2018年10大安全項目詳解

2018年6月份，一年一度的Gartner安全與風險管理峯會上，知名分析師Neil Mcdonald發佈了2018年度的十大安全項目(Top 10 Security Projects)。

2018年6月份，一年一度的Gartner安全與風險管理峯會上，知名分析師Neil Mcdonald發佈了2018年度的十大安全項目(Top 10 Security Projects)。

在以前的幾年裏，Gartner一直作的是10大頂級技術(Top New and Cool Technologies)的發佈，更多關注是新興的產品化技術和即將大規模應用的技術。推出這些頂級技術的目的也是供客戶方的信息安全主管們做爲當年安全投資建設的推薦參考。

1、概述

2018年「十大安全技術」換成了「十大安全項目」，所爲什麼故?我我的的理解：今年「十大安全項目」的叫法更加符合客戶視角，並且更增強調對客戶而言具備很高優先級的技術。也就是說，也許有些項目涉及的技術不必定是最新最酷的技術，但對客戶而言是特別有助於下降安全風險的技術。如此一來，十大安全項目考察的技術點就要比十大安全技術更普遍，更加客戶視角。

根據Gartner本身的說明，給出了選取十大安全項目的方式。

首先，假定客戶已經具有了至關的安全基礎。若是連這些基礎都沒有達到，那麼也就不要去追求什麼十大安全項目，乃至十大安全技術了。這些基礎包括：

已經有了較爲先進的EPP(端點保護平臺)，具有諸如無文件惡意代碼檢測、內存注入保護和機器學習的功能;
已經作好了基本的Windows帳戶管理工做;
已經有了IAM;
有了常規化的補丁管理;
已經有了標準化的服務器/雲工做負載保護平臺代理;
具有較爲強健的反垃圾郵件能力;
部署了某種形式的SIEM或者日誌管理解決方案，具備基本的檢測/響應能力;
創建了備份/恢復機制;
有基本的安全意識培訓;
具有基本的互聯網出口邊界安全防禦能力，包括URL過濾能力;
沒錯，對於客戶而言，上面10個技術和能力更爲基礎，優先級更高，若是上述能力都有欠缺，先別輕易考慮什麼十大安全項目!

其次，針對10大項目的選取也比較強調新(客戶採用率低於50%)，同時又必須是已經落地的，並且又不能太過複雜(是Project級別而非Program級別)【注：要區別portfolio(項目組合), program(項目集), project(項目)三種項目間的關係】。

最後，選取的技術必須是可以最大程度上下降客戶風險的，且付出是相對經濟的，必須是符合數字時代發展潮流的，符合Gartner本身的CARTA(持續自適應風險與信任評估)方法論的。

基於上述全部前提假定，Gartner給出了2018年的10大安全項目：

Privileged Account Management Project：特權帳戶管理項目
CARTA-Inspired Vulnerability Management Project：符合CARTA方法論的弱點管理項目
Active Anti-Phishing Project：積極的反釣魚項目
Application Control on Server Workloads Project：服務器工做負載的應用控制項目
Microsegmentation and Flow Visibility Project：微隔離和流可見性項目
Detection and Response Project：檢測和響應項目，包括EPP+EDR、UEBA、欺騙三種技術方向和MDR服務
Cloud Security Posture Management (CSPM) Project：雲安全配置管理項目
Automated Security Scanning Project：自動化安全掃描項目，尤爲是開源軟件成份分析
CASB Project：CASB項目，包括雲應用發現、自適應訪問、敏感數據發現與保護三個子方向
Software-Defined Perimeter Project：軟件定義邊界項目
對比一下近些年Gartner的10大安全技術/項目以下表所示：

Gartner歷年評選的頂級技術/項目對比分析

Gartner歷年評選的頂級技術/項目對比分析

Gartner歷年評選的頂級技術/項目對比分析

經過分析比較，不難發現，和2017年度的11大安全技術(參見我寫的《Gartner2017年十大安全技術解讀》)相比，差異其實不大，大部分2017年的頂級技術都保留了，有的更加細化了，同時增長了幾項算不上先進但對客戶而言更爲迫切的幾個技術，包括PAM、弱點管理(VM)、反釣魚。同時，這些項目也不是對每一個客戶都具有同等的急迫性，不一樣客戶還須要根據自身的狀況進行取捨，有所關注。

此外，細心的人可能還會發現，竟然沒有如今大熱的數據安全項目?的確，Gartner 10大安全項目中沒有明確以數據安全爲大標題的項目，不過在多個項目中都說起了數據安全，譬如在CASB項目中建議優先考慮處理數據安全問題，PAM也跟數據安全有關係。另外，我感受數據安全是一個十分龐大的題目，不可能用幾個Project來達成，起碼也要是Program級別的。期待之後Neil對數據安全更加劇視起來吧。

特別須要指出的是，雖然說叫10大安全項目，可是「檢測與響應項目」其實包括了四個子項目，分別是EPP+EDR，UEBA、欺騙技術和MDR(可管理檢測與響應)服務。所以，若是展開來講，其實不止10個項目，只是爲了「湊個10」。

2、十大安全項目解析

接下來，咱們逐一解析一下10大項目，對於2017年就出現過的，還能夠參見我去年寫的《Gartner2017年十大安全技術解讀》，內涵基本沒有什麼變化。

注意，配合10大項目的發佈，Gartner官方發佈了一篇文章(參見https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/)，而Gartner中國也發佈了中文譯文——《Gartner遴選出2018十大安全項目》。不過，最初Gartner官方新聞稿中編輯將EDR縮寫的指代英文全稱寫錯了，致使不少中文譯文也都跟着錯了，而且Gartner的中文譯文將MDR這個縮寫也翻譯錯誤了。此外，Gartner中國刊載的中文譯文也有很多其它錯誤，主要是對多個專業英文縮寫所表明的專業術語翻譯錯誤和不許確，一些專業語句因爲缺少知識背景翻譯錯誤。譬如Deception不該該翻譯爲「欺詐」，而應該叫作「欺騙」，由於咱們要從正面角度解讀這個詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專業的稱呼。對此，我當時就已經告知Gartner中國，並提出了9點改進建議。後來，Gartner美國官網的錯誤改正過來了，但Gartner中國的那篇卻一直保留着那些錯誤。所以，在下面的解析內容中我首先都會將官網上的內容(包括項目目標客戶和項目提示兩個部分)從新翻譯一遍，而後再作具體解讀。

1. 特權帳戶管理項目

【項目目標客戶】該項目旨在讓攻擊者更難訪問特權帳戶，並讓安全團隊監測到異常訪問的行爲。最低限度，CISO們應該要求對全部管理員實施強制多因素認證，建議同時也對承包商等外部第三方的訪問實施強制多因素認證。

【項目建議】先對高價值、高風險的系統實施PAM，監控對其的訪問行爲。

PAM工具爲組織的關鍵資產提供安全的特權訪問，以符合對特權帳號及其訪問的監控管理合規需求。PAM一般具有如下功能：

對特權帳號的訪問控制功能，包括共享帳號和應急帳號;
監控、記錄和審計特權訪問操做、命令和動做;
自動地對各類管理類、服務類和應用類帳戶的密碼及其它憑據進行隨機化、管理和保管;
爲特權指令的執行提供一種安全的單點登陸(SSO)機制;
委派、控制和過濾管理員所能執行的特權操做;
隱藏應用和服務的帳戶，讓使用者不用掌握這些帳戶實際的密碼;
具有或者可以集成高可信認證方式，譬如集成MFA。
很顯然，雖然國內談PAM不多，但實際上早已大量運用，其實就對應咱們國內常說的堡壘機。

Gartner將PAM工具分爲兩類：PASM(特權帳戶和會話管理)和PEDM(權限提高與委派管理)。以下圖所示：

Gartner將PAM工具分爲兩類

顯然，PASM通常對應那個堡壘機邏輯網關，實現單點登陸，集中的訪問受權與控制，設備系統密碼代管、會話管理、對操做的審計(錄像)。

PEDM則主要經過分散的Agent來實現訪問受權與控制，以及操做過濾和審計。國內的堡壘機通常都沒有采用這種技術模式。

Gartner分析將來PAM的技術發展趨勢包括：

支持特權任務自動化，多個操做打包自動化執行;
將PAM用於DevOps，讓DevOps更安全更便捷;
支持容器;
支持IaaS/PaaS和虛擬化環境;
以雲服務的形式交付PAM;
特權訪問操做分析，就是對堡壘機日誌進行分析，能夠用到UEBA技術;
與漏洞管理相結合;
系統和特權帳戶發現;
特權身份治理與管理。
Gartner列出了評價PAM的幾個關鍵衡量指標：

環境支持的狀況，是否支持雲環境?
具有PASM和PEDM功能，具備錄像功能;
提供完備的API以便進行自動化集成;
具有天然人/非天然人的帳號管理功能。
在Gartner的2018年IAM技術Hype Cycle中，PAM處於早期主流階段，正在向成熟的平原邁進。

國內堡壘機已經發展好多年了，本人早些年也負責過這塊業務。國外PAM也趨於成熟，Gartner估計2016年全球PAM市場達到了9億美圓，市場併購也比較頻繁。Gartner對中國的PAM市場瞭解甚少，沒有什麼研究，這裏我也建議國內的堡壘機領導廠商能夠主動聯繫Gartner，讓他們更多地瞭解中國的PAM市場。

2. 符合CARTA方法論的弱點管理項目

【項目目標客戶】基於CARTA方法論，該項目可以很好地處理漏洞管理問題，並有助於顯著下降潛在風險。在補丁管理流程中斷，以及IT運維的速度趕不上漏洞增加的速度時，能夠考慮該項目。你沒法打上每一個補丁，但你能夠經過風險優先級管理顯著下降風險。

【項目建議】要求你的虛擬助手/虛擬機供應商提供該能力(若是客戶已經上雲/虛擬化的話)，並考慮使用風險緩解措施，譬如上防火牆、IPS、WAF等等。

注意，弱點管理不是弱點評估。弱點評估對應咱們熟知的弱點掃描工具，包括系統漏掃、web漏掃、配置覈查、代碼掃描等。而弱點管理是在弱點評估工具之上，收集這些工具所產生的各種弱點數據，進行集中整理分析，並輔以情境數據(譬如資產、威脅、情報等)，進行風險評估，並幫助安全管理人員進行弱點全生命週期管理的平臺。記住，弱點管理是平臺，而弱點掃描是工具。

另外，Vulnerability Management我一直稱做「弱點管理」，而不是「漏洞管理」，是由於弱點包括漏洞，還包括弱配置!若是你認爲Vulnerability應該叫作漏洞，那也不要緊，但不要把弱配置落掉。