2017年(nián)11大(dà)信息安全技術(shù)(解讀(dú)版)
發布時間:
2017-12-27
來(lái)源:
Gartner選擇年(nián)度技術(shù)的标準是:
1)不能僅僅是個趨勢(譬如(rú)大(dà)數據、IoT);
2)必須是真實存在的安全技術(shù)門(mén)類,并且有實實在在的廠(chǎng)商提供這類技術(shù)和産品;
3)不能僅僅處于研究狀态,但(dàn)也不能已經成爲主流技術(shù);
4)符合Gartner對于客戶需求和技術(shù)發展趨勢的判斷。
按照(zhào)這個标準,基本上技術(shù)都(dōu)會位于Gartner Hype Cycle的曲線頂峰部分(fēn)或者是低谷的部分(fēn)。
通過這個圖也能體(tǐ)會到如(rú)何使用Gartner的Hype Cycle
這11大(dà)技術(shù)分(fēn)别是:
1) Cloud WorkloadProtection Platforms雲工(gōng)作(zuò)負載保護平台CWPP
2) Remote Browser遠(yuǎn)程浏覽器
3) Deception欺騙技術(shù)
4) Endpoint Detection andResponse 終端檢測與相(xiàng)應EDR
5) Network Traffic Analysis網絡流量分(fēn)析NTA
6) Managed Detection andResponse可(kě)管理(lǐ)檢測與響應MDR
7) Microsegmentation微隔離(lí)
8) Software-DefinedPerimeters軟件(jiàn)定義邊界SDP
9) Cloud Access SecurityBrokers雲訪問(wèn)安全代理(lǐ)CASB
10) OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的運營支撐系統(OSS)安全掃描與軟件(jiàn)成分(fēn)分(fēn)析
11) Container Security容器安全
國(guó)内對于2017年(nián)的這11大(dà)技術(shù)也有很多翻譯的文章(zhāng),譬如(rú)FreeBuf,但(dàn)我認爲這些譯文多少都(dōu)有不确切之處,譯文原文可(kě)參見(jiàn)Gartner新聞。
Neil将這11項技術(shù)分(fēn)爲了三類:
1) 面向威脅的技術(shù):這類技術(shù)都(dōu)在Gartner的自(zì)适應安全架構的範疇之内,包括CWPP、遠(yuǎn)程浏覽器、欺騙技術(shù)、EDR、NTA、MDR、微隔離(lí);
2) 訪問(wèn)與使能技術(shù):包括SDP、CASB;
3) 安全開發:包括OSS安全掃描與軟件(jiàn)成分(fēn)分(fēn)析、容器安全。
從(cóng)另外一個角度看(kàn),這11項技術(shù)有5個都(dōu)直接跟雲安全挂鈎(CWPP、微隔離(lí)、SDP、CASB、容器安全),也應證了雲技術(shù)的快(kuài)速普及。
針對上述11大(dà)技術(shù),其中遠(yuǎn)程浏覽器、欺騙技術(shù)、EDR、微隔離(lí)、CASB共5個技術(shù)也出現在了2016年(nián)度的10大(dà)信息安全技術(shù)列表之中。
剩下6個技術(shù),簡要分(fēn)析如(rú)下:
1.CWPP雲工(gōng)作(zuò)負載保護平台
現在數據中心的工(gōng)作(zuò)負載都(dōu)支持運行在包括物理(lǐ)機(jī)、虛拟機(jī)、容器、私有雲的環境下,甚至往往出現部分(fēn)工(gōng)作(zuò)負載運行在一個或者多個公有雲IaaS提供商那裡(lǐ)的情況。混合CWPP爲信息安全的管理(lǐ)者提供了一種集成的方式,讓他(tā)們能夠通過一個單一的管理(lǐ)控制台和統一的安全策略機(jī)制去(qù)保護那些工(gōng)作(zuò)負載,而不論這些工(gōng)作(zuò)負載運行在何處。
事(shì)實上,CWPP這個概念就(jiù)是Neil本人(rén)發明的。他(tā)在2016年(nián)3月份發表了一份題爲《CWPP市場指南(nán)》的分(fēn)析報告,并第一次對CWPP進行了正式定義:CWPP市場是一個以工(gōng)作(zuò)負載爲中心的安全防護解決方案,它是一種典型的基于代理(lǐ)(Agent)的技術(shù)方案。這類解決方案滿足了當前橫跨物理(lǐ)和虛拟環境、私有雲和多種公有雲環境的混合式數據中心架構條件(jiàn)下服務器工(gōng)作(zuò)負載防護的獨特需求。還(hái)有的甚至也同時支持基于容器的應用架構。
Neil将CWPP解決方案的能力進行了層次劃分(fēn),并歸爲基礎支撐、核心能力、擴展能力三大(dà)類。下圖是Neil發布的2017年(nián)版《CWPP市場指南(nán)》中描繪的能力層次圖,由上至下,重要性逐漸遞增:
那份報告對這個圖中的每一層都(dōu)進行詳細闡述。明眼人(rén)一看(kàn),就(jiù)會覺得(de)其實這個CWPP的核心就(jiù)是一個主機(jī)IPS/IDS,隻不過放(fàng)到的雲環境中。當然,除了HIPS/HIDS功能外,還(hái)擴展了一些其他(tā)功能。
其實,CWPP這個提法在Gartner内部也是存在分(fēn)歧的,我跟Gartner的分(fēn)析師(shī)就(jiù)此進行過討(tǎo)論。也因此,Gartner将CWPP市場映射爲CWPP解決方案,而非單一的CWPP産品,因爲CWPP的每個能力層都(dōu)涉及不同的技術(shù),整個CWPP涉及的技術(shù)面更是十分(fēn)廣泛。此外,每個CWPP提供商的産品功能都(dōu)不盡相(xiàng)同,甚至存在較大(dà)差異。而用戶要對其雲工(gōng)作(zuò)負載(雲主機(jī))進行防護的話(huà),恐怕也不能選擇某個單一的CWPP産品,而需要統籌考慮,進行多種技術(shù)的集成。當然,不排除随着Gartner力推CWPP概念,将來(lái)會出現更加完整的CWPP産品,即所謂的“Single pane of glass to hybrid cloud workload protection”。在2017年(nián)的雲安全HypeCycle中,CWPP位于低谷位置,Gartner認爲CWPP處于青春期,距離(lí)成熟市場還(hái)有2到5年(nián)的時間。
目前,國(guó)内已經有廠(chǎng)商進入CWPP市場。希望随着我們對CWPP認識的清晰,不要以後國(guó)内出現一窩蜂地将傳統技術(shù)簡單包裝而成的CWPP廠(chǎng)商,就(jiù)如(rú)EDR那樣。
2.NTA網絡流量分(fēn)析
作(zuò)爲威脅檢測的高級技術(shù)之一,NTA是在2014年(nián)就(jiù)跟EDR一同提出來(lái)的。而NTA的前身(shēn)則是NBA(Network Behavior Analysis),一項早在2005年(nián)就(jiù)被Gartner提出來(lái)的技術(shù)。我對NBA/NTA的研究也有十年(nián)了,也做出過NBA/NTA類的産品。根據Gartner的定義,NTA融合了傳統的基于規則的檢測技術(shù),以及機(jī)器學習和其他(tā)高級分(fēn)析技術(shù),用以檢測企業網絡中的可(kě)疑行爲,尤其是失陷後的痕迹。NTA通過DFI和DPI技術(shù)來(lái)分(fēn)析網絡流量,通常部署在關鍵的網絡區域對東西向和南(nán)北向的流量進行分(fēn)析,而不會試圖對全網進行監測。
在NTA入選11大(dà)技術(shù)的解說(shuō)詞中,Gartner說(shuō)到:NTA解決方案通過監測網絡的流量、連接和對象來(lái)識别惡意的行爲迹象。對于那些試圖通過基于網絡的方式去(qù)識别繞過邊界安全的高級攻擊的企業而言,可(kě)以考慮将NTA作(zuò)爲一種備選方案。
3.MDR威脅檢測與響應服務
MDR是一類服務,并且通常不在傳統的MSS/SaaS提供商的服務目錄中。作(zuò)爲一種新型的服務項目,MDR爲那些想提升自(zì)身(shēn)威脅檢測、事(shì)件(jiàn)響應和持續監測能力,卻又無力依靠自(zì)身(shēn)的能力和資源去(qù)達成的企業提供了一個不錯的選擇。MDR對于SMB市場尤其具有吸引力,因爲打中了他(tā)們的“興奮點”。
MDR服務是Gartner在2016年(nián)正式提出來(lái)的,定位于對高級攻擊的檢測與響應服務。與傳統MSSP主要幫客戶監測内部網絡與互聯網内外間流量不同,MDR還(hái)試圖幫助客戶監測内部網絡中的流量,尤其是識别高級攻擊的橫向移動環節的蛛絲馬迹,以求更好地發現針對客戶内部網絡的高級攻擊。二要做到這點,就(jiù)需要在客戶網絡中部署多種高級攻擊檢測技術(shù)(設備),還(hái)要輔以安全分(fēn)析。對于MDR服務而言,這些額外部署在客戶側的設備是屬于服務提供商的,而非客戶的。這些設備(硬件(jiàn)或者軟件(jiàn))既可(kě)能是基于網絡的,也可(kě)能是基于主機(jī)的,也可(kě)能兼有之。在安全分(fēn)析的過程中,會用到威脅情報,也可(kě)能用到專業的安全分(fēn)析師(shī)。在檢測出攻擊,進行響應的時候,MDR服務強調迅速、直接、輕量化(簡潔)、高效,而不會過多顧及安全管理(lǐ)與事(shì)件(jiàn)處置的流程,很多時候通過提供商部署在客戶側的設備就(jiù)響應處置掉了。顯然,這種服務與傳統的MSS相(xiàng)比,對客戶而言更具影(yǐng)響性,但(dàn)也更加高效,也是高級威脅對客戶造成的風(fēng)險越來(lái)越大(dà)的必然反應。
Gartner預計(jì)到2020年(nián)将有15%的組織使用MDR類的服務,而現在僅不到1%。同時,到2020年(nián)80%的MSSP都(dōu)會提供MDR類的安全服務,稱之爲“AdvancedMSS”。在未來(lái)兩年(nián),MSS尚不會完全覆蓋MDR服務。
4.SDP軟件(jiàn)定義邊界
SDP将不同的網絡相(xiàng)連的個體(tǐ)(軟硬件(jiàn)資源)定義爲一個邏輯集合,形成一個安全計(jì)算區域和邊界,這個區域中的資源對外不可(kě)見(jiàn),對該區域中的資源進行訪問(wèn)必須通過可(kě)信代理(lǐ)的嚴格訪問(wèn)控制,從(cóng)而實現将這個區域中的資源隔離(lí)出來(lái),降低其受攻擊的暴露面的目标。
這種技術(shù)最初是CSA雲安全聯盟提出來(lái)的,是SDN和SDS概念的交集。剛開始SDP主要針對WEB應用,到現在也可(kě)以針對其他(tā)應用來(lái)構建SDP了。SDP的出現消除了傳統的固化邊界,對傳統的設置DMZ區,以及搭建VPN的做法構成了挑戰,是一種颠覆性的技術(shù)。也可(kě)以說(shuō),SDP是一種邏輯的、動态的邊界,這個邊界是以身(shēn)份和情境感知爲核心的。這讓我想起了思睿嘉得(de)的DJ說(shuō)過的一句話(huà):“身(shēn)份是新邊界”。
在Gartner的雲安全Hype Cycle中,SDP位于新興階段,正處于曲線的頂峰。Gartner預測,到2017年(nián)底,至少10%的企業組織将利用SDP技術(shù)來(lái)隔離(lí)敏感的環境。
5.面向DevSecOps的運營支撐系統(OSS)安全掃描與軟件(jiàn)成分(fēn)分(fēn)析
在2016年(nián)的10大(dà)信息安全技術(shù)中,也提到了DevSecOps,但(dàn)強調的是DevSecOps的安全測試。今年(nián),安全測試變成了安全掃描與軟件(jiàn)成分(fēn)分(fēn)析,其實基本上是一個意思,隻是更加具體(tǐ)化了。
對于DevSecOps的落地而言,最關鍵的一點就(jiù)是自(zì)動化和透明化。各種安全控制措施在整個DevSecOps周期中都(dōu)要能夠自(zì)動化地,非手工(gōng)的進行配置。并且,這個自(zì)動化的過程必須是對DevOps團隊盡量透明的,既不能影(yǐng)響到DevOps的敏捷性本質,同時還(hái)要能夠達成法律、合規性,以及風(fēng)險管理(lǐ)的要求。
SCA(軟件(jiàn)成分(fēn)分(fēn)析)是一個比較有趣的技術(shù)。SCA專門(mén)用于分(fēn)析開發人(rén)員(yuán)使用的各種源碼、模塊、框架和庫,以識别和清點應用系統(OSS)的組件(jiàn)及其構成和依賴關系,并識别已知的安全漏洞或者潛在的許可(kě)證授權問(wèn)題,把這些風(fēng)險排查在應用系統投産之前。如(rú)果用戶要保障軟件(jiàn)系統的供應鏈安全,這個SCA很有作(zuò)用。目前,我們的研發也已經做了一些這方面的工(gōng)作(zuò),并将這些成果應用到資産的統一漏洞管理(lǐ)産品之中。
在Gartner的應用安全的Hype Cycle中,SCA屬于成熟早期的階段,屬于應用安全測試的範疇,既包含靜(jìng)态測試,也包含動态測試。
6.容器安全
容器使用的是一種共享操作(zuò)系統(OS)的模型。對宿主OS的某個漏洞利用攻擊可(kě)能導緻其上的所有容器失陷。容器本身(shēn)并非不安全,但(dàn)如(rú)果缺少安全團隊的介入,以及安全架構師(shī)的指導,容器的部署過程可(kě)能産生(shēng)不安全因素。傳統的基于網絡或者主機(jī)的安全解決方案對容器安全沒啥作(zuò)用。容器安全解決方案必須保護容器從(cóng)創建到投産的整個生(shēng)命周期的安全。目前大(dà)部分(fēn)容器安全解決方案都(dōu)提供投産前掃描和運行時監測保護的能力。
根據Gartner的定義,容器安全包括開發階段的風(fēng)險評估和對容器中所有内容信任度的評估,也包括投産階段的運行時威脅防護和訪問(wèn)控制。在Hype Cycle中,容器安全目前處于新興階段。
安全技術(shù),大(dà)數據
|
相(xiàng)關資訊