1、概述

2018年6月份，一年一度的Gartner安全與風(fēng)險管理峰會(huì )上，知名分析師Neil Mcdonald發(fā)布了2018年度的十大安全項目（Top 10 Security Projects）。

在之前的幾年里，Gartner一直做的是10大頂級技術(shù)（Top New and Cool Technologies）的發(fā)布，更多關(guān)注是新興的產(chǎn)品化技術(shù)和即將大規模應用的技術(shù)。推出這些頂級技術(shù)的目的也是供客戶(hù)方的信息安全主管們作為當年安全投資建設的推薦參考。

而2018年“十大安全技術(shù)”換成了“十大安全項目”，所為何故？我個(gè)人的理解：今年“十大安全項目”的叫法更加符合客戶(hù)視角，而且更加強調對客戶(hù)而言具有很高優(yōu)先級的技術(shù)。也就是說(shuō)，也許有些項目涉及的技術(shù)不一定是最新最酷的技術(shù)，但對客戶(hù)而言是特別有助于降低安全風(fēng)險的技術(shù)。如此一來(lái)，十大安全項目考察的技術(shù)點(diǎn)就要比十大安全技術(shù)更廣泛，更加客戶(hù)視角。

根據Gartner自己的說(shuō)明，給出了選取十大安全項目的方式。

首先，假定客戶(hù)已經(jīng)具備了相當的安全基礎。如果連這些基礎都沒(méi)有達到，那么也就不要去追求什么十大安全項目，乃至十大安全技術(shù)了。這些基礎包括：

1） 已經(jīng)有了較為先進(jìn)的EPP（端點(diǎn)保護平臺），具備諸如無(wú)文件惡意代碼檢測、內存注入保護和機器學(xué)習的功能；

2） 已經(jīng)做好了基本的Windows賬戶(hù)管理工作；

3） 已經(jīng)有了IAM；

4） 有了常規化的補丁管理；

5） 已經(jīng)有了標準化的服務(wù)器/云工作負載保護平臺代理；

6） 具備較為強健的反垃圾郵件能力；

7） 部署了某種形式的SIEM或者日志管理解決方案，具有基本的檢測/響應能力；

8） 建立了備份/恢復機制；

9） 有基本的安全意識培訓；

10）具備基本的互聯(lián)網(wǎng)出口邊界安全防護能力，包括URL過(guò)濾能力；

沒(méi)錯，對于客戶(hù)而言，上面10個(gè)技術(shù)和能力更為基礎，優(yōu)先級更高，如果上述能力都有欠缺，先別輕易考慮什么十大安全項目！

其次，針對10大項目的選取也比較強調新（客戶(hù)采用率低于50%），同時(shí)又必須是已經(jīng)落地的，而且又不能太過(guò)復雜（是Project級別而非Program級別）【注：要區別portfolio（項目組合）, program（項目集）, project（項目）三種項目間的關(guān)系】。

最后，選取的技術(shù)必須是能夠最大程度上降低客戶(hù)風(fēng)險的，且付出是相對經(jīng)濟的，必須是符合數字時(shí)代發(fā)展潮流的，符合Gartner自己的CARTA（持續自適應風(fēng)險與信任評估）方法論的。

基于上述所有前提假定，Gartner給出了2018年的10大安全項目：

對比一下近些年Gartner的10大安全技術(shù)/項目如下表所示：

Gartner歷年評選的頂級技術(shù)/項目對比分析

通過(guò)分析比較，不難發(fā)現，和2017年度的11大安全技術(shù)（參見(jiàn)我寫(xiě)的《Gartner2017年十大安全技術(shù)解讀》）相比，差別其實(shí)不大，大部分2017年的頂級技術(shù)都保留了，有的更加細化了，同時(shí)增加了幾項算不上先進(jìn)但對客戶(hù)而言更為迫切的幾個(gè)技術(shù)，包括PAM、弱點(diǎn)管理（VM）、反釣魚(yú)。同時(shí)，這些項目也不是對每個(gè)客戶(hù)都具備同等的急迫性，不同客戶(hù)還需要根據自身的情況進(jìn)行取舍，有所關(guān)注。

此外，細心的人可能還會(huì )發(fā)現，居然沒(méi)有現在大熱的數據安全項目？的確，Gartner 10大安全項目中沒(méi)有明確以數據安全為大標題的項目，不過(guò)在多個(gè)項目中都提及了數據安全，譬如在CASB項目中建議優(yōu)先考慮處理數據安全問(wèn)題，PAM也跟數據安全有關(guān)系。另外，我感覺(jué)數據安全是一個(gè)十分龐大的題目，不可能用幾個(gè)Project來(lái)達成，起碼也要是Program級別的。期待以后Neil對數據安全更加重視起來(lái)吧。

特別需要指出的是，雖說(shuō)叫10大安全項目，但是“檢測與響應項目”其實(shí)包括了四個(gè)子項目，分別是EPP+EDR，UEBA、欺騙技術(shù)和MDR（可管理檢測與響應）服務(wù)。因此，如果展開(kāi)來(lái)說(shuō)，其實(shí)不止10個(gè)項目，只是為了“湊個(gè)10”。

接下來(lái)，我們逐一解析一下10大項目，對于2017年就出現過(guò)的，還可以參見(jiàn)我去年寫(xiě)的《Gartner2017年十大安全技術(shù)解讀》，內涵基本沒(méi)有什么變化。

注意，配合10大項目的發(fā)布，Gartner官方發(fā)布了一篇文章（參見(jiàn)https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/），而Gartner中國也發(fā)布了中文譯文——《Gartner遴選出2018十大安全項目》。不過(guò)，最初Gartner官方新聞稿中編輯將EDR縮寫(xiě)的指代英文全稱(chēng)寫(xiě)錯了，導致很多中文譯文也都跟著(zhù)錯了，并且Gartner的中文譯文將MDR這個(gè)縮寫(xiě)也翻譯錯誤了。此外，Gartner中國刊載的中文譯文也有不少其它錯誤，主要是對多個(gè)專(zhuān)業(yè)英文縮寫(xiě)所代表的專(zhuān)業(yè)術(shù)語(yǔ)翻譯錯誤和不準確，一些專(zhuān)業(yè)語(yǔ)句由于缺乏知識背景翻譯錯誤。譬如Deception不應該翻譯為“欺詐”，而應該叫做“欺騙”，因為我們要從正面角度解讀這個(gè)詞。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其專(zhuān)業(yè)的稱(chēng)呼。對此，我當時(shí)就已經(jīng)告知Gartner中國，并提出了9點(diǎn)改進(jìn)建議。后來(lái)，Gartner美國官網(wǎng)的錯誤改正過(guò)來(lái)了，但Gartner中國的那篇中文譯文的文章卻一直保留著(zhù)那些錯誤。因此，在下面的解析內容中我首先都會(huì )將官網(wǎng)上的內容（包括項目目標客戶(hù)和項目提示兩個(gè)部分）重新翻譯一遍，然后再做具體解讀。

2.1 特權賬戶(hù)管理項目

【項目目標客戶(hù)】該項目旨在讓攻|擊者更難訪(fǎng)問(wèn)特權賬戶(hù)，并讓安全團隊監測到異常訪(fǎng)問(wèn)的行為。最低限度，CISO們應該要求對所有管理員實(shí)施強制多因素認證，建議同時(shí)也對承包商等外部第三方的訪(fǎng)問(wèn)實(shí)施強制多因素認證。

【項目建議】先對高價(jià)值、高風(fēng)險的系統實(shí)施PAM，監控對其的訪(fǎng)問(wèn)行為。

PAM工具為組織的關(guān)鍵資產(chǎn)提供安全的特權訪(fǎng)問(wèn)，以符合對特權賬號及其訪(fǎng)問(wèn)的監控管理合規需求。PAM通常具備以下功能：

1） 對特權賬號的訪(fǎng)問(wèn)控制功能，包括共享賬號和應急賬號；

2） 監控、記錄和審計特權訪(fǎng)問(wèn)操作、命令和動(dòng)作；

3） 自動(dòng)地對各種管理類(lèi)、服務(wù)類(lèi)和應用類(lèi)賬戶(hù)的密碼及其它憑據進(jìn)行隨機化、管理和保管；

4） 為特權指令的執行提供一種安全的單點(diǎn)登錄（SSO）機制；

5） 委派、控制和過(guò)濾管理員所能執行的特權操作；

6） 隱藏應用和服務(wù)的賬戶(hù)，讓使用者不用掌握這些賬戶(hù)實(shí)際的密碼；

7） 具備或者能夠集成高可信認證方式，譬如集成MFA。

很顯然，雖然國內談PAM很少，但實(shí)際上早已大量運用，其實(shí)就對應我們國內常說(shuō)的堡壘機。

Gartner將PAM工具分為兩類(lèi)：PASM（特權賬戶(hù)和會(huì )話(huà)管理）和PEDM（權限提升與委派管理）。如下圖所示：

顯然，PASM一般對應那個(gè)堡壘機邏輯網(wǎng)關(guān)，實(shí)現單點(diǎn)登錄，集中的訪(fǎng)問(wèn)授權與控制，設備系統密碼代管、會(huì )話(huà)管理、對操作的審計（錄像）。

PEDM則主要通過(guò)分散的Agent來(lái)實(shí)現訪(fǎng)問(wèn)授權與控制，以及操作過(guò)濾和審計。國內的堡壘機一般都沒(méi)有采用這種技術(shù)模式。

Gartner分析未來(lái)PAM的技術(shù)發(fā)展趨勢包括：

1） 支持特權任務(wù)自動(dòng)化，多個(gè)操作打包自動(dòng)化執行；

2） 將PAM用于DevOps，讓DevOps更安全更便捷；

3） 支持容器；

4） 支持IaaS/PaaS和虛擬化環(huán)境；

5） 以云服務(wù)的形式交付PAM；

6） 特權訪(fǎng)問(wèn)操作分析，就是對堡壘機日志進(jìn)行分析，可以用到UEBA技術(shù)；

7） 與漏洞管理相結合；

8） 系統和特權賬戶(hù)發(fā)現；

9） 特權身份治理與管理。

Gartner列出了評價(jià)PAM的幾個(gè)關(guān)鍵衡量指標：

１）環(huán)境支持的情況，是否支持云環(huán)境？

２）具備PASM和PEDM功能，具有錄像功能；

３）提供完備的API以便進(jìn)行自動(dòng)化集成；

４）具備自然人／非自然人的賬號管理功能。

在Gartner的2018年IAM技術(shù)Hype Cycle中，PAM處于早期主流階段，正在向成熟的平原邁進(jìn)。

國內堡壘機已經(jīng)發(fā)展好多年了，本人早些年也負責過(guò)這塊業(yè)務(wù)。國外PAM也趨于成熟，Gartner估計2016年全球PAM市場(chǎng)達到了9億美元，市場(chǎng)并購也比較頻繁。Gartner對中國的PAM市場(chǎng)了解甚少，沒(méi)有什么研究，這里我也建議國內的堡壘機領(lǐng)導廠(chǎng)商可以主動(dòng)聯(lián)系Gartner，讓他們更多地了解中國的PAM市場(chǎng)。

2.2 符合CARTA方法論的弱點(diǎn)管理項目

【項目目標客戶(hù)】基于CARTA方法論，該項目能夠很好地處理漏洞管理問(wèn)題，并有助于顯著(zhù)降低潛在風(fēng)險。在補丁管理流程中斷，以及IT運維的速度趕不上漏洞增長(cháng)的速度時(shí)，可以考慮該項目。你無(wú)法打上每個(gè)補丁，但你可以通過(guò)風(fēng)險優(yōu)先級管理顯著(zhù)降低風(fēng)險。

【項目建議】要求你的虛擬助手／虛擬機供應商提供該能力（如果客戶(hù)已經(jīng)上云／虛擬化的話(huà)），并考慮使用風(fēng)險緩解措施，譬如上防火墻、IPS、WAF等等。

注意，弱點(diǎn)管理不是弱點(diǎn)評估。弱點(diǎn)評估對應我們熟知的弱點(diǎn)掃描工具，包括系統漏掃、web漏掃、配置核查、代碼掃描等。而弱點(diǎn)管理是在弱點(diǎn)評估工具之上，收集這些工具所產(chǎn)生的各類(lèi)弱點(diǎn)數據，進(jìn)行集中整理分析，并輔以情境數據（譬如資產(chǎn)、威脅、情報等），進(jìn)行風(fēng)險評估，并幫助安全管理人員進(jìn)行弱點(diǎn)全生命周期管理的平臺。記住，弱點(diǎn)管理是平臺，而弱點(diǎn)掃描是工具。

另外，Vulnerability Management我一直稱(chēng)作“弱點(diǎn)管理”，而不是“漏洞管理”，是因為弱點(diǎn)包括漏洞，還包括弱配置！如果你認為Vulnerability應該叫做漏洞，那也沒(méi)關(guān)系，但不要把弱配置落掉。

那么，什么叫做基于CARTA的弱點(diǎn)管理呢？熟悉CARTA就能明白（可以參見(jiàn)我的文章《CARTA：Gartner的持續自適應風(fēng)險與信任評估戰略方法簡(jiǎn)介》），本質(zhì)上CARTA就是以風(fēng)險為核心一套安全方法論。因此，基于CARTA的弱點(diǎn)管理等價(jià)于基于風(fēng)險的弱點(diǎn)管理?；陲L(fēng)險的管理是一個(gè)不斷迭代提升的過(guò)程，包括弱點(diǎn)發(fā)現、弱點(diǎn)優(yōu)先級排序、弱點(diǎn)補償控制三個(gè)階段，如下圖所示：

作為排名第二位的項目，Gartner建議盡快啟動(dòng)，盡早降低組織面臨的風(fēng)險。

Gartner對基于CARTA方法論的VM的衡量指標包括：

１）是否有情境信息，誰(shuí)收到攻|擊？不僅是IP，而是他的情境信息都需要，以便全面評估；

２）能否算出資產(chǎn)的業(yè)務(wù)價(jià)值？

３）能否繪制網(wǎng)絡(luò )拓撲，給出緩解措施？

４）把VA（漏洞評估）和漏洞管理一并考慮，譬如集成VA工具。

目前在國內一般有兩類(lèi)弱點(diǎn)管理產(chǎn)品，一類(lèi)是單一的弱點(diǎn)管理產(chǎn)品，屬于請諒解的弱點(diǎn)管理平臺，更多具有工具的使用特點(diǎn)，管理類(lèi)功能相對較為簡(jiǎn)單。還有一類(lèi)是作為SOC/安管平臺的一個(gè)組成部分，具有較為完備的平臺功能，把漏洞管理的流程和其它SOC運維流程整合到一起。

2.3 積極的反釣魚(yú)項目

【項目目標客戶(hù)】該項目瞄準那些至今依然有員工遭受成功網(wǎng)絡(luò )釣魚(yú)攻|擊的組織。他們需要采用一個(gè)三管齊下的策略，即同時(shí)進(jìn)行技術(shù)控制、終端用戶(hù)控制和流程重構。使用技術(shù)控制措施盡可能多地阻斷釣魚(yú)攻|擊，同時(shí)需要終端使用用戶(hù)積極成為防御體系中的一環(huán)。

【項目建議】不要點(diǎn)名批評那些沒(méi)有做到位的部門(mén)或者個(gè)人，而應該大張旗鼓的宣傳那些做得得當的行為。應該去詢(xún)問(wèn)你的郵件安全供應商能否承擔這個(gè)項目。如果不能，為什么？（注：言下之意，郵件安全供應商應該具有這樣的能力，否則就不合格）

Gartner認為近幾年內，網(wǎng)絡(luò )釣魚(yú)（不論是郵件釣魚(yú)還是網(wǎng)頁(yè)釣魚(yú)）依然會(huì )是APT攻|擊的最經(jīng)典方式，也會(huì )是面向C端用戶(hù)的普遍性攻|擊方法。網(wǎng)絡(luò )釣魚(yú)一種普遍存在的高影響性威脅，他通過(guò)社交工程來(lái)實(shí)現對個(gè)人和企業(yè)資產(chǎn)的非法訪(fǎng)問(wèn)。尤其是郵件釣魚(yú)十分猖獗，并還有不斷上升的勢頭。盡管已經(jīng)涌現了不少應對技術(shù)，但效果仍不顯著(zhù)。從技術(shù)上看，產(chǎn)生釣魚(yú)的因素十分復雜，并且跟企業(yè)和個(gè)人信息泄露密切相關(guān)，很難從單一維度進(jìn)行阻斷。因此，Gartner提出了要進(jìn)行綜合治理的說(shuō)法，需要運用技術(shù)、人和流程相結合的手段。Gartner給出的綜合治理建議如下：

1） 在SEG（安全郵件網(wǎng)關(guān)）上加載高級威脅防御技術(shù)

最典型的就是集成URL過(guò)濾技術(shù)。URL過(guò)濾必須支持點(diǎn)擊時(shí)URL過(guò)濾分析（time-of-click URL filtering）和使用代理的URL過(guò)濾分析，因為很多惡意URL都是在用戶(hù)雙擊后動(dòng)態(tài)產(chǎn)生的，還有的URL外面包了代理。這些都增加了過(guò)濾的難度。

其次是集成網(wǎng)絡(luò )沙箱，這類(lèi)技術(shù)已經(jīng)較為成熟，但用到SEG上，性能是一個(gè)問(wèn)題，并且沙箱逃逸開(kāi)始出現。

更高級的是針對郵件中的附件文件進(jìn)行CDR（content disarm and reconstruction，內容拆解與重建）。這種技術(shù)會(huì )實(shí)時(shí)地把文件分拆為不同的組成部分，然后剝去任何不符合文件原始規范的內容，再重新把文件的不同部分組合起來(lái)，形成一個(gè)“干凈”的版本，繼續將它傳到目的地，而不影響業(yè)務(wù)。這里的CDR最核心的工作就是對文件進(jìn)行清洗，譬如去掉宏、去掉js腳本等等嵌入式代碼。這種技術(shù)性能還不錯，但可能會(huì )清洗掉合法的動(dòng)態(tài)腳本，導致文件不可用。因此Gartner建議一方面快速CDR清洗后發(fā)給用戶(hù)，另一方面繼續跑沙箱，如果沒(méi)問(wèn)題再追發(fā)原始文件給用戶(hù)。

當然，釣魚(yú)手段遠不止于此，譬如無(wú)載荷的釣魚(yú)攻|擊。因此，還有很多細節需要考慮。

2）   不要僅僅依靠密碼來(lái)進(jìn)行認證，要采用更安全的認證機制，尤其針對高價(jià)值的系統和高敏感用戶(hù)。

3） 使用反釣魚(yú)行為管控（APBM）技術(shù)

這類(lèi)技術(shù)聚焦員工的行為管控和矯正，通常作為安全意識教育與培訓的輔助手段。這類(lèi)產(chǎn)品會(huì )發(fā)起模擬的釣魚(yú)攻|擊，然后根據被測員工的行為反饋來(lái)對其進(jìn)行教育和矯正。目前這種技術(shù)主要以服務(wù)的方式交付給客戶(hù)。

4）   強化內部流程管控。如前所述，有些無(wú)載荷釣魚(yú)，包括一些社交工程的魚(yú)叉式精準釣魚(yú)，引誘收件人透露賬號密碼或者敏感信息于無(wú)形。這些都是技術(shù)手段所不能及的，需要對關(guān)鍵流程進(jìn)行重新梳理，加強管控。

Gartner給客戶(hù)的其它建議還包括：

1） 要求郵件安全供應商提供反釣魚(yú)功能；

2） 確保合作伙伴也實(shí)施了反釣魚(yú)防護；

3） 正面管理，而不是相反；

4） 考慮與遠程瀏覽器隔離技術(shù)結合使用（遠程瀏覽器是Gartner 2017年10大安全技術(shù)）。

2.4 服務(wù)器工作負載的應用控制項目

【項目目標客戶(hù)】該項目適合那些希望對服務(wù)器工作負載實(shí)施零信任或默認拒絕策略的組織。該項目使用應用控制機制來(lái)阻斷大部分不在白名單上的惡意代碼。Neil認為這是用中十分強的的安全策略，并被證明能夠有效抵御Spectre和Meldown攻|擊。

【項目建議】把應用控制白名單技術(shù)跟綜合內存保護技術(shù)結合使用。該項目對于物聯(lián)網(wǎng)項目或者是不在被供應商提供保護支持的系統特別有用。

應用控制也稱(chēng)作應用白名單，作為一種成熟的端點(diǎn)保護技術(shù)，不僅可以針對傳統的服務(wù)器工作負載，也可以針對云工作負載，還能針對桌面PC。EPP、CWPP（云工作負載保護平臺）中都有該技術(shù)的存在。當然，由于桌面PC使用模式相對開(kāi)放，而服務(wù)器運行相對封閉，因此該技術(shù)更適合服務(wù)器端點(diǎn)。通過(guò)定義一份應用白名單，指明只有什么可以執行，其余的皆不可執行，能夠阻止大部分惡意軟件的執行。一些OS已經(jīng)內置了此類(lèi)功能。還有一些應用控制技術(shù)能夠進(jìn)一步約束應用在運行過(guò)程中的行為和系統交互，從而實(shí)現更精細化的控制。

Gartner給客戶(hù)還提出了如下建議：

1） 應用控制不是銀彈，系統該打補丁還是要打；

2） 可以取代殺毒軟件（針對服務(wù)器端），或者調低殺毒引擎的工作量。

根據Gartner的2018年威脅對抗Hype Cycle，應用控制處于成熟主流階段。

2.5 微隔離和流可見(jiàn)性項目

【項目目標客戶(hù)】該項目十分適用于那些具有平坦網(wǎng)絡(luò )拓撲結構的組織，不論是本地網(wǎng)絡(luò )還是在IaaS中的網(wǎng)絡(luò )。這些組織希望獲得對于數據中心流量的可見(jiàn)性和控制。該項目旨在阻止針對數據中心攻|擊的橫向移動(dòng)。MacDonald表示，“如果壞人進(jìn)來(lái)了，他們不能暢通無(wú)阻”。

【項目建議】把獲得網(wǎng)絡(luò )可見(jiàn)性作為微隔離項目的切入點(diǎn)，但切忌不要過(guò)度隔離。先針對關(guān)鍵的應用進(jìn)行隔離，同時(shí)要求你的供應商原生支持隔離技術(shù)。

該技術(shù)在2017年也上榜了，并且今年的技術(shù)內涵基本沒(méi)有變化。

廣義上講，微隔離（也有人稱(chēng)做“微分段”）就是一種更細粒度的網(wǎng)絡(luò )隔離技術(shù)，主要面向虛擬化的數據中心，重點(diǎn)用于阻止攻|擊在進(jìn)入企業(yè)數據中心網(wǎng)絡(luò )內部后的橫向平移（或者叫東西向移動(dòng)），是軟件定義安全的一種具體實(shí)踐。微隔離使用策略驅動(dòng)的防火墻技術(shù)（通常是基于軟件的）或者網(wǎng)絡(luò )加密技術(shù)來(lái)隔離數據中心、公共云IaaS、容器、甚至是包含前述環(huán)境的混合場(chǎng)景中的不同工作負載、應用和進(jìn)程。流可見(jiàn)技術(shù)（注意：不是可視化技術(shù)）則與微隔離技術(shù)伴生，因為要實(shí)現東西向網(wǎng)絡(luò )流的隔離和控制，必先實(shí)現流的可見(jiàn)性（Visibility）。流可見(jiàn)性技術(shù)使得安全運維與管理人員可以看到內部網(wǎng)絡(luò )信息流動(dòng)的情況，使得微隔離能夠更好地設置策略并協(xié)助糾偏。

除了數據中心云化給微隔離帶來(lái)的機遇，數據中心負載的動(dòng)態(tài)化、容器化，以及微服務(wù)架構也都越發(fā)成為微隔離的驅動(dòng)因素，因為這些新技術(shù)、新場(chǎng)景都讓傳統的防火墻和攻|擊防御技術(shù)顯得捉襟見(jiàn)肘。而數據中心架構的變革如此之大，也引發(fā)了大型的廠(chǎng)商紛紛進(jìn)入這個(gè)領(lǐng)域，到不見(jiàn)得是為了微隔離本身，更多還是為了自身的整體布局。譬如，云和虛擬化廠(chǎng)商為了自身的整體戰略就（不得不）進(jìn)入這個(gè)領(lǐng)域。我個(gè)人感覺(jué)未來(lái)微隔離的startup廠(chǎng)商更多可能會(huì )被云廠(chǎng)商和大型安全廠(chǎng)商所并購。此外，針對容器的微隔離也值得關(guān)注。

Gartner給出了評估微隔離的幾個(gè)關(guān)鍵衡量指標，包括：

1） 是基于代理的、基于虛擬化設備的還是基于容器的？

2） 如果是基于代理的，對宿主的性能影響性如何？

3） 如果是基于虛擬化設備的，它如何接入網(wǎng)絡(luò )中？

4） 該解決方案支持公共云IaaS嗎？

Gartner還給客戶(hù)提出了如下幾點(diǎn)建議：

1） 欲建微隔離，先從獲得網(wǎng)絡(luò )可見(jiàn)性開(kāi)始，可見(jiàn)才可隔離；

2） 謹防過(guò)度隔離，從關(guān)鍵應用開(kāi)始；

3） 鞭策IaaS、防火墻、交換機廠(chǎng)商原生支持微隔離；

Gartner將微隔離劃分出了4種模式：內生云控制模式、第三方防火墻模式、混合式、疊加式。針對這四種模式的介紹可以參見(jiàn)我寫(xiě)的《Gartner2017年十大安全技術(shù)解讀》。

根據Gartner的2018年云安全Hype Cycle，目前微隔離已經(jīng)“從失望的低谷爬了出來(lái)，正在向成熟的平原爬坡”，但依然處于成熟的早期階段。在國內已經(jīng)有以此技術(shù)為核心的創(chuàng )業(yè)新興廠(chǎng)商。

2.6 檢測和響應項目

Gartner今年將各種檢測和響應技術(shù)打包到一起統稱(chēng)為“檢測和響應項目”。實(shí)際上對應了4樣東西，包括三種技術(shù)和一種服務(wù)。

【項目目標客戶(hù)】該項目適用于那些已經(jīng)認定被攻陷是無(wú)法避免的組織。他們希望尋找某些基于端點(diǎn)、基于網(wǎng)絡(luò )或者基于用戶(hù)的方法去獲得高級威脅檢測、調查和響應的能力。這里有三種方式可供選擇：

EPP+EDR：端點(diǎn)保護平臺+端點(diǎn)檢測與響應

UEBA：用戶(hù)與實(shí)體行為分析

Decption：欺騙

欺騙技術(shù)相對小眾，但是一個(gè)新興的市場(chǎng)。對于那些試圖尋找更深入的方法去加強其威脅偵測機制，從而獲得高保真事件的組織而言，采用欺騙技術(shù)是個(gè)不錯的點(diǎn)子。

【項目建議】給EPP供應商施壓要求其提供EDR功能，給SIEM廠(chǎng)商施壓要求其提供UEBA功能。要求欺騙技術(shù)供應商提供豐富的假目標類(lèi)型組合?？紤]從供應商那里直接采購類(lèi)似MDR（“可管理檢測與響應”，或者“托管檢測與響應”）的服務(wù)。

2.6.1 EPP+EDR

EDR（端點(diǎn)檢測于響應）在2014年就進(jìn)入Gartner的10大技術(shù)之列了。EDR工具通常記錄大量端點(diǎn)級系統的行為與相關(guān)事件，譬如用戶(hù)、文件、進(jìn)程、注冊表、內存和網(wǎng)絡(luò )事件，并將這些信息存儲在終端本地或者集中數據庫中。然后對這些數據進(jìn)行IOC比對，行為分析和機器學(xué)習，用以持續對這些數據進(jìn)行分析，識別信息泄露（包括內部威脅），并快速對攻|擊進(jìn)行響應。

EDR的出現最初是為了彌補傳統終端/端點(diǎn)管理系統（Gartner稱(chēng)為EPP）的不足。而現在，EDR正在與EPP迅速互相融合，尤其是EPP廠(chǎng)商的新版本中紛紛加入了EDR的功能，但Gartner預計未來(lái)短期內EDR和EPP仍將并存。

但正如我在《Gartner2017年十大安全技術(shù)解讀》中所述，EDR的用戶(hù)使用成本還是很高的，EDR的價(jià)值體現多少跟分析師水平高低和經(jīng)驗多少密切相關(guān)。這也是限制EDR市場(chǎng)發(fā)展的一個(gè)重要因素。

另外一方面，隨著(zhù)終端威脅的不斷演化，EPP（端點(diǎn)保護平臺）已經(jīng)不能僅僅聚焦于阻止初始的威脅感染，還需要投入精力放到加固、檢測、響應等等多個(gè)環(huán)節，因此近幾年來(lái)EPP市場(chǎng)發(fā)生了很大的變化，包括出現了EDR這類(lèi)注重檢測和響應的產(chǎn)品。終于，在2018年9月底，Gartner給出了一個(gè)全新升級的EPP定義：

“EPP解決方案部署在端點(diǎn)之上，用于阻止基于文件的惡意代碼攻|擊、檢測惡意行為，并提供調查和修復的能力去處理需要響應的動(dòng)態(tài)安全事件和告警”。

相較于之前的EPP定義，更加強調對惡意代碼和惡意行為的檢測及響應。而這個(gè)定義也進(jìn)一步反映了EPP與EDR市場(chǎng)融合的事實(shí)，基本上新一代的EPP都內置EDR功能了。Gartner建議客戶(hù)在選購EPP的時(shí)候，最好要求他們一并提供EDR功能。因此，我個(gè)人認為，未來(lái)EDR將作為一種技術(shù)消融到其它產(chǎn)品中去，主要是EPP，也可能作為一組功能點(diǎn)存在于其它產(chǎn)品中。獨立EDR存在的可能性會(huì )十分地小。

Gartner在2018年的威脅對抗（Threat-Facing）技術(shù)的Hype Cycle中首次標注了EDR技術(shù)，處于即將滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出現在Hype Cycle中，位于Hype Cycle的“成熟平原”，屬于早期主流產(chǎn)品。Gartner自己也表示，將EPP例如Hype Cycle也是一件不同尋常的事情，因為EPP已經(jīng)存在20年了。但之所以把EPP列進(jìn)來(lái)進(jìn)行分析就是因為前面提到的EPP已經(jīng)被Gartner重新定義了。

在國內，EPP的廠(chǎng)商也已經(jīng)經(jīng)歷了多年的洗禮，格局較為穩定。而EDR產(chǎn)品則多見(jiàn)于一些新興廠(chǎng)商，有的已經(jīng)開(kāi)始攪動(dòng)起看似穩定的EPP市場(chǎng)了。

2.6.2 UEBA

UEBA（用戶(hù)與實(shí)體行為分析）曾經(jīng)在2016年例如10大安全技術(shù)，2017年未能入榜，不過(guò)在2018年以檢測與響應項目中的一個(gè)分支方向的名義重新入榜。

UEBA解決方案通過(guò)對用戶(hù)和實(shí)體（如主機、應用、網(wǎng)絡(luò )流量和數據集）基于歷史軌跡或對照組建立行為輪廓基線(xiàn)來(lái)進(jìn)行分析，并將那些異于標準基線(xiàn)的行為標注為可疑行為，最終通過(guò)各種異常模型的打包分析來(lái)幫助發(fā)現威脅和潛藏的安全事件。

根據Gartner的觀(guān)察，目前UEBA市場(chǎng)已經(jīng)出現了明顯的分化。一方面僅存在少量的純UEBA廠(chǎng)商，另一方面多種傳統細分市場(chǎng)的產(chǎn)品開(kāi)始將UEBA功能融入其中。這其中最典型的就是SIEM廠(chǎng)商，已經(jīng)將UEBA技術(shù)作為了SIEM的核心引擎。Gartner在給客戶(hù)的建議中明確提到“在選購S(chǎng)IEM的時(shí)候，要求廠(chǎng)商提供UEBA功能”。此外，包括EDR/EPP和CASB廠(chǎng)商也都紛紛在其產(chǎn)品中加入了UEBA功能。

由于不斷的并購和其它細分市場(chǎng)產(chǎn)品的蠶食，純UEBA廠(chǎng)商越來(lái)越少。同時(shí)，由于該技術(shù)此前一直處于期望的頂點(diǎn)，一些率先采用UEBA技術(shù)的超前客戶(hù)的失敗案例開(kāi)始涌現，促使人們對這個(gè)技術(shù)進(jìn)行重新定位，當然也有利于UEBA未來(lái)更好發(fā)展。

另外，有些做得不錯的純UEBA廠(chǎng)商也開(kāi)始擴展自己的細分市場(chǎng)。最典型的就是向SIEM廠(chǎng)商進(jìn)發(fā)。2017年的SIEM魔力象限就已經(jīng)出現了兩個(gè)UEBA廠(chǎng)商，他們已經(jīng)開(kāi)始把自己當作更先進(jìn)的SIEM廠(chǎng)商了。

在Gartner的2018年應用安全的Hype Cycle中，UEBA已經(jīng)從去年的期望頂峰基本滑落到失望的谷底了，總體上仍處于青春期的階段。

我的觀(guān)點(diǎn)，未來(lái)純UEBA廠(chǎng)商將越來(lái)越少，要么被并購，要么轉變到其它更大的細分市場(chǎng)。同時(shí)SIEM廠(chǎng)商將會(huì )大舉投入UEBA技術(shù)，不論是買(mǎi)，還是OEM，抑或自研。未來(lái)，UEBA更多是一種技術(shù)，一種能力，被廣泛集成到多種安全產(chǎn)品之中，最關(guān)鍵就是UEBA引擎。但只要UEBA廠(chǎng)商還能夠開(kāi)發(fā)出具有獨立存在價(jià)值的客戶(hù)應用場(chǎng)景，就不會(huì )消失。至少目前來(lái)看，還是具備獨立存在的價(jià)值的。

在國內目前幾乎沒(méi)有UEBA的專(zhuān)業(yè)廠(chǎng)商，一般見(jiàn)于其它細分市場(chǎng)的產(chǎn)品家族中，譬如SIEM/安管平臺廠(chǎng)商，或者業(yè)務(wù)安全廠(chǎng)商的產(chǎn)品線(xiàn)中會(huì )有這個(gè)產(chǎn)品。我比較自豪的是，我們公司是目前國內少有的幾家具有UEBA產(chǎn)品的新興安管平臺廠(chǎng)商之一。

2.6.3 欺騙

該技術(shù)在2016年就上榜了。欺騙技術(shù)(Deception Technology)的本質(zhì)就是有針對性地對攻|擊者進(jìn)行我方網(wǎng)絡(luò )、主機、應用、終端和數據的偽裝，欺騙攻|擊者，尤其是攻|擊者的工具中的各種特征識別環(huán)節，使得那些工具產(chǎn)生誤判或失效，擾亂者的視線(xiàn)，將其引入死胡同，延緩攻|擊者的時(shí)間。譬如可以設置一個(gè)偽目標/誘餌，誘騙攻|擊者對其實(shí)施攻|擊，從而觸發(fā)攻|擊告警。

欺騙技術(shù)作為一種新型的威脅檢測技術(shù)，可以作為SIEM或者其它新型檢測技術(shù)（如NTA、UEBA）的有益補充，尤其是在檢測高級威脅的橫向移動(dòng)方面。Gartner認為未來(lái)欺騙類(lèi)產(chǎn)品獨立存在的可能性很小，絕大部分都將被并購或者消亡，成為大的產(chǎn)品方案中的一環(huán)。

針對欺騙技術(shù)，Gartner給客戶(hù)的建議包括：

1） 要求廠(chǎng)商提供豐富的假目標（類(lèi)型）組合；

2） 要求提供基于攻|擊者視角的可視化拓撲；

3） 要求提供完整的API能力，便于客戶(hù)進(jìn)行編排和自動(dòng)化集成。

Gartner近來(lái)一直大力推介欺騙技術(shù)。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術(shù)，并將其列為新興技術(shù)，正在向期望的高峰攀登?？傮w上，不論是技術(shù)的產(chǎn)品化實(shí)用程度，還是客戶(hù)的接受程度，都處于早期，Gartner預計還有5到10年才能趨于成熟。

在國內，這塊市場(chǎng)也剛剛萌芽（不算以前的特定客戶(hù)市場(chǎng)）。出現了若干個(gè)具有（但不是主打）此類(lèi)產(chǎn)品的新興公司。

2.6.4 MDR服務(wù)

MDR在2017年也已經(jīng)上榜了。MDR作為一種服務(wù)，為那些想提升自身高級威脅檢測、事件響應和持續監測能力，卻又無(wú)力依靠自身的能力和資源去達成的企業(yè)提供了一個(gè)選擇。

事實(shí)上，如果你采購了MDR服務(wù)，MDR提供商可能會(huì )在你的網(wǎng)絡(luò )中部署前面提及的某些新型威脅檢測裝置，當然客戶(hù)不必具體操心這些設備的使用，交給MDR服務(wù)提供商就好了。有關(guān)MDR更多介紹可以參見(jiàn)我的《Gartner2017年十大安全技術(shù)解讀》。

根據我的觀(guān)察，MDR也是一個(gè)機會(huì )市場(chǎng)，隨著(zhù)MSSP越來(lái)越多的提供MDR服務(wù)，純MDR廠(chǎng)商將會(huì )逐步消失，或者變成檢測產(chǎn)品廠(chǎng)商提供的一種產(chǎn)品附加服務(wù)。Gartner建議客戶(hù)盡量選擇具有MDR服務(wù)能力的MSSP。

在2018年的威脅對抗Hype Cycle中首次列入了MDR，并將其列為新興技術(shù)，并且比欺騙技術(shù)還要早期。

2.6.5 小結

這里，我個(gè)人小結一下，目前市面上常見(jiàn)的新型威脅檢測技術(shù)大體上包括：EDR、NTA、UEBA、TIP、網(wǎng)絡(luò )沙箱、欺騙技術(shù)等?？梢哉f(shuō)這些新型技術(shù)各有所長(cháng)，也各有使用限制。這里面，威脅情報比對相對最簡(jiǎn)單實(shí)用，但前提是要有靠譜的情報。沙箱技術(shù)相對最為成熟，但也被攻|擊者研究得相對最透。EDR在整個(gè)IT架構的神經(jīng)末梢端進(jìn)行檢測，理論效果最好，但受限于部署和維護問(wèn)題，對宿主的影響性始終揮之不去，甚至還有些智能設備根本無(wú)法部署代理。NTA部署相對簡(jiǎn)單，對網(wǎng)絡(luò )干擾性小，但對分散性網(wǎng)絡(luò )部署成本較高，且難以應對越來(lái)越多的加密通信。UEBA肯定也是一個(gè)好東西，但需要提供較高質(zhì)量的數據輸入，且機器學(xué)習分析的結果確切性不可能100%，也就是存在誤報，多用于Threat Hunting，也就是還要以來(lái)分析師的后續分析。欺騙技術(shù)理論上很好，而且基本不影響客戶(hù)現有的業(yè)務(wù)，但需要額外的網(wǎng)絡(luò )改造成本，而且效果還未被廣泛證實(shí)。對于客戶(hù)而言，不論選擇哪種新型技術(shù)，首先要把基礎的IDP、SIEM布上去，然后再考慮進(jìn)階的檢測能力。而具體用到哪種新型檢測技術(shù)，則要具體問(wèn)題具體分析了，切不可盲目跟風(fēng)。

2.7 云安全配置管理（CSPM）項目

【項目目標客戶(hù)】該項目適用于那些希望對其IaaS和PaaS云安全配置進(jìn)行全面、自動(dòng)化評估，以識別風(fēng)險的組織。CASB廠(chǎng)商也提供這類(lèi)能力。

【項目建議】如果客戶(hù)僅僅有一個(gè)單一的IaaS，那么先去咨詢(xún)你的IaaS提供商；客戶(hù)如果已經(jīng)或者想要部署CASB，也可以先去問(wèn)問(wèn)CASB供應商。

CSPM（Cloud Security Posture Management）是Neil自己新造的一個(gè)詞，原來(lái)叫云基礎設施安全配置評估（CISPA），也是他取的名字。改名的原因在原來(lái)僅作“評估”，現在不僅要“評估”，還要“修正”，因此改叫“管理”。Posture在這里我認為是不應該翻譯為“態(tài)勢”的，其實(shí)Neil本意也不是講我們國人所理解的態(tài)勢，而是講配置。

要理解CSPM，首先就要分清楚CSPM和CWPP的關(guān)系，Neil自己畫(huà)了下圖來(lái)闡釋?zhuān)?/p>

如上圖所示，在談及云工作負載的安全防護的時(shí)候，一般分為三個(gè)部分去考慮，分屬于兩個(gè)平面。一個(gè)是數據平面，一個(gè)是控制平面。在數據平面，主要包括針對云工作負載本身進(jìn)行防護的CWPP，以及云工作負載之上的CWSS（云工作負載安全服務(wù)）。CWSS是在云工作負載之上對負載進(jìn)行安全防護。在控制平面，則都是在負載之上對負載進(jìn)行防護的措施，就包括了CSPM，以及前面的CWSS（此處有重疊）。

CSPM能夠對IaaS，以及PaaS，甚至SaaS的控制平面中的基礎設施安全配置進(jìn)行分析與管理（糾偏）。這些安全配置包括賬號特權、網(wǎng)絡(luò )和存儲配置、以及安全配置（如加密設置）。理想情況下，如果發(fā)現配置不合規，CSPM會(huì )采取行動(dòng)進(jìn)行糾偏（修正）。大體上，我們可以將CSPM歸入弱點(diǎn)掃描類(lèi)產(chǎn)品中去，跟漏掃、配置核查擱到一塊。

對云的正確配置是很重要的一件事，譬如因為對AWS云的S3 bucket配置不當，已經(jīng)發(fā)生了多次重大的信息泄露事件。云廠(chǎng)商一般也都會(huì )提供類(lèi)似的功能，但是對于跨云用戶(hù)而言，需要有專(zhuān)門(mén)的配置管理工具去消除不同云環(huán)境中的具體配置差異。

Gartner認為CASB中應該具備CSPM功能。同時(shí)，一些CWPP廠(chǎng)商也開(kāi)始提供CSPM功能。

在Gartner的2018年云安全Hype Cycle中，CSPM處于期望的頂峰階段，用戶(hù)期待很高，處于青春期。

2.8 自動(dòng)化安全掃描項目

【項目目標客戶(hù)】該項目適用于那些希望把安全控制措施集成到Devops風(fēng)格的流程中去的組織。從開(kāi)源軟件的成份分析工具開(kāi)始，并將測試無(wú)縫集成到DevSecOps流程和容器中。

【項目建議】不要輕易讓開(kāi)發(fā)人員切換工具。要求工具提供者提供完備的API以便使用者進(jìn)行自動(dòng)化集成。

該技術(shù)在2016年就上榜了。不過(guò)，每年的側重點(diǎn)各有不同。在2016年側重的是DevSecOps的安全測試和RASP（運行時(shí)應用自保護），2017年則側重面向開(kāi)源軟件（Open Source Software）進(jìn)行安全掃描和軟件成份分析。2018年則繼續強調針對開(kāi)源軟件的軟件成份分析。

DevSecOps是Gartner力推的一個(gè)概念，有大量的相關(guān)分析報告。DevSecOps采用模型、藍圖、模板、工具鏈等等驅動(dòng)的安全方法來(lái)對開(kāi)發(fā)和運維過(guò)程進(jìn)行自保護，譬如開(kāi)發(fā)時(shí)應用測試、運行時(shí)應用測試、開(kāi)發(fā)時(shí)/上線(xiàn)前安全漏洞掃描。它是一種自動(dòng)化的、透明化的、合規性的、基于策略的對應用底層安全架構的配置。

軟件成份分析(SCA，Software Composition Analysis)專(zhuān)門(mén)用于分析開(kāi)發(fā)人員使用的各種源碼、模塊、框架和庫，以識別和清點(diǎn)開(kāi)源軟件（OSS）的組件及其構成和依賴(lài)關(guān)系，并識別已知的安全漏洞或者潛在的許可證授權問(wèn)題，把這些風(fēng)險排查在應用系統投產(chǎn)之前，也適用于應用系統運行中的診斷分析。如果用戶(hù)要保障軟件系統的供應鏈安全，這個(gè)SCA很有作用。

Gartner給出了SCA關(guān)鍵評估指標包括：

1） 是否具備漏洞和配置掃描功能？

2） 能否將開(kāi)源組件指紋與CVE關(guān)聯(lián)？

3） 能否與SAST/DAST/IAST掃描集成？

Gartner給客戶(hù)的建議則包括：

1） 不要輕易讓SCA的使用者（一般是開(kāi)發(fā)人員）切換工具；

2） 需要提供API以便使用者進(jìn)行自動(dòng)化集成；

3） 確保能夠檢查到開(kāi)源軟件的許可證問(wèn)題；

4） SCA的測試過(guò)程要無(wú)縫集成到DevSecOps流程中；

在Gartner的2018年應用安全的Hype Cycle中，SCA相較于去年更加成熟，但仍處于成熟早期的階段，屬于應用安全測試的范疇，可以綜合使用靜態(tài)測試、動(dòng)態(tài)測試、交互測試等手段。

2.9 CASB項目

【項目目標客戶(hù)】該項目適用于那些移動(dòng)辦公情況相對較多，采用了多個(gè)云廠(chǎng)商的云服務(wù)的組織。這些組織希望獲得一個(gè)控制點(diǎn)，以便獲得這些云服務(wù)的可見(jiàn)性和集中的策略管控。

【項目建議】以服務(wù)發(fā)現功能作為切入點(diǎn)去驗證項目的可行性。建議在2018年和2019年將高價(jià)值敏感數據發(fā)現與監測作為關(guān)鍵的應用案例。

該技術(shù)從2014年就開(kāi)始上榜了，并且今年的技術(shù)內涵基本沒(méi)有變化。

CASB作為一種產(chǎn)品或服務(wù)，為企業(yè)認可的云應用提供通用云應用使用、數據保護和治理的可見(jiàn)性。CASB的出現原因，簡(jiǎn)單說(shuō)，就是隨著(zhù)用戶(hù)越來(lái)越多采用云服務(wù)，并將數據存入（公有）云中，他們需要一種產(chǎn)品來(lái)幫助他們采用一致的策略安全地接入不同的云應用，讓他們清晰地看到云服務(wù)的使用情況，實(shí)現異構云服務(wù)的治理，并對云中的數據進(jìn)行有效的保護，而傳統的WAF、SWG和企業(yè)防火墻無(wú)法做到這些，因此需要CASB。

CASB相當于一個(gè)超級網(wǎng)關(guān)，融合了多種類(lèi)型的安全策略執行點(diǎn)。在這個(gè)超級網(wǎng)關(guān)上，能夠進(jìn)行認證、單點(diǎn)登錄、授權、憑據映射、設備建模、數據安全（內容檢測、加密、混淆）、日志管理、告警，甚至惡意代碼檢測和防護。正如我在《Gartner2017年十大安全技術(shù)解讀》中所述，CASB就是一個(gè)大雜燴。

CASB一個(gè)很重要的設計理念就是充分意識到在云中（尤指公有云）數據是自己的，但是承載數據的基礎設施不是自己的。Gartner指出CASB重點(diǎn)針對SaaS應用來(lái)提升其安全性與合規性，同時(shí)也在不斷豐富針對IaaS和PaaS的應用場(chǎng)景。Gartner認為CASB應提供四個(gè)維度的功能：發(fā)現、數據保護、威脅檢測、合規性。

Neil Mcdonald將CASB項目進(jìn)一步分為了云應用發(fā)現、自適應訪(fǎng)問(wèn)、敏感數據發(fā)現與保護三個(gè)子方向，建議根據自身的成熟度選取其中的一個(gè)或者幾個(gè)優(yōu)先進(jìn)行建設。而這三個(gè)子方向其實(shí)也對應了CASB四大功能中的三個(gè)（除了威脅檢測）。

在Gartner的2018年云安全Hype Cycle中，CASB依然位于失望的低谷，但就快要爬出去了，繼續處于青春期階段。

國內也有不少自稱(chēng)做CASB的廠(chǎng)商，但跟Gartner所描述的還有差別，也算是中國特色吧，畢竟在國內多云應用場(chǎng)景還不普及。注意，我認為云堡壘機是PAM在云中的一個(gè)應用場(chǎng)景，不能叫做CASB。

2.10 軟件定義邊界項目

【項目目標客戶(hù)】該項目瞄準那些僅想將其數字系統和信息開(kāi)放給指定的外部合作伙伴或者遠程員工的組織。這些組織希望通過(guò)限制數字系統和信息的暴露面來(lái)減少攻|擊面。

【項目提示】重新評估原有基于V|P|N的訪(fǎng)問(wèn)機制的風(fēng)險。建議在2018年選取一個(gè)跟合作伙伴交互的數字服務(wù)作為試點(diǎn)，嘗試建立應用案例。

該技術(shù)在2017年也上榜了，并且今年的技術(shù)內涵基本沒(méi)有變化。

SDP將不同的網(wǎng)絡(luò )相連的個(gè)體（軟硬件資源）定義為一個(gè)邏輯集合，形成一個(gè)安全計算區域和邊界，這個(gè)區域中的資源對外不可見(jiàn)，對該區域中的資源進(jìn)行訪(fǎng)問(wèn)必須通過(guò)可信代理的嚴格訪(fǎng)問(wèn)控制，從而實(shí)現將這個(gè)區域中的資源隔離出來(lái)，降低其受攻|擊的暴露面的目標。其實(shí)，Google的BeyondCorp零信任理念也跟SDP或者軟件定義安全同源。目前，SDP技術(shù)吸引了很多尋找云應用場(chǎng)景下的V|P|N替代方案的客戶(hù)的目光。根據Gartner的分析，目前SDP還處于大量吸引投資的階段，此類(lèi)新興公司正在不斷涌現，并購行為尚很少見(jiàn)。

在Gartner的2018年云安全Hype Cycle中，SDP已經(jīng)從2017年的期望頂峰開(kāi)始向失望的低谷滑落，尚處于青春期階段。

除了上述10大安全項目，Gartner還列舉了一些正在興起的其他新技術(shù)：

• Remote browser isolation

• Container security

• Breach and attack simulation

• Controls gap risk analytics

• Digital supply chain risk assessment services

• Encryption by default, encryption everywhere

• Anti-fraud/bot protection platforms (UI protection)

• ERP-specific security/business-critical application security

• Data flow discovery, monitoring and analytics

• Bug bounty programs, crowdsourced and pen testing aaS

• Cloud firewalls and UTMs for branch office and SOHO

• EPP + EDR merger = Advanced endpoint protection

• IoT/OT discovery, visibility, monitoring and deception

• SecOps chat

其中，排在前兩位的遠程瀏覽器隔離、容器安全都是2017年的11大技術(shù)之列，而排第三的BAS也是這兩年Gartner推崇的新興技術(shù)，而B(niǎo)AS和從排5開(kāi)始的所有技術(shù)也都是原封不動(dòng)地從2017年的待選新技術(shù)中復制過(guò)來(lái)的。

有一點(diǎn)可以提示一下，上述技術(shù)都已經(jīng)有產(chǎn)品和方案落地，而非研究性課題。

Gartner認為，通過(guò)實(shí)施以下五個(gè)項目，組織受攻|擊造成的財務(wù)損失到2020年將比2017年降低80%。這五個(gè)項目是：

• 基于風(fēng)險優(yōu)先級（CARTA）的漏洞管理；

• 特權賬戶(hù)管理；

• 積極反釣魚(yú)項目集（program）；

• 服務(wù)器負載的應用控制；

• 開(kāi)發(fā)過(guò)程的自動(dòng)化測試

Neil在峰會(huì )上十大安全項目講解的最后給出了一些總體建議：

• 如果你在2018年智能做一件事情，那么就做基于CARTA的漏洞管理項目；

• 在選擇2018年項目的時(shí)候不要僅僅關(guān)注降低風(fēng)險；

• 找到信息安全能夠促進(jìn)數字業(yè)務(wù)增長(cháng)的機會(huì )點(diǎn)，只要風(fēng)險可以接受（也就是說(shuō)，不要只看到降風(fēng)險，還要看到促增長(cháng)，看到業(yè)務(wù)安全）。先從自動(dòng)化安全掃描支撐快速開(kāi)發(fā)做起；

• 如果你使用了IaaS，立即進(jìn)行云安全配置評估和管理；

• 如果你使用了SaaS，立即開(kāi)始了解你的服務(wù)使用情況，并啟動(dòng)敏感數據發(fā)現項目；

• 在服務(wù)器、網(wǎng)絡(luò )和應用上實(shí)施默認拒絕的應用控制策略。

1. https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/

2. 《Gartner2017年十大安全技術(shù)解讀》

   http://blog.51cto.com/yepeng/2082979；

3. Market Guide for Privileged Access Management, Gartner;

4. Market Guide for Vulnerability Assessment, Gartner;

5. Fighting Phishing: Optimize Your Defense, Gartner;

6. Hype Cycle for Cloud Security, 2018, Gartner;

7. Hype Cycle for Application Security, 2018, Gartner;

8. Hype Cycle for Threat-Facing Technologies, 2018, Gartner;

9. Redefining Endpoint Protection for 2017 and 2018, Gartner;

10. Market Guide for Cloud Workload Protection Platforms, 2018, Gartner.

來(lái)源：數說(shuō)安全