Gartner:2018年十大安全專案詳解
Gartner 2018年十大安全專案詳解
Last Modified By Bennyye @ 2018-11-1
1 概述
2018年6月份,一年一度的Gartner安全與風險管理峰會上,知名分析師Neil Mcdonald釋出了2018年度的十大安全專案(Top 10 Security Projects)。
在之前的幾年裡,Gartner一直做的是10大頂級技術(Top New and Cool Technologies)的釋出,更多關注是新興的產品化技術和即將大規模應用的技術。推出這些頂級技術的目的也是供客戶方的資訊保安主管們作為當年安全投資建設的推薦參考。
而2018年“十大安全技術”換成了“十大安全專案”,所為何故?我個人的理解:今年“十大安全專案”的叫法更加符合客戶視角,而且更加強調對客戶而言具有很高優先順序的技術。也就是說,也許有些專案涉及的技術不一定是最新最酷的技術,但對客戶而言是特別有助於降低安全風險的技術。如此一來,十大安全專案考察的技術點就要比十大安全技術更廣泛,更加客戶視角。
根據Gartner自己的說明,給出了選取十大安全專案的方式。
首先,假定客戶已經具備了相當的安全基礎。如果連這些基礎都沒有達到,那麼也就不要去追求什麼十大安全專案,乃至十大安全技術了。這些基礎包括:
1) 已經有了較為先進的EPP(端點保護平臺),具備諸如無檔案惡意程式碼檢測、記憶體注入保護和機器學習的功能;
2) 已經做好了基本的Windows賬戶管理工作;
3) 已經有了IAM;
4) 有了常規化的補丁管理;
5) 已經有了標準化的伺服器/雲工作負載保護平臺代理;
6) 具備較為強健的反垃圾郵件能力;
7) 部署了某種形式的SIEM或者日誌管理解決方案,具有基本的檢測/響應能力;
8) 建立了備份/恢復機制;
9) 有基本的安全意識培訓;
10) 具備基本的網際網路出口邊界安全防護能力,包括URL過濾能力;
沒錯,對於客戶而言,上面10個技術和能力更為基礎,優先順序更高,如果上述能力都有欠缺,先別輕易考慮什麼十大安全專案!
其次,針對10大專案的選取也比較強調新(客戶採用率低於50%),同時又必須是已經落地的,而且又不能太過複雜(是Project級別而非Program級別)【注:要區別portfolio(專案組合), program(專案集), project(專案)三種專案間的關係】。
最後,選取的技術必須是能夠最大程度上降低客戶風險的,且付出是相對經濟的,必須是符合數字時代發展潮流的,符合Gartner自己的CARTA(持續自適應風險與信任評估)方法論的。
基於上述所有前提假定,Gartner給出了2018年的10大安全專案:
1) Privileged Account Management Project:特權賬戶管理專案
2) CARTA-Inspired Vulnerability Management Project:符合CARTA方法論的弱點管理專案
3) Active Anti-Phishing Project:積極的反釣魚專案
4) Application Control on Server Workloads Project:伺服器工作負載的應用控制專案
5) Microsegmentation and Flow Visibility Project:微隔離和流可見性專案
6) Detection and Response Project:檢測和響應專案,包括EPP+EDR、UEBA、欺騙三種技術方向和MDR服務
7) Cloud Security Posture Management (CSPM) Project:雲安全配置管理專案
8) Automated Security Scanning Project:自動化安全掃描專案,尤其是開源軟體成份分析
9) CASB Project:CASB專案,包括雲應用發現、自適應訪問、敏感資料發現與保護三個子方向
10) Software-Defined Perimeter Project:軟體定義邊界專案
對比一下近些年Gartner的10大安全技術/專案如下表所示:
Gartner歷年評選的頂級技術/專案對比分析
2014年 |
2016年 |
2017年 |
2018年 |
|
IAM |
自適應訪問控制 |
特權賬戶管理PAM |
||
端點安全 |
端點檢測與響應EDR |
端點檢測與響應EDR |
端點檢測與響應EDR |
檢測與響應之EPP+EDR |
基於非簽名方法的端點防禦技術 |
||||
伺服器工作負載的應用控制 |
||||
雲安全 |
軟體定義的安全SDS |
軟體定義邊界SDP |
軟體定義邊界SDP |
|
雲訪問安全代理CASB |
雲訪問安全代理CASB |
雲訪問安全代理CASB |
雲訪問安全代理CASB |
|
微隔離 |
微隔離 |
微隔離 |
||
雲工作負載保護平臺CWPP |
||||
容器安全 |
||||
雲安全配置管理CSPM |
||||
應用安全 |
互動式應用安全測試 |
DevOps的安全測試技術 |
面向DevSecOps的運營支撐系統(OSS)安全掃描與軟體成分分析 |
自動安全掃描:面向DevSecOps的開源軟體成份分析 |
安全運營 |
大資料安全分析技術是下一代安全平臺的核心 |
情報驅動的安全運營中心及編排解決方案技術 |
可管理檢測與響應MDR |
檢測與響應之MDR |
弱點管理 |
||||
網路安全 |
遏制與隔離將作為基礎的安全策略 |
遠端瀏覽器 |
遠端瀏覽器 |
|
欺騙技術 |
欺騙技術 |
檢測與響應之欺騙技術 |
||
網路流量分析NTA |
||||
機器可識別的威脅情報(包括信譽服務) |
||||
沙箱普遍化 |
||||
使用者和實體行為分析UEBA |
檢測與響應之UEBA |
|||
積極反釣魚 |
||||
IoT |
針對物聯網的安全閘道器、代理和防火牆 |
普適信任服務 |
通過分析比較,不難發現,和2017年度的11大安全技術(參見我寫的《Gartner2017年十大安全技術解讀》)相比,差別其實不大,大部分2017年的頂級技術都保留了,有的更加細化了,同時增加了幾項算不上先進但對客戶而言更為迫切的幾個技術,包括PAM、弱點管理(VM)、反釣魚。同時,這些專案也不是對每個客戶都具備同等的急迫性,不同客戶還需要根據自身的情況進行取捨,有所關注。
此外,細心的人可能還會發現,居然沒有現在大熱的資料安全專案?的確,Gartner 10大安全專案中沒有明確以資料安全為大標題的專案,不過在多個專案中都提及了資料安全,譬如在CASB專案中建議優先考慮處理資料安全問題,PAM也跟資料安全有關係。另外,我感覺資料安全是一個十分龐大的題目,不可能用幾個Project來達成,起碼也要是Program級別的。期待以後Neil對資料安全更加重視起來吧。
特別需要指出的是,雖說叫10大安全專案,但是“檢測與響應專案”其實包括了四個子專案,分別是EPP+EDR,UEBA、欺騙技術和MDR(可管理檢測與響應)服務。因此,如果展開來說,其實不止10個專案,只是為了“湊個10”。
2 十大安全專案解析
接下來,我們逐一解析一下10大專案,對於2017年就出現過的,還可以參見我去年寫的《Gartner2017年十大安全技術解讀》,內涵基本沒有什麼變化。
注意,配合10大專案的釋出,Gartner官方釋出了一篇文章(參見https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/),而Gartner中國也釋出了中文譯文——《Gartner遴選出2018十大安全專案》。不過,最初Gartner官方新聞稿中編輯將EDR縮寫的指代英文全稱寫錯了,導致很多中文譯文也都跟著錯了,並且Gartner的中文譯文將MDR這個縮寫也翻譯錯誤了。此外,Gartner中國刊載的中文譯文也有不少其它錯誤,主要是對多個專業英文縮寫所代表的專業術語翻譯錯誤和不準確,一些專業語句由於缺乏知識背景翻譯錯誤。譬如Deception不應該翻譯為“欺詐”,而應該叫做“欺騙”,因為我們要從正面角度解讀這個詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專業的稱呼。對此,我當時就已經告知Gartner中國,並提出了9點改進建議。後來,Gartner美國官網的錯誤改正過來了,但Gartner中國的那篇中文譯文的微信公眾號文章卻一直保留著那些錯誤。因此,在下面的解析內容中我首先都會將官網上的內容(包括專案目標客戶和專案提示兩個部分)重新翻譯一遍,然後再做具體解讀。
2.1 特權賬戶管理專案
【專案目標客戶】該專案旨在讓***者更難訪問特權賬戶,並讓安全團隊監測到異常訪問的行為。最低限度,CISO們應該要求對所有管理員實施強制多因素認證,建議同時也對承包商等外部第三方的訪問實施強制多因素認證。
【專案建議】先對高價值、高風險的系統實施PAM,監控對其的訪問行為。
PAM工具為組織的關鍵資產提供安全的特權訪問,以符合對特權賬號及其訪問的監控管理合規需求。PAM通常具備以下功能:
1) 對特權賬號的訪問控制功能,包括共享賬號和應急賬號;
2) 監控、記錄和審計特權訪問操作、命令和動作;
3) 自動地對各種管理類、服務類和應用類賬戶的密碼及其它憑據進行隨機化、管理和保管;
4) 為特權指令的執行提供一種安全的單點登入(SSO)機制;
5) 委派、控制和過濾管理員所能執行的特權操作;
6) 隱藏應用和服務的賬戶,讓使用者不用掌握這些賬戶實際的密碼;
7) 具備或者能夠整合高可信認證方式,譬如整合MFA。
很顯然,雖然國內談PAM很少,但實際上早已大量運用,其實就對應我們國內常說的堡壘機。
Gartner將PAM工具分為兩類:PASM(特權賬戶和會話管理)和PEDM(許可權提升與委派管理)。如下圖所示:
顯然,PASM一般對應那個堡壘機邏輯閘道器,實現單點登入,集中的訪問授權與控制,裝置系統密碼代管、會話管理、對操作的審計(錄影)。
PEDM則主要通過分散的Agent來實現訪問授權與控制,以及操作過濾和審計。國內的堡壘機一般都沒有采用這種技術模式。
Gartner分析未來PAM的技術發展趨勢包括:
1) 支援特權任務自動化,多個操作打包自動化執行;
2) 將PAM用於DevOps,讓DevOps更安全更便捷;
3) 支援容器;
4) 支援IaaS/PaaS和虛擬化環境;
5) 以雲服務的形式交付PAM;
6) 特權訪問操作分析,就是對堡壘機日誌進行分析,可以用到UEBA技術;
7) 與漏洞管理相結合;
8) 系統和特權賬戶發現;
9) 特權身份治理與管理。
Gartner列出了評價PAM的幾個關鍵衡量指標:
1)環境支援的情況,是否支援雲環境?
2)具備PASM和PEDM功能,具有錄影功能;
3)提供完備的API以便進行自動化整合;
4)具備自然人/非自然人的賬號管理功能。
在Gartner的2018年IAM技術Hype Cycle中,PAM處於早期主流階段,正在向成熟的平原邁進。
國內堡壘機已經發展好多年了,本人早些年也負責過這塊業務。國外PAM也趨於成熟,Gartner估計2016年全球PAM市場達到了9億美元,市場併購也比較頻繁。Gartner對中國的PAM市場瞭解甚少,沒有什麼研究,這裡我也建議國內的堡壘機領導廠商可以主動聯絡Gartner,讓他們更多地瞭解中國的PAM市場。
2.2 符合CARTA方法論的弱點管理專案
【專案目標客戶】基於CARTA方法論,該專案能夠很好地處理漏洞管理問題,並有助於顯著降低潛在風險。在補丁管理流程中斷,以及IT運維的速度趕不上漏洞增長的速度時,可以考慮該專案。你無法打上每個補丁,但你可以通過風險優先順序管理顯著降低風險。
【專案建議】要求你的虛擬助手/虛擬機器供應商提供該能力(如果客戶已經上雲/虛擬化的話),並考慮使用風險緩解措施,譬如上防火牆、IPS、WAF等等。
注意,弱點管理不是弱點評估。弱點評估對應我們熟知的弱點掃描工具,包括系統漏掃、web漏掃、配置核查、程式碼掃描等。而弱點管理是在弱點評估工具之上,收集這些工具所產生的各類弱點資料,進行集中整理分析,並輔以情境資料(譬如資產、威脅、情報等),進行風險評估,並幫助安全管理人員進行弱點全生命週期管理的平臺。記住,弱點管理是平臺,而弱點掃描是工具。
另外,Vulnerability Management我一直稱作“弱點管理”,而不是“漏洞管理”,是因為弱點包括漏洞,還包括弱配置!如果你認為Vulnerability應該叫做漏洞,那也沒關係,但不要把弱配置落掉。
那麼,什麼叫做基於CARTA的弱點管理呢?熟悉CARTA就能明白(可以參見我的文章《CARTA:Gartner的持續自適應風險與信任評估戰略方法簡介》),本質上CARTA就是以風險為核心一套安全方法論。因此,基於CARTA的弱點管理等價於基於風險的弱點管理。基於風險的管理是一個不斷迭代提升的過程,包括弱點發現、弱點優先順序排序、弱點補償控制三個階段,如下圖所示:
作為排名第二位的專案,Gartner建議儘快啟動,儘早降低組織面臨的風險。
Gartner對基於CARTA方法論的VM的衡量指標包括:
1)是否有情境資訊,誰收到***?不僅是IP,而是他的情境資訊都需要,以便全面評估;
2)能否算出資產的業務價值?
3)能否繪製網路拓撲,給出緩解措施?
4)把VA(漏洞評估)和漏洞管理一併考慮,譬如整合VA工具
目前在國內一般有兩類弱點管理產品,一類是單一的弱點管理產品,屬於請諒解的弱點管理平臺,更多具有工具的使用特點,管理類功能相對較為簡單。還有一類是作為SOC/安管平臺的一個組成部分,具有較為完備的平臺功能,把漏洞管理的流程和其它SOC運維流程整合到一起。
2.3 積極的反釣魚專案
【專案目標客戶】該專案瞄準那些至今依然有員工遭受成功網路釣魚***的組織。他們需要採用一個三管齊下的策略,即同時進行技術控制、終端使用者控制和流程重構。使用技術控制措施儘可能多地阻斷釣魚***,同時需要終端使用使用者積極成為防禦體系中的一環。
【專案建議】不要點名批評那些沒有做到位的部門或者個人,而應該大張旗鼓的宣傳那些做得得當的行為。應該去詢問你的郵件安全供應商能否承擔這個專案。如果不能,為什麼?(注:言下之意,郵件安全供應商應該具有這樣的能力,否則就不合格)
Gartner認為近幾年內,網路釣魚(不論是郵件釣魚還是網頁釣魚)依然會是APT***的最經典方式,也會是面向C端使用者的普遍性***方法。網路釣魚一種普遍存在的高影響性威脅,他通過社交工程來實現對個人和企業資產的非法訪問。尤其是郵件釣魚十分猖獗,並還有不斷上升的勢頭。儘管已經湧現了不少應對技術,但效果仍不顯著。從技術上看,產生釣魚的因素十分複雜,並且跟企業和個人資訊洩露密切相關,很難從單一維度進行阻斷。因此,Gartner提出了要進行綜合治理的說法,需要運用技術、人和流程相結合的手段。Gartner給出的綜合治理建議如下:
1) 在SEG(安全郵件閘道器)上載入高階威脅防禦技術
最典型的就是整合URL過濾技術。URL過濾必須支援點選時URL過濾分析(time-of-click URL filtering)和使用代理的URL過濾分析,因為很多惡意URL都是在使用者雙擊後動態產生的,還有的URL外面包了代理。這些都增加了過濾的難度。
其次是整合網路沙箱,這類技術已經較為成熟,但用到SEG上,效能是一個問題,並且沙箱逃逸開始出現。
更高階的是針對郵件中的附件檔案進行CDR(content disarm and reconstruction,內容拆解與重建)。這種技術會實時地把檔案分拆為不同的組成部分,然後剝去任何不符合檔案原始規範的內容,再重新把檔案的不同部分組合起來,形成一個“乾淨”的版本,繼續將它傳到目的地,而不影響業務。這裡的CDR最核心的工作就是對檔案進行清洗,譬如去掉巨集、去掉js指令碼等等嵌入式程式碼。這種技術性能還不錯,但可能會清洗掉合法的動態指令碼,導致檔案不可用。因此Gartner建議一方面快速CDR清洗後發給使用者,另一方面繼續跑沙箱,如果沒問題再追發原始檔案給使用者。
當然,釣魚手段遠不止於此,譬如無載荷的釣魚***。因此,還有很多細節需要考慮。
2) 不要僅僅依靠密碼來進行認證,要採用更安全的認證機制,尤其針對高價值的系統和高敏感使用者。
3) 使用反釣魚行為管控(APBM)技術
這類技術聚焦員工的行為管控和矯正,通常作為安全意識教育與培訓的輔助手段。這類產品會發起模擬的釣魚***,然後根據被測員工的行為反饋來對其進行教育和矯正。目前這種技術主要以服務的方式交付給客戶。
4) 強化內部流程管控。如前所述,有些無載荷釣魚,包括一些社交工程的魚叉式精準釣魚,引誘收件人透露賬號密碼或者敏感資訊於無形。這些都是技術手段所不能及的,需要對關鍵流程進行重新梳理,加強管控。
Gartner給客戶的其它建議還包括:
1) 要求郵件安全供應商提供反釣魚功能;
2) 確保合作伙伴也實施了反釣魚防護;
3) 正面管理,而不是相反;
4) 考慮與遠端瀏覽器隔離技術結合使用(遠端瀏覽器是Gartner 2017年10大安全技術)。
2.4 伺服器工作負載的應用控制專案
【專案目標客戶】該專案適合那些希望對伺服器工作負載實施零信任或預設拒絕策略的組織。該專案使用應用控制機制來阻斷大部分不在白名單上的惡意程式碼。Neil認為這是用中十分強的的安全策略,並被證明能夠有效抵禦Spectre和Meldown***。
【專案建議】把應用控制白名單技術跟綜合記憶體保護技術結合使用。該專案對於物聯網專案或者是不在被供應商提供保護支援的系統特別有用。
應用控制也稱作應用白名單,作為一種成熟的端點保護技術,不僅可以針對傳統的伺服器工作負載,也可以針對雲工作負載,還能針對桌面PC。EPP、CWPP(雲工作負載保護平臺)中都有該技術的存在。當然,由於桌面PC使用模式相對開放,而伺服器執行相對封閉,因此該技術更適合伺服器端點。通過定義一份應用白名單,指明只有什麼可以執行,其餘的皆不可執行,能夠阻止大部分惡意軟體的執行。一些OS已經內建了此類功能。還有一些應用控制技術能夠進一步約束應用在執行過程中的行為和系統互動,從而實現更精細化的控制。
Gartner給客戶還提出瞭如下建議:
1) 應用控制不是銀彈,系統該打補丁還是要打;
2) 可以取代防毒軟體(針對伺服器端),或者調低防毒引擎的工作量。
根據Gartner的2018年威脅對抗Hype Cycle,應用控制處於成熟主流階段。
2.5 微隔離和流可見性專案
【專案目標客戶】該專案十分適用於那些具有平坦網路拓撲結構的組織,不論是本地網路還是在IaaS中的網路。這些組織希望獲得對於資料中心流量的可見性和控制。該專案旨在阻止針對資料中心***的橫向移動。MacDonald表示,“如果壞人進來了,他們不能暢通無阻”。
【專案建議】把獲得網路可見性作為微隔離專案的切入點,但切忌不要過度隔離。先針對關鍵的應用進行隔離,同時要求你的供應商原生支援隔離技術。
該技術在2017年也上榜了,並且今年的技術內涵基本沒有變化。
廣義上講,微隔離(也有人稱做“微分段”)就是一種更細粒度的網路隔離技術,主要面向虛擬化的資料中心,重點用於阻止***在進入企業資料中心網路內部後的橫向平移(或者叫東西向移動),是軟體定義安全的一種具體實踐。微隔離使用策略驅動的防火牆技術(通常是基於軟體的)或者網路加密技術來隔離資料中心、公共雲IaaS、容器、甚至是包含前述環境的混合場景中的不同工作負載、應用和程序。流可見技術(注意:不是視覺化技術)則與微隔離技術伴生,因為要實現東西向網路流的隔離和控制,必先實現流的可見性(Visibility)。流可見性技術使得安全運維與管理人員可以看到內部網路資訊流動的情況,使得微隔離能夠更好地設定策略並協助糾偏。
除了資料中心雲化給微隔離帶來的機遇,資料中心負載的動態化、容器化,以及微服務架構也都越發成為微隔離的驅動因素,因為這些新技術、新場景都讓傳統的防火牆和***防禦技術顯得捉襟見肘。而資料中心架構的變革如此之大,也引發了大型的廠商紛紛進入這個領域,到不見得是為了微隔離本身,更多還是為了自身的整體佈局。譬如,雲和虛擬化廠商為了自身的整體戰略就(不得不)進入這個領域。我個人感覺未來微隔離的startup廠商更多可能會被雲廠商和大型安全廠商所併購。此外,針對容器的微隔離也值得關注。
Gartner給出了評估微隔離的幾個關鍵衡量指標,包括:
1) 是基於代理的、基於虛擬化裝置的還是基於容器的?
2) 如果是基於代理的,對宿主的效能影響性如何?
3) 如果是基於虛擬化裝置的,它如何接入網路中?
4) 該解決方案支援公共雲IaaS嗎?
Gartner還給客戶提出瞭如下幾點建議:
1) 欲建微隔離,先從獲得網路可見性開始,可見才可隔離;
2) 謹防過度隔離,從關鍵應用開始;
3) 鞭策IaaS、防火牆、交換機廠商原生支援微隔離;
Gartner將微隔離劃分出了4種模式:內生雲控制模式、第三方防火牆模式、混合式、疊加式。針對這四種模式的介紹可以參見我寫的《Gartner2017年十大安全技術解讀》。
根據Gartner的2018年雲安全Hype Cycle,目前微隔離已經“從失望的低谷爬了出來,正在向成熟的平原爬坡”,但依然處於成熟的早期階段。
在國內已經有以此技術為核心的創業新興廠商。
2.6 檢測和響應專案
Gartner今年將各種檢測和響應技術打包到一起統稱為“檢測和響應專案”。實際上對應了4樣東西,包括三種技術和一種服務。
【專案目標客戶】該專案適用於那些已經認定被攻陷是無法避免的組織。他們希望尋找某些基於端點、基於網路或者基於使用者的方法去獲得高階威脅檢測、調查和響應的能力。這裡有三種方式可供選擇:
l EPP+EDR:端點保護平臺+端點檢測與響應
l UEBA:使用者與實體行為分析
l Decption:欺騙
欺騙技術相對小眾,但是一個新興的市場。對於那些試圖尋找更深入的方法去加強其威脅偵測機制,從而獲得高保真事件的組織而言,採用欺騙技術是個不錯的點子。
【專案建議】給EPP供應商施壓要求其提供EDR功能,給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術供應商提供豐富的假目標型別組合。考慮從供應商那裡直接採購類似MDR(“可管理檢測與響應”,或者“託管檢測與響應”)的服務。
2.6.1 EPP+EDR
EDR(端點檢測於響應)在2014年就進入Gartner的10大技術之列了。EDR工具通常記錄大量端點級系統的行為與相關事件,譬如使用者、檔案、程序、登錄檔、記憶體和網路事件,並將這些資訊儲存在終端本地或者集中資料庫中。然後對這些資料進行IOC比對,行為分析和機器學習,用以持續對這些資料進行分析,識別資訊洩露(包括內部威脅),並快速對***進行響應。
EDR的出現最初是為了彌補傳統終端/端點管理系統(Gartner稱為EPP)的不足。而現在,EDR正在與EPP迅速互相***融合,尤其是EPP廠商的新版本中紛紛加入了EDR的功能,但Gartner預計未來短期內EDR和EPP仍將並存。
但正如我在《Gartner2017年十大安全技術解讀》中所述,EDR的使用者使用成本還是很高的,EDR的價值體現多少跟分析師水平高低和經驗多少密切相關。這也是限制EDR市場發展的一個重要因素。
另外一方面,隨著終端威脅的不斷演化,EPP(端點保護平臺)已經不能僅僅聚焦於阻止初始的威脅感染,還需要投入精力放到加固、檢測、響應等等多個環節,因此近幾年來EPP市場發生了很大的變化,包括出現了EDR這類注重檢測和響應的產品。終於,在2018年9月底,Gartner給出了一個全新升級的EPP定義:
“EPP解決方案部署在端點之上,用於阻止基於檔案的惡意程式碼***、檢測惡意行為,並提供調查和修復的能力去處理需要響應的動態安全事件和告警”。
相較於之前的EPP定義,更加強調對惡意程式碼和惡意行為的檢測及響應。而這個定義也進一步反映了EPP與EDR市場融合的事實,基本上新一代的EPP都內建EDR功能了。Gartner建議客戶在選購EPP的時候,最好要求他們一併提供EDR功能。因此,我個人認為,未來EDR將作為一種技術消融到其它產品中去,主要是EPP,也可能作為一組功能點存在於其它產品中。獨立EDR存在的可能性會十分地小。
Gartner在2018年的威脅對抗(Threat-Facing)技術的Hype Cycle中首次標註了EDR技術,處於即將滑落到失望的谷底的位置,比UEBA更靠下。而EPP也是首次出現在Hype Cycle中,位於Hype Cycle的“成熟平原”,屬於早期主流產品。Gartner自己也表示,將EPP例如Hype Cycle也是一件不同尋常的事情,因為EPP已經存在20年了。但之所以把EPP列進來進行分析就是因為前面提到的EPP已經被Gartner重新定義了。
在國內,EPP的廠商也已經經歷了多年的洗禮,格局較為穩定。而EDR產品則多見於一些新興廠商,有的已經開始攪動起看似穩定的EPP市場了。
2.6.2 UEBA
UEBA(使用者與實體行為分析)曾經在2016年例如10大安全技術,2017年未能入榜,不過在2018年以檢測與響應專案中的一個分支方向的名義重新入榜。
UEBA解決方案通過對使用者和實體(如主機、應用、網路流量和資料集)基於歷史軌跡或對照組建立行為輪廓基線來進行分析,並將那些異於標準基線的行為標註為可疑行為,最終通過各種異常模型的打包分析來幫助發現威脅和潛藏的安全事件。
根據Gartner的觀察,目前UEBA市場已經出現了明顯的分化。一方面僅存在少量的純UEBA廠商,另一方面多種傳統細分市場的產品開始將UEBA功能融入其中。這其中最典型的就是SIEM廠商,已經將UEBA技術作為了SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購SIEM的時候,要求廠商提供UEBA功能”。此外,包括EDR/EPP和CASB廠商也都紛紛在其產品中加入了UEBA功能。
由於不斷的併購和其它細分市場產品的蠶食,純UEBA廠商越來越少。同時,由於該技術此前一直處於期望的頂點,一些率先採用UEBA技術的超前客戶的失敗案例開始湧現,促使人們對這個技術進行重新定位,當然也有利於UEBA未來更好發展。
另外,有些做得不錯的純UEBA廠商也開始擴充套件自己的細分市場。最典型的就是向SIEM廠商進發。2017年的SIEM魔力象限就已經出現了兩個UEBA廠商,他們已經開始把自己當作更先進的SIEM廠商了。
在Gartner的2018年應用安全的Hype Cycle中,UEBA已經從去年的期望頂峰基本滑落到失望的谷底了,總體上仍處於青春期的階段。
我的觀點,未來純UEBA廠商將越來越少,要麼被併購,要麼轉變到其它更大的細分市場。同時SIEM廠商將會大舉投入UEBA技術,不論是買,還是OEM,抑或自研。未來,UEBA更多是一種技術,一種能力,被廣泛整合到多種安全產品之中,最關鍵就是UEBA引擎。但只要UEBA廠商還能夠開發出具有獨立存在價值的客戶應用場景,就不會消失。至少目前來看,還是具備獨立存在的價值的。
在國內目前幾乎沒有UEBA的專業廠商,一般見於其它細分市場的產品家族中,譬如SIEM/安管平臺廠商,或者業務安全廠商的產品線中會有這個產品。我比較自豪的是,我們公司是目前國內少有的幾家具有UEBA產品的新興安管平臺廠商之一。
2.6.3 欺騙
該技術在2016年就上榜了。欺騙技術(Deception Technology)的本質就是有針對性地對***者進行我方網路、主機、應用、終端和資料的偽裝,欺騙***者,尤其是***者的工具中的各種特徵識別環節,使得那些工具產生誤判或失效,擾亂***者的視線,將其引入死衚衕,延緩***者的時間。譬如可以設定一個偽目標/誘餌,誘騙***者對其實施***,從而觸發***告警。
欺騙技術作為一種新型的威脅檢測技術,可以作為SIEM或者其它新型檢測技術(如NTA、UEBA)的有益補充,尤其是在檢測高階威脅的橫向移動方面。Gartner認為未來欺騙類產品獨立存在的可能性很小,絕大部分都將被併購或者消亡,成為大的產品方案中的一環。
針對欺騙技術,Gartner給客戶的建議包括:
1) 要求廠商提供豐富的假目標(型別)組合;
2) 要求提供基於***者視角的視覺化拓撲;
3) 要求提供完整的API能力,便於客戶進行編排和自動化整合。
Gartner近來一直大力推介欺騙技術。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術,並將其列為新興技術,正在向期望的高峰攀登。總體上,不論是技術的產品化實用程度,還是客戶的接受程度,都處於早期,Gartner預計還有5到10年才能趨於成熟。
在國內,這塊市場也剛剛萌芽(不算以前的特定客戶市場)。出現了若干個具有(但不是主打)此類產品的新興公司。
2.6.4 MDR服務
MDR在2017年也已經上榜了。MDR作為一種服務,為那些想提升自身高階威脅檢測、事件響應和持續監測能力,卻又無力依靠自身的能力和資源去達成的企業提供了一個選擇。
事實上,如果你採購了MDR服務,MDR提供商可能會在你的網路中部署前面提及的某些新型威脅檢測裝置,當然客戶不必具體操心這些裝置的使用,交給MDR服務提供商就好了。有關MDR更多介紹可以參見我的《Gartner2017年十大安全技術解讀》。
根據我的觀察,MDR也是一個機會市場,隨著MSSP越來越多的提供MDR服務,純MDR廠商將會逐步消失,或者變成檢測產品廠商提供的一種產品附加服務。Gartner建議客戶儘量選擇具有MDR服務能力的MSSP。
在2018年的威脅對抗Hype Cycle中首次列入了MDR,並將其列為新興技術,並且比欺騙技術還要早期。
2.6.5 小結
這裡,我個人小結一下,目前市面上常見的新型威脅檢測技術大體上包括:EDR、NTA、UEBA、TIP、網路沙箱、欺騙技術等。可以說這些新型技術各有所長,也各有使用限制。這裡面,威脅情報比對相對最簡單實用,但前提是要有靠譜的情報。沙箱技術相對最為成熟,但也被***者研究得相對最透。EDR在整個IT架構的神經末梢端進行檢測,理論效果最好,但受限於部署和維護問題,對宿主的影響性始終揮之不去,甚至還有些智慧裝置根本無法部署代理。NTA部署相對簡單,對網路干擾性小,但對分散性網路部署成本較高,且難以應對越來越多的加密通訊。UEBA肯定也是一個好東西,但需要提供較高質量的資料輸入,且機器學習分析的結果確切性不可能100%,也就是存在誤報,多用於Threat Hunting,也就是還要以來分析師的後續分析。欺騙技術理論上很好,而且基本不影響客戶現有的業務,但需要額外的網路改造成本,而且效果還未被廣泛證實。對於客戶而言,不論選擇哪種新型技術,首先要把基礎的IDP、SIEM布上去,然後再考慮進階的檢測能力。而具體用到哪種新型檢測技術,則要具體問題具體分析了,切不可盲目跟風。
2.7 雲安全配置管理(CSPM)專案
【專案目標客戶】該專案適用於那些希望對其IaaS和PaaS雲安全配置進行全面、自動化評估,以識別風險的組織。CASB廠商也提供這類能力。
【專案建議】如果客戶僅僅有一個單一的IaaS,那麼先去諮詢你的IaaS提供商;客戶如果已經或者想要部署CASB,也可以先去問問CASB供應商。
CSPM(Cloud Security Posture Management)是Neil自己新造的一個詞,原來叫雲基礎設施安全配置評估(CISPA),也是他取的名字。改名的原因在原來僅作“評估”,現在不僅要“評估”,還要“修正”,因此改叫“管理”。Posture在這裡我認為是不應該翻譯為“態勢”的,其實Neil本意也不是講我們國人所理解的態勢,而是講配置。
要理解CSPM,首先就要分清楚CSPM和CWPP的關係,Neil自己畫了下圖來闡釋:
如上圖所示,在談及雲工作負載的安全防護的時候,一般分為三個部分去考慮,分屬於兩個平面。一個是資料平面,一個是控制平面。在資料平面,主要包括針對雲工作負載本身進行防護的CWPP,以及雲工作負載之上的CWSS(雲工作負載安全服務)。CWSS是在雲工作負載之上對負載進行安全防護。在控制平面,則都是在負載之上對負載進行防護的措施,就包括了CSPM,以及