Gartner：2018年10大安全项目详解

Gartner给出了评估微隔离的几个关键衡量指标，包括：

• 是基于代理的、基于虚拟化设备的还是基于容器的?
• 如果是基于代理的，对宿主的性能影响性如何?
• 如果是基于虚拟化设备的，它如何接入网络中?
• 该解决方案支持公共云IaaS吗?

Gartner还给客户提出了如下几点建议：

• 欲建微隔离，先从获得网络可见性开始，可见才可隔离;
• 谨防过度隔离，从关键应用开始;
• 鞭策IaaS、防火墙、交换机厂商原生支持微隔离;

Gartner将微隔离划分出了4种模式：内生云控制模式、第三方防火墙模式、混合式、叠加式。

根据Gartner的2018年云安全Hype Cycle，目前微隔离已经“从失望的低谷爬了出来，正在向成熟的平原爬坡”，但依然处于成熟的早期阶段。

在国内已经有以此技术为核心的创业新兴厂商。

6. 检测和响应项目

Gartner今年将各种检测和响应技术打包到一起统称为“检测和响应项目”。实际上对应了4样东西，包括三种技术和一种服务。

【项目目标客户】该项目适用于那些已经认定被攻陷是无法避免的组织。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力。这里有三种方式可供选择：

• EPP+EDR：端点保护平台+端点检测与响应
• UEBA：用户与实体行为分析
• Decption：欺骗

欺骗技术相对小众，但是一个新兴的市场。对于那些试图寻找更深入的方法去加强其威胁侦测机制，从而获得高保真事件的组织而言，采用欺骗技术是个不错的点子。

【项目建议】给EPP供应商施压要求其提供EDR功能，给SIEM厂商施压要求其提供UEBA功能。要求欺骗技术供应商提供丰富的假目标类型组合。考虑从供应商那里直接采购类似MDR(“可管理检测与响应”，或者“托管检测与响应”)的服务。

(1) EPP+EDR

EDR(端点检测于响应)在2014年就进入Gartner的10大技术之列了。EDR工具通常记录大量端点级系统的行为与相关事件，譬如用户、文件、进程、注册表、内存和网络事件，并将这些信息存储在终端本地或者集中数据库中。然后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别信息泄露(包括内部威胁)，并快速对攻击进行响应。

EDR的出现最初是为了弥补传统终端/端点管理系统(Gartner称为EPP)的不足。而现在，EDR正在与EPP迅速互相渗透融合，尤其是EPP厂商的新版本中纷纷加入了EDR的功能，但Gartner预计未来短期内EDR和EPP仍将并存。

EDR的用户使用成本还是很高的，EDR的价值体现多少跟分析师水平高低和经验多少密切相关。这也是限制EDR市场发展的一个重要因素。

另外一方面，随着终端威胁的不断演化，EPP(端点保护平台)已经不能仅仅聚焦于阻止初始的威胁感染，还需要投入精力放到加固、检测、响应等等多个环节，因此近几年来EPP市场发生了很大的变化，包括出现了EDR这类注重检测和响应的产品。终于，在2018年9月底，Gartner给出了一个全新升级的EPP定义：

EPP解决方案部署在端点之上，用于阻止基于文件的恶意代码攻击、检测恶意行为，并提供调查和修复的能力去处理需要响应的动态安全事件和告警。

相较于之前的EPP定义，更加强调对恶意代码和恶意行为的检测及响应。而这个定义也进一步反映了EPP与EDR市场融合的事实，基本上新一代的EPP都内置EDR功能了。Gartner建议客户在选购EPP的时候，最好要求他们一并提供EDR功能。因此，我个人认为，未来EDR将作为一种技术消融到其它产品中去，主要是EPP，也可能作为一组功能点存在于其它产品中。独立EDR存在的可能性会十分地小。

Gartner在2018年的威胁对抗(Threat-Facing)技术的Hype Cycle中首次标注了EDR技术，处于即将滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出现在Hype Cycle中，位于Hype Cycle的“成熟平原”，属于早期主流产品。Gartner自己也表示，将EPP例如Hype Cycle也是一件不同寻常的事情，因为EPP已经存在20年了。但之所以把EPP列进来进行分析就是因为前面提到的EPP已经被Gartner重新定义了。

在国内，EPP的厂商也已经经历了多年的洗礼，格局较为稳定。而EDR产品则多见于一些新兴厂商，有的已经开始搅动起看似稳定的EPP市场了。

(2) UEBA

UEBA(用户与实体行为分析)曾经在2016年例如10大安全技术，2017年未能入榜，不过在2018年以检测与响应项目中的一个分支方向的名义重新入榜。

UEBA解决方案通过对用户和实体(如主机、应用、网络流量和数据集)基于历史轨迹或对照组建立行为轮廓基线来进行分析，并将那些异于标准基线的行为标注为可疑行为，最终通过各种异常模型的打包分析来帮助发现威胁和潜藏的安全事件。

根据Gartner的观察，目前UEBA市场已经出现了明显的分化。一方面仅存在少量的纯UEBA厂商，另一方面多种传统细分市场的产品开始将UEBA功能融入其中。这其中最典型的就是SIEM厂商，已经将UEBA技术作为了SIEM的核心引擎。Gartner在给客户的建议中明确提到“在选购SIEM的时候，要求厂商提供UEBA功能”。此外，包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。

由于不断的并购和其它细分市场产品的蚕食，纯UEBA厂商越来越少。同时，由于该技术此前一直处于期望的顶点，一些率先采用UEBA技术的超前客户的失败案例开始涌现，促使人们对这个技术进行重新定位，当然也有利于UEBA未来更好发展。

另外，有些做得不错的纯UEBA厂商也开始扩展自己的细分市场。最典型的就是向SIEM厂商进发。2017年的SIEM魔力象限就已经出现了两个UEBA厂商，他们已经开始把自己当作更先进的SIEM厂商了。

在Gartner的2018年应用安全的Hype Cycle中，UEBA已经从去年的期望顶峰基本滑落到失望的谷底了，总体上仍处于青春期的阶段。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!