前言
2018年6月份,一年一度的Gartner安全与风险管理峰会上,知名分析师Neil Mcdonald发布了2018年度的十大安全项目(Top 10 Security Projects)。
在之前的几年里,Gartner一直做的是10大顶级技术(Top New and Cool Technologies)的发布,更多关注是新兴的产品化技术和即将大规模应用的技术。推出这些顶级技术的目的也是供客户方的信息安全主管们作为当年安全投资建设的推荐参考。
一、概述
2018年“十大安全技术”换成了“十大安全项目”,所为何故?我个人的理解:今年“十大安全项目”的叫法更加符合客户视角,而且更加强调对客户而言具有很高优先级的技术。也就是说,也许有些项目涉及的技术不一定是最新最酷的技术,但对客户而言是特别有助于降低安全风险的技术。如此一来,十大安全项目考察的技术点就要比十大安全技术更广泛,更加客户视角。
根据Gartner自己的说明,给出了选取十大安全项目的方式。
首先,假定客户已经具备了相当的安全基础。如果连这些基础都没有达到,那么也就不要去追求什么十大安全项目,乃至十大安全技术了。这些基础包括:
1)已经有了较为先进的EPP(端点保护平台),具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;
2)已经做好了基本的Windows账户管理工作;
3)已经有了IAM;
4)有了常规化的补丁管理;
5)已经有了标准化的服务器/云工作负载保护平台代理;
6)具备较为强健的反垃圾邮件能力;
7)部署了某种形式的SIEM或者日志管理解决方案,具有基本的检测/响应能力;
8)建立了备份/恢复机制;
9)有基本的安全意识培训;
10)具备基本的互联网出口边界安全防护能力,包括URL过滤能力;
没错,对于客户而言,上面10个技术和能力更为基础,优先级更高,如果上述能力都有欠缺,先别轻易考虑什么十大安全项目!
其次,针对10大项目的选取也比较强调新(客户采用率低于50%),同时又必须是已经落地的,而且又不能太过复杂(是Project级别而非Program级别)【注:要区别portfolio(项目组合), program(项目集), project(项目)三种项目间的关系】。
最后,选取的技术必须是能够最大程度上降低客户风险的,且付出是相对经济的,必须是符合数字时代发展潮流的,符合Gartner自己的CARTA(持续自适应风险与信任评估)方法论的。
基于上述所有前提假定,Gartner给出了2018年的10大安全项目:
Privileged Account Management Project:特权账户管理项目
CARTA-Inspired Vulnerability Management Project:符合CARTA方法论的弱点管理项目
Active Anti-Phishing Project:积极的反钓鱼项目
Application Control on Server Workloads Project:服务器工作负载的应用控制项目
Microsegmentation and Flow Visibility Project:微隔离和流可见性项目
Detection and Response Project:检测和响应项目,包括EPP+EDR、UEBA、欺骗三种技术方向和MDR服务
Cloud Security Posture Management (CSPM) Project:云安全配置管理项目
Automated Security Scanning Project:自动化安全扫描项目,尤其是开源软件成份分析
CASB Project:CASB项目,包括云应用发现、自适应访问、敏感数据发现与保护三个子方向
Software-Defined Perimeter Project:软件定义边界项目
对比一下近些年Gartner的10大安全技术/项目如下表所示:
2014年 | 2016年 | 2017年 | 2018年 | |
---|---|---|---|---|
IAM | 自适应访问控制 | 特权账户管理PAM | ||
端点安全 | 端点检测与响应EDR | 端点检测与响应EDR | 端点检测与响应EDR | 检测与响应之EPP+EDR |
基于非签名方法的端点防御技术 | ||||
服务器工作负载的应用控制 | ||||
云安全 | 软件定义的安全SDS | 软件定义边界SDP | 软件定义边界SDP | |
云访问安全代理CASB | 云访问安全代理CASB | 云访问安全代理CASB | 云访问安全代理CASB | |
微隔离 | 微隔离 | 微隔离 | ||
云工作负载保护平台CWPP | ||||
容器安全 | ||||
云安全配置管理CSPM | ||||
应用安全 | 交互式应用安全测试 | DevOps的安全测试技术 | 面向DevSecOps的运营支撑系统(OSS)安全扫描与软件成分分析 | 自动安全扫描:面向DevSecOps的开源软件成份分析 |
安全运营 | 大数据安全分析技术是下一代安全平台的核心 | 情报驱动的安全运营中心及编排解决方案技术 | 可管理检测与响应MDR | 检测与响应之MDR |
弱点管理 | ||||
网络安全 | 遏制与隔离将作为基础的安全策略 | 远程浏览器 | 远程浏览器 | |
欺骗技术 | 欺骗技术 | 检测与响应之欺骗技术 | ||
网络流量分析NTA | ||||
机器可识别的威胁情报(包括信誉服务) | ||||
沙箱普遍化 | ||||
用户和实体行为分析UEBA | 检测与响应之UEBA | |||
积极反钓鱼 | ||||
IoT | 针对物联网的安全网关、代理和防火墙 | 普适信任服务 |
Gartner历年评选的顶级技术/项目对比分析
通过分析比较,不难发现,和2017年度的11大安全技术(参见我写的《Gartner2017年十大安全技术解读》)相比,差别其实不大,大部分2017年的顶级技术都保留了,有的更加细化了,同时增加了几项算不上先进但对客户而言更为迫切的几个技术,包括PAM、弱点管理(VM)、反钓鱼。同时,这些项目也不是对每个客户都具备同等的急迫性,不同客户还需要根据自身的情况进行取舍,有所关注。
此外,细心的人可能还会发现,居然没有现在大热的数据安全项目?的确,Gartner 10大安全项目中没有明确以数据安全为大标题的项目,不过在多个项目中都提及了数据安全,譬如在CASB项目中建议优先考虑处理数据安全问题,PAM也跟数据安全有关系。另外,我感觉数据安全是一个十分庞大的题目,不可能用几个Project来达成,起码也要是Program级别的。期待以后Neil对数据安全更加重视起来吧。
特别需要指出的是,虽说叫10大安全项目,但是“检测与响应项目”其实包括了四个子项目,分别是EPP+EDR,UEBA、欺骗技术和MDR(可管理检测与响应)服务。因此,如果展开来说,其实不止10个项目,只是为了“凑个10”。
二、十大安全项目解析
接下来,我们逐一解析一下10大项目,对于2017年就出现过的,还可以参见我去年写的《Gartner2017年十大安全技术解读》,内涵基本没有什么变化。
注意,配合10大项目的发布,Gartner官方发布了一篇文章(参见https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/),而Gartner中国也发布了中文译文——《Gartner遴选出2018十大安全项目》。不过,最初Gartner官方新闻稿中编辑将EDR缩写的指代英文全称写错了,导致很多中文译文也都跟着错了,并且Gartner的中文译文将MDR这个缩写也翻译错误了。此外,Gartner中国刊载的中文译文也有不少其它错误,主要是对多个专业英文缩写所代表的专业术语翻译错误和不准确,一些专业语句由于缺乏知识背景翻译错误。譬如Deception不应该翻译为“欺诈”,而应该叫做“欺骗”,因为我们要从正面角度解读这个词。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其专业的称呼。对此,我当时就已经告知Gartner中国,并提出了9点改进建议。后来,Gartner美国官网的错误改正过来了,但Gartner中国的那篇 中文译文的微信公众号文章却一直保留着那些错误。因此,在下面的解析内容中我首先都会将官网上的内容(包括项目目标客户和项目提示两个部分)重新翻译一遍,然后再做具体解读。
2.1 特权账户管理项目
【项目目标客户】该项目旨在让攻击者更难访问特权账户,并让安全团队监测到异常访问的行为。最低限度,CISO们应该要求对所有管理员实施强制多因素认证,建议同时也对承包商等外部第三方的访问实施强制多因素认证。
【项目建议】先对高价值、高风险的系统实施PAM,监控对其的访问行为。
PAM工具为组织的关键资产提供安全的特权访问,以符合对特权账号及其访问的监控管理合规需求。PAM通常具备以下功能:
1)对特权账号的访问控制功能,包括共享账号和应急账号;
2)监控、记录和审计特权访问操作、命令和动作;
3)自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
4)为特权指令的执行提供一种安全的单点登录(SSO)机制;
5)委派、控制和过滤管理员所能执行的特权操作;
6)隐藏应用和服务的账户,让使用者不用掌握这些账户实际的密码;
7)具备或者能够集成高可信认证方式,譬如集成MFA。
很显然,虽然国内谈PAM很少,但实际上早已大量运用,其实就对应我们国内常说的堡垒机。
Gartner将PAM工具分为两类:PASM(特权账户和会话管理)和PEDM(权限提升与委派管理)。如下图所示:
显然,PASM一般对应那个堡垒机逻辑网关,实现单点登录,集中的访问授权与控制,设备系统密码代管、会话管理、对操作的审计(录像)。
PEDM则主要通过分散的Agent来实现访问授权与控制,以及操作过滤和审计。国内的堡垒机一般都没有采用这种技术模式。
Gartner分析未来PAM的技术发展趋势包括:
1)支持特权任务自动化,多个操作打包自动化执行;
2)将PAM用于DevOps,让DevOps更安全更便捷;
3)支持容器;
4)支持IaaS/PaaS和虚拟化环境;
5)以云服务的形式交付PAM;
6)特权访问操作分析,就是对堡垒机日志进行分析,可以用到UEBA技术;
7)与漏洞管理相结合;
8)系统和特权账户发现;
9)特权身份治理与管理。
Gartner列出了评价PAM的几个关键衡量指标:
1)环境支持的情况,是否支持云环境?
2)具备PASM和PEDM功能,具有录像功能;
3)提供完备的API以便进行自动化集成;
4)具备自然人/非自然人的账号管理功能。
在Gartner的2018年IAM技术Hype Cycle中,PAM处于早期主流阶段,正在向成熟的平原迈进。
国内堡垒机已经发展好多年了,本人早些年也负责过这块业务。国外PAM也趋于成熟,Gartner估计2016年全球PAM市场达到了9亿美元,市场并购也比较频繁。Gartner对中国的PAM市场了解甚少,没有什么研究,这里我也建议国内的堡垒机领导厂商可以主动联系Gartner,让他们更多地了解中国的PAM市场。
2.2 符合CARTA方法论的弱点管理项目
【项目目标客户】基于CARTA方法论,该项目能够很好地处理漏洞管理问题,并有助于显著降低潜在风险。在补丁管理流程中断,以及IT运维的速度赶不上漏洞增长的速度时,可以考虑该项目。你无法打上每个补丁,但你可以通过风险优先级管理显著降低风险。
【项目建议】要求你的虚拟助手/虚拟机供应商提供该能力(如果客户已经上云/虚拟化的话),并考虑使用风险缓解措施,譬如上防火墙、IPS、WAF等等。
注意,弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具,包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上,收集这些工具所产生的各类弱点数据,进行集中整理分析,并辅以情境数据(譬如资产、威胁、情报等),进行风险评估,并帮助安全管理人员进行弱点全生命周期管理的平台。记住,弱点管理是平台,而弱点扫描是工具。
另外,Vulnerability Management我一直称作“弱点管理”,而不是“漏洞管理”,是因为弱点包括漏洞,还包括弱配置!如果你认为Vulnerability应该叫做漏洞,那也没关系,但不要把弱配置落掉。
那么,什么叫做基于CARTA的弱点管理呢?熟悉CARTA就能明白,本质上CARTA就是以风险为核心一套安全方法论。因此,基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提升的过程,包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段,如下图所示:
作为排名第二位的项目,Gartner建议尽快启动,尽早降低组织面临的风险。
Gartner对基于CARTA方法论的VM的衡量指标包括:
1)是否有情境信息,谁收到攻击?不仅是IP,而是他的情境信息都需要,以便全面评估;
2)能否算出资产的业务价值?
3)能否绘制网络拓扑,给出缓解措施?
4)把VA(漏洞评估)和漏洞管理一并考虑,譬如集成VA工具
目前在国内一般有两类弱点管理产品,一类是单一的弱点管理产品,属于轻量级的弱点管理平台,更多具有工具的使用特点,管理类功能相对较为简单。还有一类是作为SOC/安管平台的一个组成部分,具有较为完备的平台功能,并具备风险计算功能,把漏洞管理的流程和其它SOC运维流程整合到一起。
2.3 积极的反钓鱼项目
【项目目标客户】该项目瞄准那些至今依然有员工遭受成功网络钓鱼攻击的组织。他们需要采用一个三管齐下的策略,即同时进行技术控制、终端用户控制和流程重构。使用技术控制措施尽可能多地阻断钓鱼攻击,同时需要终端使用用户积极成为防御体系中的一环。
【项目建议】不要点名批评那些没有做到位的部门或者个人,而应该大张旗鼓的宣传那些做得得当的行为。应该去询问你的邮件安全供应商能否承担这个项目。如果不能,为什么?(注:言下之意,邮件安全供应商应该具有这样的能力,否则就不合格)
Gartner认为近几年内,网络钓鱼(不论是邮件钓鱼还是网页钓鱼)依然会是APT攻击的最经典方式,也会是面向C端用户的普遍性攻击方法。网络钓鱼一种普遍存在的高影响性威胁,他通过社交工程来实现对个人和企业资产的非法访问。尤其是邮件钓鱼十分猖獗,并还有不断上升的势头。尽管已经涌现了不少应对技术,但效果仍不显著。从技术上看,产生钓鱼的因素十分复杂,并且跟企业和个人信息泄露密切相关,很难从单一维度进行阻断。因此,Gartner提出了要进行综合治理的说法,需要运用技术、人和流程相结合的手段。Gartner给出的综合治理建议如下:
1)在SEG(安全邮件网关)上加载高级威胁防御技术
最典型的就是集成URL过滤技术。URL过滤必须支持点击时URL过滤分析(time-of-click URL filtering)和使用代理的URL过滤分析,因为很多恶意URL都是在用户双击后动态产生的,还有的URL外面包了代理。这些都增加了过滤的难度。
其次是集成网络沙箱,这类技术已经较为成熟,但用到SEG上,性能是一个问题,并且沙箱逃逸开始出现。
更高级的是针对邮件中的附件文件进行CDR(content disarm and reconstruction,内容拆解与重建)。这种技术会实时地把文件分拆为不同的组成部分,然后剥去任何不符合文件原始规范的内容,再重新把文件的不同部分组合起来,形成一个“干净”的版本,继续将它传到目的地,而不影响业务。这里的CDR最核心的工作就是对文件进行清洗,譬如去掉宏、去掉js脚本等等嵌入式代码。这种技术性能还不错,但可能会清洗掉合法的动态脚本,导致文件不可用。因此Gartner建议一方面快速CDR清洗后发给用户,另一方面继续跑沙箱,如果没问题再追发原始文件给用户。
当然,钓鱼手段远不止于此,譬如无载荷的钓鱼攻击。因此,还有很多细节需要考虑。
2)不要仅仅依靠密码来进行认证,要采用更安全的认证机制,尤其针对高价值的系统和高敏感用户。
3)使用反钓鱼行为管控(APBM)技术
这类技术聚焦员工的行为管控和矫正,通常作为安全意识教育与培训的辅助手段。这类产品会发起模拟的钓鱼攻击,然后根据被测员工的行为反馈来对其进行教育和矫正。目前这种技术主要以服务的方式交付给客户。
4)强化内部流程管控。如前所述,有些无载荷钓鱼,包括一些社交工程的鱼叉式精准钓鱼,引诱收件人透露账号密码或者敏感信息于无形。这些都是技术手段所不能及的,需要对关键流程进行重新梳理,加强管控。
Gartner给客户的其它建议还包括:
1)要求邮件安全供应商提供反钓鱼功能;
2)确保合作伙伴也实施了反钓鱼防护;
3)正面管理,而不是相反;
4)考虑与远程浏览器隔离技术结合使用(远程浏览器是Gartner 2017年10大安全技术)。
2.4 服务器工作负载的应用控制项目
【项目目标客户】该项目适合那些希望对服务器工作负载实施零信任或默认拒绝策略的组织。该项目使用应用控制机制来阻断大部分不在白名单上的恶意代码。Neil认为这是用中十分强的的安全策略,并被证明能够有效抵御Spectre和Meldown攻击。
【项目建议】把应用控制白名单技术跟综合内存保护技术结合使用。该项目对于物联网项目或者是不在被供应商提供保护支持的系统特别有用。
应用控制也称作应用白名单,作为一种成熟的端点保护技术,不仅可以针对传统的服务器工作负载,也可以针对云工作负载,还能针对桌面PC。EPP、CWPP(云工作负载保护平台)中都有该技术的存在。当然,由于桌面PC使用模式相对开放,而服务器运行相对封闭,因此该技术更适合服务器端点。通过定义一份应用白名单,指明只有什么可以执行,其余的皆不可执行,能够阻止大部分恶意软件的执行。一些OS已经内置了此类功能。还有一些应用控制技术能够进一步约束应用在运行过程中的行为和系统交互,从而实现更精细化的控制。
Gartner给客户还提出了如下建议:
1)应用控制不是银弹,系统该打补丁还是要打;
2)可以取代杀毒软件(针对服务器端),或者调低杀毒引擎的工作量。
根据Gartner的2018年威胁对抗Hype Cycle,应用控制处于成熟主流阶段。
2.5 微隔离和流可见性项目
【项目目标客户】该项目十分适用于那些具有平坦网络拓扑结构的组织,不论是本地网络还是在IaaS中的网络。这些组织希望获得对于数据中心流量的可见性和控制。该项目旨在阻止针对数据中心攻击的横向移动。MacDonald表示,“如果坏人进来了,他们不能畅通无阻”。
【项目建议】把获得网络可见性作为微隔离项目的切入点,但切忌不要过度隔离。先针对关键的应用进行隔离,同时要求你的供应商原生支持隔离技术。
该技术在2017年也上榜了,并且今年的技术内涵基本没有变化。
广义上讲,微隔离(也有人称做“微分段”)就是一种更细粒度的网络隔离技术,主要面向虚拟化的数据中心,重点用于阻止攻击在进入企业数据中心网络内部后的横向平移(或者叫东西向移动),是软件定义安全的一种具体实践。微隔离使用策略驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离数据中心、公共云IaaS、容器、甚至是包含前述环境的混合场景中的不同工作负载、应用和进程。流可见技术(注意:不是可视化技术)则与微隔离技术伴生,因为要实现东西向网络流的隔离和控制,必先实现流的可见性(Visibility)。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况,使得微隔离能够更好地设置策略并协助纠偏。
除了数据中心云化给微隔离带来的机遇,数据中心负载的动态化、容器化,以及微服务架构也都越发成为微隔离的驱动因素,因为这些新技术、新场景都让传统的防火墙和入侵防御技术显得捉襟见肘。而数据中心架构的变革如此之大,也引发了大型的厂商纷纷进入这个领域,到不见得是为了微隔离本身,更多还是为了自身的整体布局。譬如,云和虚拟化厂商为了自身的整体战略就(不得不)进入这个领域。我个人感觉未来微隔离的startup厂商更多可能会被云厂商和大型安全厂商所并购。此外,针对容器的微隔离也值得关注。
Gartner给出了评估微隔离的几个关键衡量指标,包括:
1)是基于代理的、基于虚拟化设备的还是基于容器的?
2)如果是基于代理的,对宿主的性能影响性如何?
3)如果是基于虚拟化设备的,它如何接入网络中?
4)该解决方案支持公共云IaaS吗?
Gartner还给客户提出了如下几点建议:
1)欲建微隔离,先从获得网络可见性开始,可见才可隔离;
2)谨防过度隔离,从关键应用开始;
3)鞭策IaaS、防火墙、交换机厂商原生支持微隔离;
Gartner将微隔离划分出了4种模式:内生云控制模式、第三方防火墙模式、混合式、叠加式。
根据Gartner的2018年云安全Hype Cycle,目前微隔离已经“从失望的低谷爬了出来,正在向成熟的平原爬坡”,但依然处于成熟的早期阶段。
在国内已经有以此技术为核心的创业新兴厂商。
2.6 检测和响应项目
Gartner今年将各种检测和响应技术打包到一起统称为“检测和响应项目”。实际上对应了4样东西,包括三种技术和一种服务。
【项目目标客户】该项目适用于那些已经认定被攻陷是无法避免的组织。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力。这里有三种方式可供选择:
EPP+EDR:端点保护平台+端点检测与响应
UEBA:用户与实体行为分析
Decption:欺骗
欺骗技术相对小众,但是一个新兴的市场。对于那些试图寻找更深入的方法去加强其威胁侦测机制,从而获得高保真事件的组织而言,采用欺骗技术是个不错的点子。
【项目建议】给EPP供应商施压要求其提供EDR功能,给SIEM厂商施压要求其提供UEBA功能。要求欺骗技术供应商提供丰富的假目标类型组合。考虑从供应商那里直接采购类似MDR(“可管理检测与响应”,或者“托管检测与响应”)的服务。
2.6.1 EPP+EDR
EDR(端点检测于响应)在2014年就进入Gartner的10大技术之列了。EDR工具通常记录大量端点级系统的行为与相关事件,譬如用户、文件、进程、注册表、内存和网络事件,并将这些信息存储在终端本地或者集中数据库中。然后对这些数据进行IOC比对,行为分析和机器学习,用以持续对这些数据进行分析,识别信息泄露(包括内部威胁),并快速对攻击进行响应。
EDR的出现最初是为了弥补传统终端/端点管理系统(Gartner称为EPP)的不足。而现在,EDR正在与EPP迅速互相渗透融合,尤其是EPP厂商的新版本中纷纷加入了EDR的功能,但Gartner预计未来短期内EDR和EPP仍将并存。
EDR的用户使用成本还是很高的,EDR的价值体现多少跟分析师水平高低和经验多少密切相关。这也是限制EDR市场发展的一个重要因素。
另外一方面,随着终端威胁的不断演化,EPP(端点保护平台)已经不能仅仅聚焦于阻止初始的威胁感染,还需要投入精力放到加固、检测、响应等等多个环节,因此近几年来EPP市场发生了很大的变化,包括出现了EDR这类注重检测和响应的产品。终于,在2018年9月底,Gartner给出了一个全新升级的EPP定义:
EPP解决方案部署在端点之上,用于阻止基于文件的恶意代码攻击、检测恶意行为,并提供调查和修复的能力去处理需要响应的动态安全事件和告警。
相较于之前的EPP定义,更加强调对恶意代码和恶意行为的检测及响应。而这个定义也进一步反映了EPP与EDR市场融合的事实,基本上新一代的EPP都内置EDR功能了。Gartner建议客户在选购EPP的时候,最好要求他们一并提供EDR功能。因此,我个人认为,未来EDR将作为一种技术消融到其它产品中去,主要是EPP,也可能作为一组功能点存在于其它产品中。独立EDR存在的可能性会十分地小。
Gartner在2018年的威胁对抗(Threat-Facing)技术的Hype Cycle中首次标注了EDR技术,处于即将滑落到失望的谷底的位置,比UEBA更靠下。而EPP也是首次出现在Hype Cycle中,位于Hype Cycle的“成熟平原”,属于早期主流产品。Gartner自己也表示,将EPP例如Hype Cycle也是一件不同寻常的事情,因为EPP已经存在20年了。但之所以把EPP列进来进行分析就是因为前面提到的EPP已经被Gartner重新定义了。
在国内,EPP的厂商也已经经历了多年的洗礼,格局较为稳定。而EDR产品则多见于一些新兴厂商,有的已经开始搅动起看似稳定的EPP市场了。
2.6.2 UEBA
UEBA(用户与实体行为分析)曾经在2016年例如10大安全技术,2017年未能入榜,不过在2018年以检测与响应项目中的一个分支方向的名义重新入榜。
UEBA解决方案通过对用户和实体(如主机、应用、网络流量和数据集)基于历史轨迹或对照组建立行为轮廓基线来进行分析,并将那些异于标准基线的行为标注为可疑行为,最终通过各种异常模型的打包分析来帮助发现威胁和潜藏的安全事件。
根据Gartner的观察,目前UEBA市场已经出现了明显的分化。一方面仅存在少量的纯UEBA厂商,另一方面多种传统细分市场的产品开始将UEBA功能融入其中。这其中最典型的就是SIEM厂商,已经将UEBA技术作为了SIEM的核心引擎。Gartner在给客户的建议中明确提到“在选购SIEM的时候,要求厂商提供UEBA功能”。此外,包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。
由于不断的并购和其它细分市场产品的蚕食,纯UEBA厂商越来越少。同时,由于该技术此前一直处于期望的顶点,一些率先采用UEBA技术的超前客户的失败案例开始涌现,促使人们对这个技术进行重新定位,当然也有利于UEBA未来更好发展。
另外,有些做得不错的纯UEBA厂商也开始扩展自己的细分市场。最典型的就是向SIEM厂商进发。2017年的SIEM魔力象限就已经出现了两个UEBA厂商,他们已经开始把自己当作更先进的SIEM厂商了。
在Gartner的2018年应用安全的Hype Cycle中,UEBA已经从去年的期望顶峰基本滑落到失望的谷底了,总体上仍处于青春期的阶段。
我的观点,未来纯UEBA厂商将越来越少,要么被并购,要么转变到其它更大的细分市场。同时SIEM厂商将会大举投入UEBA技术,不论是买,还是OEM,抑或自研。未来,UEBA更多是一种技术,一种能力,被广泛集成到多种安全产品之中,最关键就是UEBA引擎。但只要UEBA厂商还能够开发出具有独立存在价值的客户应用场景,就不会消失。至少目前来看,还是具备独立存在的价值的。
在国内目前几乎没有UEBA的专业厂商,一般见于其它细分市场的产品家族中,譬如SIEM/安管平台厂商,或者业务安全厂商的产品线中会有这个产品。我比较自豪的是,我们公司是目前国内少有的几家具有UEBA产品的新兴安管平台厂商之一。
2.6.3 欺骗
该技术在2016年就上榜了。欺骗技术(DeceptionTechnology)的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装,欺骗攻击者,尤其是攻击者的工具中的各种特征识别环节,使得那些工具产生误判或失效,扰乱攻击者的视线,将其引入死胡同,延缓攻击者的时间。譬如可以设置一个伪目标/诱饵,诱骗攻击者对其实施攻击,从而触发攻击告警。
欺骗技术作为一种新型的威胁检测技术,可以作为SIEM或者其它新型检测技术(如NTA、UEBA)的有益补充,尤其是在检测高级威胁的横向移动方面。Gartner认为未来欺骗类产品独立存在的可能性很小,绝大部分都将被并购或者消亡,成为大的产品方案中的一环。
针对欺骗技术,Gartner给客户的建议包括:
1)要求厂商提供丰富的假目标(类型)组合;
2)要求提供基于攻击者视角的可视化拓扑;
3)要求提供完整的API能力,便于客户进行编排和自动化集成。
Gartner近来一直大力推介欺骗技术。在2018年的威胁对抗Hype Cycle中首次列入了欺骗平台技术,并将其列为新兴技术,正在向期望的高峰攀登。总体上,不论是技术的产品化实用程度,还是客户的接受程度,都处于早期,Gartner预计还有5到10年才能趋于成熟。
在国内,这块市场也刚刚萌芽(不算以前的特定客户市场)。出现了若干个具有(但不是主打)此类产品的新兴公司。
2.6.4 MDR服务
MDR在2017年也已经上榜了。MDR作为一种服务,为那些想提升自身高级威胁检测、事件响应和持续监测能力,却又无力依靠自身的能力和资源去达成的企业提供了一个选择。
事实上,如果你采购了MDR服务,MDR提供商可能会在你的网络中部署前面提及的某些新型威胁检测装置,当然客户不必具体操心这些设备的使用,交给MDR服务提供商就好了。
根据我的观察,MDR也是一个机会市场,随着MSSP越来越多的提供MDR服务,纯MDR厂商将会逐步消失,或者变成检测产品厂商提供的一种产品附加服务。Gartner建议客户尽量选择具有MDR服务能力的MSSP。
在2018年的威胁对抗HypeCycle中首次列入了MDR,并将其列为新兴技术,并且比欺骗技术还要早期。
2.6.5 小结
这里,我个人小结一下,目前市面上常见的新型威胁检测技术大体上包括:EDR、NTA、UEBA、TIP、网络沙箱、欺骗技术等。可以说这些新型技术各有所长,也各有使用限制。这里面,威胁情报比对相对最简单实用,但前提是要有靠谱的情报。沙箱技术相对最为成熟,但也被攻击者研究得相对最透。EDR在整个IT架构的神经末梢端进行检测,理论效果最好,但受限于部署和维护问题,对宿主的影响性始终挥之不去,甚至还有些智能设备根本无法部署代理。NTA部署相对简单,对网络干扰性小,但对分散性网络部署成本较高,且难以应对越来越多的加密通信。UEBA肯定也是一个好东西,但需要提供较高质量的数据输入,且机器学习分析的结果确切性不可能100%,也就是存在误报,多用于Threat Hunting,也就是还要以来分析师的后续分析。欺骗技术理论上很好,而且基本不影响客户现有的业务,但需要额外的网络改造成本,而且效果还未被广泛证实。对于客户而言,不论选择哪种新型技术,首先要把基础的IDP、SIEM布上去,然后再考虑进阶的检测能力。而具体用到哪种新型检测技术,则要具体问题具体分析了,切不可盲目跟风。
2.7 云安全配置管理(CSPM)项目
【项目目标客户】该项目适用于那些希望对其IaaS和PaaS云安全配置进行全面、自动化评估,以识别风险的组织。CASB厂商也提供这类能力。
【项目建议】如果客户仅仅有一个单一的IaaS,那么先去咨询你的IaaS提供商;客户如果已经或者想要部署CASB,也可以先去问问CASB供应商。
CSPM(Cloud Security PostureManagement)是Neil自己新造的一个词,原来叫云基础设施安全配置评估(CISPA),也是他取的名字。改名的原因在原来仅作“评估”,现在不仅要“评估”,还要“修正”,因此改叫“管理”。Posture在这里我认为是不应该翻译为“态势”的,其实Neil本意也不是讲我们国人所理解的态势,而是讲配置。
要理解CSPM,首先就要分清楚CSPM和CWPP的关系,Neil自己画了下图来阐释:
如上图所示,在谈及云工作负载的安全防护的时候,一般分为三个部分去考虑,分属于两个平面。一个是数据平面,一个是控制平面。在数据平面,主要包括针对云工作负载本身进行防护的CWPP,以及云工作负载之上的CWSS(云工作负载安全服务)。CWSS是在云工作负载之上对负载进行安全防护。在控制平面,则都是在负载之上对负载进行防护的措施,就包括了CSPM,以及前面的CWSS(此处有重叠)。
CSPM能够对IaaS,以及PaaS,甚至SaaS的控制平面中的基础设施安全配置进行分析与管理(纠偏)。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。理想情况下,如果发现配置不合规,CSPM会采取行动进行纠偏(修正)。大体上,我们可以将CSPM归入弱点扫描类产品中去,跟漏扫、配置核查搁到一块。
对云的正确配置是很重要的一件事,譬如因为对AWS云的S3 bucket配置不当,已经发生了多次重大的信息泄露事件。云厂商一般也都会提供类似的功能,但是对于跨云用户而言,需要有专门的配置管理工具去消除不同云环境中的具体配置差异。
Gartner认为CASB中应该具备CSPM功能。同时,一些CWPP厂商也开始提供CSPM功能。
在Gartner的2018年云安全Hype Cycle中,CSPM处于期望的顶峰阶段,用户期待很高,处于青春期。
2.8 自动化安全扫描项目
【项目目标客户】该项目适用于那些希望把安全控制措施集成到Devops风格的流程中去的组织。从开源软件的成份分析工具开始,并将测试无缝集成到DevSecOps流程和容器中。
【项目建议】不要轻易让开发人员切换工具。要求工具提供者提供完备的API以便使用者进行自动化集成。
该技术在2016年就上榜了。不过,每年的侧重点各有不同。在2016年侧重的是DevSecOps的安全测试和RASP(运行时应用自保护),2017年则侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析。2018年则继续强调针对开源软件的软件成份分析。
DevSecOps是Gartner力推的一个概念,有大量的相关分析报告。DevSecOps采用模型、蓝图、模板、工具链等等驱动的安全方法来对开发和运维过程进行自保护,譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、合规性的、基于策略的对应用底层安全架构的配置。
软件成份分析(SCA,SoftwareComposition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库,以识别和清点开源软件(OSS)的组件及其构成和依赖关系,并识别已知的安全漏洞或者潜在的许可证授权问题,把这些风险排查在应用系统投产之前,也适用于应用系统运行中的诊断分析。如果用户要保障软件系统的供应链安全,这个SCA很有作用。
Gartner给出了SCA关键评估指标包括:
1)是否具备漏洞和配置扫描功能?
2)能否将开源组件指纹与CVE关联?
3)能否与SAST/DAST/IAST扫描集成?
Gartner给客户的建议则包括:
1)不要轻易让SCA的使用者(一般是开发人员)切换工具;
2)需要提供API以便使用者进行自动化集成;
3)确保能够检查到开源软件的许可证问题;
4)SCA的测试过程要无缝集成到DevSecOps流程中;
在Gartner的2018年应用安全的Hype Cycle中,SCA相较于去年更加成熟,但仍处于成熟早期的阶段,属于应用安全测试的范畴,可以综合使用静态测试、动态测试、交互测试等手段。
2.9 CASB项目
【项目目标客户】该项目适用于那些移动办公情况相对较多,采用了多个云厂商的云服务的组织。这些组织希望获得一个控制点,以便获得这些云服务的可见性和集中的策略管控。
【项目建议】以服务发现功能作为切入点去验证项目的可行性。建议在2018年和2019年将高价值敏感数据发现与监测作为关键的应用案例。
该技术从2014年就开始上榜了,并且今年的技术内涵基本没有变化。
CASB作为一种产品或服务,为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。CASB的出现原因,简单说,就是随着用户越来越多采用云服务,并将数据存入(公有)云中,他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用,让他们清晰地看到云服务的使用情况,实现异构云服务的治理,并对云中的数据进行有效的保护,而传统的WAF、SWG和企业防火墙无法做到这些,因此需要CASB。
CASB相当于一个超级网关,融合了多种类型的安全策略执行点。在这个超级网关上,能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全(内容检测、加密、混淆)、日志管理、告警,甚至恶意代码检测和防护。正如我在《Gartner2017年十大安全技术解读》中所述,CASB就是一个大杂烩。
CASB一个很重要的设计理念就是充分意识到在云中(尤指公有云)数据是自己的,但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性,同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供四个维度的功能:发现、数据保护、威胁检测、合规性。
Neil Mcdonald将CASB项目进一步分为了云应用发现、自适应访问、敏感数据发现与保护三个子方向,建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这三个子方向其实也对应了CASB四大功能中的三个(除了威胁检测)。
在Gartner的2018年云安全HypeCycle中,CASB依然位于失望的低谷,但就快要爬出去了,继续处于青春期阶段。
国内也有不少自称做CASB的厂商,但跟Gartner所描述的还有差别,也算是中国特色吧,毕竟在国内多云应用场景还不普及。注意,我认为云堡垒机是PAM在云中的一个应用场景,不能叫做CASB。
2.10 软件定义边界项目
【项目目标客户】该项目瞄准那些仅想将其数字系统和信息开放给指定的外部合作伙伴或者远程员工的组织。这些组织希望通过限制数字系统和信息的暴露面来减少攻击面。
【项目提示】重新评估原有基于VPN的访问机制的风险。建议在2018年选取一个跟合作伙伴交互的数字服务作为试点,尝试建立应用案例。
该技术在2017年也上榜了,并且今年的技术内涵基本没有变化。
SDP将不同的网络相连的个体(软硬件资源)定义为一个逻辑集合,形成一个安全计算区域和边界,这个区域中的资源对外不可见,对该区域中的资源进行访问必须通过可信代理的严格访问控制,从而实现将这个区域中的资源隔离出来,降低其受攻击的暴露面的目标。其实,Google的BeyondCorp零信任理念也跟SDP或者软件定义安全同源。目前,SDP技术吸引了很多寻找云应用场景下的VPN替代方案的客户的目光。根据Gartner的分析,目前SDP还处于大量吸引投资的阶段,此类新兴公司正在不断涌现,并购行为尚很少见。
在Gartner的2018年云安全Hype Cycle中,SDP已经从2017年的期望顶峰开始向失望的低谷滑落,尚处于青春期阶段。
三、其他新兴技术
除了上述10大安全项目,Gartner还列举了一些正在兴起的其他新技术:
Remote browser isolation
Container security
Breach and attack simulation
Controls gap risk analytics
Digital supply chain risk assessment services
Encryption by default, encryption everywhere
Anti-fraud/bot protection platforms (UI protection)
ERP-specific security/business-critical application security
Data flow discovery, monitoring and analytics
Bug bounty programs, crowdsourced and pen testing aaS
Cloud firewalls and UTMs for branch office and SOHO
EPP + EDR merger = Advanced endpoint protection
IoT/OT discovery, visibility, monitoring and deception
SecOps chat
其中,排在前两位的远程浏览器隔离、容器安全都是2017年的11大技术之列,而排第三的BAS也是这两年Gartner推崇的新兴技术,而BAS和从排5开始的所有技术也都是原封不动地从2017年的待选新技术中复制过来的。
有一点可以提示一下,上述技术都已经有产品和方案落地,而非研究性课题。
四、收益分析
Gartner认为,通过实施以下五个项目,组织受攻击造成的财务损失到2020年将比2017年降低80%。这五个项目是:
基于风险优先级(CARTA)的漏洞管理;
特权账户管理;
积极反钓鱼项目集(program);
服务器负载的应用控制;
开发过程的自动化测试
五、总体建议
Neil在峰会上十大安全项目讲解的最后给出了一些总体建议:
如果你在2018年智能做一件事情,那么就做基于CARTA的漏洞管理项目;
在选择2018年项目的时候不要仅仅关注降低风险;
找到信息安全能够促进数字业务增长的机会点,只要风险可以接受(也就是说,不要只看到降风险,还要看到促增长,看到业务安全)。先从自动化安全扫描支撑快速开发做起;
如果你使用了IaaS,立即进行云安全配置评估和管理;
如果你使用了SaaS,立即开始了解你的服务使用情况,并启动敏感数据发现项目;
在服务器、网络和应用上实施默认拒绝的应用控制策略。
*本文作者:Benny Ye,转载自专注安管平台,转载请注明来源。