2018年6月份，一年一度的Gartner安全与风险管理峰会上，知名分析师Neil Mcdonald发布了2018年度的十大安全项目(Top 10 Security Projects)。

在之前的几年里，Gartner一直做的是10大顶级技术(Top New and Cool Technologies)的发布，更多关注是新兴的产品化技术和即将大规模应用的技术。推出这些顶级技术的目的也是供客户方的信息安全主管们作为当年安全投资建设的推荐参考。

一、概述

2018年“十大安全技术”换成了“十大安全项目”，所为何故?我个人的理解：今年“十大安全项目”的叫法更加符合客户视角，而且更加强调对客户而言具有很高优先级的技术。也就是说，也许有些项目涉及的技术不一定是最新最酷的技术，但对客户而言是特别有助于降低安全风险的技术。如此一来，十大安全项目考察的技术点就要比十大安全技术更广泛，更加客户视角。

根据Gartner自己的说明，给出了选取十大安全项目的方式。

首先，假定客户已经具备了相当的安全基础。如果连这些基础都没有达到，那么也就不要去追求什么十大安全项目，乃至十大安全技术了。这些基础包括：

已经有了较为先进的EPP(端点保护平台)，具备诸如无文件恶意代码检测、内存注入保护和机器学习的功能;
已经做好了基本的Windows账户管理工作;
已经有了IAM;
有了常规化的补丁管理;
已经有了标准化的服务器/云工作负载保护平台代理;
具备较为强健的反垃圾邮件能力;
部署了某种形式的SIEM或者日志管理解决方案，具有基本的检测/响应能力;
建立了备份/恢复机制;
有基本的安全意识培训;
具备基本的互联网出口边界安全防护能力，包括URL过滤能力;
没错，对于客户而言，上面10个技术和能力更为基础，优先级更高，如果上述能力都有欠缺，先别轻易考虑什么十大安全项目!

其次，针对10大项目的选取也比较强调新(客户采用率低于50%)，同时又必须是已经落地的，而且又不能太过复杂(是Project级别而非Program级别)【注：要区别portfolio(项目组合), program(项目集), project(项目)三种项目间的关系】。

最后，选取的技术必须是能够最大程度上降低客户风险的，且付出是相对经济的，必须是符合数字时代发展潮流的，符合Gartner自己的CARTA(持续自适应风险与信任评估)方法论的。

基于上述所有前提假定，Gartner给出了2018年的10大安全项目：

Privileged Account Management Project：特权账户管理项目
CARTA-Inspired Vulnerability Management Project：符合CARTA方法论的弱点管理项目
Active Anti-Phishing Project：积极的反钓鱼项目
Application Control on Server Workloads Project：服务器工作负载的应用控制项目
Microsegmentation and Flow Visibility Project：微隔离和流可见性项目
Detection and Response Project：检测和响应项目，包括EPP+EDR、UEBA、欺骗三种技术方向和MDR服务
Cloud Security Posture Management (CSPM) Project：云安全配置管理项目
Automated Security Scanning Project：自动化安全扫描项目，尤其是开源软件成份分析
CASB Project：CASB项目，包括云应用发现、自适应访问、敏感数据发现与保护三个子方向
Software-Defined Perimeter Project：软件定义边界项目
对比一下近些年Gartner的10大安全技术/项目如下表所示：

Gartner历年评选的顶级技术/项目对比分析

Gartner历年评选的顶级技术/项目对比分析

Gartner历年评选的顶级技术/项目对比分析

通过分析比较，不难发现，和2017年度的11大安全技术(参见我写的《Gartner2017年十大安全技术解读》)相比，差别其实不大，大部分2017年的顶级技术都保留了，有的更加细化了，同时增加了几项算不上先进但对客户而言更为迫切的几个技术，包括PAM、弱点管理(VM)、反钓鱼。同时，这些项目也不是对每个客户都具备同等的急迫性，不同客户还需要根据自身的情况进行取舍，有所关注。

此外，细心的人可能还会发现，居然没有现在大热的数据安全项目?的确，Gartner 10大安全项目中没有明确以数据安全为大标题的项目，不过在多个项目中都提及了数据安全，譬如在CASB项目中建议优先考虑处理数据安全问题，PAM也跟数据安全有关系。另外，我感觉数据安全是一个十分庞大的题目，不可能用几个Project来达成，起码也要是Program级别的。期待以后Neil对数据安全更加重视起来吧。

特别需要指出的是，虽说叫10大安全项目，但是“检测与响应项目”其实包括了四个子项目，分别是EPP+EDR，UEBA、欺骗技术和MDR(可管理检测与响应)服务。因此，如果展开来说，其实不止10个项目，只是为了“凑个10”。

二、十大安全项目解析

接下来，我们逐一解析一下10大项目，对于2017年就出现过的，还可以参见我去年写的《Gartner2017年十大安全技术解读》，内涵基本没有什么变化。

注意，配合10大项目的发布，Gartner官方发布了一篇文章(参见https://www.gartner.com/smarterwithgartner/gartner-top-10-security-projects-for-2018/)，而Gartner中国也发布了中文译文——《Gartner遴选出2018十大安全项目》。不过，最初Gartner官方新闻稿中编辑将EDR缩写的指代英文全称写错了，导致很多中文译文也都跟着错了，并且Gartner的中文译文将MDR这个缩写也翻译错误了。此外，Gartner中国刊载的中文译文也有不少其它错误，主要是对多个专业英文缩写所代表的专业术语翻译错误和不准确，一些专业语句由于缺乏知识背景翻译错误。譬如Deception不应该翻译为“欺诈”，而应该叫做“欺骗”，因为我们要从正面角度解读这个词。而MFA、CWPP、EDR、MDR、UEBA、CASB、SDP也都有其专业的称呼。对此，我当时就已经告知Gartner中国，并提出了9点改进建议。后来，Gartner美国官网的错误改正过来了，但Gartner中国的那篇却一直保留着那些错误。因此，在下面的解析内容中我首先都会将官网上的内容(包括项目目标客户和项目提示两个部分)重新翻译一遍，然后再做具体解读。

1. 特权账户管理项目

【项目目标客户】该项目旨在让攻击者更难访问特权账户，并让安全团队监测到异常访问的行为。最低限度，CISO们应该要求对所有管理员实施强制多因素认证，建议同时也对承包商等外部第三方的访问实施强制多因素认证。

【项目建议】先对高价值、高风险的系统实施PAM，监控对其的访问行为。

PAM工具为组织的关键资产提供安全的特权访问，以符合对特权账号及其访问的监控管理合规需求。PAM通常具备以下功能：

对特权账号的访问控制功能，包括共享账号和应急账号;
监控、记录和审计特权访问操作、命令和动作;
自动地对各种管理类、服务类和应用类账户的密码及其它凭据进行随机化、管理和保管;
为特权指令的执行提供一种安全的单点登录(SSO)机制;
委派、控制和过滤管理员所能执行的特权操作;
隐藏应用和服务的账户，让使用者不用掌握这些账户实际的密码;
具备或者能够集成高可信认证方式，譬如集成MFA。
很显然，虽然国内谈PAM很少，但实际上早已大量运用，其实就对应我们国内常说的堡垒机。

Gartner将PAM工具分为两类：PASM(特权账户和会话管理)和PEDM(权限提升与委派管理)。如下图所示：

Gartner将PAM工具分为两类

显然，PASM一般对应那个堡垒机逻辑网关，实现单点登录，集中的访问授权与控制，设备系统密码代管、会话管理、对操作的审计(录像)。

PEDM则主要通过分散的Agent来实现访问授权与控制，以及操作过滤和审计。国内的堡垒机一般都没有采用这种技术模式。

Gartner分析未来PAM的技术发展趋势包括：

支持特权任务自动化，多个操作打包自动化执行;
将PAM用于DevOps，让DevOps更安全更便捷;
支持容器;
支持IaaS/PaaS和虚拟化环境;
以云服务的形式交付PAM;
特权访问操作分析，就是对堡垒机日志进行分析，可以用到UEBA技术;
与漏洞管理相结合;
系统和特权账户发现;
特权身份治理与管理。
Gartner列出了评价PAM的几个关键衡量指标：

环境支持的情况，是否支持云环境?
具备PASM和PEDM功能，具有录像功能;
提供完备的API以便进行自动化集成;
具备自然人/非自然人的账号管理功能。
在Gartner的2018年IAM技术Hype Cycle中，PAM处于早期主流阶段，正在向成熟的平原迈进。

国内堡垒机已经发展好多年了，本人早些年也负责过这块业务。国外PAM也趋于成熟，Gartner估计2016年全球PAM市场达到了9亿美元，市场并购也比较频繁。Gartner对中国的PAM市场了解甚少，没有什么研究，这里我也建议国内的堡垒机领导厂商可以主动联系Gartner，让他们更多地了解中国的PAM市场。

2. 符合CARTA方法论的弱点管理项目

【项目目标客户】基于CARTA方法论，该项目能够很好地处理漏洞管理问题，并有助于显著降低潜在风险。在补丁管理流程中断，以及IT运维的速度赶不上漏洞增长的速度时，可以考虑该项目。你无法打上每个补丁，但你可以通过风险优先级管理显著降低风险。

【项目建议】要求你的虚拟助手/虚拟机供应商提供该能力(如果客户已经上云/虚拟化的话)，并考虑使用风险缓解措施，譬如上防火墙、IPS、WAF等等。

注意，弱点管理不是弱点评估。弱点评估对应我们熟知的弱点扫描工具，包括系统漏扫、web漏扫、配置核查、代码扫描等。而弱点管理是在弱点评估工具之上，收集这些工具所产生的各类弱点数据，进行集中整理分析，并辅以情境数据(譬如资产、威胁、情报等)，进行风险评估，并帮助安全管理人员进行弱点全生命周期管理的平台。记住，弱点管理是平台，而弱点扫描是工具。

另外，Vulnerability Management我一直称作“弱点管理”，而不是“漏洞管理”，是因为弱点包括漏洞，还包括弱配置!如果你认为Vulnerability应该叫做漏洞，那也没关系，但不要把弱配置落掉。