Gartner：2018年十大安全項目詳解(一)

陸英

在2018年的Gartner安全與風險管理峰會上，知名分析師Neil Mcdonald發布了2018年度的十大安全項目（Top 10 Security Projects）。推出這些頂級技術的目的也是供客戶方的信息安全主管們作為當年安全投資建設的推薦參考。接下來，我們逐一解析一下這10大項目。

1.特權賬戶管理項目

項目目標客戶：該項目旨在讓攻擊者更難訪問特權賬戶，并讓安全團隊監測到異常訪問的行為。最低限度，CISO們應該要求對所有管理員實施強制多因素認證，建議同時也對承包商等外部第三方的訪問實施強制多因素認證。

項目建議：先對高價值、高風險的系統實施PAM，監控對其的訪問行為。

PAM工具為組織的關鍵資產提供安全的特權訪問，以符合對特權賬號及其訪問的監控管理合規需求。PAM通常具備以下功能：

對特權賬號的訪問控制功能，包括共享賬號和應急賬號；

監控、記錄和審計特權訪問操作、命令和動作；

自動地對各種管理類、服務類和應用類賬戶的密碼及其它憑據進行隨機化、管理和保管；

為特權指令的執行提供一種安全的單點登錄（SSO）機制；

委派、控制和過濾管理員所能執行的特權操作；

隱藏應用和服務的賬戶，讓使用者不用掌握這些賬戶實際的密碼；

具備或者能夠集成高可信認證方式，譬如集成MFA。

很顯然，雖然國內談PAM很少，但實際上早已大量運用，其實就對應我們國內常說的堡壘機。

Gartner將PAM工具分為兩類：特權賬戶和會話管理（PASM）和權限提升與委派管理（PEDM）。

PASM一般對應那個堡壘機邏輯網關，實現單點登錄，集中的訪問授權與控制，設備系統密碼代管、會話管理、對操作的審計（錄像）。

PEDM則主要通過分散的Agent來實現訪問授權與控制，以及操作過濾和審計。國內的堡壘機一般都沒有采用這種技術模式。

Gartner分析未來PAM的技術發展趨勢包括：

支持特權任務自動化，多個操作打包自動化執行；

將PAM用于DevOps，讓DevOps更安全更便捷；

支持容器；

支持IaaS/PaaS和虛擬化環境；

以云服務的形式交付PAM；

特權訪問操作分析，就是對堡壘機日志進行分析，可以用到UEBA技術；

與漏洞管理相結合；

系統和特權賬戶發現；

特權身份治理與管理。

Gartner列出了評價PAM的幾個關鍵衡量指標：

環境支持的情況，是否支持云環境？

具備PASM和PEDM功能，具有錄像功能；

提供完備的API以便進行自動化集成；

具備自然人/非自然人的賬號管理功能。

在Gartner的2018年IAM技術Hype Cycle中，PAM處于早期主流階段，正在向成熟的平原邁進。

2.符合CARTA方法論的弱點管理項目

項目目標客戶：基于CARTA方法論，該項目能夠很好地處理漏洞管理問題，并有助于顯著降低潛在風險。在補丁管理流程中斷，以及IT運維的速度趕不上漏洞增長的速度時，可以考慮該項目。你無法打上每個補丁，但可以通過風險優先級管理顯著降低風險。

項目建議：要求你的虛擬助手/虛擬機供應商提供該能力（如果客戶已經上云/虛擬化的話），并考慮使用風險緩解措施，譬如上防火墻、IPS、WAF等。

注意，弱點管理不是弱點評估。弱點評估對應我們熟知的弱點掃描工具，包括系統漏掃、Web漏掃、配置核查、代碼掃描等。而弱點管理是在弱點評估工具之上，收集這些工具所產生的各類弱點數據，進行集中整理分析，并輔以情境數據（譬如資產、威脅、情報等），進行風險評估，并幫助安全管理人員進行弱點全生命周期管理的平臺。記住，弱點管理是平臺，而弱點掃描是工具。

另外，“Vulnerability Management”筆者一直稱作“弱點管理”，而不是“漏洞管理”，是因為弱點包括漏洞，還包括弱配置，如果你認為Vulnerability應該叫做漏洞，那也沒關系，但不要把弱配置落掉。

那么，什么叫做基于CARTA的弱點管理呢？熟悉CARTA就能明白，本質上CARTA就是以風險為核心一套安全方法論。因此，基于CARTA的弱點管理等價于基于風險的弱點管理。基于風險的管理是一個不斷迭代提升的過程，包括弱點發現、弱點優先級排序、弱點補償控制三個階段。

作為排名第二位的項目，Gartner建議盡快啟動，盡早降低組織面臨的風險。

Gartner對基于CARTA方法論的VM的衡量指標包括：

是否有情境信息，誰收到攻擊？不僅是IP，而是他的情境信息都需要，以便全面評估；

能否算出資產的業務價值？

能否繪制網絡拓撲，給出緩解措施？

把漏洞評估和漏洞管理一并考慮，譬如集成VA工具

目前在國內一般有兩類弱點管理產品，一類是單一的弱點管理產品，屬于輕量級的弱點管理平臺，更多具有工具的使用特點，管理類功能相對較為簡單。還有一類是作為SOC/安管平臺的一個組成部分，具有較為完備的平臺功能，并具備風險計算功能，把漏洞管理的流程和其它SOC運維流程整合到一起。

3.積極的反釣魚項目

項目目標客戶：該項目瞄準那些至今依然有員工遭受成功網絡釣魚攻擊的組織。他們需要采用一個三管齊下的策略，即同時進行技術控制、終端用戶控制和流程重構。使用技術控制措施盡可能多地阻斷釣魚攻擊，同時需要終端使用用戶積極成為防御體系中的一環。

項目建議：不要點名批評那些沒有做到位的部門或者個人，而應該大張旗鼓的宣傳那些做得得當的行為。應該去詢問郵件安全供應商能否承擔這個項目。如果不能，為什么？（注：郵件安全供應商應該具有這樣的能力，否則就不合格）

Gartner認為近幾年內，網絡釣魚（不論是郵件釣魚還是網頁釣魚）依然會是APT攻擊的最經典方式，也會是面向C端用戶的普遍性攻擊方法。網絡釣魚一種普遍存在的高影響性威脅，他通過社交工程來實現對個人和企業資產的非法訪問。尤其是郵件釣魚十分猖獗，并還有不斷上升的勢頭。盡管已經涌現了不少應對技術，但效果仍不顯著。從技術上看，產生釣魚的因素十分復雜，并且跟企業和個人信息泄露密切相關，很難從單一維度進行阻斷。因此，Gartner提出了要進行綜合治理的說法，需要運用技術、人和流程相結合的手段。

Gartner給出的綜合治理建議如下：

（1）在安全郵件網關（SEG）上加載高級威脅防御技術

最典型的就是集成URL過濾技術。URL過濾必須支持點擊時URL過濾分析（time-of-click URL filtering）和使用代理的URL過濾分析，因為很多惡意URL都是在用戶雙擊后動態產生的，還有的URL外面包了代理。這些都增加了過濾的難度。其次是集成網絡沙箱，這類技術已經較為成熟，但用到SEG上，性能是一個問題，并且開始出現沙箱逃逸。

更高級的是針對郵件中的附件文件進行內容拆解與重建（Content Disarm and Reconstruction，CDR）。這種技術會實時地把文件分拆為不同的組成部分，然后剝去任何不符合文件原始規范的內容，再重新把文件的不同部分組合起來，形成一個“干凈”的版本，繼續將它傳到目的地，而不影響業務。這里的CDR最核心的工作就是對文件進行清洗，譬如去掉宏、去掉js腳本等嵌入式代碼。這種技術性能還不錯，但可能會清洗掉合法的動態腳本，導致文件不可用。因此Gartner建議一方面快速CDR清洗后發給用戶，另一方面繼續跑沙箱，如果沒問題再追發原始文件給用戶。

當然，釣魚手段遠不止于此，譬如無載荷的釣魚攻擊，因此，還有很多細節需要考慮。

（2）不要僅僅依靠密碼來進行認證，要采用更安全的認證機制，尤其針對高價值的系統和高敏感用戶。

（3）使用反釣魚行為管控（APBM）技術

這類技術聚焦員工的行為管控和矯正，通常作為安全意識教育與培訓的輔助手段。這類產品會發起模擬的釣魚攻擊，然后根據被測員工的行為反饋來對其進行教育和矯正。目前這種技術主要以服務的方式交付給客戶。

（4）強化內部流程管控

如有些無載荷釣魚，包括一些社交工程的魚叉式精準釣魚，引誘收件人透露賬號密碼或者敏感信息。這些都是技術手段所不能及的，要對關鍵流程進行重新梳理，加強管控。

Gartner給客戶的其它建議還包括：

要求郵件安全供應商提供反釣魚功能；

確保合作伙伴也實施了反釣魚防護；

正面管理，而不是相反。

考慮與遠程瀏覽器隔離技術結合使用（遠程瀏覽器是Gartner 2017年10大安全技術）。