陸英

4.服務(wù)器工作負載的應(yīng)用控制項目

項目目標客戶：該項目適合那些希望對服務(wù)器工作負載實施零信任或默認拒絕策略的組織。該項目使用應(yīng)用控制機制來阻斷大部分不在白名單上的惡意代碼。Neil認為這是十分強的安全策略，并被證明能夠有效抵御Spectre和Meldown攻擊。

項目建議：把應(yīng)用控制白名單技術(shù)跟綜合內(nèi)存保護技術(shù)結(jié)合使用。該項目對于物聯(lián)網(wǎng)項目或者是不再被供應(yīng)商提供保護支持的系統(tǒng)特別有用。

應(yīng)用控制也稱作應(yīng)用白名單，作為一種成熟的端點保護技術(shù)，不僅可以針對傳統(tǒng)的服務(wù)器工作負載，也可以針對云工作負載，還能針對桌面PC。EPP、云工作負載保護平臺（CWPP）中都有該技術(shù)的存在。當(dāng)然，由于桌面PC使用模式相對開放，而服務(wù)器運行相對封閉，因此該技術(shù)更適合服務(wù)器端點。通過定義一份應(yīng)用白名單，指明只有什么可以執(zhí)行，其余的皆不可執(zhí)行，能夠阻止大部分惡意軟件的執(zhí)行。一些OS已經(jīng)內(nèi)置了此類功能。還有一些應(yīng)用控制技術(shù)能夠進一步約束應(yīng)用在運行過程中的行為和系統(tǒng)交互，從而實現(xiàn)更精細化的控制。

Gartner給客戶提出了如下建議：

應(yīng)用控制不是銀彈，系統(tǒng)該打補丁還是要打；

可以取代殺毒軟件（針對服務(wù)器端），或者調(diào)低殺毒引擎的工作量；

根據(jù)Gartner的2018年威脅對抗Hype Cycle，應(yīng)用控制處于成熟主流階段。

5.微隔離和流可見性項目

項目目標客戶：該項目十分適用于那些具有平坦網(wǎng)絡(luò)拓撲結(jié)構(gòu)的組織，不論是本地網(wǎng)絡(luò)還是在IaaS中的網(wǎng)絡(luò)。這些組織希望獲得對于數(shù)據(jù)中心流量的可見性和控制，該項目旨在阻止針對數(shù)據(jù)中心攻擊的橫向移動。MacDonald表示：“如果壞人進來了，他們不能暢通無阻?！?/p>

項目建議：把獲得網(wǎng)絡(luò)可見性作為微隔離項目的切入點，但切忌不要過度隔離。先針對關(guān)鍵的應(yīng)用進行隔離，同時要求供應(yīng)商支持隔離技術(shù)。

該技術(shù)在2017年也上榜了，并且2018年的技術(shù)內(nèi)涵基本沒有變化。

廣義上講，微隔離（也稱做“微分段”）就是一種更細粒度的網(wǎng)絡(luò)隔離技術(shù)，主要面向虛擬化的數(shù)據(jù)中心，重點用于阻止攻擊在進入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移（或者叫東西向移動），是軟件定義安全的一種具體實踐。微隔離使用策略驅(qū)動的防火墻技術(shù)（通常是基于軟件的）或者網(wǎng)絡(luò)加密技術(shù)來隔離數(shù)據(jù)中心、公共云IaaS和容器，甚至是包含前述環(huán)境的混合場景中的不同工作負載、應(yīng)用和進程。流可見技術(shù)（注意：不是可視化技術(shù)）則與微隔離技術(shù)伴生，因為要實現(xiàn)東西向網(wǎng)絡(luò)流的隔離和控制，必先實現(xiàn)流的可見性（Visibility）。流可見性技術(shù)使得安全運維與管理人員可以看到內(nèi)部網(wǎng)絡(luò)信息流動的情況，使得微隔離能夠更好地設(shè)置策略并協(xié)助糾偏。

除了數(shù)據(jù)中心云化給微隔離帶來的機遇，數(shù)據(jù)中心負載的動態(tài)化、容器化以及微服務(wù)架構(gòu)也都越發(fā)成為微隔離的驅(qū)動因素。因為這些新技術(shù)、新場景都讓傳統(tǒng)的防火墻和入侵防御技術(shù)顯得捉襟見肘。而數(shù)據(jù)中心架構(gòu)的變革如此之大，也引發(fā)了大型的廠商紛紛進入這個領(lǐng)域，不見得是為了微隔離本身，更多還是為了自身的整體布局。譬如，云和虛擬化廠商為了自身的整體戰(zhàn)略就不得不進入這個領(lǐng)域。個人認為未來微隔離的startup廠商更多可能會被云廠商和大型安全廠商所并購。此外，針對容器的微隔離也值得關(guān)注。

Gartner給出了評估微隔離的幾個關(guān)鍵衡量指標，包括：

是基于代理的、基于虛擬化設(shè)備的還是基于容器的？

如果是基于代理的，對宿主的性能影響性如何？

如果是基于虛擬化設(shè)備的，它如何接入網(wǎng)絡(luò)中？

該解決方案支持公共云IaaS嗎？

Gartner給客戶提出了如下幾點建議：

欲建微隔離，先從獲得網(wǎng)絡(luò)可見性開始，可見才可隔離；

謹防過度隔離，從關(guān)鍵應(yīng)用開始；

鞭策IaaS、防火墻和交換機廠商原生支持微隔離；

Gartner將微隔離劃分出了4種模式：內(nèi)生云控制模式、第三方防火墻模式、混合式和疊加式。

根據(jù)Gartner的2018年云安全Hype Cycle，目前微隔離已經(jīng)“從失望的低谷爬了出來，正在向成熟的平原爬坡”，但依然處于成熟的早期階段。

在國內(nèi)已經(jīng)有以此技術(shù)為核心的創(chuàng)業(yè)新興廠商。

6.檢測和響應(yīng)項目

Gartner今年將各種檢測和響應(yīng)技術(shù)打包到一起統(tǒng)稱為“檢測和響應(yīng)項目”。實際上對應(yīng)了4樣?xùn)|西，包括3種技術(shù)和1種服務(wù)。

項目目標客戶：該項目適用于那些已經(jīng)認定被攻陷是無法避免的組織。他們希望尋找某些基于端點、基于網(wǎng)絡(luò)或者基于用戶的方法去獲得高級威脅檢測、調(diào)查和響應(yīng)的能力。這里有3種方式可供選擇：

端點保護平臺+端點檢測與響應(yīng)（EPP+EDR）；

用戶與實體行為分析（UEBA）；

欺騙（Decption）。

欺騙技術(shù)相對小眾，但是一個新興的市場。對于那些試圖尋找更深入的方法去加強其威脅偵測機制，從而獲得高保真事件的組織而言，采用欺騙技術(shù)是個不錯的方法。

項目建議：給EPP供應(yīng)商施壓要求其提供EDR功能，給SIEM廠商施壓要求其提供UEBA功能。要求欺騙技術(shù)供應(yīng)商提供豐富的假目標類型組合?？紤]從供應(yīng)商那里直接采購類似“可管理檢測與響應(yīng)”或者“托管檢測與響應(yīng)”的服務(wù)。

（1）EPP+EDR

EDR在2014年就進入Gartner的10大技術(shù)之列了。EDR工具通常記錄大量端點級系統(tǒng)的行為與相關(guān)事件，譬如用戶、文件、進程、注冊表、內(nèi)存和網(wǎng)絡(luò)事件，并將這些信息存儲在終端本地或者集中數(shù)據(jù)庫中。然后對這些數(shù)據(jù)進行IOC比對，行為分析和機器學(xué)習(xí)，用以持續(xù)對這些數(shù)據(jù)進行分析，識別信息泄露（包括內(nèi)部威脅），并快速對攻擊進行響應(yīng)。

EDR的出現(xiàn)最初是為了彌補傳統(tǒng)終端/端點管理系統(tǒng)（Gartner稱為EPP）的不足。而現(xiàn)在，EDR正在與EPP迅速互相滲透融合，尤其是EPP廠商的新版本中紛紛加入EDR的功能，但Gartner預(yù)計未來短期內(nèi)EDR和EPP仍將并存。

EDR的用戶使用成本還是很高的，EDR的價值體現(xiàn)多少跟分析師水平高低和經(jīng)驗多少密切相關(guān)。這也是限制EDR市場發(fā)展的一個重要因素。

另一方面，隨著終端威脅的不斷演化，EPP已經(jīng)不能僅僅聚焦于阻止初始的威脅感染，還需要投入精力放到加固、檢測及響應(yīng)等多個環(huán)節(jié)，因此近幾年來EPP市場發(fā)生了很大的變化，包括出現(xiàn)了EDR這類注重檢測和響應(yīng)的產(chǎn)品。終于，在2018年9月底，Gartner給出了一個全新升級的EPP定義：

EPP解決方案部署在端點之上，用于阻止基于文件的惡意代碼攻擊和檢測惡意行為，并提供調(diào)查和修復(fù)的能力去處理需要響應(yīng)的動態(tài)安全事件和告警。

相較于之前的EPP定義，更加強調(diào)對惡意代碼和惡意行為的檢測及響應(yīng)。而這個定義也進一步反映了EPP與EDR市場融合的事實，基本上新一代的EPP都內(nèi)置EDR功能了。Gartner建議客戶在選購EPP的時候，最好要求他們一并提供EDR功能。因此個人認為，未來EDR將作為一種技術(shù)消融到其他產(chǎn)品中去，主要是EPP，也可能作為一組功能點存在于其他產(chǎn)品中，獨立EDR存在的可能性很小。

Gartner在2018年的威脅對抗（Threat-Facing）技術(shù)的Hype Cycle中首次標注了EDR技術(shù)，處于即將滑落到失望的谷底的位置，比UEBA更靠下。而EPP也是首次出現(xiàn)在Hype Cycle中，位于Hype Cycle的“成熟平原”，屬于早期主流產(chǎn)品。Gartner表示，將EPP列入Hype Cycle是一件不同尋常的事情，因為EPP已經(jīng)存在20年了。但之所以把EPP列進來進行分析就是因為前面提到的EPP已經(jīng)被Gartner重新定義了。

在國內(nèi)，EPP的廠商也經(jīng)歷了多年的洗禮，格局較為穩(wěn)定。而EDR產(chǎn)品則多見于一些新興廠商，有的已經(jīng)開始攪動起看似穩(wěn)定的EPP市場了。

（2）UEBA

UEBA曾經(jīng)在2016年列入10大安全技術(shù)，2017年未能入榜，不過在2018年以檢測與響應(yīng)項目中的一個分支方向的名義重新入榜。

UEBA解決方案通過對用戶和實體（如主機、應(yīng)用、網(wǎng)絡(luò)流量和數(shù)據(jù)集）基于歷史軌跡或?qū)φ战M建立行為輪廓基線來進行分析，并將那些異于標準基線的行為標注為可疑行為，最終通過各種異常模型的打包分析來幫助發(fā)現(xiàn)威脅和潛藏的安全事件。

根據(jù)Gartner的觀察，目前UEBA市場已經(jīng)出現(xiàn)了明顯的分化。一方面僅存在少量的純UEBA廠商，另一方面多種傳統(tǒng)細分市場的產(chǎn)品開始將UEBA功能融入其中。其中最典型的就是SIEM廠商，已經(jīng)將UEBA技術(shù)作為SIEM的核心引擎。Gartner在給客戶的建議中明確提到“在選購SIEM時，要求廠商提供UEBA功能。”此外，包括EDR/EPP和CASB廠商也都紛紛在其產(chǎn)品中加入了UEBA功能。

由于不斷的并購和其他細分市場產(chǎn)品的蠶食，純UEBA廠商越來越少。同時，由于該技術(shù)此前一直處于期望的頂點，一些率先采用UEBA技術(shù)的超前客戶的失敗案例開始涌現(xiàn)，促使人們對這個技術(shù)進行重新定位，當(dāng)然也有利于UEBA未來更好發(fā)展。

另外，有些做得不錯的純UEBA廠商也開始擴展自己的細分市場。最典型的就是向SIEM廠商進發(fā)。2017年的SIEM魔力象限就已經(jīng)出現(xiàn)了2個UEBA廠商，他們已經(jīng)開始把自己當(dāng)作更先進的SIEM廠商了。

在Gartner的2018年應(yīng)用安全的Hype Cycle中，UEBA基本已經(jīng)從去年的期望頂峰滑落到失望的谷底了。

未來純UEBA廠商將越來越少，要么被并購，要么轉(zhuǎn)變到其他更大的細分市場。同時SIEM廠商將會大舉投入UEBA技術(shù)，不論是買、還是OEM、抑或自研。未來，UEBA更多是一種技術(shù)、一種能力，被廣泛集成到多種安全產(chǎn)品之中，最關(guān)鍵就是UEBA引擎。但只要UEBA廠商還能開發(fā)出具有獨立存在價值的客戶應(yīng)用場景，就不會消失，至少目前來看，還是具備獨立存在的價值。

國內(nèi)目前幾乎沒有UEBA的專業(yè)廠商，一般見于其他細分市場的產(chǎn)品家族中，譬如SIEM/安管平臺廠商，或者業(yè)務(wù)安全廠商的產(chǎn)品線中會有這個產(chǎn)品。

（3）欺騙

欺騙技術(shù)（DeceptionTechnology）的本質(zhì)就是有針對性地對攻擊者進行我方網(wǎng)絡(luò)、主機、應(yīng)用、終端和數(shù)據(jù)的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特征識別環(huán)節(jié)，使得那些工具產(chǎn)生誤判或失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時間。譬如設(shè)置一個偽目標/誘餌，誘騙攻擊者對其實施攻擊，從而觸發(fā)攻擊告警。

欺騙技術(shù)作為一種新型的威脅檢測技術(shù)，可以作為SIEM或者其他新型檢測技術(shù)（如NTA、UEBA）的有益補充，尤其是在檢測高級威脅的橫向移動方面。Gartner認為未來欺騙類產(chǎn)品獨立存在的可能性很小，絕大部分都將被并購或者消亡，成為大的產(chǎn)品方案中的一環(huán)。

針對欺騙技術(shù)，Gartner給客戶的建議包括：

要求廠商提供豐富的假目標（類型）組合；

要求提供基于攻擊者視角的可視化拓撲；

要求提供完整的API能力，便于客戶進行編排和自動化集成。

Gartner一直大力推介欺騙技術(shù)。在2018年的威脅對抗Hype Cycle中首次列入了欺騙平臺技術(shù)，并將其列為新興技術(shù)，正在向期望的高峰攀登。總體上，不論是技術(shù)的產(chǎn)品化實用程度，還是客戶的接受程度，都處于早期，Gartner預(yù)計還有5～10年才能趨于成熟。

（4）MDR服務(wù)

MDR在2017年已經(jīng)上榜，作為一種服務(wù)，為那些想提升自身高級威脅檢測、事件響應(yīng)和持續(xù)監(jiān)測能力，卻又無力依靠自身的能力和資源去達成的企業(yè)提供了一個選擇。

事實上，如果采購了MDR服務(wù)，MDR提供商可能會在網(wǎng)絡(luò)中部署前面提及的某些新型威脅檢測裝置，當(dāng)然客戶不必具體操心這些設(shè)備的使用，交給MDR服務(wù)提供商就行。

根據(jù)觀察，MDR也是一個機會市場，隨著MSSP越來越多的提供MDR服務(wù)，純MDR廠商將會逐步消失，或者變成檢測產(chǎn)品廠商提供的一種產(chǎn)品附加服務(wù)。Gartner建議客戶盡量選擇具有MDR服務(wù)能力的MSSP。

在2018年的威脅對抗HypeCycle中首次列入了MDR，并將其列為新興技術(shù)，且比欺騙技術(shù)還要早。

（5）小結(jié)

目前市面上常見的新型威脅檢測技術(shù)大體上包括：EDR，NTA，UEBA，TIP，網(wǎng)絡(luò)沙箱及欺騙技術(shù)等?？梢哉f這些新型技術(shù)各有所長，也各有使用限制。這里面，威脅情報比對相對最簡單實用，但前提是要有靠譜的情報。沙箱技術(shù)相對最成熟，但也被攻擊者研究得相對最透徹。EDR在整個IT架構(gòu)的神經(jīng)末梢端進行檢測，理論效果最好，但受限于部署和維護問題，對宿主的影響性始終揮之不去，甚至還有些智能設(shè)備根本無法部署代理。NTA部署相對簡單，對網(wǎng)絡(luò)干擾性小，但對分散性網(wǎng)絡(luò)部署成本較高，且難以應(yīng)對越來越多的加密通信。UEBA肯定是一個好東西，但需要提供較高質(zhì)量的數(shù)據(jù)輸入，且機器學(xué)習(xí)分析的結(jié)果確切性不可能100 %，也就是存在誤報，多用于Threat Hunting，還需要分析師的后續(xù)分析。欺騙技術(shù)理論上很好，基本不影響客戶現(xiàn)有的業(yè)務(wù)，但需要額外的網(wǎng)絡(luò)改造成本，而且效果還未被廣泛證實。對于客戶而言，不論選擇哪種新型技術(shù)，首先要把基礎(chǔ)的IDP，SIEM布上去，然后再考慮進階的檢測能力。而具體用到哪種新型檢測技術(shù)，則要具體問題具體分析，切不可盲目跟風(fēng)。