Gartner：2018年10大安全项目详解

发布时间：2018-11-05 02:10:08 所属栏目：业界来源：Freddy

导读：前言 2018年6月份，一年一度的Gartner安全与风险管理峰会上，知名分析师Neil Mcdonald发布了2018年度的十大安全项目(Top 10 Security Projects)。在之前的几年里，Gartner一直做的是10大顶级技术(Top New and Cool Technologies)的发布，更多关注是新兴的

【项目目标客户】该项目瞄准那些至今依然有员工遭受成功网络钓鱼攻击的组织。他们需要采用一个三管齐下的策略，即同时进行技术控制、终端用户控制和流程重构。使用技术控制措施尽可能多地阻断钓鱼攻击，同时需要终端使用用户积极成为防御体系中的一环。

【项目建议】不要点名批评那些没有做到位的部门或者个人，而应该大张旗鼓的宣传那些做得得当的行为。应该去询问你的邮件安全供应商能否承担这个项目。如果不能，为什么?(注：言下之意，邮件安全供应商应该具有这样的能力，否则就不合格)

Gartner认为近几年内，网络钓鱼(不论是邮件钓鱼还是网页钓鱼)依然会是APT攻击的最经典方式，也会是面向C端用户的普遍性攻击方法。网络钓鱼一种普遍存在的高影响性威胁，他通过社交工程来实现对个人和企业资产的非法访问。尤其是邮件钓鱼十分猖獗，并还有不断上升的势头。尽管已经涌现了不少应对技术，但效果仍不显著。从技术上看，产生钓鱼的因素十分复杂，并且跟企业和个人信息泄露密切相关，很难从单一维度进行阻断。因此，Gartner提出了要进行综合治理的说法，需要运用技术、人和流程相结合的手段。Gartner给出的综合治理建议如下：

(1) 在SEG(安全邮件网关)上加载高级威胁防御技术

最典型的就是集成URL过滤技术。URL过滤必须支持点击时URL过滤分析(time-of-click URL filtering)和使用代理的URL过滤分析，因为很多恶意URL都是在用户双击后动态产生的，还有的URL外面包了代理。这些都增加了过滤的难度。

其次是集成网络沙箱，这类技术已经较为成熟，但用到SEG上，性能是一个问题，并且沙箱逃逸开始出现。

更高级的是针对邮件中的附件文件进行CDR(content disarm and reconstruction，内容拆解与重建)。这种技术会实时地把文件分拆为不同的组成部分，然后剥去任何不符合文件原始规范的内容，再重新把文件的不同部分组合起来，形成一个“干净”的版本，继续将它传到目的地，而不影响业务。这里的CDR最核心的工作就是对文件进行清洗，譬如去掉宏、去掉js脚本等等嵌入式代码。这种技术性能还不错，但可能会清洗掉合法的动态脚本，导致文件不可用。因此Gartner建议一方面快速CDR清洗后发给用户，另一方面继续跑沙箱，如果没问题再追发原始文件给用户。

当然，钓鱼手段远不止于此，譬如无载荷的钓鱼攻击。因此，还有很多细节需要考虑。

(2) 不要仅仅依靠密码来进行认证，要采用更安全的认证机制，尤其针对高价值的系统和高敏感用户。

(3) 使用反钓鱼行为管控(APBM)技术

这类技术聚焦员工的行为管控和矫正，通常作为安全意识教育与培训的辅助手段。这类产品会发起模拟的钓鱼攻击，然后根据被测员工的行为反馈来对其进行教育和矫正。目前这种技术主要以服务的方式交付给客户。

(4) 强化内部流程管控。如前所述，有些无载荷钓鱼，包括一些社交工程的鱼叉式精准钓鱼，引诱收件人透露账号密码或者敏感信息于无形。这些都是技术手段所不能及的，需要对关键流程进行重新梳理，加强管控。

Gartner给客户的其它建议还包括：

要求邮件安全供应商提供反钓鱼功能;
确保合作伙伴也实施了反钓鱼防护;
正面管理，而不是相反;
考虑与远程浏览器隔离技术结合使用(远程浏览器是Gartner 2017年10大安全技术)。

4. 服务器工作负载的应用控制项目

【项目目标客户】该项目适合那些希望对服务器工作负载实施零信任或默认拒绝策略的组织。该项目使用应用控制机制来阻断大部分不在白名单上的恶意代码。Neil认为这是用中十分强的的安全策略，并被证明能够有效抵御Spectre和Meldown攻击。

【项目建议】把应用控制白名单技术跟综合内存保护技术结合使用。该项目对于物联网项目或者是不在被供应商提供保护支持的系统特别有用。

应用控制也称作应用白名单，作为一种成熟的端点保护技术，不仅可以针对传统的服务器工作负载，也可以针对云工作负载，还能针对桌面PC。EPP、CWPP(云工作负载保护平台)中都有该技术的存在。当然，由于桌面PC使用模式相对开放，而服务器运行相对封闭，因此该技术更适合服务器端点。通过定义一份应用白名单，指明只有什么可以执行，其余的皆不可执行，能够阻止大部分恶意软件的执行。一些OS已经内置了此类功能。还有一些应用控制技术能够进一步约束应用在运行过程中的行为和系统交互，从而实现更精细化的控制。

Gartner给客户还提出了如下建议：

应用控制不是银弹，系统该打补丁还是要打;
可以取代杀毒软件(针对服务器端)，或者调低杀毒引擎的工作量。

根据Gartner的2018年威胁对抗Hype Cycle，应用控制处于成熟主流阶段。

5. 微隔离和流可见性项目

【项目目标客户】该项目十分适用于那些具有平坦网络拓扑结构的组织，不论是本地网络还是在IaaS中的网络。这些组织希望获得对于数据中心流量的可见性和控制。该项目旨在阻止针对数据中心攻击的横向移动。MacDonald表示，“如果坏人进来了，他们不能畅通无阻”。

【项目建议】把获得网络可见性作为微隔离项目的切入点，但切忌不要过度隔离。先针对关键的应用进行隔离，同时要求你的供应商原生支持隔离技术。

该技术在2017年也上榜了，并且今年的技术内涵基本没有变化。

广义上讲，微隔离(也有人称做“微分段”)就是一种更细粒度的网络隔离技术，主要面向虚拟化的数据中心，重点用于阻止攻击在进入企业数据中心网络内部后的横向平移(或者叫东西向移动)，是软件定义安全的一种具体实践。微隔离使用策略驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离数据中心、公共云IaaS、容器、甚至是包含前述环境的混合场景中的不同工作负载、应用和进程。流可见技术(注意：不是可视化技术)则与微隔离技术伴生，因为要实现东西向网络流的隔离和控制，必先实现流的可见性(Visibility)。流可见性技术使得安全运维与管理人员可以看到内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

5/13

首页

尾页

壹号本新款 ONE XPLAY	特斯拉前 CTO 电动汽车
华硕公布新款天选3 搭	主流显卡最新场批价曝