发布日期:2020年8月19日
这份《市场洞察》报告的作者:斯科特·克劳福德、加勒特·贝克、费尔南多·蒙特内格罗、亚伦·谢里尔和埃里克·汉赛尔曼
简介
当我们从一个与RSA会议之前截然不同的世界的头几个月走出来时,我们发现自己在盘点塑造技术的趋势,并询问下一步会是什么。我们最近有机会详细地考虑了这个问题我们更新了2020年的展望——不是从2019年底首次发布报告时的角度,而是从世界卫生组织宣布COVID-19为大流行以来几个月里非常不同的角度。第三季度进行到一半,我们发现自己在为来年做准备时再次进行了盘点,我们看到信息安全领域出现了一些明确的主题。
当涉及到所涉及的技术时,这些主题在表面上似乎只是略微相关:跨端点、网络、云和应用程序的威胁检测;从任何源到任何目标的访问控制;安全架构的重塑不仅是由正在进行的向云的移动所驱动的,还由大量的新端点所驱动,包括大量的操作和工业设备——更不用说数以百万计的业务用户正在为不确定的未来远程工作。
然而,所有这些主题都有一个共同点。它与企业安全以及企业It的更全面的方法有关。多年来,我们在信息安全领域一直在讨论需要整合非常分散的工具和技术集合。现在,随着更大的趋势推动整个IT行业的变革,网络安全也必须适应。在本报告中,我们总结了其中的三种——安全访问服务优势(SASE)、零信任网络访问(ZTNA)和XDR(其中“X”是有助于威胁检测和响应的技术交叉的占位符,其中一些通过采用术语“扩展”占位符来反映),以及2020年的意外事件如何影响它们的采用。
451分
未来的世界越来越多地由“作为服务”交付的技术来定义,对以产品为导向的部署的依赖越来越少,它们通过在遗留环境中作为资本投资积累起来的组件引入的碎片化也越来越少。在安全方面,这一传统通常意味着投资可能很少(如果有的话)被取代——没有人想要为在发生某种类型的攻击时消除真正需要的一个防御系统负责。服务提供商有机会为安全团队重塑这一现实,并跨多个领域整合功能——我们预计到2021年的许多趋势将反映这一新格局。
SASE:重新定义企业的边界
云计算的兴起使过去IT无法实现的一些功能变得触手可及,而且在许多情况下更加经济实惠。尽管it是有代价的,但作为服务交付的it将组织从长期的维护和所有权负担中解放出来。因此,企业更多地依赖于第三方提供商,以实现它们以前必须在自己的环境中自行部署的功能。
安全技术也从这些优势中受益,但安全在另一方面也受到了这些趋势的挑战。考虑到许多安全策略,例如访问控制、安全监视以及网络威胁检测和预防,通常已经在传统企业环境中以一种与每个组织的特性相匹配的方式部署。这就是为什么远程访问仍然高度依赖于vpn的主要原因。除了能够分割公共和私有流量之外,VPN还确保企业流量服从这些控制,以确保组织的安全和策略优先级。
然而,这与拥抱云计算和第三方提供商的趋势背道而驰。原则上,几乎任何地方的任何端点都应该能够直接访问这些服务。188bet金博宝是什么事实上,这种无处不在性是IT即服务的主要优势之一。那么,组织如何确保同样程度的控制——访问策略、活动监控、威胁预防和机密性——可以应用到这些新的交互中,否则可能根本不需要企业网络的中介?
进入安全接入服务边缘。正如这一系列技术所暗示的那样,SASE(发音为“sassy”)不仅仅是一种技术。它是一组功能,其中许多功能早已为企业所熟悉,可以作为服务提供,原则上可以从几乎任何地方访问。
这不仅意味着安全功能,还意味着将其作为服务交付的能力。可访问性和连接性是SASE提供者的基本方面,它们在如此广泛的范围内交付功能的能力要求它们拥有足够大的存在点集合,以消除企业在建立自己的访问体系结构时经常面临的性能瓶颈,例如传统VPN的限制或维护自己的互连拓扑。
由于SASE是作为服务交付的安全技术的集合,它具有无处不在的可访问性和连接性,是包的一部分,因此它是代表向更协调的安全功能发展的新趋势的典型代表。这是否意味着这是一个科技板块?如果它由许多成熟的部门组成,每个部门的产品在特性和功能上具有最直接的可比性——即使是由单一的供应商交付,就不会有这种情况。它是一个平台吗?也许。平台的一个基本考虑事项是组件之间的功能互操作性。这种互操作性可能是技术上的;这些组件或多或少地集成在一起。这可能不要求其组件由单个提供者交付;事实上,至少在目前,任何单个供应商都无法在每一个SASE领域达到或超过最佳竞争者的能力。 Multiple vendors can partner or otherwise coordinate on delivering a complementary set of capabilities, or it may be delivered as a managed service, where the provider handles the coordinated management of tools and practices to deliver a more holistic offering. Ideally, this coordination is largely transparent to the customer.
最近向远程工作的大规模转移更明显地呼吁对安全功能的这种无处不在的可访问性的需求,尤其是因为需要将这些功能扩展到数百万新的远程工作人员和端点。根据451 Research的《企业之声:物联网2019》研究报告,预计到2024年,企业运营和工业设备的增长将接近一倍,达到近140亿部。188宝金博网址是多少正如我们在3月和6月发布的《企业之声:数字脉搏,冠状病毒快速调查》中所述,应对COVID-19的需求使IT组织承受了巨大压力。
因此,在我们Flash调查的受访者中,由于COVID-19,信息安全作为预期支出领域在3月至6月期间增长最快,这并不令人惊讶。
ZTNA:走向循证访问控制
访问控制有许多可移动的部分,包括处理访问尝试并根据输入和逻辑确定是授予还是拒绝访问的功能;与用户或端点的接口,用于收集诸如凭据、设备状态和安全态势等输入,在这些输入中可能执行策略;以及与访问目标的相应集成,以验证授权、调解符合策略的访问并防止未经授权的访问尝试。
由于这种复杂性,开发人员通常默认使用简单的方法来确定访问:如果用户或端点提供公认的用户名和密码,或者来自企业网络,那么它必须是合法的——尤其是因为这些方法通常很便宜,而且(相对于更复杂的技术)容易实现。
正如许多成功的攻击所证明的那样,这种技术在访问控制方面并不完全是最先进的。凭证很容易被破坏,甚至合法的端点也可能被对手利用,他们知道在寻求未经授权的访问时,网络来源很重要。访问控制是网络防御的前线之一,组织有强大的动力来改进对抗这种战术。这使得他们求助于更现代的技术来帮助做出高置信度的访问决策。
这些现代技术和它们试图取代的技术之间的主要区别可以概括为信任的问题。如果您的策略是在提供正确的用户名和密码组合时授予访问权限,那么您相信提供该组合的任何人(或任何东西)就是他们自称的人。这些证书是否被盗并不重要;我们相信这种企图是合法的,因为它们已经被提出。类似的逻辑也适用于基于网络起源的授权访问。即使端点已经被泄露,它也位于一个被认为是“可信的”网络上。
最近的方法转而寻求对证据进行权衡——或者更确切地说,将证据组合在一起,使访问尝试合法。用户名和密码?检查—如果需要的话,但不要单独进行检查。用户名、密码和原始网络?好吧,那其他因素呢?是否可以提供其他东西来验证用户,比如一次凭据交付到带外?起源网络呢?它是一个家庭办公室吗?在此之前,该办公室的访问许可从未发生过事故?或者它是一个公共场所,可能起源于电脑上的浏览器、自动取款机或一天有数百人使用的报亭?那设备呢? What OS is it running? Is it jailbroken or rooted? What security features are enabled? Can biometric evidence help determine that the user is who they claim to be?
因此,这类举措被称为“零信任”。探索者必须提供足够的证据来做出访问决策——如果你愿意的话,“基于证据的”访问控制,而不是简单地相信简单的条件就足够了。当应用于跨网络访问时,可以应用更明确的术语零信任网络访问(ZTNA)。
正如上面的例子所说明的,ZTNA可能更多的是一种趋势,而不是一个细分市场,跨多个技术细分的组件对其做出了贡献。然而,ZTNA已经有机会成熟——至少相对于SASE而言——已经定义了具体的指导,例如美国国家标准与技术协会最近发布的关于零信任体系结构的特别出版物800-207或云安全联盟的软件定义周长,其中包括其自己的明确参考体系结构,目前约有20个供应商在市场上提供产品化版本。然而,这些体系结构仍然跨越了许多功能。端点系统可以提供关于端点的配置、软件补充和健康状态的证据,这与以前的网络许可控制没什么不同。行为分析可以监控活动,以衡量“正常”的决定——发现潜在的恶意活动,要求访问限制或拒绝,或参与收集更多的证据,以增加访问决策的信心。在SASE领域发挥作用的技术可以收集有关网络活动的证据,或者充当策略实施点,以调解访问决策。对特定目标应用程序和资源的访问进行细粒度控制的实现不那么明确或一致——考虑到应用程序体系结构的范围和种类在今天和将来都很丰富,这是一个不小的挑战。
在这方面,2019冠状病毒病大流行可能会加速采用这种方法。如果不提高对访问控制的信心标准,组织可能不愿意大幅扩展远程访问,这可能会增加复杂性或给用户带来新的挫折。因此,降低这些风险的ZTNA技术可能是一种直接驱动因素的受益者,它可能激励组织加速采用在大流行之前就已经在工作的技术,但根据我们的冠状病毒快速调查,为了满足远程工作预期的长期持久性,这些技术被优先考虑。
XDR:“地雷”会议
威胁检测对信息安全来说并不新鲜。多年来,它一直是端点和网络安全的一部分。应用于恶意软件的签名和应用于网络活动的规则——两者后来都被机器学习补充了——只要有端点反病毒或网络防火墙和入侵防御,它们就一直在发挥作用。然而,最近这些技术已经成熟。端点威胁检测定期检查端点内部,检测配置、软件组件或使用活动中的变化,这些变化表明可能的攻击或恶意活动。与此同时,网络分析已经发展到利用行为技术,可以使用更现代的方法识别恶意异常。
再一次,我们看到了至少在两个领域跨越技术片段的趋势:端点和网络。它们并没有结合起来形成一个新的细分市场,因为技术本身有明显的不同。用于检测这种深度粒度的端点的技术涉及到不同的领域,如配置注册表和系统缓存,而网络行为分析可能依赖于特定于网络协议剖析的统计分析。
然而,它们在使用上可以是互补的。当电子邮件安全网关或网络外围防御等安全控制发出潜在攻击信号时,分析人员可以求助于端点威胁检测和响应(EDR)技术来确定攻击的程度。他们可以使用EDR来确定端点是否试图联系其他主机以传播攻击或评估内部环境。他们还可以求助于网络威胁检测和响应(NDR),以查看是否观察到可疑活动或确定横向移动的企图。有人可能会说,他们可以“挖掘”这些信息,以发现“黄金”,从而提高响应的及时性和有效性(如果有人被迫解释本报告这部分有点做作的副标题)。它们还可以进一步合并响应恶意活动的功能,例如自动隔离端点或更改防火墙或网络分割规则以包含攻击。
因此,虽然这些技术不一定是同一安全技术部分的一部分,但它们是互补的——就像攻击的“杀戮链”穿越多个领域,因为对手试图渗透其最终目标。这些探测控制之间缺乏协调是过去许多攻击成功的原因之一。将技术结合成一个更全面的计划,如EDR和NDR,以及遥测技术和来自电子邮件安全、云和应用技术以及身份识别等领域的能力,因此被视为一个努力的理想。这样的集成远非微不足道,在集成工作上已经花费了无数的时间和金钱。入侵和攻击模拟(BAS)系统的兴起为组织提供了一种方法来评估其努力的有效性,并确定各个部分是否实现了预期的缓解。他们甚至可能识别出重叠的控制,从而允许消除工具,尽管这是一个许多人都要谨慎行事的道路。有没有一种更简单的方法能让所有这些遥测技术更好地协同工作?这就是XDR的目标。
XDR的承诺是实现无缝集成,前提是使用来自同一供应商的组件(并且这些组件从一开始就集成得很好),或者通过供应商之间的工程伙伴关系(或者通过另一种方法,例如可以有效地实现相同结果的服务)使一组产品兼容。188bet金博宝是什么同样,这不是一个新的部分,而是对现有技术的集成。
如果XDR技术不是一个单独的部分,那么它们是作为一个平台部署的吗?这要视情况而定。与前面一样,平台定义的一部分是其组件的功能互操作性。这种互操作性可能是技术上的;各组成部分的集成程度可大可小。与以前一样,这可能不要求其组件由单个提供者交付;多个供应商可以合作或协调以交付一组互补的功能。然而,通过XDR,将这些工作的一部分固有地转交给外部实体,这与托管安全服务提供者的业务模型很好地保持了一致。托管威胁检测和响应作为托管服务提供了全面的威胁检测和响应功能,其中流程的集成反映了攻击的性质、响应中的缓解措施,以及遏制、解决和加强应对未来攻击的后续步骤。XDR非常适合服务机会;188bet金博宝是什么 even the acronym allows for it.
那么,COVID-19对XDR有什么影响?考虑到许多探测技术(特别是在网络中)严重依赖(如果不是完全依赖的话)在传统企业环境中部署,通过企业拥有的网络基础设施部署,或者在企业自己的设施内部和之间操作。向IT即服务的转变对网络威胁检测意味着什么?组织在哪里可以重新获得可能因这种转变而丢失的遥测信息?SASE的贡献技术是否在XDR超越传统企业的演进中发挥作用?
这些问题以及更多的问题将激励我们继续进行更多的研究,因为趋势(无论是长期的还是短期的)在我们所知的企业网络安全改革中继续相互加强。
丹尼尔·肯尼迪负责管理研究过程的所有阶段。他是一名经验丰富的信息安全专业人士,曾为福布斯在线和Ziff Davis撰稿,为多家新闻媒体提供评论,包括《纽约时报》和《华尔街日报》,他的个人博客Praetorian Prefect被RSA 2010大会评为信息安全领域的五大技术博客之一。
Jeremy Korn是451 Research的研究助理。188宝金博网址是多少他毕业于布朗大学,获得生物学和东亚研究学士学位
Aaron Sherrill是451 Research的高级分析师,研究新兴趋188宝金博网址是多少势和创新