信息來源:51cto
2019年2月11日,Gartner一改過去在年度安全與風險管理峰會上發(fā)表10大安全技術/項目的作風�����,早早發(fā)布了2019年的十大安全項目,并表示將在今年的安全與風險管理峰會上具體呈現(xiàn)����。因此,這次算是Gartner提前發(fā)布預覽版吧�。
2019年的十大安全項目分別是:
1)Privileged Access Management�����,特權賬戶管理(PAM)
2)CARTA-Inspired Vulnerability Management,符合CARTA方法論的弱點管理
3)Detection and Response����,檢測與響應
4)Cloud Security Posture Management,云安全配置管理(CSPM)
5)Cloud Access Security Broker�����,云訪問安全代理(CASB)
6)Business Email Compromise���,商業(yè)郵件失陷
7)Dark Data Discovery����,暗數(shù)據(jù)發(fā)現(xiàn)
8)Security Incident Response�,安全事件響應
9)Container Security,容器安全
10)Security Rating Services����,安全評級服務
對比一下歷年的10大技術/項目,可以發(fā)現(xiàn)��,跟2018年相比,前5個項目基本上是沿襲下來了��,第6個商業(yè)郵件失陷則是在去年的反釣魚項目基礎上做了修訂���,后4個則是新上榜的����。全新上榜的包括暗數(shù)據(jù)發(fā)現(xiàn)���、安全事件響應和安全評級服務�,而容器安全則是隔年再次上榜��。
特別值得一提的是今年的10大安全項目中終于明確地增加了數(shù)據(jù)安全方面的項目——暗數(shù)據(jù)發(fā)現(xiàn)��。在解讀2018年10大安全項目的時候我就在分析老Neil為啥遲遲不考慮數(shù)據(jù)安全�,今年終于有所體現(xiàn)了。
首先���,一如既往地�,Gartner特別強調���,客戶在考慮上述10大技術之前�,一定要考慮到先期的基礎安全建設,很多項目都需要建構在基礎安全能力達標的情況下���。這些基礎安全能力包括(但不限于):
1)在系統(tǒng)防護方面�,包括采用最新的EPP和統(tǒng)一端點管理(Unified Endpoint Management���,UEM是Gartner定義的區(qū)分于EPP的另一個細分市場,強調對包括異構的PC��、移動端和物聯(lián)網(wǎng)終端的統(tǒng)一管理����。該市場不屬于信息安全市場,而歸屬于IT運維管理市場���。2018年Gartner首次推出了UEM的MQ)和服務器安全防護�。
2)在用戶控制方面��,包括從windows用戶列表中移除管理員權限��,用戶賬號的生命周期管理和多因素認證���。
3)在基礎設施安全方面�,包括日志監(jiān)控、備份/恢復能力�����、補丁和基本的弱點管理����,以及各種邊界安全控制。
4)在信息處理方面����,包括郵件安全控制、安全意識培訓等����。
以下簡要分析一下新上榜和修訂后上榜的5個項目。
商業(yè)郵件失陷
或許是去年提出來的“積極反釣魚”項目名稱太老套���,不夠醒目���,抑或是這個名稱容易掩蓋在反釣魚時對流程管控的關鍵依賴,今年Gartner提出了一個新的項目名稱——Business Email Compromise�。
BEC這個詞其實提出來也有好幾年了���,不算是Gartner的原創(chuàng)。簡單地說�����,BEC可以那些指代高級的�、復雜的、高度定向的郵件釣魚攻|擊����,就好比APT之于普通網(wǎng)絡攻|擊。BEC釣魚通常不會在郵件中使用惡意附件���、或者釣魚URL,而純靠社會工程學技術�。譬如發(fā)件人往往冒用公司高層領導或其他你很難忽略的人,而且收件人也不是大面積的掃射���,而是十分精準���、小眾。BEC釣魚的特性使得很多傳統(tǒng)的防御機制失效或者效果大減�����,而需要進行綜合治理,結合多種技術手段���,以及人和流程�。在技術手段這塊���,Gartner特別指出ML(機器學習)技術的應用前景廣闊�。
暗數(shù)據(jù)發(fā)現(xiàn)
這是Gartner首次明確提出了數(shù)據(jù)安全領域的10大安全項目/技術���。暗數(shù)據(jù)(Dark Data)是Gartner發(fā)明的詞���。它就像宇宙中的暗物質,大量充斥��。暗數(shù)據(jù)產生后基本沒有被利用/應用起來����,但又不能說沒有價值,可能還暗藏風險����,最大問題是用戶自己都不知道有哪些暗數(shù)據(jù)��,再哪里�,有多大風險���。尤其是現(xiàn)在GDPR等法規(guī)加持之下����,暗數(shù)據(jù)中可能包括的違規(guī)的信息�。
其實,就好比在做網(wǎng)絡安全的時候�,要先了解自己網(wǎng)絡中有哪些IP資產,尤其是有哪些自己都不知道的影子資產一樣����。在做數(shù)據(jù)安全的時候,要先進行數(shù)據(jù)發(fā)現(xiàn)���,包括暗數(shù)據(jù)發(fā)現(xiàn),這也是一個針對數(shù)據(jù)“摸清家底”的過程���。這個步驟比數(shù)據(jù)分類�,敏感數(shù)據(jù)識別更靠前�。事實上��,Gartner建議數(shù)據(jù)分類和敏感數(shù)據(jù)識別工具去集成暗數(shù)據(jù)發(fā)現(xiàn)能力��。此外�,Gartner在2018年的Hype Cycle中提出了一個達到炒作頂峰的技術——“File Analysis”(文件分析)��,該技術就特別強調對不斷膨脹的����、散落在共享文件、郵件��、內容協(xié)作平臺�、云端等等各處的非結構化暗數(shù)據(jù)的發(fā)現(xiàn)、梳理與理解�。這里的發(fā)現(xiàn)包括了找到這些暗數(shù)據(jù)的所有者、位置�、副本、大小����、最后訪問或修改時間、安全屬性及其變化情況��、文件類型及每種文件類型所特有的元數(shù)據(jù)���。
安全事件響應
安全IR絕對可以稱得上是一個十分十分老的詞了����。安全業(yè)界做這個IR已經(jīng)幾十年了。那么Gartner為啥要提出來呢?Neil沒有詳談原因�。我分析,在檢測與響應被提升到如此高度的今天�����,基本上所有業(yè)內人士都對響應代表了未來需要重點突破和提升的方向沒有什么異議���。Gartner在歷年的十大技術/項目中都有響應相關的項目�,但仔細看��,我們就會發(fā)現(xiàn)更多還是一些分散的響應技術�����,譬如EDR�,NDR等���,并且都是跟檢測技術合在一起講���。今年��,Gartner則更進一步����,從安全運營的角度提出了IR����,應該還是很有深意的。同時���,在“檢測與響應”項目中�,也首次提及了SIEM+SOAR��。讓我們等到Gartner安全與風險管理峰會時��,且看Neil如何解讀IR吧��。
容器安全
容器安全在2017年已經(jīng)位列當年的11大安全技術了��。為何重回榜單?應該是因為容器技術越來越多的被應用的緣故�,尤其是隨著微服務架構和Develops開發(fā)模式的盛行,越來越多開發(fā)人員使用容器技術���。容器安全愈發(fā)重要����,不僅是運行時容器安全保護技術,還應該關注開發(fā)時容器安全掃描技術�,要把容器安全與DevSecOps整合起來。
安全評級服務
Security Rating Services也不是新鮮東西����,幾年前就已經(jīng)出現(xiàn)。在2018年的Hype Cycle中�����,SRS處于炒作的頂峰����。Gartner還在2018年專門發(fā)布了一份SRS的Innovation Insight報告。
Gartner認為�,SRS為組織實體提供了一種持續(xù)的、獨立的����、量化的安全分析與評分機制。SRS通過非侵入式的手段從公開或者私有的渠道收集數(shù)據(jù),對這些數(shù)據(jù)加以分析����,并通過他們自己定義的一套打分方法對組織實體的安全形勢進行評級����。SRS可以用于內部安全、網(wǎng)絡保險承包����、并購,或者第三方/供應商網(wǎng)絡安全風險的評估與監(jiān)控����。
Gartner認為在當今數(shù)字轉型、數(shù)字生態(tài)的大背景下�,該業(yè)務前景廣闊。同時���,該服務和解決方案尚未成熟�,正在快速演變��。
最后�,讓我們期待2019年的Gartner安全與風險管理峰會的召開吧。
