信息來源:51cto
2019年2月11日,Gartner一改過去在年度安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)表10大安全技術(shù)/項(xiàng)目的作風(fēng),早早發(fā)布了2019年的十大安全項(xiàng)目,并表示將在今年的安全與風(fēng)險(xiǎn)管理峰會(huì)上具體呈現(xiàn)。因此,這次算是Gartner提前發(fā)布預(yù)覽版吧。
2019年的十大安全項(xiàng)目分別是:
1)Privileged Access Management,特權(quán)賬戶管理(PAM)
2)CARTA-Inspired Vulnerability Management,符合CARTA方法論的弱點(diǎn)管理
3)Detection and Response,檢測(cè)與響應(yīng)
4)Cloud Security Posture Management,云安全配置管理(CSPM)
5)Cloud Access Security Broker,云訪問安全代理(CASB)
6)Business Email Compromise,商業(yè)郵件失陷
7)Dark Data Discovery,暗數(shù)據(jù)發(fā)現(xiàn)
8)Security Incident Response,安全事件響應(yīng)
9)Container Security,容器安全
10)Security Rating Services,安全評(píng)級(jí)服務(wù)
對(duì)比一下歷年的10大技術(shù)/項(xiàng)目,可以發(fā)現(xiàn),跟2018年相比,前5個(gè)項(xiàng)目基本上是沿襲下來了,第6個(gè)商業(yè)郵件失陷則是在去年的反釣魚項(xiàng)目基礎(chǔ)上做了修訂,后4個(gè)則是新上榜的。全新上榜的包括暗數(shù)據(jù)發(fā)現(xiàn)、安全事件響應(yīng)和安全評(píng)級(jí)服務(wù),而容器安全則是隔年再次上榜。
特別值得一提的是今年的10大安全項(xiàng)目中終于明確地增加了數(shù)據(jù)安全方面的項(xiàng)目——暗數(shù)據(jù)發(fā)現(xiàn)。在解讀2018年10大安全項(xiàng)目的時(shí)候我就在分析老Neil為啥遲遲不考慮數(shù)據(jù)安全,今年終于有所體現(xiàn)了。
首先,一如既往地,Gartner特別強(qiáng)調(diào),客戶在考慮上述10大技術(shù)之前,一定要考慮到先期的基礎(chǔ)安全建設(shè),很多項(xiàng)目都需要建構(gòu)在基礎(chǔ)安全能力達(dá)標(biāo)的情況下。這些基礎(chǔ)安全能力包括(但不限于):
1)在系統(tǒng)防護(hù)方面,包括采用最新的EPP和統(tǒng)一端點(diǎn)管理(Unified Endpoint Management,UEM是Gartner定義的區(qū)分于EPP的另一個(gè)細(xì)分市場(chǎng),強(qiáng)調(diào)對(duì)包括異構(gòu)的PC、移動(dòng)端和物聯(lián)網(wǎng)終端的統(tǒng)一管理。該市場(chǎng)不屬于信息安全市場(chǎng),而歸屬于IT運(yùn)維管理市場(chǎng)。2018年Gartner首次推出了UEM的MQ)和服務(wù)器安全防護(hù)。
2)在用戶控制方面,包括從windows用戶列表中移除管理員權(quán)限,用戶賬號(hào)的生命周期管理和多因素認(rèn)證。
3)在基礎(chǔ)設(shè)施安全方面,包括日志監(jiān)控、備份/恢復(fù)能力、補(bǔ)丁和基本的弱點(diǎn)管理,以及各種邊界安全控制。
4)在信息處理方面,包括郵件安全控制、安全意識(shí)培訓(xùn)等。
以下簡(jiǎn)要分析一下新上榜和修訂后上榜的5個(gè)項(xiàng)目。
商業(yè)郵件失陷
或許是去年提出來的“積極反釣魚”項(xiàng)目名稱太老套,不夠醒目,抑或是這個(gè)名稱容易掩蓋在反釣魚時(shí)對(duì)流程管控的關(guān)鍵依賴,今年Gartner提出了一個(gè)新的項(xiàng)目名稱——Business Email Compromise。
BEC這個(gè)詞其實(shí)提出來也有好幾年了,不算是Gartner的原創(chuàng)。簡(jiǎn)單地說,BEC可以那些指代高級(jí)的、復(fù)雜的、高度定向的郵件釣魚攻|擊,就好比APT之于普通網(wǎng)絡(luò)攻|擊。BEC釣魚通常不會(huì)在郵件中使用惡意附件、或者釣魚URL,而純靠社會(huì)工程學(xué)技術(shù)。譬如發(fā)件人往往冒用公司高層領(lǐng)導(dǎo)或其他你很難忽略的人,而且收件人也不是大面積的掃射,而是十分精準(zhǔn)、小眾。BEC釣魚的特性使得很多傳統(tǒng)的防御機(jī)制失效或者效果大減,而需要進(jìn)行綜合治理,結(jié)合多種技術(shù)手段,以及人和流程。在技術(shù)手段這塊,Gartner特別指出ML(機(jī)器學(xué)習(xí))技術(shù)的應(yīng)用前景廣闊。
暗數(shù)據(jù)發(fā)現(xiàn)
這是Gartner首次明確提出了數(shù)據(jù)安全領(lǐng)域的10大安全項(xiàng)目/技術(shù)。暗數(shù)據(jù)(Dark Data)是Gartner發(fā)明的詞。它就像宇宙中的暗物質(zhì),大量充斥。暗數(shù)據(jù)產(chǎn)生后基本沒有被利用/應(yīng)用起來,但又不能說沒有價(jià)值,可能還暗藏風(fēng)險(xiǎn),最大問題是用戶自己都不知道有哪些暗數(shù)據(jù),再哪里,有多大風(fēng)險(xiǎn)。尤其是現(xiàn)在GDPR等法規(guī)加持之下,暗數(shù)據(jù)中可能包括的違規(guī)的信息。
其實(shí),就好比在做網(wǎng)絡(luò)安全的時(shí)候,要先了解自己網(wǎng)絡(luò)中有哪些IP資產(chǎn),尤其是有哪些自己都不知道的影子資產(chǎn)一樣。在做數(shù)據(jù)安全的時(shí)候,要先進(jìn)行數(shù)據(jù)發(fā)現(xiàn),包括暗數(shù)據(jù)發(fā)現(xiàn),這也是一個(gè)針對(duì)數(shù)據(jù)“摸清家底”的過程。這個(gè)步驟比數(shù)據(jù)分類,敏感數(shù)據(jù)識(shí)別更靠前。事實(shí)上,Gartner建議數(shù)據(jù)分類和敏感數(shù)據(jù)識(shí)別工具去集成暗數(shù)據(jù)發(fā)現(xiàn)能力。此外,Gartner在2018年的Hype Cycle中提出了一個(gè)達(dá)到炒作頂峰的技術(shù)——“File Analysis”(文件分析),該技術(shù)就特別強(qiáng)調(diào)對(duì)不斷膨脹的、散落在共享文件、郵件、內(nèi)容協(xié)作平臺(tái)、云端等等各處的非結(jié)構(gòu)化暗數(shù)據(jù)的發(fā)現(xiàn)、梳理與理解。這里的發(fā)現(xiàn)包括了找到這些暗數(shù)據(jù)的所有者、位置、副本、大小、最后訪問或修改時(shí)間、安全屬性及其變化情況、文件類型及每種文件類型所特有的元數(shù)據(jù)。
安全事件響應(yīng)
安全I(xiàn)R絕對(duì)可以稱得上是一個(gè)十分十分老的詞了。安全業(yè)界做這個(gè)IR已經(jīng)幾十年了。那么Gartner為啥要提出來呢?Neil沒有詳談原因。我分析,在檢測(cè)與響應(yīng)被提升到如此高度的今天,基本上所有業(yè)內(nèi)人士都對(duì)響應(yīng)代表了未來需要重點(diǎn)突破和提升的方向沒有什么異議。Gartner在歷年的十大技術(shù)/項(xiàng)目中都有響應(yīng)相關(guān)的項(xiàng)目,但仔細(xì)看,我們就會(huì)發(fā)現(xiàn)更多還是一些分散的響應(yīng)技術(shù),譬如EDR,NDR等,并且都是跟檢測(cè)技術(shù)合在一起講。今年,Gartner則更進(jìn)一步,從安全運(yùn)營(yíng)的角度提出了IR,應(yīng)該還是很有深意的。同時(shí),在“檢測(cè)與響應(yīng)”項(xiàng)目中,也首次提及了SIEM+SOAR。讓我們等到Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)時(shí),且看Neil如何解讀IR吧。
容器安全
容器安全在2017年已經(jīng)位列當(dāng)年的11大安全技術(shù)了。為何重回榜單?應(yīng)該是因?yàn)槿萜骷夹g(shù)越來越多的被應(yīng)用的緣故,尤其是隨著微服務(wù)架構(gòu)和Develops開發(fā)模式的盛行,越來越多開發(fā)人員使用容器技術(shù)。容器安全愈發(fā)重要,不僅是運(yùn)行時(shí)容器安全保護(hù)技術(shù),還應(yīng)該關(guān)注開發(fā)時(shí)容器安全掃描技術(shù),要把容器安全與DevSecOps整合起來。
安全評(píng)級(jí)服務(wù)
Security Rating Services也不是新鮮東西,幾年前就已經(jīng)出現(xiàn)。在2018年的Hype Cycle中,SRS處于炒作的頂峰。Gartner還在2018年專門發(fā)布了一份SRS的Innovation Insight報(bào)告。
Gartner認(rèn)為,SRS為組織實(shí)體提供了一種持續(xù)的、獨(dú)立的、量化的安全分析與評(píng)分機(jī)制。SRS通過非侵入式的手段從公開或者私有的渠道收集數(shù)據(jù),對(duì)這些數(shù)據(jù)加以分析,并通過他們自己定義的一套打分方法對(duì)組織實(shí)體的安全形勢(shì)進(jìn)行評(píng)級(jí)。SRS可以用于內(nèi)部安全、網(wǎng)絡(luò)保險(xiǎn)承包、并購(gòu),或者第三方/供應(yīng)商網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的評(píng)估與監(jiān)控。
Gartner認(rèn)為在當(dāng)今數(shù)字轉(zhuǎn)型、數(shù)字生態(tài)的大背景下,該業(yè)務(wù)前景廣闊。同時(shí),該服務(wù)和解決方案尚未成熟,正在快速演變。
最后,讓我們期待2019年的Gartner安全與風(fēng)險(xiǎn)管理峰會(huì)的召開吧。