在2017年6月份举办的第23届Gartner安全与风险管理峰会上，Gartner的Fellow——NeilMcDonald发布了2017年度的11个最新最酷的信息安全技术，比往年的10大技术多了一项。

以往都是通过互联网了解Gartner的各种信息和报告。这次，本人有幸亲临现场，参加峰会，自然有更多的感悟。参加峰会期间，获得的信息量实在太大，直到现在，虽然已经过去了2个多月，依然没有消化完。

回到主题，以往我都是聚焦于每年选出来的10大信息安全技术本身，但对这些技术是如何被Gartner选出来的却从未过问。既然亲临现场了，就对此有了更多的了解。原来，Gartner选择年度顶级技术的标准是：

1 ）不能仅仅是个趋势（譬如大数据、IoT）；

2 ）必须是真实存在的安全技术门类，并且有实实在在的厂商提供这类技术和产品；

3 ）不能仅仅处于研究状态，但也不能已经成为主流技术；

4 ）符合Gartner对于客户需求和技术发展趋势的判断。

按照这个标准，基本上顶级技术都会位于GartnerHype Cycle的曲线顶峰部分或者是低谷的部分。

这11大技术分别是：

01. Cloud WorkloadProtection Platforms 云工作负载保护平台CWPP

02. Remote Browser 远程浏览器

03. Deception 欺骗技术

04. Endpoint Detection andResponse   终端检测与相应EDR

05. Network Traffic Analysis 网络流量分析NTA

06. Managed Detection andResponse 可管理检测与响应MDR

07. Microsegmentation 微隔离

08. Software-DefinedPerimeters 软件定义边界SDP

09. Cloud Access SecurityBrokers 云访问安全代理CASB

10. OSS Security Scanningand Software Composition Analysis forDevSecOps 面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

11. Container Security 容器安全

Neil 将这11项技术分为了三类：

1） 面向威胁的技术：这类技术都在Gartner的自适应安全架构的范畴之内，包括CWPP、远程浏览器、欺骗技术、EDR、NTA、MDR、微隔离；

2 ） 访问与使能技术：包括SDP、CASB；

3 ） 安全开发：包括OSS安全扫描与软件成分分析、容器安全。

从另外一个角度看，这11项技术有5个都直接跟云安全挂钩（CWPP、微隔离、SDP、CASB、容器安全），也应证了云技术的快速普及。

针对上述11大技术，其中远程浏览器、欺骗技术、EDR、微隔离、CASB共5个技术也出现在了2016年度的10大信息安全技术列表之中。

剩下6个技术，简要分析如下：

 

CWPP 云工作负载保护平台

现在数据中心的工作负载都支持运行在包括物理机、虚拟机、容器、私有云的环境下，甚至往往出现部分工作负载运行在一个或者多个公有云IaaS提供商那里的情况。混合CWPP为信息安全的管理者提供了一种集成的方式，让他们能够通过一个单一的管理控制台和统一的安全策略机制去保护那些工作负载，而不论这些工作负载运行在何处。

事实上，CWPP这个概念就是Neil本人发明的。他在2016年3月份发表了一份题为《CWPP市场指南》的分析报告，并第一次对CWPP进行了正式定义：CWPP市场是一个以工作负载为中心的安全防护解决方案，它是一种典型的基于代理（Agent）的技术方案。这类解决方案满足了当前横跨物理和虚拟环境、私有云和多种公有云环境的混合式数据中心架构条件下服务器工作负载防护的独特需求。还有的甚至也同时支持基于容器的应用架构。

Neil 将CWPP解决方案的能力进行了层次划分，并归为基础支撑、核心能力、扩展能力三大类。下图是Neil发布的2017年版《CWPP市场指南》中描绘的能力层次图，由上至下，重要性逐渐递增：

       那份报告对这个图中的每一层都进行详细阐述。明眼人一看，就会觉得其实这个CWPP的核心就是一个主机IPS/IDS，只不过放到的云环境中。当然，除了HIPS/HIDS功能外，还扩展了一些其他功能。

其实，CWPP这个提法在Gartner内部也是存在分歧的，我跟Gartner的分析师就此进行过讨论。也因此，Gartner将CWPP市场映射为CWPP解决方案，而非单一的CWPP产品，因为CWPP的每个能力层都涉及不同的技术，整个CWPP涉及的技术面更是十分广泛。此外，每个CWPP提供商的产品功能都不尽相同，甚至存在较大差异。而用户要对其云工作负载（云主机）进行防护的话，恐怕也不能选择某个单一的CWPP产品，而需要统筹考虑，进行多种技术的集成。当然，不排除随着Gartner力推CWPP概念，将来会出现更加完整的CWPP产品，即所谓的“Single pane of glass to hybrid cloud workload protection”。在2017年的云安全HypeCycle中，CWPP位于低谷位置，Gartner认为CWPP处于青春期，距离成熟市场还有2到5年的时间。

目前，国内已经有厂商进入CWPP市场。希望随着我们对CWPP认识的清晰，不要以后国内出现一窝蜂地将传统技术简单包装而成的CWPP厂商，就如EDR那样。

 

NTA 网络流量分析

作为威胁检测的高级技术之一，NTA是在2014年就跟EDR一同提出来的。而NTA的前身则是NBA（Network Behavior Analysis），一项早在2005年就被Gartner提出来的技术。我对NBA/NTA的研究也有十年了，也做出过NBA/NTA类的产品。根据Gartner的定义，NTA融合了传统的基于规则的检测技术，以及机器学习和其他高级分析技术，用以检测企业网络中的可疑行为，尤其是失陷后的痕迹。NTA通过DFI和DPI技术来分析网络流量，通常部署在关键的网络区域对东西向和南北向的流量进行分析，而不会试图对全网进行监测。

在NTA入选11大技术的解说词中，Gartner说到：NTA解决方案通过监测网络的流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言，可以考虑将NTA作为一种备选方案。

 

MDR 威胁检测与响应服务

MDR 是一类服务，并且通常不在传统的MSS/SaaS提供商的服务目录中。作为一种新型的服务项目，MDR为那些想提升自身威胁检测、事件响应和持续监测能力，却又无力依靠自身的能力和资源去达成的企业提供了一个不错的选择。MDR对于SMB市场尤其具有吸引力，因为打中了他们的“兴奋点”。

MDR 服务是Gartner在2016年正式提出来的，定位于对高级攻击的检测与响应服务。与传统MSSP主要帮客户监测内部网络与互联网内外间流量不同，MDR还试图帮助客户监测内部网络中的流量，尤其是识别高级攻击的横向移动环节的蛛丝马迹，以求更好地发现针对客户内部网络的高级攻击。二要做到这点，就需要在客户网络中部署多种高级攻击检测技术（设备），还要辅以安全分析。对于MDR服务而言，这些额外部署在客户侧的设备是属于服务提供商的，而非客户的。这些设备（硬件或者软件）既可能是基于网络的，也可能是基于主机的，也可能兼有之。在安全分析的过程中，会用到威胁情报，也可能用到专业的安全分析师。在检测出攻击，进行响应的时候，MDR服务强调迅速、直接、轻量化（简洁）、高效，而不会过多顾及安全管理与事件处置的流程，很多时候通过提供商部署在客户侧的设备就响应处置掉了。显然，这种服务与传统的MSS相比，对客户而言更具影响性，但也更加高效，也是高级威胁对客户造成的风险越来越大的必然反应。

Gartner 预计到2020年将有15%的组织使用MDR类的服务，而现在仅不到1%。同时，到2020年80%的MSSP都会提供MDR类的安全服务，称之为“AdvancedMSS”。在未来两年，MSS尚不会完全覆盖MDR服务。

 

SDP 软件定义边界

SDP 将不同的网络相连的个体（软硬件资源）定义为一个逻辑集合，形成一个安全计算区域和边界，这个区域中的资源对外不可见，对该区域中的资源进行访问必须通过可信代理的严格访问控制，从而实现将这个区域中的资源隔离出来，降低其受攻击的暴露面的目标。

这种技术最初是CSA云安全联盟提出来的，是SDN和SDS概念的交集。刚开始SDP主要针对WEB应用，到现在也可以针对其他应用来构建SDP了。SDP的出现消除了传统的固化边界，对传统的设置DMZ区，以及搭建VPN的做法构成了挑战，是一种颠覆性的技术。也可以说，SDP是一种逻辑的、动态的边界，这个边界是以身份和情境感知为核心的。这让我想起了思睿嘉得的DJ说过的一句话：“身份是新边界”。

在Gartner的云安全Hype Cycle中，SDP位于新兴阶段，正处于曲线的顶峰。Gartner预测，到2017年底，至少10%的企业组织将利用SDP技术来隔离敏感的环境。

 

面向DevSecOps的运营支撑系统（OSS）安全扫描与软件成分分析

在2016年的10大信息安全技术中，也提到了DevSecOps，但强调的是DevSecOps的安全测试。今年，安全测试变成了安全扫描与软件成分分析，其实基本上是一个意思，只是更加具体化了。

对于DevSecOps的落地而言，最关键的一点就是自动化和透明化。各种安全控制措施在整个DevSecOps周期中都要能够自动化地，非手工的进行配置。并且，这个自动化的过程必须是对DevOps团队尽量透明的，既不能影响到DevOps的敏捷性本质，同时还要能够达成法律、合规性，以及风险管理的要求。

SCA （软件成分分析）是一个比较有趣的技术。SCA专门用于分析开发人员使用的各种源码、模块、框架和库，以识别和清点应用系统（OSS）的组件及其构成和依赖关系，并识别已知的安全漏洞或者潜在的许可证授权问题，把这些风险排查在应用系统投产之前。如果用户要保障软件系统的供应链安全，这个SCA很有作用。目前，我们的研发也已经做了一些这方面的工作，并将这些成果应用到资产的统一漏洞管理产品之中。

在Gartner的应用安全的Hype Cycle中，SCA属于成熟早期的阶段，属于应用安全测试的范畴，既包含静态测试，也包含动态测试。

 

容器安全

容器使用的是一种共享操作系统（OS）的模型。对宿主OS的某个漏洞利用攻击可能导致其上的所有容器失陷。容器本身并非不安全，但如果缺少安全团队的介入，以及安全架构师的指导，容器的部署过程可能产生不安全因素。传统的基于网络或者主机的安全解决方案对容器安全没啥作用。容器安全解决方案必须保护容器从创建到投产的整个生命周期的安全。目前大部分容器安全解决方案都提供投产前扫描和运行时监测保护的能力。

根据Gartner的定义，容器安全包括开发阶段的风险评估和对容器中所有内容信任度的评估，也包括投产阶段的运行时威胁防护和访问控制。在Hype Cycle中，容器安全目前处于新兴阶段。