Gartner：2018年10大安全项目详解

我的观点，未来纯UEBA厂商将越来越少，要么被并购，要么转变到其它更大的细分市场。同时SIEM厂商将会大举投入UEBA技术，不论是买，还是OEM，抑或自研。未来，UEBA更多是一种技术，一种能力，被广泛集成到多种安全产品之中，最关键就是UEBA引擎。但只要UEBA厂商还能够开发出具有独立存在价值的客户应用场景，就不会消失。至少目前来看，还是具备独立存在的价值的。

在国内目前几乎没有UEBA的专业厂商，一般见于其它细分市场的产品家族中，譬如SIEM/安管平台厂商，或者业务安全厂商的产品线中会有这个产品。我比较自豪的是，我们公司是目前国内少有的几家具有UEBA产品的新兴安管平台厂商之一。

(3) 欺骗

该技术在2016年就上榜了。欺骗技术(DeceptionTechnology)的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装，欺骗攻击者，尤其是攻击者的工具中的各种特征识别环节，使得那些工具产生误判或失效，扰乱攻击者的视线，将其引入死胡同，延缓攻击者的时间。譬如可以设置一个伪目标/诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。

欺骗技术作为一种新型的威胁检测技术，可以作为SIEM或者其它新型检测技术(如NTA、UEBA)的有益补充，尤其是在检测高级威胁的横向移动方面。Gartner认为未来欺骗类产品独立存在的可能性很小，绝大部分都将被并购或者消亡，成为大的产品方案中的一环。

针对欺骗技术，Gartner给客户的建议包括：

• 要求厂商提供丰富的假目标(类型)组合;
• 要求提供基于攻击者视角的可视化拓扑;
• 要求提供完整的API能力，便于客户进行编排和自动化集成。

Gartner近来一直大力推介欺骗技术。在2018年的威胁对抗Hype Cycle中首次列入了欺骗平台技术，并将其列为新兴技术，正在向期望的高峰攀登。总体上，不论是技术的产品化实用程度，还是客户的接受程度，都处于早期，Gartner预计还有5到10年才能趋于成熟。

在国内，这块市场也刚刚萌芽(不算以前的特定客户市场)。出现了若干个具有(但不是主打)此类产品的新兴公司。

(4) MDR服务

MDR在2017年也已经上榜了。MDR作为一种服务，为那些想提升自身高级威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个选择。

事实上，如果你采购了MDR服务，MDR提供商可能会在你的网络中部署前面提及的某些新型威胁检测装置，当然客户不必具体操心这些设备的使用，交给MDR服务提供商就好了。

根据我的观察，MDR也是一个机会市场，随着MSSP越来越多的提供MDR服务，纯MDR厂商将会逐步消失，或者变成检测产品厂商提供的一种产品附加服务。Gartner建议客户尽量选择具有MDR服务能力的MSSP。

在2018年的威胁对抗HypeCycle中首次列入了MDR，并将其列为新兴技术，并且比欺骗技术还要早期。

(5) 小结

这里，我个人小结一下，目前市面上常见的新型威胁检测技术大体上包括：EDR、NTA、UEBA、TIP、网络沙箱、欺骗技术等。可以说这些新型技术各有所长，也各有使用限制。这里面，威胁情报比对相对最简单实用，但前提是要有靠谱的情报。沙箱技术相对最为成熟，但也被攻击者研究得相对最透。EDR在整个IT架构的神经末梢端进行检测，理论效果最好，但受限于部署和维护问题，对宿主的影响性始终挥之不去，甚至还有些智能设备根本无法部署代理。NTA部署相对简单，对网络干扰性小，但对分散性网络部署成本较高，且难以应对越来越多的加密通信。UEBA肯定也是一个好东西，但需要提供较高质量的数据输入，且机器学习分析的结果确切性不可能100%，也就是存在误报，多用于Threat Hunting，也就是还要以来分析师的后续分析。欺骗技术理论上很好，而且基本不影响客户现有的业务，但需要额外的网络改造成本，而且效果还未被广泛证实。对于客户而言，不论选择哪种新型技术，首先要把基础的IDP、SIEM布上去，然后再考虑进阶的检测能力。而具体用到哪种新型检测技术，则要具体问题具体分析了，切不可盲目跟风。

7. 云安全配置管理(CSPM)项目

【项目目标客户】该项目适用于那些希望对其IaaS和PaaS云安全配置进行全面、自动化评估，以识别风险的组织。CASB厂商也提供这类能力。

【项目建议】如果客户仅仅有一个单一的IaaS，那么先去咨询你的IaaS提供商;客户如果已经或者想要部署CASB，也可以先去问问CASB供应商。

CSPM(Cloud Security PostureManagement)是Neil自己新造的一个词，原来叫云基础设施安全配置评估(CISPA)，也是他取的名字。改名的原因在原来仅作“评估”，现在不仅要“评估”，还要“修正”，因此改叫“管理”。Posture在这里我认为是不应该翻译为“态势”的，其实Neil本意也不是讲我们国人所理解的态势，而是讲配置。

要理解CSPM，首先就要分清楚CSPM和CWPP的关系，Neil自己画了下图来阐释：

如上图所示，在谈及云工作负载的安全防护的时候，一般分为三个部分去考虑，分属于两个平面。一个是数据平面，一个是控制平面。在数据平面，主要包括针对云工作负载本身进行防护的CWPP，以及云工作负载之上的CWSS(云工作负载安全服务)。CWSS是在云工作负载之上对负载进行安全防护。在控制平面，则都是在负载之上对负载进行防护的措施，就包括了CSPM，以及前面的CWSS(此处有重叠)。

CSPM能够对IaaS，以及PaaS，甚至SaaS的控制平面中的基础设施安全配置进行分析与管理(纠偏)。这些安全配置包括账号特权、网络和存储配置、以及安全配置(如加密设置)。理想情况下，如果发现配置不合规，CSPM会采取行动进行纠偏(修正)。大体上，我们可以将CSPM归入弱点扫描类产品中去，跟漏扫、配置核查搁到一块。

（编辑：源码网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!