解读Gartner 2016年十大信息安全技术

2016年6月13-16日，Gartner安全与风险管理峰会顺利举办，Gartner分析师在会上公布了他们关于2016年十大信息安全技术的研究成果。

Gartner副总裁、知名分析师、Gartner荣誉研究员Neil MacDonald表示：

“信息安全团队和基础设施必须适应，以支持新兴的数字业务需求，同时应对日益先进、严峻的威胁形势。安全和风险负责人如果要定义、实现和维持有效的安全和风险管理项目，他们需要全面了解最新的技术趋势，同时实现数字业务机会并管理风险。”

关于Gartner

Gartner公司（NYSE：IT）成立于1979年，总部位于美国康涅狄格州斯坦福德，拥有7900名员工，其中包括1700多名研究分析师和顾问，在全球设有80多个分支机构，是全球最具权威的IT研究与顾问咨询公司，为有需要的技术用户提供专门的服务。

Gartner公司的服务主要是迎合中型公司的需要，其研究范围覆盖全部IT产业，在全球的IT产业中，Gartner公司以其公认的权威性和拥有包括供应商、生产厂商、系统集成商、咨询公司、银行、金融机构、能源交通、政府部门及其它领域(包括中国在内)超过11,000客户机构而独占鳌头。其中公司客户几乎囊括了绝大部分世界级大公司。了解更多详情请访问www.gartner.com。

十大信息安全技术解析

云访问安全代理服务(Cloud Access Security Brokers)

越来越多的企业奔赴云计算的战场，但云计算的安全性却未被所有企业重视。云访问安全代理服务相当于一个应用代理安全网关，为信息安全专业人士提供了关键控制点，安全地连接起用户与多个云服务商。

目前，很多软件即服务(SaaS)应用的可见性和安全性还存在不足，SaaS在企业运用中日益普及，也加剧了安全团队的困扰。CASB则是重点针对SaaS模式下的云服务商提升其安全性与合规性，同时也在不断丰富针对IaaS和PaaS的应用场景， 填补了单个云服务的很多空白，允许首席信息安全官(CISO)同时跨越来越多的云服务做到这一点，包括基础设施即服务(IaaS)和平台即服务(PaaS)提供商。因此，CASB解决了CSIO要跨整个企业云服务制定政策、监控行为和管理风险这一关键要求。

终端检测与响应技术

端点检测和响应(EDR)解决方案的市场正在快速扩张，以满足市场对更高效的端点保护的需求，和检测潜在漏洞的迫切需要，并做出更快速的反应。EDR工具通常记录大量终端与网络事件，并将这些数据存储在终端本地或者集中数据库中。然后对这些数据进行IOC比对，行为分析和机器学习，用以持续对这些数据进行分析，识别信息泄露（包括内部威 胁），并快速对攻击进行响应。

基于非签名方法的终端防御技术

纯粹签名的恶意软件预防方法不能有效抵抗先进和有针对性的攻击。新的基于非签名方法的终端防御技术正在不断涌现，包括内存保护技术和漏洞利用阻断技术，用于阻断恶意代码进入系统的常见通道；使用数学模型来构建基于机器学习的恶意代码阻断技术。

用户和实体行为分析技术

用户和实体行为分析技术是安全分析领域的热点，它能够实现广泛的安全分析，就像是安全信息和事件管理(SIEM)能够实现广泛的安全监控一样。UEBA以用户为中心来分析用户行为，同时也能分析其他实体（诸如端点、网络和应用等）的行为。此外，将这些实体分析关联起来还能使得分析结果更加准确，威胁检测更加有效。

微分割和流量可视化技术　

由于企业网是内部相联的，一旦攻击者在企业系统中有了立足之地，他们通常会横向(“东/西”)畅通无阻地移动到其他系统，导致企业一直疲于应对。为了解决这个问题，有一种新的需求，对企业网络传中东/西传输的“微细分”（微隔离就是一种更细粒度的网络隔离技术，主要是用于阻止攻击在进入企业网络内部后的横向平移（或者叫东西向移动））。

此外，有很多解决方案提供了对通信流量的可见性和监控。可视化工具可以让安全运维与管理人员了解内部网络信息流动的情况，使得微隔离能够更好地设置策略并协助纠偏。

最后，有很多厂商提供了工作负载之间网络传输(通常是端到端的IPsec通道)的可选加密，用于保护动态数据，提供工作负载之间的加密隔离。

DevOps的安全测试技术

安全必须成为DevOps中的必备部分，也就是所谓的DevSecOps。DevSecOps操作模式是新兴的，采用模型、蓝图、模板、工具链等等驱动的安全方法来对开发和运维过程进行自保护，譬如开发时应用测试、运行时应用测试、开发时/上线前安全漏洞扫描。DevSecOps的最终目标是建立一个基于自动、透明、兼容的基础设施安全配置，而这个配置要能反映当前所部署的工作负载状态。

情报驱动的安全运营中心业务流程解决方案

情报驱动的SOC超越了传统的预防工具和以事件为基础的监测，旨在加强态势感知。一个情报驱动的SOC必须是针对情报构建的，用于了解安全运营方方面面的信息。为了解决新“检测和响应”模式的挑战，情报驱动的SOC还需要超越传统的防御，有一个适应性架构，和上下文感知组件。为了支持信息安全项目中需要的变化，传统SOC必须发展成以情报为驱动的SOC(ISOC)技术。而在迈向ISOC的过程中，自动化和编排技是ISOC流程落地的关键使能技术。

有专家分析称：ISOC可以理解为情报驱动的智能SOC，它的核心特征是：

在战略和战术上运营威胁情报； 通过高级分析将安全智能落地； 极尽所能地实现自动化； 捕猎和调查（侦查与猎取）； 部署自适应安全架构；

远程浏览器技术

浏览器常常作为攻击的入口，增加了攻击的威胁性。为解决这一风险，有人将浏览器部署在远程的一个“浏览器服务器池”（通常是基于linux的）中。Remote Browser本质上是一个独立的浏览器，因为它将浏览器与其它端点和企业网络隔离，减少了恶意软件带来的潜在危害， 而风险被转移到浏览器服务器池那里去了。而在浏览器服务器池那边可以实施专门的安全保护与控制。更进一步，这个浏览器服务器池可以被包装为一种云服务（SaaS），当然也可以运行在隔离的客户侧。

欺骗技术

欺骗(Deception)技术，顾名思义，这是一种用来摆脱攻击者的自动化工具，或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程，扰乱攻击者的自动化工具，延迟攻击者的行为或者扰乱破坏计划。例如，欺骗功能会制造假的漏洞、系统、分享和缓存， 诱骗攻击者对其实施攻击，从而触发攻击告警， 因为合法用户是不应该看到或者试图访问这些资源的。Gartner预测，到2018年有10%的企业将采用欺骗工具和策略，参与到与黑客的对抗战争中。

普适信任服务Pervasive Trust Services技术

Gartner副总裁，著名分析师Neil MacDonald说，企业的信息安全团队和安全基础设施都必须适应新兴的数字业务的需求，以应对新的和日益复杂的威胁环境。

为实现OT和IoT（即工控和物联网）领域的安全，急需一种新的安全模式来提供大规模地配置和管理信任。信任服务旨在扩大和支持数十亿设备的需求，企业寻找大规模、分布式信任服务，这种信任服务包括了安全预配置、数据完整性与私密性、设备身份与认证服务等。一些最先进的方法还是用分布式信任架构和类似区块链的架构来管理大规模分布式的信任与数据完整性。

关于2016年Gartner安全与风险管理峰会

Gartner安全与风险管理峰会，探讨网络安全发展趋势，为维持安全和风险管理的成本效益，支持数字业务和推动企业成功提供所需的成熟战略和指导方案。

接下来即将到来的Gartner安全与风险管理峰会日期和地点包括：

未来有将会有哪些新技术上榜呢？我们一起拭目以待吧！

* 原文链接：gartner，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）