Gartner：2018年十大安全項目詳解(二)

陸英

4.服務器工作負載的應用控制項目

項目目標客戶：該項目適合那些希望對服務器工作負載實施零信任或默認拒絕策略的組織。該項目使用應用控制機制來阻斷大部分不在白名單上的惡意代碼。Neil認為這是十分強的安全策略，并被證明能夠有效抵御Spectre和Meldown攻擊。

項目建議：把應用控制白名單技術跟綜合內存保護技術結合使用。該項目對于物聯網項目或者是不再被供應商提供保護支持的系統特別有用。

應用控制也稱作應用白名單，作為一種成熟的端點保護技術，不僅可以針對傳統的服務器工作負載，也可以針對云工作負載，還能針對桌面PC。EPP、云工作負載保護平臺（CWPP）中都有該技術的存在。當然，由于桌面PC使用模式相對開放，而服務器運行相對封閉，因此該技術更適合服務器端點。通過定義一份應用白名單，指明只有什么可以執行，其余的皆不可執行，能夠阻止大部分惡意軟件的執行。一些OS已經內置了此類功能。還有一些應用控制技術能夠進一步約束應用在運行過程中的行為和系統交互，從而實現更精細化的控制。

Gartner給客戶提出了如下建議：

應用控制不是銀彈，系統該打補丁還是要打；

可以取代殺毒軟件（針對服務器端），或者調低殺毒引擎的工作量；

根據Gartner的2018年威脅對抗Hype Cycle，應用控制處于成熟主流階段。

5.微隔離和流可見性項目

項目目標客戶：該項目十分適用于那些具有平坦網絡拓撲結構的組織，不論是本地網絡還是在IaaS中的網絡。這些組織希望獲得對于數據中心流量的可見性和控制，該項目旨在阻止針對數據中心攻擊的橫向移動。MacDonald表示：“如果壞人進來了，他們不能暢通無阻。”

項目建議：把獲得網絡可見性作為微隔離項目的切入點，但切忌不要過度隔離。先針對關鍵的應用進行隔離，同時要求供應商支持隔離技術。

該技術在2017年也上榜了，并且2018年的技術內涵基本沒有變化。

廣義上講，微隔離（也稱做“微分段”）就是一種更細粒度的網絡隔離技術，主要面向虛擬化的數據中心，重點用于阻止攻擊在進入企業數據中心網絡內部后的橫向平移（或者叫東西向移動），是軟件定義安全的一種具體實踐。微隔離使用策略驅動的防火墻技術（通常是基于軟件的）或者網絡加密技術來隔離數據中心、公共云IaaS和容器，甚至是包含前述環境的混合場景中的不同工作負載、應用和進程。流可見技術（注意：不是可視化技術）則與微隔離技術伴生，因為要實現東西向網絡流的隔離和控制，必先實現流的可見性（Visibility）。流可見性技術使得安全運維與管理人員可以看到內部網絡信息流動的情況，使得微隔離能夠更好地設置策略并協助糾偏。

除了數據中心云化給微隔離帶來的機遇，數據中心負載的動態化、容器化以及微服務架構也都越發成為微隔離的驅動因素。因為這些新技術、新場景都讓傳統的防火墻和入侵防御技術顯得捉襟見肘。而數據中心架構的變革如此之大，也引發了大型的廠商紛紛進入這個領域，不見得是為了微隔離本身，更多還是為了自身的整體布局。譬如，云和虛擬化廠商為了自身的整體戰略就不得不進入這個領域。個人認為未來微隔離的startup廠商更多可能會被云廠商和大型安全廠商所并購。此外，針對容器的微隔離也值得關注。

Gartner給出了評估微隔離的幾個關鍵衡量指標，包括：

是基于代理的、基于虛擬化設備的還是基于容器的？

如果是基于代理的，對宿主的性能影響性如何？

如果是基于虛擬化設備的，它如何接入網絡中？

該解決方案支持公共云IaaS嗎？

Gartner給客戶提出了如下幾點建議：

欲建微隔離，先從獲得網絡可見性開始，可見才可隔離；

謹防過度隔離，從關鍵應用開始；

鞭策IaaS、防火墻和交換機廠商原生支持微隔離；

Gartner將微隔離劃分出了4種模式：內生云控制模式、第三方防火墻模式、混合式和疊加式。

根據Gartner的2018年云安全Hype Cycle，目前微隔離已經“從失望的低谷爬了出來，正在向成熟的平原爬坡”，但依然處于成熟的早期階段。

在國內已經有以此技術為核心的創業新興廠商。

6.檢測和響應項目

Gartner今年將各種檢測和響應技術打包到一起統稱為“檢測和響應項目”。實際上對應了4樣東西，包括3種技術和1種服務。

項目目標客戶：該項目適用于那些已經認定被攻陷是無法避免的組織。他們希望尋找某些基于端點、基于網絡或者基于用戶的方法去獲得高級威脅檢測、調查和響應的能力。這里有3種方式可供選擇：

端點保護平臺+端點檢測與響應（EPP+EDR）；

用戶與實體行為分析（UEBA）；

欺騙（Decption）。

欺騙技術相對小眾，但是一個新興的市場。對于那些試圖尋找更深入的方法去加強其威脅偵測機制，從而獲得高保真事件的組織而言，采用欺騙技術是個不錯的方法。

項目建議：給EPP供應商施壓要求其提供EDR功能，給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術供應商提供豐富的假目標類型組合。考慮從供應商那里直接采購類似“可管理檢測與響應”或者“托管檢測與響應”的服務。

（1）EPP+EDR

EDR在2014年就進入Gartner的10大技術之列了。EDR工具通常記錄大量端點級系統的行為與相關事件，譬如用戶、文件、進程、注冊表、內存和網絡事件，并將這些信息存儲在終端本地或者集中數據庫中。然后對這些數據進行IOC比對，行為分析和機器學習，用以持續對這些數據進行分析，識別信息泄露（包括內部威脅），并快速對攻擊進行響應。

EDR的出現最初是為了彌補傳統終端/端點管理系統（Gartner稱為EPP）的不足。而現在，EDR正在與EPP迅速互相滲透融合，尤其是EPP廠商的新版本中紛紛加入EDR的功能，但Gartner預計未來短期內EDR和EPP仍將并存。

EDR的用戶使用成本還是很高的，EDR的價值體現多少跟分析師水平高低和經驗多少密切相關。這也是限制EDR市場發展的一個重要因素。

另一方面，隨著終端威脅的不斷演化，EPP已經不能僅僅聚焦于阻止初始的威脅感染，還需要投入精力放到加固、檢測及響應等多個環節，因此近幾年來EPP市場發生了很大的變化，包括出現了EDR這類注重檢測和響應的產品。終于，在2018年9月底，Gartner給出了一個全新升級的EPP定義：

EPP解決方案部署在端點之上，用于阻止基于文件的惡意代碼攻擊和檢測惡意行為，并提供調查和修復的能力去處理需要響應的動態安全事件和告警。

相較于之前的EPP定義，更加強調對惡意代碼和惡意行為的檢測及響應。而這個定義也進一步反映了EPP與EDR市場融合的事實，基本上新一代的EPP都內置EDR功能了。Gartner建議客戶在選購EPP的時候，最好要求他們一并提供EDR功能。因此個人認為，未來EDR將作為一種技術消融到其他產品中去，主要是EPP，也可能作為一組功能點存在于其他產品中，獨立EDR存在的可能性很小。

Gartner在2018年的威脅對抗（Threat-Facing）技術的Hype Cycle中首次標注了EDR技術，處于即將滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出現在Hype Cycle中，位于Hype Cycle的“成熟平原”，屬于早期主流產品。Gartner表示，將EPP列入Hype Cycle是一件不同尋常的事情，因為EPP已經存在20年了。但之所以把EPP列進來進行分析就是因為前面提到的EPP已經被Gartner重新定義了。

在國內，EPP的廠商也經歷了多年的洗禮，格局較為穩定。而EDR產品則多見于一些新興廠商，有的已經開始攪動起看似穩定的EPP市場了。

（2）UEBA

UEBA曾經在2016年列入10大安全技術，2017年未能入榜，不過在2018年以檢測與響應項目中的一個分支方向的名義重新入榜。

UEBA解決方案通過對用戶和實體（如主機、應用、網絡流量和數據集）基于歷史軌跡或對照組建立行為輪廓基線來進行分析，并將那些異于標準基線的行為標注為可疑行為，最終通過各種異常模型的打包分析來幫助發現威脅和潛藏的安全事件。

根據Gartner的觀察，目前UEBA市場已經出現了明顯的分化。一方面僅存在少量的純UEBA廠商，另一方面多種傳統細分市場的產品開始將UEBA功能融入其中。其中最典型的就是SIEM廠商，已經將UEBA技術作為SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購SIEM時，要求廠商提供UEBA功能。”此外，包括EDR/EPP和CASB廠商也都紛紛在其產品中加入了UEBA功能。

由于不斷的并購和其他細分市場產品的蠶食，純UEBA廠商越來越少。同時，由于該技術此前一直處于期望的頂點，一些率先采用UEBA技術的超前客戶的失敗案例開始涌現，促使人們對這個技術進行重新定位，當然也有利于UEBA未來更好發展。

另外，有些做得不錯的純UEBA廠商也開始擴展自己的細分市場。最典型的就是向SIEM廠商進發。2017年的SIEM魔力象限就已經出現了2個UEBA廠商，他們已經開始把自己當作更先進的SIEM廠商了。

在Gartner的2018年應用安全的Hype Cycle中，UEBA基本已經從去年的期望頂峰滑落到失望的谷底了。

未來純UEBA廠商將越來越少，要么被并購，要么轉變到其他更大的細分市場。同時SIEM廠商將會大舉投入UEBA技術，不論是買、還是OEM、抑或自研。未來，UEBA更多是一種技術、一種能力，被廣泛集成到多種安全產品之中，最關鍵就是UEBA引擎。但只要UEBA廠商還能開發出具有獨立存在價值的客戶應用場景，就不會消失，至少目前來看，還是具備獨立存在的價值。

國內目前幾乎沒有UEBA的專業廠商，一般見于其他細分市場的產品家族中，譬如SIEM/安管平臺廠商，或者業務安全廠商的產品線中會有這個產品。

（3）欺騙

欺騙技術（DeceptionTechnology）的本質就是有針對性地對攻擊者進行我方網絡、主機、應用、終端和數據的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特征識別環節，使得那些工具產生誤判或失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時間。譬如設置一個偽目標/誘餌，誘騙攻擊者對其實施攻擊，從而觸發攻擊告警。

欺騙技術作為一種新型的威脅檢測技術，可以作為SIEM或者其他新型檢測技術（如NTA、UEBA）的有益補充，尤其是在檢測高級威脅的橫向移動方面。Gartner認為未來欺騙類產品獨立存在的可能性很小，絕大部分都將被并購或者消亡，成為大的產品方案中的一環。

針對欺騙技術，Gartner給客戶的建議包括：

要求廠商提供豐富的假目標（類型）組合；

要求提供基于攻擊者視角的可視化拓撲；

要求提供完整的API能力，便于客戶進行編排和自動化集成。

Gartner一直大力推介欺騙技術。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術，并將其列為新興技術，正在向期望的高峰攀登。總體上，不論是技術的產品化實用程度，還是客戶的接受程度，都處于早期，Gartner預計還有5～10年才能趨于成熟。

（4）MDR服務

MDR在2017年已經上榜，作為一種服務，為那些想提升自身高級威脅檢測、事件響應和持續監測能力，卻又無力依靠自身的能力和資源去達成的企業提供了一個選擇。

事實上，如果采購了MDR服務，MDR提供商可能會在網絡中部署前面提及的某些新型威脅檢測裝置，當然客戶不必具體操心這些設備的使用，交給MDR服務提供商就行。

根據觀察，MDR也是一個機會市場，隨著MSSP越來越多的提供MDR服務，純MDR廠商將會逐步消失，或者變成檢測產品廠商提供的一種產品附加服務。Gartner建議客戶盡量選擇具有MDR服務能力的MSSP。

在2018年的威脅對抗HypeCycle中首次列入了MDR，并將其列為新興技術，且比欺騙技術還要早。

（5）小結

目前市面上常見的新型威脅檢測技術大體上包括：EDR，NTA，UEBA，TIP，網絡沙箱及欺騙技術等。可以說這些新型技術各有所長，也各有使用限制。這里面，威脅情報比對相對最簡單實用，但前提是要有靠譜的情報。沙箱技術相對最成熟，但也被攻擊者研究得相對最透徹。EDR在整個IT架構的神經末梢端進行檢測，理論效果最好，但受限于部署和維護問題，對宿主的影響性始終揮之不去，甚至還有些智能設備根本無法部署代理。NTA部署相對簡單，對網絡干擾性小，但對分散性網絡部署成本較高，且難以應對越來越多的加密通信。UEBA肯定是一個好東西，但需要提供較高質量的數據輸入，且機器學習分析的結果確切性不可能100 %，也就是存在誤報，多用于Threat Hunting，還需要分析師的后續分析。欺騙技術理論上很好，基本不影響客戶現有的業務，但需要額外的網絡改造成本，而且效果還未被廣泛證實。對于客戶而言，不論選擇哪種新型技術，首先要把基礎的IDP，SIEM布上去，然后再考慮進階的檢測能力。而具體用到哪種新型檢測技術，則要具體問題具體分析，切不可盲目跟風。