Gartner：2018年10大安全项目详解

该技术在2016年就上榜了。不过，每年的侧重点各有不同。在2016年侧重的是DevSecOps的安全测试和RASP(运行时应用自保护)，2017年则侧重面向开源软件(Open Source Software)进行安全扫描和软件成份分析。2018年则继续强调针对开源软件的软件成份分析。

DevSecOps是Gartner力推的一个概念，有大量的相关分析报告。DevSecOps采用模型、蓝图、模板、工具链等等驱动的安全方法来对开发和运维过程进行自保护，譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、合规性的、基于策略的对应用底层安全架构的配置。

软件成份分析(SCA，SoftwareComposition Analysis)专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点开源软件(OSS)的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题，把这些风险排查在应用系统投产之前，也适用于应用系统运行中的诊断分析。如果用户要保障软件系统的供应链安全，这个SCA很有作用。

Gartner给出了SCA关键评估指标包括：

• 是否具备漏洞和配置扫描功能?
• 能否将开源组件指纹与CVE关联?
• 能否与SAST/DAST/IAST扫描集成?

Gartner给客户的建议则包括：

• 不要轻易让SCA的使用者(一般是开发人员)切换工具;
• 需要提供API以便使用者进行自动化集成;
• 确保能够检查到开源软件的许可证问题;
• SCA的测试过程要无缝集成到DevSecOps流程中;

在Gartner的2018年应用安全的Hype Cycle中，SCA相较于去年更加成熟，但仍处于成熟早期的阶段，属于应用安全测试的范畴，可以综合使用静态测试、动态测试、交互测试等手段。

9.  CASB项目

【项目目标客户】该项目适用于那些移动办公情况相对较多，采用了多个云厂商的云服务的组织。这些组织希望获得一个控制点，以便获得这些云服务的可见性和集中的策略管控。

【项目建议】以服务发现功能作为切入点去验证项目的可行性。建议在2018年和2019年将高价值敏感数据发现与监测作为关键的应用案例。

该技术从2014年就开始上榜了，并且今年的技术内涵基本没有变化。

CASB作为一种产品或服务，为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。CASB的出现原因，简单说，就是随着用户越来越多采用云服务，并将数据存入(公有)云中，他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用，让他们清晰地看到云服务的使用情况，实现异构云服务的治理，并对云中的数据进行有效的保护，而传统的WAF、SWG和企业防火墙无法做到这些，因此需要CASB。

CASB相当于一个超级网关，融合了多种类型的安全策略执行点。在这个超级网关上，能够进行认证、单点登录、授权、凭据映射、设备建模、数据安全(内容检测、加密、混淆)、日志管理、告警，甚至恶意代码检测和防护。正如我在《Gartner2017年十大安全技术解读》中所述，CASB就是一个大杂烩。

CASB一个很重要的设计理念就是充分意识到在云中(尤指公有云)数据是自己的，但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供四个维度的功能：发现、数据保护、威胁检测、合规性。

Neil Mcdonald将CASB项目进一步分为了云应用发现、自适应访问、敏感数据发现与保护三个子方向，建议根据自身的成熟度选取其中的一个或者几个优先进行建设。而这三个子方向其实也对应了CASB四大功能中的三个(除了威胁检测)。

在Gartner的2018年云安全HypeCycle中，CASB依然位于失望的低谷，但就快要爬出去了，继续处于青春期阶段。

国内也有不少自称做CASB的厂商，但跟Gartner所描述的还有差别，也算是中国特色吧，毕竟在国内多云应用场景还不普及。注意，我认为云堡垒机是PAM在云中的一个应用场景，不能叫做CASB。

10.  软件定义边界项目

【项目目标客户】该项目瞄准那些仅想将其数字系统和信息开放给指定的外部合作伙伴或者远程员工的组织。这些组织希望通过限制数字系统和信息的暴露面来减少攻击面。

【项目提示】重新评估原有基于VPN的访问机制的风险。建议在2018年选取一个跟合作伙伴交互的数字服务作为试点，尝试建立应用案例。

该技术在2017年也上榜了，并且今年的技术内涵基本没有变化。

SDP将不同的网络相连的个体(软硬件资源)定义为一个逻辑集合，形成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须通过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，降低其受攻击的暴露面的目标。其实，Google的BeyondCorp零信任理念也跟SDP或者软件定义安全同源。目前，SDP技术吸引了很多寻找云应用场景下的VPN替代方案的客户的目光。根据Gartner的分析，目前SDP还处于大量吸引投资的阶段，此类新兴公司正在不断涌现，并购行为尚很少见。

在Gartner的2018年云安全Hype Cycle中，SDP已经从2017年的期望顶峰开始向失望的低谷滑落，尚处于青春期阶段。

三、其他新兴技术

除了上述10大安全项目，Gartner还列举了一些正在兴起的其他新技术：

• Remote browser isolation
• Container security
• Breach and attack simulation
• Controls gap risk analytics
• Digital supply chain risk assessment services
• Encryption by default, encryption everywhere
• Anti-fraud/bot protection platforms (UI protection)
• ERP-specific security/business-critical application security
• Data flow discovery, monitoring and analytics
• Bug bounty programs, crowdsourced and pen testing aaS
• Cloud firewalls and UTMs for branch office and SOHO
• EPP + EDR merger = Advanced endpoint protection
• IoT/OT discovery, visibility, monitoring and deception
• SecOps chat

其中，排在前两位的远程浏览器隔离、容器安全都是2017年的11大技术之列，而排第三的BAS也是这两年Gartner推崇的新兴技术，而BAS和从排5开始的所有技术也都是原封不动地从2017年的待选新技术中复制过来的。

有一点可以提示一下，上述技术都已经有产品和方案落地，而非研究性课题。

四、收益分析

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!