Gartner：2018年十大安全項(xiàng)目詳解(二)

陸英

4.服務(wù)器工作負(fù)載的應(yīng)用控制項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目適合那些希望對(duì)服務(wù)器工作負(fù)載實(shí)施零信任或默認(rèn)拒絕策略的組織。該項(xiàng)目使用應(yīng)用控制機(jī)制來(lái)阻斷大部分不在白名單上的惡意代碼。Neil認(rèn)為這是十分強(qiáng)的安全策略，并被證明能夠有效抵御Spectre和Meldown攻擊。

項(xiàng)目建議：把應(yīng)用控制白名單技術(shù)跟綜合內(nèi)存保護(hù)技術(shù)結(jié)合使用。該項(xiàng)目對(duì)于物聯(lián)網(wǎng)項(xiàng)目或者是不再被供應(yīng)商提供保護(hù)支持的系統(tǒng)特別有用。

應(yīng)用控制也稱作應(yīng)用白名單，作為一種成熟的端點(diǎn)保護(hù)技術(shù)，不僅可以針對(duì)傳統(tǒng)的服務(wù)器工作負(fù)載，也可以針對(duì)云工作負(fù)載，還能針對(duì)桌面PC。EPP、云工作負(fù)載保護(hù)平臺(tái)（CWPP）中都有該技術(shù)的存在。當(dāng)然，由于桌面PC使用模式相對(duì)開(kāi)放，而服務(wù)器運(yùn)行相對(duì)封閉，因此該技術(shù)更適合服務(wù)器端點(diǎn)。通過(guò)定義一份應(yīng)用白名單，指明只有什么可以執(zhí)行，其余的皆不可執(zhí)行，能夠阻止大部分惡意軟件的執(zhí)行。一些OS已經(jīng)內(nèi)置了此類(lèi)功能。還有一些應(yīng)用控制技術(shù)能夠進(jìn)一步約束應(yīng)用在運(yùn)行過(guò)程中的行為和系統(tǒng)交互，從而實(shí)現(xiàn)更精細(xì)化的控制。

Gartner給客戶提出了如下建議：

應(yīng)用控制不是銀彈，系統(tǒng)該打補(bǔ)丁還是要打；

可以取代殺毒軟件（針對(duì)服務(wù)器端），或者調(diào)低殺毒引擎的工作量；

根據(jù)Gartner的2018年威脅對(duì)抗Hype Cycle，應(yīng)用控制處于成熟主流階段。

5.微隔離和流可見(jiàn)性項(xiàng)目

項(xiàng)目目標(biāo)客戶：該項(xiàng)目十分適用于那些具有平坦網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的組織，不論是本地網(wǎng)絡(luò)還是在IaaS中的網(wǎng)絡(luò)。這些組織希望獲得對(duì)于數(shù)據(jù)中心流量的可見(jiàn)性和控制，該項(xiàng)目旨在阻止針對(duì)數(shù)據(jù)中心攻擊的橫向移動(dòng)。MacDonald表示：“如果壞人進(jìn)來(lái)了，他們不能暢通無(wú)阻?！?/p>

項(xiàng)目建議：把獲得網(wǎng)絡(luò)可見(jiàn)性作為微隔離項(xiàng)目的切入點(diǎn)，但切忌不要過(guò)度隔離。先針對(duì)關(guān)鍵的應(yīng)用進(jìn)行隔離，同時(shí)要求供應(yīng)商支持隔離技術(shù)。

該技術(shù)在2017年也上榜了，并且2018年的技術(shù)內(nèi)涵基本沒(méi)有變化。

廣義上講，微隔離（也稱做“微分段”）就是一種更細(xì)粒度的網(wǎng)絡(luò)隔離技術(shù)，主要面向虛擬化的數(shù)據(jù)中心，重點(diǎn)用于阻止攻擊在進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移（或者叫東西向移動(dòng)），是軟件定義安全的一種具體實(shí)踐。微隔離使用策略驅(qū)動(dòng)的防火墻技術(shù)（通常是基于軟件的）或者網(wǎng)絡(luò)加密技術(shù)來(lái)隔離數(shù)據(jù)中心、公共云IaaS和容器，甚至是包含前述環(huán)境的混合場(chǎng)景中的不同工作負(fù)載、應(yīng)用和進(jìn)程。流可見(jiàn)技術(shù)（注意：不是可視化技術(shù)）則與微隔離技術(shù)伴生，因?yàn)橐獙?shí)現(xiàn)東西向網(wǎng)絡(luò)流的隔離和控制，必先實(shí)現(xiàn)流的可見(jiàn)性（Visibility）。流可見(jiàn)性技術(shù)使得安全運(yùn)維與管理人員可以看到內(nèi)部網(wǎng)絡(luò)信息流動(dòng)的情況，使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏。

除了數(shù)據(jù)中心云化給微隔離帶來(lái)的機(jī)遇，數(shù)據(jù)中心負(fù)載的動(dòng)態(tài)化、容器化以及微服務(wù)架構(gòu)也都越發(fā)成為微隔離的驅(qū)動(dòng)因素。因?yàn)檫@些新技術(shù)、新場(chǎng)景都讓傳統(tǒng)的防火墻和入侵防御技術(shù)顯得捉襟見(jiàn)肘。而數(shù)據(jù)中心架構(gòu)的變革如此之大，也引發(fā)了大型的廠商紛紛進(jìn)入這個(gè)領(lǐng)域，不見(jiàn)得是為了微隔離本身，更多還是為了自身的整體布局。譬如，云和虛擬化廠商為了自身的整體戰(zhàn)略就不得不進(jìn)入這個(gè)領(lǐng)域。個(gè)人認(rèn)為未來(lái)微隔離的startup廠商更多可能會(huì)被云廠商和大型安全廠商所并購(gòu)。此外，針對(duì)容器的微隔離也值得關(guān)注。

Gartner給出了評(píng)估微隔離的幾個(gè)關(guān)鍵衡量指標(biāo)，包括：

是基于代理的、基于虛擬化設(shè)備的還是基于容器的？

如果是基于代理的，對(duì)宿主的性能影響性如何？

如果是基于虛擬化設(shè)備的，它如何接入網(wǎng)絡(luò)中？

該解決方案支持公共云IaaS嗎？

Gartner給客戶提出了如下幾點(diǎn)建議：

欲建微隔離，先從獲得網(wǎng)絡(luò)可見(jiàn)性開(kāi)始，可見(jiàn)才可隔離；

謹(jǐn)防過(guò)度隔離，從關(guān)鍵應(yīng)用開(kāi)始；

鞭策IaaS、防火墻和交換機(jī)廠商原生支持微隔離；

Gartner將微隔離劃分出了4種模式：內(nèi)生云控制模式、第三方防火墻模式、混合式和疊加式。

根據(jù)Gartner的2018年云安全Hype Cycle，目前微隔離已經(jīng)“從失望的低谷爬了出來(lái)，正在向成熟的平原爬坡”，但依然處于成熟的早期階段。

在國(guó)內(nèi)已經(jīng)有以此技術(shù)為核心的創(chuàng)業(yè)新興廠商。

6.檢測(cè)和響應(yīng)項(xiàng)目

Gartner今年將各種檢測(cè)和響應(yīng)技術(shù)打包到一起統(tǒng)稱為“檢測(cè)和響應(yīng)項(xiàng)目”。實(shí)際上對(duì)應(yīng)了4樣?xùn)|西，包括3種技術(shù)和1種服務(wù)。

項(xiàng)目目標(biāo)客戶：該項(xiàng)目適用于那些已經(jīng)認(rèn)定被攻陷是無(wú)法避免的組織。他們希望尋找某些基于端點(diǎn)、基于網(wǎng)絡(luò)或者基于用戶的方法去獲得高級(jí)威脅檢測(cè)、調(diào)查和響應(yīng)的能力。這里有3種方式可供選擇：

端點(diǎn)保護(hù)平臺(tái)+端點(diǎn)檢測(cè)與響應(yīng)（EPP+EDR）；

用戶與實(shí)體行為分析（UEBA）；

欺騙（Decption）。

欺騙技術(shù)相對(duì)小眾，但是一個(gè)新興的市場(chǎng)。對(duì)于那些試圖尋找更深入的方法去加強(qiáng)其威脅偵測(cè)機(jī)制，從而獲得高保真事件的組織而言，采用欺騙技術(shù)是個(gè)不錯(cuò)的方法。

項(xiàng)目建議：給EPP供應(yīng)商施壓要求其提供EDR功能，給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術(shù)供應(yīng)商提供豐富的假目標(biāo)類(lèi)型組合。考慮從供應(yīng)商那里直接采購(gòu)類(lèi)似“可管理檢測(cè)與響應(yīng)”或者“托管檢測(cè)與響應(yīng)”的服務(wù)。

（1）EPP+EDR

EDR在2014年就進(jìn)入Gartner的10大技術(shù)之列了。EDR工具通常記錄大量端點(diǎn)級(jí)系統(tǒng)的行為與相關(guān)事件，譬如用戶、文件、進(jìn)程、注冊(cè)表、內(nèi)存和網(wǎng)絡(luò)事件，并將這些信息存儲(chǔ)在終端本地或者集中數(shù)據(jù)庫(kù)中。然后對(duì)這些數(shù)據(jù)進(jìn)行IOC比對(duì)，行為分析和機(jī)器學(xué)習(xí)，用以持續(xù)對(duì)這些數(shù)據(jù)進(jìn)行分析，識(shí)別信息泄露（包括內(nèi)部威脅），并快速對(duì)攻擊進(jìn)行響應(yīng)。

EDR的出現(xiàn)最初是為了彌補(bǔ)傳統(tǒng)終端/端點(diǎn)管理系統(tǒng)（Gartner稱為EPP）的不足。而現(xiàn)在，EDR正在與EPP迅速互相滲透融合，尤其是EPP廠商的新版本中紛紛加入EDR的功能，但Gartner預(yù)計(jì)未來(lái)短期內(nèi)EDR和EPP仍將并存。

EDR的用戶使用成本還是很高的，EDR的價(jià)值體現(xiàn)多少跟分析師水平高低和經(jīng)驗(yàn)多少密切相關(guān)。這也是限制EDR市場(chǎng)發(fā)展的一個(gè)重要因素。

另一方面，隨著終端威脅的不斷演化，EPP已經(jīng)不能僅僅聚焦于阻止初始的威脅感染，還需要投入精力放到加固、檢測(cè)及響應(yīng)等多個(gè)環(huán)節(jié)，因此近幾年來(lái)EPP市場(chǎng)發(fā)生了很大的變化，包括出現(xiàn)了EDR這類(lèi)注重檢測(cè)和響應(yīng)的產(chǎn)品。終于，在2018年9月底，Gartner給出了一個(gè)全新升級(jí)的EPP定義：

EPP解決方案部署在端點(diǎn)之上，用于阻止基于文件的惡意代碼攻擊和檢測(cè)惡意行為，并提供調(diào)查和修復(fù)的能力去處理需要響應(yīng)的動(dòng)態(tài)安全事件和告警。

相較于之前的EPP定義，更加強(qiáng)調(diào)對(duì)惡意代碼和惡意行為的檢測(cè)及響應(yīng)。而這個(gè)定義也進(jìn)一步反映了EPP與EDR市場(chǎng)融合的事實(shí)，基本上新一代的EPP都內(nèi)置EDR功能了。Gartner建議客戶在選購(gòu)EPP的時(shí)候，最好要求他們一并提供EDR功能。因此個(gè)人認(rèn)為，未來(lái)EDR將作為一種技術(shù)消融到其他產(chǎn)品中去，主要是EPP，也可能作為一組功能點(diǎn)存在于其他產(chǎn)品中，獨(dú)立EDR存在的可能性很小。

Gartner在2018年的威脅對(duì)抗（Threat-Facing）技術(shù)的Hype Cycle中首次標(biāo)注了EDR技術(shù)，處于即將滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出現(xiàn)在Hype Cycle中，位于Hype Cycle的“成熟平原”，屬于早期主流產(chǎn)品。Gartner表示，將EPP列入Hype Cycle是一件不同尋常的事情，因?yàn)镋PP已經(jīng)存在20年了。但之所以把EPP列進(jìn)來(lái)進(jìn)行分析就是因?yàn)榍懊嫣岬降腅PP已經(jīng)被Gartner重新定義了。

在國(guó)內(nèi)，EPP的廠商也經(jīng)歷了多年的洗禮，格局較為穩(wěn)定。而EDR產(chǎn)品則多見(jiàn)于一些新興廠商，有的已經(jīng)開(kāi)始攪動(dòng)起看似穩(wěn)定的EPP市場(chǎng)了。

（2）UEBA

UEBA曾經(jīng)在2016年列入10大安全技術(shù)，2017年未能入榜，不過(guò)在2018年以檢測(cè)與響應(yīng)項(xiàng)目中的一個(gè)分支方向的名義重新入榜。

UEBA解決方案通過(guò)對(duì)用戶和實(shí)體（如主機(jī)、應(yīng)用、網(wǎng)絡(luò)流量和數(shù)據(jù)集）基于歷史軌跡或?qū)φ战M建立行為輪廓基線來(lái)進(jìn)行分析，并將那些異于標(biāo)準(zhǔn)基線的行為標(biāo)注為可疑行為，最終通過(guò)各種異常模型的打包分析來(lái)幫助發(fā)現(xiàn)威脅和潛藏的安全事件。

根據(jù)Gartner的觀察，目前UEBA市場(chǎng)已經(jīng)出現(xiàn)了明顯的分化。一方面僅存在少量的純UEBA廠商，另一方面多種傳統(tǒng)細(xì)分市場(chǎng)的產(chǎn)品開(kāi)始將UEBA功能融入其中。其中最典型的就是SIEM廠商，已經(jīng)將UEBA技術(shù)作為SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購(gòu)SIEM時(shí)，要求廠商提供UEBA功能?！贝送?，包括EDR/EPP和CASB廠商也都紛紛在其產(chǎn)品中加入了UEBA功能。

由于不斷的并購(gòu)和其他細(xì)分市場(chǎng)產(chǎn)品的蠶食，純UEBA廠商越來(lái)越少。同時(shí)，由于該技術(shù)此前一直處于期望的頂點(diǎn)，一些率先采用UEBA技術(shù)的超前客戶的失敗案例開(kāi)始涌現(xiàn)，促使人們對(duì)這個(gè)技術(shù)進(jìn)行重新定位，當(dāng)然也有利于UEBA未來(lái)更好發(fā)展。

另外，有些做得不錯(cuò)的純UEBA廠商也開(kāi)始擴(kuò)展自己的細(xì)分市場(chǎng)。最典型的就是向SIEM廠商進(jìn)發(fā)。2017年的SIEM魔力象限就已經(jīng)出現(xiàn)了2個(gè)UEBA廠商，他們已經(jīng)開(kāi)始把自己當(dāng)作更先進(jìn)的SIEM廠商了。

在Gartner的2018年應(yīng)用安全的Hype Cycle中，UEBA基本已經(jīng)從去年的期望頂峰滑落到失望的谷底了。

未來(lái)純UEBA廠商將越來(lái)越少，要么被并購(gòu)，要么轉(zhuǎn)變到其他更大的細(xì)分市場(chǎng)。同時(shí)SIEM廠商將會(huì)大舉投入U(xiǎn)EBA技術(shù)，不論是買(mǎi)、還是OEM、抑或自研。未來(lái)，UEBA更多是一種技術(shù)、一種能力，被廣泛集成到多種安全產(chǎn)品之中，最關(guān)鍵就是UEBA引擎。但只要UEBA廠商還能開(kāi)發(fā)出具有獨(dú)立存在價(jià)值的客戶應(yīng)用場(chǎng)景，就不會(huì)消失，至少目前來(lái)看，還是具備獨(dú)立存在的價(jià)值。

國(guó)內(nèi)目前幾乎沒(méi)有UEBA的專(zhuān)業(yè)廠商，一般見(jiàn)于其他細(xì)分市場(chǎng)的產(chǎn)品家族中，譬如SIEM/安管平臺(tái)廠商，或者業(yè)務(wù)安全廠商的產(chǎn)品線中會(huì)有這個(gè)產(chǎn)品。

（3）欺騙

欺騙技術(shù)（DeceptionTechnology）的本質(zhì)就是有針對(duì)性地對(duì)攻擊者進(jìn)行我方網(wǎng)絡(luò)、主機(jī)、應(yīng)用、終端和數(shù)據(jù)的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特征識(shí)別環(huán)節(jié)，使得那些工具產(chǎn)生誤判或失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時(shí)間。譬如設(shè)置一個(gè)偽目標(biāo)/誘餌，誘騙攻擊者對(duì)其實(shí)施攻擊，從而觸發(fā)攻擊告警。

欺騙技術(shù)作為一種新型的威脅檢測(cè)技術(shù)，可以作為SIEM或者其他新型檢測(cè)技術(shù)（如NTA、UEBA）的有益補(bǔ)充，尤其是在檢測(cè)高級(jí)威脅的橫向移動(dòng)方面。Gartner認(rèn)為未來(lái)欺騙類(lèi)產(chǎn)品獨(dú)立存在的可能性很小，絕大部分都將被并購(gòu)或者消亡，成為大的產(chǎn)品方案中的一環(huán)。

針對(duì)欺騙技術(shù)，Gartner給客戶的建議包括：

要求廠商提供豐富的假目標(biāo)（類(lèi)型）組合；

要求提供基于攻擊者視角的可視化拓?fù)洌?/p>

要求提供完整的API能力，便于客戶進(jìn)行編排和自動(dòng)化集成。

Gartner一直大力推介欺騙技術(shù)。在2018年的威脅對(duì)抗Hype Cycle中首次列入了欺騙平臺(tái)技術(shù)，并將其列為新興技術(shù)，正在向期望的高峰攀登?？傮w上，不論是技術(shù)的產(chǎn)品化實(shí)用程度，還是客戶的接受程度，都處于早期，Gartner預(yù)計(jì)還有5～10年才能趨于成熟。

（4）MDR服務(wù)

MDR在2017年已經(jīng)上榜，作為一種服務(wù)，為那些想提升自身高級(jí)威脅檢測(cè)、事件響應(yīng)和持續(xù)監(jiān)測(cè)能力，卻又無(wú)力依靠自身的能力和資源去達(dá)成的企業(yè)提供了一個(gè)選擇。

事實(shí)上，如果采購(gòu)了MDR服務(wù)，MDR提供商可能會(huì)在網(wǎng)絡(luò)中部署前面提及的某些新型威脅檢測(cè)裝置，當(dāng)然客戶不必具體操心這些設(shè)備的使用，交給MDR服務(wù)提供商就行。

根據(jù)觀察，MDR也是一個(gè)機(jī)會(huì)市場(chǎng)，隨著MSSP越來(lái)越多的提供MDR服務(wù)，純MDR廠商將會(huì)逐步消失，或者變成檢測(cè)產(chǎn)品廠商提供的一種產(chǎn)品附加服務(wù)。Gartner建議客戶盡量選擇具有MDR服務(wù)能力的MSSP。

在2018年的威脅對(duì)抗HypeCycle中首次列入了MDR，并將其列為新興技術(shù)，且比欺騙技術(shù)還要早。

（5）小結(jié)

目前市面上常見(jiàn)的新型威脅檢測(cè)技術(shù)大體上包括：EDR，NTA，UEBA，TIP，網(wǎng)絡(luò)沙箱及欺騙技術(shù)等。可以說(shuō)這些新型技術(shù)各有所長(zhǎng)，也各有使用限制。這里面，威脅情報(bào)比對(duì)相對(duì)最簡(jiǎn)單實(shí)用，但前提是要有靠譜的情報(bào)。沙箱技術(shù)相對(duì)最成熟，但也被攻擊者研究得相對(duì)最透徹。EDR在整個(gè)IT架構(gòu)的神經(jīng)末梢端進(jìn)行檢測(cè)，理論效果最好，但受限于部署和維護(hù)問(wèn)題，對(duì)宿主的影響性始終揮之不去，甚至還有些智能設(shè)備根本無(wú)法部署代理。NTA部署相對(duì)簡(jiǎn)單，對(duì)網(wǎng)絡(luò)干擾性小，但對(duì)分散性網(wǎng)絡(luò)部署成本較高，且難以應(yīng)對(duì)越來(lái)越多的加密通信。UEBA肯定是一個(gè)好東西，但需要提供較高質(zhì)量的數(shù)據(jù)輸入，且機(jī)器學(xué)習(xí)分析的結(jié)果確切性不可能100 %，也就是存在誤報(bào)，多用于Threat Hunting，還需要分析師的后續(xù)分析。欺騙技術(shù)理論上很好，基本不影響客戶現(xiàn)有的業(yè)務(wù)，但需要額外的網(wǎng)絡(luò)改造成本，而且效果還未被廣泛證實(shí)。對(duì)于客戶而言，不論選擇哪種新型技術(shù)，首先要把基礎(chǔ)的IDP，SIEM布上去，然后再考慮進(jìn)階的檢測(cè)能力。而具體用到哪種新型檢測(cè)技術(shù)，則要具體問(wèn)題具體分析，切不可盲目跟風(fēng)。