转载：专注安管平台

【前言】本文不是译文，是结合笔者自身体会的解读！不能代表Gartner的本意。如有不同观点，欢迎通过本人微信公众号“专注安管平台”进行留言沟通。

1    概述

受疫情的影响，2020年中例行的Gartner安全与风险管理峰会被迫取消。终于，在2020年9月14~17日，2020年Gartner安全风险与管理峰会以线上会议的形式补上了。

会上，正式发布了2020年度的十大安全项目，发布人还是Brian Reed。这十大项目介绍Gartner中国的官微做了介绍，但本文认为有几处翻译不妥。

2020年的十大安全项目分别是：

• 远程员工安全防护，尤指零信任网络访问（ZTNA）技术；
• 基于风险的弱点管理，重点是基于风险来对弱点分级；
• 基于平台方式的检测与响应，特指扩展检测与响应（XDR）技术；
• 云安全配置管理；
• 简化云访问控制，特指云访问安全代理（CASB）技术；
• 基于DMARC协议的邮件安全防护；
• 无口令认证；
• 数据分类与保护；
• 员工胜任力评估；
• 安全风险评估自动化。

与2019年度的10大安全项目相比，变化比较大，根据Reed的说法，有8个新项目。

不过，在笔者看来，其实有三个2019年的热门项目保留了下来，包括 CSPM、CASB，以及弱点管理。其中CSPM项目名称保持不变，2019年的CASB变成了今年的“简化云访问控制”，其实是一回事。而2019年的“符合CARTA的弱点管理”变成了今年的“基于风险的弱点管理”，其实是进一步确指了用风险管理的理念来管理漏洞和补丁。在2019年十大安全项目详解中，笔者已经指出“符合CARTA的弱点管理”等价于“基于风险的弱点管理”。

需要特别指出的是，由于新冠疫情的出现，不仅此次Gartner安全与风险管理被迫延期并改为线上举办，也对2020年的十大安全项目评选产生了重大影响。疫情侵袭之下，远程办公成为热点，如何保障员工远程办公的安全自然成为焦点。

此外，从技术的大类来看，好几个领域依然是热门，包括邮件安全、检测与响应、数据安全。

邮件安全领域，2019年提出的项目是商业邮件失陷防护，2020年变成了基于DMARC协议的邮件安全防护，其主要目标依然是防范钓鱼邮件。

检测与响应领域，2019年主要是推荐EDR，2020年则改为推荐XDR。

数据安全领域，2019年推荐的是暗数据发现，2020年换成了数据分类与防护，其实是数据安全生命周期的延续。

下表是笔者梳理的近几年10大技术/项目的分类对比。为了便于横向对比，尽可能地对各个技术领域进行了分拆。

需要进一步指出地是，在2020年的十大项目中特别增加了风险管理领域的项目，包括安全风险评估自动化以及员工胜任力评估。风险管理领域一直十分重要，只是在近些年越来越强调对抗，强调威胁检测的背景下不那么显眼了。

此外，在2020年5月初，Gartner先期发布过针对中型企业的5大安全项目建议，包括：XDR、基于DMARC的邮件安全、无口令认证、远程员工安全，以及安全风险评估自动化。而这其中列举的5个项目全部入选了年度10大安全项目。

2    入选标准

除了像往年一样的基本标准和原则，对于2020年的十大安全项目遴选，Gartner重点做了以下考量：

1）          疫情影响下的安全支出变化情况；

2）          观察2018~2023年间最终用户在不同安全细分领域支出的计划情况；

3）          重点关注那些占比和增速大的区域市场情况；

Reed在峰会的十大安全项目发布会上表示：“我们可能会花费太多宝贵的时间来过度分析自己在安全性方面所做的选择，试图实现某种根本不存在的完美保护战略。我们必须超越基本的保护决策，通过创新的方法进行检测和响应，并最终从安全事件中恢复，从而提升组织的弹性。”

最后，谨记：年度十大安全项目不是年度最酷安全项目，也不是未来十大技术趋势，而是在当年对最终用户而言，从那些如果不做会对业务影响性最大，如果做了会将业务风险降到最低的项目候选清单中选取的能够快速见效，花费相对可控的项目。

3    如何定义项目成功与否？

Gartner表示，衡量项目是否成功不在于项目本身，而在于是否支撑好了业务的风险决策。原话说的很好，这里直接摘录如下：

Remember your organization decides whether totake on the risk; our job in security is to provide all known data points tosupport a business decision.

4    上马这些项目的前提条件

一如既往地，Gartner特别强调，客户在考虑上马10大项目之前，一定要考虑到先期的基础安全建设，这些项目都需要建构在基础安全能力达标的情况下。这些基础安全能力包括（但不限于）：

• 在系统防护方面，包括采用最新的EPP和统一端点管理（Unified Endpoint Management，简称UEM）系统，以及服务器安全防护。其中，这里提到的UEM是Gartner定义的区分于EPP的另一个细分市场，强调对包括异构的PC、移动端和物联网终端的统一管理。该市场不属于信息安全市场，而归属于IT运维管理市场。2018年Gartner首次推出了UEM的MQ（魔力象限）。
• 在用户控制方面，包括从windows用户列表中移除掉管理员权限，部署具有自动化预配置/解除配置的IAM。
• 在基础设施安全方面，包括日志监控、备份/恢复能力、补丁和基本的弱点管理，以及各种边界安全控制。
• 在信息处理方面，包括邮件安全控制、安全意识培训、敏感数据处理相关的控制和指引、风险评估等。

 

5    十大项目解析

以下逐一分析这十个项目，对于历年分析过的也一并再次分析。Gartner特别强调，这十个项目并没有优先顺序，采纳者需要根据自身风险的实际情况按需选取。

5.1   远程员工安全防护项目

5.1.1    项目描述

员工远程办公已经成为2020年的新常态。可以利用零信任战略在使能业务的同时改善远程员工接入网络的安全性。

5.1.2    项目难度

容易到中等。必须兼顾连接性、生产力和可度量性。

5.1.3    项目关键

安全访问能力必须支持云；IP地址和位置信息已经不足以用于判定网络访问的信任度。

5.1.4    项目建议

尽管采用零信任网络访问（ZTNA）的主要动机是取代VPN，但还要注意到ZTNA还能提供针对非受管设备安全访问应用的解决方案。

5.1.5    技术成熟度

根据Gartner2020年的网络安全Hype Cycle，ZTNA目前处于青春期阶段，位于失望的谷底。

5.1.6    技术描述

很显然，突如其来的疫情使得员工远程办公迅速扩张，如何保障员工安全地，并且尽可能体验友好地访问企业网络和应用成为了十分急迫的议题。企业和组织的管理者必须制定一个全面的远程办公策略，并且和业务部门进行良好的沟通。

如何制定策略？首先就要做好需求收集与分析。Gartner提议重点关注4个问题：

• 用户都有谁，他们的工作职责分别是什么？——据此确认不同用户的访问权限和服务优先级；
• 用户都使用何种设备，设备归属于谁？——据此选择针对不同设备的安全防护技术组合；
• 用户都要访问哪些应用和数据，这些应用和数据位于云中还是本地？——据此选择合适的网络访问技术；
• 用户位于哪个地区？——根据用户所在国家（地区）采取相适应的数据安全、隐私保护和法规遵从性等策略。

事实上，针对远程网络访问，有多种技术手段可供选择，包括VPN、ZTNA、CASB、VDI、远程浏览器隔离、反向代理、CDN，等等。它们之间不是简单的替代关系，而是各有用途及适合的使用场景。Gartner在该项目中优先推荐采用零信任理念和零信任网络访问（ZTNA）技术，从而间接使得该项目变成了一个ZTNA项目。Gartner针对本项目推介的样本厂商都是ZTNA厂商，并且主要是基于云的ZTNA厂商。

Gartner对零信任的定义参考了《NIST SP800-207零信任架构》中的定义，并提出了“零信任网络”的概念。Gartner认为，零信任是一种安全范式，它根据情境信息（主要是身份信息）持续评估显式的风险及信任级别，替代原有的隐式信任机制，以适应组织安全形势的风险优化。同时，Gartner认为零信任网络由建立在资产管理和访问管理基础上的三个支柱构成，这三个支柱分别是ZTNA、网络访问控制（NAC）和基于身份的隔离（即之前所称的微隔离）。

Gartner将零信任网络访问（ZTNA）定义为一类产品和服务。这些产品和服务创建了基于身份和情境的逻辑访问边界，涵盖用户、一个应用或一组应用程序。这些应用程序（在获得授权之前）被隐藏起来从而无法被发现，只能严格通过信任代理来建立连接和实现访问。代理在允许主体访问之前先验证其身份、情境和策略遵从情况（即先验证再访问），并最小化该主体在网络中向其他位置横向移动的可能性。

在Gartner看来，ZTNA未来将成为SASE战略的一部分，与CASB等安全技术一道被SD-WAN封装到边缘计算的安全能力集合中。在Sec-UN上的《无SD-WAN不SASE》一文有一幅形象的图展示了SASE的部署架构，如下所示：

5.2   基于风险的弱点管理项目

5.2.1    项目描述

弱点管理是安全运营的基本组成部分。补丁从来都不能等同对待，应该通过基于风险优先级的管理方式，找到优先需要处理的弱点并进行补丁管理，从而显著降低风险。

5.2.2    项目难度

容易。要利用情境数据和威胁情报对弱点信息进行丰富化。

5.2.3    项目关键

要意识到永不可能100%打补丁；和IT运维联合行动（创造双赢）；利用现有的扫描数据和流程；用TVM工具（现在改称VPT）来增强弱点评估以更好确定优先级。

5.2.4    项目建议

采用一个通用的弱点管理框架；聚焦在可被利用的弱点上。

5.2.5    技术成熟度

Gartner没有将基于风险的弱点管理列为一种独立的技术或者市场，而是看作一个迭代管理过程，将其依附于现有的弱点评估（VA）市场和弱点优先级划分技术（VPT）。然而，笔者认为Gartner搞得太复杂了，基于风险的弱点管理应该与VPT合并。根据2020年的安全运营Hype Cycle，VA已经处于成熟期，属于主流市场；而VPT位于曲线的顶峰，属于热门技术，处于青春期阶段。

5.2.6    技术解析

必须注意，弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具，包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各类弱点数据，进行集中整理分析，并辅以情境数据（譬如资产、威胁、情报等），进行风险评估，按照风险优先级处置弱点（打补丁、缓解、转移、接受，等），从而帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

Gartner表示，基于风险的弱点管理是一个不断迭代提升的过程，包括弱点评估、弱点处置优先级排序、弱点补偿控制三个阶段，如下图所示：

上图针对每个阶段列举了可以用到的技术。譬如动态应用安全测试（DAST）、云安全配置评估（CSPA）、破坏与攻击模拟（BAS）、弱点优先级划分技术（VPT，取代之前的TVM）、应用弱点关联（AVC）、安全编排自动化与响应（SOAR）。

而基于风险的弱点管理的核心是弱点处置优先级确定。可以采用多种方式去确定这个优先级，但最关键的一点是：聚焦在可被利用的漏洞上。

下图是Gartner引述IBM X-Force的一个统计图。

可以看到，历史上可被利用的漏洞占爆出的漏洞的比重还是很低的。

下面这个老图也很有说服力。这个图表明用户首先需要关注的是那些实际存在于你的网络环境中的可被利用的漏洞。

现实已经表明，漏洞太多了，层出不穷，如果每个重要的（譬如依据CVSS）漏洞都要去处理，是不现实的，应该首先聚焦在可被利用的漏洞上。进一步讲，你如何知道一个漏洞是否已经可被利用？这时候就需要漏洞情报，不是关于漏洞自身的情况，而是关于漏洞利用（EXP）和漏洞证明（POC）的情报。

在基于风险的弱点管理方法论中，补偿阶段也很重要。最关键的是要意识打补丁（Patch）仅仅是N分之一个选择项，你还有大量手段可以用。事实上，大量的业务系统留给你足的够时间直接打补丁的机会并不大。

这里，笔者对于如何在补丁管理这个事情上取得与IT运维的双赢也有一些建议：安全运营在弱点管理的时候要给到IT运维足够的信息和建议去指导他/她打补丁，而不仅仅是一个告警/工单或者甩过去一个补丁包。这时候Gartner的那句话再次回响：Remember your organization decides whether to take on therisk; our job in security is to provide all known data points to support abusiness decision. 谨记，要让漏洞管理闭环，需要安全运营与IT运营共同协作，需要业务部门的参与。作为安全运营，要把自己的工作做好，做到有价值。

5.3   平台方式的检测与响应（XDR）项目

5.3.1    项目描述

扩展检测与响应（XDR）功能正在涌现，以提升检测的准确性、威胁遏制能力并改善事件管理。

5.3.2    项目难度

中等。XDR给到大家的是一个重要的承诺，但也会带来被特定供应商锁定的风险。不同供应商的XDR功能差异很大。

5.3.3    项目关键

范化数据的集中存储和集中式事件响应，并且能够改变作为修复过程组成部分的单个安全产品的状态。也就是说，项目关键在于数据范化、集中数据存储、集中事件响应，以及安全设备协同联动。

5.3.4    项目建议

基于自身技能水平/胜任力以及员工水平来评估是采用XDR还是寻求MSSP。XDR最初是从EDR发展而来，并进一步结合了NDR、SIEM、SOAR，以及其它安全检测与响应技术，这些技术统统都是高度依赖安全专家的，因此，用户要考虑清楚到底是要XDR产品，还是先找安全服务商用类似MDR的方式来实现检测与响应。

5.3.5    技术成熟度

根据Gartner2020年的安全运营Hype Cycle，XDR目前处于初现阶段，位于炒作的初期，位于安全运营Hype Cycle的最左侧。

5.3.6    技术解析

XDR的全称是扩展检测与响应。XDR这个词出现在厂商侧已经有一段时间了，但纳入Gartner的体系是今年初的事儿。Gartner将XDR从某些厂商的产品品牌变成了一个细分技术和市场术语。刚刚进入Gartner的术语表就登上了10大安全项目，可见XDR的威力。

借助XDR，将原本各种检测系统的孤立告警进行了整合，通过在各种检测系统之上的数据集成与综合关联分析，呈现给用户更加精准和有价值的告警，以及更清晰的可见性（Visibility）。此外，XDR还具备与单一的安全工具之间的API对接与基础的编排能力，从而能够快速地实施告警响应与威胁缓解。

XDR异军突起，成为了Gartner在安全运营的检测与响应子领域首推的技术和项目，因此有必要进一步对其进行探究。笔者作为一直专注于SIEM/SOC领域的从业者也关注XDR近两年，下面进一步阐述个人对XDR的理解。

5.3.6.1  XDR的产生

现在普遍认为XDR最早源于端点检测与响应（EDR）。EDR的概念自提出以来，得到了迅速发展，一方面逐渐向端点保护平台EPP融合，另一方面也在试图扩展自身的价值。如何扩展？首先是增强端点检测的能力，深化诸如行为分析、异常检测等的机器学习能力，并加入威胁猎捕的能力；其次是增强响应的能力，实现更灵活的设备联动，甚至嵌入部分响应流程。但这还不够，因为从检测的角度来看，仅仅依靠端点自身的遥测数据还不够，为了更精准的发现问题，还需要获取其它遥测数据。因此，部分EDR厂商开始将目光投向端点之外的检测，加入对邮件安全的检测、网络检测、以及云工作负载的检测信息，试图顺着攻击者的视角补全检测的短板。再往后干脆将这些不同来源的遥测数据放到一个统一的平台上进行集中的分析与响应，逐步衍生出了XDR的概念。此时XDR的保护目标已经不再局限于端点上的用户，以及他们使用的应用和数据，而是扩展到了更广泛的空间，从数据中心，到云，再到边缘，都可以应用XDR。当EDR演进成了XDR，就已经不再是一个端点安全类产品了。

显然，这是一个从EDR开始，从一点到多点，自底向上的横向扩展，纵向延伸的过程。

与此同时，一些SIEM厂商也发现了这个机会，试图在其SIEM中内置EDR功能来获取对于端点安全的遥测数据，以更好地去让SIEM实现威胁检测的能力。这是一个自顶向下延伸的过程。

基于共同的目标（威胁检测与响应），来自不同方向的技术路线碰撞到了一起，于是XDR诞生了。

5.3.6.2  XDR定义

从前面的XDR产生过程可以发现，XDR其实就是整合了多种检测能力的，具有集中化存储和分析这些遥测数据，并集中实施响应的综合性检测与响应平台。

目前，Gartner给XDR的定义是：XDR是一种基于SaaS的，绑定到特定供应商的安全威胁检测和事件响应工具，可以将（该供应商的）多个安全产品原生地集成到一个统一的安全运行系统中，以统一所有授权的安全组件。为了方便大家研读，提供英文原文如下：XDR is a SaaS-based, vendor-specific, security threat detection andincident response tool that natively integrates multiple security products intoa cohesive security operations system that unifies all licensed securitycomponents.

Gartner给出了当前XDR的4个基本特征：1）整合多款自家的现成产品；2）集中的对数据进行处理、存储和分析；3）能够在响应的时候协同联动多种安全产品；4）采用基于SaaS的交付模式。

上图展示了Gartner的XDR概念架构。从上向下看【笔者注：反的，有点别扭】，首先是获取多种安全产品（EDR是基础）的数据，然后是对数据进行范化，送入大数据湖，再进行关联分析，实现综合威胁检测，最后激活响应。在响应的时候，可以运用自动化的方式，通过API接口实施，并且可以内嵌响应工作流程。

作为参考，笔者摘录对XDR颇有研究的咨询公司ESG对XDR的定义如下：XDR是一个跨混合IT架构的多个安全产品的集成套件，旨在协同地进行威胁防范、检测与响应。它将各种控制点、安全遥测点、分析和运营统一到一个企业级系统之中。

上图是ESG的XDR架构示意图。ESG更直接表示可以把XDR看作是EDR+SIEM+SOAR的集合。

笔者认为，XDR=EDR+简化SIEM+简化SOAR。XDR的目标就是全面的威胁检测与响应，或者叫统一威胁检测与响应（UDR）、NGDR。

1）          EDR是XDR的必备组件。当前的威胁检测必然要从端点上收集遥测数据，因为这里能够发现的攻击痕迹最多。看看ATT&CK就知道，大量的TTP都是基于端点的。缺少端点数据，攻击链很难刻画出来。

2）          简化的SIEM是XDR的平台支撑。XDR不是一个简单的单点系统，而是一个平台型系统。SIEM的大数据核心框架为XDR的后端平台提供技术支撑，包括海量多源异构数据的采集、处理、存储、分析、调查、呈现，等等。借助SIEM平台框架，XDR应实现对EDR以及其它自家安全设备的集成。简化之处在于仅提供对厂商自有产品的数据采集、范化和分析，而不必考虑接入第三方厂商数据的问题。

3）          简化的SOAR为XDR的响应能力提供支撑。SOAR的能力裁剪后跟SIEM整合到一起。

5.3.6.3  XDR与SIEM/SOAR的关系

通过上面的分析，大家都会产生一个疑问：XDR跟SIEM/SOAR是什么关系？注意，这里我们将SIEM/SOAR打包到一起来跟XDR进行对比，是为了避免阐释SIEM和SOAR的关系，此刻这个问题先放一边。

先看看Gartner是怎么说的。

Gartner表示，尽管XDR与SIEM/SOAR在功能上存在相似性（譬如都有异构数据采集、范化、关联，而且通常都会采用大数据分析技术，还可能都有剧本编排与自动化响应技术），但在目标定位和技术路线上存在差异。在目标定位上，XDR仅关注威胁检测与响应，而SIEM除了关注威胁检测与响应，还要覆盖日志存储及合规审计等其它场景。在技术路线上，XDR强调对单一厂商的安全产品集成，并且在出厂前就将这些产品打包在一起，提供了更易于部署和使用的操作过程。相比之下，SIEM/SOAR必须具备跨厂商产品集成能力。正是因为在设计上的这些简化，XDR规避了SIEM/SOAR当前存在的几个大坑（笔者注：譬如架构开放性和扩展性问题、产品集成问题、部署和实施复杂性问题、知识管理问题），使得XDR的部署和实施复杂度相较于SIEM/SOAR要简化不少。

此外，如果是针对云计算环境，云中的端点安全和工作负载安全能力，以及平台架构作为成为了衡量云安全检测与响应的关键。此时，XDR厂商比大部分SIEM/SOAR厂商更占优势，因为先进的XDR通常都基于云原生架构来实现。并且，XDR厂商在云端EDR及CWPP方面更具优势。

简言之，就是在相同条件下，以威胁检测为目标，XDR出效果比SIEM/SOAR更快。

当然，Gartner认为XDR也存在一些问题。由于XDR集成的都是自家的产品，虽然简化了不少，但却容易将用户锁定在单一厂商之下。XDR厂商的“全家桶”模式难以确保除EDR之外的检测能力都是同类最佳，且如果各种单点产品都基于同一个厂商，未来的维护、升级都存在风险。

此外，笔者认为，XDR还存在以下问题：

首先，XDR还有不少技术短板需要补齐。在多源安全数据采集分析，尤其是关联分析方面，XDR厂商普遍落后于SIEM厂商。在响应方面，SOAR的编排自动化技术也是XDR需要补足的。

其次，也是最关键的，XDR是作为一个集成化的产品和解决方案提供给客户的，用于解决其一揽子的威胁检测与响应的问题。而新一代的SIEM/SOAR则越来越强调给用户赋能，是以能力建设的形式输出给用户的。对于大型用户而言，网络中必定存在不同厂商的安全防护设施，也必定需要一个统一的SOC。因此，XDR无法取代SIEM/SOAR。但对于中型客户而言，XDR可能会在SOC中占据更主要的位置。还有一部分客户，Gartner建议他们既不要考虑XDR，也不要考虑SIEM/SOAR，而是优先考虑MSS。XDR虽然比SIEM/SOAR简化了不少，但还是需要运营的。

必须指出，Gartner对于XDR还在不断厘清的过程中，该技术（所代表的细分市场）并不稳定，也许在一段时间后会消失。因为XDR与SIEM/SOAR存在一定的重叠性，并且更多是因为SIEM/SOAR技术的发展过程中存在的问题而引伸出来的一个“过渡性”解决方案，也许随着SIEM/SOAR的成熟而消失，抑或找到一个属于自己的缝隙市场。

5.3.7    从检测技术的划分看XDR的发展趋势

5.3.7.1  检测技术划分

如前所述，XDR可以看作是多种检测与响应技术的集成，作为一个统一的、全面的检测与响应平台。对XDR而言，不是要研究新的检测与响应技术，而更多是考虑如何将不同的检测与响应技术整合到一起。因此，为了了解XDR未来的发展趋势，必须先了解当下都有哪些检测与响应技术。

当Gartner研究和讨论检测与响应类技术的时候，涉及的技术面和细分市场是相当广泛的，需要多个不同的Gartner安全分析师团队之间的合作，而一年一度的Hype Cycle（炒作曲线）则是各个分析师协作的一个成果体现。目前，检测和响应相关的技术大都收录在“安全运营”炒作曲线中。“安全运营”这两个炒作曲线分类是2020年新提出来的，之前叫“面向威胁”，始于2017年，在2016年及以前叫“基础设施保护”。下图是2020年的“安全运营”技术炒作曲线，里面基本涵盖了Gartner涉及的所有检测与响应类技术。

上图虽然列举了大量检测与响应技术，却并没有对他们进行分类。而对检测与响应技术进行分类是一个重要但十分困难的事情，Gartner自己也做过多种尝试，目前尚无定论。

Gartner在2013年为了讨论高级威胁检测（ATD）的时候提出了一个划分新型检测技术的方法论，虽在2016年后逐渐淡出Gartner报告的视野，但却依然有一定价值。如下图所示，Gartner当时从分析对象和分析时间两个维度划分了五种新型检测技术：

针对这幅图，笔者结合自己的认识，对当下主流的几种新型检测技术进行了标注如下：

可以看到，NTA是当下主流的基于网络的新型检测技术，NFT（网络取证工具）作为基于网络的响应技术比较少被提及。从2020年开始，Gartner正式将NTA改名为NDR（网络检测与响应）。注意，上图只对D进行了划分，没有提及R。因此，NDR不仅包括NTA，NFT，还要包括响应能力。对应NDR，现在还有一个初现的提法，叫NGIDS，或者NG IDPS，所谓下一代入侵检测，但这些提法缺乏对R的体现。从基于端点的视角来看，style4和style5两种技术现在已经不再加以区分，统称为EDR，或者作为下一代EPP的关键能力之一了。上图中位于中间的基于负载的检测技术，基本就是指代沙箱技术了。而该技术事实上还可以分解到基于端点的沙箱和基于网络的沙箱两个维度中去，成为更广泛意义上的NDR和EDR的功能点之一。

上图对于阐释当下最热门的两种新型检测与响应技术——NDR和EDR——及其市场演进是有价值的，但却远远无法表达完整意义上的检测与响应技术，更何况检测与响应技术本身也仅仅检测与响应体系建设的一环而已。2018年，Gartner在一份名为《如何开展威胁检测与响应实践》的报告中给出了一个基本的检测与响应体系的参考模型，如下图：

上图比较全面地表达了检测与响应体系所应涵盖的技术（能力）、流程和团队三个方面的内容，给出了10个技术能力和4个关键流程，并沿用至今。这10个技术能力从目标对象和时间先后两个维度进行了划分，与前面的新型威胁检测二维划分方式基本一致。不同之处在于目标对象粒度更细，最关键地是加入了针对日志的检测与响应，并把SIEM和CLM（集中日志管理）作为最基本的检测与响应的平台，位置要高于后面4个。

此外，在这个10大技术能力矩阵图中，响应能力从技术视角来看被称作了“可见性”，所谓可见性就是在威胁猎捕和安全响应（包括调查、取证）的时候能够提供相关的技术支撑。

检测与响应能力从流程视角对应了4个方面，它们从技术上可以由SOAR来提供支撑。

事实上，即便是上面的10+4检测与响应参考架构图都没能将检测与响应技术描绘全，譬如基于用户/实体进行检测的UEBA技术，以及欺骗技术。Gartner自己也表示上图仅仅是针对基本的检测与响应能力进行阐释。

额外需要提及的包括UEBA、欺骗平台、BAS。

在2020年的炒作曲线中，UEBA已经去掉了，Gartner表示它已经成为了其它技术的组成部分，主要是融入了SIEM，而XDR、EDR和NDR也都会用到。

Gartner将欺骗技术单独作为一个技术分支，与面向日志的检测与响应技术、面向网络的检测与响应技术和面向端点的检测与响应技术并称为四大检测与响应技术路线。对于SIEM而言，欺骗平台的告警可以成为一个高置信度的数据源。

BAS（破坏与攻击模拟）也是一种检测与响应技术，可以为SIEM提供重要的基于验证的检测与响应能力补充。

5.3.7.2  XDR发展趋势分析

笔者认为，未来XDR理论上可以集成上面所有检测与响应技术，但那个时候XDR是不是还叫XDR就不得而知了。

目前市场上已经出现了将EDR、欺骗技术、NDR集成到一起的XDR解决方案。还有的厂商把SIEM/LM所具备的对第三方日志采集、存储与分析能力作为其XDR解决方案的一部分。几乎所有的XDR厂商都宣称自己具有UEBA能力，并都集成了威胁情报。

进一步分析当前的XDR厂商，可以发现大家的做法可谓五花八门。最经典的XDR来自有实力的EDR厂商，这些EDR厂商同时具备其它检测类产品，因而通常也都是综合性厂商。他们的XDR基本上就是以EDR为核心的产品全家桶。还有一类更大型的综合性厂商野心更大。他们将其各种产品打包到一起，上面再戴个帽子，形成了一个更雄心勃勃的战略和XDR解决方案，仔细一看，其实就是把XDR变成了SIEM/SOAR和SOC平台。还有一类厂商则剑走偏锋，把XDR做成了一个检测与响应中间件（中台？也许吧），对下可以接入自家或者别家的遥测数据，对上则可以汇入别家的SIEM/SOAR。最后，还有SIEM厂商也加入了XDR战场，他们基于其SIEM/SOAR领域的积累，向下集成包括EDR、NDR在内的多种检测技术，推出自己的XDR。

总体而言，当前的XDR技术并不复杂，核心是产品和能力集成与打包。目前大家在XDR市场竞争的焦点主要不在技术上，而在商业模式、市场推广上。

显然，XDR还处于萌芽状态，未来发展的可能性还很多，变数也不小。

5.4   云安全配置管理（CSPM）项目

5.4.1    项目描述

现在对云服务的攻击基本都利用了客户对云疏于管理、配置不当等错误。因此，云用户急需对（尤其是跨多云环境下的）IaaS和PaaS云安全配置的正确性与合规性进行全面、自动化地识别、评估和修复。

5.4.2    项目难度

中等，必须同步进行流程和文化的变革。

5.4.3    项目关键

支持多云环境，具备敏感数据发现和风险暴露面评估，支持所有的IaaS和PaaS服务，不仅能评估更要能修复。

5.4.4    项目建议

与云运营团队密切协作；先从单一的原生云平台开始入手，通常他们自带CSPM能力，然后再考虑混合云/多云平台；宜同时评估CSPM和CASB工具。

5.4.5    技术成熟度

在Gartner的2020年云安全Hype Cycle中，CSPM刚从失望低谷走出来，用户期待逐渐理性，处于早期主流阶段。

5.4.6    技术解析

CSPM（Cloud Security Posture Management）在国内首先遇到的问题是如何翻译的问题。国内有的人将CSPM中的Posture翻译为“态势”，将CSPM称作云安全态势管理。笔者认为不妥，因为如此一来就跟我们国内最近几年提的安全态势感知混淆了。仔细研究CSPM，可以发现，这里的Posture并不是讲我们国人一般所理解的“态势”，而是指“保护云中数字资产的各种策略、流程和控制的整体安全强度的相对度量”（这句话出自Gartner的CSPM发明人Neil McDonald的报告《Innovation Insight for Cloud Security Posture Management》）。简单地说，CSPM中的P是指云安全配置的强度，这里的配置涵盖云安全策略、控制项、安全操作流程规范。因此，笔者从Gartner提出CSPM伊始就呼吁国内同行将CSPM翻译为“云安全配置管理”。一方面这个翻译更贴近CSPM的本质，另一方面也很好地与国内讲的态势感知区分开来。

回到CSPM技术本身，Gartner在2019年才给出了一个CSPM的概念组成，如下图所示。

Gartner认为CSPM是一个持续的过程，采用生命周期方法论给出了CSPM的概念组成，横跨开发和运行两个阶段，依照CARTA理念进行基于风险的动态配置管理。Gartner表示，几乎所有针对云的成功攻击都是由于客户误配置、管理失误和认为错误造成的，而CSPM直接针对这个问题给出解决方案。

根据Gartner的定义，CSPM能够通过预防，检测，响应和预测构成的自适应安全架构来持续管理超越依据通用框架、合规要求及企业安全策略所能承受的云安全风险【笔者注：简单理解就是管控多余的风险。只要开展业务，任何配置都不能做到无风险，CSPM不是消灭配置风险，而是管控超出预期的配置风险】。CSPM核心能力是提供主被动发现和评估云服务配置（譬如网络和存储配置）和安全设置（譬如账号特权和加密设置）的风险及可信度。如果设置不合规或者配置超越了风险承受水平，CSPM能够自动进行配置调整和补救。

有时候，我们可以将CSPM的评估功能（也被称作CSPA）归入弱点扫描类产品中去，跟漏扫、配置核查搁到一块。

此外，CSPM除了能对云生产环境中的负载进行配置核查与修复，还能对开发环境中的负载进行配置核查与修复，从而实现DevOps全周期的防护。

CSPM跟多个细分市场都有交集。云提供商现在大都在云原生安全能力中涵盖了CSPM功能。领先的CASB厂商也已经具备了较强的CSPM功能。同时，一些CWPP厂商也开始提供CSPM功能。此外，当前的云管理平台（CMP）通常都自带CSPM功能。

5.5   简化云访问控制项目

5.5.1    项目描述

企业渴望通过一个中心控制点对跨多云的服务实施统一的策略管理和安全治理，以便获得这些云服务的可见性，并对组织中使用这些云服务的用户和行为进行集中管控。虽然项目名称中只字未提，但通过内容我们还是可以知道Gartner的这个项目其实还是云访问安全代理（CASB）。

5.5.2    项目难度

中等。取决于所采用的云应用及服务的情况。

5.5.3    项目关键

通过正/反向代理还是API来实现可见性？支持威胁防护或者TIP吗？敏感数据监控与防护、合规报告、（云应用/服务）使用情况监控至关重要。

5.5.4    项目建议

如果你看不见需要被保护的对象，也就无法实施保护。因此，CASB首先要进行云应用发现，识别影子IT。接下来，可以考虑部署正向/反向代理和API来实施控制。对CASB而言，发现并保护云中的敏感数据至关重要，并且最好采取跟本地一致的敏感数据防护策略。

5.5.5    技术成熟度

在Gartner的2020年云安全Hype Cycle中，CASB正在向成熟期迈进，处于早期主流阶段。

5.5.6    技术解析

该技术从2014年就开始上榜了，Gartner对其独有情钟，但CASB在国内一直没啥动静，可能跟国内面向企业级的SaaS还不够丰富有关。

Gartner认为，CASB作为一种产品或服务，为SaaS和IaaS中的可见性、数据安全、威胁防护与合规评估提供了关键的云治理控制。CASB将多种类型的安全策略整合到一个地方，这些安全策略包括认证、SSO、授权、设备建模、数据安全、日志、告警和恶意代码查杀。CASB产品基本都是基于云的，本地部署的很少见。

笔者理解，CASB的出现原因，简单说，就是随着用户越来越多采用云服务，并将数据存入（公有）云中，他们需要一种产品来帮助他们采用一致的策略安全地接入不同的云应用，让他们清晰地看到云服务的使用情况，实现异构云服务的治理，并对云中的数据进行有效的保护，而传统的WAF、SWG和企业防火墙无法做到这些，因此需要CASB。

Gartner认为CASB应具备的主要功能包括：云应用发现与风险评级、自适应访问控制（AAC）、CSPM、DLP、加密和令牌化、企业应用/服务集成、UEBA、日志管理，等。

5.6   基于DMARC协议的邮件安全防护项目

5.6.1    项目描述

DMARC被设计用来防范直接的域名仿冒。在邮件系统中实现DMARC有助于减少商业邮件失陷（BEC）的部分可能因素。Gartner表示，从2020年到2023年，BEC攻击的损失每年都会翻番，2023年将超过50亿美元。而FBI的互联网犯罪投诉（IC3）则更是发出警告称2018~2019年间BEC造成的损失达到了260亿美元！Gartner建议用户部署这个免费的技术，以缓解仿冒型钓鱼邮件的攻击。笔者认为，钓鱼邮件诈骗之于欧美恰如钓鱼电话/短信诈骗之于中国，都是洪水猛兽，汹涌澎湃。

5.6.2    项目难度

简单。在主动拒绝恶意消息之前先花些时间学习和监测来自已知域名的邮件。

5.6.3    项目关键

研究并整合品牌管理及社交媒体监控的方法；将DMARC集成到整体电子邮件安全方法中。

5.6.4    项目建议

先从监测开始，然后再真正开始阻断。DMARC不能消除对于全面邮件安全策略的需求，这仅仅是一个值得去做的一个点，要真正做好邮件安全，需要做的事情还有很多。

5.6.5    技术成熟度

根据Gartner的定义，（电子）邮件安全是指为邮件提供攻击防护和访问保护的预测、预防、检测与响应的框架。该市场包括了多种技术、产品、流程和服务，大体的构成如下图所示，主要包括安全邮件网关（SEG）、集成邮件安全解决方案（EISS）、云邮件安全补充（CESS），等。

其中最主要的是SEG产品，目前已经是成熟产品，2019年的销量增长超过了20%，在各门类安全软件中位居第三，达到19.1亿美元。

Gartner没有对DMARC技术进行技术成熟度分析，也没有单列出相关的细分市场。事实上，DMARC作为2012年诞生的技术，作为防范邮件仿冒和社工类攻击的一种手段已经很成熟了。

5.6.6    技术解析

从2018年开始，Gartner每年都会将邮件安全（尤指反钓鱼邮件）的项目列入十大安全项目之中，可见邮件安全的重要性。Verizon的2020年DBIR报告显示，导致数据泄露的首要威胁行为样式就是钓鱼（参见DBIR报告图13）。

在2018年的项目建议中Gartner给出比较全面的项目建设建议，包括谈到要构建一个从技术控制、用户控制和流程重构三管齐下的全面邮件安全策略，其实就是要采取人、技术和流程相结合的机制来做。当时Gartner给出了不少很有价值的技术建议。在2019年的项目建议中，则进一步将建议聚焦到应对商业邮件失陷（BEC）问题上，并给出了一系列相关的建议。在2020年，则更进一步建议具体采用DMARC协议来缓解BEC风险。

DMARC是Domain-Based Message Authentication, Reporting and Conformance（基于域名的消息认证报告与一致性协议）的简称。DMARC是一项2012年就诞生的电子邮件安全协议，大家可以自行百度、知乎，查看详情。这里引用网易企业邮箱中的帮助信息简要介绍一下：DMARC是一种基于现有的SPF和DKIM协议的可扩展电子邮件认证协议，其核心思想是邮件的发送方通过特定方式（DNS）公开表明自己会用到的发件服务器（SPF）、并对发出的邮件内容进行签名(DKIM)，而邮件的接收方则检查收到的邮件是否来自发送方授权过的服务器并核对签名是否有效。对于未通过前述检查的邮件，接收方则按照发送方指定的策略进行处理，如直接投入垃圾箱或拒收。

DMARC协议是较能有效解决信头（From）伪造而诞生的一种邮件来源验证手段，为邮件发件人地址提供强大保护，并在邮件收发双方之间建立起一个数据反馈机制。企业客户使用了DMARC之后，都可以很方便地告诉邮件接收方如何认证“我”的邮件，如何处理仿冒“我”的邮件，如何把仿冒邮件的数据反馈给“我”。对于顺利通过DMARC验证的邮件，会最终投递到收件人的邮箱中；若是仿冒的邮件则会按照“我”的设置来处理，且仿冒信息将会反馈给“我”。下图来自DMARC组织的官方介绍：

最后，需要强调的是，DMARC仅仅是邮件安全的一种技术手段，并且主要是防范钓鱼类攻击。应该说落实该技术的投资回报率很高，但完整的邮件安全远不止于此，其它特色技术还包括网络沙箱、内容拆解与重建（CDR）、URL重写与点击时分析、远程浏览器隔离、各种异常检测技术、反钓鱼行为训练APBC（原来叫APBM）、安全编排自动化与响应（SOAR），等。这里提及的部分技术在笔者的《2018年Gartner十大安全项目详解》中有所介绍。

5.7   无口令认证项目

5.7.1    项目描述

尽管彻底消除口令还很遥远，但降低对口令的依赖已经十分可行。企业和组织应加强信任建设和提升用户体验。Reed在会上表示，有统计发现70％的用户在工作和个人世界之间重复使用密码。他说，有很多选择可以使用第二个因素代替密码，例如已知的资产，包括手机，平板电脑，钥匙扣或智能手表，还有使用零因素或多因素身份验证的其他示例。

5.7.2    项目难度

难。需要教育用户和持续的的安全意识培训以避免流程上的混淆。

5.7.3    项目关键

基于信任机制和用户体验需求慎重选取合适的无口令认证方案；要实现无口令的注册、认证和账号恢复。

5.7.4    项目建议

采用试点、分阶段实施的方法，不断监测用户反馈，逐步落实。

5.7.5    技术成熟度

Gartner预计，到2023年，有30％的组织将至少采用一种形式的无口令身份验证。无口令认证涉及很多技术，其中一些先进技术在Gartner的IAM Hype Cycle中被提及，譬如FIDO认证协议、移动多因素认证，并且都位于炒作高潮期。

5.7.6    技术解析

首先，笔者这里将password翻译为口令，而不是密码！二者不是一回事儿。用户对各种系统的口令管理一直是个令人头痛的问题，大家通常都不乐意定期修改口令。对企业和组织而言，在网络环境中实现无口令认证机制无疑会在提升企业安全的同时极大地提升用户体验。

要实现无口令认证，有多种技术选项，如下图所示，包括单因素认证、多因素认证和无因素认证，要根据不用的场景来取舍。

Gartner提醒大家，受限于企业现有系统的复杂性，要实现通用简洁的无口令认证机制并非易事，IAM项目团队需要一套跨多种场景的整合策略。首先，当前的无口令认证技术差异巨大，有的是在用户交互层消除了口令，但底层本质还是基于口令认证的；还有的则是在底层上就消除了口令。Gartner推荐部署了Windows系统的企业和组织优先评估微软的Hello解决方案，以及手机即令牌（phone-as-a-token）的多因素认证解决方案。其次，寻找一个适用于不用应用场景的、兼容现有网络和系统架构的整合性无口令认证解决方案。在无法实现完全无口令认证（如某些登录过程）的时候，可以退而采用“轻口令”方式。

5.8   数据分类与保护项目

5.8.1    项目描述

不用的用户对待数据各不相同。确保你有一个定义明确的、有技术支撑的数据分类与保护策略。该项目名称虽然叫数据分类与保护，但实际上重点聚焦于数据分类，它是数据保护的基础。

5.8.2    项目难度

中等到难。需要用户理解数据分类模式。能否实现自动化很重要。

5.8.3    项目关键

定义明确的数据分类模式；业务逻辑在分类和保护级别上消除了歧义；统筹考虑本地和云端数据使用。

5.8.4    项目建议

在确定技术路线之前先从策略和定义开始。与现有数据保护工具集成，利用平台/API。

5.8.5    技术成熟度

根据Gartner2020年的数据安全Hype Cycle，数据分类目前处于青春期阶段，位于炒作的顶峰。

5.8.6    技术解析

Gartner认为，数据分类是一个使用事先商定好的分类规则、方法或者本体论对信息资产进行组织的过程。它可为涵盖价值，安全，访问，使用，隐私，存储，道德，质量和留存等诸多要素在内的数据和分析治理策略提供有效和高效的数据优先级划分。数据分类通常会导致开发大型的元数据存储库以用于做出进一步的决策，或者将“标签”应用于数据对象以促进数据在其生命周期中的使用和管理。

从数据生命周期的角度来看，数据分类十分重要，起到了承上启下的作用，如下图所示：

从数据安全的角度来看，数据分类也很重要，是数据分析与价值评估的重要前提。

此外，随着对数据隐私与保护问题的日益重视，数据分类的价值愈发凸显。

总体上，数据分类是一个很困难的过程。首先就是确定分类方法论和分类标准。然后，作为一个简化，Gartner建议在识别、标记和存储组织所有数据的时候先不要考虑数据的价值、用途和风险。接下来再利用信息经济学的方法来评估数据价值，剔除低价值数据，优化数据管理成本。

此外，数据分类应该是一个持续、自适应和反复迭代的永续过程，是一个持续改进的过程，可以划分为计划、建立（又进一步细化为诊断、制定、实施）、监控三个阶段，这当中运用自动化技术和手段至关重要。

这里对数据分类模式和自动化进一步展开阐述。

数据分类模式是分类工作的基础，很多数据分类项目首先就失败在复杂的分类模式上了。Gartner建议要构建一个易于理解的数据分类模式，不要过分追求大而全，而首先考虑可理解性。分类模式设计堪称一门艺术，很难有固定的标准，但Gartner建议将很多本来打算用分类模式来阐述的属性放置到数据标签甚至是不同的操作规程中去体现，笔者认为这是一个不错的主意。

自动化是提升数据分类效率的重要帮手，否则即便有好的分类模式，面对海量数据也难以落地实施。不过，面对不同的数据、数据所处的状态（静态、动态），要采用不同的自动化工具，而不存在一个统一的工具。还有，完全自动化也不靠谱，还是需要人（包括用户）的参与。

5.9   员工胜任力评估项目

5.9.1    项目描述

数字业务计划要求我们要有合适的人担任合适角色，并且有合适的数量，拥有合适的技能和胜任力。

此前，我们一直都在谈安全人才的匮乏，聚焦在人的数量上。但Gartner却把重点放到安全业者的胜任力上，并超越了岗位角色、职责、技能问题，讨论的是如何提升人员素质，聚焦在人的质量上。

这个项目要求领导者梳理安全团队技能和胜任力情况，确定4到6项对组织成功至关重要的额4到6项胜任力，并将这几个胜任力用于新人的招聘和现有人员的培养。

5.9.2    项目难度

中等。需要对文化、能力进行诚实的评估，并加以教育和培训。

5.9.3    项目关键

要区分开角色、技能和胜任力的差异；优先采用基于胜任力的岗位描述，不存在“完美”的员工；专注于提升4至6项胜任力。

5.9.4    项目建议

你可以找到厂商来支撑你，但这个项目必须是你自己的安全团队驱动的。

5.9.5    技术成熟度

员工胜任力评估总体上属于软性的过程性的项目，如果说跟技术相关的话，就是在评估过程中可以借助一些技术手段来提高评估的效率和有效性。如果查看Gartner针对该项目推介的厂商清单，可以发现基本都对应了基于计算机的安全意识培训厂商。这些厂商有的可以提供培训平台（基于本地的，或者基于云的），有的则擅长制作各类培训课件，有的课件还兼具实战性。但总体上来说，这些厂商都无法向用户出具关键的胜任力清单，也无法给用户提供一套现成的岗位职责说明书模板，这些都是用户自己的事儿。

根据Gartner在2019年所作的统计，基于计算机的安全意识培训市场在2018年的规模约为4.51亿美元，预计2019年将达到6.2亿美元。同时，Gartner预计，至少到2023年，该市场将以42％的复合年增长率（CAGR）增长。

Gartner未在成熟度曲线中描述基于计算机的安全意识培训相关技术。笔者认为，该市场涉及的技术并不复杂，主要是业务模式和内容、形式的开发。稍微复杂一点的网络钓鱼测试与反钓鱼训练技术其实也可以归入邮件安全技术之中。

5.9.6    项目解析

要实施该项目，核心就亮点：1）理解什么是胜任力，它与技能和角色的关系是什么？2）构建自身安全团队的胜任力模型。

根据Gartner的定义，所谓胜任力是指个人在给定角色中产生卓越绩效的可观测、可度量和可预测的特征，譬如业务敏锐度、数字灵巧性，等。

相较而言，技能是指在执行工作或者任务的过程中观测到的动手能力，譬如在应用安全中使用PKI加密和数字签名，配置网络和安全策略，等。

角色是一组相关的功能和职责所对应的某个特定工作岗位，譬如安全分析师，安全运营经理，等。

从管理学的角度来看，胜任力的提出者麦克利兰认为它是指能将某一工作中有卓越成就者与普通者区分开来的个人的深层次特征，它可以是动机、特质、自我形象、态度或价值观、某领域知识、认知或行为技能等任何可以被可靠测量或计数的并且能显著区分优秀与一般绩效的个体特征。显然Gartner参考了这个权威定义。

人们通常用冰山模型来描述胜任力的不同特质，并特别强调要重视冰山之下的那些鉴别性特征，如下图所示：

可见，技能只是胜任力的浅层表现，要做好胜任力评估，关键是要提取出与本组织情景条件相适合的深层特征。

Gartner认为，为了实现数字化业务转型，必须为员工建立数字化胜任力模型，并应用于安全与风险管理领域。Gartner给出了一份包括12项胜任力的数字化胜任力模型，并阐述了他们如何映射到安全与风险领域，其中6个主要的胜任力如下图所示，分别是：适应性、业务敏锐度、数字灵巧性、产出驱动、协作/协同

建好了胜任力模型和重点胜任力清单，接下来就要建立安全团队的角色清单、技能清单，并将他们互相关联起来。这里，Gartner特别提到了可以参考《NISTSP800-181网络教育国家倡议（NICE）网络劳动力框架》来构建自己的技能清单，该标准列举了374项技能，176种能力，52个角色。

5.10安全风险评估自动化项目

5.10.1项目描述

Gartner发现只有58%的安全领导能够对所有重大新项目进行持续的风险评估。自动化风险评估能够使IT交付更高效。

与2019年在安全与风险管理领域提出的安全评级服务（SRS）不同，2020年的自动化安全风险评估很泛泛，可以涉及多个子领域和技术方向。某种意义上而言，SRS就是一种自动化风险评估技术，BAS、漏扫也算是一种自动化风险评估技术。从Gartner针对该项目推介的厂商清单来分析，笔者认为Gartner主要是针对集成风险管理（IRM）子领域来讨论其中的风险评估自动化问题。IRM大致对应业界一般所指的治理风险与合规（GRC），只是前几年Gartner将GRC这个概念进行了彻底的拆分。

5.10.2项目难度

中等到难。谨记是业务部门决定承担多少风险，安全部门在于提供控制措施的指导（这与第三章摘录的Gartner对于项目成功关键因素的表述如出一辙）。

5.10.3项目关键

要设法缓解控制措施测试与监测过程中的安全资源瓶颈问题；通过专业的沟通来提升对于风险评估评级的信心。

5.10.4项目建议

充分利用对风险评估至关重要的安全数据源，并将从这些数据源提取相关数据及后续分析的工作流程自动化。

5.10.5技术成熟度

根据Gartner 2020年的风险管理Hype Cycle，IRM目前处于青春期阶段，正在向失望低谷滑落。

5.10.6技术解析

安全风险评估（Security Risk Assessment）是Gartner十分看重的一项工作，写过大量的报告和指南。安全风险评估这个概念已经有了二十年的历史了，十分古老，意义不言自明，是安全领域的一个理论基石，但更多是停留在理念、标准、规范层面，不论是ISO27005，还是NIST SP800-30都有专门的论述。很早以前，人们（譬如笔者）就在试图将这个工作形式化，借助系统来自动运行，至今仍然在为之努力，目前主要是体现在GRC类产品和平台之中。近些年来，由于人们更多将目光投射到面向对抗的安全领域，对于安全风险评估有所淡忘。事实上，Gartner一直在关注这个领域，并且是作为安全的五大分支之一在持续跟踪研究。

回到安全风评估技术本身，它属于风险管理框架的组成要素之一，如下是Gartner的风险管理框架：

如果我们看NIST SP800-30，或者ISO27000系列，对于风险管理和风险评估的阐释也都差不多，这里不再赘述。

Gartner建议，为了降低风险评估工作的操作复杂度，提升这项工作的成效（量化效果），必须引入自动化技术。

Gartner表示，安全风险评估自动化的目标是将定义明确且可重复的风险评估过程的各个要素整合起来，以识别、度量和处置IT风险。自动化风险评估的一个重要价值就在于采用一致和一贯的标准（譬如NISTCSF框架、ISO27001，或者风险计算模型和公式）来估算风险，使得风险度量的结果可比较，改进情况真正可度量。

Gartner表示，向安全风险评估项目注入某种程度的自动化的目的是确保随着时间的推移，对评估结果保持一致性和信心。

进一步分析安全风险评估自动化的技术手段。最典型的一类自动化分析手段就是利用日志分析技术，采集关键数据源的文本信息，基于预定义的风险模型进行计算和分析。但实际上，风险评估时仅仅采集与分析控制措施运行后产生的痕迹信息是远远不够的，还需要对控制措施及其过程进行测试验证，包括采用BAS、配置核查、漏洞扫描、资产测绘，也包括采用诸如SOAR、RPA技术手段将多个重复的测试过程串起来，还包括采取诸如ISACA推介的连续控制措施监测（CCM）方法论。

6    候选安全项目

2020年的候选安全项目清单中还包括：

１）       员工（网络）监视与（物理）监视技术；

２）       威胁溯源服务

３）       自动化威胁猎捕

４）       网络靶场和网络仿真

５）       基于聊天机器人的安全意识培训与教育

６）       生物特征凭据检测与保护

７）       量子一切【暂译】

８）       安全访问服务边缘（SASE）

９）       信息物理系统（CSP）安全——无人机检测、体温检测

7    综合建议

在峰会上，发言人Brain Reed给出了几点综合性建议：

• 如果你只能做一件事，那么把保障员工远程访问的安全放在首位；
• 在选择项目的时候，不要仅仅关注削减风险的项目，也要考虑使能业务的项目，意即要一定做些体现业务价值的安全项目。在这点上，国内外的考量基本一致。
• 如果你正在将数据和应用向云中迁移，请考察ZNTA、CSPM和SASE。
• 认清你的安全胜任力（以及缺陷），并制定一份提升安全意识和教育的计划。

 

8    参考信息

1. Top 10 Security Projects for 2020, Gartner Security and Risk Management Summit 2020;
2. Security and risk management leaders should focus on these 10 security projects to drive business-value and reduce risk for the business. Gartner;
3. Top Five Midsize Enterprise Security Projects for 2020, Gartner;
4. Gartner：2020年中型企业的5大安全项目，Benny Ye；
5. Gartner 2019年十大安全技术详解，Benny Ye；
6. Gartner 2018年十大安全技术详解，Benny Ye；
7.  Market Guidefor Zero Trust Network Access 2020, Gartner；
8. Market Guidefor Vulnerability Assessment 2019, Gartner;
9.  Innovation Insight for Extended Detection and Response, Gartner;
10. Innovation Insight for Cloud Security Posture Management, Gartner;
11.  Hype Cycle for Cloud Security, 2020, Gartner;
12. Market Guide for Email Security 2020, Gartner;
13. Hype Cycle for Data Security, 2020, Gartner；
14. Hype Cycle for Security Operations, 2020, Gartner.