Gartner：2019年十大安全項目（簡評版）

2019年2月11日，Gartner一改過去在年度安全與風險管理峯會上發表10大安全技術/項目的做風，早早發佈了2019年的十大安全項目，並表示將在今年的安全與風險管理峯會上具體呈現。所以，此次算是Gartner提早發佈預覽版吧。

2019年的十大安全項目分別是：

1）Privileged Access Management，特權帳戶管理（PAM）

2）CARTA-Inspired Vulnerability Management，符合CARTA方法論的弱點管理

3）Detection and Response，檢測與響應

4）Cloud Security Posture Management，雲安全配置管理（CSPM）

5）Cloud Access Security Broker，雲訪問安全代理（CASB）

6）Business Email Compromise，商業郵件失陷

7）Dark Data Discovery，暗數據發現

8）Security Incident Response，安全事件響應

9）Container Security，容器安全

10）Security Rating Services，安全評級服務

對比一下歷年的10大技術/項目，能夠發現，跟2018年相比，前5個項目基本上是沿襲下來了，第6個商業郵件失陷則是在去年的反釣魚項目基礎上作了修訂，後4個則是新上榜的。全新上榜的包括暗數據發現、安全事件響應和安全評級服務，而容器安全則是隔年再次上榜。

	2014年	2016年	2017年	2018年	2019年
IAM	自適應訪問控制			特權帳戶管理PAM	特權帳戶管理PAM
雲安全	軟件定義的安全SDS		軟件定義邊界SDP	軟件定義邊界SDP
	雲訪問安全代理CASB	雲訪問安全代理CASB	雲訪問安全代理CASB	雲訪問安全代理CASB	雲訪問安全代理CASB
		微隔離	微隔離	微隔離
			雲工做負載保護平臺CWPP
			容器安全		容器安全
				雲安全配置管理CSPM	雲安全配置管理CSPM
端點安全	端點檢測與響應EDR	端點檢測與響應EDR	端點檢測與響應EDR	檢測與響應之EPP+EDR	檢測與響應之EPP+EDR
		基於非簽名方法的端點防護技術
				服務器工做負載的應用控制
網絡安全	遏制與隔離將做爲基礎的安全策略	遠程瀏覽器	遠程瀏覽器
		欺騙技術	欺騙技術	檢測與響應之欺騙技術
			網絡流量分析NTA
	機器可識別的威脅情報（包括信譽服務）
	沙箱廣泛化
		用戶和實體行爲分析UEBA		檢測與響應之UEBA
				積極反釣魚	商業郵件失陷
應用安全	交互式應用安全測試	DevOps的安全測試技術	面向DevSecOps的開源軟件（OSS）安全掃描與軟件成分分析	自動安全掃描：面向DevSecOps的開源軟件成份分析
數據安全					暗數據發現
IoT	針對物聯網的安全網關、代理和防火牆	普適信任服務
安全運營	大數據安全分析技術是下一代安全平臺的核心	情報驅動的安全運營中心及編排解決方案技術	可管理檢測與響應MDR	檢測與響應之MDR	檢測與響應之SIEM+SOAR 檢測與響應之MDR
				弱點管理	弱點管理
					安全事件響應
					安全評級服務

特別值得一提的是今年的10大安全項目中終於明確地增長了數據安全方面的項目——暗數據發現。在解讀2018年10大安全項目的時候我就在分析老Neil爲啥遲遲不考慮數據安全，今年終於有所體現了。

首先，一如既往地，Gartner特別強調，客戶在考慮上述10大技術以前，必定要考慮到先期的基礎安全建設，不少項目都須要建構在基礎安全能力達標的狀況下。這些基礎安全能力包括（但不限於）：

1）在系統防禦方面，包括採用最新的EPP和統一端點管理（Unified Endpoint Management，UEM是Gartner定義的區分於EPP的另外一個細分市場，強調對包括異構的PC、移動端和物聯網終端的統一管理。該市場不屬於信息安全市場，而歸屬於IT運維管理市場。2018年Gartner首次推出了UEM的MQ）和服務器安全防禦。

2）在用戶控制方面，包括從windows用戶列表中移除管理員權限，用戶帳號的生命週期管理和多因素認證。

3）在基礎設施安全方面，包括日誌監控、備份/恢復能力、補丁和基本的弱點管理，以及各類邊界安全控制。

4）在信息處理方面，包括郵件安全控制、安全意識培訓等。

如下簡要分析一下新上榜和修訂後上榜的5個項目。

商業郵件失陷

或許是去年提出來的「積極反釣魚」項目名稱太老套，不夠醒目，抑或是這個名稱容易掩蓋在反釣魚時對流程管控的關鍵依賴，今年Gartner提出了一個新的項目名稱——Business Email Compromise。

BEC這個詞其實提出來也有好幾年了，不算是Gartner的原創。簡單地說，BEC能夠那些指代高級的、複雜的、高度定向的郵件釣魚攻|擊，就比如APT之於普通網絡攻|擊。BEC釣魚一般不會在郵件中使用惡意附件、或者釣魚URL，而純靠社會工程學技術。譬如發件人每每冒用公司高層領導或其餘你很難忽略的人，並且收件人也不是大面積的掃射，而是十分精準、小衆。BEC釣魚的特性使得不少傳統的防護機制失效或者效果大減，而須要進行綜合治理，結合多種技術手段，以及人和流程。在技術手段這塊，Gartner特別指出ML（機器學習）技術的應用前景廣闊。

暗數據發現

這是Gartner首次明確提出了數據安全領域的10大安全項目/技術。暗數據（Dark Data）是Gartner發明的詞。它就像宇宙中的暗物質，大量充斥。暗數據產生後基本沒有被利用/應用起來，但又不能說沒有價值，可能還暗藏風險，最大問題是用戶本身都不知道有哪些暗數據，再哪裏，有多大風險。尤爲是如今GDPR等法規加持之下，暗數據中可能包括的違規的信息。

其實，就比如在作網絡安全的時候，要先了解本身網絡中有哪些IP資產，尤爲是有哪些本身都不知道的影子資產同樣。在作數據安全的時候，要先進行數據發現，包括暗數據發現，這也是一個針對數據「摸清家底」的過程。這個步驟比數據分類，敏感數據識別更靠前。事實上，Gartner建議數據分類和敏感數據識別工具去集成暗數據發現能力。此外，Gartner在2018年的Hype Cycle中提出了一個達到炒做頂峯的技術——「File  Analysis」（文件分析），該技術就特別強調對不斷膨脹的、散落在共享文件、郵件、內容協做平臺、雲端等等各處的非結構化暗數據的發現、梳理與理解。這裏的發現包括了找到這些暗數據的全部者、位置、副本、大小、最後訪問或修改時間、安全屬性及其變化狀況、文件類型及每種文件類型所特有的元數據。

安全事件響應

安全IR絕對能夠稱得上是一個十分十分老的詞了。安全業界作這個IR已經幾十年了。那麼Gartner爲啥要提出來呢？Neil沒有詳談緣由。我分析，在檢測與響應被提高到如此高度的今天，基本上全部業內人士都對響應表明了將來須要重點突破和提高的方向沒有什麼異議。Gartner在歷年的十大技術/項目中都有響應相關的項目，但仔細看，咱們就會發現更多仍是一些分散的響應技術，譬如EDR，NDR等，而且都是跟檢測技術合在一塊兒講。今年，Gartner則更進一步，從安全運營的角度提出了IR，應該仍是頗有深意的。同時，在「檢測與響應」項目中，也首次說起了SIEM+SOAR。讓咱們等到Gartner安全與風險管理峯會時，且看Neil如何解讀IR吧。

容器安全

容器安全在2017年已經位列當年的11大安全技術了。爲什麼重回榜單？應該是由於容器技術愈來愈多的被應用的緣故，尤爲是隨着微服務架構和Develops開發模式的盛行，愈來愈多開發人員使用容器技術。容器安全愈發重要，不只是運行時容器安全保護技術，還應該關注開發時容器安全掃描技術，要把容器安全與DevSecOps整合起來。

安全評級服務

Security Rating Services也不是新鮮東西，幾年前就已經出現。在2018年的Hype Cycle中，SRS處於炒做的頂峯。Gartner還在2018年專門發佈了一份SRS的Innovation Insight報告。

Gartner認爲，SRS爲組織實體提供了一種持續的、獨立的、量化的安全分析與評分機制。SRS經過非侵入式的手段從公開或者私有的渠道收集數據，對這些數據加以分析，並經過他們本身定義的一套打分方法對組織實體的安全形勢進行評級。SRS能夠用於內部安全、網絡保險承包、併購，或者第三方/供應商網絡安全風險的評估與監控。

Gartner認爲在當今數字轉型、數字生態的大背景下，該業務前景廣闊。同時，該服務和解決方案還沒有成熟，正在快速演變。

最後，讓咱們期待2019年的Gartner安全與風險管理峯會的召開吧。

【參考】

Gartner：2018年十大安全項目詳解

逐一解讀Gartner評出的2017年11大信息安全技術

Gartner：2016年十大信息安全技術（含解讀）

Gartner：2014年十大信息安全技術

歡迎關注個人微信公衆號：專一安管平臺