浅析Gartner十一大信息安全技术

Benny Ye  最后修改于2018/2/27

（基于本人之前的博文整理而成）

1 概述

在2017年6月份举办的第23届Gartner安全与风险管理峰会上，Gartner知名分析师Neil McDonald发布了2017年度的11个最新最酷的信息安全技术。

Gartner选择年度顶级技术的标准是：

1）不能仅仅是个趋势（譬如大数据、IoT）；

2）必须是真实存在的安全技术门类，并且有实实在在的厂商提供这类技术和产品；

3）不能仅仅处于研究状态，但也不能已经成为主流技术；

4）符合Gartner对于客户需求和技术发展趋势的判断。

按照这个标准，基本上顶级技术都会位于Gartner Hype Cycle的曲线顶峰部分或者是低谷的部分。

这11大技术分别是：

1）    Cloud Workload Protection Platforms：云工作负载保护平台CWPP

2）    Remote Browser：远程浏览器

3）    Deception：欺骗技术

4）    Endpoint Detection and Response： 端点检测与相应EDR

5）    Network Traffic Analysis：网络流量分析NTA

6）    Managed Detection and Response：可管理检测与响应MDR

7）    Microsegmentation：微隔离

8）    Software-Defined Perimeters：软件定义边界SDP

9）    Cloud Access Security Brokers：云访问安全代理CAS

10）    OSS Security Scanning and Software Composition Analysis for DevSecOps：面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

11）    Container Security：容器安全

Gartner将这11项技术分为了三类：

1）对抗威胁的技术：这类技术都在Gartner的自适应安全架构的范畴之内，包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离；

2）访问与使能技术：包括SDP、CASB；

3）安全开发：包括OSS安全扫描与软件成分分析、容器安全。

从另外一个角度看，这11项技术有5个都直接跟云安全挂钩（CWPP、微隔离、SDP、CASB、容器安全），也应证了云技术的快速普及。

需要指出的是，Gartner每年对顶级的信息安全技术评选都是具有连续性的。针对上述11大技术，其中远程浏览器、欺骗技术、EDR、微隔离、CASB共5个技术也出现在了2016年度的10大信息安全技术列表之中。

2 十一大技术浅析

以下技术分析综合了Gartner对11大顶级技术的官方发布新闻稿，以及各个技术相关的分析报告。文中还参杂了本人的理解，欢迎指正。

2.1     CWPP云工作负载保护平台

现在数据中心的工作负载都支持运行在包括物理机、虚拟机、容器、私有云在内的多种环境下，甚至往往出现部分工作负载运行在一个或者多个公有云IaaS提供商那里的情况。混合CWPP为信息安全的管理者提供了一种集成的方式，让他们能够通过一个单一的管理控制台和统一的安全策略机制去保护那些工作负载，而不论这些工作负载运行在何处。

事实上，CWPP这个概念就是Neil本人提出的。他在2016年3月份发表了一份题为《CWPP市场指南》的分析报告，并第一次对CWPP进行了正式定义：CWPP市场是一个以工作负载为中心的安全防护解决方案，它是一种典型的基于代理（Agent）的技术方案。这类解决方案满足了当前横跨物理和虚拟环境、私有云和多种公有云环境的混合式数据中心架构条件下服务器工作负载防护的独特需求。还有的甚至也同时支持基于容器的应用架构。

Neil将CWPP解决方案的能力进行了层次划分，并归为基础支撑、核心能力、扩展能力三大类。下图是Neil发布的2017年版《CWPP市场指南》中描绘的能力层次图，由上至下，重要性逐渐递增：

其实，CWPP这个提法在Gartner内部还是存在分歧的，本人跟Gartner的分析师就此进行过讨论。Gartner将CWPP市场映射为一套对云中负载进行安全防护的解决方案，而非单一的CWPP产品，因为CWPP的每个能力层都涉及不同的技术，整个CWPP涉及的技术面更是十分广泛。此外，每个CWPP提供商的产品功能都不尽相同，甚至存在较大差异。而用户要对其云工作负载（云主机）进行防护的话，恐怕也不能选择某个单一的CWPP产品，而需要统筹考虑，进行多种技术的集成。当然，不排除随着Gartner力推CWPP概念，将来会出现更加完整的CWPP产品，即所谓的“Single pane of glass to hybrid cloud workload protection”。

在2017年的云安全Hype Cycle中，CWPP位于低谷位置，Gartner认为CWPP尚处于青春期，距离成熟市场还有2到5年的时间。

在本人看来，随着云计算的迅速普及，很多传统的安全防护技术的有效性下降了，部署难度增加了。同时，公有云使得用户对云中主机（工作负载）的安全掌控能力降低了。因此，以Agent技术流为代表的云主机防护技术蓬勃兴起。还需要指出的是，终端防护系统无法覆盖对云工作负载的的安全防护需求。目前，国内已经有厂商涉足CWPP市场。希望随着我们对CWPP认识的清晰，不要以后国内出现一窝蜂地将传统技术简单包装而成的CWPP厂商，就如EDR那样。

2.2     远程浏览器

鉴于浏览器往往成为攻击的入口，因此有人将浏览器部署在远程的一个“浏览器服务器池”（通常是基于linux的）中。用户使用这些远程的浏览器来进行网页访问。这样一来，这些浏览器所在的服务器跟用户所在环境中的终端和网络是隔离的。从而使得客户所在网络的暴露面大大降低，而风险被转移到浏览器服务器池那里去了。而在浏览器服务器池那边可以实施专门的安全保护与控制。更进一步，这个浏览器服务器池可以被包装为一种云服务（SaaS），当然也可以运行在隔离的客户侧。

上图展示了远程浏览器技术的两种应用模式：部署在DMZ区，或者以SaaS模式交付。

远程浏览技术的本质是一种隔离技术。其核心技术是在远程服务器上对WEB内容进行渲染（rendering），并能够将渲染后的信息重新编码成HTML5回传给用户本地浏览器。此外，该技术还要支持远程浏览器与用户本地浏览器之间的双向通讯（譬如将WEB内容、音视频信息传递到本地，以及将本地的键盘鼠标操作传给远程浏览器）。

需要指出的是，远程浏览技术跟远程桌面技术（包括虚拟桌面）是不同的。相较而言，远程浏览技术更加轻量级，对服务器性能要求低很多，并且还不涉及虚拟桌面许可证问题（如果用户多的话，许可授权费用不菲）。而每个虚拟桌面的会话都要一个完整的VM来支撑，太重，如果仅仅为了远程浏览只用，显得浪费了。此外，还有一些终端防护类产品能够对用户本地浏览器或者相关进程进行加固和微隔离，但可能会对终端造成一定的不便，而远程浏览器技术通常不需要在客户端装agent。综合来看，在浏览隔离这块，Gartner更看好远程浏览技术。

Gartner认为，远程浏览技术的兴起可能会冲击现在的Secure Web

Gateway（SWG，上网行为管理）市场，或者说未来的SWG可能会集成远程浏览的功能。

鉴于当前大部分攻击都是跟浏览器（包括浏览器自身及其插件）和里面的WEB内容有关的，Gartner预测，到2021年，将会有20%的企业采用远程浏览器解决方案。截至目前，本人还未看到国内有类似的产品出现。

尽管Gartner看好这项技术，但该技术本身目前还面临诸多挑战，尚未成熟，不少厂商正在这个领域寻求技术和市场突破。主要的挑战包括：必须支持PDF、Flash，甚至是JVM等等常见WEB内容的转换呈现；对于不支持的WEB内容如何处理？如何支持用户安全下载远程文件？如何处理富文本的复制/粘贴？目前看到的远程浏览器产品一般都带有集中管理与分析功能、文件沙箱和恶意代码检测功能。

2.3     欺骗技术

这种技术的本质就是有针对性地对攻击者进行我方网络、主机、应用、终端和数据的伪装，欺骗攻击者，尤其是攻击者的工具中的各种特征识别环节，使得那些工具产生误判或失效，扰乱攻击者的视线，将其引入死胡同，延缓攻击者的时间。譬如可以设置一个伪目标/诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。

欺骗技术往前可以追溯到蜜罐技术，随着技术的不断进步，现在的欺骗技术可以看作是蜜罐技术的升级版，欺骗和伪装物更加丰富，欺骗技术的保护重心也从边界转移到了网络内部，尤其是大规模复杂企业内部网络，并出现了分布式欺骗平台（Distributed Deception Platform）。

2017年初，Gartner在中国做了一次Local Briefing。会上，DDP的提出者（2015年）Lawrence Pingree专门做了一个题为《The art of Deception and its benefits for lean-forward security

programs》的演讲。

Gartner十分看重欺骗技术，在2018年10大战略技术之一的CARTA（持续自适应风险与信任评估）中，欺骗技术承担了重要的角色，作为运行时风险与信任评估的重要手段之一。随着人们越来越关注威胁检测与响应，出现了很多新兴的威胁检测技术，包括欺骗技术，以及同在11大技术之列的NTA、EDR，还有UEBA，等等。Gartner认为欺骗技术在各种威胁检测技术中具有独特的价值，具有更好的适应性和可行性，尤其是在工控和物联网环境中，并能与其他技术形成良性互补。

Gartner预测到2019年10%的企业将采用这类技术，主动地与黑客进行对抗。目前，国内有不少从事欺骗技术的初创公司和产品，但要达到DDP的平台级水平，还需要大跨越。

2.4     EDR端点检测与响应

EDR在2014年就进入Gartner的10大技术之列了。EDR工具通常记录大量端点级系统的行为与相关事件，并将这些信息存储在终端本地或者集中数据库中。然后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别信息泄露（包括内部威胁），并快速对攻击进行响应。目前EDR的核心支撑技术包括大数据安全分析（BDSA）技术。

EDR的保护目标是端点。他的出现最初是为了弥补传统终端/端点管理系统（Gartner称为EPP）的不足。而现在，EDR正在与EPP迅速互相渗透融合，但Gartner预计未来三年EDR和EPP仍将并存。

EDR解决方案应具备四大基本功能：安全事件检测、安全事件调查、在端点上遏制安全事件，以及将端点修复至感染前的状态，正好对应Gartner自适应安全架构的检测和响应两个阶段。这里面涉及到了机器学习、大数据分析、威胁捕猎等等尚未成熟的新兴技术和高交互性技术。

仔细研究可以发现，EDR的目标设定还是比较高级的，至少跟EPP相比，对分析人员的要求高出很多。EDR的落地不仅仅是一个技术问题，还涉及到人员组织和流程，以及高水平的安全分析师。因此，将EDR跟SOC结合起来，对于大型企业和组织是一个值得考虑的选项。而对于中小型客户而言，将EDR封装在MS/MDR中，以服务的方式获得这个能力则可以一试。

需要指出的是，端点在这里通常指终端，但实际并不限于终端，还可以包括服务器。

EDR市场发展十分迅速，在2017年底，Gartner首次发布了EDR的市场指南，并对EDR技术的未来发展趋势进行了详细的分析，可以发现EDR技术越来越庞杂，正在发展成为一个平台类产品。

Gartner预计到2021年，80%的大型企业、20%的中型企业和10%的小企业将部署EDR能力。目前，国内已经有多家厂商涉足EDR细分市场领域，但基本上处于摸索阶段，很多产品其实还基本上就是对传统终端管理产品的再包装，面临的挑战颇多。

2.5  NTA网络流量分析

作为一种威胁检测的新兴技术，NTA是在2013年提出来的，并位列五种检测高级威胁的手段之一。

根据Gartner的定义，NTA融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量，通常部署在关键的网络区域对东西向和南北向的流量进行分析，而不会试图对全网进行监测。Gartner建议将NTA是做一种功能和能力，而非纯粹的一个产品。

在NTA入选11大技术的解说词中，Gartner说到：NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言，可以考虑将NTA作为一种备选方案。

NTA与EDR一个关注网络，一个聚焦端点，但在技术和应用上有很多相似之处：都属于威胁检测类的新兴技术，都用到了大数据分析技术，都是安全分析的一个具体用例，都是CARTA的重要组成部分，都推荐与SIEM/SOC集成使用，都是一类对安全分析师水平要求较高的技术，用好不易。

在Gartner的Hype Cycle中，NTA处于炒作的高峰阶段，处于期望的顶点，远未成熟。目前，国内已经有一些从事NTA的公司和产品，本人就是其中之一。

2.6  MDR威胁检测与响应服务

MDR是一类服务，并且通常不在传统的MSS/SaaS提供商的服务目录中。作为一种新型的服务项目，MDR为那些想提升自身威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个不错的选择。MDR对于SMB市场尤其具有吸引力，因为命中了他们的“兴奋点”。

MDR服务是Gartner在2016年正式提出来的，定位于对高级攻击的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同，MDR还试图帮助客户监测内部网络中的流量，尤其是识别高级攻击的横向移动环节的蛛丝马迹，以求更好地发现针对客户内部网络的高级攻击。而要做到这点，就需要在客户网络中部署多种高级攻击检测技术（设备），还要辅以安全分析。对于MDR服务而言，这些额外部署在客户侧的设备是属于服务提供商的，而非客户的。这些设备（硬件或者软件）既可能是基于网络的，也可能是基于主机的，也可能兼有之。在安全分析的过程中，会用到威胁情报，也可能用到专业的安全分析师。在检测出攻击，进行响应的时候，MDR服务强调迅速、直接、轻量化（简洁）、高效，而不会过多顾及安全管理与事件处置的流程，很多时候通过提供商部署在客户侧的设备就响应处置掉了。显然，这种服务与传统的MSS相比，对客户而言更具影响性，但也更加高效，也是高级威胁对客户造成的风险越来越大的必然反应。

Gartner预计到2020年将有15%的组织使用MDR类的服务，而现在仅不到1%。同时，到2020年80%的MSSP都会提供MDR类的安全服务，称之为“Advanced MSS”。Gartner认为MSS和MDR是交集的关系。在未来两年，MSS尚不会完全覆盖MDR服务。

2.7     微隔离

广义上讲，微隔离（也有人称做“微分段”）就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向平移（或者叫东西向移动），是软件定义安全的一种具体实践。流可见技术（注意：不是可视化技术）则与微隔离技术伴生，因为要实现东西向网络流的隔离和控制，必先实现流的可见性（Visibility）。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。此外，有些厂商还为不同工作负载之间的数据传输提供流量加密功能选项。Gartner提醒，谨防过度隔离！这是当前微隔离项目失败的首要原因。

微隔离技术的落地目前较为复杂，不用用户的诉求差异较大。Gartner将微隔离划分出了4种模式：内生云控制模式、第三方防火墙模式、混合式、叠加式。

本地云控制模式就是基于虚拟化平台、IaaS等云平台内建的能力来实现微隔离。譬如利用VMware、思科、AWS、微软云自带的功能。这种模式部署和使用相对简单，对用户更透明，但功能也相对简单，并且无法跨多厂商。

第三方防火墙模式又分为两种：一种是工作在虚机之上，可以跨多厂商基础架构、功能更为丰富，但部署和管理更复杂、性能和成本更高，并且无法实现底层的控制。另一种是借助NFV技术和vSwitch，运行在虚机之下。主流的FW/NGFW厂商都在布局这种模式。

混合模式是上述两种模式的混合使用，譬如东西向隔离用内生的，南北向隔离用第三方的。

叠加模式是比较有特色的，他的核心在于通过在目标虚机（也是工作负载）上部署Agent来实现实现更复杂的微隔离。目前很多初创公司聚焦于此模式及相关技术，视为一次弯道超车的机会。

需要指出的是，微隔离跟CWPP是有部分交集的，有时用户以为自己需要微隔离，其实发现用CWPP更合适。因此，需求分析和应用场景设计十分重要，要按需使用各种技术。

在Gartner的云安全HypeCycle中，微隔离位于失望的低谷，还处于成熟的早期阶段。目前，国内已经出现了涉足微隔离的初创公司，但还处于孵化期。

2.8     SDP软件定义边界

SDP将不同的网络相连的个体（软硬件资源）定义为一个逻辑集合，形成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须通过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，降低其受攻击的暴露面的目标。

这种技术最初是CSA云安全联盟提出来的，是SDN和软件定义安全（SDS）概念的交集。刚开始SDP主要针对WEB应用，到现在也可以针对其他应用来构建SDP了。SDP的出现消除了传统的固化边界，对传统的设置DMZ区，以及搭建VPN的做法构成了挑战，是一种颠覆性的技术。也可以说，SDP定义了一种逻辑的、动态的边界，这个边界是以身份和情境感知为依据的。

在Gartner的云安全Hype

Cycle中，SDP位于新兴阶段，正处于曲线的顶峰。Gartner预测，到2017年底，至少10%的企业组织将利用SDP技术来隔离敏感的环境。

2.9     CASB云访问安全代理

CASB在2016年就位列10大技术之中。最初，CASB被大致定义为一个应用代理安全网关，用于安全地连接起用户与多个云服务商。现如今，Gartner对CASB赋予了更广泛的含义：CASB作为一种产品或服务，为企业认可的云应用提供通用云应用使用、数据保护和治理的可见性。简单的说，就是随着用户越来越多采用云服务，并将数据存入（公有）云中，他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用，让他们清晰地看到云服务的使用情况，实现异构云服务的治理，并对云中的数据进行有效的保护，而传统的WAF、SWG和企业防火墙无法做到这些，因此需要CASB。CASB一个很重要的设计理念就是充分意识到在云中（尤指公有云）数据是自己的，但是承载数据的基础设施不是自己的。Gartner指出CASB重点针对SaaS应用来提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景。Gartner认为CASB应提供四个维度的功能：可见性、数据安全、威胁保护、合规性。

随着云应用的迅速普及，Gartner对CASB概念的放大，现在CASB的功能集合已经十分庞杂，几乎囊括了所有需要布置在用户和云服务提供商链路上的事情，包括认证、单点登录、授权、凭据映射、设备画像、数据安全（内容检查、加密、数据标记化/脱敏）、日志审计与告警、恶意代码检测与防护，等等。个人感觉，实在有点太重了，可能以后会拆解开来成为解决方案而非单一产品，就像我对CWPP的感觉一样。

Gartner预计到2020年，60%的大企业将通过部署CASB来实现云服务治理。

在Gartner的云安全HypeCycle中，CASB位于失望的低谷，还处于青春期阶段。有趣的是，尽管CASB尚未成熟，但Gartner却在2017年底首次推出了CASB的魔力象限，可见Gartner对CASB青睐有加，急切盼望这个市场大发展。目前，国内已经有多个公司推出了自己的CASB产品，但不少还都是在原来堡垒机基础上的扩展封装，具体如何还有待观察。还有一点，就是国内企业级SaaS其实并不普及，还是以IaaS为主，这也是制约CASB发展的一个重要因素。所以，CASB目前在中国要因地制宜。

2.10        面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

在2016年的10大信息安全技术中，也提到了DevSecOps，但强调的是DevSecOps的安全测试和RASP（运行时应用自保护）。今年，安全测试变成了安全扫描与软件成分分析，其实基本上是一个意思，只是更加具体化了。

DevSecOps是Gartner力推的一个概念，有大量的相关分析报告。DevSecOps采用模型、蓝图、模板、工具链等等驱动的安全方法来对开发和运维过程进行自保护，譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。它是一种自动化的、透明化的、合规性的、基于策略的对应用底层安全架构的配置。

对于DevSecOps的落地而言，最关键的一点就是自动化和透明化。各种安全控制措施在整个DevSecOps周期中都要能够自动化地，非手工的进行配置。并且，这个自动化的过程必须是对DevOps团队尽量透明的，既不能影响到DevOps的敏捷性本质，同时还要能够达成法律、合规性，以及风险管理的要求。

软件成分分析(SCA，Software Composition Analysis)是一个比较有趣的技术。SCA专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点应用系统（OSS）的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题，把这些风险排查在应用系统投产之前，也适用于应用系统运行中的诊断分析。如果用户要保障软件系统的供应链安全，这个SCA很有作用。

在Gartner的应用安全的HypeCycle中，SCA属于成熟早期的阶段，属于应用安全测试的范畴，既包含静态测试，也包含动态测试。

2.11        容器安全

与虚拟机（VM）不同，容器使用的是一种共享操作系统（OS）的模型。对宿主OS的某个漏洞利用攻击可能导致其上的所有容器失陷。即便容器本身是安全的，但如果缺少安全团队的介入，以及安全架构师的指导，容器的部署过程可能产生不安全因素。传统的基于网络或者主机的安全解决方案对容器安全没啥作用。容器安全解决方案必须保护容器从创建到投产的整个生命周期的安全。目前大部分容器安全解决方案都提供投产前扫描和运行时监测保护的能力。

根据Gartner的定义，容器安全包括开发阶段的风险评估和对容器中所有内容信任度的评估，也包括投产阶段的运行时威胁防护和访问控制。在Gartner的Hype Cycle中，容器安全目前处于新兴阶段。

3 其他新兴技术

除了上述11大顶级技术，Gartner还列举了一些正在兴起的其他新技术：

4 主要参考信息

1.Gartner Identifies the Top Technologies for Security in 2017，https://www.gartner.com/newsroom/id/3744917;

2.Market Guide for Cloud Workload Protection Platforms, Gartner;

3.Hype Cycle for Cloud Security, 2017, Gartner;

4.It’s time to isolate your users from the Internet cesspool with remote browsing, Gartner;

5.Magic Quadrant for Secure Web Gateways, 2017, Gartner;

6.Competitive Landscape: Distributed Deception Platforms, 2016, Gartner;

7.Market Guide for Endpoint Detection and Response Solutions, Gartner;

8.Market Guide for Managed Detection and Response Services, Gartner;

9.Technology Insight for Microsegmentation, Gartner;

10.Magic Quadrant for Cloud Access Security Brokers, Gartner

作者：bennyye

声明：本文来自Sec-UN，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。