今日頭條
官方微信
官方抖音
資訊頻道1、概述
2018年6月份,一年一度的Gartner安全與風險管理峰會上,知名分析師Neil Mcdonald發布了2018年度的十大安全項目(Top 10 Security Projects)。
在之前的幾年里,Gartner一直做的是10大頂級技術(Top New and Cool Technologies)的發布,更多關注是新興的產品化技術和即將大規模應用的技術。推出這些頂級技術的目的也是供客戶方的信息安全主管們作為當年安全投資建設的推薦參考。
而2018年“十大安全技術”換成了“十大安全項目”,所為何故?我個人的理解:今年“十大安全項目”的叫法更加符合客戶視角,而且更加強調對客戶而言具有很高優先級的技術。也就是說,也許有些項目涉及的技術不一定是最新最酷的技術,但對客戶而言是特別有助于降低安全風險的技術。如此一來,十大安全項目考察的技術點就要比十大安全技術更廣泛,更加客戶視角。
根據Gartner自己的說明,給出了選取十大安全項目的方式。
首先,假定客戶已經具備了相當的安全基礎。如果連這些基礎都沒有達到,那么也就不要去追求什么十大安全項目,乃至十大安全技術了。這些基礎包括:
1) 已經有了較為先進的EPP(端點保護平臺),具備諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能;
2) 已經做好了基本的Windows賬戶管理工作;
3) 已經有了IAM;
4) 有了常規化的補丁管理;
5) 已經有了標準化的服務器/云工作負載保護平臺代理;
6) 具備較為強健的反垃圾郵件能力;
7) 部署了某種形式的SIEM或者日志管理解決方案,具有基本的檢測/響應能力;
8) 建立了備份/恢復機制;
9) 有基本的安全意識培訓;
10)具備基本的互聯網出口邊界安全防護能力,包括URL過濾能力;
沒錯,對于客戶而言,上面10個技術和能力更為基礎,優先級更高,如果上述能力都有欠缺,先別輕易考慮什么十大安全項目!
其次,針對10大項目的選取也比較強調新(客戶采用率低于50%),同時又必須是已經落地的,而且又不能太過復雜(是Project級別而非Program級別)【注:要區別portfolio(項目組合), program(項目集), project(項目)三種項目間的關系】。
最后,選取的技術必須是能夠最大程度上降低客戶風險的,且付出是相對經濟的,必須是符合數字時代發展潮流的,符合Gartner自己的CARTA(持續自適應風險與信任評估)方法論的。
基于上述所有前提假定,Gartner給出了2018年的10大安全項目:
對比一下近些年Gartner的10大安全技術/項目如下表所示:
Gartner歷年評選的頂級技術/項目對比分析
通過分析比較,不難發現,和2017年度的11大安全技術(參見我寫的《Gartner2017年十大安全技術解讀》)相比,差別其實不大,大部分2017年的頂級技術都保留了,有的更加細化了,同時增加了幾項算不上先進但對客戶而言更為迫切的幾個技術,包括PAM、弱點管理(VM)、反釣魚。同時,這些項目也不是對每個客戶都具備同等的急迫性,不同客戶還需要根據自身的情況進行取舍,有所關注。
此外,細心的人可能還會發現,居然沒有現在大熱的數據安全項目?的確,Gartner 10大安全項目中沒有明確以數據安全為大標題的項目,不過在多個項目中都提及了數據安全,譬如在CASB項目中建議優先考慮處理數據安全問題,PAM也跟數據安全有關系。另外,我感覺數據安全是一個十分龐大的題目,不可能用幾個Project來達成,起碼也要是Program級別的。期待以后Neil對數據安全更加重視起來吧。
特別需要指出的是,雖說叫10大安全項目,但是“檢測與響應項目”其實包括了四個子項目,分別是EPP+EDR,UEBA、欺騙技術和MDR(可管理檢測與響應)服務。因此,如果展開來說,其實不止10個項目,只是為了“湊個10”。
2、十大安全項目解析
接下來,我們逐一解析一下10大項目,對于2017年就出現過的,還可以參見我去年寫的《Gartner2017年十大安全技術解讀》,內涵基本沒有什么變化。
注意,配合10大項目的發布,Gartner官方發布了一篇文章(參見https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/),而Gartner中國也發布了中文譯文——《Gartner遴選出2018十大安全項目》。不過,最初Gartner官方新聞稿中編輯將EDR縮寫的指代英文全稱寫錯了,導致很多中文譯文也都跟著錯了,并且Gartner的中文譯文將MDR這個縮寫也翻譯錯誤了。此外,Gartner中國刊載的中文譯文也有不少其它錯誤,主要是對多個專業英文縮寫所代表的專業術語翻譯錯誤和不準確,一些專業語句由于缺乏知識背景翻譯錯誤。譬如Deception不應該翻譯為“欺詐”,而應該叫做“欺騙”,因為我們要從正面角度解讀這個詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專業的稱呼。對此,我當時就已經告知Gartner中國,并提出了9點改進建議。后來,Gartner美國官網的錯誤改正過來了,但Gartner中國的那篇中文譯文的文章卻一直保留著那些錯誤。因此,在下面的解析內容中我首先都會將官網上的內容(包括項目目標客戶和項目提示兩個部分)重新翻譯一遍,然后再做具體解讀。
2.1 特權賬戶管理項目
【項目目標客戶】該項目旨在讓攻|擊者更難訪問特權賬戶,并讓安全團隊監測到異常訪問的行為。最低限度,CISO們應該要求對所有管理員實施強制多因素認證,建議同時也對承包商等外部第三方的訪問實施強制多因素認證。
【項目建議】先對高價值、高風險的系統實施PAM,監控對其的訪問行為。
PAM工具為組織的關鍵資產提供安全的特權訪問,以符合對特權賬號及其訪問的監控管理合規需求。PAM通常具備以下功能:
1) 對特權賬號的訪問控制功能,包括共享賬號和應急賬號;
2) 監控、記錄和審計特權訪問操作、命令和動作;
3) 自動地對各種管理類、服務類和應用類賬戶的密碼及其它憑據進行隨機化、管理和保管;
4) 為特權指令的執行提供一種安全的單點登錄(SSO)機制;
5) 委派、控制和過濾管理員所能執行的特權操作;
6) 隱藏應用和服務的賬戶,讓使用者不用掌握這些賬戶實際的密碼;
7) 具備或者能夠集成高可信認證方式,譬如集成MFA。
很顯然,雖然國內談PAM很少,但實際上早已大量運用,其實就對應我們國內常說的堡壘機。
Gartner將PAM工具分為兩類:PASM(特權賬戶和會話管理)和PEDM(權限提升與委派管理)。如下圖所示:
顯然,PASM一般對應那個堡壘機邏輯網關,實現單點登錄,集中的訪問授權與控制,設備系統密碼代管、會話管理、對操作的審計(錄像)。
PEDM則主要通過分散的Agent來實現訪問授權與控制,以及操作過濾和審計。國內的堡壘機一般都沒有采用這種技術模式。
Gartner分析未來PAM的技術發展趨勢包括:
1) 支持特權任務自動化,多個操作打包自動化執行;
2) 將PAM用于DevOps,讓DevOps更安全更便捷;
3) 支持容器;
4) 支持IaaS/PaaS和虛擬化環境;
5) 以云服務的形式交付PAM;
6) 特權訪問操作分析,就是對堡壘機日志進行分析,可以用到UEBA技術;
7) 與漏洞管理相結合;
8) 系統和特權賬戶發現;
9) 特權身份治理與管理。
Gartner列出了評價PAM的幾個關鍵衡量指標:
1)環境支持的情況,是否支持云環境?
2)具備PASM和PEDM功能,具有錄像功能;
3)提供完備的API以便進行自動化集成;
4)具備自然人/非自然人的賬號管理功能。
在Gartner的2018年IAM技術Hype Cycle中,PAM處于早期主流階段,正在向成熟的平原邁進。
國內堡壘機已經發展好多年了,本人早些年也負責過這塊業務。國外PAM也趨于成熟,Gartner估計2016年全球PAM市場達到了9億美元,市場并購也比較頻繁。Gartner對中國的PAM市場了解甚少,沒有什么研究,這里我也建議國內的堡壘機領導廠商可以主動聯系Gartner,讓他們更多地了解中國的PAM市場。
2.2 符合CARTA方法論的弱點管理項目
【項目目標客戶】基于CARTA方法論,該項目能夠很好地處理漏洞管理問題,并有助于顯著降低潛在風險。在補丁管理流程中斷,以及IT運維的速度趕不上漏洞增長的速度時,可以考慮該項目。你無法打上每個補丁,但你可以通過風險優先級管理顯著降低風險。
【項目建議】要求你的虛擬助手/虛擬機供應商提供該能力(如果客戶已經上云/虛擬化的話),并考慮使用風險緩解措施,譬如上防火墻、IPS、WAF等等。
注意,弱點管理不是弱點評估。弱點評估對應我們熟知的弱點掃描工具,包括系統漏掃、web漏掃、配置核查、代碼掃描等。而弱點管理是在弱點評估工具之上,收集這些工具所產生的各類弱點數據,進行集中整理分析,并輔以情境數據(譬如資產、威脅、情報等),進行風險評估,并幫助安全管理人員進行弱點全生命周期管理的平臺。記住,弱點管理是平臺,而弱點掃描是工具。
另外,Vulnerability Management我一直稱作“弱點管理”,而不是“漏洞管理”,是因為弱點包括漏洞,還包括弱配置!如果你認為Vulnerability應該叫做漏洞,那也沒關系,但不要把弱配置落掉。
那么,什么叫做基于CARTA的弱點管理呢?熟悉CARTA就能明白(可以參見我的文章《CARTA:Gartner的持續自適應風險與信任評估戰略方法簡介》),本質上CARTA就是以風險為核心一套安全方法論。因此,基于CARTA的弱點管理等價于基于風險的弱點管理。基于風險的管理是一個不斷迭代提升的過程,包括弱點發現、弱點優先級排序、弱點補償控制三個階段,如下圖所示:
作為排名第二位的項目,Gartner建議盡快啟動,盡早降低組織面臨的風險。
Gartner對基于CARTA方法論的VM的衡量指標包括:
1)是否有情境信息,誰收到攻|擊?不僅是IP,而是他的情境信息都需要,以便全面評估;
2)能否算出資產的業務價值?
3)能否繪制網絡拓撲,給出緩解措施?
4)把VA(漏洞評估)和漏洞管理一并考慮,譬如集成VA工具。
目前在國內一般有兩類弱點管理產品,一類是單一的弱點管理產品,屬于請諒解的弱點管理平臺,更多具有工具的使用特點,管理類功能相對較為簡單。還有一類是作為SOC/安管平臺的一個組成部分,具有較為完備的平臺功能,把漏洞管理的流程和其它SOC運維流程整合到一起。
2.3 積極的反釣魚項目
【項目目標客戶】該項目瞄準那些至今依然有員工遭受成功網絡釣魚攻|擊的組織。他們需要采用一個三管齊下的策略,即同時進行技術控制、終端用戶控制和流程重構。使用技術控制措施盡可能多地阻斷釣魚攻|擊,同時需要終端使用用戶積極成為防御體系中的一環。
【項目建議】不要點名批評那些沒有做到位的部門或者個人,而應該大張旗鼓的宣傳那些做得得當的行為。應該去詢問你的郵件安全供應商能否承擔這個項目。如果不能,為什么?(注:言下之意,郵件安全供應商應該具有這樣的能力,否則就不合格)
Gartner認為近幾年內,網絡釣魚(不論是郵件釣魚還是網頁釣魚)依然會是APT攻|擊的最經典方式,也會是面向C端用戶的普遍性攻|擊方法。網絡釣魚一種普遍存在的高影響性威脅,他通過社交工程來實現對個人和企業資產的非法訪問。尤其是郵件釣魚十分猖獗,并還有不斷上升的勢頭。盡管已經涌現了不少應對技術,但效果仍不顯著。從技術上看,產生釣魚的因素十分復雜,并且跟企業和個人信息泄露密切相關,很難從單一維度進行阻斷。因此,Gartner提出了要進行綜合治理的說法,需要運用技術、人和流程相結合的手段。Gartner給出的綜合治理建議如下:
1) 在SEG(安全郵件網關)上加載高級威脅防御技術
最典型的就是集成URL過濾技術。URL過濾必須支持點擊時URL過濾分析(time-of-click URL filtering)和使用代理的URL過濾分析,因為很多惡意URL都是在用戶雙擊后動態產生的,還有的URL外面包了代理。這些都增加了過濾的難度。
其次是集成網絡沙箱,這類技術已經較為成熟,但用到SEG上,性能是一個問題,并且沙箱逃逸開始出現。
更高級的是針對郵件中的附件文件進行CDR(content disarm and reconstruction,內容拆解與重建)。這種技術會實時地把文件分拆為不同的組成部分,然后剝去任何不符合文件原始規范的內容,再重新把文件的不同部分組合起來,形成一個“干凈”的版本,繼續將它傳到目的地,而不影響業務。這里的CDR最核心的工作就是對文件進行清洗,譬如去掉宏、去掉js腳本等等嵌入式代碼。這種技術性能還不錯,但可能會清洗掉合法的動態腳本,導致文件不可用。因此Gartner建議一方面快速CDR清洗后發給用戶,另一方面繼續跑沙箱,如果沒問題再追發原始文件給用戶。
當然,釣魚手段遠不止于此,譬如無載荷的釣魚攻|擊。因此,還有很多細節需要考慮。
2) 不要僅僅依靠密碼來進行認證,要采用更安全的認證機制,尤其針對高價值的系統和高敏感用戶。
3) 使用反釣魚行為管控(APBM)技術
這類技術聚焦員工的行為管控和矯正,通常作為安全意識教育與培訓的輔助手段。這類產品會發起模擬的釣魚攻|擊,然后根據被測員工的行為反饋來對其進行教育和矯正。目前這種技術主要以服務的方式交付給客戶。
4) 強化內部流程管控。如前所述,有些無載荷釣魚,包括一些社交工程的魚叉式精準釣魚,引誘收件人透露賬號密碼或者敏感信息于無形。這些都是技術手段所不能及的,需要對關鍵流程進行重新梳理,加強管控。
Gartner給客戶的其它建議還包括:
1) 要求郵件安全供應商提供反釣魚功能;
2) 確保合作伙伴也實施了反釣魚防護;
3) 正面管理,而不是相反;
4) 考慮與遠程瀏覽器隔離技術結合使用(遠程瀏覽器是Gartner 2017年10大安全技術)。
2.4 服務器工作負載的應用控制項目
【項目目標客戶】該項目適合那些希望對服務器工作負載實施零信任或默認拒絕策略的組織。該項目使用應用控制機制來阻斷大部分不在白名單上的惡意代碼。Neil認為這是用中十分強的的安全策略,并被證明能夠有效抵御Spectre和Meldown攻|擊。
【項目建議】把應用控制白名單技術跟綜合內存保護技術結合使用。該項目對于物聯網項目或者是不在被供應商提供保護支持的系統特別有用。
應用控制也稱作應用白名單,作為一種成熟的端點保護技術,不僅可以針對傳統的服務器工作負載,也可以針對云工作負載,還能針對桌面PC。EPP、CWPP(云工作負載保護平臺)中都有該技術的存在。當然,由于桌面PC使用模式相對開放,而服務器運行相對封閉,因此該技術更適合服務器端點。通過定義一份應用白名單,指明只有什么可以執行,其余的皆不可執行,能夠阻止大部分惡意軟件的執行。一些OS已經內置了此類功能。還有一些應用控制技術能夠進一步約束應用在運行過程中的行為和系統交互,從而實現更精細化的控制。
Gartner給客戶還提出了如下建議:
1) 應用控制不是銀彈,系統該打補丁還是要打;
2) 可以取代殺毒軟件(針對服務器端),或者調低殺毒引擎的工作量。
根據Gartner的2018年威脅對抗Hype Cycle,應用控制處于成熟主流階段。
2.5 微隔離和流可見性項目
【項目目標客戶】該項目十分適用于那些具有平坦網絡拓撲結構的組織,不論是本地網絡還是在IaaS中的網絡。這些組織希望獲得對于數據中心流量的可見性和控制。該項目旨在阻止針對數據中心攻|擊的橫向移動。MacDonald表示,“如果壞人進來了,他們不能暢通無阻”。
【項目建議】把獲得網絡可見性作為微隔離項目的切入點,但切忌不要過度隔離。先針對關鍵的應用進行隔離,同時要求你的供應商原生支持隔離技術。
該技術在2017年也上榜了,并且今年的技術內涵基本沒有變化。
廣義上講,微隔離(也有人稱做“微分段”)就是一種更細粒度的網絡隔離技術,主要面向虛擬化的數據中心,重點用于阻止攻|擊在進入企業數據中心網絡內部后的橫向平移(或者叫東西向移動),是軟件定義安全的一種具體實踐。微隔離使用策略驅動的防火墻技術(通常是基于軟件的)或者網絡加密技術來隔離數據中心、公共云IaaS、容器、甚至是包含前述環境的混合場景中的不同工作負載、應用和進程。流可見技術(注意:不是可視化技術)則與微隔離技術伴生,因為要實現東西向網絡流的隔離和控制,必先實現流的可見性(Visibility)。流可見性技術使得安全運維與管理人員可以看到內部網絡信息流動的情況,使得微隔離能夠更好地設置策略并協助糾偏。
除了數據中心云化給微隔離帶來的機遇,數據中心負載的動態化、容器化,以及微服務架構也都越發成為微隔離的驅動因素,因為這些新技術、新場景都讓傳統的防火墻和攻|擊防御技術顯得捉襟見肘。而數據中心架構的變革如此之大,也引發了大型的廠商紛紛進入這個領域,到不見得是為了微隔離本身,更多還是為了自身的整體布局。譬如,云和虛擬化廠商為了自身的整體戰略就(不得不)進入這個領域。我個人感覺未來微隔離的startup廠商更多可能會被云廠商和大型安全廠商所并購。此外,針對容器的微隔離也值得關注。
Gartner給出了評估微隔離的幾個關鍵衡量指標,包括:
1) 是基于代理的、基于虛擬化設備的還是基于容器的?
2) 如果是基于代理的,對宿主的性能影響性如何?
3) 如果是基于虛擬化設備的,它如何接入網絡中?
4) 該解決方案支持公共云IaaS嗎?
Gartner還給客戶提出了如下幾點建議:
1) 欲建微隔離,先從獲得網絡可見性開始,可見才可隔離;
2) 謹防過度隔離,從關鍵應用開始;
3) 鞭策IaaS、防火墻、交換機廠商原生支持微隔離;
Gartner將微隔離劃分出了4種模式:內生云控制模式、第三方防火墻模式、混合式、疊加式。針對這四種模式的介紹可以參見我寫的《Gartner2017年十大安全技術解讀》。
根據Gartner的2018年云安全Hype Cycle,目前微隔離已經“從失望的低谷爬了出來,正在向成熟的平原爬坡”,但依然處于成熟的早期階段。在國內已經有以此技術為核心的創業新興廠商。
2.6 檢測和響應項目
Gartner今年將各種檢測和響應技術打包到一起統稱為“檢測和響應項目”。實際上對應了4樣東西,包括三種技術和一種服務。
【項目目標客戶】該項目適用于那些已經認定被攻陷是無法避免的組織。他們希望尋找某些基于端點、基于網絡或者基于用戶的方法去獲得高級威脅檢測、調查和響應的能力。這里有三種方式可供選擇:
EPP+EDR:端點保護平臺+端點檢測與響應
UEBA:用戶與實體行為分析
Decption:欺騙
欺騙技術相對小眾,但是一個新興的市場。對于那些試圖尋找更深入的方法去加強其威脅偵測機制,從而獲得高保真事件的組織而言,采用欺騙技術是個不錯的點子。
【項目建議】給EPP供應商施壓要求其提供EDR功能,給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術供應商提供豐富的假目標類型組合。考慮從供應商那里直接采購類似MDR(“可管理檢測與響應”,或者“托管檢測與響應”)的服務。
2.6.1 EPP+EDR
EDR(端點檢測于響應)在2014年就進入Gartner的10大技術之列了。EDR工具通常記錄大量端點級系統的行為與相關事件,譬如用戶、文件、進程、注冊表、內存和網絡事件,并將這些信息存儲在終端本地或者集中數據庫中。然后對這些數據進行IOC比對,行為分析和機器學習,用以持續對這些數據進行分析,識別信息泄露(包括內部威脅),并快速對攻|擊進行響應。
EDR的出現最初是為了彌補傳統終端/端點管理系統(Gartner稱為EPP)的不足。而現在,EDR正在與EPP迅速互相融合,尤其是EPP廠商的新版本中紛紛加入了EDR的功能,但Gartner預計未來短期內EDR和EPP仍將并存。
但正如我在《Gartner2017年十大安全技術解讀》中所述,EDR的用戶使用成本還是很高的,EDR的價值體現多少跟分析師水平高低和經驗多少密切相關。這也是限制EDR市場發展的一個重要因素。
另外一方面,隨著終端威脅的不斷演化,EPP(端點保護平臺)已經不能僅僅聚焦于阻止初始的威脅感染,還需要投入精力放到加固、檢測、響應等等多個環節,因此近幾年來EPP市場發生了很大的變化,包括出現了EDR這類注重檢測和響應的產品。終于,在2018年9月底,Gartner給出了一個全新升級的EPP定義:
“EPP解決方案部署在端點之上,用于阻止基于文件的惡意代碼攻|擊、檢測惡意行為,并提供調查和修復的能力去處理需要響應的動態安全事件和告警”。
相較于之前的EPP定義,更加強調對惡意代碼和惡意行為的檢測及響應。而這個定義也進一步反映了EPP與EDR市場融合的事實,基本上新一代的EPP都內置EDR功能了。Gartner建議客戶在選購EPP的時候,最好要求他們一并提供EDR功能。因此,我個人認為,未來EDR將作為一種技術消融到其它產品中去,主要是EPP,也可能作為一組功能點存在于其它產品中。獨立EDR存在的可能性會十分地小。
Gartner在2018年的威脅對抗(Threat-Facing)技術的Hype Cycle中首次標注了EDR技術,處于即將滑落到失望的谷底的位置,比UEBA更靠下。而EPP也是首次出現在Hype Cycle中,位于Hype Cycle的“成熟平原”,屬于早期主流產品。Gartner自己也表示,將EPP例如Hype Cycle也是一件不同尋常的事情,因為EPP已經存在20年了。但之所以把EPP列進來進行分析就是因為前面提到的EPP已經被Gartner重新定義了。
在國內,EPP的廠商也已經經歷了多年的洗禮,格局較為穩定。而EDR產品則多見于一些新興廠商,有的已經開始攪動起看似穩定的EPP市場了。
2.6.2 UEBA
UEBA(用戶與實體行為分析)曾經在2016年例如10大安全技術,2017年未能入榜,不過在2018年以檢測與響應項目中的一個分支方向的名義重新入榜。
UEBA解決方案通過對用戶和實體(如主機、應用、網絡流量和數據集)基于歷史軌跡或對照組建立行為輪廓基線來進行分析,并將那些異于標準基線的行為標注為可疑行為,最終通過各種異常模型的打包分析來幫助發現威脅和潛藏的安全事件。
根據Gartner的觀察,目前UEBA市場已經出現了明顯的分化。一方面僅存在少量的純UEBA廠商,另一方面多種傳統細分市場的產品開始將UEBA功能融入其中。這其中最典型的就是SIEM廠商,已經將UEBA技術作為了SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購SIEM的時候,要求廠商提供UEBA功能”。此外,包括EDR/EPP和CASB廠商也都紛紛在其產品中加入了UEBA功能。
由于不斷的并購和其它細分市場產品的蠶食,純UEBA廠商越來越少。同時,由于該技術此前一直處于期望的頂點,一些率先采用UEBA技術的超前客戶的失敗案例開始涌現,促使人們對這個技術進行重新定位,當然也有利于UEBA未來更好發展。
另外,有些做得不錯的純UEBA廠商也開始擴展自己的細分市場。最典型的就是向SIEM廠商進發。2017年的SIEM魔力象限就已經出現了兩個UEBA廠商,他們已經開始把自己當作更先進的SIEM廠商了。
在Gartner的2018年應用安全的Hype Cycle中,UEBA已經從去年的期望頂峰基本滑落到失望的谷底了,總體上仍處于青春期的階段。
我的觀點,未來純UEBA廠商將越來越少,要么被并購,要么轉變到其它更大的細分市場。同時SIEM廠商將會大舉投入UEBA技術,不論是買,還是OEM,抑或自研。未來,UEBA更多是一種技術,一種能力,被廣泛集成到多種安全產品之中,最關鍵就是UEBA引擎。但只要UEBA廠商還能夠開發出具有獨立存在價值的客戶應用場景,就不會消失。至少目前來看,還是具備獨立存在的價值的。
在國內目前幾乎沒有UEBA的專業廠商,一般見于其它細分市場的產品家族中,譬如SIEM/安管平臺廠商,或者業務安全廠商的產品線中會有這個產品。我比較自豪的是,我們公司是目前國內少有的幾家具有UEBA產品的新興安管平臺廠商之一。
2.6.3 欺騙
該技術在2016年就上榜了。欺騙技術(Deception Technology)的本質就是有針對性地對攻|擊者進行我方網絡、主機、應用、終端和數據的偽裝,欺騙攻|擊者,尤其是攻|擊者的工具中的各種特征識別環節,使得那些工具產生誤判或失效,擾亂者的視線,將其引入死胡同,延緩攻|擊者的時間。譬如可以設置一個偽目標/誘餌,誘騙攻|擊者對其實施攻|擊,從而觸發攻|擊告警。
欺騙技術作為一種新型的威脅檢測技術,可以作為SIEM或者其它新型檢測技術(如NTA、UEBA)的有益補充,尤其是在檢測高級威脅的橫向移動方面。Gartner認為未來欺騙類產品獨立存在的可能性很小,絕大部分都將被并購或者消亡,成為大的產品方案中的一環。
針對欺騙技術,Gartner給客戶的建議包括:
1) 要求廠商提供豐富的假目標(類型)組合;
2) 要求提供基于攻|擊者視角的可視化拓撲;
3) 要求提供完整的API能力,便于客戶進行編排和自動化集成。
Gartner近來一直大力推介欺騙技術。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術,并將其列為新興技術,正在向期望的高峰攀登。總體上,不論是技術的產品化實用程度,還是客戶的接受程度,都處于早期,Gartner預計還有5到10年才能趨于成熟。
在國內,這塊市場也剛剛萌芽(不算以前的特定客戶市場)。出現了若干個具有(但不是主打)此類產品的新興公司。
2.6.4 MDR服務
MDR在2017年也已經上榜了。MDR作為一種服務,為那些想提升自身高級威脅檢測、事件響應和持續監測能力,卻又無力依靠自身的能力和資源去達成的企業提供了一個選擇。
事實上,如果你采購了MDR服務,MDR提供商可能會在你的網絡中部署前面提及的某些新型威脅檢測裝置,當然客戶不必具體操心這些設備的使用,交給MDR服務提供商就好了。有關MDR更多介紹可以參見我的《Gartner2017年十大安全技術解讀》。
根據我的觀察,MDR也是一個機會市場,隨著MSSP越來越多的提供MDR服務,純MDR廠商將會逐步消失,或者變成檢測產品廠商提供的一種產品附加服務。Gartner建議客戶盡量選擇具有MDR服務能力的MSSP。
在2018年的威脅對抗Hype Cycle中首次列入了MDR,并將其列為新興技術,并且比欺騙技術還要早期。
2.6.5 小結
這里,我個人小結一下,目前市面上常見的新型威脅檢測技術大體上包括:EDR、NTA、UEBA、TIP、網絡沙箱、欺騙技術等。可以說這些新型技術各有所長,也各有使用限制。這里面,威脅情報比對相對最簡單實用,但前提是要有靠譜的情報。沙箱技術相對最為成熟,但也被攻|擊者研究得相對最透。EDR在整個IT架構的神經末梢端進行檢測,理論效果最好,但受限于部署和維護問題,對宿主的影響性始終揮之不去,甚至還有些智能設備根本無法部署代理。NTA部署相對簡單,對網絡干擾性小,但對分散性網絡部署成本較高,且難以應對越來越多的加密通信。UEBA肯定也是一個好東西,但需要提供較高質量的數據輸入,且機器學習分析的結果確切性不可能100%,也就是存在誤報,多用于Threat Hunting,也就是還要以來分析師的后續分析。欺騙技術理論上很好,而且基本不影響客戶現有的業務,但需要額外的網絡改造成本,而且效果還未被廣泛證實。對于客戶而言,不論選擇哪種新型技術,首先要把基礎的IDP、SIEM布上去,然后再考慮進階的檢測能力。而具體用到哪種新型檢測技術,則要具體問題具體分析了,切不可盲目跟風。
2.7 云安全配置管理(CSPM)項目
【項目目標客戶】該項目適用于那些希望對其IaaS和PaaS云安全配置進行全面、自動化評估,以識別風險的組織。CASB廠商也提供這類能力。
【項目建議】如果客戶僅僅有一個單一的IaaS,那么先去咨詢你的IaaS提供商;客戶如果已經或者想要部署CASB,也可以先去問問CASB供應商。
CSPM(Cloud Security Posture Management)是Neil自己新造的一個詞,原來叫云基礎設施安全配置評估(CISPA),也是他取的名字。改名的原因在原來僅作“評估”,現在不僅要“評估”,還要“修正”,因此改叫“管理”。Posture在這里我認為是不應該翻譯為“態勢”的,其實Neil本意也不是講我們國人所理解的態勢,而是講配置。
要理解CSPM,首先就要分清楚CSPM和CWPP的關系,Neil自己畫了下圖來闡釋:
如上圖所示,在談及云工作負載的安全防護的時候,一般分為三個部分去考慮,分屬于兩個平面。一個是數據平面,一個是控制平面。在數據平面,主要包括針對云工作負載本身進行防護的CWPP,以及云工作負載之上的CWSS(云工作負載安全服務)。CWSS是在云工作負載之上對負載進行安全防護。在控制平面,則都是在負載之上對負載進行防護的措施,就包括了CSPM,以及前面的CWSS(此處有重疊)。
CSPM能夠對IaaS,以及PaaS,甚至SaaS的控制平面中的基礎設施安全配置進行分析與管理(糾偏)。這些安全配置包括賬號特權、網絡和存儲配置、以及安全配置(如加密設置)。理想情況下,如果發現配置不合規,CSPM會采取行動進行糾偏(修正)。大體上,我們可以將CSPM歸入弱點掃描類產品中去,跟漏掃、配置核查擱到一塊。
對云的正確配置是很重要的一件事,譬如因為對AWS云的S3 bucket配置不當,已經發生了多次重大的信息泄露事件。云廠商一般也都會提供類似的功能,但是對于跨云用戶而言,需要有專門的配置管理工具去消除不同云環境中的具體配置差異。
Gartner認為CASB中應該具備CSPM功能。同時,一些CWPP廠商也開始提供CSPM功能。
在Gartner的2018年云安全Hype Cycle中,CSPM處于期望的頂峰階段,用戶期待很高,處于青春期。
2.8 自動化安全掃描項目
【項目目標客戶】該項目適用于那些希望把安全控制措施集成到Devops風格的流程中去的組織。從開源軟件的成份分析工具開始,并將測試無縫集成到DevSecOps流程和容器中。
【項目建議】不要輕易讓開發人員切換工具。要求工具提供者提供完備的API以便使用者進行自動化集成。
該技術在2016年就上榜了。不過,每年的側重點各有不同。在2016年側重的是DevSecOps的安全測試和RASP(運行時應用自保護),2017年則側重面向開源軟件(Open Source Software)進行安全掃描和軟件成份分析。2018年則繼續強調針對開源軟件的軟件成份分析。
DevSecOps是Gartner力推的一個概念,有大量的相關分析報告。DevSecOps采用模型、藍圖、模板、工具鏈等等驅動的安全方法來對開發和運維過程進行自保護,譬如開發時應用測試、運行時應用測試、開發時/上線前安全漏洞掃描。它是一種自動化的、透明化的、合規性的、基于策略的對應用底層安全架構的配置。
軟件成份分析(SCA,Software Composition Analysis)專門用于分析開發人員使用的各種源碼、模塊、框架和庫,以識別和清點開源軟件(OSS)的組件及其構成和依賴關系,并識別已知的安全漏洞或者潛在的許可證授權問題,把這些風險排查在應用系統投產之前,也適用于應用系統運行中的診斷分析。如果用戶要保障軟件系統的供應鏈安全,這個SCA很有作用。
Gartner給出了SCA關鍵評估指標包括:
1) 是否具備漏洞和配置掃描功能?
2) 能否將開源組件指紋與CVE關聯?
3) 能否與SAST/DAST/IAST掃描集成?
Gartner給客戶的建議則包括:
1) 不要輕易讓SCA的使用者(一般是開發人員)切換工具;
2) 需要提供API以便使用者進行自動化集成;
3) 確保能夠檢查到開源軟件的許可證問題;
4) SCA的測試過程要無縫集成到DevSecOps流程中;
在Gartner的2018年應用安全的Hype Cycle中,SCA相較于去年更加成熟,但仍處于成熟早期的階段,屬于應用安全測試的范疇,可以綜合使用靜態測試、動態測試、交互測試等手段。
2.9 CASB項目
【項目目標客戶】該項目適用于那些移動辦公情況相對較多,采用了多個云廠商的云服務的組織。這些組織希望獲得一個控制點,以便獲得這些云服務的可見性和集中的策略管控。
【項目建議】以服務發現功能作為切入點去驗證項目的可行性。建議在2018年和2019年將高價值敏感數據發現與監測作為關鍵的應用案例。
該技術從2014年就開始上榜了,并且今年的技術內涵基本沒有變化。
CASB作為一種產品或服務,為企業認可的云應用提供通用云應用使用、數據保護和治理的可見性。CASB的出現原因,簡單說,就是隨著用戶越來越多采用云服務,并將數據存入(公有)云中,他們需要一種產品來幫助他們采用一致的策略安全地接入不同的云應用,讓他們清晰地看到云服務的使用情況,實現異構云服務的治理,并對云中的數據進行有效的保護,而傳統的WAF、SWG和企業防火墻無法做到這些,因此需要CASB。
CASB相當于一個超級網關,融合了多種類型的安全策略執行點。在這個超級網關上,能夠進行認證、單點登錄、授權、憑據映射、設備建模、數據安全(內容檢測、加密、混淆)、日志管理、告警,甚至惡意代碼檢測和防護。正如我在《Gartner2017年十大安全技術解讀》中所述,CASB就是一個大雜燴。
CASB一個很重要的設計理念就是充分意識到在云中(尤指公有云)數據是自己的,但是承載數據的基礎設施不是自己的。Gartner指出CASB重點針對SaaS應用來提升其安全性與合規性,同時也在不斷豐富針對IaaS和PaaS的應用場景。Gartner認為CASB應提供四個維度的功能:發現、數據保護、威脅檢測、合規性。
Neil Mcdonald將CASB項目進一步分為了云應用發現、自適應訪問、敏感數據發現與保護三個子方向,建議根據自身的成熟度選取其中的一個或者幾個優先進行建設。而這三個子方向其實也對應了CASB四大功能中的三個(除了威脅檢測)。
在Gartner的2018年云安全Hype Cycle中,CASB依然位于失望的低谷,但就快要爬出去了,繼續處于青春期階段。
國內也有不少自稱做CASB的廠商,但跟Gartner所描述的還有差別,也算是中國特色吧,畢竟在國內多云應用場景還不普及。注意,我認為云堡壘機是PAM在云中的一個應用場景,不能叫做CASB。
2.10 軟件定義邊界項目
【項目目標客戶】該項目瞄準那些僅想將其數字系統和信息開放給指定的外部合作伙伴或者遠程員工的組織。這些組織希望通過限制數字系統和信息的暴露面來減少攻|擊面。
【項目提示】重新評估原有基于V|P|N的訪問機制的風險。建議在2018年選取一個跟合作伙伴交互的數字服務作為試點,嘗試建立應用案例。
該技術在2017年也上榜了,并且今年的技術內涵基本沒有變化。
SDP將不同的網絡相連的個體(軟硬件資源)定義為一個邏輯集合,形成一個安全計算區域和邊界,這個區域中的資源對外不可見,對該區域中的資源進行訪問必須通過可信代理的嚴格訪問控制,從而實現將這個區域中的資源隔離出來,降低其受攻|擊的暴露面的目標。其實,Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前,SDP技術吸引了很多尋找云應用場景下的V|P|N替代方案的客戶的目光。根據Gartner的分析,目前SDP還處于大量吸引投資的階段,此類新興公司正在不斷涌現,并購行為尚很少見。
在Gartner的2018年云安全Hype Cycle中,SDP已經從2017年的期望頂峰開始向失望的低谷滑落,尚處于青春期階段。
3、其他新興技術
除了上述10大安全項目,Gartner還列舉了一些正在興起的其他新技術:
Remote browser isolation
Container security
Breach and attack simulation
Controls gap risk analytics
Digital supply chain risk assessment services
Encryption by default, encryption everywhere
Anti-fraud/bot protection platforms (UI protection)
ERP-specific security/business-critical application security
Data flow discovery, monitoring and analytics
Bug bounty programs, crowdsourced and pen testing aaS
Cloud firewalls and UTMs for branch office and SOHO
EPP + EDR merger = Advanced endpoint protection
IoT/OT discovery, visibility, monitoring and deception
SecOps chat
其中,排在前兩位的遠程瀏覽器隔離、容器安全都是2017年的11大技術之列,而排第三的BAS也是這兩年Gartner推崇的新興技術,而BAS和從排5開始的所有技術也都是原封不動地從2017年的待選新技術中復制過來的。
有一點可以提示一下,上述技術都已經有產品和方案落地,而非研究性課題。
4、收益分析
Gartner認為,通過實施以下五個項目,組織受攻|擊造成的財務損失到2020年將比2017年降低80%。這五個項目是:
基于風險優先級(CARTA)的漏洞管理;
特權賬戶管理;
積極反釣魚項目集(program);
服務器負載的應用控制;
開發過程的自動化測試
5、總體建議
Neil在峰會上十大安全項目講解的最后給出了一些總體建議:
如果你在2018年智能做一件事情,那么就做基于CARTA的漏洞管理項目;
在選擇2018年項目的時候不要僅僅關注降低風險;
找到信息安全能夠促進數字業務增長的機會點,只要風險可以接受(也就是說,不要只看到降風險,還要看到促增長,看到業務安全)。先從自動化安全掃描支撐快速開發做起;
如果你使用了IaaS,立即進行云安全配置評估和管理;
如果你使用了SaaS,立即開始了解你的服務使用情況,并啟動敏感數據發現項目;
在服務器、網絡和應用上實施默認拒絕的應用控制策略。
6、主要參考信息
https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/
《Gartner2017年十大安全技術解讀》
http://blog.51cto.com/yepeng/2082979;
Market Guide for Privileged Access Management, Gartner;
Market Guide for Vulnerability Assessment, Gartner;
Fighting Phishing: Optimize Your Defense, Gartner;
Hype Cycle for Cloud Security, 2018, Gartner;
Hype Cycle for Application Security, 2018, Gartner;
Hype Cycle for Threat-Facing Technologies, 2018, Gartner;
Redefining Endpoint Protection for 2017 and 2018, Gartner;
Market Guide for Cloud Workload Protection Platforms, 2018, Gartner.
來源:數說安全
北京市公安局海淀分局備案號:11010802023656號