Gartner選擇年度技術(shù)的標準是：

 

1)不能僅僅是個趨勢(譬如大數(shù)據(jù)、IoT);

2)必須是真實存在的安全技術(shù)門類，并且有實實在在的廠商提供這類技術(shù)和產(chǎn)品;

3)不能僅僅處于研究狀態(tài)，但也不能已經(jīng)成為主流技術(shù);

4)符合Gartner對于客戶需求和技術(shù)發(fā)展趨勢的判斷。

按照這個標準，基本上技術(shù)都會位于Gartner Hype Cycle的曲線頂峰部分或者是低谷的部分。

 

 

通過這個圖也能體會到如何使用Gartner的Hype Cycle

 

這11大技術(shù)分別是：

1) Cloud WorkloadProtection Platforms云工作負載保護平臺CWPP

2) Remote Browser遠程瀏覽器

3) Deception欺騙技術(shù)

4) Endpoint Detection andResponse 終端檢測與相應(yīng)EDR

5) Network Traffic Analysis網(wǎng)絡(luò)流量分析NTA

6) Managed Detection andResponse可管理檢測與響應(yīng)MDR

7) Microsegmentation微隔離

8) Software-DefinedPerimeters軟件定義邊界SDP

9) Cloud Access SecurityBrokers云訪問安全代理CASB

10) OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的運營支撐系統(tǒng)(OSS)安全掃描與軟件成分分析

11) Container Security容器安全

國內(nèi)對于2017年的這11大技術(shù)也有很多翻譯的文章，譬如FreeBuf，但我認為這些譯文多少都有不確切之處，譯文原文可參見Gartner新聞。

 

Neil將這11項技術(shù)分為了三類：

 

1) 面向威脅的技術(shù)：這類技術(shù)都在Gartner的自適應(yīng)安全架構(gòu)的范疇之內(nèi)，包括CWPP、遠程瀏覽器、欺騙技術(shù)、EDR、NTA、MDR、微隔離;

2) 訪問與使能技術(shù)：包括SDP、CASB;

3) 安全開發(fā)：包括OSS安全掃描與軟件成分分析、容器安全。

 

從另外一個角度看，這11項技術(shù)有5個都直接跟云安全掛鉤(CWPP、微隔離、SDP、CASB、容器安全)，也應(yīng)證了云技術(shù)的快速普及。

 

針對上述11大技術(shù)，其中遠程瀏覽器、欺騙技術(shù)、EDR、微隔離、CASB共5個技術(shù)也出現(xiàn)在了2016年度的10大信息安全技術(shù)列表之中。

 

剩下6個技術(shù)，簡要分析如下：

 

1.CWPP云工作負載保護平臺

 

現(xiàn)在數(shù)據(jù)中心的工作負載都支持運行在包括物理機、虛擬機、容器、私有云的環(huán)境下，甚至往往出現(xiàn)部分工作負載運行在一個或者多個公有云IaaS提供商那里的情況?；旌螩WPP為信息安全的管理者提供了一種集成的方式，讓他們能夠通過一個單一的管理控制臺和統(tǒng)一的安全策略機制去保護那些工作負載，而不論這些工作負載運行在何處。

 

事實上，CWPP這個概念就是Neil本人發(fā)明的。他在2016年3月份發(fā)表了一份題為《CWPP市場指南》的分析報告，并第一次對CWPP進行了正式定義：CWPP市場是一個以工作負載為中心的安全防護解決方案，它是一種典型的基于代理(Agent)的技術(shù)方案。這類解決方案滿足了當前橫跨物理和虛擬環(huán)境、私有云和多種公有云環(huán)境的混合式數(shù)據(jù)中心架構(gòu)條件下服務(wù)器工作負載防護的獨特需求。還有的甚至也同時支持基于容器的應(yīng)用架構(gòu)。

 

Neil將CWPP解決方案的能力進行了層次劃分，并歸為基礎(chǔ)支撐、核心能力、擴展能力三大類。下圖是Neil發(fā)布的2017年版《CWPP市場指南》中描繪的能力層次圖，由上至下，重要性逐漸遞增：

 

 

那份報告對這個圖中的每一層都進行詳細闡述。明眼人一看，就會覺得其實這個CWPP的核心就是一個主機IPS/IDS，只不過放到的云環(huán)境中。當然，除了HIPS/HIDS功能外，還擴展了一些其他功能。

 

其實，CWPP這個提法在Gartner內(nèi)部也是存在分歧的，我跟Gartner的分析師就此進行過討論。也因此，Gartner將CWPP市場映射為CWPP解決方案，而非單一的CWPP產(chǎn)品，因為CWPP的每個能力層都涉及不同的技術(shù)，整個CWPP涉及的技術(shù)面更是十分廣泛。此外，每個CWPP提供商的產(chǎn)品功能都不盡相同，甚至存在較大差異。而用戶要對其云工作負載(云主機)進行防護的話，恐怕也不能選擇某個單一的CWPP產(chǎn)品，而需要統(tǒng)籌考慮，進行多種技術(shù)的集成。當然，不排除隨著Gartner力推CWPP概念，將來會出現(xiàn)更加完整的CWPP產(chǎn)品，即所謂的“Single pane of glass to hybrid cloud workload protection”。在2017年的云安全HypeCycle中，CWPP位于低谷位置，Gartner認為CWPP處于青春期，距離成熟市場還有2到5年的時間。

 

目前，國內(nèi)已經(jīng)有廠商進入CWPP市場。希望隨著我們對CWPP認識的清晰，不要以后國內(nèi)出現(xiàn)一窩蜂地將傳統(tǒng)技術(shù)簡單包裝而成的CWPP廠商，就如EDR那樣。

 

2.NTA網(wǎng)絡(luò)流量分析

 

作為威脅檢測的高級技術(shù)之一，NTA是在2014年就跟EDR一同提出來的。而NTA的前身則是NBA(Network Behavior Analysis)，一項早在2005年就被Gartner提出來的技術(shù)。我對NBA/NTA的研究也有十年了，也做出過NBA/NTA類的產(chǎn)品。根據(jù)Gartner的定義，NTA融合了傳統(tǒng)的基于規(guī)則的檢測技術(shù)，以及機器學習和其他高級分析技術(shù)，用以檢測企業(yè)網(wǎng)絡(luò)中的可疑行為，尤其是失陷后的痕跡。NTA通過DFI和DPI技術(shù)來分析網(wǎng)絡(luò)流量，通常部署在關(guān)鍵的網(wǎng)絡(luò)區(qū)域?qū)|西向和南北向的流量進行分析，而不會試圖對全網(wǎng)進行監(jiān)測。

 

在NTA入選11大技術(shù)的解說詞中，Gartner說到：NTA解決方案通過監(jiān)測網(wǎng)絡(luò)的流量、連接和對象來識別惡意的行為跡象。對于那些試圖通過基于網(wǎng)絡(luò)的方式去識別繞過邊界安全的高級攻擊的企業(yè)而言，可以考慮將NTA作為一種備選方案。

 

3.MDR威脅檢測與響應(yīng)服務(wù)

 

MDR是一類服務(wù)，并且通常不在傳統(tǒng)的MSS/SaaS提供商的服務(wù)目錄中。作為一種新型的服務(wù)項目，MDR為那些想提升自身威脅檢測、事件響應(yīng)和持續(xù)監(jiān)測能力，卻又無力依靠自身的能力和資源去達成的企業(yè)提供了一個不錯的選擇。MDR對于SMB市場尤其具有吸引力，因為打中了他們的“興奮點”。

 

MDR服務(wù)是Gartner在2016年正式提出來的，定位于對高級攻擊的檢測與響應(yīng)服務(wù)。與傳統(tǒng)MSSP主要幫客戶監(jiān)測內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)內(nèi)外間流量不同，MDR還試圖幫助客戶監(jiān)測內(nèi)部網(wǎng)絡(luò)中的流量，尤其是識別高級攻擊的橫向移動環(huán)節(jié)的蛛絲馬跡，以求更好地發(fā)現(xiàn)針對客戶內(nèi)部網(wǎng)絡(luò)的高級攻擊。二要做到這點，就需要在客戶網(wǎng)絡(luò)中部署多種高級攻擊檢測技術(shù)(設(shè)備)，還要輔以安全分析。對于MDR服務(wù)而言，這些額外部署在客戶側(cè)的設(shè)備是屬于服務(wù)提供商的，而非客戶的。這些設(shè)備(硬件或者軟件)既可能是基于網(wǎng)絡(luò)的，也可能是基于主機的，也可能兼有之。在安全分析的過程中，會用到威脅情報，也可能用到專業(yè)的安全分析師。在檢測出攻擊，進行響應(yīng)的時候，MDR服務(wù)強調(diào)迅速、直接、輕量化(簡潔)、高效，而不會過多顧及安全管理與事件處置的流程，很多時候通過提供商部署在客戶側(cè)的設(shè)備就響應(yīng)處置掉了。顯然，這種服務(wù)與傳統(tǒng)的MSS相比，對客戶而言更具影響性，但也更加高效，也是高級威脅對客戶造成的風險越來越大的必然反應(yīng)。

 

Gartner預計到2020年將有15%的組織使用MDR類的服務(wù)，而現(xiàn)在僅不到1%。同時，到2020年80%的MSSP都會提供MDR類的安全服務(wù)，稱之為“AdvancedMSS”。在未來兩年，MSS尚不會完全覆蓋MDR服務(wù)。

 

4.SDP軟件定義邊界

 

SDP將不同的網(wǎng)絡(luò)相連的個體(軟硬件資源)定義為一個邏輯集合，形成一個安全計算區(qū)域和邊界，這個區(qū)域中的資源對外不可見，對該區(qū)域中的資源進行訪問必須通過可信代理的嚴格訪問控制，從而實現(xiàn)將這個區(qū)域中的資源隔離出來，降低其受攻擊的暴露面的目標。

 

這種技術(shù)最初是CSA云安全聯(lián)盟提出來的，是SDN和SDS概念的交集。剛開始SDP主要針對WEB應(yīng)用，到現(xiàn)在也可以針對其他應(yīng)用來構(gòu)建SDP了。SDP的出現(xiàn)消除了傳統(tǒng)的固化邊界，對傳統(tǒng)的設(shè)置DMZ區(qū)，以及搭建VPN的做法構(gòu)成了挑戰(zhàn)，是一種顛覆性的技術(shù)。也可以說，SDP是一種邏輯的、動態(tài)的邊界，這個邊界是以身份和情境感知為核心的。這讓我想起了思睿嘉得的DJ說過的一句話：“身份是新邊界”。

 

在Gartner的云安全Hype Cycle中，SDP位于新興階段，正處于曲線的頂峰。Gartner預測，到2017年底，至少10%的企業(yè)組織將利用SDP技術(shù)來隔離敏感的環(huán)境。

 

5.面向DevSecOps的運營支撐系統(tǒng)(OSS)安全掃描與軟件成分分析

 

在2016年的10大信息安全技術(shù)中，也提到了DevSecOps，但強調(diào)的是DevSecOps的安全測試。今年，安全測試變成了安全掃描與軟件成分分析，其實基本上是一個意思，只是更加具體化了。

 

對于DevSecOps的落地而言，最關(guān)鍵的一點就是自動化和透明化。各種安全控制措施在整個DevSecOps周期中都要能夠自動化地，非手工的進行配置。并且，這個自動化的過程必須是對DevOps團隊盡量透明的，既不能影響到DevOps的敏捷性本質(zhì)，同時還要能夠達成法律、合規(guī)性，以及風險管理的要求。

 

SCA(軟件成分分析)是一個比較有趣的技術(shù)。SCA專門用于分析開發(fā)人員使用的各種源碼、模塊、框架和庫，以識別和清點應(yīng)用系統(tǒng)(OSS)的組件及其構(gòu)成和依賴關(guān)系，并識別已知的安全漏洞或者潛在的許可證授權(quán)問題，把這些風險排查在應(yīng)用系統(tǒng)投產(chǎn)之前。如果用戶要保障軟件系統(tǒng)的供應(yīng)鏈安全，這個SCA很有作用。目前，我們的研發(fā)也已經(jīng)做了一些這方面的工作，并將這些成果應(yīng)用到資產(chǎn)的統(tǒng)一漏洞管理產(chǎn)品之中。

 

在Gartner的應(yīng)用安全的Hype Cycle中，SCA屬于成熟早期的階段，屬于應(yīng)用安全測試的范疇，既包含靜態(tài)測試，也包含動態(tài)測試。

 

6.容器安全

 

容器使用的是一種共享操作系統(tǒng)(OS)的模型。對宿主OS的某個漏洞利用攻擊可能導致其上的所有容器失陷。容器本身并非不安全，但如果缺少安全團隊的介入，以及安全架構(gòu)師的指導，容器的部署過程可能產(chǎn)生不安全因素。傳統(tǒng)的基于網(wǎng)絡(luò)或者主機的安全解決方案對容器安全沒啥作用。容器安全解決方案必須保護容器從創(chuàng)建到投產(chǎn)的整個生命周期的安全。目前大部分容器安全解決方案都提供投產(chǎn)前掃描和運行時監(jiān)測保護的能力。

 

根據(jù)Gartner的定義，容器安全包括開發(fā)階段的風險評估和對容器中所有內(nèi)容信任度的評估，也包括投產(chǎn)階段的運行時威脅防護和訪問控制。在Hype Cycle中，容器安全目前處于新興階段。