2019年威脅應對技術成熟曲線
李宇茜/ 發布日期:2019/11/15/ 瀏覽次數:19
隨著攻擊者技術的提升與IT系統(包括移動、雲端服務、OT以及物聯網)的快速發展,導致防禦漏洞與威脅風險增加,加上目前尚未有單一的安全技術能提供完整的防護及預防,使得安全風險管理者無法為每一個可能發生的狀況做好準備,僅能就其業務選擇合適的安全技術來管理風險。
威脅應對技術(Threat-Facing Technologies)與服務需要利用傳統IT基礎設施、雲端裝置或是混合型的管道,以偵測威脅、保護應用程式及實體與虛擬的資產。未來人工智慧與機器學習仍將為此領域的主流,反應出最終使用者已理解運用自動化與協作(orchestration)執行以情報與流程驅動安全性的必要性,不僅能提高效率,亦能彌補人才不足的缺口。
在2019年Gartner的威脅應對技術報告中,具顛覆性效益的技術與2018年相同,僅軟體定義安全(Software-Defined Security, SDSec)一項,以下將介紹市場滲透率為5-20%,預計2年內可被主流產業採用,並邁入實質生產穩定期(Plateau of Productivity)之軟體定義安全技術;以及市場滲透率為20-50%,2年內可被主流產業採用,具高度影響性且處於泡沫化底谷期(Trough of Disillusionment)之入侵偵測與防禦系統(Intrusion Detection and Prevention System, IDPS)。
一、 軟體定義安全
(一) 定義:軟體定義安全涵蓋許多安全流程與控制,從安全政策落實點(Policy Enforcement Point, PEP)與相關的軟體定義基礎架構(software-defined infrastructure)中,抽取出安全性的策略管理(policy management),並使其變得可程式化,將有助於軟體定義安全發展。
(二) 發展現況:軟體定義安全已為主流概念,故安全防護提供者正由個人硬體防護轉向以軟體為基礎與程式管理的彈性方式,以確保每一地點的資料安全性。以實際案例來看,軟體定義安全是利用單一策略管理引擎取代許多供應商專用的控制台,並以簡化與統一的策略對各種產品與服務進行管理。未體認技術變遷的傳統供應商,將隨著時間推移而逐漸被淘汰。目前應用SDSec技術的領域相當多,包含軟體定義界線(零信任網路存取)、軟體定義分段(微分區/零信任網路分段)、軟體定義資料防護、雲端安全狀態管理平台和雲端工作負載防護平台。
(三) 商業效益:資訊安全並不會阻礙數位商業的發展,Gartner認為,不論使用者地點、資訊或工作負載的情況為何,以SDSec為基礎的產品都能迅速且靈活地執行防護策略。
二、 入侵偵測與防禦系統
(一) 定義:入侵偵測與防禦系統除了提供第一代入侵防禦系統所(First-generation IPS)具有的功能(如威脅與漏洞偵測、即時阻斷威脅),亦提供全堆疊可見度(full-stack visibility)、情境感知(Context Awareness)、內容感知(Content Awareness)等功能,有些甚至能結合進階分析技術,如使用者與實體設備行為分析(User and Entity Behavior Analytics, UEBA),並透過整合新資訊來源,包括威脅情報、進階威脅偵測、進階分析與網路沙盒,提供升級系統的服務。
(二) 發展現況:隨著入侵偵測與防禦系統服務廠商可支援公有雲,以及在現有的IDPS新增UEBA功能,提高了使用者對IDPS的接受度。多數單機型安裝的服務廠商,透過提供新一代入侵防禦系統(Next Generation Intrusion Prevention System, NGIPS)提升系統穩健性,以提高市場占比。不過對於重視網路威脅偵測、預防、回應與合規性的最佳組合(Best of Breed)的客戶來說,IDPS仍然具吸引力。Gartner認為,IDPS在2019年將會被廣為使用,並透過使用機器學習等進階分析提供UEBA的功能。
(三) 商業效益:如同第一代的入侵防禦系統,NGIPS藉由阻斷駭客對網路與端點漏洞的攻擊或拒絕提供服務來提高網路安全性,且能執行全棧(fuller stack)檢查與導入新情報來源至現行系統,目前所有IDPS領導廠商皆具備NGIPS功能。
資料來源
- Gartner