gartner:2017年11大信息安全技术（解读版）

关键词：

在2017年6月份举办的第23届Gartner安全与风险管理峰会上，Gartner的Fellow——Neil McDonald发布了2017年度的11个最新最酷的信息安全技术，比往年的10大技术多了一项。

以往都是通过互联网了解Gartner的各种信息和报告。这次，本人有幸亲临现场，参加峰会，自然有更多的感悟。参加峰会期间，获得的信息量实在太大，直到现在，虽然已经过去了2个多月，依然没有消化完。

回到主题，以往我都是聚焦于每年选出来的10大信息安全技术本身，但对这些技术是如何被Gartner选出来的却从未过问。既然亲临现场了，就对此有了更多的了解。原来，Gartner选择年度顶级技术的标准是：

1）不能仅仅是个趋势（譬如大数据、IoT）；

2）必须是真实存在的安全技术门类，并且有实实在在的厂商提供这类技术和产品；

3）不能仅仅处于研究状态，但也不能已经成为主流技术；

4）符合Gartner对于客户需求和技术发展趋势的判断。

按照这个标准，基本上顶级技术都会位于Gartner Hype Cycle的曲线顶峰部分或者是低谷的部分。

这11大技术分别是：

01.    Cloud WorkloadProtection Platforms云工作负载保护平台CWPP

02.    Remote Browser远程浏览器

03.    Deception欺骗技术

04.    Endpoint Detection andResponse 终端检测与相应EDR

05.    Network Traffic Analysis网络流量分析NTA

06.    Managed Detection andResponse可管理检测与响应MDR

07.    Microsegmentation微隔离

08.    Software-DefinedPerimeters软件定义边界SDP

09.    Cloud Access SecurityBrokers云访问安全代理CASB

10.    OSS Security Scanningand Software Composition Analysis for DevSecOps面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

11.    Container Security容器安全

国内对于2017年的这11大技术也有很多翻译的文章，譬如FreeBuf，但我认为这些译文多少都有不确切之处，译文原文可参见Gartner新闻(http://www.gartner.com/newsroom/id/3744917)。

Neil将这11项技术分为了三类：

1）             面向威胁的技术：这类技术都在Gartner的自适应安全架构的范畴之内，包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离；

2）             访问与使能技术：包括SDP、CASB；

3）             安全开发：包括OSS安全扫描与软件成分分析、容器安全。

从另外一个角度看，这11项技术有5个都直接跟云安全挂钩（CWPP、微隔离、SDP、CASB、容器安全），也应证了云技术的快速普及。

针对上述11大技术，其中远程浏览器、欺骗技术、EDR、微隔离、CASB共5个技术也出现在了2016年度的10大信息安全技术列表之中。各位可以参见我写的2016年度Gartner10大信息安全技术的解读文章，这里不再赘述。

剩下6个技术，简要分析如下：

 

CWPP云工作负载保护平台

现在数据中心的工作负载都支持运行在包括物理机、虚拟机、容器、私有云的环境下，甚至往往出现部分工作负载运行在一个或者多个公有云IaaS提供商那里的情况。混合CWPP为信息安全的管理者提供了一种集成的方式，让他们能够通过一个单一的管理控制台和统一的安全策略机制去保护那些工作负载，而不论这些工作负载运行在何处。

事实上，CWPP这个概念就是Neil本人发明的。他在2016年3月份发表了一份题为《CWPP市场指南》的分析报告，并第一次对CWPP进行了正式定义：CWPP市场是一个以工作负载为中心的安全防护解决方案，它是一种典型的基于代理（Agent）的技术方案。这类解决方案满足了当前横跨物理和虚拟环境、私有云和多种公有云环境的混合式数据中心架构条件下服务器工作负载防护的独特需求。还有的甚至也同时支持基于容器的应用架构。

Neil将CWPP解决方案的能力进行了层次划分，并归为基础支撑、核心能力、扩展能力三大类。下图是Neil发布的2017年版《CWPP市场指南》中描绘的能力层次图，由上至下，重要性逐渐递增：

那份报告对这个图中的每一层都进行详细阐述。明眼人一看，就会觉得其实这个CWPP的核心就是一个主机IPS/IDS，只不过放到的云环境中。当然，除了HIPS/HIDS功能外，还扩展了一些其他功能。

其实，CWPP这个提法在Gartner内部也是存在分歧的，我跟Gartner的分析师就此进行过讨论。也因此，Gartner将CWPP市场映射为CWPP解决方案，而非单一的CWPP产品，因为CWPP的每个能力层都涉及不同的技术，整个CWPP涉及的技术面更是十分广泛。此外，每个CWPP提供商的产品功能都不尽相同，甚至存在较大差异。而用户要对其云工作负载（云主机）进行防护的话，恐怕也不能选择某个单一的CWPP产品，而需要统筹考虑，进行多种技术的集成。当然，不排除随着Gartner力推CWPP概念，将来会出现更加完整的CWPP产品，即所谓的“Single pane of glass to hybrid cloud workload protection”。在2017年的云安全HypeCycle中，CWPP位于低谷位置，Gartner认为CWPP处于青春期，距离成熟市场还有2到5年的时间。

目前，国内已经有厂商进入CWPP市场。希望随着我们对CWPP认识的清晰，不要以后国内出现一窝蜂地将传统技术简单包装而成的CWPP厂商，就如EDR那样。

 

NTA网络流量分析

作为威胁检测的高级技术之一，NTA是在2014年就跟EDR一同提出来的。而NTA的前身则是NBA（Network Behavior Analysis），一项早在2005年就被Gartner提出来的技术。我对NBA/NTA的研究也有十年了，也做出过NBA/NTA类的产品。根据Gartner的定义，NTA融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量，通常部署在关键的网络区域对东西向和南北向的流量进行分析，而不会试图对全网进行监测。

在NTA入选11大技术的解说词中，Gartner说到：NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言，可以考虑将NTA作为一种备选方案。

 

MDR威胁检测与响应服务

MDR是一类服务，并且通常不在传统的MSS/SaaS提供商的服务目录中。作为一种新型的服务项目，MDR为那些想提升自身威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个不错的选择。MDR对于SMB市场尤其具有吸引力，因为打中了他们的“兴奋点”。

MDR服务是Gartner在2016年正式提出来的，定位于对高级攻击的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同，MDR还试图帮助客户监测内部网络中的流量，尤其是识别高级攻击的横向移动环节的蛛丝马迹，以求更好地发现针对客户内部网络的高级攻击。二要做到这点，就需要在客户网络中部署多种高级攻击检测技术（设备），还要辅以安全分析。对于MDR服务而言，这些额外部署在客户侧的设备是属于服务提供商的，而非客户的。这些设备（硬件或者软件）既可能是基于网络的，也可能是基于主机的，也可能兼有之。在安全分析的过程中，会用到威胁情报，也可能用到专业的安全分析师。在检测出攻击，进行响应的时候，MDR服务强调迅速、直接、轻量化（简洁）、高效，而不会过多顾及安全管理与事件处置的流程，很多时候通过提供商部署在客户侧的设备就响应处置掉了。显然，这种服务与传统的MSS相比，对客户而言更具影响性，但也更加高效，也是高级威胁对客户造成的风险越来越大的必然反应。

Gartner预计到2020年将有15%的组织使用MDR类的服务，而现在仅不到1%。同时，到2020年80%的MSSP都会提供MDR类的安全服务，称之为“AdvancedMSS”。在未来两年，MSS尚不会完全覆盖MDR服务。

 

SDP软件定义边界

SDP将不同的网络相连的个体（软硬件资源）定义为一个逻辑集合，形成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须通过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，降低其受攻击的暴露面的目标。

这种技术最初是CSA云安全联盟提出来的，是SDN和SDS概念的交集。刚开始SDP主要针对WEB应用，到现在也可以针对其他应用来构建SDP了。SDP的出现消除了传统的固化边界，对传统的设置DMZ区，以及搭建VPN的做法构成了挑战，是一种颠覆性的技术。也可以说，SDP是一种逻辑的、动态的边界，这个边界是以身份和情境感知为核心的。这让我想起了思睿嘉德的DJ说过的一句话：“身份是新边界”。

在Gartner的云安全Hype Cycle中，SDP位于新兴阶段，正处于曲线的顶峰。Gartner预测，到2017年底，至少10%的企业组织将利用SDP技术来隔离敏感的环境。

 

面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

在2016年的10大信息安全技术中，也提到了DevSecOps，但强调的是DevSecOps的安全测试。今年，安全测试变成了安全扫描与软件成分分析，其实基本上是一个意思，只是更加具体化了。

对于DevSecOps的落地而言，最关键的一点就是自动化和透明化。各种安全控制措施在整个DevSecOps周期中都要能够自动化地，非手工的进行配置。并且，这个自动化的过程必须是对DevOps团队尽量透明的，既不能影响到DevOps的敏捷性本质，同时还要能够达成法律、合规性，以及风险管理的要求。

SCA（软件成分分析）是一个比较有趣的技术。SCA专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点应用系统（OSS）的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题，把这些风险排查在应用系统投产之前。如果用户要保障软件系统的供应链安全，这个SCA很有作用。目前，我们的研发也已经做了一些这方面的工作，并将这些成果应用到资产的统一漏洞管理产品之中。

在Gartner的应用安全的Hype Cycle中，SCA属于成熟早期的阶段，属于应用安全测试的范畴，既包含静态测试，也包含动态测试。

 

容器安全

容器使用的是一种共享操作系统（OS）的模型。对宿主OS的某个漏洞利用攻击可能导致其上的所有容器失陷。容器本身并非不安全，但如果缺少安全团队的介入，以及安全架构师的指导，容器的部署过程可能产生不安全因素。传统的基于网络或者主机的安全解决方案对容器安全没啥作用。容器安全解决方案必须保护容器从创建到投产的整个生命周期的安全。目前大部分容器安全解决方案都提供投产前扫描和运行时监测保护的能力。

根据Gartner的定义，容器安全包括开发阶段的风险评估和对容器中所有内容信任度的评估，也包括投产阶段的运行时威胁防护和访问控制。在Hype Cycle中，容器安全目前处于新兴阶段。

【参考】

Gartner：2016年十大信息安全技术（含解读）

Gartner：2014年十大信息安全技术

云原生安全-云计算发展白皮书（2020年）解读

...安全与云融合安全管理新兴安全技术参考来源：中国信息通信研究院概括白皮书首先介绍了云计算产业发展概况，然后重点围绕云原生、SaaS、分布式云、云原生安 查看详情

信息安全事件分类分级解读

   信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。1、信息安全事件分类 依据《中华人民共和国网络安全法》、《GBT24363... 查看详情

等保测评2.0超详细解读，收藏这一篇就够了(代码片段)

...介绍1.1什么是等级保护网络安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理... 查看详情

gartner2017年bi研究计划曝光，来看看他研究的都是啥？

...据应用研究院》——数据干货&资讯集中地 近日，Gartner发布了《AnalyticsandBusinessIntelligenceModernizationPrimerfor2017》报告，详细阐释了Gartner2017年BI和数据分析领域的研究方向。为实现快速和可靠的业务决策，企业需要有效的分... 查看详情

gartner2017年bi研究计划曝光，来看看他研究的都是啥？

...据应用研究院》——数据干货&资讯集中地 近日，Gartner发布了《AnalyticsandBusinessIntelligenceModernizationPrimerfor2017》报告，详细阐释了Gartner2017年BI和数据分析领域的研究方向。为实现快速和可靠的业务决策，企业需要有效的分... 查看详情

中国信通院发布“威胁信息蓝皮报告”，解读威胁信息三大落地方向

...行业各方的共同着眼点。在此背景下，网络安全威胁信息（英文为ThreatIntelligence，即威胁情报）正在重构安全防护体系，帮助政企机构更好的“知己”“知彼”，实现较为精准的动态防御，为政企机构... 查看详情

2021乌镇互联网大会，数字联盟解读网络安全与信息保护

...其中最令人瞩目的就是9月26日展开的，由国家互联网信息办公室主办、国家工业信息安全发展研究中心和中国网络空间安全协会协办的以“数据治理与个人信息保护”为主题的网络数据治理论 查看详情

解读：ipfs助力数字经济下的大数据现状

信息技术的千万次呼唤数据与信息相伴相生，随着信息技术朝着以5G、人工智能、虚拟化、分布式计算等为代表的新一代信息技术演进，数据也完成了从“小数据”向“大数据”的艰难蜕变。19世纪60年代前，信息技术... 查看详情

等级保护发展历程

...，并在各个行业中得到了切实的实践执行，对我国的网络信息安全具有重要的指导作用。今天，等级保护2.0时代，将根据信息技术发展应用和网络安全态势，不断丰富制度内涵、拓展保护范围、完善监管措施，逐步健全网络安全... 查看详情

“数实融合”新时代，解读数据治理的新风向

...是影响企业发展的关键要素之一。今天我们邀请到了中国信息通信研究院大数据与区块链部副主任、腾讯云TVP姜春宇老师，带领我们解读数据治理的发展新趋势，一起洞见行业的数字化未来。作者简介姜春宇，中国信... 查看详情

中国银联mpos通用技术安全分析和规范解读

...手机、平板电脑等通用智能移动设备。并通过互联网进行信息传输。因此其安全特点与传统银行卡受理终端存在不同;同一时候，市场对mPOS含义认识不一，安全水平參差不齐。因而也对安全管理提出了更大的挑战。本文基于银联... 查看详情

2018年11月软考各省市报名网址报名时间（动态更新）

...级）。培训过的课程有：网络规划设计师、网络工程师、信息系统项目管理师、系统集成项目管理师、信息安全技术、网络技术、信息安全工程师、软件设计师、系统分析师、系统规划与管理师、数据库系统工程师、系统架构设... 查看详情

我的物联网成长记9物联网平台安全如何破？

...数字化的同时，也带来了物联网技术应用的安全风险，据Gartner分析预测，到2020年，企业发现的攻击中超过25%涉及物联网。  （注：引自Gartner2017年IoT分析报告，https://www.gartner.com/imagesrv/books/iot/iotEbook_digital.pdf）随着物联... 查看详情

计算机三级信息安全技术时间表

...的符号分析》奠定了计算机二进制基础20世纪40年代 当代信息安全起源于20世纪40年代的通信保密1949年香农（Shannon）《保密系统的通信理论》宣告密码学时代的到来信息安全发展的里程碑20世纪60年代ARPAnt（美国）... 查看详情

安全测试报告解读

...不多赘言，写这篇，是因为后来我想起来这个测试报告的信息量很大，值得学习一下报告本身的一些技术内容，写这个blog就是这个个学习的过程。    这个报告由AppScan8.6扫描得出,主要分为以下问题类型：  ... 查看详情

大网站安全防护措施解读

 网站安全问题可以说是现在最引人关注的问题，有关服务器安全、用户隐私安全、企业数据安全的文章和争论从来没有停息过。系统管理员作为网站安全的第一道哨岗，既要确保网站服务器系统的安全，也要考虑到网站应用... 查看详情

tscbsv技术标准委员会2021-2023年路线图深入解读

发表时间：2021年8月20日信息来源：bitcoinassociation.netBSV技术标准委员会（TSC）已经正式发布了2021-2023年的组织路线图。路线图详细列示了多项委员会将会与BSV社区的利益相关者合作进行审议、提议、审查和执行的... 查看详情

普华永道：2017年全球信息安全状况调查分析

2016年11月，普华永道发布了2017年的全球信息安全状况调查报告，并附带了中国相关的调查结果。报告显示，在中国大陆和香港地区：1）约1/3的受访企业表示了其投资安全领域的人工智能和机器学习的意愿；2）2016年中国内地及... 查看详情