在2017年6月份舉辦的第23屆Gartner安全與風險管理峰會上，Gartner的Fellow——Neil McDonald發布了2017年度的11個最新最酷的信息安全技術，比往年的10大技術多了一項。

以往都是通過互聯網了解Gartner的各種信息和報告。這次，本人有幸親臨現場，參加峰會，自然有更多的感悟。參加峰會期間，獲得的信息量實在太大，直到現在，雖然已經過去了2個多月，依然沒有消化完。

回到主題，以往我都是聚焦於每年選出來的10大信息安全技術本身，但對這些技術是如何被Gartner選出來的卻從未過問。既然親臨現場了，就對此有了更多的了解。原來，Gartner選擇年度頂級技術的標準是：

1）不能僅僅是個趨勢（譬如大數據、

2）必須是真實存在的安全技術門類，並且有實實在在的廠商提供這類技術和產品；

3）不能僅僅處於研究狀態，但也不能已經成為主流技術；

4）符合Gartner對於客戶需求和技術發展趨勢的判斷。

按照這個標準，基本上頂級技術都會位於Gartner Hype Cycle的曲線頂峰部分或者是低谷的部分。

這11大技術分別是：

01. Cloud WorkloadProtection Platforms雲工作負載保護平臺CWPP

02. Remote Browser遠程瀏覽器

03. Deception欺騙技術

04. Endpoint Detection andResponse 終端檢測與相應EDR

05. Network Traffic Analysis網絡流量分析NTA

06. Managed Detection andResponse可管理檢測與響應MDR

07. Microsegmentation微隔離

08. Software-DefinedPerimeters軟件定義邊界SDP

09. Cloud Access SecurityBrokers雲訪問安全代理CASB

10. OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的運營支撐系統（OSS）安全掃描與軟件成分分析

11. Container Security容器安全

國內對於2017年的這11大技術也有很多翻譯的文章，譬如FreeBuf，但我認為這些譯文多少都有不確切之處，譯文原文可參見Gartner新聞(http://www.gartner.com/newsroom/id/3744917)。

Neil將這11項技術分為了三類：

1） 面向威脅的技術：這類技術都在Gartner的自適應安全架構的範疇之內，包括CWPP、遠程瀏覽器、欺騙技術、EDR、NTA、MDR、微隔離；

2） 訪問與使能技術：包括SDP、CASB；

3） 安全開發：包括OSS安全掃描與軟件成分分析、容器安全。

從另外一個角度看，這11項技術有5個都直接跟雲安全掛鉤（CWPP、微隔離、SDP、CASB、容器安全），也應證了雲技術的快速普及。

針對上述11大技術，其中遠程瀏覽器、欺騙技術、EDR、微隔離、CASB共5個技術也出現在了2016年度的10大信息安全技術列表之中。各位可以參見我寫的2016年度Gartner10大信息安全技術的解讀文章，這裏不再贅述。

剩下6個技術，簡要分析如下：

CWPP雲工作負載保護平臺

現在數據中心的工作負載都支持運行在包括物理機、虛擬機、容器、私有雲的環境下，甚至往往出現部分工作負載運行在一個或者多個公有雲IaaS提供商那裏的情況。混合CWPP為信息安全的管理者提供了一種集成的方式，讓他們能夠通過一個單一的管理控制臺和統一的安全策略機制去保護那些工作負載，而不論這些工作負載運行在何處。

事實上，CWPP這個概念就是Neil本人發明的。他在2016年3月份發表了一份題為《CWPP市場指南》的分析報告，並第一次對CWPP進行了正式定義：CWPP市場是一個以工作負載為中心的安全防護解決方案，它是一種典型的基於代理（Agent）的技術方案。這類解決方案滿足了當前橫跨物理和虛擬環境、私有雲和多種公有雲環境的混合式數據中心架構條件下服務器工作負載防護的獨特需求。還有的甚至也同時支持基於容器的應用架構。

Neil將CWPP解決方案的能力進行了層次劃分，並歸為基礎支撐、核心能力、擴展能力三大類。下圖是Neil發布的2017年版《CWPP市場指南》中描繪的能力層次圖，由上至下，重要性逐漸遞增：

那份報告對這個圖中的每一層都進行詳細闡述。明眼人一看，就會覺得其實這個CWPP的核心就是一個主機IPS/IDS，只不過放到的雲環境中。當然，除了HIPS/HIDS功能外，還擴展了一些其他功能。

其實，CWPP這個提法在Gartner內部也是存在分歧的，我跟Gartner的分析師就此進行過討論。也因此，Gartner將CWPP市場映射為CWPP解決方案，而非單一的CWPP產品，因為CWPP的每個能力層都涉及不同的技術，整個CWPP涉及的技術面更是十分廣泛。此外，每個CWPP提供商的產品功能都不盡相同，甚至存在較大差異。而用戶要對其雲工作負載（雲主機）進行防護的話，恐怕也不能選擇某個單一的CWPP產品，而需要統籌考慮，進行多種技術的集成。當然，不排除隨著Gartner力推CWPP概念，將來會出現更加完整的CWPP產品，即所謂的“Single pane of glass to hybrid cloud workload protection”。在2017年的雲安全HypeCycle中，CWPP位於低谷位置，Gartner認為CWPP處於青春期，距離成熟市場還有2到5年的時間。

目前，國內已經有廠商進入CWPP市場。希望隨著我們對CWPP認識的清晰，不要以後國內出現一窩蜂地將傳統技術簡單包裝而成的CWPP廠商，就如EDR那樣。

NTA網絡流量分析

作為威脅檢測的高級技術之一，NTA是在2014年就跟EDR一同提出來的。而NTA的前身則是NBA（Network Behavior Analysis），一項早在2005年就被Gartner提出來的技術。我對NBA/NTA的研究也有十年了，也做出過NBA/NTA類的產品。根據Gartner的定義，NTA融合了傳統的基於規則的檢測技術，以及機器學習和其他高級分析技術，用以檢測企業網絡中的可疑行為，尤其是失陷後的痕跡。NTA通過DFI和DPI技術來分析網絡流量，通常部署在關鍵的網絡區域對東西向和南北向的流量進行分析，而不會試圖對全網進行監測。

在NTA入選11大技術的解說詞中，Gartner說到：NTA解決方案通過監測網絡的流量、連接和對象來識別惡意的行為跡象。對於那些試圖通過基於網絡的方式去識別繞過邊界安全的高級攻擊的企業而言，可以考慮將NTA作為一種備選方案。

MDR威脅檢測與響應服務

MDR是一類服務，並且通常不在傳統的MSS/SaaS提供商的服務目錄中。作為一種新型的服務項目，MDR為那些想提升自身威脅檢測、事件響應和持續監測能力，卻又無力依靠自身的能力和資源去達成的企業提供了一個不錯的選擇。MDR對於SMB市場尤其具有吸引力，因為打中了他們的“興奮點”。

MDR服務是Gartner在2016年正式提出來的，定位於對高級攻擊的檢測與響應服務。與傳統MSSP主要幫客戶監測內部網絡與互聯網內外間流量不同，MDR還試圖幫助客戶監測內部網絡中的流量，尤其是識別高級攻擊的橫向移動環節的蛛絲馬跡，以求更好地發現針對客戶內部網絡的高級攻擊。二要做到這點，就需要在客戶網絡中部署多種高級攻擊檢測技術（設備），還要輔以安全分析。對於MDR服務而言，這些額外部署在客戶側的設備是屬於服務提供商的，而非客戶的。這些設備（硬件或者軟件）既可能是基於網絡的，也可能是基於主機的，也可能兼有之。在安全分析的過程中，會用到威脅情報，也可能用到專業的安全分析師。在檢測出攻擊，進行響應的時候，MDR服務強調迅速、直接、輕量化（簡潔）、高效，而不會過多顧及安全管理與事件處置的流程，很多時候通過提供商部署在客戶側的設備就響應處置掉了。顯然，這種服務與傳統的MSS相比，對客戶而言更具影響性，但也更加高效，也是高級威脅對客戶造成的風險越來越大的必然反應。

Gartner預計到2020年將有15%的組織使用MDR類的服務，而現在僅不到1%。同時，到2020年80%的MSSP都會提供MDR類的安全服務，稱之為“AdvancedMSS”。在未來兩年，MSS尚不會完全覆蓋MDR服務。

SDP軟件定義邊界

SDP將不同的網絡相連的個體（軟硬件資源）定義為一個邏輯集合，形成一個安全計算區域和邊界，這個區域中的資源對外不可見，對該區域中的資源進行訪問必須通過可信代理的嚴格訪問控制，從而實現將這個區域中的資源隔離出來，降低其受攻擊的暴露面的目標。

這種技術最初是CSA雲安全聯盟提出來的，是SDN和SDS概念的交集。剛開始SDP主要針對WEB應用，到現在也可以針對其他應用來構建SDP了。SDP的出現消除了傳統的固化邊界，對傳統的設置DMZ區，以及搭建VPN的做法構成了挑戰，是一種顛覆性的技術。也可以說，SDP是一種邏輯的、動態的邊界，這個邊界是以身份和情境感知為核心的。這讓我想起了思睿嘉德的DJ說過的一句話：“身份是新邊界”。

在Gartner的雲安全Hype Cycle中，SDP位於新興階段，正處於曲線的頂峰。Gartner預測，到2017年底，至少10%的企業組織將利用SDP技術來隔離敏感的環境。

面向DevSecOps的運營支撐系統（OSS）安全掃描與軟件成分分析

在2016年的10大信息安全技術中，也提到了DevSecOps，但強調的是DevSecOps的安全測試。今年，安全測試變成了安全掃描與軟件成分分析，其實基本上是一個意思，只是更加具體化了。

對於DevSecOps的落地而言，最關鍵的一點就是自動化和透明化。各種安全控制措施在整個DevSecOps周期中都要能夠自動化地，非手工的進行配置。並且，這個自動化的過程必須是對DevOps團隊盡量透明的，既不能影響到DevOps的敏捷性本質，同時還要能夠達成法律、合規性，以及風險管理的要求。

SCA（軟件成分分析）是一個比較有趣的技術。SCA專門用於分析開發人員使用的各種源碼、模塊、框架和庫，以識別和清點應用系統（OSS）的組件及其構成和依賴關系，並識別已知的安全漏洞或者潛在的許可證授權問題，把這些風險排查在應用系統投產之前。如果用戶要保障軟件系統的供應鏈安全，這個SCA很有作用。目前，我們的研發也已經做了一些這方面的工作，並將這些成果應用到資產的統一漏洞管理產品之中。

在Gartner的應用安全的Hype Cycle中，SCA屬於成熟早期的階段，屬於應用安全測試的範疇，既包含靜態測試，也包含動態測試。

容器安全

容器使用的是一種共享操作系統（OS）的模型。對宿主OS的某個漏洞利用攻擊可能導致其上的所有容器失陷。容器本身並非不安全，但如果缺少安全團隊的介入，以及安全架構師的指導，容器的部署過程可能產生不安全因素。傳統的基於網絡或者主機的安全解決方案對容器安全沒啥作用。容器安全解決方案必須保護容器從創建到投產的整個生命周期的安全。目前大部分容器安全解決方案都提供投產前掃描和運行時監測保護的能力。

根據Gartner的定義，容器安全包括開發階段的風險評估和對容器中所有內容信任度的評估，也包括投產階段的運行時威脅防護和訪問控制。在Hype Cycle中，容器安全目前處於新興階段。

【參考】

Gartner：2016年十大信息安全技術（含解讀）

Gartner：2014年十大信息安全技術

Gartner: 2017年11大信息安全技術（解讀版）