Gartner：2018年10大安全项目详解 都是干货

前言：

2018年6月份，一年一度的Gartner安全与风险管理峰会上，知名分析师Neil Mcdonald发布了2018年度的十大安全项目(Top 10 Security Projects)。

在之前的几年里，Gartner一直做的是10大顶级技术(Top New and Cool Technologies)的发布，更多关注是新兴的产品化技术和即将大规模应用的技术。推出这些顶级技术的目的也是供客户方的信息安全主管们作为当年安全投资建设的推荐参考。

一、概述

2018年“十大安全技术”换成了“十大安全项目”，所为何故？我个人的理解：今年“十大安全项目”的叫法更加符合客户视角，而且更加强调对客户而言具有很高优先级的技术。也就是说，也许有些项目涉及的技术不一定是最新最酷的技术，但对客户而言是特别有助于降低安全风险的技术。如此一来，十大安全项目考察的技术点就要比十大安全技术更广泛，更加客户视角。

根据Gartner自己的说明，给出了选取十大安全项目的方式。

首先，假定客户已经具备了相当的安全基础。如果连这些基础都没有达到，那么也就不要去追求什么十大安全项目，乃至十大安全技术了。这些基础包括：

1.已经有了较为先进的EPP(端点保护平台)，具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;

2.已经做好了基本的Windows账户管理工作;

3.已经有了IAM;

4.有了常规化的补丁管理;

5.已经有了标准化的服务器/云工作负载保护平台代理;

6.具备较为强健的反垃圾邮件能力;

7.部署了某种形式的SIEM或者日志管理解决方案，具有基本的检测/响应能力;

8.建立了备份/恢复机制;

9.有基本的安全意识培训;

10.具备基本的互联网出口边界安全防护能力，包括URL过滤能力;

没错，对于客户而言，上面10个技术和能力更为基础，优先级更高，如果上述能力都有欠缺，先别轻易考虑什么十大安全项目!

其次，针对10大项目的选取也比较强调新(客户采用率低于50%)，同时又必须是已经落地的，而且又不能太过复杂(是Project级别而非Program级别)【注：要区别portfolio(项目组合), program(项目集), project(项目)三种项目间的关系】。

最后，选取的技术必须是能够最大程度上降低客户风险的，且付出是相对经济的，必须是符合数字时代发展潮流的，符合Gartner自己的CARTA(持续自适应风险与信任评估)方法论的。

基于上述所有前提假定，Gartner给出了2018年的10大安全项目：

Privileged Account Management Project：特权账户管理项目

CARTA-Inspired Vulnerability Management Project：符合CARTA方法论的弱点管理项目

Active Anti-Phishing Project：积极的反钓鱼项目

Application Control on Server Workloads Project：服务器工作负载的应用控制项目

Microsegmentation and Flow Visibility Project：微隔离和流可见性项目

Detection and Response Project：检测和响应项目，包括EPP+EDR、UEBA、欺骗三种技术方向和MDR服务

Cloud Security Posture Management (CSPM) Project：云安全配置管理项目

Automated Security Scanning Project：自动化安全扫描项目，尤其是开源软件成份分析

CASB Project：CASB项目，包括云应用发现、自适应访问、敏感数据发现与保护三个子方向

Software-Defined Perimeter Project：软件定义边界项目

通过分析比较，不难发现，和2017年度的11大安全技术(参见我写的《Gartner2017年十大安全技术解读》)相比，差别其实不大，大部分2017年的顶级技术都保留了，有的更加细化了，同时增加了几项算不上先进但对客户而言更为迫切的几个技术，包括PAM、弱点管理(VM)、反钓鱼。同时，这些项目也不是对每个客户都具备同等的急迫性，不同客户还需要根据自身的情况进行取舍，有所关注。

此外，细心的人可能还会发现，居然没有现在大热的数据安全项目？的确，Gartner 10大安全项目中没有明确以数据安全为大标题的项目，不过在多个项目中都提及了数据安全，譬如在CASB项目中建议优先考虑处理数据安全问题，PAM也跟数据安全有关系。另外，我感觉数据安全是一个十分庞大的题目，不可能用几个Project来达成，起码也要是Program级别的。期待以后Neil对数据安全更加重视起来吧。

特别需要指出的是，虽说叫10大安全项目，但是“检测与响应项目”其实包括了四个子项目，分别是EPP+EDR，UEBA、欺骗技术和MDR(可管理检测与响应)服务。因此，如果展开来说，其实不止10个项目，只是为了“凑个10”。