发布日期:2020年8月19日
《市场洞察》报告作者:斯科特·克劳福德、加勒特·贝克、费尔南多·蒙特内格罗、亚伦·谢里尔和埃里克·汉塞尔曼
简介
当我们从一个与RSA会议之前截然不同的世界的最初几个月走出来时,我们发现自己正在评估塑造技术的趋势,并询问下一步会发生什么。我们最近有机会详细地思考了这个问题我们更新了对2020年的展望——不是从2019年底首次发表报告时的角度,而是从世界卫生组织宣布COVID-19为大流行以来的几个月里的一个非常不同的视角。在第三季度中期,我们发现自己在为来年做准备时再次进行了盘点,我们看到信息安全领域出现了一些明确的主题。
当涉及到所涉及的技术时,这些主题从表面上看似乎只是略微相关:跨端点、网络、云和应用程序的威胁检测;从任何来源到任何目标的访问控制;安全架构的重塑不仅是由不断向云转移所驱动的,还由大量的新终端所驱动,包括大量的操作和工业设备——更不用说数百万的业务用户现在在不确定的未来远程工作。
然而,所有这些主题都有一个共同点。这与企业安全以及企业It的更全面的方法有关。多年来,我们在信息安全领域一直在谈论整合非常分散的工具和技术集合的必要性。现在,随着更大的趋势推动整个IT行业的变革,网络安全也必须适应。在本报告中,我们概述了其中三个——安全访问服务边缘(SASE)、零信任网络访问(ZTNA)和XDR(其中“X”是有助于威胁检测和响应的技术交叉的占位符,一些人通过采用占位符“扩展”一词来反映)——以及2020年的意外事件如何影响它们的采用。
第451条
未来的世界越来越多地被“即服务”的技术所定义,越来越少地依赖于以产品为导向的部署,以及它们通过在遗留环境中作为资本投资积累的组件引入的碎片化。在安全方面,这一传统通常意味着投资可能很少(如果有的话)被取代——没有人愿意在发生某种类型的攻击时负责消除真正需要的一种防御。即服务提供商有机会为安全团队重塑这一现实,并整合多个领域的功能,我们预计到2021年将遵循的许多趋势将反映这一新的格局。
SASE:重新定义企业边界
云计算的兴起带来了一些过去IT无法获得的功能,并且在许多情况下更经济。尽管这是有代价的,但作为服务交付的it将组织从长期的维护和所有权负担中解放出来。因此,企业更多地依赖于第三方提供商,因为他们以前必须在自己的环境中自行部署。
安全技术也从这些优势中受益,但有一个方面的安全也受到了这些趋势的挑战。考虑到许多安全策略,例如访问控制、安全监视以及网络威胁检测和预防,通常在传统企业环境中以一种与每个组织的特性相匹配的方式进行部署。这就是为什么远程访问仍然高度依赖于vpn的主要原因。除了能够将公共流量与私有流量分开之外,VPN还确保企业流量受到这些控制,以确保组织的安全和策略优先级。
然而,这与拥抱云和第三方提供商的趋势背道而驰。原则上,几乎任何地方的任何端点都应该能够直接访问这些服务。yabo07事实上,这种普遍性是IT即服务的主要优势之一。那么,组织如何确保同样程度的控制——对访问策略、活动监控、威胁预防和机密性——可以应用于这些新的交互,否则可能根本不需要企业网络的中介?
进入安全接入服务边缘。正如这一系列技术所暗示的那样,SASE(发音为“sassy”)不仅仅是一种技术。它是一组功能,其中许多功能早已为企业所熟悉,可以作为服务提供,原则上几乎可以从任何地方访问。
这不仅意味着安全功能,还意味着将其作为服务交付的能力。可访问性和连接性是SASE提供商的基本方面,它们在如此广泛的范围内提供功能的能力要求它们拥有足够大的存在点集合,以消除企业在建立自己的访问体系结构时经常面临的性能瓶颈,例如传统VPN的限制或维护自己的互连拓扑。
由于SASE是作为服务交付的安全技术的集合,作为包的一部分具有无处不在的可访问性和连接性,因此它是代表向更协调的安全功能发展的新趋势的典型代表。这是否意味着这是一个技术领域?如果它由许多已建立的部门组成,每个部门的产品在特性和功能上是最直接的可比性——即使是由单一供应商提供的。是一个平台吗?也许。平台的一个基本考虑因素是其组件的功能互操作性。这种互操作性可能是技术层面的;这些组件或多或少地集成在一起。这可能不需要它的组件由单个提供商交付;事实上,至少在目前,任何单个供应商都无法达到或超过SASE每个细分领域的最佳竞争者的能力。 Multiple vendors can partner or otherwise coordinate on delivering a complementary set of capabilities, or it may be delivered as a managed service, where the provider handles the coordinated management of tools and practices to deliver a more holistic offering. Ideally, this coordination is largely transparent to the customer.
最近向远程工作的大规模迁移更加明显地呼吁对这种无处不在的安全功能的可访问性的需求,尤其是因为需要将这些功能扩展到数百万新的远程工作人员和端点。根据451 Research的《企业之声:2019年物联网研究》,预计到2024年,企业运营和工业设备的增长将增加近一倍,达到近140亿个终端,预计还将增加数十亿个终端。www.yabo11vip.com正如我们在3月和6月发布的《企业之声:数字脉搏、冠状病毒快速调查》中所示,由应对COVID-19所推动的需求使IT组织承受了巨大的压力。
因此,在我们的Flash调查中,由于2019冠状病毒病的影响,在3月至6月期间,信息安全作为预期支出领域的增长幅度最大,这并不令人惊讶。
中通社:迈向循证访问控制
访问控制有许多活动部分,包括处理访问尝试的功能,并根据输入和逻辑确定是否授予或拒绝访问;与用户或端点的接口,用于收集凭证、设备状态和安全态势等输入,其中可能强制执行策略;并与访问目标进行相应的集成,以验证授权、协调符合策略的访问并防止未经授权的访问尝试。
由于这种复杂性,开发人员通常默认使用简单的方法来确定访问:如果用户或端点提供了可识别的用户名和密码,或者来自企业网络,那么它必须是合法的——尤其是因为这些方法通常很便宜,而且(相对于更复杂的技术)易于实现。
正如许多成功的攻击所证明的那样,这种技术并不是访问控制的最先进技术。凭证很容易被破坏,甚至合法的端点也可能被对手利用,他们知道在寻求未经授权的访问时,网络来源很重要。访问控制是网络防御的前线之一,组织有强烈的动机来改进这种策略。这使他们转向更现代的技术,以帮助做出高可信度的访问决策。
这些现代技术和它们试图取代的技术之间的主要区别可以概括为信任问题。如果您的策略是在提供用户名和密码的正确组合时授予访问权限,那么您相信提供该组合的任何人(或任何东西)都是他们声称的身份。这些证书是否被盗并不重要;我们相信,这一企图是合法的,因为它们已经提出。类似的逻辑也适用于基于网络原点授予访问权。即使端点已经被破坏,它也在一个被认为“值得信赖”的网络上。
更近期的方法是寻求权衡证据——或者更确切地说,综合考虑所有证据,证明访问尝试是合法的。用户名和密码?检查——如果需要的话,但不是单独检查。用户名、密码和来源网络?好的,但是附加因素呢?是否可以提供其他东西来验证用户,比如在带外交付的一次性凭据?原点网络呢?它是一个家庭办公室吗?之前已经顺利获准进入?或者它是一个公共场所,可能起源于电脑上的浏览器、自动取款机或一天内有数百人使用的售货亭?那设备呢? What OS is it running? Is it jailbroken or rooted? What security features are enabled? Can biometric evidence help determine that the user is who they claim to be?
因此,“零信任”一词适用于此类倡议。寻求者必须提供足够的证据来做出访问决定——“基于证据的”访问控制,如果你愿意的话,而不是简单地相信简单的条件就足够了。当应用于通过网络寻求的访问时,可以应用更明确的术语零信任网络访问(ZTNA)。
正如上面的例子所说明的,ZTNA可能更像是一种趋势,而不是一个市场细分,跨多个技术细分的组件对它做出了贡献。然而,ZTNA已经有机会成熟——至少相对于SASE——到已经定义了具体指导的程度,例如美国国家标准与技术研究所最近发布的关于零信任架构的特别出版物800-207或云安全联盟的软件定义周界,其中包括其自己的明确参考架构,目前约有20家供应商在市场上提供了产品化版本。然而,这些体系结构仍然跨越了许多功能。端点系统可以提供关于端点的配置、软件补充和健康状态的证据,这与以前的网络准入控制没有什么不同。行为分析可以监控活动,以衡量“正常”的决定-发现潜在的恶意活动,要求限制或拒绝访问,或参与收集更多的证据,以增加访问决策的信心。在SASE领域发挥作用的技术可以收集有关网络活动的证据,或者作为策略执行点来协调访问决策。对访问特定目标应用程序和资源的细粒度控制实现得不那么明确或一致——考虑到现在和将来应用程序体系结构的范围和多样性,这是一个不小的挑战。
在这方面,COVID-19大流行可能会加速采用。如果不提高对访问控制的信心标准,组织可能不愿意大幅扩展远程访问,这可能会增加复杂性或给用户带来新的挫折。因此,降低这些风险的ZTNA技术可能是一个直接驱动因素的受益者,该驱动因素可能激励组织加速采用在大流行之前可能已经在进行的技术,但根据我们的冠状病毒快速调查,这些技术已被优先考虑,以满足远程工作预期的长期耐力。
XDR:“矿山”会议
威胁检测对于信息安全来说并不新鲜。多年来,它一直是端点和网络安全的一部分。应用于恶意软件的签名和应用于网络活动的规则——两者后来都得到了机器学习的补充——只要有端点反病毒或网络防火墙和入侵防御,就一直发挥着作用。然而,最近,这些技术已经成熟。端点威胁检测定期检查端点内部,检测配置、软件组件或使用活动中的变化,以指示可能的攻击或恶意活动。与此同时,网络分析已经发展到利用行为技术,可以使用更现代的方法识别恶意异常。
再一次,我们看到了至少在两个领域跨越技术细分的趋势:端点和网络。它们没有结合起来形成一个新的细分市场,因为技术本身有明显的不同。用于检测深度粒度端点的技术涉及到不同的领域,如配置注册表和系统缓存,而网络行为分析可能依赖于特定于网络协议解剖的统计分析。
然而,它们在使用上可以是互补的。当电子邮件安全网关或网络周界防御等安全控制发出潜在攻击信号时,分析人员可以转向端点威胁检测和响应(EDR)技术来确定受损程度。他们可以使用EDR来确定端点是否试图联系其他主机以传播攻击或评估内部环境。他们还可以求助于网络威胁检测和响应(NDR),以查看是否观察到可疑活动或确定横向移动的企图。有人可能会说,他们可以“挖掘”这些信息,以发现“黄金”,从而提高响应的及时性和有效性(如果有人被迫解释本报告这一部分有点做作的副标题)。它们可以进一步整合功能以响应恶意活动,例如自动隔离端点或更改防火墙或网络分割规则以遏制攻击。
因此,虽然这些技术不一定属于同一安全技术领域,但它们是互补的——就像攻击的“杀伤链”在对手试图渗透其最终目标时跨越多个领域一样。这些侦探控制之间缺乏协调,导致了过去许多攻击的成功。因此,将技术结合成更全面的计划,如EDR和NDR,以及来自电子邮件安全、云和应用程序技术以及身份等领域的遥测和功能,已被视为努力实现的理想。这样的集成远非微不足道,在集成工作上已经花费了无数的时间和金钱。入侵和攻击模拟(BAS)系统的兴起为组织提供了一种方法来评估其工作的有效性,并确定各个部分是否实现了预期的缓解。他们甚至可以识别重叠的控制,从而允许工具的消除,尽管这是一个许多人谨慎对待的道路。有没有一种更简单的方法让所有这些遥测技术更好地协同工作?这就是XDR的目标。
XDR的承诺是,如果您使用来自同一供应商的组件(并且这些组件从一开始就很好地集成了),或者通过供应商之间的工程合作(或通过另一种方法,例如有效实现相同结果的服务)使一组产品相互兼容,则可以实现这种无缝集成。yabo07再说一次,这不是一个新的领域,而是现有技术的集成。
如果XDR技术不是单一的部分,那么它们是作为平台部署的吗?再说一次,这要视情况而定。与前面一样,平台定义的一部分是其组件的功能互操作性。这种互操作性可能是技术层面的;这些组件可以在较大或较小的程度上集成。同样和前面一样,这可能不要求其组件由单个提供者交付;多个供应商可以合作或以其他方式协调来交付一组互补的功能。但是,使用XDR,将部分工作固有地移交给外部实体,这与托管安全服务提供者的业务模型很好地一致。托管威胁检测和响应作为托管服务提供了全面的威胁检测和响应功能,其中流程集成反映了攻击的性质、响应中的缓解措施以及遏制、解决和强化未来攻击的后续步骤。XDR非常适合服务机会;yabo07 even the acronym allows for it.
那么COVID-19对XDR有什么影响?考虑到许多检测技术(特别是在网络中)严重依赖(如果不是完全依赖)传统企业环境中的部署,通过企业拥有的或在自己的设施内部或之间操作的网络基础设施进行部署。向IT即服务的转变对网络威胁检测意味着什么?企业在哪里可以重新获得可能因这种转变而丢失的遥测数据?SASE的贡献技术是否会在XDR的演进中发挥超越传统企业的作用?
这些问题以及更多的问题将激励我们进行更多的研究,因为趋势(无论是长期的还是短期的)继续相互加强,形成我们所知道的企业网络安全的全面改革。
丹尼尔·肯尼迪负责管理研究过程的所有阶段。他是一位经验丰富的信息安全专业人士,曾为福布斯在线和Ziff Davis撰写文章,并为包括《纽约时报》和《华尔街日报》在内的众多新闻媒体提供评论,他的个人博客Praetorian Prefect被RSA 2010会议评为信息安全领域的五大技术博客之一。
杰里米·科恩(Jeremy Korn)是451 Research的研究助理。www.yabo11vip.com他毕业于布朗大学,获得生物学和东亚研究学士学位
Aaron Sherrill是451 Research的高级分析师,主要研究新www.yabo11vip.com兴趋势和创新