Gartner：2018年十大安全项目详解(一)

陆英

在2018年的Gartner安全与风险管理峰会上，知名分析师Neil Mcdonald发布了2018年度的十大安全项目（Top 10 Security Projects）。推出这些顶级技术的目的也是供客户方的信息安全主管们作为当年安全投资建设的推荐参考。接下来，我们逐一解析一下这10大项目。

1.特权账户管理项目

项目目标客户：该项目旨在让攻击者更难访问特权账户，并让安全团队监测到异常访问的行为。最低限度，CISO们应该要求对所有管理员实施强制多因素认证，建议同时也对承包商等外部第三方的访问实施强制多因素认证。

项目建议：先对高价值、高风险的系统实施PAM，监控对其的访问行为。

PAM工具为组织的关键资产提供安全的特权访问，以符合对特权账号及其访问的监控管理合规需求。PAM通常具备以下功能：

对特权账号的访问控制功能，包括共享账号和应急账号；

监控、记录和审计特权访问操作、命令和动作；

自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管；

为特权指令的执行提供一种安全的单点登录（SSO）机制；

委派、控制和过滤管理员所能执行的特权操作；

隐藏应用和服务的账户，让使用者不用掌握这些账户实际的密码；

具备或者能够集成高可信认证方式，譬如集成MFA。

很显然，虽然国内谈PAM很少，但实际上早已大量运用，其实就对应我们国内常说的堡垒机。

Gartner将PAM工具分为两类：特权账户和会话管理（PASM）和权限提升与委派管理（PEDM）。

PASM一般对应那个堡垒机逻辑网关，实现单点登录，集中的访问授权与控制，设备系统密码代管、会话管理、对操作的审计（录像）。

PEDM则主要通过分散的Agent来实现访问授权与控制，以及操作过滤和审计。国内的堡垒机一般都没有采用这种技术模式。

Gartner分析未来PAM的技术发展趋势包括：

支持特权任务自动化，多个操作打包自动化执行；

将PAM用于DevOps，让DevOps更安全更便捷；

支持容器；

支持IaaS/PaaS和虚拟化环境；

以云服务的形式交付PAM；

特权访问操作分析，就是对堡垒机日志进行分析，可以用到UEBA技术；

与漏洞管理相结合；

系统和特权账户发现；

特权身份治理与管理。

Gartner列出了评价PAM的几个关键衡量指标：

环境支持的情况，是否支持云环境？

具备PASM和PEDM功能，具有录像功能；

提供完备的API以便进行自动化集成；

具备自然人/非自然人的账号管理功能。

在Gartner的2018年IAM技术Hype Cycle中，PAM处于早期主流阶段，正在向成熟的平原迈进。

2.符合CARTA方法论的弱点管理项目

项目目标客户：基于CARTA方法论，该项目能够很好地处理漏洞管理问题，并有助于显著降低潜在风险。在补丁管理流程中断，以及IT运维的速度赶不上漏洞增长的速度时，可以考虑该项目。你无法打上每个补丁，但可以通过风险优先级管理显著降低风险。

项目建议：要求你的虚拟助手/虚拟机供应商提供该能力（如果客户已经上云/虚拟化的话），并考虑使用风险缓解措施，譬如上防火墙、IPS、WAF等。

注意，弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具，包括系统漏扫、Web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各类弱点数据，进行集中整理分析，并辅以情境数据（譬如资产、威胁、情报等），进行风险评估，并帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

另外，“Vulnerability Management”笔者一直称作“弱点管理”，而不是“漏洞管理”，是因为弱点包括漏洞，还包括弱配置，如果你认为Vulnerability应该叫做漏洞，那也没关系，但不要把弱配置落掉。

那么，什么叫做基于CARTA的弱点管理呢？熟悉CARTA就能明白，本质上CARTA就是以风险为核心一套安全方法论。因此，基于CARTA的弱点管理等价于基于风险的弱点管理。基于风险的管理是一个不断迭代提升的过程，包括弱点发现、弱点优先级排序、弱点补偿控制三个阶段。

作為排名第二位的项目，Gartner建议尽快启动，尽早降低组织面临的风险。

Gartner对基于CARTA方法论的VM的衡量指标包括：

是否有情境信息，谁收到攻击？不仅是IP，而是他的情境信息都需要，以便全面评估；

能否算出资产的业务价值？

能否绘制网络拓扑，给出缓解措施？

把漏洞评估和漏洞管理一并考虑，譬如集成VA工具

目前在国内一般有两类弱点管理产品，一类是单一的弱点管理产品，属于轻量级的弱点管理平台，更多具有工具的使用特点，管理类功能相对较为简单。还有一类是作为SOC/安管平台的一个组成部分，具有较为完备的平台功能，并具备风险计算功能，把漏洞管理的流程和其它SOC运维流程整合到一起。

3.积极的反钓鱼项目

项目目标客户：该项目瞄准那些至今依然有员工遭受成功网络钓鱼攻击的组织。他们需要采用一个三管齐下的策略，即同时进行技术控制、终端用户控制和流程重构。使用技术控制措施尽可能多地阻断钓鱼攻击，同时需要终端使用用户积极成为防御体系中的一环。

项目建议：不要点名批评那些没有做到位的部门或者个人，而应该大张旗鼓的宣传那些做得得当的行为。应该去询问邮件安全供应商能否承担这个项目。如果不能，为什么？（注：邮件安全供应商应该具有这样的能力，否则就不合格）

Gartner认为近几年内，网络钓鱼（不论是邮件钓鱼还是网页钓鱼）依然会是APT攻击的最经典方式，也会是面向C端用户的普遍性攻击方法。网络钓鱼一种普遍存在的高影响性威胁，他通过社交工程来实现对个人和企业资产的非法访问。尤其是邮件钓鱼十分猖獗，并还有不断上升的势头。尽管已经涌现了不少应对技术，但效果仍不显著。从技术上看，产生钓鱼的因素十分复杂，并且跟企业和个人信息泄露密切相关，很难从单一维度进行阻断。因此，Gartner提出了要进行综合治理的说法，需要运用技术、人和流程相结合的手段。

Gartner给出的综合治理建议如下：

（1）在安全邮件网关（SEG）上加载高级威胁防御技术

最典型的就是集成URL过滤技术。URL过滤必须支持点击时URL过滤分析（time-of-click URL filtering）和使用代理的URL过滤分析，因为很多恶意URL都是在用户双击后动态产生的，还有的URL外面包了代理。这些都增加了过滤的难度。其次是集成网络沙箱，这类技术已经较为成熟，但用到SEG上，性能是一个问题，并且开始出现沙箱逃逸。

更高级的是针对邮件中的附件文件进行内容拆解与重建（Content Disarm and Reconstruction，CDR）。这种技术会实时地把文件分拆为不同的组成部分，然后剥去任何不符合文件原始规范的内容，再重新把文件的不同部分组合起来，形成一个“干净”的版本，继续将它传到目的地，而不影响业务。这里的CDR最核心的工作就是对文件进行清洗，譬如去掉宏、去掉js脚本等嵌入式代码。这种技术性能还不错，但可能会清洗掉合法的动态脚本，导致文件不可用。因此Gartner建议一方面快速CDR清洗后发给用户，另一方面继续跑沙箱，如果没问题再追发原始文件给用户。

当然，钓鱼手段远不止于此，譬如无载荷的钓鱼攻击，因此，还有很多细节需要考虑。

（2）不要仅仅依靠密码来进行认证，要采用更安全的认证机制，尤其针对高价值的系统和高敏感用户。

（3）使用反钓鱼行为管控（APBM）技术

这类技术聚焦员工的行为管控和矫正，通常作为安全意识教育与培训的辅助手段。这类产品会发起模拟的钓鱼攻击，然后根据被测员工的行为反馈来对其进行教育和矫正。目前这种技術主要以服务的方式交付给客户。

（4）强化内部流程管控

如有些无载荷钓鱼，包括一些社交工程的鱼叉式精准钓鱼，引诱收件人透露账号密码或者敏感信息。这些都是技术手段所不能及的，要对关键流程进行重新梳理，加强管控。

Gartner给客户的其它建议还包括：

要求邮件安全供应商提供反钓鱼功能；

确保合作伙伴也实施了反钓鱼防护；

正面管理，而不是相反。

考虑与远程浏览器隔离技术结合使用（远程浏览器是Gartner 2017年10大安全技术）。