Gartner：2018年十大安全项目详解(二)

陆英

4.服务器工作负载的应用控制项目

项目目标客户：该项目适合那些希望对服务器工作负载实施零信任或默认拒绝策略的组织。该项目使用应用控制机制来阻断大部分不在白名单上的恶意代码。Neil认为这是十分强的安全策略，并被证明能够有效抵御Spectre和Meldown攻击。

项目建议：把应用控制白名单技术跟综合内存保护技术结合使用。该项目对于物联网项目或者是不再被供应商提供保护支持的系统特别有用。

应用控制也称作应用白名单，作为一种成熟的端点保护技术，不仅可以针对传统的服务器工作负载，也可以针对云工作负载，还能针对桌面PC。EPP、云工作负载保护平台（CWPP）中都有该技术的存在。当然，由于桌面PC使用模式相对开放，而服务器运行相对封闭，因此该技术更适合服务器端点。通过定义一份应用白名单，指明只有什么可以执行，其余的皆不可执行，能够阻止大部分恶意软件的执行。一些OS已经内置了此类功能。还有一些应用控制技术能够进一步约束应用在运行过程中的行为和系统交互，从而实现更精细化的控制。

Gartner给客户提出了如下建议：

应用控制不是银弹，系统该打补丁还是要打；

可以取代杀毒软件（针对服务器端），或者调低杀毒引擎的工作量；

根据Gartner的2018年威胁对抗Hype Cycle，应用控制处于成熟主流阶段。

5.微隔离和流可见性项目

项目目标客户：该项目十分适用于那些具有平坦网络拓扑结构的组织，不论是本地网络还是在IaaS中的网络。这些组织希望获得对于数据中心流量的可见性和控制，该项目旨在阻止针对数据中心攻击的横向移动。MacDonald表示：“如果坏人进来了，他们不能畅通无阻。”

项目建议：把获得网络可见性作为微隔离项目的切入点，但切忌不要过度隔离。先针对关键的应用进行隔离，同时要求供应商支持隔离技术。

该技术在2017年也上榜了，并且2018年的技术内涵基本没有变化。

广义上讲，微隔离（也称做“微分段”）就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向平移（或者叫东西向移动），是软件定义安全的一种具体实践。微隔离使用策略驱动的防火墙技术（通常是基于软件的）或者网络加密技术来隔离数据中心、公共云IaaS和容器，甚至是包含前述环境的混合场景中的不同工作负载、应用和进程。流可见技术（注意：不是可视化技术）则与微隔离技术伴生，因为要实现东西向网络流的隔离和控制，必先实现流的可见性（Visibility）。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。

除了数据中心云化给微隔离带来的机遇，数据中心负载的动态化、容器化以及微服务架构也都越发成为微隔离的驱动因素。因为这些新技术、新场景都让传统的防火墙和入侵防御技术显得捉襟见肘。而数据中心架构的变革如此之大，也引发了大型的厂商纷纷进入这个领域，不见得是为了微隔离本身，更多还是为了自身的整体布局。譬如，云和虚拟化厂商为了自身的整体战略就不得不进入这个领域。个人认为未来微隔离的startup厂商更多可能会被云厂商和大型安全厂商所并购。此外，针对容器的微隔离也值得关注。

Gartner给出了评估微隔离的几个关键衡量指标，包括：

是基于代理的、基于虚拟化设备的还是基于容器的？

如果是基于代理的，对宿主的性能影响性如何？

如果是基于虚拟化设备的，它如何接入网络中？

该解决方案支持公共云IaaS吗？

Gartner给客户提出了如下幾点建议：

欲建微隔离，先从获得网络可见性开始，可见才可隔离；

谨防过度隔离，从关键应用开始；

鞭策IaaS、防火墙和交换机厂商原生支持微隔离；

Gartner将微隔离划分出了4种模式：内生云控制模式、第三方防火墙模式、混合式和叠加式。

根据Gartner的2018年云安全Hype Cycle，目前微隔离已经“从失望的低谷爬了出来，正在向成熟的平原爬坡”，但依然处于成熟的早期阶段。

在国内已经有以此技术为核心的创业新兴厂商。

6.检测和响应项目

Gartner今年将各种检测和响应技术打包到一起统称为“检测和响应项目”。实际上对应了4样东西，包括3种技术和1种服务。

项目目标客户：该项目适用于那些已经认定被攻陷是无法避免的组织。他们希望寻找某些基于端点、基于网络或者基于用户的方法去获得高级威胁检测、调查和响应的能力。这里有3种方式可供选择：

端点保护平台+端点检测与响应（EPP+EDR）；

用户与实体行为分析（UEBA）；

欺骗（Decption）。

欺骗技术相对小众，但是一个新兴的市场。对于那些试图寻找更深入的方法去加强其威胁侦测机制，从而获得高保真事件的组织而言，采用欺骗技术是个不错的方法。

项目建议：给EPP供应商施压要求其提供EDR功能，给SIEM厂商施压要求其提供UEBA功能。要求欺骗技术供应商提供丰富的假目标类型组合。考虑从供应商那里直接采购类似“可管理检测与响应”或者“托管检测与响应”的服务。

（1）EPP+EDR

EDR在2014年就进入Gartner的10大技术之列了。EDR工具通常记录大量端点级系统的行为与相关事件，譬如用户、文件、进程、注册表、内存和网络事件，并将这些信息存储在终端本地或者集中数据库中。然后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别信息泄露（包括内部威胁），并快速对攻击进行响应。

EDR的出现最初是为了弥补传统终端/端点管理系统（Gartner称为EPP）的不足。而现在，EDR正在与EPP迅速互相渗透融合，尤其是EPP厂商的新版本中纷纷加入EDR的功能，但Gartner预计未来短期内EDR和EPP仍将并存。

EDR的用户使用成本还是很高的，EDR的价值体现多少跟分析师水平高低和经验多少密切相关。这也是限制EDR市场发展的一个重要因素。

另一方面，随着终端威胁的不断演化，EPP已经不能仅仅聚焦于阻止初始的威胁感染，还需要投入精力放到加固、检测及响应等多个环节，因此近几年来EPP市场发生了很大的变化，包括出现了EDR这类注重检测和响应的产品。终于，在2018年9月底，Gartner给出了一个全新升级的EPP定义：

EPP解决方案部署在端点之上，用于阻止基于文件的恶意代码攻击和检测恶意行为，并提供调查和修复的能力去处理需要响应的动态安全事件和告警。

相较于之前的EPP定义，更加强调对恶意代码和恶意行为的检测及响应。而这个定义也进一步反映了EPP与EDR市场融合的事实，基本上新一代的EPP都内置EDR功能了。Gartner建议客户在选购EPP的时候，最好要求他们一并提供EDR功能。因此个人认为，未来EDR将作为一种技术消融到其他产品中去，主要是EPP，也可能作为一组功能点存在于其他产品中，独立EDR存在的可能性很小。

Gartner在2018年的威胁对抗（Threat-Facing）技术的Hype Cycle中首次标注了EDR技术，处于即将滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出现在Hype Cycle中，位于Hype Cycle的“成熟平原”，属于早期主流产品。Gartner表示，将EPP列入Hype Cycle是一件不同寻常的事情，因为EPP已经存在20年了。但之所以把EPP列进来进行分析就是因为前面提到的EPP已经被Gartner重新定义了。

在国内，EPP的厂商也经历了多年的洗礼，格局较为稳定。而EDR产品则多见于一些新兴厂商，有的已经开始搅动起看似稳定的EPP市场了。

（2）UEBA

UEBA曾经在2016年列入10大安全技术，2017年未能入榜，不过在2018年以检测与响应项目中的一个分支方向的名义重新入榜。

UEBA解决方案通过对用户和实体（如主机、应用、网络流量和数据集）基于历史轨迹或对照组建立行为轮廓基线来进行分析，并将那些异于标准基线的行为标注为可疑行为，最终通过各种异常模型的打包分析来帮助发现威胁和潜藏的安全事件。

根据Gartner的观察，目前UEBA市场已经出现了明显的分化。一方面仅存在少量的纯UEBA厂商，另一方面多种传统细分市场的产品开始将UEBA功能融入其中。其中最典型的就是SIEM厂商，已经将UEBA技术作为SIEM的核心引擎。Gartner在给客户的建议中明确提到“在选购SIEM时，要求厂商提供UEBA功能。”此外，包括EDR/EPP和CASB厂商也都纷纷在其产品中加入了UEBA功能。

由于不断的并购和其他细分市场产品的蚕食，纯UEBA厂商越来越少。同时，由于该技术此前一直处于期望的顶点，一些率先采用UEBA技术的超前客户的失败案例开始涌现，促使人们对这个技术进行重新定位，当然也有利于UEBA未来更好发展。

另外，有些做得不错的纯UEBA厂商也开始扩展自己的细分市场。最典型的就是向SIEM厂商进发。2017年的SIEM魔力象限就已经出现了2个UEBA厂商，他们已经开始把自己当作更先进的SIEM厂商了。

在Gartner的2018年应用安全的Hype Cycle中，UEBA基本已经从去年的期望顶峰滑落到失望的谷底了。

未来纯UEBA厂商将越来越少，要么被并购，要么转变到其他更大的细分市场。同时SIEM厂商将会大举投入UEBA技术，不论是买、还是OEM、抑或自研。未来，UEBA更多是一种技术、一种能力，被广泛集成到多种安全产品之中，最关键就是UEBA引擎。但只要UEBA厂商还能开发出具有独立存在价值的客户应用场景，就不会消失，至少目前来看，还是具备独立存在的价值。

国内目前几乎没有UEBA的专业厂商，一般见于其他细分市场的产品家族中，譬如SIEM/安管平台厂商，或者业务安全厂商的产品线中会有这个产品。

（3）欺骗

欺骗技术（DeceptionTechnology）的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装，欺骗攻击者，尤其是攻击者的工具中的各种特征识别环节，使得那些工具产生误判或失效，扰乱攻击者的视线，将其引入死胡同，延缓攻击者的时间。譬如设置一个伪目标/诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。

欺骗技术作为一种新型的威胁检测技术，可以作为SIEM或者其他新型检测技术（如NTA、UEBA）的有益补充，尤其是在检测高级威胁的横向移动方面。Gartner认为未来欺骗类产品独立存在的可能性很小，绝大部分都将被并购或者消亡，成为大的产品方案中的一环。

针对欺骗技术，Gartner给客户的建议包括：

要求厂商提供丰富的假目标（类型）组合；

要求提供基于攻击者视角的可视化拓扑；

要求提供完整的API能力，便于客户进行编排和自动化集成。

Gartner一直大力推介欺骗技术。在2018年的威胁对抗Hype Cycle中首次列入了欺骗平台技术，并将其列为新兴技术，正在向期望的高峰攀登。总体上，不论是技术的产品化实用程度，还是客户的接受程度，都处于早期，Gartner预计还有5～10年才能趋于成熟。

（4）MDR服务

MDR在2017年已经上榜，作为一种服务，为那些想提升自身高级威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个选择。

事实上，如果采购了MDR服务，MDR提供商可能会在网络中部署前面提及的某些新型威胁检测装置，当然客户不必具体操心这些设备的使用，交给MDR服务提供商就行。

根据观察，MDR也是一个机会市场，随着MSSP越来越多的提供MDR服务，纯MDR厂商将会逐步消失，或者变成检测产品厂商提供的一种产品附加服务。Gartner建议客户尽量选择具有MDR服务能力的MSSP。

在2018年的威胁对抗HypeCycle中首次列入了MDR，并将其列为新兴技术，且比欺骗技术还要早。

（5）小结

目前市面上常见的新型威胁检测技术大体上包括：EDR，NTA，UEBA，TIP，网络沙箱及欺骗技术等。可以说这些新型技术各有所长，也各有使用限制。这里面，威胁情报比对相对最简单实用，但前提是要有靠谱的情报。沙箱技术相对最成熟，但也被攻击者研究得相对最透彻。EDR在整个IT架构的神经末梢端进行检测，理论效果最好，但受限于部署和维护问题，对宿主的影响性始终挥之不去，甚至还有些智能设备根本无法部署代理。NTA部署相對简单，对网络干扰性小，但对分散性网络部署成本较高，且难以应对越来越多的加密通信。UEBA肯定是一个好东西，但需要提供较高质量的数据输入，且机器学习分析的结果确切性不可能100 %，也就是存在误报，多用于Threat Hunting，还需要分析师的后续分析。欺骗技术理论上很好，基本不影响客户现有的业务，但需要额外的网络改造成本，而且效果还未被广泛证实。对于客户而言，不论选择哪种新型技术，首先要把基础的IDP，SIEM布上去，然后再考虑进阶的检测能力。而具体用到哪种新型检测技术，则要具体问题具体分析，切不可盲目跟风。