。而具体用到哪一种新型检测技术，则要具体问题具体分析了，切不可盲目跟风。

2.7    云安全配置管理（CSPM）项目

【项目目标客户】该项目适用于那些但愿对其IaaS和PaaS云安全配置进行全面、自动化评估，以识别风险的组织。CASB厂商也提供这类能力。

【项目建议】若是客户仅仅有一个单一的IaaS，那么先去咨询你的IaaS提供商；客户若是已经或者想要部署CASB，也能够先去问问CASB供应商。

CSPM（Cloud Security Posture Management）是Neil本身新造的一个词，原来叫云基础设施安全配置评估（CISPA），也是他取的名字。更名的缘由在原来仅做“评估”，如今不只要“评估”，还要“修正”，所以改叫“管理”。Posture在这里我认为是不该该翻译为“态势”的，其实Neil本意也不是讲咱们国人所理解的态势，而是讲配置。

要理解CSPM，首先就要分清楚CSPM和CWPP的关系，Neil本身画了下图来阐释：

    

如上图所示，在谈及云工做负载的安全防御的时候，通常分为三个部分去考虑，分属于两个平面。一个是数据平面，一个是控制平面。在数据平面，主要包括针对云工做负载自己进行防御的CWPP，以及云工做负载之上的CWSS（云工做负载安全服务）。CWSS是在云工做负载之上对负载进行安全防御。在控制平面，则都是在负载之上对负载进行防御的措施，就包括了CSPM，以及前面的CWSS（此处有重叠）。

CSPM可以对IaaS，以及PaaS，甚至SaaS的控制平面中的基础设施安全配置进行分析与管理（纠偏）。这些安全配置包括帐号特权、网络和存储配置、以及安全配置（如加密设置）。理想状况下，若是发现配置不合规，CSPM会采起行动进行纠偏（修正）。大致上，咱们能够将CSPM纳入弱点扫描类产品中去，跟漏扫、配置核查搁到一块。

对云的正确配置是很重要的一件事，譬如由于对AWS云的S3 bucket配置不当，已经发生了屡次重大的信息泄露事件。云厂商通常也都会提供相似的功能，可是对于跨云用户而言，须要有专门的配置管理工具去消除不一样云环境中的具体配置差别。

Gartner认为CASB中应该具有CSPM功能。同时，一些CWPP厂商也开始提供CSPM功能。

在Gartner的2018年云安全Hype Cycle中，CSPM处于指望的顶峰阶段，用户期待很高，处于青春期。

2.8    自动化安全扫描项目

【项目目标客户】该项目适用于那些但愿把安全控制措施集成到Devops风格的流程中去的组织。从开源软件的成份分析工具开始，并将测试无缝集成到DevSecOps流程和容器中。

【项目建议】不要轻易让开发人员切换工具。要求工具提供者提供完备的API以便使用者进行自动化集成。

该技术在2016年就上榜了。不过，每一年的侧重点各有不一样。在2016年侧重的是DevSecOps的安全测试和RASP（运行时应用自保护），2017年则侧重面向开源软件（Open Source Software）进行安全扫描和软件成份分析。2018年则继续强调针对开源软件的软件成份分析。

DevSecOps是Gartner力推的一个概念，有大量的相关分析报告。DevSecOps采用模型、蓝图、模板、工具链等等驱动的安全方法来对开发和运维过程进行自保护，譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、合规性的、基于策略的对应用底层安全架构的配置。

软件成份分析(SCA，Software Composition Analysis)专门用于分析开发人员使用的各类源码、模块、框架和库，以识别和清点开源软件（OSS）的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证受权问题，把这些风险排查在应用系统投产以前，也适用于应用系统运行中的诊断分析。若是用户要保障软件系统的供应链安全，这个SCA颇有做用。

Gartner给出了SCA关键评估指标包括：

1） 是否具有漏洞和配置扫描功能？

2） 可否将开源组件指纹与CVE关联？

3） 可否与SAST/DAST/IAST扫描集成？

Gartner给客户的建议则包括：

1） 不要轻易让SCA的使用者（通常是开发人员）切换工具；

2） 须要提供API以便使用者进行自动化集成；

3） 确保可以检查到开源软件的许可证问题；

4） SCA的测试过程要无缝集成到DevSecOps流程中；

在Gartner的2018年应用安全的Hype Cycle中，SCA相较于去年更加成熟，但仍处于成熟早期的阶段，属于应用安全测试的范畴，能够综合使用静态测试、动态测试、交互测试等手段。

2.9    CASB项目

【项目目标客户】该项目适用于那些移动办公状况相对较多，采用了多个云厂商的云服务的组织。这些组织但愿得到一个控制点，以便得到这些云服务的可见性和集中的策略管控。

【项目建议】以服务发现功能做为切入点去验证项目的可行性。建议在2018年和2019年将高价值敏感数据发现与监测做为关键的应用案例。

该技术从2014年就开始上榜了，而且今年的技术内涵基本没有变化。

CASB做为一种产品或服务，为企业承认的云应用提供通用云应用使用、数据保护和治理的可见性。CASB的出现缘由，简单说，就是随着用户愈来愈多采用云服务，并将数据存入（公有）云中，他们须要一种产品来帮助他们采用一致的策略安全地接入不一样的云应用，让他们清晰地看到云服务的使用状况，实现异构云服务的治理，并对云中的数据进行有效的保护，而传统的WAF、SWG和企业防火墙没法作到这些，所以须要CASB。

CASB至关于一个超级网关，融合了多种类型的安全策略执行点。在这个超级网关上，可以进行认证、单点登陆、受权、凭据映射、设备建模、数据安全（内容检测、加密、混淆）、日志管理、告警，甚至恶意代码检测和防御。正如我在《Gartner2017年十大安全技术解读》中所述，CASB就是一个大杂烩。

CASB一个很重要的设计理念就是充分意识到在云中（尤指公有云）数据是本身的，可是承载数据的基础设施不是本身的。Gartner指出CASB重点针对SaaS应用来提高其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供四个维度的功能：发现、数据保护、威胁检测、合规性。

Neil Mcdonald将CASB项目进一步分为了云应用发现、自适应访问、敏感数据发现与保护三个子方向，建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这三个子方向其实也对应了CASB四大功能中的三个（除了威胁检测）。

在Gartner的2018年云安全Hype Cycle中，CASB依然位于失望的低谷，但就快要爬出去了，继续处于青春期阶段。

国内也有很多自称作CASB的厂商，但跟Gartner所描述的还有差异，也算是中国特点吧，毕竟在国内多云应用场景还不普及。注意，我认为云堡垒机是PAM在云中的一个应用场景，不能叫作CASB。

2.10 软件定义边界项目

【项目目标客户】该项目瞄准那些仅想将其数字系统和信息开放给指定的外部合做伙伴或者远程员工的组织。这些组织但愿经过限制数字系统和信息的暴露面来减小攻|击面。

【项目提示】从新评估原有基于V|P|N的访问机制的风险。建议在2018年选取一个跟合做伙伴交互的数字服务做为试点，尝试创建应用案例。

该技术在2017年也上榜了，而且今年的技术内涵基本没有变化。

SDP将不一样的网络相连的个体（软硬件资源）定义为一个逻辑集合，造成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须经过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，下降其受攻|击的暴露面的目标。其实，Google的BeyondCorp零信任理念也跟SDP或者软件定义安全同源。目前，SDP技术吸引了不少寻找云应用场景下的V|P|N替代方案的客户的目光。根据Gartner的分析，目前SDP还处于大量吸引投资的阶段，此类新兴公司正在不断涌现，并购行为尚不多见。

在Gartner的2018年云安全Hype Cycle中，SDP已经从2017年的指望顶峰开始向失望的低谷滑落，尚处于青春期阶段。

 

3     其余新兴技术

除了上述10大安全项目，Gartner还列举了一些正在兴起的其余新技术：

l  Remote browser isolation

l  Container security

l  Breach and attack simulation

l  Controls gap risk analytics

l  Digital supply chain risk assessment services

l  Encryption by default, encryption everywhere

l  Anti-fraud/bot protection platforms (UI protection)

l  ERP-specific security/business-critical application security

l  Data flow discovery, monitoring and analytics

l  Bug bounty programs, crowdsourced and pen testing aaS

l  Cloud firewalls and UTMs for branch office and SOHO

l  EPP + EDR merger = Advanced endpoint protection

l  IoT/OT discovery, visibility, monitoring and deception

l  SecOps chat

其中，排在前两位的远程浏览器隔离、容器安全都是2017年的11大技术之列，而排第三的BAS也是这两年Gartner推崇的新兴技术，而BAS和从排5开始的全部技术也都是原封不动地从2017年的待选新技术中复制过来的。

有一点能够提示一下，上述技术都已经有产品和方案落地，而非研究性课题。

 

4     收益分析

Gartner认为，经过实施如下五个项目，组织受攻|击形成的财务损失到2020年将比2017年下降80%。这五个项目是：

1)       基于风险优先级（CARTA）的漏洞管理；

2)       特权帐户管理；

3)       积极反钓鱼项目集（program）；

4)       服务器负载的应用控制；

5)       开发过程的自动化测试

5     整体建议

Neil在峰会上十大安全项目讲解的最后给出了一些整体建议：

1)       若是你在2018年只能作一件事情，那么就作基于CARTA的漏洞管理项目；

2)       在选择2018年项目的时候不要仅仅关注下降风险；

3)       找到信息安全可以促进数字业务增加的机会点，只要风险能够接受（也就是说，不要只看到降风险，还要看到促增加，看到业务安全）。先从自动化安全扫描支撑快速开发作起；

4)       若是你使用了IaaS，当即进行云安全配置评估和管理；

5)       若是你使用了SaaS，当即开始了解你的服务使用状况，并启动敏感数据发现项目；

6)       在服务器、网络和应用上实施默认拒绝的应用控制策略。

6     主要参考信息

1.      https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/

2.      我写的《Gartner2017年十大安全技术解读》；

3.      Market Guide for Privileged Access Management, Gartner;

4.      Market Guide for Vulnerability Assessment, Gartner;

5.      Fighting Phishing: Optimize Your Defense, Gartner;

6.      Hype Cycle for Cloud Security, 2018, Gartner;

7.      Hype Cycle for Application Security, 2018, Gartner;

8.      Hype Cycle for Threat-Facing Technologies, 2018, Gartner;

9.      Redefining Endpoint Protection for 2017 and 2018, Gartner;

10.   Market Guide for Cloud Workload Protection Platforms, 2018, Gartner.

 

【参考】

逐一解读Gartner评出的2017年11大信息安全技术

Gartner：2016年十大信息安全技术（含解读）

Gartner：2014年十大信息安全技术

欢迎关注个人微信公众号：专一安管平台