淺析Gartner評出的十一大信息安全技術

淺析Gartner評出的十一大信息安全技術

作者：bennyye

更多文章，請訪問 --http://www.sec-un.org

淺析Gartner十一大信息安全技術

Benny Ye 最後修改於2018/2/27

（基於本人之前的博文整理而成）

---

1 概述

在2017年6月份舉辦的第23屆Gartner安全與風險管理峰會上，Gartner知名分析師Neil McDonald發布了2017年度的11個最新最酷的信息安全技術。

Gartner選擇年度頂級技術的標準是：

1）不能僅僅是個趨勢（譬如大數據、IoT）；

2）必須是真實存在的安全技術門類，並且有實實在在的廠商提供這類技術和產品；

3）不能僅僅處於研究狀態，但也不能已經成為主流技術；

4）符合Gartner對於客戶需求和技術發展趨勢的判斷。

按照這個標準，基本上頂級技術都會位於Gartner Hype Cycle的曲線頂峰部分或者是低谷的部分。

這11大技術分別是：

1）Cloud Workload Protection Platforms：雲工作負載保護平台CWPP

2）Remote Browser：遠程瀏覽器

3）Deception：欺騙技術

4）Endpoint Detection and Response： 端點檢測與相應EDR

5）Network Traffic Analysis：網路流量分析NTA

6）Managed Detection and Response：可管理檢測與響應MDR

7）Microsegmentation：微隔離

8）Software-Defined Perimeters：軟體定義邊界SDP

9）Cloud Access Security Brokers：雲訪問安全代理CASB

10）OSS Security Scanning and Software Composition Analysis for DevSecOps：面向DevSecOps的運營支撐系統（OSS）安全掃描與軟體成分分析

11）Container Security：容器安全

Gartner將這11項技術分為了三類：

1） 對抗威脅的技術：這類技術都在Gartner的自適應安全架構的範疇之內，包括CWPP、遠程瀏覽器、欺騙技術、EDR、NTA、MDR、微隔離；

2） 訪問與使能技術：包括SDP、CASB；

3） 安全開發：包括OSS安全掃描與軟體成分分析、容器安全。

從另外一個角度看，這11項技術有5個都直接跟雲安全掛鉤（CWPP、微隔離、SDP、CASB、容器安全），也應證了雲技術的快速普及。

需要指出的是，Gartner每年對頂級的信息安全技術評選都是具有連續性的。針對上述11大技術，其中遠程瀏覽器、欺騙技術、EDR、微隔離、CASB共5個技術也出現在了2016年度的10大信息安全技術列表之中。

2 十一大技術淺析

以下技術分析綜合了Gartner對11大頂級技術的官方發布新聞稿，以及各個技術相關的分析報告。文中還參雜了本人的理解，歡迎指正。

2.1 CWPP雲工作負載保護平台

現在數據中心的工作負載都支持運行在包括物理機、虛擬機、容器、私有雲在內的多種環境下，甚至往往出現部分工作負載運行在一個或者多個公有雲IaaS提供商那裡的情況。混合CWPP為信息安全的管理者提供了一種集成的方式，讓他們能夠通過一個單一的管理控制台和統一的安全策略機制去保護那些工作負載，而不論這些工作負載運行在何處。

事實上，CWPP這個概念就是Neil本人提出的。他在2016年3月份發表了一份題為《CWPP市場指南》的分析報告，並第一次對CWPP進行了正式定義：CWPP市場是一個以工作負載為中心的安全防護解決方案，它是一種典型的基於代理（Agent）的技術方案。這類解決方案滿足了當前橫跨物理和虛擬環境、私有雲和多種公有雲環境的混合式數據中心架構條件下伺服器工作負載防護的獨特需求。還有的甚至也同時支持基於容器的應用架構。

Neil將CWPP解決方案的能力進行了層次劃分，並歸為基礎支撐、核心能力、擴展能力三大類。下圖是Neil發布的2017年版《CWPP市場指南》中描繪的能力層次圖，由上至下，重要性逐漸遞增：

其實，CWPP這個提法在Gartner內部還是存在分歧的，本人跟Gartner的分析師就此進行過討論。Gartner將CWPP市場映射為一套對雲中負載進行安全防護的解決方案，而非單一的CWPP產品，因為CWPP的每個能力層都涉及不同的技術，整個CWPP涉及的技術面更是十分廣泛。此外，每個CWPP提供商的產品功能都不盡相同，甚至存在較大差異。而用戶要對其雲工作負載（雲主機）進行防護的話，恐怕也不能選擇某個單一的CWPP產品，而需要統籌考慮，進行多種技術的集成。當然，不排除隨著Gartner力推CWPP概念，將來會出現更加完整的CWPP產品，即所謂的「Single pane of glass to hybrid cloud workload protection」。

在2017年的雲安全Hype Cycle中，CWPP位於低谷位置，Gartner認為CWPP尚處於青春期，距離成熟市場還有2到5年的時間。

在本人看來，隨著雲計算的迅速普及，很多傳統的安全防護技術的有效性下降了，部署難度增加了。同時，公有雲使得用戶對雲中主機（工作負載）的安全掌控能力降低了。因此，以Agent技術流為代表的雲主機防護技術蓬勃興起。還需要指出的是，終端防護系統無法覆蓋對雲工作負載的的安全防護需求。目前，國內已經有廠商涉足CWPP市場。希望隨著我們對CWPP認識的清晰，不要以後國內出現一窩蜂地將傳統技術簡單包裝而成的CWPP廠商，就如EDR那樣。

2.2 遠程瀏覽器

鑒於瀏覽器往往成為攻擊的入口，因此有人將瀏覽器部署在遠程的一個「瀏覽器伺服器池」（通常是基於linux的）中。用戶使用這些遠程的瀏覽器來進行網頁訪問。這樣一來，這些瀏覽器所在的伺服器跟用戶所在環境中的終端和網路是隔離的。從而使得客戶所在網路的暴露面大大降低，而風險被轉移到瀏覽器伺服器池那裡去了。而在瀏覽器伺服器池那邊可以實施專門的安全保護與控制。更進一步，這個瀏覽器伺服器池可以被包裝為一種雲服務（SaaS），當然也可以運行在隔離的客戶側。

上圖展示了遠程瀏覽器技術的兩種應用模式：部署在DMZ區，或者以SaaS模式交付。

遠程瀏覽技術的本質是一種隔離技術。其核心技術是在遠程伺服器上對WEB內容進行渲染（rendering），並能夠將渲染後的信息重新編碼成HTML5回傳給用戶本地瀏覽器。此外，該技術還要支持遠程瀏覽器與用戶本地瀏覽器之間的雙向通訊（譬如將WEB內容、音視頻信息傳遞到本地，以及將本地的鍵盤滑鼠操作傳給遠程瀏覽器）。

需要指出的是，遠程瀏覽技術跟遠程桌面技術（包括虛擬桌面）是不同的。相較而言，遠程瀏覽技術更加輕量級，對伺服器性能要求低很多，並且還不涉及虛擬桌面許可證問題（如果用戶多的話，許可授權費用不菲）。而每個虛擬桌面的會話都要一個完整的VM來支撐，太重，如果僅僅為了遠程瀏覽只用，顯得浪費了。此外，還有一些終端防護類產品能夠對用戶本地瀏覽器或者相關進程進行加固和微隔離，但可能會對終端造成一定的不便，而遠程瀏覽器技術通常不需要在客戶端裝agent。綜合來看，在瀏覽隔離這塊，Gartner更看好遠程瀏覽技術。

Gartner認為，遠程瀏覽技術的興起可能會衝擊現在的Secure Web

Gateway（SWG，上網行為管理）市場，或者說未來的SWG可能會集成遠程瀏覽的功能。

鑒於當前大部分攻擊都是跟瀏覽器（包括瀏覽器自身及其插件）和裡面的WEB內容有關的，Gartner預測，到2021年，將會有20%的企業採用遠程瀏覽器解決方案。截至目前，本人還未看到國內有類似的產品出現。

儘管Gartner看好這項技術，但該技術本身目前還面臨諸多挑戰，尚未成熟，不少廠商正在這個領域尋求技術和市場突破。主要的挑戰包括：必須支持PDF、Flash，甚至是JVM等等常見WEB內容的轉換呈現；對於不支持的WEB內容如何處理？如何支持用戶安全下載遠程文件？如何處理富文本的複製/粘貼？目前看到的遠程瀏覽器產品一般都帶有集中管理與分析功能、文件沙箱和惡意代碼檢測功能。

2.3 欺騙技術

這種技術的本質就是有針對性地對攻擊者進行我方網路、主機、應用、終端和數據的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特徵識別環節，使得那些工具產生誤判或失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時間。譬如可以設置一個偽目標/誘餌，誘騙攻擊者對其實施攻擊，從而觸發攻擊告警。

欺騙技術往前可以追溯到蜜罐技術，隨著技術的不斷進步，現在的欺騙技術可以看作是蜜罐技術的升級版，欺騙和偽裝物更加豐富，欺騙技術的保護重心也從邊界轉移到了網路內部，尤其是大規模複雜企業內部網路，並出現了分散式欺騙平台（Distributed Deception Platform）。

2017年初，Gartner在中國做了一次Local Briefing。會上，DDP的提出者（2015年）Lawrence Pingree專門做了一個題為《The art of Deception and its benefits for lean-forward security

programs》的演講。

Gartner十分看重欺騙技術，在2018年10大戰略技術之一的CARTA（持續自適應風險與信任評估）中，欺騙技術承擔了重要的角色，作為運行時風險與信任評估的重要手段之一。隨著人們越來越關注威脅檢測與響應，出現了很多新興的威脅檢測技術，包括欺騙技術，以及同在11大技術之列的NTA、EDR，還有UEBA，等等。Gartner認為欺騙技術在各種威脅檢測技術中具有獨特的價值，具有更好的適應性和可行性，尤其是在工控和物聯網環境中，並能與其他技術形成良性互補。

Gartner預測到2019年10%的企業將採用這類技術，主動地與黑客進行對抗。目前，國內有不少從事欺騙技術的初創公司和產品，但要達到DDP的平台級水平，還需要大跨越。

2.4 EDR端點檢測與響應

EDR在2014年就進入Gartner的10大技術之列了。EDR工具通常記錄大量端點級系統的行為與相關事件，並將這些信息存儲在終端本地或者集中資料庫中。然後對這些數據進行IOC比對，行為分析和機器學習，用以持續對這些數據進行分析，識別信息泄露（包括內部威脅），並快速對攻擊進行響應。目前EDR的核心支撐技術包括大數據安全分析（BDSA）技術。

EDR的保護目標是端點。他的出現最初是為了彌補傳統終端/端點管理系統（Gartner稱為EPP）的不足。而現在，EDR正在與EPP迅速互相滲透融合，但Gartner預計未來三年EDR和EPP仍將並存。

EDR解決方案應具備四大基本功能：安全事件檢測、安全事件調查、在端點上遏制安全事件，以及將端點修復至感染前的狀態，正好對應Gartner自適應安全架構的檢測和響應兩個階段。這裡面涉及到了機器學習、大數據分析、威脅捕獵等等尚未成熟的新興技術和高交互性技術。

仔細研究可以發現，EDR的目標設定還是比較高級的，至少跟EPP相比，對分析人員的要求高出很多。EDR的落地不僅僅是一個技術問題，還涉及到人員組織和流程，以及高水平的安全分析師。因此，將EDR跟SOC結合起來，對於大型企業和組織是一個值得考慮的選項。而對於中小型客戶而言，將EDR封裝在MS/MDR中，以服務的方式獲得這個能力則可以一試。

需要指出的是，端點在這裡通常指終端，但實際並不限於終端，還可以包括伺服器。

EDR市場發展十分迅速，在2017年底，Gartner首次發布了EDR的市場指南，並對EDR技術的未來發展趨勢進行了詳細的分析，可以發現EDR技術越來越龐雜，正在發展成為一個平台類產品。

Gartner預計到2021年，80%的大型企業、20%的中型企業和10%的小企業將部署EDR能力。目前，國內已經有多家廠商涉足EDR細分市場領域，但基本上處於摸索階段，很多產品其實還基本上就是對傳統終端管理產品的再包裝，面臨的挑戰頗多。

2.5 NTA網路流量分析

作為一種威脅檢測的新興技術，NTA是在2013年提出來的，並位列五種檢測高級威脅的手段之一。

根據Gartner的定義，NTA融合了傳統的基於規則的檢測技術，以及機器學習和其他高級分析技術，用以檢測企業網路中的可疑行為，尤其是失陷後的痕迹。NTA通過DFI和DPI技術來分析網路流量，通常部署在關鍵的網路區域對東西向和南北向的流量進行分析，而不會試圖對全網進行監測。Gartner建議將NTA是做一種功能和能力，而非純粹的一個產品。

在NTA入選11大技術的解說詞中，Gartner說到：NTA解決方案通過監測網路的流量、連接和對象來識別惡意的行為跡象。對於那些試圖通過基於網路的方式去識別繞過邊界安全的高級攻擊的企業而言，可以考慮將NTA作為一種備選方案。

NTA與EDR一個關注網路，一個聚焦端點，但在技術和應用上有很多相似之處：都屬於威脅檢測類的新興技術，都用到了大數據分析技術，都是安全分析的一個具體用例，都是CARTA的重要組成部分，都推薦與SIEM/SOC集成使用，都是一類對安全分析師水平要求較高的技術，用好不易。

在Gartner的Hype Cycle中，NTA處於炒作的高峰階段，處於期望的頂點，遠未成熟。目前，國內已經有一些從事NTA的公司和產品，本人就是其中之一。

2.6 MDR威脅檢測與響應服務

MDR是一類服務，並且通常不在傳統的MSS/SaaS提供商的服務目錄中。作為一種新型的服務項目，MDR為那些想提升自身威脅檢測、事件響應和持續監測能力，卻又無力依靠自身的能力和資源去達成的企業提供了一個不錯的選擇。MDR對於SMB市場尤其具有吸引力，因為命中了他們的「興奮點」。

MDR服務是Gartner在2016年正式提出來的，定位於對高級攻擊的檢測與響應服務。與傳統MSSP主要幫客戶監測內部網路與互聯網內外間流量不同，MDR還試圖幫助客戶監測內部網路中的流量，尤其是識別高級攻擊的橫向移動環節的蛛絲馬跡，以求更好地發現針對客戶內部網路的高級攻擊。而要做到這點，就需要在客戶網路中部署多種高級攻擊檢測技術（設備），還要輔以安全分析。對於MDR服務而言，這些額外部署在客戶側的設備是屬於服務提供商的，而非客戶的。這些設備（硬體或者軟體）既可能是基於網路的，也可能是基於主機的，也可能兼有之。在安全分析的過程中，會用到威脅情報，也可能用到專業的安全分析師。在檢測出攻擊，進行響應的時候，MDR服務強調迅速、直接、輕量化（簡潔）、高效，而不會過多顧及安全管理與事件處置的流程，很多時候通過提供商部署在客戶側的設備就響應處置掉了。顯然，這種服務與傳統的MSS相比，對客戶而言更具影響性，但也更加高效，也是高級威脅對客戶造成的風險越來越大的必然反應。

Gartner預計到2020年將有15%的組織使用MDR類的服務，而現在僅不到1%。同時，到2020年80%的MSSP都會提供MDR類的安全服務，稱之為「Advanced MSS」。Gartner認為MSS和MDR是交集的關係。在未來兩年，MSS尚不會完全覆蓋MDR服務。

2.7 微隔離

廣義上講，微隔離（也有人稱做「微分段」）就是一種更細粒度的網路隔離技術，主要面向虛擬化的數據中心，重點用於阻止攻擊在進入企業數據中心網路內部後的橫向平移（或者叫東西向移動），是軟體定義安全的一種具體實踐。流可見技術（注意：不是可視化技術）則與微隔離技術伴生，因為要實現東西向網路流的隔離和控制，必先實現流的可見性（Visibility）。流可見性技術使得安全運維與管理人員可以看到內部網路信息流動的情況，使得微隔離能夠更好地設置策略並協助糾偏。此外，有些廠商還為不同工作負載之間的數據傳輸提供流量加密功能選項。Gartner提醒，謹防過度隔離！這是當前微隔離項目失敗的首要原因。

微隔離技術的落地目前較為複雜，不用用戶的訴求差異較大。Gartner將微隔離劃分出了4種模式：內生雲控制模式、第三方防火牆模式、混合式、疊加式。

本地雲控制模式就是基於虛擬化平台、IaaS等雲平台內建的能力來實現微隔離。譬如利用VMware、思科、AWS、微軟雲自帶的功能。這種模式部署和使用相對簡單，對用戶更透明，但功能也相對簡單，並且無法跨多廠商。

第三方防火牆模式又分為兩種：一種是工作在虛機之上，可以跨多廠商基礎架構、功能更為豐富，但部署和管理更複雜、性能和成本更高，並且無法實現底層的控制。另一種是藉助NFV技術和vSwitch，運行在虛機之下。主流的FW/NGFW廠商都在布局這種模式。

混合模式是上述兩種模式的混合使用，譬如東西向隔離用內生的，南北向隔離用第三方的。

疊加模式是比較有特色的，他的核心在於通過在目標虛機（也是工作負載）上部署Agent來實現實現更複雜的微隔離。目前很多初創公司聚焦於此模式及相關技術，視為一次彎道超車的機會。

需要指出的是，微隔離跟CWPP是有部分交集的，有時用戶以為自己需要微隔離，其實發現用CWPP更合適。因此，需求分析和應用場景設計十分重要，要按需使用各種技術。

在Gartner的雲安全Hype

Cycle中，微隔離位於失望的低谷，還處於成熟的早期階段。目前，國內已經出現了涉足微隔離的初創公司，但還處於孵化期。

2.8 SDP軟體定義邊界

SDP將不同的網路相連的個體（軟硬體資源）定義為一個邏輯集合，形成一個安全計算區域和邊界，這個區域中的資源對外不可見，對該區域中的資源進行訪問必須通過可信代理的嚴格訪問控制，從而實現將這個區域中的資源隔離出來，降低其受攻擊的暴露面的目標。

這種技術最初是CSA雲安全聯盟提出來的，是SDN和軟體定義安全（SDS）概念的交集。剛開始SDP主要針對WEB應用，到現在也可以針對其他應用來構建SDP了。SDP的出現消除了傳統的固化邊界，對傳統的設置DMZ區，以及搭建VPN的做法構成了挑戰，是一種顛覆性的技術。也可以說，SDP定義了一種邏輯的、動態的邊界，這個邊界是以身份和情境感知為依據的。

在Gartner的雲安全Hype

Cycle中，SDP位於新興階段，正處於曲線的頂峰。Gartner預測，到2017年底，至少10%的企業組織將利用SDP技術來隔離敏感的環境。

2.9 CASB雲訪問安全代理

CASB在2016年就位列10大技術之中。最初，CASB被大致定義為一個應用代理安全網關，用於安全地連接起用戶與多個雲服務商。現如今，Gartner對CASB賦予了更廣泛的含義：CASB作為一種產品或服務，為企業認可的雲應用提供通用雲應用使用、數據保護和治理的可見性。簡單的說，就是隨著用戶越來越多採用雲服務，並將數據存入（公有）雲中，他們需要一種產品來幫助他們採用一致的策略安全地接入不同的雲應用，讓他們清晰地看到雲服務的使用情況，實現異構雲服務的治理，並對雲中的數據進行有效的保護，而傳統的WAF、SWG和企業防火牆無法做到這些，因此需要CASB。CASB一個很重要的設計理念就是充分意識到在雲中（尤指公有雲）數據是自己的，但是承載數據的基礎設施不是自己的。Gartner指出CASB重點針對SaaS應用來提升其安全性與合規性，同時也在不斷豐富針對IaaS和PaaS的應用場景。Gartner認為CASB應提供四個維度的功能：可見性、數據安全、威脅保護、合規性。

隨著雲應用的迅速普及，Gartner對CASB概念的放大，現在CASB的功能集合已經十分龐雜，幾乎囊括了所有需要布置在用戶和雲服務提供商鏈路上的事情，包括認證、單點登錄、授權、憑據映射、設備畫像、數據安全（內容檢查、加密、數據標記化/脫敏）、日誌審計與告警、惡意代碼檢測與防護，等等。個人感覺，實在有點太重了，可能以後會拆解開來成為解決方案而非單一產品，就像我對CWPP的感覺一樣。

Gartner預計到2020年，60%的大企業將通過部署CASB來實現雲服務治理。

在Gartner的雲安全Hype

Cycle中，CASB位於失望的低谷，還處於青春期階段。有趣的是，儘管CASB尚未成熟，但Gartner卻在2017年底首次推出了CASB的魔力象限，可見Gartner對CASB青睞有加，急切盼望這個市場大發展。目前，國內已經有多個公司推出了自己的CASB產品，但不少還都是在原來堡壘機基礎上的擴展封裝，具體如何還有待觀察。還有一點，就是國內企業級SaaS其實並不普及，還是以IaaS為主，這也是制約CASB發展的一個重要因素。所以，CASB目前在中國要因地制宜。

2.10 面向DevSecOps的運營支撐系統（OSS）安全掃描與軟體成分分析

在2016年的10大信息安全技術中，也提到了DevSecOps，但強調的是DevSecOps的安全測試和RASP（運行時應用自保護）。今年，安全測試變成了安全掃描與軟體成分分析，其實基本上是一個意思，只是更加具體化了。

DevSecOps是Gartner力推的一個概念，有大量的相關分析報告。DevSecOps採用模型、藍圖、模板、工具鏈等等驅動的安全方法來對開發和運維過程進行自保護，譬如開發時應用測試、運行時應用測試、開發時/上線前安全漏洞掃描。它是一種自動化的、透明化的、合規性的、基於策略的對應用底層安全架構的配置。

對於DevSecOps的落地而言，最關鍵的一點就是自動化和透明化。各種安全控制措施在整個DevSecOps周期中都要能夠自動化地，非手工的進行配置。並且，這個自動化的過程必須是對DevOps團隊盡量透明的，既不能影響到DevOps的敏捷性本質，同時還要能夠達成法律、合規性，以及風險管理的要求。

軟體成分分析(SCA，Software

Composition Analysis)是一個比較有趣的技術。SCA專門用於分析開發人員使用的各種源碼、模塊、框架和庫，以識別和清點應用系統（OSS）的組件及其構成和依賴關係，並識別已知的安全漏洞或者潛在的許可證授權問題，把這些風險排查在應用系統投產之前，也適用於應用系統運行中的診斷分析。如果用戶要保障軟體系統的供應鏈安全，這個SCA很有作用。

在Gartner的應用安全的Hype

Cycle中，SCA屬於成熟早期的階段，屬於應用安全測試的範疇，既包含靜態測試，也包含動態測試。

2.11 容器安全

與虛擬機（VM）不同，容器使用的是一種共享操作系統（OS）的模型。對宿主OS的某個漏洞利用攻擊可能導致其上的所有容器失陷。即便容器本身是安全的，但如果缺少安全團隊的介入，以及安全架構師的指導，容器的部署過程可能產生不安全因素。傳統的基於網路或者主機的安全解決方案對容器安全沒啥作用。容器安全解決方案必須保護容器從創建到投產的整個生命周期的安全。目前大部分容器安全解決方案都提供投產前掃描和運行時監測保護的能力。

根據Gartner的定義，容器安全包括開發階段的風險評估和對容器中所有內容信任度的評估，也包括投產階段的運行時威脅防護和訪問控制。在Gartner的Hype Cycle中，容器安全目前處於新興階段。

3 其他新興技術

除了上述11大頂級技術，Gartner還列舉了一些正在興起的其他新技術：

4 主要參考信息

1.Gartner Identifies the Top Technologies for Security in 2017，https://www.gartner.com/newsroom/id/3744917;

2.Market Guide for Cloud Workload Protection Platforms, Gartner;

3.Hype Cycle for Cloud Security, 2017, Gartner;

4.It』s time to isolate your users from the Internet cesspool with remote browsing, Gartner;

5.Magic Quadrant for Secure Web Gateways, 2017, Gartner;

6.Competitive Landscape: Distributed Deception Platforms, 2016, Gartner;

7.Market Guide for Endpoint Detection and Response Solutions, Gartner;

8.Market Guide for Managed Detection and Response Services, Gartner;

9.Technology Insight for Microsegmentation, Gartner;

10.Magic Quadrant for Cloud Access Security Brokers, Gartner.

推薦閱讀：