2019年2月11日,Gartner一改過去在年度安全與風險管理峰會上發表10大安全技術/項目的作風,早早發布了2019年的十大安全項目,并表示將在今年的安全與風險管理峰會上具體呈現。因此,這次算是Gartner提前發布預覽版吧。

2019年的十大安全項目分別是:

1)Privileged Access Management,特權賬戶管理(PAM)

2)CARTA-Inspired Vulnerability Management,符合CARTA方法論的弱點管理

3)Detection and Response,檢測與響應

4)Cloud Security Posture Management,云安全配置管理(CSPM)

5)Cloud Access Security Broker,云訪問安全代理(CASB)

6)Business Email Compromise,商業郵件失陷

7)Dark Data Discovery,暗數據發現

8)Security Incident Response,安全事件響應

9)Container Security,容器安全

10)Security Rating Services,安全評級服務

對比一下歷年的10大技術/項目,可以發現,跟2018年相比,前5個項目基本上是沿襲下來了,第6個商業郵件失陷則是在去年的反釣魚項目基礎上做了修訂,后4個則是新上榜的。全新上榜的包括暗數據發現、安全事件響應和安全評級服務,而容器安全則是隔年再次上榜。

特別值得一提的是今年的10大安全項目中終于明確地增加了數據安全方面的項目——暗數據發現。在解讀2018年10大安全項目的時候我就在分析老Neil為啥遲遲不考慮數據安全,今年終于有所體現了。

首先,一如既往地,Gartner特別強調,客戶在考慮上述10大技術之前,一定要考慮到先期的基礎安全建設,很多項目都需要建構在基礎安全能力達標的情況下。這些基礎安全能力包括(但不限于):

1)在系統防護方面,包括采用最新的EPP和統一端點管理(Unified Endpoint Management,UEM是Gartner定義的區分于EPP的另一個細分市場,強調對包括異構的PC、移動端和物聯網終端的統一管理。該市場不屬于信息安全市場,而歸屬于IT運維管理市場。2018年Gartner首次推出了UEM的MQ)和服務器安全防護。

2)在用戶控制方面,包括從windows用戶列表中移除管理員權限,用戶賬號的生命周期管理和多因素認證。

3)在基礎設施安全方面,包括日志監控、備份/恢復能力、補丁和基本的弱點管理,以及各種邊界安全控制。

4)在信息處理方面,包括郵件安全控制、安全意識培訓等。

以下簡要分析一下新上榜和修訂后上榜的5個項目。

商業郵件失陷

或許是去年提出來的“積極反釣魚”項目名稱太老套,不夠醒目,抑或是這個名稱容易掩蓋在反釣魚時對流程管控的關鍵依賴,今年Gartner提出了一個新的項目名稱——Business Email Compromise。

BEC這個詞其實提出來也有好幾年了,不算是Gartner的原創。簡單地說,BEC可以那些指代高級的、復雜的、高度定向的郵件釣魚攻|擊,就好比APT之于普通網絡攻|擊。BEC釣魚通常不會在郵件中使用惡意附件、或者釣魚URL,而純靠社會工程學技術。譬如發件人往往冒用公司高層領導或其他你很難忽略的人,而且收件人也不是大面積的掃射,而是十分精準、小眾。BEC釣魚的特性使得很多傳統的防御機制失效或者效果大減,而需要進行綜合治理,結合多種技術手段,以及人和流程。在技術手段這塊,Gartner特別指出ML(機器學習)技術的應用前景廣闊。

暗數據發現

這是Gartner首次明確提出了數據安全領域的10大安全項目/技術。暗數據(Dark Data)是Gartner發明的詞。它就像宇宙中的暗物質,大量充斥。暗數據產生后基本沒有被利用/應用起來,但又不能說沒有價值,可能還暗藏風險,最大問題是用戶自己都不知道有哪些暗數據,再哪里,有多大風險。尤其是現在GDPR等法規加持之下,暗數據中可能包括的違規的信息。

其實,就好比在做網絡安全的時候,要先了解自己網絡中有哪些IP資產,尤其是有哪些自己都不知道的影子資產一樣。在做數據安全的時候,要先進行數據發現,包括暗數據發現,這也是一個針對數據“摸清家底”的過程。這個步驟比數據分類,敏感數據識別更靠前。事實上,Gartner建議數據分類和敏感數據識別工具去集成暗數據發現能力。此外,Gartner在2018年的Hype Cycle中提出了一個達到炒作頂峰的技術——“File Analysis”(文件分析),該技術就特別強調對不斷膨脹的、散落在共享文件、郵件、內容協作平臺、云端等等各處的非結構化暗數據的發現、梳理與理解。這里的發現包括了找到這些暗數據的所有者、位置、副本、大小、最后訪問或修改時間、安全屬性及其變化情況、文件類型及每種文件類型所特有的元數據。

安全事件響應

安全IR絕對可以稱得上是一個十分十分老的詞了。安全業界做這個IR已經幾十年了。那么Gartner為啥要提出來呢?Neil沒有詳談原因。我分析,在檢測與響應被提升到如此高度的今天,基本上所有業內人士都對響應代表了未來需要重點突破和提升的方向沒有什么異議。Gartner在歷年的十大技術/項目中都有響應相關的項目,但仔細看,我們就會發現更多還是一些分散的響應技術,譬如EDR,NDR等,并且都是跟檢測技術合在一起講。今年,Gartner則更進一步,從安全運營的角度提出了IR,應該還是很有深意的。同時,在“檢測與響應”項目中,也首次提及了SIEM+SOAR。讓我們等到Gartner安全與風險管理峰會時,且看Neil如何解讀IR吧。

容器安全

容器安全在2017年已經位列當年的11大安全技術了。為何重回榜單?應該是因為容器技術越來越多的被應用的緣故,尤其是隨著微服務架構和Develops開發模式的盛行,越來越多開發人員使用容器技術。容器安全愈發重要,不僅是運行時容器安全保護技術,還應該關注開發時容器安全掃描技術,要把容器安全與DevSecOps整合起來。

安全評級服務

Security Rating Services也不是新鮮東西,幾年前就已經出現。在2018年的Hype Cycle中,SRS處于炒作的頂峰。Gartner還在2018年專門發布了一份SRS的Innovation Insight報告。

Gartner認為,SRS為組織實體提供了一種持續的、獨立的、量化的安全分析與評分機制。SRS通過非侵入式的手段從公開或者私有的渠道收集數據,對這些數據加以分析,并通過他們自己定義的一套打分方法對組織實體的安全形勢進行評級。SRS可以用于內部安全、網絡保險承包、并購,或者第三方/供應商網絡安全風險的評估與監控。

Gartner認為在當今數字轉型、數字生態的大背景下,該業務前景廣闊。同時,該服務和解決方案尚未成熟,正在快速演變。

最后,讓我們期待2019年的Gartner安全與風險管理峰會的召開吧。