Gartner之2020年的信息安全（2）：以“信息和人”为中心，监控和情报是关键

接上一篇《Gartner之信息安全2020年（1）：防范将不再重要，监控和情报是关键》原文为《Prevention Is Futile
in 2020: Protect Information Via Pervasive Monitoring and Collective
Intelligence》，不一定是原文意思，夹杂了我的观点，肯定也存在翻译有些不到位的地方，多沟通。也借用了Nuke、DJ等同学的资料。

（六）变化1:从以“网络或系统”为中心的策略，转变为“以信息或数据为中心”的策略

Shift to an Information-Centric Security Strategy

1、2020年，企业的IT设施基本都采用基于云的服务模式，企业对网络、服务器、系统或应用软件都不在具备控制权。在大部分情况下，企业仅仅控制了信息（数据）。

2、信息安全策略的转变：从一个“自下而上”的以网络为中心的战略，转变为“自上而下”的“以信息为中心”的策略，安全能力集中在信息（数据）本身。

下图描述了不同场景下的信息安全策略的变化。

下图描述了针对企业和个人不同的信息保护对象。

（七）变化2:“从以控制为中心的安全演进至以人为核心的安全”

Shift From Control-Centric to People-Centric Security

以人为中心的安全（PCS）创建了一个现代化的，有效的，和成本更低的替代传统防护体系的思路。
PCS基于一系列的的关键原则, 个体权利以及相关的责任等。每个个体都有一定的权利但是也必须遵循相关的职责。如何个体的行为不是按照正常的行为方式，这些人将受到控制或处理。PCS是以人的行为为控制点，采用行为分析的方式来发现安全异常。

（八）变化3:安全能力从“防范”为主转向“快速检测和响应能力”的构建

面对高级的定向攻击（APT)，我们不能完全阻止控制攻击者进来，能有效的做法是控制其行为，避免进一步的攻击和破坏。此部分的重点工作：

• 按照以信息为中心的安全策略，监控的重点可以根据场景的不同，监控对应用、数据库、文件系统、内容管理系统的访问。
• 重点监测的工作首先对企业最关键的信息资产——典型的财务和客户数据库，然后扩展到其他敏感的数据。
• 使用场景化的情报描述，可以提高结果的准确度。
• 端点监控（Endpoint）仍是关键。可以让原厂商提供内置的日志和审计功能。
• 未来五年内，随着大数据的规模增大，信息安全监测的量级会越来越大。
• 用户的访问行为很关键，可以通过全面的监控措施，比如DAP、IAM来综合分析确定用户的访问行为，在云计算环境下，CASBs(cloud access security brokers)的可以有效的记录用户的访问行为。

（前几天Gartener公布了2014年的十大信息安全技术，其中排名第一的是“云端访问安全代理服务”，即Cloud Access Security Brokers。）
多说一句：可以以物理设备、软件、虚拟设备和云服务等多种形式部署与终端和SaaS服务之间，提供认证、发现、日志、加密、令牌化、DLP、恶意代码过滤等多项功能。引用一张图描述CASBs的功能组成。

（九）变化4:安全防护从“个体或单个组织”的防护，转变为“安全情报驱动”的信息共享、集体协作方式

(Incorporate Collective, Community-Based SecurityIntelligence Services)

2020年，面对高级的定点攻击，任何企业单打独斗都不足以对抗攻击者。企业需要有更好的安全情报分享（包括攻击者的位置、方式、使用的工具武器、技术手
段、攻击目标等），只有通过内部的监控、外部情报的共享，产生更全面更详尽的基于场景的可视化的数据以提供安全决策。
图6描述了企业如何参与并进行安全情报的分享。（所有的场景都需要分享安全情报）根据响应能力（authority)不同，情报主要来源可分为vendors and government（服务商和政府）主导提供，或者通过在同行业企业之间的联盟(coalitions among enterprises in the same industry)来提供情报。

图6描述了企业如何参与并进行安全情报的分享

这里谈到的安全情报，主要包含了三类服务：

• 信誉服务：指识别“坏”的IP地址、URL、域名等，比如C2服务器地址、恶意代码等；
• 威胁情报服务:对企业提供安全威胁情报。包括攻击者机器战术、技术和过程的情报服务，包含并不限于攻击工具、C2架构、被利用的漏洞、攻击方法等情报。
• 攻击者情报服务：对于个体，主要提供攻击情报服务，可以简单理解为简化的威胁情报。

完成，收工。