作者:Bennyye

原文链接:https://mp.weixin.qq.com/s/dBw_z9oNoTRUQNVTkf1l_w

本文不是译文,是结合笔者自身体会的解读!如有不同观点,欢迎交流研讨。

1    概述

2019年2月11日,Gartner一改过去在年度安全与风险管理峰会上发表10大安全技术/项目的作风,早早发布了2019年的十大安全项目,并表示将在今年的安全与风险管理峰会上具体呈现。

在刚刚结束(6月17日~20日)的Gartner安全与风险管理峰会上,Gartner如期正式公布了这10大安全项目。

2019年的十大安全项目分别是:

Privileged AccessManagement,特权账户管理(PAM)

CARTA-InspiredVulnerability Management,符合CARTA方法论的弱点管理

Detection and Response,检测与响应

Cloud Security PostureManagement,云安全配置管理(CSPM)

Cloud Access SecurityBroker,云访问安全代理(CASB)

Business Email Compromise,商业邮件失陷

Dark Data Discovery,暗数据发现

Security Incident Response,安全事件响应

Container Security,容器安全

Security Rating Services,安全评级服务

对比一下历年的10大技术/项目,可以发现,跟2018年相比,前5个项目基本上是沿袭下来了,第6个商业邮件失陷则是在去年的反钓鱼项目基础上做了修订,后4个则是新上榜的。其中,全新上榜的包括暗数据发现、安全事件响应和安全评级服务,而容器安全则是时隔一年后重新上榜。

下表是笔者梳理的近几年10大技术/项目的分类对比。为了便于横向对比,某些技术/项目进行了分拆。

特别值得一提的是今年的10大安全项目中终于明确地增加了数据安全方面的项目——暗数据发现。

2    入选标准

首先,Gartner表示在选取10大项目的项目,不能更往年变动的太大,因为“很难在一年内同时完成里面列举的3到4个项目”。

其次,新入选的项目必须能够显著降低风险,可以落地,可以在一年内见到成效,并且不能仅仅是采购一个工具,而是一个能力建设,还要符合Gartner自己的CARTA(持续自适应风险与信任评估)战略方法论。

再次,如历年十大项目入选标准一样,针对新入选的项目,必须是项目(project),而不能是项目集(Program)(譬如IAM);企业的采用率不超过50%,有真实可落地的技术做支撑,而非一个科研项目,也有预算和人员投入。新项目中可以采用新技术,也可以是针对旧技术的新应用。

最后,Gartner表示,不是说客户在哪个领域的预算多,就是哪个项目;也不是说哪个分析师喊得响就是哪个项目。

3    上马这些项目的前提条件

一如既往地,Gartner特别强调,客户在考虑上马10大项目之前,一定要考虑到先期的基础安全建设,很多项目都需要建构在基础安全能力达标的情况下。这些基础安全能力包括(但不限于):

在系统防护方面,包括采用最新的EPP和统一端点管理(Unified Endpoint Management,简称UEM)系统,以及服务器安全防护。其中,这里提到的UEM是Gartner定义的区分于EPP的另一个细分市场,强调对包括异构的PC、移动端和物联网终端的统一管理。该市场不属于信息安全市场,而归属于IT运维管理市场。2018年Gartner首次推出了UEM的MQ(魔力象限)。

在用户控制方面,包括从windows用户列表中移除掉管理员权限,部署了具有自动化预配置/解除配置的IAM。

在基础设施安全方面,包括日志监控、备份/恢复能力、补丁和基本的弱点管理,以及各种边界安全控制。

在信息处理方面,包括邮件安全控制、安全意识培训等。

这就是说,如果上述前提条件没有达到的话,建议将这些前提条件列为更高优先级考虑上马的项目。

4    十大项目解析

以下逐一分析一下这十个项目,尤其是五个新上榜的项目。Gartner特别强调,这十个项目并没有优先顺序,采纳者需要根据自身风险的实际情况按需选取。

4.1   特权访问管理(PAM)项目

【项目描述】该项目旨在让攻击者更难访问特权账户,并让安全团队监测到这些特权账户异常访问的行为。

【项目难度】中等,需要工具和流程的适配。

【项目关键】支持云、混合和本地模式;支持录屏和抓屏;具备开放API,可以跟SIEM和SOAR集成;同时支持自然人账号和机器账号管理。

【项目建议】应该要求对所有管理员实施强制多因素认证,建议同时也对承包商等外部第三方的访问实施强制多因素认证。先对高价值、高风险的系统实施特权访问管理,监控对其的访问行为。

【技术解析】特权访问管理(PAM)工具为组织的关键资产提供安全的特权访问,以符合对特权账号及其访问的监控管理合规需求。

PAM通常具备以下功能:

1)  对特权账号的访问控制功能,包括共享账号和应急账号;

2)  监控、记录和审计特权访问操作、命令和动作;

3)  自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;

4)  为特权指令的执行提供一种安全的单点登录(SSO)机制;

5)  委派、控制和过滤管理员所能执行的特权操作;

6)  隐藏应用和服务的账户,让使用者不用掌握这些账户实际的密码;

7)  具备或者能够集成高可信认证方式,譬如集成MFA。

很显然,虽然国内谈PAM很少,但实际上早已大量运用,其实就对应我们国内常说的堡垒机。

Gartner将PAM工具分为两类:PASM(特权账户和会话管理)和PEDM(权限提升与委派管理)。如下图所示:

显然,PASM一般对应那个堡垒机逻辑网关,实现单点登录,集中的访问授权与控制,设备系统密码代管、会话管理、对操作的审计(录像)。

PEDM则主要通过分散的Agent来实现访问授权与控制,以及操作过滤和审计。国内的堡垒机一般都没有采用这种技术模式。

Gartner分析未来PAM的技术发展趋势包括:

1)  支持特权任务自动化,多个操作打包自动化执行;

2)  将PAM用于DevOps,让DevOps更安全更便捷;

3)  支持容器;

4)  支持IaaS/PaaS和虚拟化环境;

5)  以云服务的形式交付PAM;

6)  特权访问操作分析,就是对堡垒机日志进行分析,可以用到UEBA技术;

7)  与漏洞管理相结合;

8)  系统和特权账户发现;

9)  特权身份治理与管理。

在Gartner的2018年IAM技术Hype Cycle中,PAM处于早期主流阶段,正在向成熟的平原迈进。

4.2   符合CARTA方法论的弱点管理项目

【项目描述】弱点管理是信息安全运维的基本组成部分。你无法打上每个补丁,但你可以通过基于风险优先级的管理方式,找到优先需要处理的弱点并进行防护,从而显著降低风险。

【项目难度】容易,要利用情境数据和威胁情报对弱点信息进行丰富化。

【项目关键】意识上要承认永不可能100%打补丁;和IT运维联合行动(创造双赢);利用现有的扫描数据和流程。

【项目建议】聚焦在可被利用的弱点上,考虑补偿控制措施(譬如部署IDPS和WAF,打虚拟补丁)。

【技术解析】

针对Vulnerability这个词,我一直称作“弱点”,而不是“漏洞”,是因为弱点包括漏洞,还包括弱配置!用MITRE的术语来说,弱点包括了CVE和CCE。

还必须注意,弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具,包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上,收集这些工具所产生的各类弱点数据,进行集中整理分析,并辅以情境数据(譬如资产、威胁、情报等),进行风险评估,按照风险优先级处置弱点(打补丁、缓解、转移、接受,等),并帮助安全管理人员进行弱点全生命周期管理的平台。记住,弱点管理是平台,而弱点扫描是工具。

那么,什么叫做基于CARTA的弱点管理呢?熟悉CARTA就能明白(可以参见我的文章《CARTA:Gartner持续自适应风险与信任评估战略方法简介》http://blog.51cto.com/yepeng/1962560),本质上CARTA就是以风险为核心一套安全方法论。因此,基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提升的过程,包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段,如下图所示:

4.3   检测与响应项目

【项目描述】企业和组织的管理层大都承认不存在完美的防护。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力。平均检测时间(MTTD)和平均响应时间(MTTR)已经成为了衡量安全对抗效果的重要评价指标。这些需求引出了检测和响应项目。而在建设检测与响应项目的时候,面临多种技术路线,Gartner优先推荐部署EDR技术。

【项目难度】容易,解决方案应该提供基于云的部署模式,运维人员的技能水平十分关键。

【项目关键】要做好检测与响应类项目,技术和工具仅仅是一个方面,关键还在于人员和流程。有没有人去做告警的排查和处置?运维人员是否具备消除低可行度告警的技能?是否有安全恢复和切换的预案并能够落实?而在技术层面,则要考量包括数据如何收集和存储以支撑检测和响应的能力?相关的技术是否具备多种检测与响应的功能,是否具备利用IOC(Indicator of Compromise,失陷指标)的能力?

【项目建议】进取型(Type A)客户可以考虑部署EDR和事件响应流程,对于主流型(Type B)和保守型(Type C)客户则建议采用外包服务的方式。具体地,优先向当前的EPP供应商索要EDR的能力,并决定哪些检测与响应能力需要跟SIEM和SOAR能力进行整合。如果打算采用托管安全服务的模式,可以考虑借助MDR(托管检测与响应)提供商或MSSP的服务来建设检测与响应项目。此外,如果供应商声称他们具备AI(人工智能)或者ML(机器学习)的能力,应该先针对具体的场景进行POC测试,以衡量其有效性。

【技术解析】

Gartner在2019年的检测与响应项目描述中主要提及了基于端点的EDR技术,而没有提及另外两种基于网络和基于用户/实体的检测技术。是否意味着其它两种技术就不重要了呢?事实并非如此。在2018年的检测与响应项目推介中,Gartner对各种技术都做了一番分析,但通过近一年的研究,Gartner发现如果同时考虑这么多技术的话,从“项目”的角度而言,太过发散,本着遴选TopProjects的准则,Gartner建议客户聚焦到投入产出比相对最高的技术点上。Gartner对多种技术反复比较后,目前是将EDR作为优选项。

鉴于此大类技术在国内颇受关注,笔者在此稍微展开来加以说明。

当Gartner研究和讨论检测与响应类技术的时候,涉及的技术面和细分市场是相当广泛的,需要多个不同的Gartner安全分析师团队之间的合作,而一年一都的Hype Cycle(炒作曲线)则是各个分析师协作的一个成果体现。其中,与检测和相应类技术相关的炒作曲线叫“威胁对抗技术”(Threat-Facing Technologies)。威胁对抗这个提法是2017年开始叫的,在2016年及以前叫“基础设施保护”(Infrastructure Protection)。下图是2018年的威胁对抗技术炒作曲线,里面基本涵盖了Gartner涉及的所有检测与响应类技术。

上图的内容十分杂,有大量技术点的罗列,既包括了2018年检测与响应项目中提及的EDR、UEBA(用户与实体行为分析)、MDR、欺骗平台,也包括了曾经上榜过的TIP、NTA、网络沙箱,以及更为基础的SIEM、IDPS、WAF、DAP,还有新兴的BAS、SOAR,等等,却并没有对这些检测与响应技术进行分类。而对检测与响应技术进行分类是一个重要但十分困难的事情,Gartner自己也做过多种尝试,尚无定论。

Gartner在2013年为了讨论高级威胁检测(ATD)的时候提出了一个划分新型检测技术的方法论,虽在2016年后逐渐淡出Gartner报告的视野,但却依然有一定价值。如下图所示,Gartner当时从分析对象和分析时间两个维度划分了五种新型检测技术:

针对这幅图,笔者结合自己的认识,对当下主流的几种新型检测技术进行了标注如下:

可以看到,NTA是当下主流的基于网络的新型检测技术。NFT(网络取证工具)作为基于网络的响应技术比较少被提及,但当下比较热的一个词——NDR(网络检测与响应)——则实际上涵盖了NTA和NFT。现在还有一个初现的提法,叫NGIDS,或者NG IDPS,所谓下一代入侵检测,大体上跟NDR是在一起的。从基于端点的视角来看,style4和style5两种技术现在已经不在加以区分,统称为EDR,或者作为下一代EPP的关键能力之一了。上图中位于中间的基于负载的检测技术,基本就是指代沙箱技术了。而该技术事实上也可以分解到基于端点的沙箱和基于网络的沙箱两个维度中去,成为更广泛意义上的NDR和EDR的功能点之一。

上图对于阐释当下最热门的两种新型检测与响应技术——NDR(包括NTA、NFT)和EDR——及其市场演进是有价值的,但却远远无法表达完整意义上的检测与响应技术,更何况检测与响应技术本身也仅仅检测与响应体系建设的一环而已。2018年,Gartner在一份名为《如何开展威胁检测与响应实践》的报告中给出了一个基本的检测与响应体系的参考模型,如下图:

上图比较全面地表达了检测与响应体系所应涵盖的技术(能力)、流程和团队三个方面的内容,并给出了10个技术能力和4个关键流程。这10个技术能力从目标对象和时间先后两个维度进行了划分,与前面的新型威胁检测二维划分方式基本一致。不同之处在于目标对象粒度更细,最关键地是加入了针对日志地检测与响应,并把SIEM和CLM(集中日志管理)作为最基本的检测与响应的平台,位置要高于后面4个。

此外,在这个10大技术能力矩阵图中,响应能力从技术视角来看被称作了“可见性”,所谓可见性就是在威胁猎捕和安全响应(包括调查、取证)的时候能够提供相关的技术支撑。

事实上,即便是上面的10+4检测与响应参考架构图都没能将检测与响应技术描绘全,譬如基于用户/实体进行检测的UEBA技术,以及欺骗技术。Gartner自己也表示上图仅仅是针对基本的检测与响应能力进行阐释。

UEBA通过对用户和实体(如主机、应用、网络流量和数据集)基于历史轨迹或对照组建立行为轮廓基线来进行分析,并将那些异于标准基线的行为标注为可疑行为,最终通过各种异常模型的打包分析来帮助发现威胁和潜藏的安全事件。

通过进一步探究,我们可以发现,UEBA一种使能性技术,既可以赋能SIEM、也可以赋能NDR,以及EDR。

欺骗技术(Deception Technology)的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装,欺骗攻击者,尤其是攻击者的工具中的各种特征识别环节,使得那些工具产生误判或失效,扰乱攻击者的视线,将其引入死胡同,延缓攻击者的时间。譬如可以设置一个伪目标/诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警。

Gartner的Anton Chuvakin将欺骗技术单独作为一个技术分支,与面向日志的检测与响应技术、面向网络的检测与响应技术和面向端点的检测与响应技术并称为4大检测与响应技术路线。

接下来,笔者要谈谈从这么多的检测与响应技术中,为何Gartner今年要优先推介EDR?

针对这个问题,其实Gartner内部也是经过了长时间讨论的。2014年的时候,Gartner推荐的检测与响应技术部署顺序是SIEM、NTA/NFT、EDR,并且EDR还是可选项。而到了2019年,这个顺序变成了SIEM、EDR、NDR,并表示EDR在某些场景中放到第一顺位也是可以的!新的顺序中,SIEM依然位居第一,说明SIEM是检测与响应优先项和必选项,但由于其部署率超过了50%,不符合入选标准,被放到了十大项目的前提基础条件里面,因此略过。如此一来,选择的焦点就集中到了NDR和EDR上。下表列举了两种技术各自的优劣势:

优势 劣势
EDR 检测结果的准确性更高(误报率更低) Agent对宿主设备有一定影响(性能、稳定性、可管理性)
NDR(NTA) 总体而言部署更便捷 在云环境中部署是个问题

在端点上可以看到相关的所有流量,无论是否加密

有些端点无法部署agent(譬如IoT、工控设备,BYOD)

在不少情况下,由于组织和管理制度和流程的原因,无法部署agent,这属于非技术原因

不是即插即用产品,需要持续运维和优化

对现有IT设施影响性较小

如果要获悉网络的可见性,见效更快

难以检测越来越多的加密流量(尽管有些不需解密即可分析的技术,但能力很有限)

检测结果的误报率更高

无法检测非网络行为

不是即插即用产品,需要持续运维和优化

是不是难以权衡?Gartner表示,EDR胜出的原因很简单,他们通过客户调研发现更多的客户先上EDR再上NDR,因为EDR的检测结果更准确!相反,NDR的检测结果则更模糊(基于异常分析的必然),也就是误报率更高。

当然,Gartner也表示,EDR优先于NDR只是从总体上而言,在针对具体需求和应用场景的时候,还要具体分析,有时候NDR更合适。

在此,笔者也提出一个问题,EDR胜出NDR的这个结论适用于当前的国内市场吗?

笔者认为,NDR和EDR的排位还将继续争斗下去。对于预算充足的客户而言,两者兼得或许是一个不错的选择。

4.4   云安全配置管理(CSPM)项目

【项目描述】现在对云服务的攻击基本都利用了客户对云疏于管理、配置不当等错误。因此,公有云用户急需对(尤其是跨多云环境下的)IaaS和PaaS云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复。

【项目难度】中等,必须同步进行流程和文化的变革。

【项目关键】支持多云环境,具备敏感数据发现和风险暴露面评估,支持有的IaaS和PaaS服务,不仅能评估更要能修复。

【项目建议】如果仅仅是单一云环境,则要求云提供商提供CSPM能力,如果是跨多云的环境,优先修复高等级的问题,与CSPM供应商一次签1~2年的合同,并频繁评估该供应商的能力,因为这方面技术和市场变化较快。

【技术解析】

CSPM(Cloud Security Posture Management)是Neil自己新造的一个词,原来叫云基础设施安全配置评估(CISPA),也是他取的名字。改名的原因在原来仅作“评估”,现在不仅要“评估”,还要“修正”,因此改叫“管理”。国内有的同人将CSPM中的Posture翻译为“态势”,笔者认为不妥,这里的Posture并不是讲我们国人一般所理解的“态势”,而是讲“配置”。

要理解CSPM,首先就要分清楚CSPM和CWPP的关系,Neil自己画了下图来阐释:

如上图所示,在谈及云工作负载的安全防护的时候,一般分为三个部分去考虑,分属于两个平面。一个是数据平面,一个是控制平面。在数据平面,主要包括针对云工作负载本身进行防护的CWPP,以及云工作负载之上的CWSS(云工作负载安全服务)。CWSS是在云工作负载之上对负载进行安全防护。在控制平面,则都是在负载之上对负载进行防护的措施,就包括了CSPM,以及前面的CWSS(此处有重叠)。

CSPM能够对IaaS,以及PaaS,甚至SaaS的控制平面中的基础设施安全配置进行分析与管理(纠偏)。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。理想情况下,如果发现配置不合规,CSPM会采取行动进行纠偏(修正)。有时候,我们可以将CSPM的评估功能归入弱点扫描类产品中去,跟漏扫、配置核查搁到一块。

此外,CSPM除了能对云生产环境中的负载进行配置核查与修复,还能对开发环境中的负载进行配置核查与修复,从而实现DevOps全周期的防护。

Gartner认为CASB不少都已具备CSPM功能。同时,一些CWPP厂商也开始提供部分CSPM功能,还有的云管理平台自带CSPM功能。下图展示了CSPM、CWPP和CASB之间的部署关系:CSPM位于云控制平面,CWPP位于云数据平面,而CASB位于云对外服务边界。

在Gartner的2018年云安全Hype Cycle中,CSPM处于期望的顶峰阶段,用户期待很高,处于青春期。

4.5   云访问安全代理(CASB)项目

【项目描述】对于那些采购了多个SaaS服务的组织而言,希望获得一个控制点,以便获得这些SaaS云服务的可见性,并对组织中使用这些云服务的用户和行为进行集中管控。

【项目难度】中等。

【项目关键】对云服务的可见性和管控到什么程度?需要监测及阻断威胁吗?需要对SaaS应用中的敏感数据进行管控吗?需要将CASB应用到更底层的PaaS甚至IaaS上吗?

【项目建议】如果你看不见需要被保护的对象,也就无法实施保护。因此,CASB首先要进行云应用发现,识别影子IT。接下来,可以考虑部署正向/反向代理和API来实施控制。对CASB而言,发现并保护云中的敏感数据至关重要,并且最好采取跟本地一致的防护策略。此外,由于该市场变化较快,且有持续的降价压力,因此建议签署的合同期限有1到2年就够了。

【技术解析】

该技术从2014年就开始上榜了,并且今年的技术内涵与2018年比基本没有变化。

CASB作为一种产品或服务,为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。CASB的出现原因,简单说,就是随着用户越来越多采用云服务,并将数据存入(公有)云中,他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用,让他们清晰地看到云服务的使用情况,实现异构云服务的治理,并对云中的数据进行有效的保护,而传统的WAF、SWG和企业防火墙无法做到这些,因此需要CASB。

CASB相当于一个超级应用网关,融合了多种类型的安全策略执行点。在这个超级网关上,能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全(内容检测、加密、混淆)、日志管理、告警,甚至恶意代码检测和防护。

CASB有一个很重要的设计理念就是充分意识到在云中(尤指公有云)数据是自己的,但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性,同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供四个维度的功能:发现、数据保护、威胁检测、合规性。

Neil Mcdonald去年将CASB项目进一步分为了云应用发现、自适应访问、敏感数据发现与保护三个子方向,建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这三个子方向其实也对应了CASB四大功能中的三个(除了威胁检测)。

在Gartner的2018年云安全Hype Cycle中,CASB依然位于失望的低谷,但就快要爬出去了,继续处于青春期阶段。

4.6   商业邮件失陷(BEC)项目

可能是Gartner认为去年提及的积极反钓鱼邮件项目涉及的面还是太广,不好落地,今年,将项目进一步聚焦到了反钓鱼的一个高级分支——BEC(Business Email Compromise,商业邮件失陷,简称BEC)。

【项目描述】对于可能遭受BEC攻击的用户而言,通过该项目一方面加强邮件安全的技术管控力度,另一方面更好地梳理出业务流程缺陷,譬如仅仅通过邮件来批准一笔金融交易是很危险的流程,是否应该考虑增加其它的确认方式?

【项目难度】中等,安全人员和企业最终用户之间的沟通至关重要。

【项目关键】运用机器学习技术,并且能够根据特定的业务流程进行定制。

【项目建议】向自己现有的邮件安全提供商咨询是否具有这方面的功能。同时考虑将BEC跟安全意识培训和其它端点保护技术(譬如浏览器隔离)结合起来。

【技术解析】BEC这个词其实提出来也有好几年了,不算是Gartner的原创。简单地说,BEC可以那些指代高级的、复杂的、高度定向的邮件钓鱼攻击,就好比APT之于普通网络攻击。BEC钓鱼基本不会在邮件中使用恶意附件、或者钓鱼URL,而纯靠社会工程学技术。譬如发件人往往冒用公司高层领导或其他你很难忽略的人,而且收件人也不是大面积的扫射,而是十分精准、小众。BEC钓鱼的特性使得很多传统的防御机制失效或者效果大减,而需要进行综合治理,结合多种技术手段,以及人和流程。常见的防御方式包括:

1)       修补业务流程方面的漏洞;

2)       采用能够检测邮件上下文的技术,研判发件人的可信度和真伪度;

3)       主动监测邮件系统,并为组织中的最终用户提供一个便捷的上报可疑邮件的通道,促进全员参与,提升安全意识。

在技术手段这块,Gartner特别指出ML(机器学习)技术在BEC的应用前景广阔。

4.7     暗数据发现项目

这是Gartner首次明确提出了数据安全领域的10大安全项目/技术。

【项目描述】企业的IT系统中可能充斥这大量的暗数据,它们藏在暗处,不为人知,低价值,却暗藏风险。在进行数据中心融合或者向云迁移之前,必须搞清楚这些数据都是什么,分布在哪里,并想法消除他们。而这些数据中可能会涉及个人隐私信息的隐患更是让管理者在面对GDPR等合规监管时头疼。

【项目难度】较难,相关的工具比较复杂,而且还涉及到旧有IT行为方式的改变。

【项目关键】标记那些在不同数据孤岛中的数据,譬如文件共享、数据库、大数据湖、云存储,等。将暗数据发现与数据分类集成。

【项目建议】对暗数据进行去重、防御性删除,或者其它有效的管理战略。

【技术解析】

暗数据(Dark Data)是Gartner发明的词。它就像宇宙中的暗物质,大量充斥。暗数据产生后基本没有被利用/应用起来,却可能暗藏风险,最大的问题是用户自己都不知道有哪些暗数据,在哪里,有多大风险。尤其是现在GDPR等法规加持之下,暗数据中可能包括了违规的信息。

其实,就好比在做网络安全的时候,要先了解自己网络中有哪些IP资产,尤其是有哪些自己都不知道的影子资产一样。在做数据安全的时候,要先进行数据发现,包括暗数据发现,这也是一个针对数据“摸清家底”的过程。这个步骤比数据分类,敏感数据识别更靠前。事实上,Gartner建议数据分类和敏感数据识别工具去集成暗数据发现能力。此外,Gartner在2018年的Hype Cycle中提出了一个达到炒作顶峰的技术——“File  Analysis”(文件分析),该技术就特别强调对不断膨胀的、散落在共享文件、邮件、内容协作平台、云端等等各处的非结构化暗数据的发现、梳理与理解。这里的发现包括了找到这些暗数据的所有者、位置、副本、大小、最后访问或修改时间、安全属性及其变化情况、文件类型及每种文件类型所特有的元数据。

4.8     安全事件响应(IR)项目

【项目描述】安全事件(Security Incident,注意跟security event区分开来)已经不是有没有,而是什么时候发生的问题了。企业和组织的安全管理者需要做好规划、准备并充分响应。安全事件响应(Incident Response,简称IR)涉及很多技术和流程,通过该项目去改进或者重建自己的IR策略和流程。Gartner默认认为IR项目要靠采购IR服务商的服务来达成,相关的服务涉及咨询、技术、法务,等等。

【项目难度】中等,不仅仅是选择供应商,还涉及到流程变革和沟通。

【项目关键】评估自身的IR就绪水平,提前做好IR计划和准备。检测和分诊流程至关重要,遏制和根除的能力也很关键,要不断吸取经验教训。

【项目建议】寻找了解你运维流程的事件响应合约(Incident Response Retainer,简称IRR)供应商,仔细评估IRR条款。如果购买了网络保险(cyberinsurance),向网络保险公司咨询推荐的IRR供应商。

【技术解析】

安全IR绝对可以称得上是一个十分十分老的词了。安全业界做这个IR已经几十年了。那么Gartner为啥要列入十大项目呢?我理解,以前的IR更多是以防万一之举,需求和市场不大。但自从威胁水平剧烈提升,人们逐渐将目光从阻断转向检测与响应后,对于IR的需求和市场也在快速增长,并主要以服务的形式来体现,Gartner对此专门提出了IR服务这个细分市场。此处列入十大项目的IR项目就是指服务项目。下图显示了当前客户的IR预备水平:

IR服务是指为了帮助客户应对危机事件(譬如安全泄露,安全事件调查、取证、响应和分诊等)而提供的一系列咨询服务。典型的服务包括:帮助客户诊断是否发生了数据泄露,威胁来自外部还是内部,确定泄露的范围和时间轨迹;进行数字取证,锁定证据链。这些服务一般都是以甲乙双方签订的合约(retainer)为基础。合约可以分为纯被动式协议、主被动结合式协议和临时性协议。主被动的区别就在于服务是在安全事件发生之前还是之后提供。

不论哪种合约,一般都会有严格的SLA(服务水平协议),指明服务期限,各项服务的收费和工具的收费,服务的形式(驻场/远程)。一般合约是需要预付费的,还有一种所谓“zero-dollar”合约,即无需预付费,而根据实际发生安全事件后的IR投入收费。

可以发现,IR服务这种模式在国内也有很大发展潜力,尤其是随着当前各种重大网络安全保障、实战演习的需求越来越多,需要大量的IR服务提供商为客户提供支援和保障。同时,认真设计和推广IRR(安全事件响应合约)有助于规范这个行业的健康发展。

现在国际上还有一个趋势,就是网络保险市场的兴起也会促进IR服务市场。投资银行杰富瑞(Jefferies)的分析师表示,全球网络保险市场将从去年的30亿美元保费增长至2020年的70亿美元。未来网络保险跟安全事件响应的结合会越来越紧密。如果客户购买了网络保险,网络保险商通常会仔细检查该客户的IRR,并对客户所选取的IR供应商提供推介。显然,如果客户的IR做的好了,网络保险商的赔付风险就会显著降低。Gartner预计到2021年,40%的IR提供商是从网络保险商的推荐名录中选取的,意即网络保险商的认证或认可将成为IR服务提供商的重要竞争力。

4.9   容器安全项目

【项目描述】当前,开发者正大量部署基于Linux的容器,并结合微服务架构,使用DevOps模式进行系统开发和部署。容器安全问题日益严重,而这个问题的解决也必须遵循DevSecOps的方式去实现。

【项目难度】中等,必须集成到DevSecOps中。

【项目关键】在开发阶段就要引入容器安全,并确保能够无缝更开发者融合,让其方便的实施容器安全策略,还要平衡好容器的安全与性能间的关系。

【项目建议】集成到开发环境中,并实现自动化检测,譬如自动地、对开发者透明的容器漏洞扫描。

【技术解析】

容器安全在2017年已经位列当年的11大安全技术了。为何重回榜单?应该是因为容器技术越来越多的被应用的缘故,尤其是随着微服务架构和DevOps开发模式的盛行,越来越多开发人员使用容器技术。Gartner预计,在2019年,将有超过一半的企业会在其开发和生产环境中部署基于容器的应用。容器安全愈发重要,不仅是运行时容器安全保护技术,还应该关注开发时容器安全扫描技术,要把容器安全与DevSecOps整合起来。

在2018年的应用安全HypeCycle中,容器安全位于炒作的顶峰,尚处于新出现阶段。

4.10安全评级服务(SRS)项目

【项目描述】随着数字化转型日益成熟,复杂生态的关联风险已经成为业务风险的一部分。企业在考察其风险的时候必须将其供应商、业务伙伴、客户、监管者的风险一并考虑进去。通过SRS(安全评级服务)可以以较低的成本持续、实时地获得客户整个生态体系的风险信息。

【项目难度】较容易。

【项目关键】SRS项目不是一站式的服务,可以将其看作时传统的第三方风险程序(譬如问卷、评审、证言、资质等)的补充。也就是说,仅凭SRS自身不足以得出结论。另外,不要去收集非生态体系内的组织的不必要的风险数据,收集过头可能导致新的风险。

【项目建议】目前尚无成熟的供应商,因此要审慎评估多家SRS提供商,SRS 项目不适合独立立项,建议将其作为整个大项目的一部分予以考虑。

【技术解析】

Security Rating Services也不是新鲜东西,几年前就已经出现。在2018年的Hype Cycle中,SRS处于炒作的顶峰。Gartner还在2018年专门发布了一份SRS的Innovation Insight报告。

Gartner认为,SRS为组织实体提供了一种持续的、独立的、量化的安全分析与评分机制。SRS通过非侵入式的手段从公开或者私有的渠道收集数据,对这些数据加以分析,并通过他们自己定义的一套打分方法对组织实体的安全形势进行评级。SRS可以用于内部安全、网络保险承包、并购,或者第三方/供应商网络安全风险的评估与监控。

Gartner认为在当今数字转型、数字生态的大背景下,该业务前景广阔。同时,该服务和解决方案尚未成熟,但正在快速演化。

5    候选安全项目

候选安全项目清单包括:

1)       威胁情报服务增强;

2)       威胁溯源服务

3)       网络保险技术支撑系统

4)       AI驱动的MSS/MDR/威胁猎捕

5)       生物识别凭据保护

6)       量子加密

7)       混沌安全工程——在DevSecOps中进行破坏性测试

8)       SEIM SaaS化

9)       雇佣数字风险经理人

10)以数据为中心的欺骗

11)无人机监测与风险缓解

6    综合建议

在峰会上,发言人Brain Reed给出了几点综合性建议:

1)       如果在2019年仅能做两件事,那么首先考虑基于CARTA方法论的弱点管理项目,以及为管理员上MFA(多因素认证)系统。

2)       在选择2019年项目的时候,不要仅仅关注削减风险的项目,也要考虑使能业务的项目,意即要一定做些体现业务价值的安全项目。在这点上,国内外的考量基本一致。

3)       如果你有隐私担忧,或者有大量数据上云,那么可以考虑暗数据发现项目和安全评级服务项目。

4)       对服务器、网络和应用的访问采取初始化时默认拒绝的策略,其实就是现在所谓的“零信任”架构。

7    参考信息

Top 10 Security Projects for 2019, Gartner Security and Risk Management Summit;

Top 10 Security Projects for 2019, Gartner;

Gartner2019年十大安全项目简评,Benny Ye;

Gartner2018年十大安全项目详解,Benny Ye;

Gartner2017年十一大安全技术详解,Benny Ye;

Market Guide for Privileged Access Management, Gartner;

How to Start Your Threat Detection and ResponsePractice, Gartner;

Innovation Insight for Cloud Security Posture Management, Gartner;

Hype Cycle for Cloud Security, 2018, Gartner;Hype Cycle for Threat-Facing Technologies, 2018,Gartner;

Market Guide for Digital Forensics and Incident Response Services, Gartner.