Gartner選擇年度技術(shù)的標(biāo)準(zhǔn)是：

 

1)不能僅僅是個(gè)趨勢(shì)(譬如大數(shù)據(jù)、IoT);

2)必須是真實(shí)存在的安全技術(shù)門類，并且有實(shí)實(shí)在在的廠商提供這類技術(shù)和產(chǎn)品;

3)不能僅僅處于研究狀態(tài)，但也不能已經(jīng)成為主流技術(shù);

4)符合Gartner對(duì)于客戶需求和技術(shù)發(fā)展趨勢(shì)的判斷。

按照這個(gè)標(biāo)準(zhǔn)，基本上技術(shù)都會(huì)位于Gartner Hype Cycle的曲線頂峰部分或者是低谷的部分。

 

 

通過這個(gè)圖也能體會(huì)到如何使用Gartner的Hype Cycle

 

這11大技術(shù)分別是：

1) Cloud WorkloadProtection Platforms云工作負(fù)載保護(hù)平臺(tái)CWPP

2) Remote Browser遠(yuǎn)程瀏覽器

3) Deception欺騙技術(shù)

4) Endpoint Detection andResponse 終端檢測(cè)與相應(yīng)EDR

5) Network Traffic Analysis網(wǎng)絡(luò)流量分析NTA

6) Managed Detection andResponse可管理檢測(cè)與響應(yīng)MDR

7) Microsegmentation微隔離

8) Software-DefinedPerimeters軟件定義邊界SDP

9) Cloud Access SecurityBrokers云訪問安全代理CASB

10) OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的運(yùn)營(yíng)支撐系統(tǒng)(OSS)安全掃描與軟件成分分析

11) Container Security容器安全

國內(nèi)對(duì)于2017年的這11大技術(shù)也有很多翻譯的文章，譬如FreeBuf，但我認(rèn)為這些譯文多少都有不確切之處，譯文原文可參見Gartner新聞。

 

Neil將這11項(xiàng)技術(shù)分為了三類：

 

1) 面向威脅的技術(shù)：這類技術(shù)都在Gartner的自適應(yīng)安全架構(gòu)的范疇之內(nèi)，包括CWPP、遠(yuǎn)程瀏覽器、欺騙技術(shù)、EDR、NTA、MDR、微隔離;

2) 訪問與使能技術(shù)：包括SDP、CASB;

3) 安全開發(fā)：包括OSS安全掃描與軟件成分分析、容器安全。

 

從另外一個(gè)角度看，這11項(xiàng)技術(shù)有5個(gè)都直接跟云安全掛鉤(CWPP、微隔離、SDP、CASB、容器安全)，也應(yīng)證了云技術(shù)的快速普及。

 

針對(duì)上述11大技術(shù)，其中遠(yuǎn)程瀏覽器、欺騙技術(shù)、EDR、微隔離、CASB共5個(gè)技術(shù)也出現(xiàn)在了2016年度的10大信息安全技術(shù)列表之中。

 

剩下6個(gè)技術(shù)，簡(jiǎn)要分析如下：

 

1.CWPP云工作負(fù)載保護(hù)平臺(tái)

 

現(xiàn)在數(shù)據(jù)中心的工作負(fù)載都支持運(yùn)行在包括物理機(jī)、虛擬機(jī)、容器、私有云的環(huán)境下，甚至往往出現(xiàn)部分工作負(fù)載運(yùn)行在一個(gè)或者多個(gè)公有云IaaS提供商那里的情況?；旌螩WPP為信息安全的管理者提供了一種集成的方式，讓他們能夠通過一個(gè)單一的管理控制臺(tái)和統(tǒng)一的安全策略機(jī)制去保護(hù)那些工作負(fù)載，而不論這些工作負(fù)載運(yùn)行在何處。

 

事實(shí)上，CWPP這個(gè)概念就是Neil本人發(fā)明的。他在2016年3月份發(fā)表了一份題為《CWPP市場(chǎng)指南》的分析報(bào)告，并第一次對(duì)CWPP進(jìn)行了正式定義：CWPP市場(chǎng)是一個(gè)以工作負(fù)載為中心的安全防護(hù)解決方案，它是一種典型的基于代理(Agent)的技術(shù)方案。這類解決方案滿足了當(dāng)前橫跨物理和虛擬環(huán)境、私有云和多種公有云環(huán)境的混合式數(shù)據(jù)中心架構(gòu)條件下服務(wù)器工作負(fù)載防護(hù)的獨(dú)特需求。還有的甚至也同時(shí)支持基于容器的應(yīng)用架構(gòu)。

 

Neil將CWPP解決方案的能力進(jìn)行了層次劃分，并歸為基礎(chǔ)支撐、核心能力、擴(kuò)展能力三大類。下圖是Neil發(fā)布的2017年版《CWPP市場(chǎng)指南》中描繪的能力層次圖，由上至下，重要性逐漸遞增：

 

 

那份報(bào)告對(duì)這個(gè)圖中的每一層都進(jìn)行詳細(xì)闡述。明眼人一看，就會(huì)覺得其實(shí)這個(gè)CWPP的核心就是一個(gè)主機(jī)IPS/IDS，只不過放到的云環(huán)境中。當(dāng)然，除了HIPS/HIDS功能外，還擴(kuò)展了一些其他功能。

 

其實(shí)，CWPP這個(gè)提法在Gartner內(nèi)部也是存在分歧的，我跟Gartner的分析師就此進(jìn)行過討論。也因此，Gartner將CWPP市場(chǎng)映射為CWPP解決方案，而非單一的CWPP產(chǎn)品，因?yàn)镃WPP的每個(gè)能力層都涉及不同的技術(shù)，整個(gè)CWPP涉及的技術(shù)面更是十分廣泛。此外，每個(gè)CWPP提供商的產(chǎn)品功能都不盡相同，甚至存在較大差異。而用戶要對(duì)其云工作負(fù)載(云主機(jī))進(jìn)行防護(hù)的話，恐怕也不能選擇某個(gè)單一的CWPP產(chǎn)品，而需要統(tǒng)籌考慮，進(jìn)行多種技術(shù)的集成。當(dāng)然，不排除隨著Gartner力推CWPP概念，將來會(huì)出現(xiàn)更加完整的CWPP產(chǎn)品，即所謂的“Single pane of glass to hybrid cloud workload protection”。在2017年的云安全HypeCycle中，CWPP位于低谷位置，Gartner認(rèn)為CWPP處于青春期，距離成熟市場(chǎng)還有2到5年的時(shí)間。

 

目前，國內(nèi)已經(jīng)有廠商進(jìn)入CWPP市場(chǎng)。希望隨著我們對(duì)CWPP認(rèn)識(shí)的清晰，不要以后國內(nèi)出現(xiàn)一窩蜂地將傳統(tǒng)技術(shù)簡(jiǎn)單包裝而成的CWPP廠商，就如EDR那樣。

 

2.NTA網(wǎng)絡(luò)流量分析

 

作為威脅檢測(cè)的高級(jí)技術(shù)之一，NTA是在2014年就跟EDR一同提出來的。而NTA的前身則是NBA(Network Behavior Analysis)，一項(xiàng)早在2005年就被Gartner提出來的技術(shù)。我對(duì)NBA/NTA的研究也有十年了，也做出過NBA/NTA類的產(chǎn)品。根據(jù)Gartner的定義，NTA融合了傳統(tǒng)的基于規(guī)則的檢測(cè)技術(shù)，以及機(jī)器學(xué)習(xí)和其他高級(jí)分析技術(shù)，用以檢測(cè)企業(yè)網(wǎng)絡(luò)中的可疑行為，尤其是失陷后的痕跡。NTA通過DFI和DPI技術(shù)來分析網(wǎng)絡(luò)流量，通常部署在關(guān)鍵的網(wǎng)絡(luò)區(qū)域?qū)|西向和南北向的流量進(jìn)行分析，而不會(huì)試圖對(duì)全網(wǎng)進(jìn)行監(jiān)測(cè)。

 

在NTA入選11大技術(shù)的解說詞中，Gartner說到：NTA解決方案通過監(jiān)測(cè)網(wǎng)絡(luò)的流量、連接和對(duì)象來識(shí)別惡意的行為跡象。對(duì)于那些試圖通過基于網(wǎng)絡(luò)的方式去識(shí)別繞過邊界安全的高級(jí)攻擊的企業(yè)而言，可以考慮將NTA作為一種備選方案。

 

3.MDR威脅檢測(cè)與響應(yīng)服務(wù)

 

MDR是一類服務(wù)，并且通常不在傳統(tǒng)的MSS/SaaS提供商的服務(wù)目錄中。作為一種新型的服務(wù)項(xiàng)目，MDR為那些想提升自身威脅檢測(cè)、事件響應(yīng)和持續(xù)監(jiān)測(cè)能力，卻又無力依靠自身的能力和資源去達(dá)成的企業(yè)提供了一個(gè)不錯(cuò)的選擇。MDR對(duì)于SMB市場(chǎng)尤其具有吸引力，因?yàn)榇蛑辛怂麄兊?ldquo;興奮點(diǎn)”。

 

MDR服務(wù)是Gartner在2016年正式提出來的，定位于對(duì)高級(jí)攻擊的檢測(cè)與響應(yīng)服務(wù)。與傳統(tǒng)MSSP主要幫客戶監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)內(nèi)外間流量不同，MDR還試圖幫助客戶監(jiān)測(cè)內(nèi)部網(wǎng)絡(luò)中的流量，尤其是識(shí)別高級(jí)攻擊的橫向移動(dòng)環(huán)節(jié)的蛛絲馬跡，以求更好地發(fā)現(xiàn)針對(duì)客戶內(nèi)部網(wǎng)絡(luò)的高級(jí)攻擊。二要做到這點(diǎn)，就需要在客戶網(wǎng)絡(luò)中部署多種高級(jí)攻擊檢測(cè)技術(shù)(設(shè)備)，還要輔以安全分析。對(duì)于MDR服務(wù)而言，這些額外部署在客戶側(cè)的設(shè)備是屬于服務(wù)提供商的，而非客戶的。這些設(shè)備(硬件或者軟件)既可能是基于網(wǎng)絡(luò)的，也可能是基于主機(jī)的，也可能兼有之。在安全分析的過程中，會(huì)用到威脅情報(bào)，也可能用到專業(yè)的安全分析師。在檢測(cè)出攻擊，進(jìn)行響應(yīng)的時(shí)候，MDR服務(wù)強(qiáng)調(diào)迅速、直接、輕量化(簡(jiǎn)潔)、高效，而不會(huì)過多顧及安全管理與事件處置的流程，很多時(shí)候通過提供商部署在客戶側(cè)的設(shè)備就響應(yīng)處置掉了。顯然，這種服務(wù)與傳統(tǒng)的MSS相比，對(duì)客戶而言更具影響性，但也更加高效，也是高級(jí)威脅對(duì)客戶造成的風(fēng)險(xiǎn)越來越大的必然反應(yīng)。

 

Gartner預(yù)計(jì)到2020年將有15%的組織使用MDR類的服務(wù)，而現(xiàn)在僅不到1%。同時(shí)，到2020年80%的MSSP都會(huì)提供MDR類的安全服務(wù)，稱之為“AdvancedMSS”。在未來兩年，MSS尚不會(huì)完全覆蓋MDR服務(wù)。

 

4.SDP軟件定義邊界

 

SDP將不同的網(wǎng)絡(luò)相連的個(gè)體(軟硬件資源)定義為一個(gè)邏輯集合，形成一個(gè)安全計(jì)算區(qū)域和邊界，這個(gè)區(qū)域中的資源對(duì)外不可見，對(duì)該區(qū)域中的資源進(jìn)行訪問必須通過可信代理的嚴(yán)格訪問控制，從而實(shí)現(xiàn)將這個(gè)區(qū)域中的資源隔離出來，降低其受攻擊的暴露面的目標(biāo)。

 

這種技術(shù)最初是CSA云安全聯(lián)盟提出來的，是SDN和SDS概念的交集。剛開始SDP主要針對(duì)WEB應(yīng)用，到現(xiàn)在也可以針對(duì)其他應(yīng)用來構(gòu)建SDP了。SDP的出現(xiàn)消除了傳統(tǒng)的固化邊界，對(duì)傳統(tǒng)的設(shè)置DMZ區(qū)，以及搭建VPN的做法構(gòu)成了挑戰(zhàn)，是一種顛覆性的技術(shù)。也可以說，SDP是一種邏輯的、動(dòng)態(tài)的邊界，這個(gè)邊界是以身份和情境感知為核心的。這讓我想起了思睿嘉得的DJ說過的一句話：“身份是新邊界”。

 

在Gartner的云安全Hype Cycle中，SDP位于新興階段，正處于曲線的頂峰。Gartner預(yù)測(cè)，到2017年底，至少10%的企業(yè)組織將利用SDP技術(shù)來隔離敏感的環(huán)境。

 

5.面向DevSecOps的運(yùn)營(yíng)支撐系統(tǒng)(OSS)安全掃描與軟件成分分析

 

在2016年的10大信息安全技術(shù)中，也提到了DevSecOps，但強(qiáng)調(diào)的是DevSecOps的安全測(cè)試。今年，安全測(cè)試變成了安全掃描與軟件成分分析，其實(shí)基本上是一個(gè)意思，只是更加具體化了。

 

對(duì)于DevSecOps的落地而言，最關(guān)鍵的一點(diǎn)就是自動(dòng)化和透明化。各種安全控制措施在整個(gè)DevSecOps周期中都要能夠自動(dòng)化地，非手工的進(jìn)行配置。并且，這個(gè)自動(dòng)化的過程必須是對(duì)DevOps團(tuán)隊(duì)盡量透明的，既不能影響到DevOps的敏捷性本質(zhì)，同時(shí)還要能夠達(dá)成法律、合規(guī)性，以及風(fēng)險(xiǎn)管理的要求。

 

SCA(軟件成分分析)是一個(gè)比較有趣的技術(shù)。SCA專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫，以識(shí)別和清點(diǎn)應(yīng)用系統(tǒng)(OSS)的組件及其構(gòu)成和依賴關(guān)系，并識(shí)別已知的安全漏洞或者潛在的許可證授權(quán)問題，把這些風(fēng)險(xiǎn)排查在應(yīng)用系統(tǒng)投產(chǎn)之前。如果用戶要保障軟件系統(tǒng)的供應(yīng)鏈安全，這個(gè)SCA很有作用。目前，我們的研發(fā)也已經(jīng)做了一些這方面的工作，并將這些成果應(yīng)用到資產(chǎn)的統(tǒng)一漏洞管理產(chǎn)品之中。

 

在Gartner的應(yīng)用安全的Hype Cycle中，SCA屬于成熟早期的階段，屬于應(yīng)用安全測(cè)試的范疇，既包含靜態(tài)測(cè)試，也包含動(dòng)態(tài)測(cè)試。

 

6.容器安全

 

容器使用的是一種共享操作系統(tǒng)(OS)的模型。對(duì)宿主OS的某個(gè)漏洞利用攻擊可能導(dǎo)致其上的所有容器失陷。容器本身并非不安全，但如果缺少安全團(tuán)隊(duì)的介入，以及安全架構(gòu)師的指導(dǎo)，容器的部署過程可能產(chǎn)生不安全因素。傳統(tǒng)的基于網(wǎng)絡(luò)或者主機(jī)的安全解決方案對(duì)容器安全沒啥作用。容器安全解決方案必須保護(hù)容器從創(chuàng)建到投產(chǎn)的整個(gè)生命周期的安全。目前大部分容器安全解決方案都提供投產(chǎn)前掃描和運(yùn)行時(shí)監(jiān)測(cè)保護(hù)的能力。

 

根據(jù)Gartner的定義，容器安全包括開發(fā)階段的風(fēng)險(xiǎn)評(píng)估和對(duì)容器中所有內(nèi)容信任度的評(píng)估，也包括投產(chǎn)階段的運(yùn)行時(shí)威脅防護(hù)和訪問控制。在Hype Cycle中，容器安全目前處于新興階段。