freebuf

近日，Gartner发布了2017年的11大顶尖信息安全技术，同时指出了这些技术对信息安全部门的意义。

Gartner副总裁兼院士级分析师NeilMacDonald表示，

“2017年，企业IT的威胁级别依然处于非常高的水平，媒体上每天都充斥着各种攻击和泄漏信息。随着攻击者的能力不断提升，企业必须提高其防御攻击的能力，安全和风险领导者必须评估和使用最新的安全技术，防止先进的攻击活动，更好地实现数字业务转型，拥抱新的计算风格，如云、移动以及DevOps。”

以下为这11项信息安全技术的具体内容：

1. 云工作负载保护平台（Cloud Workload Protection Platform，简称CWPP）

现代数据中心支持运行在物理设备、虚拟机（VM）、容器以及私有云基础架构中的各种工作负载，并且几乎总是涉及一些在一个或多个公有云基础设施即服务（IaaS）提供商中运行的工作负载。

云工作负载保护平台（CWPP）市场定义为基于主机的解决方案，主要满足现代混合数据中心架构中，服务器工作负载的保护要求。它为信息安全领导者提供了一种集成的方式，通过使用单个管理控制台和单一方式表达安全策略来保护这些工作负载，而不用考虑工作负载运行的位置。

2. 远程浏览器技术（RemoteBrowser）

几乎所有成功的攻击都源于公共互联网，而基于浏览器的攻击是用户攻击的主要来源。信息安全架构师无法阻止攻击，但是他们可以通过将终端用户互联网浏览会话与企业端点和网络隔离的方式来抑制损害。通过隔离浏览器功能，可以使恶意软件远离终端用户的系统，企业也可以通过将攻击风险转移到服务器会话中来减少攻击面，它可以在每个新的浏览器会话中重置为已知的良好状态，标记为打开的或URL访问的。

3. 欺骗技术（Deception）

欺骗（Deception）技术，顾名思义，这是一种用来摆脱攻击者的自动化工具，或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程，扰乱攻击者的自动化工具，延迟攻击者的行为或者扰乱破坏计划。

例如，欺骗功能会制造假的漏洞、系统、分享和缓存，诱骗攻击者对其实施攻击，从而触发攻击告警，因为合法用户是不应该看到或者试图访问这些资源的。

Gartner预测，到2018年有10%的企业将采用欺骗工具和策略，参与到与黑客的对抗战争中。

4. 端点检测和响应（EDR）

该技术早在2014年就已经上榜了，Gartner还将其列入五种检测高级威胁的手段之一。端点检测和响应（EDR）解决方案通过监控端点的异常行为和恶意活动迹象，来增强传统的端点预防性控制措施，例如防病毒。Gartner预测，到2020年，80%的大型企业，25%的中型企业和10%的小型企业将投资EDR能力。

5. 网络流量分析（Networktraffic analysis，简称NTA）

网络流量分析（NTA）解决方案是一个有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作的工具。它通过监控网络流量、连接和对象，找出恶意的行为迹象。那些正在寻求基于网络的方法，来识别绕过周边安全性的高级攻击的企业应该考虑使用NTA技术来帮助识别、管理和分类这些事件。

6. 管理检测和响应（MDR）

管理检测和响应（MDR）提供商为寻求改进其威胁检测、事件响应和持续监控功能的买家提供服务，这些买家自身通常不具备专业的技能或资源。由于缺乏对威胁检测能力方面的投资，中小企业（SMB）和小型企业的需求特别强烈，因为MDR服务正好触及了这些企业的“sweet spot（甜蜜点）”。

7. 微分段（Microsegmentation）

一旦攻击在企业系统中站稳脚跟，他们通常会横向移动（东／西）到其他系统中。微分段是在虚拟数据中心内为实现安全目的进行隔离和分段的过程。就像潜艇中的舱室一样，微分段有助于在威胁发生时限制破坏。之前，微分段技术主要用于描述服务器之间在相同层／区域内的东西／横向通信，但是现在它已经演变为主要用于虚拟数据中心内的通信。

8. 软件定义边界（Software-defined perimeters，简称SDP）

Gartner预测，到2017年底，至少10%的企业组织（目前低于1%）将利用软件定义边界SDP技术来隔离敏感的环境，这项技术在安全保障用户的访问同时，也可以改善便利性，而使用一个固定的边界来保护企业内部网站正在逐渐过时。

软件定义边界（Software Defined Perimeter，SDP）由云安全联盟（CSA）于2013年提出，用应用所有者可控的逻辑组件取代了物理设备，只有在设备证实和身份认证之后，SDP才提供对于应用基础设施的访问。

SDP使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性，该边界可以部署在任意的位置，如网络上、云中、托管中心中、私有企业网络上，或者同时部署在这些位置中。

9. 云端访问安全代理技术（Cloudaccess security brokers ，简称CASBs）

云端访问的安全代理（CASBs）技术是指在云服务客户与云服务提供商之间建立一个启停“安全访问云资源策略”的开关。

CASB重点针对SaaS模式下的云服务商提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景，填补了单个云服务的很多空白，允许首席信息安全官（CISO）同时跨越来越多的云服务做到这一点，包括基础设施即服务（IaaS）和平台即服务（PaaS）提供商。

因此，CASB解决了CSIO要跨整个企业云服务制定政策、监控行为和管理风险这一关键要求。

10. 面向DevSecOps的OSS安全扫描和软件组成分析技术（OSS security scanning and software composition analysis forDevSecOps）

信息安全架构师必须能够将安全控制自动融入到整个DevSecOps周期中，而不需要进行手动配置，在这过程中要尽可能对DevOps团队是透明的，且不会阻碍DevOps的敏捷性，但是又要履行法律和法规合规性以及管理风险要求。为了实现这一目标，安全控制必须能够在DevOps工具链中实现自动化。软件组合分析（SCA）工具专门分析开发人员用于识别和清点OSS组件的源代码、模块、框架和库，并在应用程序运用到生产环境之前，识别任何已知的安全漏洞或是许可问题。

11. 容器安全（Containersecurity）

容器使用共享的操作系统模式。对主机操作系统的漏洞攻击可能导致所有容器都受到破坏。容器本身并不安全，但是它们就是由开发者以不安全的方式进行部署的，很少或完全没有安全团队参与，也很少有安全架构师进行指导。传统的网络和基于主机的安全解决方案对容器是无视的。容器安全解决方案保护容器的整个生命周期（从创建到生产），大多数容器安全解决方案都提供了预生产扫描和运行时间监控和保护功能。

关于Gartner公司

Gartner公司创立于1979年，拥有7,900名顾问，包括 1,700多位世界级分析专家，在全球设有90多个分支机构。Gartner首创了魔力象限，首次提出威胁情报的概念，Gartner报告已经成为IT业界了解新技术的一个重要窗口。

*参考来源：helpnetsecurity，米雪儿编译，转载请注明来自FreeBuf.COM