【安全前沿】Gartner 2017安全峰会总览

百家 作者:绿盟科技 2017-10-30 10:02:49


Gartner每年都会在华盛顿National Harbor召开安全峰会,主要面向Gartner的客户,即企业的CIO/CISO们。在将近一周的时间内,咨询师们会密集地向客户介绍Garnter新的研究成果,例如行业发展趋势、安全防护思想、每个领域成熟度和相关厂商等。
那么今年Gartner峰会给我们带来了哪些信息呢,我接下来会从整体原则、变化趋势和细分领域三方面进行分析。
整体原则:信任和弹性

用户要安全,用户也要便捷,但便捷必然带来安全风险,所以这两个属性似乎是矛盾的。这也是为什么我们很多安全机制和安全产品不好用,因为设计伊始就是站在零信任的视角进行的,所有的用户都是不可信的,所以所有的系统都需要密码和pin码访问,所有的高度敏感系统必须物理隔离。但令人沮丧的是,即便如此,无论客户投入多少成本、部署了多少安全产品,各类安全事件还是层出不穷。

原因在于人总是最不稳定的因素,总会有人会设置简单的口令或点击一封来路不明的邮件导致黑客获取用户身份,进而攻入内部重要系统;为了克服物理隔离传输数据,有人可能会插拔U盘,导致勒索软件在内网横行。

Garnter预测,到2022年前,在身份鉴别阶段具有良好用户体验的数字商业方案会比有较差体验的多20%的营收。

此外,整个行业正在发生变化,电子商务(Digital Business)已经成为主流,BYOD、SaaS等应用场景的出现,带来了ShadowIT、Cloud Visibility的问题,带来的风险也随着变大,如何应对变化带来的边界、防护和管理问题?

所以Gartner提出的口号是“管理风险,建立信任,拥抱变化”。言下之意是:行业发展导致的攻击面、攻击者都有新的变化,风险是客观存在的,潜在的攻击破坏是可能的,那么以往的检测防护是一方面,是否能在被攻击被破坏的时候快速进行恢复,具有如“皮球被按变形后马上能恢复原状”的能力。系统面临的风险和系统具备的弹性能力又如天平上的两个砝码,维持动态的平衡。

围绕这个思路,Gartner提出了一个金字塔模型,最上层是“建立信任和弹性”的能力,目标是保证信息安全的秘密性、完整性和可用性,还有人身安全和运行安全,总体原则是合规性检查方面应考虑风险而非简单确认、从以技术为中心转向以人为中心、从预防到检测和响应,等等;最后放出自适应安全的PPDR模型。

可见,Gartner的思路是,要在今后的安全对抗中处于不败之地,一方面要在技术上建立以重检测响应轻预防的安全体系;另一方面要强调以人为本。

自适应安全早在去年峰会上Gartner就作为主要内容传递到观众,其思想是再严密的防线都是会被攻破的(更何况常年失修、固定规则匹配的安全产品…),所以应持续地进行恶意事件检测、用户行为分析,及时发现网络和系统中进行的恶意行为,及时修复漏洞、调整安全策略,并对事件进行详尽的调查取证。通过这些获得的知识,指导自己下一次或其他用户的安全评估,实现神奇的“预测”。

所以PPDR模型的起点应该在预防阶段,这与传统的安全防护模型有所不同,体现的也是防护思想发生的变化。

前面谈到人是最不稳定的因素,应对的办法是应授予其一部分权利,但让他承担相应的责任,真正做到以人为本。做好教育培训,使其明白很多安全事件的由来和后果,将消极情绪转换为主观能动,当然同时也应采用技术手段进行监控。

在安全人员对待安全事件的心态和手段方面,Gartner做了一个很有意思的感官-认知模型。从短期来看,安全人员对事件的心态应避免漠不关心,也不能激动沮丧,而是应处于“可接受”到“关注”的区间内,也就是说安全人员应承认安全事件不可避免,同时也要重视安全事件。从长期看,安全人员在处置时,技能会从一无所知通过本能判断,到通过已有时间处理的经验处置,再到通过数据分析,最后进入高级智能分析阶段,持续用基于智能决策和响应。

 发展趋势


1预测

Garnter分别在风险、威胁和变化给出了一些策略性的预测(SPA,Strategic Planning Assumption)。

在风险方面:

  • 在2020全年,0day漏洞会占所有攻击中的少于1% (除了敏感的政府目标)。

  •  到2020年前, 10%的渗透测试会基于机器学习的智能机器完成,2016年这个数字还是0%。

  • 到2020年前,基于AI/ML的It弹性和编排自动化工具投资会翻超过三番,有助于在IT事故中减少业务损失。

  • 在2020年前,至少一个大的安全(safety)事件是由IT安全(security)失效引起的,导致严重的伤亡。

在防护方面:

  • 到2018年前, 60%实现了合理的云可视和控制工具的企业会减少1/3的安全失效事件。

  • 到2020年前,使用数据遮掩(masking)或类似的伪身份( pseudonymization)技术的大型跨国公司比例会增长到40%,2016年这个数字为10%。

  • 到2020年前,与业务领导相比,IT部门领导主导的信息安全项目会遇到3倍安全泄露。

在变化方面:

  •  到2018年前,超过 50%的人工访问认证和请求许可任务会是机器驱动的策略,2016年这个数字少于2%。

  •  到2020年前,超过70%的企业会持续监控敏感数据事件。

  • 到2021年,20%的大型和中型企业会意识到流程自动化可以节省管理型合规开销。

  • 到2020年,15%的低端可计费的合法工作会被使用数据分析平台的智能机器所取代。

可见Garnter非常看好机器学习和智能化在安全领域的应用,也很重视云可视化和物联网安全。

2威胁方面变化

1.勒索软件(Ransomware)横行

从下图可见,2016年是勒索软件的爆发期,整年超过了200个新家族,以WANNACRY和永恒之蓝为代表。

由于受害者的支付途径是如比特币等匿名化货币,攻击者承受的风险很低。预计出现超过10亿美元的黑产市场,值的注意的是勒索软件即服务的出现对黑产的影响。即勒索软件制作者以免费或低价出售给攻击者,后者往往了解其目标,以更好的发动攻击,最后制作者和攻击者对勒索所得进行分成。

事实上,勒索软件是针对已知漏洞进行攻击,所以防护依次为加固、EPP、EDR、网络分区、系统防护和备份。

而且,大多数勒索软件可在邮件网关处被拦截,通过其他简单的防护手段,勒索软件如被一遍遍筛查,最终需要高成本的未知威胁检查就非常少了。客户根据预算应该可以很好地选择防护方案。

2. 国家资助威胁(State-Sponsored Threat)

如Shamoon是面向NT内核的病毒,能源领域,网络间谍,曾在12年发现,攻击了沙特国家石油公司35000个工作站,花了一周恢复。2016年和2017年1月23日又发现其踪影。索伦计划(Project Sauron)是在伊朗、俄罗斯和卢旺达发现,非接入互联网的电脑被感染。又如Flamer病毒感染了中东超过5000台计算机,它的代码高度组件化,曾用于震网攻击。这些恶意攻击或多或少出现了国家的背景,具有明显的政治意义。

当然,全自动化防护高级威胁是不现实的,这也不应该成为最终的目标。那么在具体防护方法中,目前主流的是网络沙箱,可对样本的行为进行分析,发现恶意的行为;快速增长的如网络流量分析NTA和用户行为分析UBA,而响应阶段,如攻击模拟尚处在起始阶段,还不够成熟。

图中的EPP和EDR是终端侧的检测防护技术,其中下一代的EPP除了签名校验外,融入了如机器学习、行为检测等技术;而EDR则更进一步,通过一些终端agent和集中的分析平台进行数据搜索、告警分类、关联分析和事件调查,当发现可疑事件时进行威胁捕获(Threat hunting)或数据探究(data exploration),最终阻止恶意行为。

总体而言,EDR不是新的杀毒软件,原因有几点:第一,杀毒软件主要应对已知威胁,不是100%有效的,定向攻击会利用免杀技术或未知漏洞绕过杀毒软件;第二,恶意脚本并非二进制文件,不是杀毒软件关注点。EDR工具提供了分析和搜索详细的、当前或历史的端点数据,以追踪恶意行为并将高风险数据提供给分析人员,如有必要同时提供主动响应能力。

欺骗技术(Deception)超越了蜜罐和蜜网,可在客户侧的所有区域进行部署,并与各类安全设备联动或集成,最终将攻击者在诱饵中执行的行为进行集中分析,从而获得攻击者的攻击手法和攻击流程,这种技术为检测未知威胁提供了一种新思路,并有助于分析出有用的攻击者画像。

3热点技术变化

在热点技术方面,我根据放出来胶片的题目和内容,简单做了一个词云图,可见物联网、CASB、AI/ML等关键字成为谈论较多的热点。

Gartner每年也会公布十大新技术趋势,近两年如下:

Group20162017
面向威胁Adaptive Security ArchitectureCloud Workload Protection Platforms
EDREDR
Nonsignature Approaches for Endpoint PreventionManaged Detection and Response (MDR)
Remote BrowserRemote Browser
Microsegmentation and Flow VisibilityMicrosegmentation
Network Traffic Analysis
DeceptionDeception
面向使能( Enablement)和访问CASBCASB
UEBASDP
Pervasive Trust Services
安全开发DevSecOpsDevSecOps

Container Security
iSOCiSOC Orchestration Solutions

可见云工作流防护、检测响应服务MDR、软件定义边界和容器安全已经成为Gartner关注的新技术热点。接下来我们就几个细分的应用环境介绍一些新进展。

总结

随着企业的数字化发展,防护思路已经变化,基于信任和弹性原则的自适应安全是Gartner提出的防护架构,检测和响应将是自适应安全的重心,高级数据分析将是安全检测趋势,催生了如UEBA、EDR等新技术;云计算、IoT等领域等领域快速发展,也催生了CASB、IT/OT安全融合等新场景。

最后放一张图,作为安全从业者,你需要在新的时代掌握什么样的技能?


完整精彩内容请点击文末“阅读原文”





请点击屏幕右上方“…”

关注绿盟科技公众号
NSFOCUS-weixin
点击下方“阅读原文”查看更多
↓↓↓ 

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接