陸英

在2018年的Gartner安全與風(fēng)險管理峰會上，知名分析師Neil Mcdonald發(fā)布了2018年度的十大安全項目（Top 10 Security Projects）。推出這些頂級技術(shù)的目的也是供客戶方的信息安全主管們作為當(dāng)年安全投資建設(shè)的推薦參考。接下來，我們逐一解析一下這10大項目。

1.特權(quán)賬戶管理項目

項目目標(biāo)客戶：該項目旨在讓攻擊者更難訪問特權(quán)賬戶，并讓安全團隊監(jiān)測到異常訪問的行為。最低限度，CISO們應(yīng)該要求對所有管理員實施強制多因素認(rèn)證，建議同時也對承包商等外部第三方的訪問實施強制多因素認(rèn)證。

項目建議：先對高價值、高風(fēng)險的系統(tǒng)實施PAM，監(jiān)控對其的訪問行為。

PAM工具為組織的關(guān)鍵資產(chǎn)提供安全的特權(quán)訪問，以符合對特權(quán)賬號及其訪問的監(jiān)控管理合規(guī)需求。PAM通常具備以下功能：

對特權(quán)賬號的訪問控制功能，包括共享賬號和應(yīng)急賬號；

監(jiān)控、記錄和審計特權(quán)訪問操作、命令和動作；

自動地對各種管理類、服務(wù)類和應(yīng)用類賬戶的密碼及其它憑據(jù)進行隨機化、管理和保管；

為特權(quán)指令的執(zhí)行提供一種安全的單點登錄（SSO）機制；

委派、控制和過濾管理員所能執(zhí)行的特權(quán)操作；

隱藏應(yīng)用和服務(wù)的賬戶，讓使用者不用掌握這些賬戶實際的密碼；

具備或者能夠集成高可信認(rèn)證方式，譬如集成MFA。

很顯然，雖然國內(nèi)談PAM很少，但實際上早已大量運用，其實就對應(yīng)我們國內(nèi)常說的堡壘機。

Gartner將PAM工具分為兩類：特權(quán)賬戶和會話管理（PASM）和權(quán)限提升與委派管理（PEDM）。

PASM一般對應(yīng)那個堡壘機邏輯網(wǎng)關(guān)，實現(xiàn)單點登錄，集中的訪問授權(quán)與控制，設(shè)備系統(tǒng)密碼代管、會話管理、對操作的審計（錄像）。

PEDM則主要通過分散的Agent來實現(xiàn)訪問授權(quán)與控制，以及操作過濾和審計。國內(nèi)的堡壘機一般都沒有采用這種技術(shù)模式。

Gartner分析未來PAM的技術(shù)發(fā)展趨勢包括：

支持特權(quán)任務(wù)自動化，多個操作打包自動化執(zhí)行；

將PAM用于DevOps，讓DevOps更安全更便捷；

支持容器；

支持IaaS/PaaS和虛擬化環(huán)境；

以云服務(wù)的形式交付PAM；

特權(quán)訪問操作分析，就是對堡壘機日志進行分析，可以用到UEBA技術(shù)；

與漏洞管理相結(jié)合；

系統(tǒng)和特權(quán)賬戶發(fā)現(xiàn)；

特權(quán)身份治理與管理。

Gartner列出了評價PAM的幾個關(guān)鍵衡量指標(biāo)：

環(huán)境支持的情況，是否支持云環(huán)境？

具備PASM和PEDM功能，具有錄像功能；

提供完備的API以便進行自動化集成；

具備自然人/非自然人的賬號管理功能。

在Gartner的2018年IAM技術(shù)Hype Cycle中，PAM處于早期主流階段，正在向成熟的平原邁進。

2.符合CARTA方法論的弱點管理項目

項目目標(biāo)客戶：基于CARTA方法論，該項目能夠很好地處理漏洞管理問題，并有助于顯著降低潛在風(fēng)險。在補丁管理流程中斷，以及IT運維的速度趕不上漏洞增長的速度時，可以考慮該項目。你無法打上每個補丁，但可以通過風(fēng)險優(yōu)先級管理顯著降低風(fēng)險。

項目建議：要求你的虛擬助手/虛擬機供應(yīng)商提供該能力（如果客戶已經(jīng)上云/虛擬化的話），并考慮使用風(fēng)險緩解措施，譬如上防火墻、IPS、WAF等。

注意，弱點管理不是弱點評估。弱點評估對應(yīng)我們熟知的弱點掃描工具，包括系統(tǒng)漏掃、Web漏掃、配置核查、代碼掃描等。而弱點管理是在弱點評估工具之上，收集這些工具所產(chǎn)生的各類弱點數(shù)據(jù)，進行集中整理分析，并輔以情境數(shù)據(jù)（譬如資產(chǎn)、威脅、情報等），進行風(fēng)險評估，并幫助安全管理人員進行弱點全生命周期管理的平臺。記住，弱點管理是平臺，而弱點掃描是工具。

另外，“Vulnerability Management”筆者一直稱作“弱點管理”，而不是“漏洞管理”，是因為弱點包括漏洞，還包括弱配置，如果你認(rèn)為Vulnerability應(yīng)該叫做漏洞，那也沒關(guān)系，但不要把弱配置落掉。

那么，什么叫做基于CARTA的弱點管理呢？熟悉CARTA就能明白，本質(zhì)上CARTA就是以風(fēng)險為核心一套安全方法論。因此，基于CARTA的弱點管理等價于基于風(fēng)險的弱點管理?；陲L(fēng)險的管理是一個不斷迭代提升的過程，包括弱點發(fā)現(xiàn)、弱點優(yōu)先級排序、弱點補償控制三個階段。

作為排名第二位的項目，Gartner建議盡快啟動，盡早降低組織面臨的風(fēng)險。

Gartner對基于CARTA方法論的VM的衡量指標(biāo)包括：

是否有情境信息，誰收到攻擊？不僅是IP，而是他的情境信息都需要，以便全面評估；

能否算出資產(chǎn)的業(yè)務(wù)價值？

能否繪制網(wǎng)絡(luò)拓?fù)洌o出緩解措施？

把漏洞評估和漏洞管理一并考慮，譬如集成VA工具

目前在國內(nèi)一般有兩類弱點管理產(chǎn)品，一類是單一的弱點管理產(chǎn)品，屬于輕量級的弱點管理平臺，更多具有工具的使用特點，管理類功能相對較為簡單。還有一類是作為SOC/安管平臺的一個組成部分，具有較為完備的平臺功能，并具備風(fēng)險計算功能，把漏洞管理的流程和其它SOC運維流程整合到一起。

3.積極的反釣魚項目

項目目標(biāo)客戶：該項目瞄準(zhǔn)那些至今依然有員工遭受成功網(wǎng)絡(luò)釣魚攻擊的組織。他們需要采用一個三管齊下的策略，即同時進行技術(shù)控制、終端用戶控制和流程重構(gòu)。使用技術(shù)控制措施盡可能多地阻斷釣魚攻擊，同時需要終端使用用戶積極成為防御體系中的一環(huán)。

項目建議：不要點名批評那些沒有做到位的部門或者個人，而應(yīng)該大張旗鼓的宣傳那些做得得當(dāng)?shù)男袨椤?yīng)該去詢問郵件安全供應(yīng)商能否承擔(dān)這個項目。如果不能，為什么？（注：郵件安全供應(yīng)商應(yīng)該具有這樣的能力，否則就不合格）

Gartner認(rèn)為近幾年內(nèi)，網(wǎng)絡(luò)釣魚（不論是郵件釣魚還是網(wǎng)頁釣魚）依然會是APT攻擊的最經(jīng)典方式，也會是面向C端用戶的普遍性攻擊方法。網(wǎng)絡(luò)釣魚一種普遍存在的高影響性威脅，他通過社交工程來實現(xiàn)對個人和企業(yè)資產(chǎn)的非法訪問。尤其是郵件釣魚十分猖獗，并還有不斷上升的勢頭。盡管已經(jīng)涌現(xiàn)了不少應(yīng)對技術(shù)，但效果仍不顯著。從技術(shù)上看，產(chǎn)生釣魚的因素十分復(fù)雜，并且跟企業(yè)和個人信息泄露密切相關(guān)，很難從單一維度進行阻斷。因此，Gartner提出了要進行綜合治理的說法，需要運用技術(shù)、人和流程相結(jié)合的手段。

Gartner給出的綜合治理建議如下：

（1）在安全郵件網(wǎng)關(guān)（SEG）上加載高級威脅防御技術(shù)

最典型的就是集成URL過濾技術(shù)。URL過濾必須支持點擊時URL過濾分析（time-of-click URL filtering）和使用代理的URL過濾分析，因為很多惡意URL都是在用戶雙擊后動態(tài)產(chǎn)生的，還有的URL外面包了代理。這些都增加了過濾的難度。其次是集成網(wǎng)絡(luò)沙箱，這類技術(shù)已經(jīng)較為成熟，但用到SEG上，性能是一個問題，并且開始出現(xiàn)沙箱逃逸。

更高級的是針對郵件中的附件文件進行內(nèi)容拆解與重建（Content Disarm and Reconstruction，CDR）。這種技術(shù)會實時地把文件分拆為不同的組成部分，然后剝?nèi)ト魏尾环衔募家?guī)范的內(nèi)容，再重新把文件的不同部分組合起來，形成一個“干凈”的版本，繼續(xù)將它傳到目的地，而不影響業(yè)務(wù)。這里的CDR最核心的工作就是對文件進行清洗，譬如去掉宏、去掉js腳本等嵌入式代碼。這種技術(shù)性能還不錯，但可能會清洗掉合法的動態(tài)腳本，導(dǎo)致文件不可用。因此Gartner建議一方面快速CDR清洗后發(fā)給用戶，另一方面繼續(xù)跑沙箱，如果沒問題再追發(fā)原始文件給用戶。

當(dāng)然，釣魚手段遠不止于此，譬如無載荷的釣魚攻擊，因此，還有很多細節(jié)需要考慮。

（2）不要僅僅依靠密碼來進行認(rèn)證，要采用更安全的認(rèn)證機制，尤其針對高價值的系統(tǒng)和高敏感用戶。

（3）使用反釣魚行為管控（APBM）技術(shù)

這類技術(shù)聚焦員工的行為管控和矯正，通常作為安全意識教育與培訓(xùn)的輔助手段。這類產(chǎn)品會發(fā)起模擬的釣魚攻擊，然后根據(jù)被測員工的行為反饋來對其進行教育和矯正。目前這種技術(shù)主要以服務(wù)的方式交付給客戶。

（4）強化內(nèi)部流程管控

如有些無載荷釣魚，包括一些社交工程的魚叉式精準(zhǔn)釣魚，引誘收件人透露賬號密碼或者敏感信息。這些都是技術(shù)手段所不能及的，要對關(guān)鍵流程進行重新梳理，加強管控。

Gartner給客戶的其它建議還包括：

要求郵件安全供應(yīng)商提供反釣魚功能；

確保合作伙伴也實施了反釣魚防護；

正面管理，而不是相反。

考慮與遠程瀏覽器隔離技術(shù)結(jié)合使用（遠程瀏覽器是Gartner 2017年10大安全技術(shù)）。