Gartner2019年度的十大安全项目_gartner2019年十大安全方向-CSDN博客

2019年6月份，一年一度的的Gartner安全与风险管理峰会上，Gartner如期正式公布了2019年度的十大安全项目（2019 Top 10 Security Projects）。

➀ Privileged AccessManagement，特权账户管理（PAM）

➁CARTA-InspiredVulnerability Management，符合CARTA方法论的弱点管理

➂Detection and Response，检测与响应

➃Cloud Security PostureManagement，云安全配置管理（CSPM）

➄Cloud Access SecurityBroker，云访问安全代理（CASB）

➅Business Email Compromise，商业邮件失陷

➆Dark Data Discovery，暗数据发现

➇ Security Incident Response，安全事件响应

➈Container Security，容器安全

➉Security Rating Services，安全评级服务

跟2018年相比，前5个项目基本上是沿袭下来了，第6个商业邮件失陷则是在去年的反钓鱼项目基础上做了修订，后4个则是新上榜的。其中，全新上榜的包括暗数据发现、安全事件响应和安全评级服务，而容器安全则是时隔一年后重新上榜。

下面深入解读“十大安全项目”：

01特权账户管理（PAM）

该项目旨在更好地防御攻击者访问特权账户，并能够让安全团队对非常规访问事件进行监控。至少，首席信息安全官应该为所有账户管理员都进行强制性多重身份验证，Gartner建议同时也对承包商等外部第三方的访问实施强制多因素认证。

世平数据安全治理产品采用权限管理技术，基于角色挖掘、风险访问控制、半/非结构化数据的访问控制、针对隐私保护的访问控制、世系数据相关的访问控制、密码学等多种访问控制手段，实现对不同的用户给予不同的访问权限，从而确保合适的数据及合适的属性在合适的时间和地点，给合适的用户访问，保障数据的安全。

02符合CARTA方法论的弱点管理

基于CARTA（持续自适应风险与信任评估战略方法）方法论，该项目能够很好地处理漏洞管理问题，并有助于显著降低潜在风险。在补丁管理流程中断，以及IT运维的速度赶不上漏洞增长的速度时，可以考虑该项目。

世平信息结合信息安全风险评估的相关理论，提出了数据隐私信息从采集到最后给出风险评估指数的整个流程。

准备阶段主要完成两项工作：

①建立的敏感信息评估系统对隐私按敏感度分级，同时分析隐私数据的类别，关键要素等；

②建立的博弈论模型对攻击者建模。

风险识别阶段主要完成两项工作：

①分析攻击者可能存在的攻击方式；

②对隐私信息做预先风险性分析，概括其存在的威胁和脆弱点，推断由其威胁和错弱点能够导致的各类安全事件。

风险分析阶段，对隐私数据存在的风险做出定性和定量的分析。

①通过对比因素分析法、逻辑分析法、历史比较法等不同定性分析方法，结合语义学理论设计针对数据的高效定性分析方法。

②针对风险评估各环节中的不确定性因素和无法定量的特性，从定量角度研究数据的私密信息因遭受泄露、修改、不可用和破坏所带来的影响列表。

03检测和响应

该项目适用于那些已经认定被攻陷是无法避免的组织。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力。

1）EPP+EDR（端点保护平台+端点检测与响应）

世平端点检测与响应的解决方案采用多种内容识别技术，识别及定位终端电脑上合规的敏感数据，协助用户梳理终端主机中的敏感数据并对数据的外发予以监控和防护，根据不同的防护要求制定相应的防护策略，对敏感信息外发进行审计；当敏感信息通过网络方式（WEB、FTP、邮件、文件共享、IM即时通讯、P2P下载、远程连接）、外设（移动存储、光驱刻录、打印机、剪切板）、异常行为检测（切换登录用户、安装多个操作系统、开启远程桌面）、设备管控（光驱、串口、蓝牙、网卡、红外、打印、USB存储）、水印（屏幕信息水印、屏幕防泄漏水印、二维码打印水印、背景打印水印）等方式向外发送时，按照策略配置的响应方式进行防护。

2）UEBA（用户实体行为分析）

世平的数据防护体系采用机器学习和专有算法的UEBA，以部门、个人、资产、资产群等为单位建立多维度行为基线，关联用户与资产的行为，用机器学习算法（基于数量、关联关系、行为序列，上百个模型）和预定义规则对照行为基线计算用户行为灰度（异常分值），根据用户行为灰度判断用户行为是否异常，对严重偏离基线的异常行为能够主动报警。该体系通过动态学习不断提高行为检测的效率以及准确率，并且实现了策略配置定义、更新、维护的自动化执行，为数据安全提供自动化检测手段的同时更加有效地保护数据资产的安全。

4云安全配置管理（CSPM）

该项目适用于那些希望对其IaaS和PaaS云安全配置进行全面、自动化评估，以识别风险的组织。CASB厂商也提供这类能力。

CSPM（Cloud Security PostureManagement）是Neil自己新造的一个词，原来叫云基础设施安全配置评估（CISPA），也是他取的名字。改名的原因在原来仅作“评估”，现在不仅要“评估”，还要“修正”，因此改叫“管理”。Posture在这里我认为是不应该翻译为“态势”的，其实Neil本意也不是讲我们国人所理解的态势，而是讲配置。

要理解CSPM，首先就要分清楚CSPM和CWPP的关系，Neil自己画了下图来阐释：

如上图所示，在谈及云工作负载的安全防护的时候，一般分为三个部分去考虑，分属于两个平面。一个是数据平面，一个是控制平面。在数据平面，主要包括针对云工作负载本身进行防护的CWPP，以及云工作负载之上的CWSS（云工作负载安全服务）。CWSS是在云工作负载之上对负载进行安全防护。在控制平面，则都是在负载之上对负载进行防护的措施，就包括了CSPM，以及前面的CWSS（此处有重叠）。

CSPM能够对IaaS，以及PaaS，甚至SaaS的控制平面中的基础设施安全配置进行分析与管理（纠偏）。这些安全配置包括账号特权、网络和存储配置、以及安全配置（如加密设置）。理想情况下，如果发现配置不合规，CSPM会采取行动进行纠偏（修正）。大体上，我们可以将CSPM归入弱点扫描类产品中去，跟漏扫、配置核查搁到一块。

对云的正确配置是很重要的一件事，譬如因为对AWS云的S3 bucket配置不当，已经发生了多次重大的信息泄露事件。云厂商一般也都会提供类似的功能，但是对于跨云用户而言，需要有专门的配置管理工具去消除不同云环境中的具体配置差异。

Gartner认为CASB中应该具备CSPM功能。同时，一些CWPP厂商也开始提供CSPM功能。

5CASB（云访问安全代理）

随着云技术的不断渗透，各家单位的数据流也发生了巨大改变。安全即服务（SaaS）应用程序、越来越多移动设备的投入使用以及基础设施及服务（IaaS）的影响面越来越广，这些变化逐渐改变了“传输中的数据”的传统定义，通过云托管，数据始终保持着运行状态，数据流动也更加地难以预测。

世平数据安全治理产品使用CASB了解企业数据的发展情况，检测可疑活动，扫描电子邮件的恶意内容，防止恶意软件的传播，并阻止一系列的攻击，针对所有数据流，都具有策略一致性。数据安全策略统一是数据安全治理的关键原则，有助于确保数据流之间的统一控制，而不受数据传输的影响。

6商业邮件失陷

或许是去年提出来的“积极反钓鱼”项目名称太老套，不够醒目，抑或是这个名称容易掩盖在反钓鱼时对流程管控的关键依赖，今年Gartner提出了一个新的项目名称——Business Email Compromise。BTW，我认为该项目名称应该叫反商业邮件失陷。

BEC这个词其实提出来也有好几年了，不算是Gartner的原创。简单地说，BEC可以那些指代高级的、复杂的、高度定向的邮件钓鱼攻击，就好比APT之于普通网络攻击。BEC钓鱼通常不会在邮件中使用恶意附件、或者钓鱼URL，而纯靠社会工程学技术。譬如发件人往往冒用公司高层领导或其他你很难忽略的人，而且收件人也不是大面积的扫射，而是十分精准、小众。BEC钓鱼的特性使得很多传统的防御机制失效或者效果大减，而需要进行综合治理，结合多种技术手段，以及人和流程。在技术手段这块，Gartner特别指出ML（机器学习）技术的应用前景广阔。

7暗数据发现

这是Gartner首次明确提出了数据安全领域的10大安全项目/技术。暗数据（Dark Data）是Gartner发明的词。它就像宇宙中的暗物质，大量充斥。暗数据产生后基本没有被利用/应用起来，但又不能说没有价值，可能还暗藏风险，最大问题是用户自己都不知道有哪些暗数据，再哪里，有多大风险。尤其是现在GDPR等法规加持之下，暗数据中可能包括的违规的信息。

其实，就好比在做网络安全的时候，要先了解自己网络中有哪些IP资产，尤其是有哪些自己都不知道的影子资产一样。在做数据安全的时候，要先进行数据发现，包括暗数据发现，这也是一个针对数据“摸清家底”的过程。这个步骤比数据分类，敏感数据识别更靠前。事实上，Gartner建议数据分类和敏感数据识别工具去集成暗数据发现能力。此外，Gartner在2018年的Hype Cycle中提出了一个达到炒作顶峰的技术——“File Analysis”（文件分析），该技术就特别强调对不断膨胀的、散落在共享文件、邮件、内容协作平台、云端等等各处的非结构化暗数据的发现、梳理与理解。这里的发现包括了找到这些暗数据的所有者、位置、副本、大小、最后访问或修改时间、安全属性及其变化情况、文件类型及每种文件类型所特有的元数据。

8安全事件响应

安全IR绝对可以称得上是一个十分十分老的词了。安全业界做这个IR已经几十年了。那么Gartner为啥要提出来呢？Neil没有详谈原因。我分析，在检测与响应被提升到如此高度的今天，基本上所有业内人士都对响应代表了未来需要重点突破和提升的方向没有什么异议。Gartner在历年的十大技术/项目中都有响应相关的项目，但仔细看，我们就会发现更多还是一些分散的响应技术，譬如EDR，NDR等，并且都是跟检测技术合在一起讲。今年，Gartner则更进一步，从安全运营的角度提出了IR，应该还是很有深意的。同时，在“检测与响应”项目中，也首次提及了SIEM+SOAR。让我们等到Gartner安全与风险管理峰会时，且看Neil如何解读IR吧。

9容器安全

容器安全在2017年已经位列当年的11大安全技术了。为何重回榜单？应该是因为容器技术越来越多的被应用的缘故，尤其是随着微服务架构和Develops开发模式的盛行，越来越多开发人员使用容器技术。容器安全愈发重要，不仅是运行时容器安全保护技术，还应该关注开发时容器安全扫描技术，要把容器安全与DevSecOps整合起来。

10安全评级服务

Security Rating Services也不是新鲜东西，几年前就已经出现。在2018年的Hype Cycle中，SRS处于炒作的顶峰。Gartner还在2018年专门发布了一份SRS的Innovation Insight报告。

Gartner认为，SRS为组织实体提供了一种持续的、独立的、量化的安全分析与评分机制。SRS通过非侵入式的手段从公开或者私有的渠道收集数据，对这些数据加以分析，并通过他们自己定义的一套打分方法对组织实体的安全形势进行评级。SRS可以用于内部安全、网络保险承包、并购，或者第三方/供应商网络安全风险的评估与监控。

Gartner认为在当今数字转型、数字生态的大背景下，该业务前景广阔。同时，该服务和解决方案尚未成熟，正在快速演变。

转自：https://www.freebuf.com/column/208556.html 、http://www.360doc.com/content/19/0301/10/37805727_818308541.shtml