近日����,Gartner副總裁Neil MacDonald表示:“2017年��,企業(yè)IT的威脅級別仍然處于非常高的水平�,在各種媒介中的日常賬戶遭受大量漏洞威脅和攻擊。隨著攻擊者不斷提高他們的能力��,企業(yè)也必須加強他們保護訪問和防范攻擊的能力。安全和風險負責人必須評估并了解最新的技術��,以防范高級攻擊��,更好地實現(xiàn)數(shù)字業(yè)務轉型�����,擁抱像云�、移動和DevOps這樣的新計算類型。”
同時���,Gartner公布了十一條信息安全的頂級技術���,包括云工作負載保護平臺、遠程瀏覽器�、欺騙、端點檢測和響應�����、網(wǎng)絡流量分析���、管理檢測和響應���、微分段�����、軟件定義周邊���、云訪問安全代理、針對DevOps的OSS安全掃描和軟件組合分析�����、容器安全���。(具體名詞解釋見附錄)
其實�����,此次Gartner公布的頂級技術很多安全廠商早已應用���,并且融入到了安全產(chǎn)品中。如瑞星推出的面對未知與已知勒索病毒的防御工具“瑞星之劍”以及瑞星下一代防毒墻就已具備的誘餌技術(欺騙)�,瑞星安全云終端具備端點檢測和響應(EDR)技術����,瑞星上網(wǎng)行為管理具備網(wǎng)絡流量分析(NTA)以及管理檢測和響應(MDR)技術���。
瑞星作為一直在信息安全領域深耕的安全廠商,多年來積累了大量處理安全威脅和漏洞攻擊的經(jīng)驗���,瑞星通過防毒墻�����、網(wǎng)絡安全預警等網(wǎng)關安全設備以及瑞星企業(yè)蜜罐采集數(shù)據(jù)�,借助瑞星TDIP(威脅檢測與洞察平臺)�,利用大數(shù)據(jù)分析技術及集中式行為分析技術,賦予該平臺對未知網(wǎng)絡攻擊�、未知網(wǎng)絡安全威脅的敏銳的洞察能力。
瑞星TDIP(威脅檢測與洞察平臺)����,它集下一代終端安全(EDR)、網(wǎng)絡流量分析(NTA)�����、內網(wǎng)蜜罐(欺騙)技術���、集中式端-網(wǎng)異常行為感知技術為一體的數(shù)據(jù)采集和大數(shù)據(jù)分析平臺��,不僅提供了更好地高級威脅感知能力�,也提供了終端運維管理平臺、安全事件管理平臺(SIEM)�、安全事件預警及處置平臺,是瑞星為應對APT�、黑客入侵、安管混亂等問題打造的下一代企業(yè)級一體化安全解決方案����。
目前,瑞星TDIP平臺(威脅檢測與洞察)已經(jīng)落地��,供瑞星安全研究使用����,未來瑞星TDIP平臺將實現(xiàn)產(chǎn)品化,讓更多的用戶可以建立自己的威脅檢測與洞察平臺�����。
附Gartner公布2017年頂級安全技術:
1�����、云工作負載保護平臺
現(xiàn)代數(shù)據(jù)中心支持運行在物理設備�����、虛擬機���、容器����、私有云基礎設施中的各種工作負載�,并且?guī)缀蹩偸巧婕耙粋或者多個公有云基礎設施及服務(IaaS)提供商���;旌显乒ぷ髫撦d保護平臺(CWPP)為信息安全負責人提供了一種集成的方式��,通過使用單一管理平臺保護這些工作負載����,以及表達安全策略的一種方式���,不管這些工作負載是運行在哪里��。
2�����、遠程瀏覽器
幾乎所有成功的攻擊都是源自于公共互聯(lián)網(wǎng)�����,基于瀏覽器的攻擊是用戶攻擊的主要來源����。信息安全架構師無法阻止攻擊,但是他們可以通過將最終用戶互聯(lián)網(wǎng)瀏覽會話與企業(yè)端點和企業(yè)網(wǎng)絡隔離開來�����,從而避免受到損害���。通過隔離瀏覽功能�����,就可以讓惡意軟件遠離最終用戶的系統(tǒng)��,企業(yè)大大減少受攻擊的面積��,將攻擊的風險轉移到服務器會話��,這可以重新設置為在每個新瀏覽會話上的一種已知良好狀態(tài)���,標記為打開的或者URL訪問的��。
3、欺騙
欺騙技術的定義是通過使用欺騙或者誘騙手段來挫敗或者阻止攻擊者的認知過程�,從而破壞攻擊者的自動化工具,拖延攻擊者的活動或者檢測出攻擊����。通過在企業(yè)防火墻背后使用欺騙技術,企業(yè)就可以更好地檢測出已經(jīng)突破防御的攻擊者���,對所檢測到的事件高度信任���。欺騙技術的實施現(xiàn)在已經(jīng)覆蓋堆棧中的多個層,包括端點�����、網(wǎng)絡����、應用和數(shù)據(jù)����。
4�、端點檢測和響應
端點檢測和響應(EDR)解決方案通過監(jiān)控端點的異常行為以及惡意活動跡象,加強傳統(tǒng)的端點預防性控制措施���,例如防病毒���。Gartner預測,到2020年有80%的大型企業(yè)��,25%的中型企業(yè)�����,以及10%的小型企業(yè)將投資部署EDR�。
5、網(wǎng)絡流量分析
網(wǎng)絡流量分析(NTA)解決方案監(jiān)控網(wǎng)絡流量�����、連接和對象����,找出惡意的行為跡象�����。有些企業(yè)正在尋找基于網(wǎng)絡的方法來識別繞過了周邊安全性的攻擊����,這些企業(yè)應該考慮使用NTA來幫助識別�����、管理和分類這些事件���。
6、管理檢測和響應
管理檢測和響應(MDR)提供商為那些希望改善威脅檢測�����、事件響應和持續(xù)監(jiān)控功能的購買者提供服務����,但是并沒有自己做所需的專業(yè)知識和資源。來自中小企業(yè)(SMB)和小型企業(yè)的需求尤其強烈�,因為MDR服務觸到了這些企業(yè)的“痛點”��,他們缺乏在威脅檢測能力方面的投資�。
7�����、微分段
一旦攻擊在企業(yè)系統(tǒng)中站穩(wěn)腳跟���,他們通常會橫向移動到其他系統(tǒng)���。微分段就是在虛擬數(shù)據(jù)中心內實施隔離和分段的過程。這就像是潛艇中的艙室一樣��,微分段有助于在發(fā)生破壞的時候控制住破壞��。微分段以前主要用于描述服務器之間在相同層或者相同區(qū)域內的東西向或者橫向通信�,但是現(xiàn)在已經(jīng)演變?yōu)橹饕翘摂M數(shù)據(jù)中心內的通信。
8��、軟件定義周邊
軟件定義周邊(SDP)定義了在一個安全計算區(qū)域內����,邏輯上是一組的不同的、網(wǎng)絡連接的參與者��。這些資源通常隱藏在公眾視野之外,訪問是受限的��,需要通過信任代理才能訪問區(qū)域內的特定參與者���,將資產(chǎn)從公共可見性中移除����,減少攻擊的面積����。Gartner預測,到2017年底����,至少有10%的大型企業(yè)組織將利用軟件定義周邊(SDP)技術來隔離敏感環(huán)境��。
9���、云訪問安全代理
云訪問安全代理(CASB)解決了云服務和移動使用迅猛增加所導致的安全漏洞��。CASB為信息安全專業(yè)人士提供了對多個云服務同時進行的單點控制���,任何用戶或者任何設備��。SaaS的重要性日益增加�����,再加上對隱私和合規(guī)性的持續(xù)擔憂�,這些都增加了對云服務的控制和可見性的緊迫性���。
10��、針對DevOps的OSS安全掃描和軟件組合分析
信息安全架構師必須能夠自動地把安全控制融入到整個DevOps周期中��,不需要手動配置���,盡可能對DevOps團隊是透明的,不會影響DevOps的敏捷性�,但是滿足了法律和法規(guī)遵從的要求以及管理風險。為了實現(xiàn)這一目標�,安全控制必須在DevOps工具鏈中是自動化的。軟件組合分析(SCA)工具專門分析源代碼�����、模塊�、框架和庫����,開發(fā)者用這些來識別和清點OSS組件����,在應用用于生產(chǎn)環(huán)境中之前,找出任何已知的安全漏洞或者許可問題���。
11��、容器安全
容器使用共享的操作系統(tǒng)模式����。對主機操作系統(tǒng)的漏洞攻擊可能導致所有容器都受到影響�����。容器本身并不安全��,但是他們是開放的����,這就是以不安全的方式部署這些容器的��,完全沒有或者很少讓安全團隊干涉,也很少得到安全架構師的指導�����。傳統(tǒng)網(wǎng)絡和基于主機的安全解決方案是無視容器的����。容器安全解決方案保護容器的整個生命周期——從創(chuàng)建到生產(chǎn),大多數(shù)容器安全解決方案都提供了預生產(chǎn)掃描和運行時間監(jiān)控及保護功能���。
京公網(wǎng)安備 11010502041587號