Gartner：2018年十大安全項目詳解

時間 2021-01-02

標籤 html git web 數據庫瀏覽器安全服務器微信網絡架構欄目系統安全简体版

原文原文鏈接

Gartner 2018年十大安全項目詳解html

Last Modified By Bennyye @ 2018-11-20
git

1 概述

2018年6月份，一年一度的Gartner安全與風險管理峯會上，知名分析師Neil Mcdonald發佈了2018年度的十大安全項目（Top 10 Security Projects）。web

在以前的幾年裏，Gartner一直作的是10大頂級技術（Top New and Cool Technologies）的發佈，更多關注是新興的產品化技術和即將大規模應用的技術。推出這些頂級技術的目的也是供客戶方的信息安全主管們做爲當年安全投資建設的推薦參考。數據庫

而2018年「十大安全技術」換成了「十大安全項目」，所爲什麼故？我我的的理解：今年「十大安全項目」的叫法更加符合客戶視角，並且更增強調對客戶而言具備很高優先級的技術。也就是說，也許有些項目涉及的技術不必定是最新最酷的技術，但對客戶而言是特別有助於下降安全風險的技術。如此一來，十大安全項目考察的技術點就要比十大安全技術更普遍，更加客戶視角。瀏覽器

根據Gartner本身的說明，給出了選取十大安全項目的方式。安全

首先，假定客戶已經具有了至關的安全基礎。若是連這些基礎都沒有達到，那麼也就不要去追求什麼十大安全項目，乃至十大安全技術了。這些基礎包括：服務器

1）已經有了較爲先進的EPP（端點保護平臺），具有諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能；微信

2）已經作好了基本的Windows帳戶管理工做；網絡

3）已經有了IAM；架構

4）有了常規化的補丁管理；

5）已經有了標準化的服務器/雲工做負載保護平臺代理；

6）具有較爲強健的反垃圾郵件能力；

7）部署了某種形式的SIEM或者日誌管理解決方案，具備基本的檢測/響應能力；

8）創建了備份/恢復機制；

9）有基本的安全意識培訓；

10）具有基本的互聯網出口邊界安全防禦能力，包括URL過濾能力；

沒錯，對於客戶而言，上面10個技術和能力更爲基礎，優先級更高，若是上述能力都有欠缺，先別輕易考慮什麼十大安全項目！

其次，針對10大項目的選取也比較強調新（客戶採用率低於50%），同時又必須是已經落地的，並且又不能太過複雜（是Project級別而非Program級別）【注：要區別portfolio（項目組合）, program（項目集）, project（項目）三種項目間的關係】。

最後，選取的技術必須是可以最大程度上下降客戶風險的，且付出是相對經濟的，必須是符合數字時代發展潮流的，符合Gartner本身的CARTA（持續自適應風險與信任評估）方法論的。

基於上述全部前提假定，Gartner給出了2018年的10大安全項目：

對比一下近些年Gartner的10大安全技術/項目以下表所示：

Gartner歷年評選的頂級技術/項目對比分析

經過分析比較，不難發現，和2017年度的11大安全技術（參見我寫的《Gartner2017年十大安全技術解讀》）相比，差異其實不大，大部分2017年的頂級技術都保留了，有的更加細化了，同時增長了幾項算不上先進但對客戶而言更爲迫切的幾個技術，包括PAM、弱點管理（VM）、反釣魚。同時，這些項目也不是對每一個客戶都具有同等的急迫性，不一樣客戶還須要根據自身的狀況進行取捨，有所關注。

此外，細心的人可能還會發現，竟然沒有如今大熱的數據安全項目？的確，Gartner 10大安全項目中沒有明確以數據安全爲大標題的項目，不過在多個項目中都說起了數據安全，譬如在CASB項目中建議優先考慮處理數據安全問題，PAM也跟數據安全有關係。另外，我感受數據安全是一個十分龐大的題目，不可能用幾個Project來達成，起碼也要是Program級別的。期待之後Neil對數據安全更加劇視起來吧。

特別須要指出的是，雖然說叫10大安全項目，可是「檢測與響應項目」其實包括了四個子項目，分別是EPP+EDR，UEBA、欺騙技術和MDR（可管理檢測與響應）服務。所以，若是展開來講，其實不止10個項目，只是爲了「湊個10」。

2 十大安全項目解析

接下來，咱們逐一解析一下10大項目，對於2017年就出現過的，還能夠參見我去年寫的《Gartner2017年十大安全技術解讀》，內涵基本沒有什麼變化。

注意，配合10大項目的發佈，Gartner官方發佈了一篇文章（參見https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/），而Gartner中國也發佈了中文譯文——《Gartner遴選出2018十大安全項目》。不過，最初Gartner官方新聞稿中編輯將EDR縮寫的指代英文全稱寫錯了，致使不少中文譯文也都跟着錯了，而且Gartner的中文譯文將MDR這個縮寫也翻譯錯誤了。此外，Gartner中國刊載的中文譯文也有很多其它錯誤，主要是對多個專業英文縮寫所表明的專業術語翻譯錯誤和不許確，一些專業語句因爲缺少知識背景翻譯錯誤。譬如Deception不該該翻譯爲「欺詐」，而應該叫作「欺騙」，由於咱們要從正面角度解讀這個詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專業的稱呼。對此，我當時就已經告知Gartner中國，並提出了9點改進建議。後來，Gartner美國官網的錯誤改正過來了，但Gartner中國的那篇中文譯文的微信公衆號文章卻一直保留着那些錯誤。所以，在下面的解析內容中我首先都會將官網上的內容（包括項目目標客戶和項目提示兩個部分）從新翻譯一遍，而後再作具體解讀。

2.1 特權帳戶管理項目

【項目目標客戶】該項目旨在讓攻|擊者更難訪問特權帳戶，並讓安全團隊監測到異常訪問的行爲。最低限度，CISO們應該要求對全部管理員實施強制多因素認證，建議同時也對承包商等外部第三方的訪問實施強制多因素認證。

【項目建議】先對高價值、高風險的系統實施PAM，監控對其的訪問行爲。

PAM工具爲組織的關鍵資產提供安全的特權訪問，以符合對特權帳號及其訪問的監控管理合規需求。PAM一般具有如下功能：

1）對特權帳號的訪問控制功能，包括共享帳號和應急帳號；

2）監控、記錄和審計特權訪問操做、命令和動做；

3）自動地對各類管理類、服務類和應用類帳戶的密碼及其它憑據進行隨機化、管理和保管；

4）爲特權指令的執行提供一種安全的單點登陸（SSO）機制；

5）委派、控制和過濾管理員所能執行的特權操做；

6）隱藏應用和服務的帳戶，讓使用者不用掌握這些帳戶實際的密碼；

7）具有或者可以集成高可信認證方式，譬如集成MFA。

很顯然，雖然國內談PAM不多，但實際上早已大量運用，其實就對應咱們國內常說的堡壘機。

Gartner將PAM工具分爲兩類：PASM（特權帳戶和會話管理）和PEDM（權限提高與委派管理）。以下圖所示：

顯然，PASM通常對應那個堡壘機邏輯網關，實現單點登陸，集中的訪問受權與控制，設備系統密碼代管、會話管理、對操做的審計（錄像）。

PEDM則主要經過分散的Agent來實現訪問受權與控制，以及操做過濾和審計。國內的堡壘機通常都沒有采用這種技術模式。

Gartner分析將來PAM的技術發展趨勢包括：

1）支持特權任務自動化，多個操做打包自動化執行；

2）將PAM用於DevOps，讓DevOps更安全更便捷；

3）支持容器；

4）支持IaaS/PaaS和虛擬化環境；

5）以雲服務的形式交付PAM；

6）特權訪問操做分析，就是對堡壘機日誌進行分析，能夠用到UEBA技術；

7）與漏洞管理相結合；

8）系統和特權帳戶發現；

9）特權身份治理與管理。

Gartner列出了評價PAM的幾個關鍵衡量指標：

１）環境支持的狀況，是否支持雲環境？

２）具有PASM和PEDM功能，具備錄像功能；

３）提供完備的API以便進行自動化集成；

４）具有天然人／非天然人的帳號管理功能。

在Gartner的2018年IAM技術Hype Cycle中，PAM處於早期主流階段，正在向成熟的平原邁進。

國內堡壘機已經發展好多年了，本人早些年也負責過這塊業務。國外PAM也趨於成熟，Gartner估計2016年全球PAM市場達到了9億美圓，市場併購也比較頻繁。Gartner對中國的PAM市場瞭解甚少，沒有什麼研究，這裏我也建議國內的堡壘機領導廠商能夠主動聯繫Gartner，讓他們更多地瞭解中國的PAM市場。

2.2 符合CARTA方法論的弱點管理項目

【項目目標客戶】基於CARTA方法論，該項目可以很好地處理漏洞管理問題，並有助於顯著下降潛在風險。在補丁管理流程中斷，以及IT運維的速度趕不上漏洞增加的速度時，能夠考慮該項目。你沒法打上每一個補丁，但你能夠經過風險優先級管理顯著下降風險。

【項目建議】要求你的虛擬助手／虛擬機供應商提供該能力（若是客戶已經上雲／虛擬化的話），並考慮使用風險緩解措施，譬如上防火牆、IPS、WAF等等。

注意，弱點管理不是弱點評估。弱點評估對應咱們熟知的弱點掃描工具，包括系統漏掃、web漏掃、配置覈查、代碼掃描等。而弱點管理是在弱點評估工具之上，收集這些工具所產生的各種弱點數據，進行集中整理分析，並輔以情境數據（譬如資產、威脅、情報等），進行風險評估，並幫助安全管理人員進行弱點全生命週期管理的平臺。記住，弱點管理是平臺，而弱點掃描是工具。

另外，Vulnerability Management我一直稱做「弱點管理」，而不是「漏洞管理」，是由於弱點包括漏洞，還包括弱配置！若是你認爲Vulnerability應該叫作漏洞，那也不要緊，但不要把弱配置落掉。

那麼，什麼叫作基於CARTA的弱點管理呢？熟悉CARTA就能明白（能夠參見個人文章《CARTA：Gartner的持續自適應風險與信任評估戰略方法簡介》），本質上CARTA就是以風險爲核心一套安全方法論。所以，基於CARTA的弱點管理等價於基於風險的弱點管理。基於風險的管理是一個不斷迭代提高的過程，包括弱點發現、弱點優先級排序、弱點補償控制三個階段，以下圖所示：

做爲排名第二位的項目，Gartner建議儘快啓動，儘早下降組織面臨的風險。

Gartner對基於CARTA方法論的VM的衡量指標包括：

１）是否有情境信息，誰收到攻|擊？不只是IP，而是他的情境信息都須要，以便全面評估；

２）可否算出資產的業務價值？

３）可否繪製網絡拓撲，給出緩解措施？

４）把VA（漏洞評估）和漏洞管理一併考慮，譬如集成VA工具

目前在國內通常有兩類弱點管理產品，一類是單一的弱點管理產品，屬於輕量級的弱點管理平臺，更多具備工具的使用特色，管理類功能相對較爲簡單。還有一類是做爲SOC/安管平臺的一個組成部分，具備較爲完備的平臺功能，把漏洞管理的流程和其它SOC運維流程整合到一塊兒。

2.3 積極的反釣魚項目

【項目目標客戶】該項目瞄準那些至今依然有員工遭受成功網絡釣魚攻|擊的組織。他們須要採用一個三管齊下的策略，即同時進行技術控制、終端用戶控制和流程重構。使用技術控制措施儘量多地阻斷釣魚攻|擊，同時須要終端使用用戶積極成爲防護體系中的一環。

【項目建議】不要點名批評那些沒有作到位的部門或者我的，而應該大張旗鼓的宣傳那些作得得當的行爲。應該去詢問你的郵件安全供應商可否承擔這個項目。若是不能，爲何？（注：言下之意，郵件安全供應商應該具備這樣的能力，不然就不合格）

Gartner認爲近幾年內，網絡釣魚（不管是郵件釣魚仍是網頁釣魚）依然會是APT攻|擊的最經典方式，也會是面向C端用戶的廣泛性攻|擊方法。網絡釣魚一種廣泛存在的高影響性威脅，他經過社交工程來實現對我的和企業資產的非法訪問。尤爲是郵件釣魚十分猖獗，並還有不斷上升的勢頭。儘管已經涌現了很多應對技術，但效果仍不顯著。從技術上看，產生釣魚的因素十分複雜，而且跟企業和我的信息泄露密切相關，很難從單一維度進行阻斷。所以，Gartner提出了要進行綜合治理的說法，須要運用技術、人和流程相結合的手段。Gartner給出的綜合治理建議以下：

1）在SEG（安全郵件網關）上加載高級威脅防護技術

最典型的就是集成URL過濾技術。URL過濾必須支持點擊時URL過濾分析（time-of-click URL filtering）和使用代理的URL過濾分析，由於不少惡意URL都是在用戶雙擊後動態產生的，還有的URL外面包了代理。這些都增長了過濾的難度。

其次是集成網絡沙箱，這類技術已經較爲成熟，但用到SEG上，性能是一個問題，而且沙箱逃逸開始出現。

更高級的是針對郵件中的附件文件進行CDR（content disarm and reconstruction，內容拆解與重建）。這種技術會實時地把文件分拆爲不一樣的組成部分，而後剝去任何不符合文件原始規範的內容，再從新把文件的不一樣部分組合起來，造成一個「乾淨」的版本，繼續將它傳到目的地，而不影響業務。這裏的CDR最核心的工做就是對文件進行清洗，譬如去掉宏、去掉js腳本等等嵌入式代碼。這種技術性能還不錯，但可能會清洗掉合法的動態腳本，致使文件不可用。所以Gartner建議一方面快速CDR清洗後發給用戶，另外一方面繼續跑沙箱，若是沒問題再追發原始文件給用戶。

固然，釣魚手段遠不止於此，譬如無載荷的釣魚攻|擊。所以，還有不少細節須要考慮。

2）不要僅僅依靠密碼來進行認證，要採用更安全的認證機制，尤爲針對高價值的系統和高敏感用戶。

3）使用反釣魚行爲管控（APBM）技術

這類技術聚焦員工的行爲管控和矯正，一般做爲安全意識教育與培訓的輔助手段。這類產品會發起模擬的釣魚攻|擊，而後根據被測員工的行爲反饋來對其進行教育和矯正。目前這種技術主要以服務的方式交付給客戶。

4）強化內部流程管控。如前所述，有些無載荷釣魚，包括一些社交工程的魚叉式精準釣魚，引誘收件人透露帳號密碼或者敏感信息於無形。這些都是技術手段所不能及的，須要對關鍵流程進行從新梳理，增強管控。

Gartner給客戶的其它建議還包括：

1）要求郵件安全供應商提供反釣魚功能；

2）確保合做夥伴也實施了反釣魚防禦；

3）正面管理，而不是相反；

4）考慮與遠程瀏覽器隔離技術結合使用（遠程瀏覽器是Gartner 2017年10大安全技術）。

2.4 服務器工做負載的應用控制項目

【項目目標客戶】該項目適合那些但願對服務器工做負載實施零信任或默認拒絕策略的組織。該項目使用應用控制機制來阻斷大部分不在白名單上的惡意代碼。Neil認爲這是用中十分強的的安全策略，並被證實可以有效抵禦Spectre和Meldown攻|擊。

【項目建議】把應用控制白名單技術跟綜合內存保護技術結合使用。該項目對於物聯網項目或者是不在被供應商提供保護支持的系統特別有用。

應用控制也稱做應用白名單，做爲一種成熟的端點保護技術，不只能夠針對傳統的服務器工做負載，也能夠針對雲工做負載，還能針對桌面PC。EPP、CWPP（雲工做負載保護平臺）中都有該技術的存在。固然，因爲桌面PC使用模式相對開放，而服務器運行相對封閉，所以該技術更適合服務器端點。經過定義一份應用白名單，指明只有什麼能夠執行，其他的皆不可執行，可以阻止大部分惡意軟件的執行。一些OS已經內置了此類功能。還有一些應用控制技術可以進一步約束應用在運行過程當中的行爲和系統交互，從而實現更精細化的控制。

Gartner給客戶還提出了以下建議：

1）應用控制不是銀彈，系統該打補丁仍是要打；

2）能夠取代殺毒軟件（針對服務器端），或者調低殺毒引擎的工做量。

根據Gartner的2018年威脅對抗Hype Cycle，應用控制處於成熟主流階段。

2.5 微隔離和流可見性項目

【項目目標客戶】該項目十分適用於那些具備平坦網絡拓撲結構的組織，不管是本地網絡仍是在IaaS中的網絡。這些組織但願得到對於數據中心流量的可見性和控制。該項目旨在阻止針對數據中心攻|擊的橫向移動。MacDonald表示，「若是壞人進來了，他們不能暢通無阻」。

【項目建議】把得到網絡可見性做爲微隔離項目的切入點，但切忌不要過分隔離。先針對關鍵的應用進行隔離，同時要求你的供應商原生支持隔離技術。

該技術在2017年也上榜了，而且今年的技術內涵基本沒有變化。

廣義上講，微隔離（也有人稱作「微分段」）就是一種更細粒度的網絡隔離技術，主要面向虛擬化的數據中心，重點用於阻止攻|擊在進入企業數據中心網絡內部後的橫向平移（或者叫東西向移動），是軟件定義安全的一種具體實踐。微隔離使用策略驅動的防火牆技術（一般是基於軟件的）或者網絡加密技術來隔離數據中心、公共雲IaaS、容器、甚至是包含前述環境的混合場景中的不一樣工做負載、應用和進程。流可見技術（注意：不是可視化技術）則與微隔離技術伴生，由於要實現東西向網絡流的隔離和控制，必先實現流的可見性（Visibility）。流可見性技術使得安全運維與管理人員能夠看到內部網絡信息流動的狀況，使得微隔離可以更好地設置策略並協助糾偏。

除了數據中心雲化給微隔離帶來的機遇，數據中心負載的動態化、容器化，以及微服務架構也都愈加成爲微隔離的驅動因素，由於這些新技術、新場景都讓傳統的防火牆和攻|擊防護技術顯得捉襟見肘。而數據中心架構的變革如此之大，也引起了大型的廠商紛紛進入這個領域，到不見得是爲了微隔離自己，更多仍是爲了自身的總體佈局。譬如，雲和虛擬化廠商爲了自身的總體戰略就（不得不）進入這個領域。我我的感受將來微隔離的startup廠商更多可能會被雲廠商和大型安全廠商所併購。此外，針對容器的微隔離也值得關注。

Gartner給出了評估微隔離的幾個關鍵衡量指標，包括：

1）是基於代理的、基於虛擬化設備的仍是基於容器的？

2）若是是基於代理的，對宿主的性能影響性如何？

3）若是是基於虛擬化設備的，它如何接入網絡中？

4）該解決方案支持公共雲IaaS嗎？

Gartner還給客戶提出了以下幾點建議：

1）欲建微隔離，先從得到網絡可見性開始，可見纔可隔離；

2）謹防過分隔離，從關鍵應用開始；

3）鞭策IaaS、防火牆、交換機廠商原生支持微隔離；

Gartner將微隔離劃分出了4種模式：內生雲控制模式、第三方防火牆模式、混合式、疊加式。針對這四種模式的介紹能夠參見我寫的《Gartner2017年十大安全技術解讀》。

根據Gartner的2018年雲安全Hype Cycle，目前微隔離已經「從失望的低谷爬了出來，正在向成熟的平原爬坡」，但依然處於成熟的早期階段。

在國內已經有以此技術爲核心的創業新興廠商。

2.6 檢測和響應項目

Gartner今年將各類檢測和響應技術打包到一塊兒統稱爲「檢測和響應項目」。實際上對應了4樣東西，包括三種技術和一種服務。

【項目目標客戶】該項目適用於那些已經認定被攻陷是沒法避免的組織。他們但願尋找某些基於端點、基於網絡或者基於用戶的方法去得到高級威脅檢測、調查和響應的能力。這裏有三種方式可供選擇：

l EPP+EDR：端點保護平臺+端點檢測與響應

l UEBA：用戶與實體行爲分析

l Decption：欺騙

欺騙技術相對小衆，可是一個新興的市場。對於那些試圖尋找更深刻的方法去增強其威脅偵測機制，從而得到高保真事件的組織而言，採用欺騙技術是個不錯的點子。

【項目建議】給EPP供應商施壓要求其提供EDR功能，給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術供應商提供豐富的假目標類型組合。考慮從供應商那裏直接採購相似MDR（「可管理檢測與響應」，或者「託管檢測與響應」）的服務。

2.6.1 EPP+EDR

EDR（端點檢測於響應）在2014年就進入Gartner的10大技術之列了。EDR工具一般記錄大量端點級系統的行爲與相關事件，譬如用戶、文件、進程、註冊表、內存和網絡事件，並將這些信息存儲在終端本地或者集中數據庫中。而後對這些數據進行IOC比對，行爲分析和機器學習，用以持續對這些數據進行分析，識別信息泄露（包括內部威脅），並快速對攻|擊進行響應。

EDR的出現最初是爲了彌補傳統終端/端點管理系統（Gartner稱爲EPP）的不足。而如今，EDR正在與EPP迅速互相融合，尤爲是EPP廠商的新版本中紛紛加入了EDR的功能，但Gartner預計將來短時間內EDR和EPP仍將並存。

但正如我在《Gartner2017年十大安全技術解讀》中所述，EDR的用戶使用成本仍是很高的，EDR的價值體現多少跟分析師水平高低和經驗多少密切相關。這也是限制EDR市場發展的一個重要因素。

另一方面，隨着終端威脅的不斷演化，EPP（端點保護平臺）已經不能僅僅聚焦於阻止初始的威脅感染，還須要投入精力放到加固、檢測、響應等等多個環節，所以近幾年來EPP市場發生了很大的變化，包括出現了EDR這類注重檢測和響應的產品。終於，在2018年9月底，Gartner給出了一個全新升級的EPP定義：

「EPP解決方案部署在端點之上，用於阻止基於文件的惡意代碼攻|擊、檢測惡意行爲，並提供調查和修復的能力去處理須要響應的動態安全事件和告警」。

相較於以前的EPP定義，更增強調對惡意代碼和惡意行爲的檢測及響應。而這個定義也進一步反映了EPP與EDR市場融合的事實，基本上新一代的EPP都內置EDR功能了。Gartner建議客戶在選購EPP的時候，最好要求他們一併提供EDR功能。所以，我我的認爲，將來EDR將做爲一種技術消融到其它產品中去，主要是EPP，也可能做爲一組功能點存在於其它產品中。獨立EDR存在的可能性會十分地小。

Gartner在2018年的威脅對抗（Threat-Facing）技術的Hype Cycle中首次標註了EDR技術，處於即將滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出如今Hype Cycle中，位於Hype Cycle的「成熟平原」，屬於早期主流產品。Gartner本身也表示，將EPP例如Hype Cycle也是一件不一樣尋常的事情，由於EPP已經存在20年了。但之因此把EPP列進來進行分析就是由於前面提到的EPP已經被Gartner從新定義了。

在國內，EPP的廠商也已經經歷了多年的洗禮，格局較爲穩定。而EDR產品則多見於一些新興廠商，有的已經開始攪動起看似穩定的EPP市場了。

2.6.2 UEBA

UEBA（用戶與實體行爲分析）曾經在2016年例如10大安全技術，2017年未能入榜，不過在2018年以檢測與響應項目中的一個分支方向的名義從新入榜。

UEBA解決方案經過對用戶和實體（如主機、應用、網絡流量和數據集）基於歷史軌跡或對照組創建行爲輪廓基線來進行分析，並將那些異於標準基線的行爲標註爲可疑行爲，最終經過各類異常模型的打包分析來幫助發現威脅和潛藏的安全事件。

根據Gartner的觀察，目前UEBA市場已經出現了明顯的分化。一方面僅存在少許的純UEBA廠商，另外一方面多種傳統細分市場的產品開始將UEBA功能融入其中。這其中最典型的就是SIEM廠商，已經將UEBA技術做爲了SIEM的核心引擎。Gartner在給客戶的建議中明確提到「在選購SIEM的時候，要求廠商提供UEBA功能」。此外，包括EDR/EPP和CASB廠商也都紛紛在其產品中加入了UEBA功能。

因爲不斷的併購和其它細分市場產品的蠶食，純UEBA廠商愈來愈少。同時，因爲該技術此前一直處於指望的頂點，一些率先採用UEBA技術的超前客戶的失敗案例開始涌現，促令人們對這個技術進行從新定位，固然也有利於UEBA將來更好發展。

另外，有些作得不錯的純UEBA廠商也開始擴展本身的細分市場。最典型的就是向SIEM廠商進發。2017年的SIEM魔力象限就已經出現了兩個UEBA廠商，他們已經開始把本身看成更先進的SIEM廠商了。

在Gartner的2018年應用安全的Hype Cycle中，UEBA已經從去年的指望頂峯基本滑落到失望的谷底了，整體上仍處於青春期的階段。

個人觀點，將來純UEBA廠商將愈來愈少，要麼被併購，要麼轉變到其它更大的細分市場。同時SIEM廠商將會大舉投入UEBA技術，不管是買，仍是OEM，抑或自研。將來，UEBA更可能是一種技術，一種能力，被普遍集成到多種安全產品之中，最關鍵就是UEBA引擎。但只要UEBA廠商還可以開發出具備獨立存在價值的客戶應用場景，就不會消失。至少目前來看，仍是具有獨立存在的價值的。

在國內目前幾乎沒有UEBA的專業廠商，通常見於其它細分市場的產品家族中，譬如SIEM/安管平臺廠商，或者業務安全廠商的產品線中會有這個產品。我比較自豪的是，咱們公司是目前國內少有的幾家具備UEBA產品的新興安管平臺廠商之一。

2.6.3 欺騙

欺騙技術做爲一種新型的威脅檢測技術，能夠做爲SIEM或者其它新型檢測技術（如NTA、UEBA）的有益補充，尤爲是在檢測高級威脅的橫向移動方面。Gartner認爲將來欺騙類產品獨立存在的可能性很小，絕大部分都將被併購或者消亡，成爲大的產品方案中的一環。

針對欺騙技術，Gartner給客戶的建議包括：

1）要求廠商提供豐富的假目標（類型）組合；

2）要求提供基於攻|擊者視角的可視化拓撲；

3）要求提供完整的API能力，便於客戶進行編排和自動化集成。

Gartner近來一直大力推介欺騙技術。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術，並將其列爲新興技術，正在向指望的高峯攀登。整體上，不管是技術的產品化實用程度，仍是客戶的接受程度，都處於早期，Gartner預計還有5到10年才能趨於成熟。

在國內，這塊市場也剛剛萌芽（不算之前的特定客戶市場）。出現了若干個具備（但不是主打）此類產品的新興公司。

2.6.4 MDR服務

MDR在2017年也已經上榜了。MDR做爲一種服務，爲那些想提高自身高級威脅檢測、事件響應和持續監測能力，卻又無力依靠自身的能力和資源去達成的企業提供了一個選擇。

事實上，若是你採購了MDR服務，MDR提供商可能會在你的網絡中部署前面說起的某些新型威脅檢測裝置，固然客戶沒必要具體操心這些設備的使用，交給MDR服務提供商就行了。有關MDR更多介紹能夠參見個人《Gartner2017年十大安全技術解讀》。

根據個人觀察，MDR也是一個機會市場，隨着MSSP愈來愈多的提供MDR服務，純MDR廠商將會逐步消失，或者變成檢測產品廠商提供的一種產品附加服務。Gartner建議客戶儘可能選擇具備MDR服務能力的MSSP。

在2018年的威脅對抗Hype Cycle中首次列入了MDR，並將其列爲新興技術，而且比欺騙技術還要早期。

2.6.5 小結

這裏，我我的小結一下，目前市面上常見的新型威脅檢測技術大致上包括：EDR、NTA、UEBA、TIP、網絡沙箱、欺騙技術等。能夠說這些新型技術各有所長，也各有使用限制。這裏面，威脅情報比對相對最簡單實用，但前提是要有靠譜的情報。沙箱技術相對最爲成熟，但也被攻|擊者研究得相對最透。EDR在整個IT架構的神經末梢端進行檢測，理論效果最好，但受限於部署和維護問題，對宿主的影響性始終揮之不去，甚至還有些智能設備根本沒法部署代理。NTA部署相對簡單，對網絡干擾性小，但對分散性網絡部署成本較高，且難以應對愈來愈多的加密通訊。UEBA確定也是一個好東西，但須要提供較高質量的數據輸入，且機器學習分析的結果確切性不可能100%，也就是存在誤報，多用於Threat Hunting，也就是還要以來分析師的後續分析。欺騙技術理論上很好，並且基本不影響客戶現有的業務，但須要額外的網絡改形成本，並且效果還未被普遍證明。對於客戶而言，不論選擇哪一種新型技術，首先要把基礎的IDP、SIEM布上去，而後再考慮進階的檢測能力。而具體用到哪一種新型檢測技術，則要具體問題具體分析了，切不可盲目跟風。

2.7 雲安全配置管理（CSPM）項目

【項目目標客戶】該項目適用於那些但願對其IaaS和PaaS雲安全配置進行全面、自動化評估，以識別風險的組織。CASB廠商也提供這類能力。

【項目建議】若是客戶僅僅有一個單一的IaaS，那麼先去諮詢你的IaaS提供商；客戶若是已經或者想要部署CASB，也能夠先去問問CASB供應商。

CSPM（Cloud Security Posture Management）是Neil本身新造的一個詞，原來叫雲基礎設施安全配置評估（CISPA），也是他取的名字。更名的緣由在原來僅做「評估」，如今不只要「評估」，還要「修正」，所以改叫「管理」。Posture在這裏我認爲是不該該翻譯爲「態勢」的，其實Neil本意也不是講咱們國人所理解的態勢，而是講配置。

要理解CSPM，首先就要分清楚CSPM和CWPP的關係，Neil本身畫了下圖來闡釋：

如上圖所示，在談及雲工做負載的安全防禦的時候，通常分爲三個部分去考慮，分屬於兩個平面。一個是數據平面，一個是控制平面。在數據平面，主要包括針對雲工做負載自己進行防禦的CWPP，以及雲工做負載之上的CWSS（雲工做負載安全服務）。CWSS是在雲工做負載之上對負載進行安全防禦。在控制平面，則都是在負載之上對負載進行防禦的措施，就包括了CSPM，以及前面的CWSS（此處有重疊）。

CSPM可以對IaaS，以及PaaS，甚至SaaS的控制平面中的基礎設施安全配置進行分析與管理（糾偏）。這些安全配置包括帳號特權、網絡和存儲配置、以及安全配置（如加密設置）。理想狀況下，若是發現配置不合規，CSPM會採起行動進行糾偏（修正）。大致上，咱們能夠將CSPM納入弱點掃描類產品中去，跟漏掃、配置覈查擱到一塊。

對雲的正確配置是很重要的一件事，譬如由於對AWS雲的S3 bucket配置不當，已經發生了屢次重大的信息泄露事件。雲廠商通常也都會提供相似的功能，可是對於跨雲用戶而言，須要有專門的配置管理工具去消除不一樣雲環境中的具體配置差別。

Gartner認爲CASB中應該具有CSPM功能。同時，一些CWPP廠商也開始提供CSPM功能。

在Gartner的2018年雲安全Hype Cycle中，CSPM處於指望的頂峯階段，用戶期待很高，處於青春期。

2.8 自動化安全掃描項目

【項目目標客戶】該項目適用於那些但願把安全控制措施集成到Devops風格的流程中去的組織。從開源軟件的成份分析工具開始，並將測試無縫集成到DevSecOps流程和容器中。

【項目建議】不要輕易讓開發人員切換工具。要求工具提供者提供完備的API以便使用者進行自動化集成。

該技術在2016年就上榜了。不過，每一年的側重點各有不一樣。在2016年側重的是DevSecOps的安全測試和RASP（運行時應用自保護），2017年則側重面向開源軟件（Open Source Software）進行安全掃描和軟件成份分析。2018年則繼續強調針對開源軟件的軟件成份分析。

DevSecOps是Gartner力推的一個概念，有大量的相關分析報告。DevSecOps採用模型、藍圖、模板、工具鏈等等驅動的安全方法來對開發和運維過程進行自保護，譬如開發時應用測試、運行時應用測試、開發時/上線前安全漏洞掃描。它是一種自動化的、透明化的、合規性的、基於策略的對應用底層安全架構的配置。

軟件成份分析(SCA，Software Composition Analysis)專門用於分析開發人員使用的各類源碼、模塊、框架和庫，以識別和清點開源軟件（OSS）的組件及其構成和依賴關係，並識別已知的安全漏洞或者潛在的許可證受權問題，把這些風險排查在應用系統投產以前，也適用於應用系統運行中的診斷分析。若是用戶要保障軟件系統的供應鏈安全，這個SCA頗有做用。

Gartner給出了SCA關鍵評估指標包括：

1）是否具有漏洞和配置掃描功能？

2）可否將開源組件指紋與CVE關聯？

3）可否與SAST/DAST/IAST掃描集成？

Gartner給客戶的建議則包括：

1）不要輕易讓SCA的使用者（通常是開發人員）切換工具；

2）須要提供API以便使用者進行自動化集成；

3）確保可以檢查到開源軟件的許可證問題；

4） SCA的測試過程要無縫集成到DevSecOps流程中；

在Gartner的2018年應用安全的Hype Cycle中，SCA相較於去年更加成熟，但仍處於成熟早期的階段，屬於應用安全測試的範疇，能夠綜合使用靜態測試、動態測試、交互測試等手段。

2.9 CASB項目

【項目目標客戶】該項目適用於那些移動辦公狀況相對較多，採用了多個雲廠商的雲服務的組織。這些組織但願得到一個控制點，以便得到這些雲服務的可見性和集中的策略管控。

【項目建議】以服務發現功能做爲切入點去驗證項目的可行性。建議在2018年和2019年將高價值敏感數據發現與監測做爲關鍵的應用案例。

該技術從2014年就開始上榜了，而且今年的技術內涵基本沒有變化。

CASB做爲一種產品或服務，爲企業承認的雲應用提供通用雲應用使用、數據保護和治理的可見性。CASB的出現緣由，簡單說，就是隨着用戶愈來愈多采用雲服務，並將數據存入（公有）雲中，他們須要一種產品來幫助他們採用一致的策略安全地接入不一樣的雲應用，讓他們清晰地看到雲服務的使用狀況，實現異構雲服務的治理，並對雲中的數據進行有效的保護，而傳統的WAF、SWG和企業防火牆沒法作到這些，所以須要CASB。

CASB至關於一個超級網關，融合了多種類型的安全策略執行點。在這個超級網關上，可以進行認證、單點登陸、受權、憑據映射、設備建模、數據安全（內容檢測、加密、混淆）、日誌管理、告警，甚至惡意代碼檢測和防禦。正如我在《Gartner2017年十大安全技術解讀》中所述，CASB就是一個大雜燴。

CASB一個很重要的設計理念就是充分意識到在雲中（尤指公有云）數據是本身的，可是承載數據的基礎設施不是本身的。Gartner指出CASB重點針對SaaS應用來提高其安全性與合規性，同時也在不斷豐富針對IaaS和PaaS的應用場景。Gartner認爲CASB應提供四個維度的功能：發現、數據保護、威脅檢測、合規性。

Neil Mcdonald將CASB項目進一步分爲了雲應用發現、自適應訪問、敏感數據發現與保護三個子方向，建議根據自身的成熟度選取其中的一個或者幾個優先進行建設。而這三個子方向其實也對應了CASB四大功能中的三個（除了威脅檢測）。

在Gartner的2018年雲安全Hype Cycle中，CASB依然位於失望的低谷，但就快要爬出去了，繼續處於青春期階段。

國內也有很多自稱作CASB的廠商，但跟Gartner所描述的還有差異，也算是中國特點吧，畢竟在國內多雲應用場景還不普及。注意，我認爲雲堡壘機是PAM在雲中的一個應用場景，不能叫作CASB。

2.10 軟件定義邊界項目

【項目目標客戶】該項目瞄準那些僅想將其數字系統和信息開放給指定的外部合做夥伴或者遠程員工的組織。這些組織但願經過限制數字系統和信息的暴露面來減小攻|擊面。

【項目提示】從新評估原有基於V|P|N的訪問機制的風險。建議在2018年選取一個跟合做夥伴交互的數字服務做爲試點，嘗試創建應用案例。

該技術在2017年也上榜了，而且今年的技術內涵基本沒有變化。

SDP將不一樣的網絡相連的個體（軟硬件資源）定義爲一個邏輯集合，造成一個安全計算區域和邊界，這個區域中的資源對外不可見，對該區域中的資源進行訪問必須經過可信代理的嚴格訪問控制，從而實現將這個區域中的資源隔離出來，下降其受攻|擊的暴露面的目標。其實，Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前，SDP技術吸引了不少尋找雲應用場景下的V|P|N替代方案的客戶的目光。根據Gartner的分析，目前SDP還處於大量吸引投資的階段，此類新興公司正在不斷涌現，併購行爲尚不多見。

在Gartner的2018年雲安全Hype Cycle中，SDP已經從2017年的指望頂峯開始向失望的低谷滑落，尚處於青春期階段。