Gartner每年都会在华盛顿National Harbor召开安全峰会,主要面向Gartner的客户,即企业的CIO/CISO们。在将近一周的时间内,咨询师们会密集地向客户介绍Garnter新的研究成果,例如行业发展趋势、安全防护思想、每个领域成熟度和相关厂商,等。Gartner咨询师都有十多年的行业经验,通过对客户、厂商和市场的交流、调查和分析,形成了自己的评估方法和模型,产出一系列安全领域的报告(Cool vendor、Hype cycle等)。一方面,对行业的发展做出了预测,另一方面,也对厂商技术路线和客户采购产生了影响。
那么今年Gartner峰会给我们带来了哪些信息呢,我接下来会从整体原则、变化趋势和细分领域三方面进行分析。
1 整体原则:信任和弹性
用户要安全,用户也要便捷,但便捷必然带来安全风险,所以这两个属性似乎是矛盾的。这也是为什么我们很多安全机制和安全产品不好用,因为设计伊始就是站在零信任的视角进行的,所有的用户都是不可信的,所以所有的系统都需要密码和pin码访问,所有的高度敏感系统必须物理隔离。但令人沮丧的是,即便如此,无论客户投入多少成本、部署了多少安全产品,各类安全事件还是层出不穷。
原因在于人总是最不稳定的因素,总会有人会设置简单的口令或点击一封来路不明的邮件导致黑客获取用户身份,进而攻入内部重要系统;为了克服物理隔离传输数据,有人可能会插拔U盘,导致勒索软件在内网横行。
所以基于零信任的安全方案和产品不一定是一个好的产品。98%的用户都是合法的,做坏事的概率非常低,那么如何为这绝大多数的用户提供良好的体验就至关重要。Garnter预测,到2022年前,在身份鉴别阶段具有良好用户体验的数字商业方案会比有较差体验的多20%的营收。但反过来看,即便有98%的好人,但还有2%的坏人,所以需要在信任大多数好人和压制少数坏人之间找到一个平衡点。
此外,整个行业正在发生变化,电子商务(Digital Business)已经成为主流,BYOD、SaaS等应用场景的出现,带来了ShadowIT、Cloud Visibility的问题,带来的风险也随着变大,如何应对变化带来的边界、防护和管理问题?
所以Gartner提出的口号是“管理风险,建立信任,拥抱变化”。言下之意是:行业发展导致的攻击面、攻击者都有新的变化,风险是客观存在的,潜在的攻击破坏是可能的,那么以往的检测防护是一方面,是否能在被攻击被破坏的时候快速进行恢复,具有如“皮球被按变形后马上能恢复原状”的能力。系统面临的风险和系统具备的弹性能力又如天平上的两个砝码,维持动态的平衡。
其中的道理可以通过下图企业投入的安全成本与其收益(避免或挽回的经济损失)对应的曲线所体现,当投入持续增加时,其收益不会线性增加,那成本投入自然是在收益增长速度明显变缓时为佳,但此时风险(收益上限-当前收益)是显然存在的,那么如果避免该风险呢,只要我们做一笔投入,使得系统具备弹性能力,即在系统被攻击时能够恢复到原状,那么就能将该风险带来的损失最小化,从而整体的收益得到保障。
围绕这个思路,Gartner提出了一个金字塔模型,最上层是“建立信任和弹性”的能力,目标是保证信息安全的秘密性、完整性和可用性,还有人身安全和运行安全,总体原则是合规性检查方面应考虑风险而非简单确认、从以技术为中心转向以人为中心、从预防到检测和响应,等等;最后放出自适应安全的PPDR模型。
可见,Gartner的思路是,要在今后的安全对抗中处于不败之地,一方面要在技术上建立以重检测响应轻预防的安全体系;另一方面要强调以人为本。
自适应安全早在去年峰会上Gartner就作为主要内容传递到观众,其思想是再严密的防线都是会被攻破的(更何况常年失修、固定规则匹配的安全产品…),所以应持续地进行恶意事件检测、用户行为分析,及时发现网络和系统中进行的恶意行为,及时修复漏洞、调整安全策略,并对事件进行详尽的调查取证。通过这些获得的知识,指导自己下一次或其他用户的安全评估,实现神奇的“预测”。
所以PPDR模型的起点应该在预防阶段,这与传统的安全防护模型有所不同,体现的也是防护思想发生的变化。
前面谈到人是最不稳定的因素,应对的办法是应授予其一部分权利,但让他承担相应的责任,真正做到以人为本。做好教育培训,使其明白很多安全事件的由来和后果,将消极情绪转换为主观能动,当然同时也应采用技术手段进行监控。
在安全人员对待安全事件的心态和手段方面,Gartner做了一个很有意思的感官-认知模型。从短期来看,安全人员对事件的心态应避免漠不关心,也不能激动沮丧,而是应处于“可接受”到“关注”的区间内,也就是说安全人员应承认安全事件不可避免,同时也要重视安全事件。从长期看,安全人员在处置时,技能会从一无所知通过本能判断,到通过已有时间处理的经验处置,再到通过数据分析,最后进入高级智能分析阶段,持续用基于智能决策和响应。
2 发展趋势
2.1 预测
Garnter分别在风险、威胁和变化给出了一些策略性的预测(SPA,Strategic Planning Assumption)。
在风险方面:
- 在2020全年,0day漏洞会占所有攻击中的少于1% (除了敏感的政府目标)。
- 到2020年前, 10%的渗透测试会基于机器学习的智能机器完成,2016年这个数字还是0%。
- 到2020年前,基于AI/ML的It弹性和编排自动化工具投资会翻超过三番,有助于在IT事故中减少业务损失。
- 在2020年前,至少一个大的安全(safety)事件是由IT安全(security)失效引起的,导致严重的伤亡。
在防护方面:
- 到2018年前, 60%实现了合理的云可视和控制工具的企业会减少1/3的安全失效事件。
- 到2020年前,使用数据遮掩(masking)或类似的伪身份( pseudonymization)技术的大型跨国公司比例会增长到40%,2016年这个数字为10%。
- 到2020年前,与业务领导相比,IT部门领导主导的信息安全项目会遇到3倍安全泄露。
在变化方面:
- 到2018年前,超过 50%的人工访问认证和请求许可任务会是机器驱动的策略,2016年这个数字少于2%。
- 到2020年前,超过70%的企业会持续监控敏感数据事件。
- 到2021年,20%的大型和中型企业会意识到流程自动化可以节省管理型合规开销。
- 到2020年,15%的低端可计费的合法工作会被使用数据分析平台的智能机器所取代。
可见Garnter非常看好机器学习和智能化在安全领域的应用,也很重视云可视化和物联网安全。
2.2 威胁方面变化
- 勒索软件(Ransomware)横行
从下图可见,2016年是勒索软件的爆发期,整年超过了200个新家族,以WANNACRY和永恒之蓝为代表。
由于受害者的支付途径是如比特币等匿名化货币,攻击者承受的风险很低。预计出现超过10亿美元的黑产市场,值的注意的是勒索软件即服务的出现对黑产的影响。即勒索软件制作者以免费或低价出售给攻击者,后者往往了解其目标,以更好的发动攻击,最后制作者和攻击者对勒索所得进行分成。
事实上,勒索软件是针对已知漏洞进行攻击,所以防护依次为加固、EPP、EDR、网络分区、系统防护和备份。
而且,大多数勒索软件可在邮件网关处被拦截,通过其他简单的防护手段,勒索软件如被一遍遍筛查,最终需要高成本的未知威胁检查就非常少了。客户根据预算应该可以很好地选择防护方案。
- 国家资助威胁(State-Sponsored Threat)
如Shamoon是面向NT内核的病毒,能源领域,网络间谍,曾在12年发现,攻击了沙特国家石油公司35000个工作站,花了一周恢复。2016年和2017年1月23日又发现其踪影。索伦计划(Project Sauron)是在伊朗、俄罗斯和卢旺达发现,非接入互联网的电脑被感染。又如Flamer病毒感染了中东超过5000台计算机,它的代码高度组件化,曾用于震网攻击。这些恶意攻击或多或少出现了国家的背景,具有明显的政治意义。
防范此类高级威胁的方法也是根据公司难易程度和发生频率,如通过社工欺骗人员(90%的APT中都有钓鱼邮件)进行渗透是最频繁也最简单(与攻击硬件相比),那么教育就显得非常重要了,此外,如供应链安全、EDR/EPP、NAC网络准入控制和USB等硬件接口管理也是必要的防护途径。
当然,全自动化防护高级威胁是不现实的,这也不应该成为最终的目标。那么在具体防护方法中,目前主流的是网络沙箱,可对样本的行为进行分析,发现恶意的行为;快速增长的如网络流量分析NTA和用户行为分析UBA,而响应阶段,如攻击模拟尚处在起始阶段,还不够成熟。
图中的EPP和EDR是终端侧的检测防护技术,其中下一代的EPP除了签名校验外,融入了如机器学习、行为检测等技术;而EDR则更进一步,通过一些终端agent和集中的分析平台进行数据搜索、告警分类、关联分析和事件调查,当发现可疑事件时进行威胁捕获(Threat hunting)或数据探究(data exploration),最终阻止恶意行为。
总体而言,EDR不是新的杀毒软件,原因有几点:第一,杀毒软件主要应对已知威胁,不是100%有效的,定向攻击会利用免杀技术或未知漏洞绕过杀毒软件;第二,恶意脚本并非二进制文件,不是杀毒软件关注点。EDR通常会关心:
- 我的系统中有这个md5码的文件吗?
- 这个二进制文件是否执行过?
- 这个进程在什么地方执行过?
- 是否有什么PDF文件执行过这个命令?
- 这个进程做了系统什么修改?
- 这个机器是否在机场连接到一个恶意网站?
- 过去一周内,我的五台机器中是否存在未签名的进程连接了俄罗斯网段?
诸如此类。EDR工具提供了分析和搜索详细的、当前或历史的端点数据,以追踪恶意行为并将高风险数据提供给分析人员,如有必要同时提供主动响应能力。
欺骗技术(Deception)超越了蜜罐和蜜网,可在客户侧的所有区域进行部署,并与各类安全设备联动或集成,最终将攻击者在诱饵中执行的行为进行集中分析,从而获得攻击者的攻击手法和攻击流程,这种技术为检测未知威胁提供了一种新思路,并有助于分析出有用的攻击者画像。
2.3 热点技术变化
在热点技术方面,我根据放出来胶片的题目和内容,简单做了一个词云图,可见物联网、CASB、AI/ML等关键字成为谈论较多的热点。
Gartner每年也会公布十大新技术趋势,近两年如下:
Group | 2016 | 2017 |
面向威胁 | Adaptive Security Architecture | Cloud Workload Protection Platforms |
EDR | EDR | |
Nonsignature Approaches for Endpoint Prevention | Managed Detection and Response (MDR) | |
Remote Browser | Remote Browser | |
Microsegmentation and Flow Visibility | Microsegmentation | |
Network Traffic Analysis | ||
Deception | Deception | |
面向使能( Enablement)和访问 | CASB | CASB |
UEBA | SDP | |
Pervasive Trust Services | ||
安全开发 | DevSecOps | DevSecOps |
Container Security | ||
iSOC | iSOC Orchestration Solutions |
可见云工作流防护、检测响应服务MDR、软件定义边界和容器安全已经成为Gartner关注的新技术热点。接下来我们就几个细分的应用环境介绍一些新进展。
3 细分热点
安全技术会从两个维度发展,一个维度是安全技术本身的改进,例如安全检测结合了高级数据分析技术(机器学习、人工智能等)可提高检测效率和精度;另一个维度是安全技术在不同的应用场景(云计算、物联网等)中融合和适应。
3.1 安全数据分析
安全分析(Security analytics)的含义是:一些对数据进行高级分析以获得有用的安全产出。其中“高级”的含义是比通过规则匹配或基本统计更好的方法,不仅仅包括机器学习ML或人工智能AI,当然AI/ML都有助于改善输出。
规则匹配通常是通过给定的模式进行匹配,是一种处理“已知”的技术;监督和非监督学习需要一个给定的训练集,在一个开放的数据集中进行分类,所以这是一种从已知求未知的方法;而更进一步,深度学习中的训练集中的特征未知,又要去对开放数据集进行分类,可以认为是一种从未知求未知的方法。每种方法所需要的参数量不同,其最终的识别准确率也各有不同,所以应从具体场景入手,根据资源限制和精度要求去选择合适的分析算法。
此处的“规则匹配”可认为是一种传统的方法,例如SIEM、IDS/IPS、DLP和EPP都是采用该技术的产品;而高级分析则是一种新的方法,例如UEBA、NTA、EDR都采用了该技术的产品。
安全分析包括四个层面:描述,即“发生了什么”,例如IDS的告警或SIEM的日志;诊断,即“为什么发生”,如通过NTA或UEBA的关联分析找到恶意行为;预测,即“什么时候会发生”;诊断,即“如何处置”,如安全运营分析响应平台SOAR。
高级安全数据分析给人们带来了希望,但同时需要注意其挑战,用户对AI/ML有过高期望,但又不能识别成功防护的度量或需求,而每种数据分析算法都是需要对模型和参数进行调整,所以不存在一个通用的“开箱即用”分析方案,适用于多种客户案例;同时,有经验的安全数据科学家像独角兽一样稀少,一般的安全运营人员很难从数据和算法层面调优以得到好的结果。
数据分析目前较热的方向主要有网络侧的网络流量分析NTA和端点侧的用户个体行为分析UEBA。
从下图可见,很多主流的网络安全厂商都有NTA产品,其主要特点就是结合了规则、统计和机器学习三类分析手段,可分析网络中的flow、DPI等数据,可在全局网络视角找到异常的行为。
UEBA是用户和个体行为分析,主要以用户为视角,使用高级数据分析方法分析其行为活动,可以检测如“用户账户破解”、“内部用户滥用”等非传统信息安全范畴的攻击。
UEBA可以是一个独立的产品,也可以是运行在SIEM上的应用。Garnter有几点预测:
- 到2018年,至少有四家UEBA技术的公司会被SIEM、DLP或其他大型厂商收购,以支持其安全运营的用户场景。
- 到2020年,至少60%的大型CASB厂商和25%的大型SIEM和DLP厂商会将高级分析和UEBA功能集成进它们的产品,或通过收购、合作或原生。
- 到2020年,市场上独立的UEBA解决方案会少于5家,其他厂商聚焦于特定的用户案例和产出。
最后要注意的是,在做检测时如果使用到SIEM、UBA、NTA和沙箱,应该将这些产品协同起来,不能各自为战,这样能提高检测率,有助还原攻击者的整条攻击链。
3.2 云安全
首先列几个云安全发展趋势的分析
- 关于云计算安全发展
首先需要说明的是北美和国内的云计算市场的现状是有所差异的,国内的云安全目前主要集中在IaaS层面,关注虚拟化安全和VPC安全,而北美企业越来越多地采用SaaS服务,如Office 365和Saleforce,见下图。
当然,共有云计算安全是有共性的,Gartner的预测是云安全最终会变为纯粹的安全,其中有几个SPA:
- 在2020年前,50%的企业将业务工作流放到本地需要作为异常事件进行审批。公司“无云”的策略会和现在“无网络”的策略一样少。
- 在2019年前,超过30%的100家最大厂商的新软件投资会从“云优先” (Cloud-First)转到“只有云”(Cloud-Only)。
- 在2022年前,我们不会认为“云计算”是异常的场景,反而会使用“本地计算”这词去描述不常见的场景。
- 在2020年,95%的云安全事故都是用户的错。
从预测1-3看,Gartner认为,云计算很快不会是企业部署IT设施的可选项,而会是唯一选项,那么安全技术就默认为云安全技术。而预测4则表明云服务商和云安全服务商会提供成熟完善的安全方案,绝大多数的安全事故是由用户侧不安全的配置或操作等引发的。
- 关于云安全顾虑
行业中还有一些观点,考虑到可控程度,认为数据存放在企业侧(on-premise)会比存放在云端更安全。对此Gartner认为“公有云是(更)安全的”。原因是:
云(安全)服务商提供了更安全的防护机制,而如果在企业侧部署,用户很难一开始就部署非常完善的安全产品和方案;也没有证据表明云服务商比普通用户表现更不安全,但从现实看往往云服务商做的更好,因为云服务商服务上万个租户,当新发生攻击或新出现漏洞,云服务商往往会将防护措施应用在所有的租户,使得单个租户安全水平变高;另外公有云的商业模式对安全厂商的要求更高,但回报也更多。
当然,即便在北美市场,云安全的合规性压力也仍然存在。Gartner对此也提供了两个观点:
观点1:“多租户比传统计算更不安全”这个顾虑还是很强且持续.
观点2:公有云计算安全的信心在增长.
至今还有很多顾虑、沮丧和疑惑,合规性压力会持续5年,目前还没有人入狱…
安全技术与应用场景融合后,往往整个生态会发生变化。
首先在IaaS层面,软件定义数据中心(SDDC)将会代替传统的数据中心,那么计算、存储和网络都演进为软件定义计算/存储/网络,而安全也会经历将控制和数据平面分离,形成软件定义安全,将安全应用的策略进行编排,自动化地调度各类安全资源,与计算环境整合,形成高效智能的防护方案。
在PaaS/SaaS层面,比较显著的变化是云工作流防护(Cloud workload protection)和云访问安全代理(Cloud Access Security Broker,CASB)。
云工作流防护是伴随云原生(Cloud-natvie)应用而变热的,越来越多的云服务商提供了各类访问,如AWS的EC2、S3、RDS,用户应用只需要借助API就能动态的实现其所需的功能,另外容器技术、DevOps也会频繁调用各类容器实现所需功能,这些场景下,就不能使用相对稳定的IaaS防护方案,所以关注工作流、端点行为是一种可行的方式。Gartner预测到2019年前,60%的服务器工作流中的防病毒软件会被应用控制代替,2016年这个比例为20%。具体防护框架如下图所示,可见加固、应用控制、监控和内存利用防护是核心部分,而杀毒软件的优先级最低。
企业“上云”或企业“被上云”所带来的一个问题是ShadowIT,在2021年前,25%的企业数据流量会绕开边界安全(现在为10%),直接从移动和便携设备流向云端。企业的CISO需要了解,员工在使用多少种云服务,他们在访问什么数据,谁是否有权访问什么数据,等等,这就需要企业有一种面向云计算可视化的安全防护方案,CASB因而快速发展,年复合增长率为37%。
最后,呼应前述的“云安全会变成纯粹的安全”,Gartner认为云服务商会变成安全厂商,除了已述的云服务商提供稳定安全的服务外,客户以前在企业侧的安全需求会带到云上,要求云服务商提供相应的安全防护方案。虽然有一部分防护可以通过传统安全厂商的虚拟化安全产品完成,但更多更贴近客户业务的安全防护却由云服务商来完成,这也给传统的安全厂商提出了非常严峻的挑战。
3.3 物联网安全
物联网是一个非常泛化的概念,本文中OT特指工业物联网/工控领域,而IoT特指偏民用领域,如智能家居、车联网等。
2017年OT安全的现状是IT/OT融合正在加速, OT安全的市场是分散、动态、发展的。
IT和OT安全有相似的问题,如访问控制、隔离、异常检测、资产管理等,这也是一些关键技术。如下图所示。
2017年IoT安全的现状是接入互联网的设备快速增长,2015年联网物联网设备为29亿,2020年会到204亿。IoT安全不是一个新的领域,但需要混合的方案。但值得注意的是物联网攻击已经真实发生,物联网安全进入主流安全防护方案。
但物联网安全防护存在挑战,最大的问题是物联网设备是海量的,会极大影响设备管理、大数据分析和供应链;各个物联网设备的操作系统、生命周期、通信协议和生产厂商都不一样,给安全防护方案设计带来了挑战;此外,物联网设备限于成本,其设计和成本严格按照功能进行,所以安全芯片和功能都会受到限制。
此外,在安全防护思路上,除了要保障传统信息安全的CIA(秘密性、完整性和可用性)外,还需要考虑应用场景中的特殊属性,如隐私性、可靠性和人身/生产安全(Safety)。
在物联网防护体系上看,考虑到物联网设备数据会上传到云端或边缘侧,会包括云端和平台服务的安全防护;在设备侧感知层,需要在设备侧和物联网网关侧强化对硬件和通信网络的防护。
下图是我们物联网安全实验室提出的物联网防护体系,是对上图的补充。
总结
随着企业的数字化发展,防护思路已经变化,基于信任和弹性原则的自适应安全是Gartner提出的防护架构,检测和响应将是自适应安全的重心,高级数据分析将是安全检测趋势,催生了如UEBA、EDR等新技术;云计算、IoT等领域等领域快速发展,也催生了CASB、IT/OT安全融合等新场景。
最后放一张图,作为安全从业者,你需要在新的时代掌握什么样的技能?