前言
本文不是译文,是结合笔者自身体会的解读!不能代表 Gartner 的本意。如有不同观点,欢迎通过本人微信公众号 “专注安管平台” 进行留言沟通。
概述
受疫情的影响,2020 年中例行的 Gartner 安全与风险管理峰会被迫取消。终于,在 2020 年 9 月 14~17 日,2020 年 Gartner 安全风险与管理峰会以线上会议的形式补上了。
会上,正式发布了 2020 年度的十大安全项目,发布人还是 Brian Reed。这十大项目介绍 Gartner 中国的官微做了介绍,但本文认为有几处翻译不妥。
2020 年的十大安全项目分别是:
远程员工安全防护,尤指零信任网络访问(ZTNA)技术;
基于风险的弱点管理,重点是基于风险来对弱点分级;
基于平台方式的检测与响应,特指扩展检测与响应(XDR)技术;
云安全配置管理;
简化云访问控制,特指云访问安全代理(CASB)技术;
基于DMARC协议的邮件安全防护;
无口令认证;
数据分类与保护;
员工胜任力评估;
安全风险评估自动化。
与 2019 年度的 10 大安全项目相比,变化比较大,根据 Reed 的说法,有 8 个新项目。
不过,在笔者看来,其实有三个 2019 年的热门项目保留了下来,包括 CSPM、CASB,以及弱点管理。其中 CSPM 项目名称保持不变,2019 年的 CASB 变成了今年的 “简化云访问控制”,其实是一回事。而 2019 年的 “符合 CARTA 的弱点管理” 变成了今年的 “基于风险的弱点管理”,其实是进一步确指了用风险管理的理念来管理漏洞和补丁。在 2019 年十大安全项目详解中,笔者已经指出 “符合 CARTA 的弱点管理” 等价于 “基于风险的弱点管理”。
需要特别指出的是,由于新冠疫情的出现,不仅此次 Gartner 安全与风险管理被迫延期并改为线上举办,也对 2020 年的十大安全项目评选产生了重大影响。疫情侵袭之下,远程办公成为热点,如何保障员工远程办公的安全自然成为焦点。
此外,从技术的大类来看,好几个领域依然是热门,包括邮件安全、检测与响应、数据安全。
邮件安全领域,2019 年提出的项目是商业邮件失陷防护,2020 年变成了基于 DMARC 协议的邮件安全防护,其主要目标依然是防范钓鱼邮件。
检测与响应领域,2019 年主要是推荐 EDR,2020 年则改为推荐 XDR。
数据安全领域,2019 年推荐的是暗数据发现,2020 年换成了数据分类与防护,其实是数据安全生命周期的延续。
下表是笔者梳理的近几年 10 大技术/项目的分类对比。为了便于横向对比,尽可能地对各个技术领域进行了分拆。
需要进一步指出的是,在 2020 年的十大项目中特别增加了风险管理领域的项目,包括安全风险评估自动化以及员工胜任力评估。风险管理领域一直十分重要,只是在近些年越来越强调对抗,强调威胁检测的背景下不那么显眼了。
此外,在 2020 年 5 月初,Gartner 先期发布过针对中型企业的 5 大安全项目建议,包括:XDR、基于 DMARC 的邮件安全、无口令认证、远程员工安全,以及安全风险评估自动化。而这其中列举的 5 个项目全部入选了年度 10 大安全项目。
入选标准
除了像往年一样的基本标准和原则,对于 2020 年的十大安全项目遴选,Gartner 重点做了以下考量:
1)疫情影响下的安全支出变化情况;
2)观察 2018~2023 年间最终用户在不同安全细分领域支出的计划情况;
3)重点关注那些占比和增速大的区域市场情况;
Reed 在峰会的十大安全项目发布会上表示:“我们可能会花费太多宝贵的时间来过度分析自己在安全性方面所做的选择,试图实现某种根本不存在的完美保护战略。我们必须超越基本的保护决策,通过创新的方法进行检测和响应,并最终从安全事件中恢复,从而提升组织的弹性。”
最后,谨记:年度十大安全项目不是年度最酷安全项目,也不是未来十大技术趋势,而是在当年对最终用户而言,从那些如果不做会对业务影响性最大,如果做了会将业务风险降到最低的项目候选清单中选取的能够快速见效,花费相对可控的项目。
如何定义项目成功与否?
Gartner 表示,衡量项目是否成功不在于项目本身,而在于是否支撑好了业务的风险决策。原话说的很好,这里直接摘录如下:
Remember your organization decides whether totake on the risk; our job in security is to provide all known data points tosupport a business decision.
上马这些项目的前提条件
一如既往地,Gartner 特别强调,客户在考虑上马 10 大项目之前,一定要考虑到先期的基础安全建设,这些项目都需要建构在基础安全能力达标的情况下。这些基础安全能力包括(但不限于):
在系统防护方面,包括采用最新的EPP和统一端点管理(Unified Endpoint Management,简称UEM)系统,以及服务器安全防护。其中,这里提到的UEM是Gartner定义的区分于EPP的另一个细分市场,强调对包括异构的PC、移动端和物联网终端的统一管理。该市场不属于信息安全市场,而归属于IT运维管理市场。2018年Gartner首次推出了UEM的MQ(魔力象限)。
在用户控制方面,包括从windows用户列表中移除掉管理员权限,部署具有自动化预配置/解除配置的IAM。
在基础设施安全方面,包括日志监控、备份/恢复能力、补丁和基本的弱点管理,以及各种边界安全控制。
在信息处理方面,包括邮件安全控制、安全意识培训、敏感数据处理相关的控制和指引、风险评估等。
十大项目解析
以下逐一分析这十个项目,对于历年分析过的也一并再次分析。Gartner 特别强调,这十个项目并没有优先顺序,采纳者需要根据自身风险的实际情况按需选取。
1 远程员工安全防护项目
1.1 项目描述
员工远程办公已经成为 2020 年的新常态。可以利用零信任战略在使能业务的同时改善远程员工接入网络的安全性。
1.2 项目难度
容易到中等。必须兼顾连接性、生产力和可度量性。
1.3 项目关键
安全访问能力必须支持云;IP 地址和位置信息已经不足以用于判定网络访问的信任度。
1.4 项目建议
尽管采用零信任网络访问(ZTNA)的主要动机是取代 VPN,但还要注意到 ZTNA 还能提供针对非受管设备安全访问应用的解决方案。
1.5 技术成熟度
根据 Gartner2020 年的网络安全 Hype Cycle,ZTNA 目前处于青春期阶段,位于失望的谷底。
1.6 技术描述
很显然,突如其来的疫情使得员工远程办公迅速扩张,如何保障员工安全地,并且尽可能体验友好地访问企业网络和应用成为了十分急迫的议题。企业和组织的管理者必须制定一个全面的远程办公策略,并且和业务部门进行良好的沟通。
如何制定策略?首先就要做好需求收集与分析。Gartner 提议重点关注 4 个问题:
用户都有谁,他们的工作职责分别是什么?——据此确认不同用户的访问权限和服务优先级;
用户都使用何种设备,设备归属于谁?——据此选择针对不同设备的安全防护技术组合;
用户都要访问哪些应用和数据,这些应用和数据位于云中还是本地?——据此选择合适的网络访问技术;
用户位于哪个地区?——根据用户所在国家(地区)采取相适应的数据安全、隐私保护和法规遵从性等策略。
事实上,针对远程网络访问,有多种技术手段可供选择,包括 VPN、ZTNA、CASB、VDI、远程浏览器隔离、反向代理、CDN,等等。它们之间不是简单的替代关系,而是各有用途及适合的使用场景。Gartner 在该项目中优先推荐采用零信任理念和零信任网络访问(ZTNA)技术,从而间接使得该项目变成了一个 ZTNA 项目。Gartner 针对本项目推介的样本厂商都是 ZTNA 厂商,并且主要是基于云的 ZTNA 厂商。
Gartner 对零信任的定义参考了《NIST SP800-207 零信任架构》中的定义,并提出了 “零信任网络” 的概念。Gartner 认为,零信任是一种安全范式,它根据情境信息(主要是身份信息)持续评估显式的风险及信任级别,替代原有的隐式信任机制,以适应组织安全形势的风险优化。同时,Gartner 认为零信任网络由建立在资产管理和访问管理基础上的三个支柱构成,这三个支柱分别是 ZTNA、网络访问控制(NAC)和基于身份的隔离(即之前所称的微隔离)。
Gartner 将零信任网络访问(ZTNA)定义为一类产品和服务。这些产品和服务创建了基于身份和情境的逻辑访问边界,涵盖用户、一个应用或一组应用程序。这些应用程序(在获得授权之前)被隐藏起来从而无法被发现,只能严格通过信任代理来建立连接和实现访问。代理在允许主体访问之前先验证其身份、情境和策略遵从情况(即先验证再访问),并最小化该主体在网络中向其他位置横向移动的可能性。
在 Gartner 看来,ZTNA 未来将成为 SASE 战略的一部分,与 CASB 等安全技术一道被 SD-WAN 封装到边缘计算的安全能力集合中。在 Sec-UN 上的《无 SD-WAN 不 SASE》一文有一幅形象的图展示了 SASE 的部署架构,如下所示:
2 基于风险的弱点管理项目
2.1 项目描述
弱点管理是安全运营的基本组成部分。补丁从来都不能等同对待,应该通过基于风险优先级的管理方式,找到优先需要处理的弱点并进行补丁管理,从而显著降低风险。
2.2 项目难度
容易。要利用情境数据和威胁情报对弱点信息进行丰富化。
2.3 项目关键
要意识到永不可能 100% 打补丁;和 IT 运维联合行动(创造双赢);利用现有的扫描数据和流程;用 TVM 工具(现在改称 VPT)来增强弱点评估以更好确定优先级。
2.4 项目建议
采用一个通用的弱点管理框架;聚焦在可被利用的弱点上。
2.5 技术成熟度
Gartner 没有将基于风险的弱点管理列为一种独立的技术或者市场,而是看作一个迭代管理过程,将其依附于现有的弱点评估(VA)市场和弱点优先级划分技术(VPT)。然而,笔者认为 Gartner 搞得太复杂了,基于风险的弱点管理应该与 VPT 合并。根据 2020 年的安全运营 Hype Cycle,VA 已经处于成熟期,属于主流市场;而 VPT 位于曲线的顶峰,属于热门技术,处于青春期阶段。
2.6 技术解析
必须注意,弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具,包括系统漏扫、web 漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上,收集这些工具所产生的各类弱点数据,进行集中整理分析,并辅以情境数据(譬如资产、威胁、情报等),进行风险评估,按照风险优先级处置弱点(打补丁、缓解、转移、接受,等),从而帮助安全管理人员进行弱点全生命周期管理的平台。记住,弱点管理是平台,而弱点扫描是工具。
Gartner 表示,基于风险的弱点管理是一个不断迭代提升的过程,包括弱点评估、弱点处置优先级排序、弱点补偿控制三个阶段,如下图所示:
上图针对每个阶段列举了可以用到的技术。譬如动态应用安全测试(DAST)、云安全配置评估(CSPA)、破坏与攻击模拟(BAS)、弱点优先级划分技术(VPT,取代之前的 TVM)、应用弱点关联(AVC)、安全编排自动化与响应(SOAR)。
而基于风险的弱点管理的核心是弱点处置优先级确定。可以采用多种方式去确定这个优先级,但最关键的一点是:聚焦在可被利用的漏洞上。
下图是 Gartner 引述 IBM X-Force 的一个统计图。
可以看到,历史上可被利用的漏洞占爆出的漏洞的比重还是很低的。
下面这个老图也很有说服力。这个图表明用户首先需要关注的是那些实际存在于你的网络环境中的可被利用的漏洞。
现实已经表明,漏洞太多了,层出不穷,如果每个重要的(譬如依据 CVSS)漏洞都要去处理,是不现实的,应该首先聚焦在可被利用的漏洞上。进一步讲,你如何知道一个漏洞是否已经可被利用?这时候就需要漏洞情报,不是关于漏洞自身的情况,而是关于漏洞利用(EXP)和漏洞证明(POC)的情报。
在基于风险的弱点管理方法论中,补偿阶段也很重要。最关键的是要意识打补丁(Patch)仅仅是 N 分之一个选择项,你还有大量手段可以用。事实上,大量的业务系统留给你足够的时间直接打补丁的机会并不大。
这里,笔者对于如何在补丁管理这个事情上取得与 IT 运维的双赢也有一些建议:安全运营在弱点管理的时候要给到 IT 运维足够的信息和建议去指导他/她打补丁,而不仅仅是一个告警/工单或者甩过去一个补丁包。这时候 Gartner 的那句话再次回响:Remember your organization decides whether to take on therisk; our job in security is to provide all known data points to support abusiness decision. 谨记,要让漏洞管理闭环,需要安全运营与 IT 运营共同协作,需要业务部门的参与。作为安全运营,要把自己的工作做好,做到有价值。
3 平台方式的检测与响应(XDR)项目
3.1 项目描述
扩展检测与响应(XDR)功能正在涌现,以提升检测的准确性、威胁遏制能力并改善事件管理。
3.2 项目难度
中等。XDR 给到大家的是一个重要的承诺,但也会带来被特定供应商锁定的风险。不同供应商的 XDR 功能差异很大。
3.3 项目关键
范化数据的集中存储和集中式事件响应,并且能够改变作为修复过程组成部分的单个安全产品的状态。也就是说,项目关键在于数据范化、集中数据存储、集中事件响应,以及安全设备协同联动。
3.4 项目建议
基于自身技能水平/胜任力以及员工水平来评估是采用 XDR 还是寻求 MSSP。XDR 最初是从 EDR 发展而来,并进一步结合了 NDR、SIEM、SOAR,以及其它安全检测与响应技术,这些技术统统都是高度依赖安全专家的,因此,用户要考虑清楚到底是要 XDR 产品,还是先找安全服务商用类似 MDR 的方式来实现检测与响应。
3.5 技术成熟度
根据 Gartner2020 年的安全运营 Hype Cycle,XDR 目前处于初现阶段,位于炒作的初期,位于安全运营 Hype Cycle 的最左侧。
3.6 技术解析
XDR 的全称是扩展检测与响应。XDR 这个词出现在厂商侧已经有一段时间了,但纳入 Gartner 的体系是今年初的事儿。Gartner 将 XDR 从某些厂商的产品品牌变成了一个细分技术和市场术语。刚刚进入 Gartner 的术语表就登上了 10 大安全项目,可见 XDR 的威力。
借助 XDR,将原本各种检测系统的孤立告警进行了整合,通过在各种检测系统之上的数据集成与综合关联分析,呈现给用户更加精准和有价值的告警,以及更清晰的可见性(Visibility)。此外,XDR 还具备与单一的安全工具之间的 API 对接与基础的编排能力,从而能够快速地实施告警响应与威胁缓解。
XDR 异军突起,成为了 Gartner 在安全运营的检测与响应子领域首推的技术和项目,因此有必要进一步对其进行探究。笔者作为一直专注于 SIEM/SOC 领域的从业者也关注 XDR 近两年,下面进一步阐述个人对 XDR 的理解。
3.6.1 XDR 的产生
现在普遍认为 XDR 最早源于端点检测与响应(EDR)。EDR 的概念自提出以来,得到了迅速发展,一方面逐渐向端点保护平台 EPP 融合,另一方面也在试图扩展自身的价值。如何扩展?首先是增强端点检测的能力,深化诸如行为分析、异常检测等的机器学习能力,并加入威胁猎捕的能力;其次是增强响应的能力,实现更灵活的设备联动,甚至嵌入部分响应流程。但这还不够,因为从检测的角度来看,仅仅依靠端点自身的遥测数据还不够,为了更精准的发现问题,还需要获取其它遥测数据。因此,部分 EDR 厂商开始将目光投向端点之外的检测,加入对邮件安全的检测、网络检测、以及云工作负载的检测信息,试图顺着攻击者的视角补全检测的短板。再往后干脆将这些不同来源的遥测数据放到一个统一的平台上进行集中的分析与响应,逐步衍生出了 XDR 的概念。此时 XDR 的保护目标已经不再局限于端点上的用户,以及他们使用的应用和数据,而是扩展到了更广泛的空间,从数据中心,到云,再到边缘,都可以应用 XDR。当 EDR 演进成了 XDR,就已经不再是一个端点安全类产品了。
显然,这是一个从 EDR 开始,从一点到多点,自底向上的横向扩展,纵向延伸的过程。
与此同时,一些 SIEM 厂商也发现了这个机会,试图在其 SIEM 中内置 EDR 功能来获取对于端点安全的遥测数据,以更好地去让 SIEM 实现威胁检测的能力。这是一个自顶向下延伸的过程。
基于共同的目标(威胁检测与响应),来自不同方向的技术路线碰撞到了一起,于是 XDR 诞生了。
3.6.2 XDR 定义
从前面的 XDR 产生过程可以发现,XDR 其实就是整合了多种检测能力的,具有集中化存储和分析这些遥测数据,并集中实施响应的综合性检测与响应平台。
目前,Gartner 给 XDR 的定义是:XDR 是一种基于 SaaS 的,绑定到特定供应商的安全威胁检测和事件响应工具,可以将(该供应商的)多个安全产品原生地集成到一个统一的安全运行系统中,以统一所有授权的安全组件。为了方便大家研读,提供英文原文如下:XDR is a SaaS-based, vendor-specific, security threat detection andincident response tool that natively integrates multiple security products intoa cohesive security operations system that unifies all licensed securitycomponents.
Gartner 给出了当前 XDR 的 4 个基本特征:1)整合多款自家的现成产品;2)集中的对数据进行处理、存储和分析;3)能够在响应的时候协同联动多种安全产品;4)采用基于 SaaS 的交付模式。
上图展示了 Gartner 的 XDR 概念架构。从上向下看【笔者注:反的,有点别扭】,首先是获取多种安全产品(EDR 是基础)的数据,然后是对数据进行范化,送入大数据湖,再进行关联分析,实现综合威胁检测,最后激活响应。在响应的时候,可以运用自动化的方式,通过 API 接口实施,并且可以内嵌响应工作流程。
作为参考,笔者摘录对 XDR 颇有研究的咨询公司 ESG 对 XDR 的定义如下:XDR 是一个跨混合 IT 架构的多个安全产品的集成套件,旨在协同地进行威胁防范、检测与响应。它将各种控制点、安全遥测点、分析和运营统一到一个企业级系统之中。
上图是 ESG 的 XDR 架构示意图。ESG 更直接表示可以把 XDR 看作是 EDR+SIEM+SOAR 的集合。
笔者认为,XDR=EDR+ 简化 SIEM+ 简化 SOAR。XDR 的目标就是全面的威胁检测与响应,或者叫统一威胁检测与响应(UDR)、NGDR。
1)EDR 是 XDR 的必备组件。当前的威胁检测必然要从端点上收集遥测数据,因为这里能够发现的攻击痕迹最多。看看 ATT&CK 就知道,大量的 TTP 都是基于端点的。缺少端点数据,攻击链很难刻画出来。
2)简化的 SIEM 是 XDR 的平台支撑。XDR 不是一个简单的单点系统,而是一个平台型系统。SIEM 的大数据核心框架为 XDR 的后端平台提供技术支撑,包括海量多源异构数据的采集、处理、存储、分析、调查、呈现,等等。借助 SIEM 平台框架,XDR 应实现对 EDR 以及其它自家安全设备的集成。简化之处在于仅提供对厂商自有产品的数据采集、范化和分析,而不必考虑接入第三方厂商数据的问题。
3)简化的 SOAR 为 XDR 的响应能力提供支撑。SOAR 的能力裁剪后跟 SIEM 整合到一起。
3.6.3 XDR 与 SIEM/SOAR 的关系
通过上面的分析,大家都会产生一个疑问:XDR 跟 SIEM/SOAR 是什么关系?注意,这里我们将 SIEM/SOAR 打包到一起来跟 XDR 进行对比,是为了避免阐释 SIEM 和 SOAR 的关系,此刻这个问题先放一边。
先看看 Gartner 是怎么说的。
Gartner 表示,尽管 XDR 与 SIEM/SOAR 在功能上存在相似性(譬如都有异构数据采集、范化、关联,而且通常都会采用大数据分析技术,还可能都有剧本编排与自动化响应技术),但在目标定位和技术路线上存在差异。在目标定位上,XDR 仅关注威胁检测与响应,而 SIEM 除了关注威胁检测与响应,还要覆盖日志存储及合规审计等其它场景。在技术路线上,XDR 强调对单一厂商的安全产品集成,并且在出厂前就将这些产品打包在一起,提供了更易于部署和使用的操作过程。相比之下,SIEM/SOAR 必须具备跨厂商产品集成能力。正是因为在设计上的这些简化,XDR 规避了 SIEM/SOAR 当前存在的几个大坑(笔者注:譬如架构开放性和扩展性问题、产品集成问题、部署和实施复杂性问题、知识管理问题),使得 XDR 的部署和实施复杂度相较于 SIEM/SOAR 要简化不少。
此外,如果是针对云计算环境,云中的端点安全和工作负载安全能力,以及平台架构作为成为了衡量云安全检测与响应的关键。此时,XDR 厂商比大部分 SIEM/SOAR 厂商更占优势,因为先进的 XDR 通常都基于云原生架构来实现。并且,XDR 厂商在云端 EDR 及 CWPP 方面更具优势。
简言之,就是在相同条件下,以威胁检测为目标,XDR 出效果比 SIEM/SOAR 更快。
当然,Gartner 认为 XDR 也存在一些问题。由于 XDR 集成的都是自家的产品,虽然简化了不少,但却容易将用户锁定在单一厂商之下。XDR 厂商的 “全家桶” 模式难以确保除 EDR 之外的检测能力都是同类最佳,且如果各种单点产品都基于同一个厂商,未来的维护、升级都存在风险。
此外,笔者认为,XDR 还存在以下问题:
首先,XDR 还有不少技术短板需要补齐。在多源安全数据采集分析,尤其是关联分析方面,XDR 厂商普遍落后于 SIEM 厂商。在响应方面,SOAR 的编排自动化技术也是 XDR 需要补足的。
其次,也是最关键的,XDR 是作为一个集成化的产品和解决方案提供给客户的,用于解决其一揽子的威胁检测与响应的问题。而新一代的 SIEM/SOAR 则越来越强调给用户赋能,是以能力建设的形式输出给用户的。对于大型用户而言,网络中必定存在不同厂商的安全防护设施,也必定需要一个统一的 SOC。因此,XDR 无法取代 SIEM/SOAR。但对于中型客户而言,XDR 可能会在 SOC 中占据更主要的位置。还有一部分客户,Gartner 建议他们既不要考虑 XDR,也不要考虑 SIEM/SOAR,而是优先考虑 MSS。XDR 虽然比 SIEM/SOAR 简化了不少,但还是需要运营的。
必须指出,Gartner 对于 XDR 还在不断厘清的过程中,该技术(所代表的细分市场)并不稳定,也许在一段时间后会消失。因为 XDR 与 SIEM/SOAR 存在一定的重叠性,并且更多是因为 SIEM/SOAR 技术的发展过程中存在的问题而引伸出来的一个 “过渡性” 解决方案,也许随着 SIEM/SOAR 的成熟而消失,抑或找到一个属于自己的缝隙市场。
3.7 从检测技术的划分看 XDR 的发展趋势
3.7.1 检测技术划分
如前所述,XDR 可以看作是多种检测与响应技术的集成,作为一个统一的、全面的检测与响应平台。对 XDR 而言,不是要研究新的检测与响应技术,而更多是考虑如何将不同的检测与响应技术整合到一起。因此,为了了解 XDR 未来的发展趋势,必须先了解当下都有哪些检测与响应技术。
当 Gartner 研究和讨论检测与响应类技术的时候,涉及的技术面和细分市场是相当广泛的,需要多个不同的 Gartner 安全分析师团队之间的合作,而一年一度的 Hype Cycle(炒作曲线)则是各个分析师协作的一个成果体现。目前,检测和响应相关的技术大都收录在 “安全运营” 炒作曲线中。“安全运营” 这两个炒作曲线分类是 2020 年新提出来的,之前叫 “面向威胁”,始于 2017 年,在 2016 年及以前叫 “基础设施保护”。下图是 2020 年的 “安全运营” 技术炒作曲线,里面基本涵盖了 Gartner 涉及的所有检测与响应类技术。
上图虽然列举了大量检测与响应技术,却并没有对他们进行分类。而对检测与响应技术进行分类是一个重要但十分困难的事情,Gartner 自己也做过多种尝试,目前尚无定论。
Gartner 在 2013 年为了讨论高级威胁检测(ATD)的时候提出了一个划分新型检测技术的方法论,虽在 2016 年后逐渐淡出 Gartner 报告的视野,但却依然有一定价值。如下图所示,Gartner 当时从分析对象和分析时间两个维度划分了五种新型检测技术:
针对这幅图,笔者结合自己的认识,对当下主流的几种新型检测技术进行了标注如下:
可以看到,NTA 是当下主流的基于网络的新型检测技术,NFT(网络取证工具)作为基于网络的响应技术比较少被提及。从 2020 年开始,Gartner 正式将 NTA 改名为 NDR(网络检测与响应)。注意,上图只对 D 进行了划分,没有提及 R。因此,NDR 不仅包括 NTA,NFT,还要包括响应能力。对应 NDR,现在还有一个初现的提法,叫 NGIDS,或者 NG IDPS,所谓下一代入侵检测,但这些提法缺乏对 R 的体现。从基于端点的视角来看,style4 和 style5 两种技术现在已经不再加以区分,统称为 EDR,或者作为下一代 EPP 的关键能力之一了。上图中位于中间的基于负载的检测技术,基本就是指代沙箱技术了。而该技术事实上还可以分解到基于端点的沙箱和基于网络的沙箱两个维度中去,成为更广泛意义上的 NDR 和 EDR 的功能点之一。
上图对于阐释当下最热门的两种新型检测与响应技术——NDR 和 EDR——及其市场演进是有价值的,但却远远无法表达完整意义上的检测与响应技术,更何况检测与响应技术本身也仅仅检测与响应体系建设的一环而已。2018 年,Gartner 在一份名为《如何开展威胁检测与响应实践》的报告中给出了一个基本的检测与响应体系的参考模型,如下图:
上图比较全面地表达了检测与响应体系所应涵盖的技术(能力)、流程和团队三个方面的内容,给出了 10 个技术能力和 4 个关键流程,并沿用至今。这 10 个技术能力从目标对象和时间先后两个维度进行了划分,与前面的新型威胁检测二维划分方式基本一致。不同之处在于目标对象粒度更细,最关键地是加入了针对日志的检测与响应,并把 SIEM 和 CLM(集中日志管理)作为最基本的检测与响应的平台,位置要高于后面 4 个。
此外,在这个 10 大技术能力矩阵图中,响应能力从技术视角来看被称作了 “可见性”,所谓可见性就是在威胁猎捕和安全响应(包括调查、取证)的时候能够提供相关的技术支撑。
检测与响应能力从流程视角对应了 4 个方面,它们从技术上可以由 SOAR 来提供支撑。
事实上,即便是上面的 10+4 检测与响应参考架构图都没能将检测与响应技术描绘全,譬如基于用户/实体进行检测的 UEBA 技术,以及欺骗技术。Gartner 自己也表示上图仅仅是针对基本的检测与响应能力进行阐释。
额外需要提及的包括 UEBA、欺骗平台、BAS。
在 2020 年的炒作曲线中,UEBA 已经去掉了,Gartner 表示它已经成为了其它技术的组成部分,主要是融入了 SIEM,而 XDR、EDR 和 NDR 也都会用到。
Gartner 将欺骗技术单独作为一个技术分支,与面向日志的检测与响应技术、面向网络的检测与响应技术和面向端点的检测与响应技术并称为四大检测与响应技术路线。对于 SIEM 而言,欺骗平台的告警可以成为一个高置信度的数据源。
BAS(破坏与攻击模拟)也是一种检测与响应技术,可以为 SIEM 提供重要的基于验证的检测与响应能力补充。
3.7.2 XDR 发展趋势分析
笔者认为,未来 XDR 理论上可以集成上面所有检测与响应技术,但那个时候 XDR 是不是还叫 XDR 就不得而知了。
目前市场上已经出现了将 EDR、欺骗技术、NDR 集成到一起的 XDR 解决方案。还有的厂商把 SIEM/LM 所具备的对第三方日志采集、存储与分析能力作为其 XDR 解决方案的一部分。几乎所有的 XDR 厂商都宣称自己具有 UEBA 能力,并都集成了威胁情报。
进一步分析当前的 XDR 厂商,可以发现大家的做法可谓五花八门。最经典的 XDR 来自有实力的 EDR 厂商,这些 EDR 厂商同时具备其它检测类产品,因而通常也都是综合性厂商。他们的 XDR 基本上就是以 EDR 为核心的产品全家桶。还有一类更大型的综合性厂商野心更大。他们将其各种产品打包到一起,上面再戴个帽子,形成了一个更雄心勃勃的战略和 XDR 解决方案,仔细一看,其实就是把 XDR 变成了 SIEM/SOAR 和 SOC 平台。还有一类厂商则剑走偏锋,把 XDR 做成了一个检测与响应中间件(中台?也许吧),对下可以接入自家或者别家的遥测数据,对上则可以汇入别家的 SIEM/SOAR。最后,还有 SIEM 厂商也加入了 XDR 战场,他们基于其 SIEM/SOAR 领域的积累,向下集成包括 EDR、NDR 在内的多种检测技术,推出自己的 XDR。
总体而言,当前的 XDR 技术并不复杂,核心是产品和能力集成与打包。目前大家在 XDR 市场竞争的焦点主要不在技术上,而在商业模式、市场推广上。
显然,XDR 还处于萌芽状态,未来发展的可能性还很多,变数也不小。
4 云安全配置管理(CSPM)项目
4.1 项目描述
现在对云服务的攻击基本都利用了客户对云疏于管理、配置不当等错误。因此,云用户急需对(尤其是跨多云环境下的)IaaS 和 PaaS 云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复。
4.2 项目难度
中等,必须同步进行流程和文化的变革。
4.3 项目关键
支持多云环境,具备敏感数据发现和风险暴露面评估,支持所有的 IaaS 和 PaaS 服务,不仅能评估更要能修复。
4.4 项目建议
与云运营团队密切协作;先从单一的原生云平台开始入手,通常他们自带 CSPM 能力,然后再考虑混合云/多云平台;宜同时评估 CSPM 和 CASB 工具。
4.5 技术成熟度
在 Gartner 的 2020 年云安全 Hype Cycle 中,CSPM 刚从失望低谷走出来,用户期待逐渐理性,处于早期主流阶段。
4.6 技术解析
CSPM(Cloud Security Posture Management)在国内首先遇到的问题是如何翻译的问题。国内有的人将 CSPM 中的 Posture 翻译为 “态势”,将 CSPM 称作云安全态势管理。笔者认为不妥,因为如此一来就跟我们国内最近几年提的安全态势感知混淆了。仔细研究 CSPM,可以发现,这里的 Posture 并不是讲我们国人一般所理解的 “态势”,而是指 “保护云中数字资产的各种策略、流程和控制的整体安全强度的相对度量”(这句话出自 Gartner 的 CSPM 发明人 Neil McDonald 的报告《Innovation Insight for Cloud Security Posture Management》)。简单地说,CSPM 中的 P 是指云安全配置的强度,这里的配置涵盖云安全策略、控制项、安全操作流程规范。因此,笔者从 Gartner 提出 CSPM 伊始就呼吁国内同行将 CSPM 翻译为 “云安全配置管理”。一方面这个翻译更贴近 CSPM 的本质,另一方面也很好地与国内讲的态势感知区分开来。
回到 CSPM 技术本身,Gartner 在 2019 年才给出了一个 CSPM 的概念组成,如下图所示。
Gartner 认为 CSPM 是一个持续的过程,采用生命周期方法论给出了 CSPM 的概念组成,横跨开发和运行两个阶段,依照 CARTA 理念进行基于风险的动态配置管理。Gartner 表示,几乎所有针对云的成功攻击都是由于客户误配置、管理失误和认为错误造成的,而 CSPM 直接针对这个问题给出解决方案。
根据 Gartner 的定义,CSPM 能够通过预防,检测,响应和预测构成的自适应安全架构来持续管理超越依据通用框架、合规要求及企业安全策略所能承受的云安全风险【笔者注:简单理解就是管控多余的风险。只要开展业务,任何配置都不能做到无风险,CSPM 不是消灭配置风险,而是管控超出预期的配置风险】。CSPM 核心能力是提供主被动发现和评估云服务配置(譬如网络和存储配置)和安全设置(譬如账号特权和加密设置)的风险及可信度。如果设置不合规或者配置超越了风险承受水平,CSPM 能够自动进行配置调整和补救。
有时候,我们可以将 CSPM 的评估功能(也被称作 CSPA)归入弱点扫描类产品中去,跟漏扫、配置核查搁到一块。
此外,CSPM 除了能对云生产环境中的负载进行配置核查与修复,还能对开发环境中的负载进行配置核查与修复,从而实现 DevOps 全周期的防护。
CSPM 跟多个细分市场都有交集。云提供商现在大都在云原生安全能力中涵盖了 CSPM 功能。领先的 CASB 厂商也已经具备了较强的 CSPM 功能。同时,一些 CWPP 厂商也开始提供 CSPM 功能。此外,当前的云管理平台(CMP)通常都自带 CSPM 功能。
5 简化云访问控制项目
5.1 项目描述
企业渴望通过一个中心控制点对跨多云的服务实施统一的策略管理和安全治理,以便获得这些云服务的可见性,并对组织中使用这些云服务的用户和行为进行集中管控。虽然项目名称中只字未提,但通过内容我们还是可以知道 Gartner 的这个项目其实还是云访问安全代理(CASB)。
5.2 项目难度
中等。取决于所采用的云应用及服务的情况。
5.3 项目关键
通过正/反向代理还是 API 来实现可见性?支持威胁防护或者 TIP 吗?敏感数据监控与防护、合规报告、(云应用/服务)使用情况监控至关重要。
5.4 项目建议
如果你看不见需要被保护的对象,也就无法实施保护。因此,CASB 首先要进行云应用发现,识别影子 IT。接下来,可以考虑部署正向/反向代理和 API 来实施控制。对 CASB 而言,发现并保护云中的敏感数据至关重要,并且最好采取跟本地一致的敏感数据防护策略。
5.5 技术成熟度
在 Gartner 的 2020 年云安全 Hype Cycle 中,CASB 正在向成熟期迈进,处于早期主流阶段。
5.6 技术解析
该技术从 2014 年就开始上榜了,Gartner 对其独有情钟,但 CASB 在国内一直没啥动静,可能跟国内面向企业级的 SaaS 还不够丰富有关。
Gartner 认为,CASB 作为一种产品或服务,为 SaaS 和 IaaS 中的可见性、数据安全、威胁防护与合规评估提供了关键的云治理控制。CASB 将多种类型的安全策略整合到一个地方,这些安全策略包括认证、SSO、授权、设备建模、数据安全、日志、告警和恶意代码查杀。CASB 产品基本都是基于云的,本地部署的很少见。
笔者理解,CASB 的出现原因,简单说,就是随着用户越来越多采用云服务,并将数据存入(公有)云中,他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用,让他们清晰地看到云服务的使用情况,实现异构云服务的治理,并对云中的数据进行有效的保护,而传统的 WAF、SWG 和企业防火墙无法做到这些,因此需要 CASB。
Gartner 认为 CASB 应具备的主要功能包括:云应用发现与风险评级、自适应访问控制(AAC)、CSPM、DLP、加密和令牌化、企业应用/服务集成、UEBA、日志管理,等。
6 基于 DMARC 协议的邮件安全防护项目
6.1 项目描述
DMARC 被设计用来防范直接的域名仿冒。在邮件系统中实现 DMARC 有助于减少商业邮件失陷(BEC)的部分可能因素。Gartner 表示,从 2020 年到 2023 年,BEC 攻击的损失每年都会翻番,2023 年将超过 50 亿美元。而 FBI 的互联网犯罪投诉(IC3)则更是发出警告称 2018~2019 年间 BEC 造成的损失达到了 260 亿美元!Gartner 建议用户部署这个免费的技术,以缓解仿冒型钓鱼邮件的攻击。笔者认为,钓鱼邮件诈骗之于欧美恰如钓鱼电话/短信诈骗之于中国,都是洪水猛兽,汹涌澎湃。
6.2 项目难度
简单。在主动拒绝恶意消息之前先花些时间学习和监测来自已知域名的邮件。
6.3 项目关键
研究并整合品牌管理及社交媒体监控的方法;将 DMARC 集成到整体电子邮件安全方法中。
6.4 项目建议
先从监测开始,然后再真正开始阻断。DMARC 不能消除对于全面邮件安全策略的需求,这仅仅是一个值得去做的一个点,要真正做好邮件安全,需要做的事情还有很多。
6.5 技术成熟度
根据 Gartner 的定义,(电子)邮件安全是指为邮件提供攻击防护和访问保护的预测、预防、检测与响应的框架。该市场包括了多种技术、产品、流程和服务,大体的构成如下图所示,主要包括安全邮件网关(SEG)、集成邮件安全解决方案(EISS)、云邮件安全补充(CESS),等。
其中最主要的是 SEG 产品,目前已经是成熟产品,2019 年的销量增长超过了 20%,在各门类安全软件中位居第三,达到 19.1 亿美元。
Gartner 没有对 DMARC 技术进行技术成熟度分析,也没有单列出相关的细分市场。事实上,DMARC 作为 2012 年诞生的技术,作为防范邮件仿冒和社工类攻击的一种手段已经很成熟了。
6.6 技术解析
从 2018 年开始,Gartner 每年都会将邮件安全(尤指反钓鱼邮件)的项目列入十大安全项目之中,可见邮件安全的重要性。Verizon 的 2020 年 DBIR 报告显示,导致数据泄露的首要威胁行为样式就是钓鱼(参见 DBIR 报告图 13)。
在 2018 年的项目建议中 Gartner 给出比较全面的项目建设建议,包括谈到要构建一个从技术控制、用户控制和流程重构三管齐下的全面邮件安全策略,其实就是要采取人、技术和流程相结合的机制来做。当时 Gartner 给出了不少很有价值的技术建议。在 2019 年的项目建议中,则进一步将建议聚焦到应对商业邮件失陷(BEC)问题上,并给出了一系列相关的建议。在 2020 年,则更进一步建议具体采用 DMARC 协议来缓解 BEC 风险。
DMARC 是 Domain-Based Message Authentication, Reporting and Conformance(基于域名的消息认证报告与一致性协议)的简称。DMARC 是一项 2012 年就诞生的电子邮件安全协议,大家可以自行百度、知乎,查看详情。这里引用网易企业邮箱中的帮助信息简要介绍一下:DMARC 是一种基于现有的 SPF 和 DKIM 协议的可扩展电子邮件认证协议,其核心思想是邮件的发送方通过特定方式(DNS)公开表明自己会用到的发件服务器(SPF)、并对发出的邮件内容进行签名 (DKIM),而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件,接收方则按照发送方指定的策略进行处理,如直接投入垃圾箱或拒收。
DMARC 协议是较能有效解决信头(From)伪造而诞生的一种邮件来源验证手段,为邮件发件人地址提供强大保护,并在邮件收发双方之间建立起一个数据反馈机制。企业客户使用了 DMARC 之后,都可以很方便地告诉邮件接收方如何认证 “我” 的邮件,如何处理仿冒 “我” 的邮件,如何把仿冒邮件的数据反馈给 “我”。对于顺利通过 DMARC 验证的邮件,会最终投递到收件人的邮箱中;若是仿冒的邮件则会按照 “我” 的设置来处理,且仿冒信息将会反馈给 “我”。下图来自 DMARC 组织的官方介绍:
最后,需要强调的是,DMARC 仅仅是邮件安全的一种技术手段,并且主要是防范钓鱼类攻击。应该说落实该技术的投资回报率很高,但完整的邮件安全远不止于此,其它特色技术还包括网络沙箱、内容拆解与重建(CDR)、URL 重写与点击时分析、远程浏览器隔离、各种异常检测技术、反钓鱼行为训练 APBC(原来叫 APBM)、安全编排自动化与响应(SOAR),等。这里提及的部分技术在笔者的《2018 年 Gartner 十大安全项目详解》中有所介绍。
7 无口令认证项目
7.1 项目描述
尽管彻底消除口令还很遥远,但降低对口令的依赖已经十分可行。企业和组织应加强信任建设和提升用户体验。Reed 在会上表示,有统计发现 70%的用户在工作和个人世界之间重复使用密码。他说,有很多选择可以使用第二个因素代替密码,例如已知的资产,包括手机,平板电脑,钥匙扣或智能手表,还有使用零因素或多因素身份验证的其他示例。
7.2 项目难度
难。需要教育用户和持续的的安全意识培训以避免流程上的混淆。
7.3 项目关键
基于信任机制和用户体验需求慎重选取合适的无口令认证方案;要实现无口令的注册、认证和账号恢复。
7.4 项目建议
采用试点、分阶段实施的方法,不断监测用户反馈,逐步落实。
7.5 技术成熟度
Gartner 预计,到 2023 年,有 30%的组织将至少采用一种形式的无口令身份验证。无口令认证涉及很多技术,其中一些先进技术在 Gartner 的 IAM Hype Cycle 中被提及,譬如 FIDO 认证协议、移动多因素认证,并且都位于炒作高潮期。
7.6 技术解析
首先,笔者这里将 password 翻译为口令,而不是密码!二者不是一回事儿。用户对各种系统的口令管理一直是个令人头痛的问题,大家通常都不乐意定期修改口令。对企业和组织而言,在网络环境中实现无口令认证机制无疑会在提升企业安全的同时极大地提升用户体验。
要实现无口令认证,有多种技术选项,如下图所示,包括单因素认证、多因素认证和无因素认证,要根据不用的场景来取舍。
Gartner 提醒大家,受限于企业现有系统的复杂性,要实现通用简洁的无口令认证机制并非易事,IAM 项目团队需要一套跨多种场景的整合策略。首先,当前的无口令认证技术差异巨大,有的是在用户交互层消除了口令,但底层本质还是基于口令认证的;还有的则是在底层上就消除了口令。Gartner 推荐部署了 Windows 系统的企业和组织优先评估微软的 Hello 解决方案,以及手机即令牌(phone-as-a-token)的多因素认证解决方案。其次,寻找一个适用于不用应用场景的、兼容现有网络和系统架构的整合性无口令认证解决方案。在无法实现完全无口令认证(如某些登录过程)的时候,可以退而采用 “轻口令” 方式。
8 数据分类与保护项目
8.1 项目描述
不用的用户对待数据各不相同。确保你有一个定义明确的、有技术支撑的数据分类与保护策略。该项目名称虽然叫数据分类与保护,但实际上重点聚焦于数据分类,它是数据保护的基础。
8.2 项目难度
中等到难。需要用户理解数据分类模式。能否实现自动化很重要。
8.3 项目关键
定义明确的数据分类模式;业务逻辑在分类和保护级别上消除了歧义;统筹考虑本地和云端数据使用。
8.4 项目建议
在确定技术路线之前先从策略和定义开始。与现有数据保护工具集成,利用平台/API。
8.5 技术成熟度
根据 Gartner2020 年的数据安全 Hype Cycle,数据分类目前处于青春期阶段,位于炒作的顶峰。
8.6 技术解析
Gartner 认为,数据分类是一个使用事先商定好的分类规则、方法或者本体论对信息资产进行组织的过程。它可为涵盖价值,安全,访问,使用,隐私,存储,道德,质量和留存等诸多要素在内的数据和分析治理策略提供有效和高效的数据优先级划分。数据分类通常会导致开发大型的元数据存储库以用于做出进一步的决策,或者将 “标签” 应用于数据对象以促进数据在其生命周期中的使用和管理。
从数据生命周期的角度来看,数据分类十分重要,起到了承上启下的作用,如下图所示:
从数据安全的角度来看,数据分类也很重要,是数据分析与价值评估的重要前提。
此外,随着对数据隐私与保护问题的日益重视,数据分类的价值愈发凸显。
总体上,数据分类是一个很困难的过程。首先就是确定分类方法论和分类标准。然后,作为一个简化,Gartner 建议在识别、标记和存储组织所有数据的时候先不要考虑数据的价值、用途和风险。接下来再利用信息经济学的方法来评估数据价值,剔除低价值数据,优化数据管理成本。
此外,数据分类应该是一个持续、自适应和反复迭代的永续过程,是一个持续改进的过程,可以划分为计划、建立(又进一步细化为诊断、制定、实施)、监控三个阶段,这当中运用自动化技术和手段至关重要。
这里对数据分类模式和自动化进一步展开阐述。
数据分类模式是分类工作的基础,很多数据分类项目首先就失败在复杂的分类模式上了。Gartner 建议要构建一个易于理解的数据分类模式,不要过分追求大而全,而首先考虑可理解性。分类模式设计堪称一门艺术,很难有固定的标准,但 Gartner 建议将很多本来打算用分类模式来阐述的属性放置到数据标签甚至是不同的操作规程中去体现,笔者认为这是一个不错的主意。
自动化是提升数据分类效率的重要帮手,否则即便有好的分类模式,面对海量数据也难以落地实施。不过,面对不同的数据、数据所处的状态(静态、动态),要采用不同的自动化工具,而不存在一个统一的工具。还有,完全自动化也不靠谱,还是需要人(包括用户)的参与。
9 员工胜任力评估项目
9.1 项目描述
数字业务计划要求我们要有合适的人担任合适角色,并且有合适的数量,拥有合适的技能和胜任力。
此前,我们一直都在谈安全人才的匮乏,聚焦在人的数量上。但 Gartner 却把重点放到安全业者的胜任力上,并超越了岗位角色、职责、技能问题,讨论的是如何提升人员素质,聚焦在人的质量上。
这个项目要求领导者梳理安全团队技能和胜任力情况,确定 4 到 6 项对组织成功至关重要的额 4 到 6 项胜任力,并将这几个胜任力用于新人的招聘和现有人员的培养。
9.2 项目难度
中等。需要对文化、能力进行诚实的评估,并加以教育和培训。
9.3 项目关键
要区分开角色、技能和胜任力的差异;优先采用基于胜任力的岗位描述,不存在 “完美” 的员工;专注于提升 4 至 6 项胜任力。
9.4 项目建议
你可以找到厂商来支撑你,但这个项目必须是你自己的安全团队驱动的。
9.5 技术成熟度
员工胜任力评估总体上属于软性的过程性的项目,如果说跟技术相关的话,就是在评估过程中可以借助一些技术手段来提高评估的效率和有效性。如果查看 Gartner 针对该项目推介的厂商清单,可以发现基本都对应了基于计算机的安全意识培训厂商。这些厂商有的可以提供培训平台(基于本地的,或者基于云的),有的则擅长制作各类培训课件,有的课件还兼具实战性。但总体上来说,这些厂商都无法向用户出具关键的胜任力清单,也无法给用户提供一套现成的岗位职责说明书模板,这些都是用户自己的事儿。
根据 Gartner 在 2019 年所作的统计,基于计算机的安全意识培训市场在 2018 年的规模约为 4.51 亿美元,预计 2019 年将达到 6.2 亿美元。同时,Gartner 预计,至少到 2023 年,该市场将以 42%的复合年增长率(CAGR)增长。
Gartner 未在成熟度曲线中描述基于计算机的安全意识培训相关技术。笔者认为,该市场涉及的技术并不复杂,主要是业务模式和内容、形式的开发。稍微复杂一点的网络钓鱼测试与反钓鱼训练技术其实也可以归入邮件安全技术之中。
9.6 项目解析
要实施该项目,核心就亮点:1)理解什么是胜任力,它与技能和角色的关系是什么?2)构建自身安全团队的胜任力模型。
根据 Gartner 的定义,所谓胜任力是指个人在给定角色中产生卓越绩效的可观测、可度量和可预测的特征,譬如业务敏锐度、数字灵巧性,等。
相较而言,技能是指在执行工作或者任务的过程中观测到的动手能力,譬如在应用安全中使用 PKI 加密和数字签名,配置网络和安全策略,等。
角色是一组相关的功能和职责所对应的某个特定工作岗位,譬如安全分析师,安全运营经理,等。
从管理学的角度来看,胜任力的提出者麦克利兰认为它是指能将某一工作中有卓越成就者与普通者区分开来的个人的深层次特征,它可以是动机、特质、自我形象、态度或价值观、某领域知识、认知或行为技能等任何可以被可靠测量或计数的并且能显著区分优秀与一般绩效的个体特征。显然 Gartner 参考了这个权威定义。
人们通常用冰山模型来描述胜任力的不同特质,并特别强调要重视冰山之下的那些鉴别性特征,如下图所示:
可见,技能只是胜任力的浅层表现,要做好胜任力评估,关键是要提取出与本组织情景条件相适合的深层特征。
Gartner 认为,为了实现数字化业务转型,必须为员工建立数字化胜任力模型,并应用于安全与风险管理领域。Gartner 给出了一份包括 12 项胜任力的数字化胜任力模型,并阐述了他们如何映射到安全与风险领域,其中 6 个主要的胜任力如下图所示,分别是:适应性、业务敏锐度、数字灵巧性、产出驱动、协作/协同
建好了胜任力模型和重点胜任力清单,接下来就要建立安全团队的角色清单、技能清单,并将他们互相关联起来。这里,Gartner 特别提到了可以参考《NISTSP800-181 网络教育国家倡议(NICE)网络劳动力框架》来构建自己的技能清单,该标准列举了 374 项技能,176 种能力,52 个角色。
10 安全风险评估自动化项目
10.1 项目描述
Gartner 发现只有 58% 的安全领导能够对所有重大新项目进行持续的风险评估。自动化风险评估能够使 IT 交付更高效。
与 2019 年在安全与风险管理领域提出的安全评级服务(SRS)不同,2020 年的自动化安全风险评估很泛泛,可以涉及多个子领域和技术方向。某种意义上而言,SRS 就是一种自动化风险评估技术,BAS、漏扫也算是一种自动化风险评估技术。从 Gartner 针对该项目推介的厂商清单来分析,笔者认为 Gartner 主要是针对集成风险管理(IRM)子领域来讨论其中的风险评估自动化问题。IRM 大致对应业界一般所指的治理风险与合规(GRC),只是前几年 Gartner 将 GRC 这个概念进行了彻底的拆分。
10.2 项目难度
中等到难。谨记是业务部门决定承担多少风险,安全部门在于提供控制措施的指导(这与第三章摘录的 Gartner 对于项目成功关键因素的表述如出一辙)。
10.3 项目关键
要设法缓解控制措施测试与监测过程中的安全资源瓶颈问题;通过专业的沟通来提升对于风险评估评级的信心。
10.4 项目建议
充分利用对风险评估至关重要的安全数据源,并将从这些数据源提取相关数据及后续分析的工作流程自动化。
10.5 技术成熟度
根据 Gartner 2020 年的风险管理 Hype Cycle,IRM 目前处于青春期阶段,正在向失望低谷滑落。
10.6 技术解析
安全风险评估(Security Risk Assessment)是 Gartner 十分看重的一项工作,写过大量的报告和指南。安全风险评估这个概念已经有了二十年的历史了,十分古老,意义不言自明,是安全领域的一个理论基石,但更多是停留在理念、标准、规范层面,不论是 ISO27005,还是 NIST SP800-30 都有专门的论述。很早以前,人们(譬如笔者)就在试图将这个工作形式化,借助系统来自动运行,至今仍然在为之努力,目前主要是体现在 GRC 类产品和平台之中。近些年来,由于人们更多将目光投射到面向对抗的安全领域,对于安全风险评估有所淡忘。事实上,Gartner 一直在关注这个领域,并且是作为安全的五大分支之一在持续跟踪研究。
回到安全风评估技术本身,它属于风险管理框架的组成要素之一,如下是 Gartner 的风险管理框架:
如果我们看 NIST SP800-30,或者 ISO27000 系列,对于风险管理和风险评估的阐释也都差不多,这里不再赘述。
Gartner 建议,为了降低风险评估工作的操作复杂度,提升这项工作的成效(量化效果),必须引入自动化技术。
Gartner 表示,安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来,以识别、度量和处置 IT 风险。自动化风险评估的一个重要价值就在于采用一致和一贯的标准(譬如 NISTCSF 框架、ISO27001,或者风险计算模型和公式)来估算风险,使得风险度量的结果可比较,改进情况真正可度量。
Gartner 表示,向安全风险评估项目注入某种程度的自动化的目的是确保随着时间的推移,对评估结果保持一致性和信心。
进一步分析安全风险评估自动化的技术手段。最典型的一类自动化分析手段就是利用日志分析技术,采集关键数据源的文本信息,基于预定义的风险模型进行计算和分析。但实际上,风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的,还需要对控制措施及其过程进行测试验证,包括采用 BAS、配置核查、漏洞扫描、资产测绘,也包括采用诸如 SOAR、RPA 技术手段将多个重复的测试过程串起来,还包括采取诸如 ISACA 推介的连续控制措施监测(CCM)方法论。
候选安全项目
2020 年的候选安全项目清单中还包括:
1)员工(网络)监视与(物理)监视技术;
2)威胁溯源服务
3)自动化威胁猎捕
4)网络靶场和网络仿真
5)基于聊天机器人的安全意识培训与教育
6)生物特征凭据检测与保护
7)量子一切【暂译】
8)安全访问服务边缘(SASE)
9)信息物理系统(CSP)安全——无人机检测、体温检测
综合建议
在峰会上,发言人 Brain Reed 给出了几点综合性建议:
如果你只能做一件事,那么把保障员工远程访问的安全放在首位;
在选择项目的时候,不要仅仅关注削减风险的项目,也要考虑使能业务的项目,意即要一定做些体现业务价值的安全项目。在这点上,国内外的考量基本一致。
如果你正在将数据和应用向云中迁移,请考察ZNTA、CSPM和SASE。
认清你的安全胜任力(以及缺陷),并制定一份提升安全意识和教育的计划。
参考信息
Top 10 Security Projects for 2020, Gartner Security and Risk Management Summit 2020;
Security and risk management leaders should focus on these 10 security projects to drive business-value and reduce risk for the business. Gartner;
Top Five Midsize Enterprise Security Projects for 2020, Gartner;
Gartner:2020年中型企业的5大安全项目,Benny Ye;
Gartner 2019年十大安全技术详解,Benny Ye;
Gartner 2018年十大安全技术详解,Benny Ye;
Market Guidefor Zero Trust Network Access 2020, Gartner;
Market Guidefor Vulnerability Assessment 2019, Gartner;
Innovation Insight for Extended Detection and Response, Gartner;
Innovation Insight for Cloud Security Posture Management, Gartner;
Hype Cycle for Cloud Security, 2020, Gartner;
Market Guide for Email Security 2020, Gartner;
Hype Cycle for Data Security, 2020, Gartner;
Hype Cycle for Security Operations, 2020, Gartner.
本文转载自公众号:专注安管平台
作者:Bennyye
转载声明
本文作者:Doraemon,转载链接(https://www.freebuf.com/articles/network/252759.html)
本文来自 FreeBuf.COM,版权归作者所有。文章内容仅代表作者独立观点,不代表本人立场,转载目的在于传递更多信息。如有侵权,请联系 2769905554@qq.com。