2017年(nián)11大(dà)信息安全技術(shù)(解讀(dú)版)

 

Gartner選擇年(nián)度技術(shù)的标準是：

 

1)不能僅僅是個趨勢(譬如(rú)大(dà)數據、IoT);

2)必須是真實存在的安全技術(shù)門(mén)類，并且有實實在在的廠(chǎng)商提供這類技術(shù)和産品;

3)不能僅僅處于研究狀态，但(dàn)也不能已經成爲主流技術(shù);

4)符合Gartner對于客戶需求和技術(shù)發展趨勢的判斷。

按照(zhào)這個标準，基本上技術(shù)都(dōu)會位于Gartner Hype Cycle的曲線頂峰部分(fēn)或者是低谷的部分(fēn)。

 

 

通過這個圖也能體(tǐ)會到如(rú)何使用Gartner的Hype Cycle

 

這11大(dà)技術(shù)分(fēn)别是：

1) Cloud WorkloadProtection Platforms雲工(gōng)作(zuò)負載保護平台CWPP

2) Remote Browser遠(yuǎn)程浏覽器

3) Deception欺騙技術(shù)

4) Endpoint Detection andResponse 終端檢測與相(xiàng)應EDR

5) Network Traffic Analysis網絡流量分(fēn)析NTA

6) Managed Detection andResponse可(kě)管理(lǐ)檢測與響應MDR

7) Microsegmentation微隔離(lí)

8) Software-DefinedPerimeters軟件(jiàn)定義邊界SDP

9) Cloud Access SecurityBrokers雲訪問(wèn)安全代理(lǐ)CASB

10) OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的運營支撐系統(OSS)安全掃描與軟件(jiàn)成分(fēn)分(fēn)析

11) Container Security容器安全

國(guó)内對于2017年(nián)的這11大(dà)技術(shù)也有很多翻譯的文章(zhāng)，譬如(rú)FreeBuf，但(dàn)我認爲這些譯文多少都(dōu)有不确切之處，譯文原文可(kě)參見(jiàn)Gartner新聞。

 

Neil将這11項技術(shù)分(fēn)爲了三類：

 

1) 面向威脅的技術(shù)：這類技術(shù)都(dōu)在Gartner的自(zì)适應安全架構的範疇之内，包括CWPP、遠(yuǎn)程浏覽器、欺騙技術(shù)、EDR、NTA、MDR、微隔離(lí);

2) 訪問(wèn)與使能技術(shù)：包括SDP、CASB;

3) 安全開發：包括OSS安全掃描與軟件(jiàn)成分(fēn)分(fēn)析、容器安全。

 

從(cóng)另外一個角度看(kàn)，這11項技術(shù)有5個都(dōu)直接跟雲安全挂鈎(CWPP、微隔離(lí)、SDP、CASB、容器安全)，也應證了雲技術(shù)的快(kuài)速普及。

 

針對上述11大(dà)技術(shù)，其中遠(yuǎn)程浏覽器、欺騙技術(shù)、EDR、微隔離(lí)、CASB共5個技術(shù)也出現在了2016年(nián)度的10大(dà)信息安全技術(shù)列表之中。

 

剩下6個技術(shù)，簡要分(fēn)析如(rú)下：

 

1.CWPP雲工(gōng)作(zuò)負載保護平台

 

現在數據中心的工(gōng)作(zuò)負載都(dōu)支持運行在包括物理(lǐ)機(jī)、虛拟機(jī)、容器、私有雲的環境下，甚至往往出現部分(fēn)工(gōng)作(zuò)負載運行在一個或者多個公有雲IaaS提供商那裡(lǐ)的情況。混合CWPP爲信息安全的管理(lǐ)者提供了一種集成的方式，讓他(tā)們能夠通過一個單一的管理(lǐ)控制台和統一的安全策略機(jī)制去(qù)保護那些工(gōng)作(zuò)負載，而不論這些工(gōng)作(zuò)負載運行在何處。

 

事(shì)實上，CWPP這個概念就(jiù)是Neil本人(rén)發明的。他(tā)在2016年(nián)3月份發表了一份題爲《CWPP市場指南(nán)》的分(fēn)析報告，并第一次對CWPP進行了正式定義：CWPP市場是一個以工(gōng)作(zuò)負載爲中心的安全防護解決方案，它是一種典型的基于代理(lǐ)(Agent)的技術(shù)方案。這類解決方案滿足了當前橫跨物理(lǐ)和虛拟環境、私有雲和多種公有雲環境的混合式數據中心架構條件(jiàn)下服務器工(gōng)作(zuò)負載防護的獨特需求。還(hái)有的甚至也同時支持基于容器的應用架構。

 

Neil将CWPP解決方案的能力進行了層次劃分(fēn)，并歸爲基礎支撐、核心能力、擴展能力三大(dà)類。下圖是Neil發布的2017年(nián)版《CWPP市場指南(nán)》中描繪的能力層次圖，由上至下，重要性逐漸遞增：

 

 

那份報告對這個圖中的每一層都(dōu)進行詳細闡述。明眼人(rén)一看(kàn)，就(jiù)會覺得(de)其實這個CWPP的核心就(jiù)是一個主機(jī)IPS/IDS，隻不過放(fàng)到的雲環境中。當然，除了HIPS/HIDS功能外，還(hái)擴展了一些其他(tā)功能。

 

其實，CWPP這個提法在Gartner内部也是存在分(fēn)歧的，我跟Gartner的分(fēn)析師(shī)就(jiù)此進行過討(tǎo)論。也因此，Gartner将CWPP市場映射爲CWPP解決方案，而非單一的CWPP産品，因爲CWPP的每個能力層都(dōu)涉及不同的技術(shù)，整個CWPP涉及的技術(shù)面更是十分(fēn)廣泛。此外，每個CWPP提供商的産品功能都(dōu)不盡相(xiàng)同，甚至存在較大(dà)差異。而用戶要對其雲工(gōng)作(zuò)負載(雲主機(jī))進行防護的話(huà)，恐怕也不能選擇某個單一的CWPP産品，而需要統籌考慮，進行多種技術(shù)的集成。當然，不排除随着Gartner力推CWPP概念，将來(lái)會出現更加完整的CWPP産品，即所謂的“Single pane of glass to hybrid cloud workload protection”。在2017年(nián)的雲安全HypeCycle中，CWPP位于低谷位置，Gartner認爲CWPP處于青春期，距離(lí)成熟市場還(hái)有2到5年(nián)的時間。

 

目前，國(guó)内已經有廠(chǎng)商進入CWPP市場。希望随着我們對CWPP認識的清晰，不要以後國(guó)内出現一窩蜂地将傳統技術(shù)簡單包裝而成的CWPP廠(chǎng)商，就(jiù)如(rú)EDR那樣。

 

2.NTA網絡流量分(fēn)析

 

作(zuò)爲威脅檢測的高級技術(shù)之一，NTA是在2014年(nián)就(jiù)跟EDR一同提出來(lái)的。而NTA的前身(shēn)則是NBA(Network Behavior Analysis)，一項早在2005年(nián)就(jiù)被Gartner提出來(lái)的技術(shù)。我對NBA/NTA的研究也有十年(nián)了，也做出過NBA/NTA類的産品。根據Gartner的定義，NTA融合了傳統的基于規則的檢測技術(shù)，以及機(jī)器學習和其他(tā)高級分(fēn)析技術(shù)，用以檢測企業網絡中的可(kě)疑行爲，尤其是失陷後的痕迹。NTA通過DFI和DPI技術(shù)來(lái)分(fēn)析網絡流量，通常部署在關鍵的網絡區域對東西向和南(nán)北向的流量進行分(fēn)析，而不會試圖對全網進行監測。

 

在NTA入選11大(dà)技術(shù)的解說(shuō)詞中，Gartner說(shuō)到：NTA解決方案通過監測網絡的流量、連接和對象來(lái)識别惡意的行爲迹象。對于那些試圖通過基于網絡的方式去(qù)識别繞過邊界安全的高級攻擊的企業而言，可(kě)以考慮将NTA作(zuò)爲一種備選方案。

 

3.MDR威脅檢測與響應服務

 

MDR是一類服務，并且通常不在傳統的MSS/SaaS提供商的服務目錄中。作(zuò)爲一種新型的服務項目，MDR爲那些想提升自(zì)身(shēn)威脅檢測、事(shì)件(jiàn)響應和持續監測能力，卻又無力依靠自(zì)身(shēn)的能力和資源去(qù)達成的企業提供了一個不錯的選擇。MDR對于SMB市場尤其具有吸引力，因爲打中了他(tā)們的“興奮點”。

 

MDR服務是Gartner在2016年(nián)正式提出來(lái)的，定位于對高級攻擊的檢測與響應服務。與傳統MSSP主要幫客戶監測内部網絡與互聯網内外間流量不同，MDR還(hái)試圖幫助客戶監測内部網絡中的流量，尤其是識别高級攻擊的橫向移動環節的蛛絲馬迹，以求更好地發現針對客戶内部網絡的高級攻擊。二要做到這點，就(jiù)需要在客戶網絡中部署多種高級攻擊檢測技術(shù)(設備)，還(hái)要輔以安全分(fēn)析。對于MDR服務而言，這些額外部署在客戶側的設備是屬于服務提供商的，而非客戶的。這些設備(硬件(jiàn)或者軟件(jiàn))既可(kě)能是基于網絡的，也可(kě)能是基于主機(jī)的，也可(kě)能兼有之。在安全分(fēn)析的過程中，會用到威脅情報，也可(kě)能用到專業的安全分(fēn)析師(shī)。在檢測出攻擊，進行響應的時候，MDR服務強調迅速、直接、輕量化(簡潔)、高效，而不會過多顧及安全管理(lǐ)與事(shì)件(jiàn)處置的流程，很多時候通過提供商部署在客戶側的設備就(jiù)響應處置掉了。顯然，這種服務與傳統的MSS相(xiàng)比，對客戶而言更具影(yǐng)響性，但(dàn)也更加高效，也是高級威脅對客戶造成的風(fēng)險越來(lái)越大(dà)的必然反應。

 

Gartner預計(jì)到2020年(nián)将有15%的組織使用MDR類的服務，而現在僅不到1%。同時，到2020年(nián)80%的MSSP都(dōu)會提供MDR類的安全服務，稱之爲“AdvancedMSS”。在未來(lái)兩年(nián)，MSS尚不會完全覆蓋MDR服務。

 

4.SDP軟件(jiàn)定義邊界

 

SDP将不同的網絡相(xiàng)連的個體(tǐ)(軟硬件(jiàn)資源)定義爲一個邏輯集合，形成一個安全計(jì)算區域和邊界，這個區域中的資源對外不可(kě)見(jiàn)，對該區域中的資源進行訪問(wèn)必須通過可(kě)信代理(lǐ)的嚴格訪問(wèn)控制，從(cóng)而實現将這個區域中的資源隔離(lí)出來(lái)，降低其受攻擊的暴露面的目标。

 

這種技術(shù)最初是CSA雲安全聯盟提出來(lái)的，是SDN和SDS概念的交集。剛開始SDP主要針對WEB應用，到現在也可(kě)以針對其他(tā)應用來(lái)構建SDP了。SDP的出現消除了傳統的固化邊界，對傳統的設置DMZ區，以及搭建VPN的做法構成了挑戰，是一種颠覆性的技術(shù)。也可(kě)以說(shuō)，SDP是一種邏輯的、動态的邊界，這個邊界是以身(shēn)份和情境感知爲核心的。這讓我想起了思睿嘉得(de)的DJ說(shuō)過的一句話(huà)：“身(shēn)份是新邊界”。

 

在Gartner的雲安全Hype Cycle中，SDP位于新興階段，正處于曲線的頂峰。Gartner預測，到2017年(nián)底，至少10%的企業組織将利用SDP技術(shù)來(lái)隔離(lí)敏感的環境。

 

5.面向DevSecOps的運營支撐系統(OSS)安全掃描與軟件(jiàn)成分(fēn)分(fēn)析

 

在2016年(nián)的10大(dà)信息安全技術(shù)中，也提到了DevSecOps，但(dàn)強調的是DevSecOps的安全測試。今年(nián)，安全測試變成了安全掃描與軟件(jiàn)成分(fēn)分(fēn)析，其實基本上是一個意思，隻是更加具體(tǐ)化了。

 

對于DevSecOps的落地而言，最關鍵的一點就(jiù)是自(zì)動化和透明化。各種安全控制措施在整個DevSecOps周期中都(dōu)要能夠自(zì)動化地，非手工(gōng)的進行配置。并且，這個自(zì)動化的過程必須是對DevOps團隊盡量透明的，既不能影(yǐng)響到DevOps的敏捷性本質，同時還(hái)要能夠達成法律、合規性，以及風(fēng)險管理(lǐ)的要求。

 

SCA(軟件(jiàn)成分(fēn)分(fēn)析)是一個比較有趣的技術(shù)。SCA專門(mén)用于分(fēn)析開發人(rén)員(yuán)使用的各種源碼、模塊、框架和庫，以識别和清點應用系統(OSS)的組件(jiàn)及其構成和依賴關系，并識别已知的安全漏洞或者潛在的許可(kě)證授權問(wèn)題，把這些風(fēng)險排查在應用系統投産之前。如(rú)果用戶要保障軟件(jiàn)系統的供應鏈安全，這個SCA很有作(zuò)用。目前，我們的研發也已經做了一些這方面的工(gōng)作(zuò)，并将這些成果應用到資産的統一漏洞管理(lǐ)産品之中。

 

在Gartner的應用安全的Hype Cycle中，SCA屬于成熟早期的階段，屬于應用安全測試的範疇，既包含靜(jìng)态測試，也包含動态測試。

 

6.容器安全

 

容器使用的是一種共享操作(zuò)系統(OS)的模型。對宿主OS的某個漏洞利用攻擊可(kě)能導緻其上的所有容器失陷。容器本身(shēn)并非不安全，但(dàn)如(rú)果缺少安全團隊的介入，以及安全架構師(shī)的指導，容器的部署過程可(kě)能産生(shēng)不安全因素。傳統的基于網絡或者主機(jī)的安全解決方案對容器安全沒啥作(zuò)用。容器安全解決方案必須保護容器從(cóng)創建到投産的整個生(shēng)命周期的安全。目前大(dà)部分(fēn)容器安全解決方案都(dōu)提供投産前掃描和運行時監測保護的能力。

 

根據Gartner的定義，容器安全包括開發階段的風(fēng)險評估和對容器中所有内容信任度的評估，也包括投産階段的運行時威脅防護和訪問(wèn)控制。在Hype Cycle中，容器安全目前處于新興階段。