今日頭條
官方微信
官方抖音
資訊頻道1、概述
2018年6月份,一年一度的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)上,知名分析師Neil Mcdonald發(fā)布了2018年度的十大安全項(xiàng)目(Top 10 Security Projects)。
在之前的幾年里,Gartner一直做的是10大頂級(jí)技術(shù)(Top New and Cool Technologies)的發(fā)布,更多關(guān)注是新興的產(chǎn)品化技術(shù)和即將大規(guī)模應(yīng)用的技術(shù)。推出這些頂級(jí)技術(shù)的目的也是供客戶方的信息安全主管們作為當(dāng)年安全投資建設(shè)的推薦參考。
而2018年“十大安全技術(shù)”換成了“十大安全項(xiàng)目”,所為何故?我個(gè)人的理解:今年“十大安全項(xiàng)目”的叫法更加符合客戶視角,而且更加強(qiáng)調(diào)對(duì)客戶而言具有很高優(yōu)先級(jí)的技術(shù)。也就是說,也許有些項(xiàng)目涉及的技術(shù)不一定是最新最酷的技術(shù),但對(duì)客戶而言是特別有助于降低安全風(fēng)險(xiǎn)的技術(shù)。如此一來,十大安全項(xiàng)目考察的技術(shù)點(diǎn)就要比十大安全技術(shù)更廣泛,更加客戶視角。
根據(jù)Gartner自己的說明,給出了選取十大安全項(xiàng)目的方式。
首先,假定客戶已經(jīng)具備了相當(dāng)?shù)陌踩A(chǔ)。如果連這些基礎(chǔ)都沒有達(dá)到,那么也就不要去追求什么十大安全項(xiàng)目,乃至十大安全技術(shù)了。這些基礎(chǔ)包括:
1) 已經(jīng)有了較為先進(jìn)的EPP(端點(diǎn)保護(hù)平臺(tái)),具備諸如無文件惡意代碼檢測、內(nèi)存注入保護(hù)和機(jī)器學(xué)習(xí)的功能;
2) 已經(jīng)做好了基本的Windows賬戶管理工作;
3) 已經(jīng)有了IAM;
4) 有了常規(guī)化的補(bǔ)丁管理;
5) 已經(jīng)有了標(biāo)準(zhǔn)化的服務(wù)器/云工作負(fù)載保護(hù)平臺(tái)代理;
6) 具備較為強(qiáng)健的反垃圾郵件能力;
7) 部署了某種形式的SIEM或者日志管理解決方案,具有基本的檢測/響應(yīng)能力;
8) 建立了備份/恢復(fù)機(jī)制;
9) 有基本的安全意識(shí)培訓(xùn);
10)具備基本的互聯(lián)網(wǎng)出口邊界安全防護(hù)能力,包括URL過濾能力;
沒錯(cuò),對(duì)于客戶而言,上面10個(gè)技術(shù)和能力更為基礎(chǔ),優(yōu)先級(jí)更高,如果上述能力都有欠缺,先別輕易考慮什么十大安全項(xiàng)目!
其次,針對(duì)10大項(xiàng)目的選取也比較強(qiáng)調(diào)新(客戶采用率低于50%),同時(shí)又必須是已經(jīng)落地的,而且又不能太過復(fù)雜(是Project級(jí)別而非Program級(jí)別)【注:要區(qū)別portfolio(項(xiàng)目組合), program(項(xiàng)目集), project(項(xiàng)目)三種項(xiàng)目間的關(guān)系】。
最后,選取的技術(shù)必須是能夠最大程度上降低客戶風(fēng)險(xiǎn)的,且付出是相對(duì)經(jīng)濟(jì)的,必須是符合數(shù)字時(shí)代發(fā)展潮流的,符合Gartner自己的CARTA(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估)方法論的。
基于上述所有前提假定,Gartner給出了2018年的10大安全項(xiàng)目:
對(duì)比一下近些年Gartner的10大安全技術(shù)/項(xiàng)目如下表所示:
Gartner歷年評(píng)選的頂級(jí)技術(shù)/項(xiàng)目對(duì)比分析
通過分析比較,不難發(fā)現(xiàn),和2017年度的11大安全技術(shù)(參見我寫的《Gartner2017年十大安全技術(shù)解讀》)相比,差別其實(shí)不大,大部分2017年的頂級(jí)技術(shù)都保留了,有的更加細(xì)化了,同時(shí)增加了幾項(xiàng)算不上先進(jìn)但對(duì)客戶而言更為迫切的幾個(gè)技術(shù),包括PAM、弱點(diǎn)管理(VM)、反釣魚。同時(shí),這些項(xiàng)目也不是對(duì)每個(gè)客戶都具備同等的急迫性,不同客戶還需要根據(jù)自身的情況進(jìn)行取舍,有所關(guān)注。
此外,細(xì)心的人可能還會(huì)發(fā)現(xiàn),居然沒有現(xiàn)在大熱的數(shù)據(jù)安全項(xiàng)目?的確,Gartner 10大安全項(xiàng)目中沒有明確以數(shù)據(jù)安全為大標(biāo)題的項(xiàng)目,不過在多個(gè)項(xiàng)目中都提及了數(shù)據(jù)安全,譬如在CASB項(xiàng)目中建議優(yōu)先考慮處理數(shù)據(jù)安全問題,PAM也跟數(shù)據(jù)安全有關(guān)系。另外,我感覺數(shù)據(jù)安全是一個(gè)十分龐大的題目,不可能用幾個(gè)Project來達(dá)成,起碼也要是Program級(jí)別的。期待以后Neil對(duì)數(shù)據(jù)安全更加重視起來吧。
特別需要指出的是,雖說叫10大安全項(xiàng)目,但是“檢測與響應(yīng)項(xiàng)目”其實(shí)包括了四個(gè)子項(xiàng)目,分別是EPP+EDR,UEBA、欺騙技術(shù)和MDR(可管理檢測與響應(yīng))服務(wù)。因此,如果展開來說,其實(shí)不止10個(gè)項(xiàng)目,只是為了“湊個(gè)10”。
2、十大安全項(xiàng)目解析
接下來,我們逐一解析一下10大項(xiàng)目,對(duì)于2017年就出現(xiàn)過的,還可以參見我去年寫的《Gartner2017年十大安全技術(shù)解讀》,內(nèi)涵基本沒有什么變化。
注意,配合10大項(xiàng)目的發(fā)布,Gartner官方發(fā)布了一篇文章(參見https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/),而Gartner中國也發(fā)布了中文譯文——《Gartner遴選出2018十大安全項(xiàng)目》。不過,最初Gartner官方新聞稿中編輯將EDR縮寫的指代英文全稱寫錯(cuò)了,導(dǎo)致很多中文譯文也都跟著錯(cuò)了,并且Gartner的中文譯文將MDR這個(gè)縮寫也翻譯錯(cuò)誤了。此外,Gartner中國刊載的中文譯文也有不少其它錯(cuò)誤,主要是對(duì)多個(gè)專業(yè)英文縮寫所代表的專業(yè)術(shù)語翻譯錯(cuò)誤和不準(zhǔn)確,一些專業(yè)語句由于缺乏知識(shí)背景翻譯錯(cuò)誤。譬如Deception不應(yīng)該翻譯為“欺詐”,而應(yīng)該叫做“欺騙”,因?yàn)槲覀円獜恼娼嵌冉庾x這個(gè)詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專業(yè)的稱呼。對(duì)此,我當(dāng)時(shí)就已經(jīng)告知Gartner中國,并提出了9點(diǎn)改進(jìn)建議。后來,Gartner美國官網(wǎng)的錯(cuò)誤改正過來了,但Gartner中國的那篇中文譯文的文章卻一直保留著那些錯(cuò)誤。因此,在下面的解析內(nèi)容中我首先都會(huì)將官網(wǎng)上的內(nèi)容(包括項(xiàng)目目標(biāo)客戶和項(xiàng)目提示兩個(gè)部分)重新翻譯一遍,然后再做具體解讀。
2.1 特權(quán)賬戶管理項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目旨在讓攻|擊者更難訪問特權(quán)賬戶,并讓安全團(tuán)隊(duì)監(jiān)測到異常訪問的行為。最低限度,CISO們應(yīng)該要求對(duì)所有管理員實(shí)施強(qiáng)制多因素認(rèn)證,建議同時(shí)也對(duì)承包商等外部第三方的訪問實(shí)施強(qiáng)制多因素認(rèn)證。
【項(xiàng)目建議】先對(duì)高價(jià)值、高風(fēng)險(xiǎn)的系統(tǒng)實(shí)施PAM,監(jiān)控對(duì)其的訪問行為。
PAM工具為組織的關(guān)鍵資產(chǎn)提供安全的特權(quán)訪問,以符合對(duì)特權(quán)賬號(hào)及其訪問的監(jiān)控管理合規(guī)需求。PAM通常具備以下功能:
1) 對(duì)特權(quán)賬號(hào)的訪問控制功能,包括共享賬號(hào)和應(yīng)急賬號(hào);
2) 監(jiān)控、記錄和審計(jì)特權(quán)訪問操作、命令和動(dòng)作;
3) 自動(dòng)地對(duì)各種管理類、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進(jìn)行隨機(jī)化、管理和保管;
4) 為特權(quán)指令的執(zhí)行提供一種安全的單點(diǎn)登錄(SSO)機(jī)制;
5) 委派、控制和過濾管理員所能執(zhí)行的特權(quán)操作;
6) 隱藏應(yīng)用和服務(wù)的賬戶,讓使用者不用掌握這些賬戶實(shí)際的密碼;
7) 具備或者能夠集成高可信認(rèn)證方式,譬如集成MFA。
很顯然,雖然國內(nèi)談PAM很少,但實(shí)際上早已大量運(yùn)用,其實(shí)就對(duì)應(yīng)我們國內(nèi)常說的堡壘機(jī)。
Gartner將PAM工具分為兩類:PASM(特權(quán)賬戶和會(huì)話管理)和PEDM(權(quán)限提升與委派管理)。如下圖所示:
顯然,PASM一般對(duì)應(yīng)那個(gè)堡壘機(jī)邏輯網(wǎng)關(guān),實(shí)現(xiàn)單點(diǎn)登錄,集中的訪問授權(quán)與控制,設(shè)備系統(tǒng)密碼代管、會(huì)話管理、對(duì)操作的審計(jì)(錄像)。
PEDM則主要通過分散的Agent來實(shí)現(xiàn)訪問授權(quán)與控制,以及操作過濾和審計(jì)。國內(nèi)的堡壘機(jī)一般都沒有采用這種技術(shù)模式。
Gartner分析未來PAM的技術(shù)發(fā)展趨勢(shì)包括:
1) 支持特權(quán)任務(wù)自動(dòng)化,多個(gè)操作打包自動(dòng)化執(zhí)行;
2) 將PAM用于DevOps,讓DevOps更安全更便捷;
3) 支持容器;
4) 支持IaaS/PaaS和虛擬化環(huán)境;
5) 以云服務(wù)的形式交付PAM;
6) 特權(quán)訪問操作分析,就是對(duì)堡壘機(jī)日志進(jìn)行分析,可以用到UEBA技術(shù);
7) 與漏洞管理相結(jié)合;
8) 系統(tǒng)和特權(quán)賬戶發(fā)現(xiàn);
9) 特權(quán)身份治理與管理。
Gartner列出了評(píng)價(jià)PAM的幾個(gè)關(guān)鍵衡量指標(biāo):
1)環(huán)境支持的情況,是否支持云環(huán)境?
2)具備PASM和PEDM功能,具有錄像功能;
3)提供完備的API以便進(jìn)行自動(dòng)化集成;
4)具備自然人/非自然人的賬號(hào)管理功能。
在Gartner的2018年IAM技術(shù)Hype Cycle中,PAM處于早期主流階段,正在向成熟的平原邁進(jìn)。
國內(nèi)堡壘機(jī)已經(jīng)發(fā)展好多年了,本人早些年也負(fù)責(zé)過這塊業(yè)務(wù)。國外PAM也趨于成熟,Gartner估計(jì)2016年全球PAM市場達(dá)到了9億美元,市場并購也比較頻繁。Gartner對(duì)中國的PAM市場了解甚少,沒有什么研究,這里我也建議國內(nèi)的堡壘機(jī)領(lǐng)導(dǎo)廠商可以主動(dòng)聯(lián)系Gartner,讓他們更多地了解中國的PAM市場。
2.2 符合CARTA方法論的弱點(diǎn)管理項(xiàng)目
【項(xiàng)目目標(biāo)客戶】基于CARTA方法論,該項(xiàng)目能夠很好地處理漏洞管理問題,并有助于顯著降低潛在風(fēng)險(xiǎn)。在補(bǔ)丁管理流程中斷,以及IT運(yùn)維的速度趕不上漏洞增長的速度時(shí),可以考慮該項(xiàng)目。你無法打上每個(gè)補(bǔ)丁,但你可以通過風(fēng)險(xiǎn)優(yōu)先級(jí)管理顯著降低風(fēng)險(xiǎn)。
【項(xiàng)目建議】要求你的虛擬助手/虛擬機(jī)供應(yīng)商提供該能力(如果客戶已經(jīng)上云/虛擬化的話),并考慮使用風(fēng)險(xiǎn)緩解措施,譬如上防火墻、IPS、WAF等等。
注意,弱點(diǎn)管理不是弱點(diǎn)評(píng)估。弱點(diǎn)評(píng)估對(duì)應(yīng)我們熟知的弱點(diǎn)掃描工具,包括系統(tǒng)漏掃、web漏掃、配置核查、代碼掃描等。而弱點(diǎn)管理是在弱點(diǎn)評(píng)估工具之上,收集這些工具所產(chǎn)生的各類弱點(diǎn)數(shù)據(jù),進(jìn)行集中整理分析,并輔以情境數(shù)據(jù)(譬如資產(chǎn)、威脅、情報(bào)等),進(jìn)行風(fēng)險(xiǎn)評(píng)估,并幫助安全管理人員進(jìn)行弱點(diǎn)全生命周期管理的平臺(tái)。記住,弱點(diǎn)管理是平臺(tái),而弱點(diǎn)掃描是工具。
另外,Vulnerability Management我一直稱作“弱點(diǎn)管理”,而不是“漏洞管理”,是因?yàn)槿觞c(diǎn)包括漏洞,還包括弱配置!如果你認(rèn)為Vulnerability應(yīng)該叫做漏洞,那也沒關(guān)系,但不要把弱配置落掉。
那么,什么叫做基于CARTA的弱點(diǎn)管理呢?熟悉CARTA就能明白(可以參見我的文章《CARTA:Gartner的持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估戰(zhàn)略方法簡介》),本質(zhì)上CARTA就是以風(fēng)險(xiǎn)為核心一套安全方法論。因此,基于CARTA的弱點(diǎn)管理等價(jià)于基于風(fēng)險(xiǎn)的弱點(diǎn)管理。基于風(fēng)險(xiǎn)的管理是一個(gè)不斷迭代提升的過程,包括弱點(diǎn)發(fā)現(xiàn)、弱點(diǎn)優(yōu)先級(jí)排序、弱點(diǎn)補(bǔ)償控制三個(gè)階段,如下圖所示:
作為排名第二位的項(xiàng)目,Gartner建議盡快啟動(dòng),盡早降低組織面臨的風(fēng)險(xiǎn)。
Gartner對(duì)基于CARTA方法論的VM的衡量指標(biāo)包括:
1)是否有情境信息,誰收到攻|擊?不僅是IP,而是他的情境信息都需要,以便全面評(píng)估;
2)能否算出資產(chǎn)的業(yè)務(wù)價(jià)值?
3)能否繪制網(wǎng)絡(luò)拓?fù)洌o出緩解措施?
4)把VA(漏洞評(píng)估)和漏洞管理一并考慮,譬如集成VA工具。
目前在國內(nèi)一般有兩類弱點(diǎn)管理產(chǎn)品,一類是單一的弱點(diǎn)管理產(chǎn)品,屬于請(qǐng)諒解的弱點(diǎn)管理平臺(tái),更多具有工具的使用特點(diǎn),管理類功能相對(duì)較為簡單。還有一類是作為SOC/安管平臺(tái)的一個(gè)組成部分,具有較為完備的平臺(tái)功能,把漏洞管理的流程和其它SOC運(yùn)維流程整合到一起。
2.3 積極的反釣魚項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目瞄準(zhǔn)那些至今依然有員工遭受成功網(wǎng)絡(luò)釣魚攻|擊的組織。他們需要采用一個(gè)三管齊下的策略,即同時(shí)進(jìn)行技術(shù)控制、終端用戶控制和流程重構(gòu)。使用技術(shù)控制措施盡可能多地阻斷釣魚攻|擊,同時(shí)需要終端使用用戶積極成為防御體系中的一環(huán)。
【項(xiàng)目建議】不要點(diǎn)名批評(píng)那些沒有做到位的部門或者個(gè)人,而應(yīng)該大張旗鼓的宣傳那些做得得當(dāng)?shù)男袨椤?yīng)該去詢問你的郵件安全供應(yīng)商能否承擔(dān)這個(gè)項(xiàng)目。如果不能,為什么?(注:言下之意,郵件安全供應(yīng)商應(yīng)該具有這樣的能力,否則就不合格)
Gartner認(rèn)為近幾年內(nèi),網(wǎng)絡(luò)釣魚(不論是郵件釣魚還是網(wǎng)頁釣魚)依然會(huì)是APT攻|擊的最經(jīng)典方式,也會(huì)是面向C端用戶的普遍性攻|擊方法。網(wǎng)絡(luò)釣魚一種普遍存在的高影響性威脅,他通過社交工程來實(shí)現(xiàn)對(duì)個(gè)人和企業(yè)資產(chǎn)的非法訪問。尤其是郵件釣魚十分猖獗,并還有不斷上升的勢(shì)頭。盡管已經(jīng)涌現(xiàn)了不少應(yīng)對(duì)技術(shù),但效果仍不顯著。從技術(shù)上看,產(chǎn)生釣魚的因素十分復(fù)雜,并且跟企業(yè)和個(gè)人信息泄露密切相關(guān),很難從單一維度進(jìn)行阻斷。因此,Gartner提出了要進(jìn)行綜合治理的說法,需要運(yùn)用技術(shù)、人和流程相結(jié)合的手段。Gartner給出的綜合治理建議如下:
1) 在SEG(安全郵件網(wǎng)關(guān))上加載高級(jí)威脅防御技術(shù)
最典型的就是集成URL過濾技術(shù)。URL過濾必須支持點(diǎn)擊時(shí)URL過濾分析(time-of-click URL filtering)和使用代理的URL過濾分析,因?yàn)楹芏鄲阂釻RL都是在用戶雙擊后動(dòng)態(tài)產(chǎn)生的,還有的URL外面包了代理。這些都增加了過濾的難度。
其次是集成網(wǎng)絡(luò)沙箱,這類技術(shù)已經(jīng)較為成熟,但用到SEG上,性能是一個(gè)問題,并且沙箱逃逸開始出現(xiàn)。
更高級(jí)的是針對(duì)郵件中的附件文件進(jìn)行CDR(content disarm and reconstruction,內(nèi)容拆解與重建)。這種技術(shù)會(huì)實(shí)時(shí)地把文件分拆為不同的組成部分,然后剝?nèi)ト魏尾环衔募家?guī)范的內(nèi)容,再重新把文件的不同部分組合起來,形成一個(gè)“干凈”的版本,繼續(xù)將它傳到目的地,而不影響業(yè)務(wù)。這里的CDR最核心的工作就是對(duì)文件進(jìn)行清洗,譬如去掉宏、去掉js腳本等等嵌入式代碼。這種技術(shù)性能還不錯(cuò),但可能會(huì)清洗掉合法的動(dòng)態(tài)腳本,導(dǎo)致文件不可用。因此Gartner建議一方面快速CDR清洗后發(fā)給用戶,另一方面繼續(xù)跑沙箱,如果沒問題再追發(fā)原始文件給用戶。
當(dāng)然,釣魚手段遠(yuǎn)不止于此,譬如無載荷的釣魚攻|擊。因此,還有很多細(xì)節(jié)需要考慮。
2) 不要僅僅依靠密碼來進(jìn)行認(rèn)證,要采用更安全的認(rèn)證機(jī)制,尤其針對(duì)高價(jià)值的系統(tǒng)和高敏感用戶。
3) 使用反釣魚行為管控(APBM)技術(shù)
這類技術(shù)聚焦員工的行為管控和矯正,通常作為安全意識(shí)教育與培訓(xùn)的輔助手段。這類產(chǎn)品會(huì)發(fā)起模擬的釣魚攻|擊,然后根據(jù)被測員工的行為反饋來對(duì)其進(jìn)行教育和矯正。目前這種技術(shù)主要以服務(wù)的方式交付給客戶。
4) 強(qiáng)化內(nèi)部流程管控。如前所述,有些無載荷釣魚,包括一些社交工程的魚叉式精準(zhǔn)釣魚,引誘收件人透露賬號(hào)密碼或者敏感信息于無形。這些都是技術(shù)手段所不能及的,需要對(duì)關(guān)鍵流程進(jìn)行重新梳理,加強(qiáng)管控。
Gartner給客戶的其它建議還包括:
1) 要求郵件安全供應(yīng)商提供反釣魚功能;
2) 確保合作伙伴也實(shí)施了反釣魚防護(hù);
3) 正面管理,而不是相反;
4) 考慮與遠(yuǎn)程瀏覽器隔離技術(shù)結(jié)合使用(遠(yuǎn)程瀏覽器是Gartner 2017年10大安全技術(shù))。
2.4 服務(wù)器工作負(fù)載的應(yīng)用控制項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目適合那些希望對(duì)服務(wù)器工作負(fù)載實(shí)施零信任或默認(rèn)拒絕策略的組織。該項(xiàng)目使用應(yīng)用控制機(jī)制來阻斷大部分不在白名單上的惡意代碼。Neil認(rèn)為這是用中十分強(qiáng)的的安全策略,并被證明能夠有效抵御Spectre和Meldown攻|擊。
【項(xiàng)目建議】把應(yīng)用控制白名單技術(shù)跟綜合內(nèi)存保護(hù)技術(shù)結(jié)合使用。該項(xiàng)目對(duì)于物聯(lián)網(wǎng)項(xiàng)目或者是不在被供應(yīng)商提供保護(hù)支持的系統(tǒng)特別有用。
應(yīng)用控制也稱作應(yīng)用白名單,作為一種成熟的端點(diǎn)保護(hù)技術(shù),不僅可以針對(duì)傳統(tǒng)的服務(wù)器工作負(fù)載,也可以針對(duì)云工作負(fù)載,還能針對(duì)桌面PC。EPP、CWPP(云工作負(fù)載保護(hù)平臺(tái))中都有該技術(shù)的存在。當(dāng)然,由于桌面PC使用模式相對(duì)開放,而服務(wù)器運(yùn)行相對(duì)封閉,因此該技術(shù)更適合服務(wù)器端點(diǎn)。通過定義一份應(yīng)用白名單,指明只有什么可以執(zhí)行,其余的皆不可執(zhí)行,能夠阻止大部分惡意軟件的執(zhí)行。一些OS已經(jīng)內(nèi)置了此類功能。還有一些應(yīng)用控制技術(shù)能夠進(jìn)一步約束應(yīng)用在運(yùn)行過程中的行為和系統(tǒng)交互,從而實(shí)現(xiàn)更精細(xì)化的控制。
Gartner給客戶還提出了如下建議:
1) 應(yīng)用控制不是銀彈,系統(tǒng)該打補(bǔ)丁還是要打;
2) 可以取代殺毒軟件(針對(duì)服務(wù)器端),或者調(diào)低殺毒引擎的工作量。
根據(jù)Gartner的2018年威脅對(duì)抗Hype Cycle,應(yīng)用控制處于成熟主流階段。
2.5 微隔離和流可見性項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目十分適用于那些具有平坦網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的組織,不論是本地網(wǎng)絡(luò)還是在IaaS中的網(wǎng)絡(luò)。這些組織希望獲得對(duì)于數(shù)據(jù)中心流量的可見性和控制。該項(xiàng)目旨在阻止針對(duì)數(shù)據(jù)中心攻|擊的橫向移動(dòng)。MacDonald表示,“如果壞人進(jìn)來了,他們不能暢通無阻”。
【項(xiàng)目建議】把獲得網(wǎng)絡(luò)可見性作為微隔離項(xiàng)目的切入點(diǎn),但切忌不要過度隔離。先針對(duì)關(guān)鍵的應(yīng)用進(jìn)行隔離,同時(shí)要求你的供應(yīng)商原生支持隔離技術(shù)。
該技術(shù)在2017年也上榜了,并且今年的技術(shù)內(nèi)涵基本沒有變化。
廣義上講,微隔離(也有人稱做“微分段”)就是一種更細(xì)粒度的網(wǎng)絡(luò)隔離技術(shù),主要面向虛擬化的數(shù)據(jù)中心,重點(diǎn)用于阻止攻|擊在進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移(或者叫東西向移動(dòng)),是軟件定義安全的一種具體實(shí)踐。微隔離使用策略驅(qū)動(dòng)的防火墻技術(shù)(通常是基于軟件的)或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心、公共云IaaS、容器、甚至是包含前述環(huán)境的混合場景中的不同工作負(fù)載、應(yīng)用和進(jìn)程。流可見技術(shù)(注意:不是可視化技術(shù))則與微隔離技術(shù)伴生,因?yàn)橐獙?shí)現(xiàn)東西向網(wǎng)絡(luò)流的隔離和控制,必先實(shí)現(xiàn)流的可見性(Visibility)。流可見性技術(shù)使得安全運(yùn)維與管理人員可以看到內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況,使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏。
除了數(shù)據(jù)中心云化給微隔離帶來的機(jī)遇,數(shù)據(jù)中心負(fù)載的動(dòng)態(tài)化、容器化,以及微服務(wù)架構(gòu)也都越發(fā)成為微隔離的驅(qū)動(dòng)因素,因?yàn)檫@些新技術(shù)、新場景都讓傳統(tǒng)的防火墻和攻|擊防御技術(shù)顯得捉襟見肘。而數(shù)據(jù)中心架構(gòu)的變革如此之大,也引發(fā)了大型的廠商紛紛進(jìn)入這個(gè)領(lǐng)域,到不見得是為了微隔離本身,更多還是為了自身的整體布局。譬如,云和虛擬化廠商為了自身的整體戰(zhàn)略就(不得不)進(jìn)入這個(gè)領(lǐng)域。我個(gè)人感覺未來微隔離的startup廠商更多可能會(huì)被云廠商和大型安全廠商所并購。此外,針對(duì)容器的微隔離也值得關(guān)注。
Gartner給出了評(píng)估微隔離的幾個(gè)關(guān)鍵衡量指標(biāo),包括:
1) 是基于代理的、基于虛擬化設(shè)備的還是基于容器的?
2) 如果是基于代理的,對(duì)宿主的性能影響性如何?
3) 如果是基于虛擬化設(shè)備的,它如何接入網(wǎng)絡(luò)中?
4) 該解決方案支持公共云IaaS嗎?
Gartner還給客戶提出了如下幾點(diǎn)建議:
1) 欲建微隔離,先從獲得網(wǎng)絡(luò)可見性開始,可見才可隔離;
2) 謹(jǐn)防過度隔離,從關(guān)鍵應(yīng)用開始;
3) 鞭策IaaS、防火墻、交換機(jī)廠商原生支持微隔離;
Gartner將微隔離劃分出了4種模式:內(nèi)生云控制模式、第三方防火墻模式、混合式、疊加式。針對(duì)這四種模式的介紹可以參見我寫的《Gartner2017年十大安全技術(shù)解讀》。
根據(jù)Gartner的2018年云安全Hype Cycle,目前微隔離已經(jīng)“從失望的低谷爬了出來,正在向成熟的平原爬坡”,但依然處于成熟的早期階段。在國內(nèi)已經(jīng)有以此技術(shù)為核心的創(chuàng)業(yè)新興廠商。
2.6 檢測和響應(yīng)項(xiàng)目
Gartner今年將各種檢測和響應(yīng)技術(shù)打包到一起統(tǒng)稱為“檢測和響應(yīng)項(xiàng)目”。實(shí)際上對(duì)應(yīng)了4樣?xùn)|西,包括三種技術(shù)和一種服務(wù)。
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目適用于那些已經(jīng)認(rèn)定被攻陷是無法避免的組織。他們希望尋找某些基于端點(diǎn)、基于網(wǎng)絡(luò)或者基于用戶的方法去獲得高級(jí)威脅檢測、調(diào)查和響應(yīng)的能力。這里有三種方式可供選擇:
EPP+EDR:端點(diǎn)保護(hù)平臺(tái)+端點(diǎn)檢測與響應(yīng)
UEBA:用戶與實(shí)體行為分析
Decption:欺騙
欺騙技術(shù)相對(duì)小眾,但是一個(gè)新興的市場。對(duì)于那些試圖尋找更深入的方法去加強(qiáng)其威脅偵測機(jī)制,從而獲得高保真事件的組織而言,采用欺騙技術(shù)是個(gè)不錯(cuò)的點(diǎn)子。
【項(xiàng)目建議】給EPP供應(yīng)商施壓要求其提供EDR功能,給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術(shù)供應(yīng)商提供豐富的假目標(biāo)類型組合。考慮從供應(yīng)商那里直接采購類似MDR(“可管理檢測與響應(yīng)”,或者“托管檢測與響應(yīng)”)的服務(wù)。
2.6.1 EPP+EDR
EDR(端點(diǎn)檢測于響應(yīng))在2014年就進(jìn)入Gartner的10大技術(shù)之列了。EDR工具通常記錄大量端點(diǎn)級(jí)系統(tǒng)的行為與相關(guān)事件,譬如用戶、文件、進(jìn)程、注冊(cè)表、內(nèi)存和網(wǎng)絡(luò)事件,并將這些信息存儲(chǔ)在終端本地或者集中數(shù)據(jù)庫中。然后對(duì)這些數(shù)據(jù)進(jìn)行IOC比對(duì),行為分析和機(jī)器學(xué)習(xí),用以持續(xù)對(duì)這些數(shù)據(jù)進(jìn)行分析,識(shí)別信息泄露(包括內(nèi)部威脅),并快速對(duì)攻|擊進(jìn)行響應(yīng)。
EDR的出現(xiàn)最初是為了彌補(bǔ)傳統(tǒng)終端/端點(diǎn)管理系統(tǒng)(Gartner稱為EPP)的不足。而現(xiàn)在,EDR正在與EPP迅速互相融合,尤其是EPP廠商的新版本中紛紛加入了EDR的功能,但Gartner預(yù)計(jì)未來短期內(nèi)EDR和EPP仍將并存。
但正如我在《Gartner2017年十大安全技術(shù)解讀》中所述,EDR的用戶使用成本還是很高的,EDR的價(jià)值體現(xiàn)多少跟分析師水平高低和經(jīng)驗(yàn)多少密切相關(guān)。這也是限制EDR市場發(fā)展的一個(gè)重要因素。
另外一方面,隨著終端威脅的不斷演化,EPP(端點(diǎn)保護(hù)平臺(tái))已經(jīng)不能僅僅聚焦于阻止初始的威脅感染,還需要投入精力放到加固、檢測、響應(yīng)等等多個(gè)環(huán)節(jié),因此近幾年來EPP市場發(fā)生了很大的變化,包括出現(xiàn)了EDR這類注重檢測和響應(yīng)的產(chǎn)品。終于,在2018年9月底,Gartner給出了一個(gè)全新升級(jí)的EPP定義:
“EPP解決方案部署在端點(diǎn)之上,用于阻止基于文件的惡意代碼攻|擊、檢測惡意行為,并提供調(diào)查和修復(fù)的能力去處理需要響應(yīng)的動(dòng)態(tài)安全事件和告警”。
相較于之前的EPP定義,更加強(qiáng)調(diào)對(duì)惡意代碼和惡意行為的檢測及響應(yīng)。而這個(gè)定義也進(jìn)一步反映了EPP與EDR市場融合的事實(shí),基本上新一代的EPP都內(nèi)置EDR功能了。Gartner建議客戶在選購EPP的時(shí)候,最好要求他們一并提供EDR功能。因此,我個(gè)人認(rèn)為,未來EDR將作為一種技術(shù)消融到其它產(chǎn)品中去,主要是EPP,也可能作為一組功能點(diǎn)存在于其它產(chǎn)品中。獨(dú)立EDR存在的可能性會(huì)十分地小。
Gartner在2018年的威脅對(duì)抗(Threat-Facing)技術(shù)的Hype Cycle中首次標(biāo)注了EDR技術(shù),處于即將滑落到失望的谷底的位置,比UEBA更靠下。而EPP也是首次出現(xiàn)在Hype Cycle中,位于Hype Cycle的“成熟平原”,屬于早期主流產(chǎn)品。Gartner自己也表示,將EPP例如Hype Cycle也是一件不同尋常的事情,因?yàn)镋PP已經(jīng)存在20年了。但之所以把EPP列進(jìn)來進(jìn)行分析就是因?yàn)榍懊嫣岬降腅PP已經(jīng)被Gartner重新定義了。
在國內(nèi),EPP的廠商也已經(jīng)經(jīng)歷了多年的洗禮,格局較為穩(wěn)定。而EDR產(chǎn)品則多見于一些新興廠商,有的已經(jīng)開始攪動(dòng)起看似穩(wěn)定的EPP市場了。
2.6.2 UEBA
UEBA(用戶與實(shí)體行為分析)曾經(jīng)在2016年例如10大安全技術(shù),2017年未能入榜,不過在2018年以檢測與響應(yīng)項(xiàng)目中的一個(gè)分支方向的名義重新入榜。
UEBA解決方案通過對(duì)用戶和實(shí)體(如主機(jī)、應(yīng)用、網(wǎng)絡(luò)流量和數(shù)據(jù)集)基于歷史軌跡或?qū)φ战M建立行為輪廓基線來進(jìn)行分析,并將那些異于標(biāo)準(zhǔn)基線的行為標(biāo)注為可疑行為,最終通過各種異常模型的打包分析來幫助發(fā)現(xiàn)威脅和潛藏的安全事件。
根據(jù)Gartner的觀察,目前UEBA市場已經(jīng)出現(xiàn)了明顯的分化。一方面僅存在少量的純UEBA廠商,另一方面多種傳統(tǒng)細(xì)分市場的產(chǎn)品開始將UEBA功能融入其中。這其中最典型的就是SIEM廠商,已經(jīng)將UEBA技術(shù)作為了SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購SIEM的時(shí)候,要求廠商提供UEBA功能”。此外,包括EDR/EPP和CASB廠商也都紛紛在其產(chǎn)品中加入了UEBA功能。
由于不斷的并購和其它細(xì)分市場產(chǎn)品的蠶食,純UEBA廠商越來越少。同時(shí),由于該技術(shù)此前一直處于期望的頂點(diǎn),一些率先采用UEBA技術(shù)的超前客戶的失敗案例開始涌現(xiàn),促使人們對(duì)這個(gè)技術(shù)進(jìn)行重新定位,當(dāng)然也有利于UEBA未來更好發(fā)展。
另外,有些做得不錯(cuò)的純UEBA廠商也開始擴(kuò)展自己的細(xì)分市場。最典型的就是向SIEM廠商進(jìn)發(fā)。2017年的SIEM魔力象限就已經(jīng)出現(xiàn)了兩個(gè)UEBA廠商,他們已經(jīng)開始把自己當(dāng)作更先進(jìn)的SIEM廠商了。
在Gartner的2018年應(yīng)用安全的Hype Cycle中,UEBA已經(jīng)從去年的期望頂峰基本滑落到失望的谷底了,總體上仍處于青春期的階段。
我的觀點(diǎn),未來純UEBA廠商將越來越少,要么被并購,要么轉(zhuǎn)變到其它更大的細(xì)分市場。同時(shí)SIEM廠商將會(huì)大舉投入U(xiǎn)EBA技術(shù),不論是買,還是OEM,抑或自研。未來,UEBA更多是一種技術(shù),一種能力,被廣泛集成到多種安全產(chǎn)品之中,最關(guān)鍵就是UEBA引擎。但只要UEBA廠商還能夠開發(fā)出具有獨(dú)立存在價(jià)值的客戶應(yīng)用場景,就不會(huì)消失。至少目前來看,還是具備獨(dú)立存在的價(jià)值的。
在國內(nèi)目前幾乎沒有UEBA的專業(yè)廠商,一般見于其它細(xì)分市場的產(chǎn)品家族中,譬如SIEM/安管平臺(tái)廠商,或者業(yè)務(wù)安全廠商的產(chǎn)品線中會(huì)有這個(gè)產(chǎn)品。我比較自豪的是,我們公司是目前國內(nèi)少有的幾家具有UEBA產(chǎn)品的新興安管平臺(tái)廠商之一。
2.6.3 欺騙
該技術(shù)在2016年就上榜了。欺騙技術(shù)(Deception Technology)的本質(zhì)就是有針對(duì)性地對(duì)攻|擊者進(jìn)行我方網(wǎng)絡(luò)、主機(jī)、應(yīng)用、終端和數(shù)據(jù)的偽裝,欺騙攻|擊者,尤其是攻|擊者的工具中的各種特征識(shí)別環(huán)節(jié),使得那些工具產(chǎn)生誤判或失效,擾亂者的視線,將其引入死胡同,延緩攻|擊者的時(shí)間。譬如可以設(shè)置一個(gè)偽目標(biāo)/誘餌,誘騙攻|擊者對(duì)其實(shí)施攻|擊,從而觸發(fā)攻|擊告警。
欺騙技術(shù)作為一種新型的威脅檢測技術(shù),可以作為SIEM或者其它新型檢測技術(shù)(如NTA、UEBA)的有益補(bǔ)充,尤其是在檢測高級(jí)威脅的橫向移動(dòng)方面。Gartner認(rèn)為未來欺騙類產(chǎn)品獨(dú)立存在的可能性很小,絕大部分都將被并購或者消亡,成為大的產(chǎn)品方案中的一環(huán)。
針對(duì)欺騙技術(shù),Gartner給客戶的建議包括:
1) 要求廠商提供豐富的假目標(biāo)(類型)組合;
2) 要求提供基于攻|擊者視角的可視化拓?fù)洌?/p>
3) 要求提供完整的API能力,便于客戶進(jìn)行編排和自動(dòng)化集成。
Gartner近來一直大力推介欺騙技術(shù)。在2018年的威脅對(duì)抗Hype Cycle中首次列入了欺騙平臺(tái)技術(shù),并將其列為新興技術(shù),正在向期望的高峰攀登。總體上,不論是技術(shù)的產(chǎn)品化實(shí)用程度,還是客戶的接受程度,都處于早期,Gartner預(yù)計(jì)還有5到10年才能趨于成熟。
在國內(nèi),這塊市場也剛剛萌芽(不算以前的特定客戶市場)。出現(xiàn)了若干個(gè)具有(但不是主打)此類產(chǎn)品的新興公司。
2.6.4 MDR服務(wù)
MDR在2017年也已經(jīng)上榜了。MDR作為一種服務(wù),為那些想提升自身高級(jí)威脅檢測、事件響應(yīng)和持續(xù)監(jiān)測能力,卻又無力依靠自身的能力和資源去達(dá)成的企業(yè)提供了一個(gè)選擇。
事實(shí)上,如果你采購了MDR服務(wù),MDR提供商可能會(huì)在你的網(wǎng)絡(luò)中部署前面提及的某些新型威脅檢測裝置,當(dāng)然客戶不必具體操心這些設(shè)備的使用,交給MDR服務(wù)提供商就好了。有關(guān)MDR更多介紹可以參見我的《Gartner2017年十大安全技術(shù)解讀》。
根據(jù)我的觀察,MDR也是一個(gè)機(jī)會(huì)市場,隨著MSSP越來越多的提供MDR服務(wù),純MDR廠商將會(huì)逐步消失,或者變成檢測產(chǎn)品廠商提供的一種產(chǎn)品附加服務(wù)。Gartner建議客戶盡量選擇具有MDR服務(wù)能力的MSSP。
在2018年的威脅對(duì)抗Hype Cycle中首次列入了MDR,并將其列為新興技術(shù),并且比欺騙技術(shù)還要早期。
2.6.5 小結(jié)
這里,我個(gè)人小結(jié)一下,目前市面上常見的新型威脅檢測技術(shù)大體上包括:EDR、NTA、UEBA、TIP、網(wǎng)絡(luò)沙箱、欺騙技術(shù)等。可以說這些新型技術(shù)各有所長,也各有使用限制。這里面,威脅情報(bào)比對(duì)相對(duì)最簡單實(shí)用,但前提是要有靠譜的情報(bào)。沙箱技術(shù)相對(duì)最為成熟,但也被攻|擊者研究得相對(duì)最透。EDR在整個(gè)IT架構(gòu)的神經(jīng)末梢端進(jìn)行檢測,理論效果最好,但受限于部署和維護(hù)問題,對(duì)宿主的影響性始終揮之不去,甚至還有些智能設(shè)備根本無法部署代理。NTA部署相對(duì)簡單,對(duì)網(wǎng)絡(luò)干擾性小,但對(duì)分散性網(wǎng)絡(luò)部署成本較高,且難以應(yīng)對(duì)越來越多的加密通信。UEBA肯定也是一個(gè)好東西,但需要提供較高質(zhì)量的數(shù)據(jù)輸入,且機(jī)器學(xué)習(xí)分析的結(jié)果確切性不可能100%,也就是存在誤報(bào),多用于Threat Hunting,也就是還要以來分析師的后續(xù)分析。欺騙技術(shù)理論上很好,而且基本不影響客戶現(xiàn)有的業(yè)務(wù),但需要額外的網(wǎng)絡(luò)改造成本,而且效果還未被廣泛證實(shí)。對(duì)于客戶而言,不論選擇哪種新型技術(shù),首先要把基礎(chǔ)的IDP、SIEM布上去,然后再考慮進(jìn)階的檢測能力。而具體用到哪種新型檢測技術(shù),則要具體問題具體分析了,切不可盲目跟風(fēng)。
2.7 云安全配置管理(CSPM)項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目適用于那些希望對(duì)其IaaS和PaaS云安全配置進(jìn)行全面、自動(dòng)化評(píng)估,以識(shí)別風(fēng)險(xiǎn)的組織。CASB廠商也提供這類能力。
【項(xiàng)目建議】如果客戶僅僅有一個(gè)單一的IaaS,那么先去咨詢你的IaaS提供商;客戶如果已經(jīng)或者想要部署CASB,也可以先去問問CASB供應(yīng)商。
CSPM(Cloud Security Posture Management)是Neil自己新造的一個(gè)詞,原來叫云基礎(chǔ)設(shè)施安全配置評(píng)估(CISPA),也是他取的名字。改名的原因在原來僅作“評(píng)估”,現(xiàn)在不僅要“評(píng)估”,還要“修正”,因此改叫“管理”。Posture在這里我認(rèn)為是不應(yīng)該翻譯為“態(tài)勢(shì)”的,其實(shí)Neil本意也不是講我們國人所理解的態(tài)勢(shì),而是講配置。
要理解CSPM,首先就要分清楚CSPM和CWPP的關(guān)系,Neil自己畫了下圖來闡釋:
如上圖所示,在談及云工作負(fù)載的安全防護(hù)的時(shí)候,一般分為三個(gè)部分去考慮,分屬于兩個(gè)平面。一個(gè)是數(shù)據(jù)平面,一個(gè)是控制平面。在數(shù)據(jù)平面,主要包括針對(duì)云工作負(fù)載本身進(jìn)行防護(hù)的CWPP,以及云工作負(fù)載之上的CWSS(云工作負(fù)載安全服務(wù))。CWSS是在云工作負(fù)載之上對(duì)負(fù)載進(jìn)行安全防護(hù)。在控制平面,則都是在負(fù)載之上對(duì)負(fù)載進(jìn)行防護(hù)的措施,就包括了CSPM,以及前面的CWSS(此處有重疊)。
CSPM能夠?qū)aaS,以及PaaS,甚至SaaS的控制平面中的基礎(chǔ)設(shè)施安全配置進(jìn)行分析與管理(糾偏)。這些安全配置包括賬號(hào)特權(quán)、網(wǎng)絡(luò)和存儲(chǔ)配置、以及安全配置(如加密設(shè)置)。理想情況下,如果發(fā)現(xiàn)配置不合規(guī),CSPM會(huì)采取行動(dòng)進(jìn)行糾偏(修正)。大體上,我們可以將CSPM歸入弱點(diǎn)掃描類產(chǎn)品中去,跟漏掃、配置核查擱到一塊。
對(duì)云的正確配置是很重要的一件事,譬如因?yàn)閷?duì)AWS云的S3 bucket配置不當(dāng),已經(jīng)發(fā)生了多次重大的信息泄露事件。云廠商一般也都會(huì)提供類似的功能,但是對(duì)于跨云用戶而言,需要有專門的配置管理工具去消除不同云環(huán)境中的具體配置差異。
Gartner認(rèn)為CASB中應(yīng)該具備CSPM功能。同時(shí),一些CWPP廠商也開始提供CSPM功能。
在Gartner的2018年云安全Hype Cycle中,CSPM處于期望的頂峰階段,用戶期待很高,處于青春期。
2.8 自動(dòng)化安全掃描項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目適用于那些希望把安全控制措施集成到Devops風(fēng)格的流程中去的組織。從開源軟件的成份分析工具開始,并將測試無縫集成到DevSecOps流程和容器中。
【項(xiàng)目建議】不要輕易讓開發(fā)人員切換工具。要求工具提供者提供完備的API以便使用者進(jìn)行自動(dòng)化集成。
該技術(shù)在2016年就上榜了。不過,每年的側(cè)重點(diǎn)各有不同。在2016年側(cè)重的是DevSecOps的安全測試和RASP(運(yùn)行時(shí)應(yīng)用自保護(hù)),2017年則側(cè)重面向開源軟件(Open Source Software)進(jìn)行安全掃描和軟件成份分析。2018年則繼續(xù)強(qiáng)調(diào)針對(duì)開源軟件的軟件成份分析。
DevSecOps是Gartner力推的一個(gè)概念,有大量的相關(guān)分析報(bào)告。DevSecOps采用模型、藍(lán)圖、模板、工具鏈等等驅(qū)動(dòng)的安全方法來對(duì)開發(fā)和運(yùn)維過程進(jìn)行自保護(hù),譬如開發(fā)時(shí)應(yīng)用測試、運(yùn)行時(shí)應(yīng)用測試、開發(fā)時(shí)/上線前安全漏洞掃描。它是一種自動(dòng)化的、透明化的、合規(guī)性的、基于策略的對(duì)應(yīng)用底層安全架構(gòu)的配置。
軟件成份分析(SCA,Software Composition Analysis)專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫,以識(shí)別和清點(diǎn)開源軟件(OSS)的組件及其構(gòu)成和依賴關(guān)系,并識(shí)別已知的安全漏洞或者潛在的許可證授權(quán)問題,把這些風(fēng)險(xiǎn)排查在應(yīng)用系統(tǒng)投產(chǎn)之前,也適用于應(yīng)用系統(tǒng)運(yùn)行中的診斷分析。如果用戶要保障軟件系統(tǒng)的供應(yīng)鏈安全,這個(gè)SCA很有作用。
Gartner給出了SCA關(guān)鍵評(píng)估指標(biāo)包括:
1) 是否具備漏洞和配置掃描功能?
2) 能否將開源組件指紋與CVE關(guān)聯(lián)?
3) 能否與SAST/DAST/IAST掃描集成?
Gartner給客戶的建議則包括:
1) 不要輕易讓SCA的使用者(一般是開發(fā)人員)切換工具;
2) 需要提供API以便使用者進(jìn)行自動(dòng)化集成;
3) 確保能夠檢查到開源軟件的許可證問題;
4) SCA的測試過程要無縫集成到DevSecOps流程中;
在Gartner的2018年應(yīng)用安全的Hype Cycle中,SCA相較于去年更加成熟,但仍處于成熟早期的階段,屬于應(yīng)用安全測試的范疇,可以綜合使用靜態(tài)測試、動(dòng)態(tài)測試、交互測試等手段。
2.9 CASB項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目適用于那些移動(dòng)辦公情況相對(duì)較多,采用了多個(gè)云廠商的云服務(wù)的組織。這些組織希望獲得一個(gè)控制點(diǎn),以便獲得這些云服務(wù)的可見性和集中的策略管控。
【項(xiàng)目建議】以服務(wù)發(fā)現(xiàn)功能作為切入點(diǎn)去驗(yàn)證項(xiàng)目的可行性。建議在2018年和2019年將高價(jià)值敏感數(shù)據(jù)發(fā)現(xiàn)與監(jiān)測作為關(guān)鍵的應(yīng)用案例。
該技術(shù)從2014年就開始上榜了,并且今年的技術(shù)內(nèi)涵基本沒有變化。
CASB作為一種產(chǎn)品或服務(wù),為企業(yè)認(rèn)可的云應(yīng)用提供通用云應(yīng)用使用、數(shù)據(jù)保護(hù)和治理的可見性。CASB的出現(xiàn)原因,簡單說,就是隨著用戶越來越多采用云服務(wù),并將數(shù)據(jù)存入(公有)云中,他們需要一種產(chǎn)品來幫助他們采用一致的策略安全地接入不同的云應(yīng)用,讓他們清晰地看到云服務(wù)的使用情況,實(shí)現(xiàn)異構(gòu)云服務(wù)的治理,并對(duì)云中的數(shù)據(jù)進(jìn)行有效的保護(hù),而傳統(tǒng)的WAF、SWG和企業(yè)防火墻無法做到這些,因此需要CASB。
CASB相當(dāng)于一個(gè)超級(jí)網(wǎng)關(guān),融合了多種類型的安全策略執(zhí)行點(diǎn)。在這個(gè)超級(jí)網(wǎng)關(guān)上,能夠進(jìn)行認(rèn)證、單點(diǎn)登錄、授權(quán)、憑據(jù)映射、設(shè)備建模、數(shù)據(jù)安全(內(nèi)容檢測、加密、混淆)、日志管理、告警,甚至惡意代碼檢測和防護(hù)。正如我在《Gartner2017年十大安全技術(shù)解讀》中所述,CASB就是一個(gè)大雜燴。
CASB一個(gè)很重要的設(shè)計(jì)理念就是充分意識(shí)到在云中(尤指公有云)數(shù)據(jù)是自己的,但是承載數(shù)據(jù)的基礎(chǔ)設(shè)施不是自己的。Gartner指出CASB重點(diǎn)針對(duì)SaaS應(yīng)用來提升其安全性與合規(guī)性,同時(shí)也在不斷豐富針對(duì)IaaS和PaaS的應(yīng)用場景。Gartner認(rèn)為CASB應(yīng)提供四個(gè)維度的功能:發(fā)現(xiàn)、數(shù)據(jù)保護(hù)、威脅檢測、合規(guī)性。
Neil Mcdonald將CASB項(xiàng)目進(jìn)一步分為了云應(yīng)用發(fā)現(xiàn)、自適應(yīng)訪問、敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)三個(gè)子方向,建議根據(jù)自身的成熟度選取其中的一個(gè)或者幾個(gè)優(yōu)先進(jìn)行建設(shè)。而這三個(gè)子方向其實(shí)也對(duì)應(yīng)了CASB四大功能中的三個(gè)(除了威脅檢測)。
在Gartner的2018年云安全Hype Cycle中,CASB依然位于失望的低谷,但就快要爬出去了,繼續(xù)處于青春期階段。
國內(nèi)也有不少自稱做CASB的廠商,但跟Gartner所描述的還有差別,也算是中國特色吧,畢竟在國內(nèi)多云應(yīng)用場景還不普及。注意,我認(rèn)為云堡壘機(jī)是PAM在云中的一個(gè)應(yīng)用場景,不能叫做CASB。
2.10 軟件定義邊界項(xiàng)目
【項(xiàng)目目標(biāo)客戶】該項(xiàng)目瞄準(zhǔn)那些僅想將其數(shù)字系統(tǒng)和信息開放給指定的外部合作伙伴或者遠(yuǎn)程員工的組織。這些組織希望通過限制數(shù)字系統(tǒng)和信息的暴露面來減少攻|擊面。
【項(xiàng)目提示】重新評(píng)估原有基于V|P|N的訪問機(jī)制的風(fēng)險(xiǎn)。建議在2018年選取一個(gè)跟合作伙伴交互的數(shù)字服務(wù)作為試點(diǎn),嘗試建立應(yīng)用案例。
該技術(shù)在2017年也上榜了,并且今年的技術(shù)內(nèi)涵基本沒有變化。
SDP將不同的網(wǎng)絡(luò)相連的個(gè)體(軟硬件資源)定義為一個(gè)邏輯集合,形成一個(gè)安全計(jì)算區(qū)域和邊界,這個(gè)區(qū)域中的資源對(duì)外不可見,對(duì)該區(qū)域中的資源進(jìn)行訪問必須通過可信代理的嚴(yán)格訪問控制,從而實(shí)現(xiàn)將這個(gè)區(qū)域中的資源隔離出來,降低其受攻|擊的暴露面的目標(biāo)。其實(shí),Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前,SDP技術(shù)吸引了很多尋找云應(yīng)用場景下的V|P|N替代方案的客戶的目光。根據(jù)Gartner的分析,目前SDP還處于大量吸引投資的階段,此類新興公司正在不斷涌現(xiàn),并購行為尚很少見。
在Gartner的2018年云安全Hype Cycle中,SDP已經(jīng)從2017年的期望頂峰開始向失望的低谷滑落,尚處于青春期階段。
3、其他新興技術(shù)
除了上述10大安全項(xiàng)目,Gartner還列舉了一些正在興起的其他新技術(shù):
Remote browser isolation
Container security
Breach and attack simulation
Controls gap risk analytics
Digital supply chain risk assessment services
Encryption by default, encryption everywhere
Anti-fraud/bot protection platforms (UI protection)
ERP-specific security/business-critical application security
Data flow discovery, monitoring and analytics
Bug bounty programs, crowdsourced and pen testing aaS
Cloud firewalls and UTMs for branch office and SOHO
EPP + EDR merger = Advanced endpoint protection
IoT/OT discovery, visibility, monitoring and deception
SecOps chat
其中,排在前兩位的遠(yuǎn)程瀏覽器隔離、容器安全都是2017年的11大技術(shù)之列,而排第三的BAS也是這兩年Gartner推崇的新興技術(shù),而BAS和從排5開始的所有技術(shù)也都是原封不動(dòng)地從2017年的待選新技術(shù)中復(fù)制過來的。
有一點(diǎn)可以提示一下,上述技術(shù)都已經(jīng)有產(chǎn)品和方案落地,而非研究性課題。
4、收益分析
Gartner認(rèn)為,通過實(shí)施以下五個(gè)項(xiàng)目,組織受攻|擊造成的財(cái)務(wù)損失到2020年將比2017年降低80%。這五個(gè)項(xiàng)目是:
基于風(fēng)險(xiǎn)優(yōu)先級(jí)(CARTA)的漏洞管理;
特權(quán)賬戶管理;
積極反釣魚項(xiàng)目集(program);
服務(wù)器負(fù)載的應(yīng)用控制;
開發(fā)過程的自動(dòng)化測試
5、總體建議
Neil在峰會(huì)上十大安全項(xiàng)目講解的最后給出了一些總體建議:
如果你在2018年智能做一件事情,那么就做基于CARTA的漏洞管理項(xiàng)目;
在選擇2018年項(xiàng)目的時(shí)候不要僅僅關(guān)注降低風(fēng)險(xiǎn);
找到信息安全能夠促進(jìn)數(shù)字業(yè)務(wù)增長的機(jī)會(huì)點(diǎn),只要風(fēng)險(xiǎn)可以接受(也就是說,不要只看到降風(fēng)險(xiǎn),還要看到促增長,看到業(yè)務(wù)安全)。先從自動(dòng)化安全掃描支撐快速開發(fā)做起;
如果你使用了IaaS,立即進(jìn)行云安全配置評(píng)估和管理;
如果你使用了SaaS,立即開始了解你的服務(wù)使用情況,并啟動(dòng)敏感數(shù)據(jù)發(fā)現(xiàn)項(xiàng)目;
在服務(wù)器、網(wǎng)絡(luò)和應(yīng)用上實(shí)施默認(rèn)拒絕的應(yīng)用控制策略。
6、主要參考信息
https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/
《Gartner2017年十大安全技術(shù)解讀》
http://blog.51cto.com/yepeng/2082979;
Market Guide for Privileged Access Management, Gartner;
Market Guide for Vulnerability Assessment, Gartner;
Fighting Phishing: Optimize Your Defense, Gartner;
Hype Cycle for Cloud Security, 2018, Gartner;
Hype Cycle for Application Security, 2018, Gartner;
Hype Cycle for Threat-Facing Technologies, 2018, Gartner;
Redefining Endpoint Protection for 2017 and 2018, Gartner;
Market Guide for Cloud Workload Protection Platforms, 2018, Gartner.
來源:數(shù)說安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)